Certified Network Associate ( MTCNA )
Modul 6 Firewall
Firewall • Sebuah layanan keamanan jaringan yang melindungi jaringan Internal dari jaringan Eksternal. Contoh : Internet • Berposisi ditengah – tengah antara jaringan lokal dan jaringan publik • Selain mencegah serangan, firewall mengontrol koneksi data menuju, melewati, dan keluar dari router • Firewall di RouterOS di atur dalam tabel Filter dan NAT
Firewall di MikroTik • • • • • • •
Filter rules NAT ( srcnat dan dstnat ) Mangle Address List Layer 7 Protocol Service Ports Connections ( Hanya melakukan monitoring )
Firewall Filter Ada 3 default chain ( Rantai ) : • INPUT ( Paket menuju Router ) • OUTPUT ( Paket keluar dari Router) • FORWARD ( Paket yang melawati Router )
Firewall Filter Action • Setiap rule memiliki action, jika cocok maka ACCEPT. • Jika tidak, maka ada di DROP atau REJECT. • DROP Dibuang secara diam – diam ( Tak ada pemberitahuan ) • REJECT Ditolak dengan pesan ICMP Reject • Atau Jump/return ke rule yang ditetapkan oleh user
Filter Actions
Pilih IP Firewall New Firewall Rule ( + ) Action
Filter Chains
Sebaiknya, pada setiap rule kalian berikan Komentar ( comment ) untuk meningkatkan Kemudahan dalam membaca.
Chain: Input • Melindungi router itu sendiri • Dari jaringan public ( Internet ) dan jaringan lokal
Chain: Input • Buat rule chain Input, dengan action ACCEPT pada interface bridge untuk laptop kalian ( src. Address = 192.168.XY.200 ) • Buat rule chain Input, dengan action DROP pada interface bridge yang terhubung dengan yang lainnya.
Chain: Input • Ubah IP Address laptop kalian ke 192.168.XY.199, DNS dan Gateway ke 192.168.XY.1 • Putuskan koneksi dari Router • Coba koneksi ke Router ( Tidak Bisa ) • Coba koneksi ke Internet ( Tidak Bisa )
Chain: Input • Laptop anda menggunakan router untuk melakukan resolving nama domain • Connect ke router menggunakan MAC Winbox • Tambahkan rule baru, chain Input accept ke interface bridge untuk mengizinkan DNS request ( Port: 53/udp ) • Taruh diatas rule Drop yang sebelumnya kita buat • Connect ke Internet ( Bisa )
Chain: Input • Ubah IP Address laptop anda ke dinamik ( DHCP ) • Connect ke Router • Hapus atau disable rules yang kalian buat tadi
Chain: Forward • Berisi rules yang mengontrol paket data yang akan melewati router • Forward mengontrol traffic data antara client dan Internet, serta antara client dan client
Chain: Forward • Secara default, traffic antara client- client yang terhubung ke router diizinkan • Traffic antara client dan Internet secara default tidak dibatasi
Chain: Forward • Tambahkan filter rule Drop Forward untuk port http (80/tcp) • Saat mendefinisikan Port tujuan, Protocol harus kalian definisikan juga
Chain: Forward • Coba buka web www.mikrotik.com ( Tidak Bisa ) • Coba buka WebFig di http://192.168.XY.1 ( Bisa ) • WebFig router bisa diakses karena traffic ini menuju router ( Input ), bukan melewati router ( Forward )
Port yang Sering Digunakan
Address List • Address list mengizikan untuk membuat Action untuk banyak IP sekaligus • Sangat mungkin untuk menambahkan IP ke address list secara otomatis • IP bisa ditambahkan secara permanen atau hanya dalam batasan waktu tertentu • Address list bisa berisi 1 IP Address, IP Range bahkan seluruh subnet
Address List
IP Firewall Address List New Address List (+)
Address List • Selain mendefinisikan address di General tab, pindah ke tab Advanced dan pilih address list ( Src. Dan Dst. Sesuai dengan rule )
IP Firewall New Firewall Rule Advanced
Address List • Firewall action bisa digunakan untuk menambahkan address ke address list secara otomatis • Permanen atau sementara
IP Firewall New Firewall Rule (+) Action
Address List • Buat address list yang berisi IP yang diziinkan, jangan lupa tambahkan IP laptop kalian • Tambahkan Input accept filter rule pada interface bridge untuk Port Winbox saat koneksi dari address yang terdapat di dalam address list yang diizinkan • Tambahkan Input drop filter rule untuk orang lain saat koneksi ke Winbox
Firewall Log • Setiap rule firewall bisa di log saat rule tersebut cocok • Bisa ditambahkan keterangan spesifik untuk memudahkan pencarian record nanti
Firewall Log
IP → Firewall → Edit Firewall Rule → Action
Firewall Log • Aktifkan Logging pada kedua rule firewall yang kita buat di Address List LAB • Connect ke Winbox dengan IP yang diizinkan • Disconnect dan ganti IP yang tidak terdaftar di IP yang diizinkan • Coba connect router dengan winbox • Ganti IP ke awal dan observasi entri log
NAT • Network Address Translation ( NAT ) adalah metode yang memodifikasi asal atau tujuan dari suatu paket IP Address • Ada 2 tipe NAT yaitu Source NAT dan Destination NAT
NAT • NAT biasanya digunakan untuk menyediakan akses ke jaringan eksternal dari client yang menggunakan private IP (src-nat) • Mengizinkan akses dari jaringan eksternal ke sumber daya ( contoh: web server ) yang ada di jaringan lokal (dst-nat)
NAT
NAT
NAT • Chain srcnat dan dstnat digunakan untuk menjalankan firewall NAT menurut fungsinya • Sama dengan filter, bekerja dengan prisip IfThen • Dibaca dari atas table
Dst NAT
Dst NAT
Redirect • Tipe spesial dari dstnat • Action ini akan mengalihkan (Redirect) paket ke router sendiri • Salah satu contoh penerapannya adalah membangun transparent proxy ( contoh : HTTP Proxy, DNS )
Redirect
Redirect • Buat rule dstnat redirect untuk mengirim semua request dengan port tujuan HTTP (80/tcp) ke router dengan port 80 • Coba buka web www.mikrotik.com atau website lain yang menggunakan protokol HTTP • Jika sudah, hapus atau disable rule itu
Src NAT
Masquerade adalah salah satu tipe spesial dari srcnat
Src NAT • Srcnat action src-nat memiliki arti menulis ulang asal IP address atau port asal • Contoh: sebuah perusahaan memiliki network 192.168.1.0/24 untuk jaringan lokal mereka. Perusahaan itu menggunakan ISP untuk Internet mereka dengan IP public yang berbeda network LAN. Agar terhubung, network engineer bisa menggunakan srcnat
NAT Helpers • Beberapa protokol membutuhkan apa yang disebut NAT Helpers untuk bekerja dengan baik di jaringan NAT’d
Connections • New – Paket membuka koneksi baru • Established – Paket telah dimiliki oleh koneksi yang ada • Related – Paket membuka koneksi baru namun masih memiliki relasi dengan koneksi yang ada • Invalid – Paket tidak dimiliki oleh semua koneksi yang ada ( mengambang di jaringan )
Connections
Connection Tracking • Memanage informasi tentang semua koneksi yang aktif • Telah diaktifkan pada NAT dan filter • Connection state tidak sama dengan TCP state
Connection Tracking
FastTrack • Metode untuk “mempercepat” aliran paket yang melewati router • Koneksi establised atau related bisa di tandai sebagai fasttrack connection • Bypass firewall, connection tracking, simple queue dan fitur lainnya • Saat ini hanya support protokol TCP dan UDP
FastTrack
Sumber : http://wiki.mikrotik.com/wiki/Manual:Wiki/Fasttrack
Tentang Penulis • • • • •
Nama : Joshua Renaldo TTL : Jakarta, 5 Juli 1998 Umur : 17 Tahun MTCNA ( 7 April 2016 ) Email :
[email protected]
