Assalamualaikum Warahmatullahi Wabarakatuh...
Alhamdulillah kita akan melanjut kemateri selanjutnya nih, dan materi yang akan kita bahas pada kali ini mengenai security router mikrotik (Firewall) menggunakan chain input.
Sebelumnya, Firewall ini digunakan untuk melindungi router dari akses yang tidak diinginkan baik dari luar (internet) maupun dari local (client). selain itu, firewall juga digunakan untuk memfilter akses antar network yang melewati router. Firewall dalam mikrotik diimplementasikan dalam fitur Filter dan NAT.
Secara Default Firewall Filter terdapat 3 jenis chain, antara lain forward, input, dan output. namun pada teknik kali ini kita menggunakan chain input, dimana chain input ini memiliki kegunaan sebagai berikut :
- Berperan untuk melakukan filter terhadap paket-paket yang ditujukan bagi interface router
- Berguna untuk membatasi akses terhadap Mikrotik
- Membatasi akses terhadap port yang ada disetiap interface untuk keamanan router tersebut
Topologi:
- Blocking semua port kecuali port DNS (53) WinBox (8291)
- Setting IP address Admin agar bisa mengakses semua port
- Cek menggunakan NMAP
Adapun teknik security router mikrotik atau firewall ini dibagi menjadi 2 teknik, yaitu :
1. Teknik pertama, Drop Some and Accept All
Teknik ini digunakan untuk membuang (drop) beberapa paket yang tidak dibutuhkan, kemudian menerima (accept) seluruh paket.
1. Yang pertama kali kita lakukan adalah menambahkan ip addressnya, dan pada ether2 terhubung langsung dengan internet. jadi, kita konfigurasi DHCP clientnya terlebih dahulu supaya router mendapat koneksi internet. caranya dengan klik ip > DHCP Client > klik icon plus (+) > klik DHCP > atur interfacenya dengan interface yang terhubung langsung dengan internet (disini ether2 yang terhubung dengan internet) > klik apply > klik ok.
2. Terlihat disini, kita telah mendapatkan ip dari interface yang terhubung dengan internet.
3. Selanjutnya kita akan menambahkan ip address sesuka kita untuk interface ether1 yang terhubung langsung dengan PC, jika sudah maka klik apply lalu ok.
4. Dan terlihat disini ada 2 ip yang telah kita tambahkan tadi, baik ether2 dengan ip DHCP (yang terhubung dengan internet) maupun ether1 dengan statik (yang terhubung dengan PC).
5. Sebelum lanjut ke konfigurasi Firewall kita akan mengkonfigurasi DNSnya terlebih dahulu dengan mengetikkan perintah seperti gambar dibawah ini.
Keterangan :
6. Jika sudah selesai, maka kita akan melakukan konfigurasi firewall filternya dimana kita akan membuat rule drop kemudian rule accept, maka ketikkan perintah seperti gambar dibawah ini.
Keterangan :
Keterangan :
- 172.16.0.1 merupakan ip DNS yang kita dapat dari interface yang terhubung dengan internet.
- 8.8.8.8 merupakan DNS Google.
- allow-remote-requests=yes digunakan agar ip router dapat dijadikan ip DNS oleh Client.
6. Jika sudah selesai, maka kita akan melakukan konfigurasi firewall filternya dimana kita akan membuat rule drop kemudian rule accept, maka ketikkan perintah seperti gambar dibawah ini.
Keterangan :
- chain input digunakan untuk memfilter paket-paket yang ditujukan bagi interface router, membatasi akses terhadap mikrotik, dan membatasi akses terhadap port yang ada di setiap interface.
- in-interface merupakan sumber interface.
- protocol merupakan jenis protocol yang digunakan.
- dst-port merupakan tujuan port, contoh disini port 21 (FTP), 22 (SSH), 23 (Telnet), 80 (HTTP), 2000.
- src-address merupakan sumber paket yang berasal dari range ip 172.27.27.27-172.27.27.50. jadi, range ip tersebut tidak dapat mengakses port yang telah ditentukan.
- action=drop merupakan paket yang tidak memenuhi kriteria maka akan di dropped-out dan tidak akan dilanjutkan ke proses selanjutnya.
- action=accept merupakan paket yang memenuhi kriteria, selanjutnya akan di proses.
Verifikasi
PC ADMIN
1. Kita atur ip PC kita terlebih dahulu disini kita akan menggunakan ip 172.27.27.57/24. jika sudah jangan lupa untuk di save.
2. Selanjutnya lakukan scanning port menggunakan aplikasi NMAP. untuk kolom target isikan dengan ip router yang terhubung dengan PC kemudian klik scan, dan terlihat disini port yang terbuka.
PC CLIENT
1. Kita atur ip PC kita terlebih dahulu disini kita akan menggunakan ip 172.27.27.47/24. jika sudah jangan lupa untuk di save, ip tersebut masuk dalam ip yang di drop.
2. Selanjutnya lakukan scanning port menggunakan aplikasi NMAP. untuk kolom target isikan dengan ip router yang terhubung dengan PC kemudian klik scan, dan terlihat disini port yang terbuka yaitu port DNS dan Winbox.
2. Teknik Kedua, Accept Some and Drop All
Teknik ini digunakan untuk menerima (accept) beberapa paket yang dibutuhkan, kemudian membuang (drop) semua paket.
1. Yang pertama kali kita lakukan adalah menambahkan ip addressnya, dan pada ether2 terhubung langsung dengan internet. jadi, kita konfigurasi DHCP clientnya terlebih dahulu supaya router mendapat koneksi internet. caranya dengan klik ip > DHCP Client > klik icon plus (+) > klik DHCP > atur interfacenya dengan interface yang terhubung langsung dengan internet (disini ether2 yang terhubung dengan internet) > klik apply > klik ok.
2. Terlihat disini, kita telah mendapatkan ip dari interface yang terhubung dengan internet.
3. Selanjutnya kita akan menambahkan ip address sesuka kita untuk interface ether1 yang terhubung langsung dengan PC, maka ketikkan perintah seperti gambar dibawah ini.
4. Dan terlihat disini ada 2 ip yang telah kita tambahkan tadi, baik ether2 dengan ip DHCP maupun ether1 dengan statik.
5. Jika sudah selesai, maka kita akan melakukan konfigurasi firewall filternya dengan mengetikkan perintah seperti gambar dibawah ini.
Verifikasi
Untuk Verifikasinya sama dengan teknik sebelumnya, yaitu teknik 1 dengan menggunakan aplikasi NMAP dan nantinya akan terlihat port mana yang terbuka dan tertutup.
Sekian yang dapat saya sampaikan, semoga bermanfaat
Kurang lebihnya mohon maaf, Wassalamualaikum Warahmatullahi Wabarakatuh...
0 komentar:
Posting Komentar