Modul Firewall Mikrotik [PDF]

Citation preview

MODUL TRAINING MIKROTIK FUNDAMENTAL



www.padepokanit.com 1



Mikrotik Sebagai Firewall Dan Keamanan Jaringan



Padepokan-IT Course Wwwpadepokanit.com 2



1



Pembahasan : 1. 2. 3. 4.



Konsep Dasar Firewall Secara Umum Firewall Di mikrotik & Implementasinya Keamanan Dasar Jaringan Mikrotik Lab & Studi Kasus Penerapan Firewall di Mikrotik untuk berbagai kasus



3



Konsep Dasar Firewall Firewall adalah sistem keamanan jaringan komputer yang digunakan untuk melindungi komputer dari beberapa jenis serangan luar dengan cara menyaring paket data yang keluar dan masuk di jaringan.



Firewall Bisa Berbentuk Perangkat Atau Software 4



2



Jenis Firewall Firewall terbagi atas dua jenis yakni, 1. Personal Firewall untuk melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak dikehendaki, contoh Personal Firewall Antivirus dan Windows Firewall 2. dan Network Firewall yang didesain untuk melindugi jaringan secara keseluruhan dari berbagai serangan. Contoh Network Firewall adalah Router yang telah disetting Firewallnya. Pada dasarnya Firewall sendiri dapat melakukan hal-hal berikut: 1) Mengatur dan mengontrol lalu lintas jaringan 2) Melakukan autentikasi terhadap akses 3) Melindungi sumber daya dalam jaringan privat 4) Mencatat semua kejadian, dan melaporkan kepada administrator



Untuk Kemanan jaringan sebaiknya mengkombinasikan antara Personal Firewall & Network Firewaa



5



Firewall Mikrotik LAN



KEAMANAN JARINGAN



WAN



Fitur ini biasanya banyak digunakan untuk melakukan filtering akses (Filter Rule), Forwarding (NAT), dan juga untuk menandai koneksi maupun paket dari trafik data yang melewati router (Mangle) serta Fitur Pengelompokan IP Address dan Penggunaan Script Reguler Expression pada Layer 7 Protocol 6



3



Implementasi & Manfaat Firewall 1. Digunakan Untuk Filtering, Forwarding, Dan Menandai Traffic 2. Digunakan untuk melindungi jaringan local dari ancaman luar, misalnya virus atau serangan hacker



Tujuan Utama Firewall adalah untuk melindungi sumber daya jaringan Internal (LAN)



7



1. FIREWALL FILTER RULE Berfungsi untuk Melakukan Proses Blok Koneksi Traffic yang menuju Router,melewati Router ,atau keluar dari Router



8



4



Penjelasan Firewall Filter Rule • Fitur Filter Pada firewall digunakan untuk menentukan apakah suatu paket data dapat masuk atau tidak kedalam sistem router itu sendiri • Paket data yang akan di tangani fitur filter ini adalah paket data yang ditujukan pada salah satu interface router • Fitur Filter dapat menangani paket data yang melintasi router dari jaringan local ke internet • Fitur Filter memiliki 3 Chain : Input, Output, Forward Prinsip yang digunakan IF...THEN… IF (jika) paket memenuhi syarat pada rule yang kita buat THEN (maka) action yang akan dilakukan pada paket tersebut 9



Chain Input Bertugas Menangani paket data yang ditujukan pada interface router mikrotik (Paket yang masuk ke Router) Chain input berguna untuk membatasi akses konfigurasi terhadap router mikrotik Implementasi dan Contohnya adalah ketika Client Melakukan Ping Ke Router Mikrotik



WAN



LAN



Penjelasan Video Tutorialnya bisa dilihat di Link Berikut https://youtu.be/oJRaStgSiVA



5



LAB 1 Latihan Konfigurasi Dasar Firewall & Studi kasus Admin Jaringan mengiginkan Router tidak bisa di ping oleh komputer client Kecuali Komputer admin saja



11



Konfigurasi (1) • Klik Menu IP – Firewall kemudian Pilih Filter Rule • Tambahkan Parameter Sebagai Berikut



Selanjutnya Lakukan ujicoba Ping dari Komputer Client



12



6



Konfigurasi (2) • Buat Firewall Untuk Accept Mengizinkan Komputer Admin melakukan ping ke Router • Tambahkan Parameter Sebagai Berikut • Posisi Urutan Rule disimpan paling atas



Selanjutnya Lakukan ujicoba Ping dari Komputer Admin



13



Penjelasan Action Pada Firewall • Accept Paket diterima dan proses pembacaan rules pada baris berikutnya tidak dilanjutkan • Drop Paket akan ditolak secara diam-diam dan Firewall tidak mengirimkan pesan penolakan ICMP • Reject Paket akan ditolak namun Firewall tetap mengirimkan Pesan penolakan ICMP • Jump Memaksa agar melompat ke Chain lain yang ditentukan oleh nilai parameter jump-target • Return Kembali ke Rule Sebelumnya • Tarpit Menolak Paket tapi tetap Menjaga TCP Connection • Passtrough Mengabaikan Rule ini dan melanjutkan ke Rule lainnya • Log Menambahkan Informasi ke paket Log 14



7



Chain Forward • Digunakan untuk menangani paket data yang akan melintasi router • Chain Forward akan menangani paket data yang melintasi router, baik paket data dari jaringan lokalyang ingin ke internet maupun sebaliknya. • Implementasi Chain Forward, ketika admin memblok akses internet dari IP tertentu. ip firewall filter add chain=forward src-address=192.168.10.5 out-interface=ether1 action = drop Chain Forward Digunakan untuk meyelsi paket data yang Melalui Router atau di routing. Tujuan utamanya melindungi client-client yang terhubung dengan Router 15



Chain Forward dan Content



• Digunakan untuk memblokir akses internet terhadap situs tertentu ataupun aktifitas user yang ingin mendownload jenis-jenis file tertentu • Untuk Menggunakannya gunakan option content yang ada pada fitur firewall filter. • Contoh Syntak ip firewall filter add chain=forward srcaddress=192.168.1.5 content=www.facebook.com action=drop



Action Drop digunakan untuk memblokir 16



8



Chain Output



Digunakan untuk memproses trafik paket data yang keluar dari router. Dengan kata lain merupakan kebalikan dari 'Input'. Jadi trafik yang berasal dari dalam router itu sendiri dengan tujuan jaringan Public maupun jaringan Local.



Implementasi Misal dari new terminal winbox, kita ping ke ip google. Maka trafik ini bisa ditangkap dichain output.



17



Lab 2 Studi Kasus Pada Studi Kasus ini akan digabungkan Penggunaan Chain Input dengan Forward untuk menandai user yang sering ping ke Router dan selanjutnya dimasukan ke Address List. Setelah itu akan dilakukan Blok terhadap user tersebut supaya tidak bisa mengakses internet



18



9



Langkah Konfigurasi 1. Buat Firewall Filter Rule Untuk Blok Protocol ICMP yang kemudian dimasukan ke Daftar Src Address List 2. Selanjutnya Buat Chain Forwad dengan Action Drop untuk Blok Client Tersebut 3. Ujicoba ping To Router dan Lihat di Address List, selanjutnya akses Website 4. Jika Rule Berjalan maka Client Tersebut tidak akan bisa Akses Internet (Sudah di Blok oleh Router)



19



Latihan Mandiri Studi Kasus Firewall Perusahaan Jaya Sakti Cemerlang Menerapkan Mikrotik sebagai router, anda sebagai admin jaringan di beri tanggung jawab untuk mengelola keamanan jaringan. Dimana perusahaan mempunyai kebijakan sebagai berikut: 1. Mikrotik tidak bisa diakses oleh yang tidak berwenang 2. Mikrotik Tidak bisa di Ping Oleh Komputer User kecuali oleh Komputer Admin dan owner 3. Komputer client dengan IP 192.168.200.40 Sama sekali tidak boleh mengakses internet 4. Blok Beberapa Komputer di jaringan Local kecuali komputer Pimpinan, Gunakan Address List untuk Pengelompokan IP 5. Komputer client dengan IP 192.168.200.41 tidak bisa buka semua situs kecuali E-mail saja 20



10



2. Firewall NAT • Nat artinya Network Address Translation adalah Suatu Fungsi Firewall yang bertugas melakukan perubahan IP address pengirim dari sebuah paket data • Umunya NAT digunakan untuk Merubah IP Private menjadi IP Public • Nat umumnya dijalankan pada router-router yang menjadi batas antara jaringan local & jaringan internet • Secara Teknis NAT akan mengubah paket data yang berasal dari komputer user seolah-olah berasal dari router



ip firewall nat add chain=srcnat out-interface=ether1 action=masquarade 21



SETTING NAT DI MIKROTIK



Untuk Src Address bisa diisi atau dikosongkan sesuai dengan keperluan, jika diisi bisa menggunakan IP Address atau Network Address



Parameter yang Disetting Chain : Srcnat, Out Interface : Interface yang keluar Action : Masquarade 22



11



Jenis NAT Di Mikrotik SRC NAT Memiliki fungsi untuk mengubah source address dari sebuah paket data. Sebagai contoh kasus fungsi dari chain ini banyak digunakan ketika kita melakukan akses website dari jaringan LAN DST NAT Dnat atau Destiantion Network Address Translation adalah sebuah NAT yang berfungsi untuk meneruskan paket dari IP public melalui firewall ke suatu host dalam jaringan. Contoh Implementasi Port Forwarding



Cara Kerja NAT (SRC NAT & DST NAT)



12



LAB 3 IMPLEMENTASI FIREWALL NAT Setting NAT dengan Jenis Dst NAT untuk mengkases Web Server dari Luar Jaringan



3. Firewall Mangle • Mangle berfungsi untuk menandai paket masuk dan keluar pada router. • Dimana mangle dapat digunakan untuk menandai (marking) paket data berdasarkan port, protocol, src Address dan dst address, serta paramater lain yang dibutuhkan • Mangle Terdiri Dari : 1. Mark Connection 2. Mark Packet 3. Mark Routing



26



13



DIAGRAM MANGLE



27



PENJELASAN MANGLE CONNECTION MARK



28



14



FIREWALL MANGLE CONNECTION MARK



29



LAB 4 PENGGUNAAN MANGLE



30



15



31



HASIL KONFIGURASI



Untuk mengetahui berhasil atau tidaknya marking yang kalian lakukan, ketika anda coba browsing maka angka counter pada rules yang anda buat akan berjalan.



32



16



Penjelasan Chain Pada Mangle • Input, Output, Forward : Penjelasannya tidak jauh berbeda dengan yang ada di dalam Filter Rule. • Forward : Untuk memproses trafik paket data yang hanya melewati router. Contohnya saat kita mengakses internet. Trafik laptop saat mengakses internet dapat di-manage dengan chain forward. • Prerouting : koneksi yang akan masuk kedalam router dan melewati router. Berbeda dengan input yang mana hanya akan menangkap trafik yang masuk ke router. Trafik yang melewat router dan trafik yang masuk kedalam router dapat ditangkap di chain prerouting. • Postrouting : koneksi yang akan keluar dari router, baik untuk trafik yang melewati router ataupun yang keluar dari router. • Output : Untuk memproses trafik paket data yang keluar dari router. Trafik yang berasal dari dalam router dengan tujuan jaringan public maupun jaringan local. Misal dari new terminal winbox, kita melakukan ping ke ip google. 33



LATIHAN MANDIRI BUAT MANGLE MARK CONNECTION DAN MARK PAKET UNTUK MENANDAI TRAFFIC YOUTUBE DAN KEMUDIAN DILAKUKAN BLOK BERDASARKAN SCHEDULER



34



17



4. Firewall Raw • Firewall RAW merupakan tabel firewall yang mirip dengan tabel filter yakni menangani filtering paket. Namun raw memiliki keunggulan yaitu tidak memakan resource cpu sebanyak pada firewall filter (lebih ringan). Hal ini dikarenakan raw mampu melakukan bypass atau drop paket sebelum terjadinya proses connection tracking. • Firewall raw hanya memiliki dua chain, yakni prerouting dan output. Kenapa demikian ? Seperti yang sudah dikatakan pada bagian atas tadi bahwa raw bekerja atau melakukan filtering paket sebelum proses connection tracking



35



Diagram Firewall Raw



Sumber Gambar : mikrotik.id 36



18



Lab 5 Implementasi Firewall Raw 1. Coba Lakukan Blok Terhadap Akses Internet mengunakan Firewall Raw 2. Coba Blok antar Jaringan Local artinya IP Address Tertentu tidak bisa akses ke IP Lain. Misal Komputer A tidak bisa akses ke komputer Server sedangkan komputer B bisa Akses ke Server



37



Konfigurasi (1) • Klik Menu IP Firewall – Raw • Parameter yang disetting seperti berikut



38



19



Konfigurasi (2)



Konfigurasi diatas akan memblok akses dari komputer 192.168.200.254 ke tujuan Komputer 192.168.200.10 39



5. Firewall Address List • Router Mikrotik Menyediakan fitur address list untuk merujuk IP address tertentu dengan sebuah nama. • Fitur ini dapat digunakan untuk keperluan deklarasi IP Address maupun untuk kepentingan logging (Pencatatan Aktifitas Jaringan) • Penggunaan deklarasi IP address menjadi sebuah nama akan membuat anda tidak terlalu repot mengelola jaringan jika suatu saat terjadi perubahan IP Address.



40



20



Jenis Address List •Static Address List •Dynamic Address List



41



Implementasi Addres List 1. Membuat Address List 2. Penerapan Address List Pada NAT Ip firewall address-list add address=192.168.1.0/24 list=‘jaringan-local’ Ip firewall address-list add address=192.168.1.2/24 list=‘pc-admin’ Ip firewall nat add chain=srcnat out interface=ether1 src-address-list=“pcadmin” action=masquarade Ip firewall nat add chain=srcnat out interface=ether1 src-address-list=“jaringanlokal” protocol=tcp dst-port=80,443 action masquarade Penjelasan Konfigurasi NAT 1 diatas bermaksud memberikan akses internet yang penuh bagi komputer administrator (ditandai dengan src-address-list=“pc-admin”) Konfigurasi Di NAT yang ke 2 hanya memberikan akses in ternet browsing (http/https) pada komputer-komputer lain ditandai dengan src-address-list = “jaringan-lokal”) 42



21



LATIHAN ADDRESS LIST 1. Buat Address List Dynamic Untuk Menandai IP Youtube 2. Buat Address List Dynamic Untuk Menandai IP Zoom



Solusi Gunakan Mangle dengan Action Add to Dst Address List



3. Buat Address List Static Untuk Mengelompokan IP yang ada di Jaringan Local Per Divisi Dan IP Address Tertentu 43



LAYER 7 PROTOCOL Apa itu Layer 7 Protocol ? • Layer 7 Protocol adalah layer aplikasi yang Berfungsi sebagai antarmuka dengan aplikasi dengan fungsionalitas jaringan, mengatur bagaimana aplikasi dapat mengakses jaringan, dan kemudian membuat pesan-pesan kesalahan. • Contoh Penulisan Script Regex



^.+(instagram.com).*$ ^.+(facebook|youtube|twitter|bukalapak|tokopedia|belibeli.com|belibeli|lazada|shopee|www.facebook.com|ganool).*$ ^.*get.+\.iso.*$



44



22



Latihan Blok Situs



45



Langkah KONFIGURASI 1.



Buat Layer 7 Protocol Script seperti dibawah ^.+(.youtube.|ytimg.|googlevideo.com|youtu.be).*$



2.



Buat Filter Rule Action Drop untuk Port TCP dan UDP



46



23



DAFTAR SCRIPT REGEX LAINNYA WhatsApp Port Whatsapp UDP: 1900,3478,5222,5288 TCP: 5222 ^.+(whatsapp.com|whatsapp.net|wa.me).*$ IDM get /.*(user-agent: mozilla/4.0|range: bytes=) Bittorent ^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane| demonoid|btjunkie|mininova|flixflux|torrentz|vertor|h33t|btscene| bitunity|bittoxic|thunderbytes|entertane|zoozle|vcdq|bitnova| bitsoup|meganova|fulldls|btbot|flixflux|seedpeer|fenopy|gpirate| commonbits).*\$" 47



Keamanan Jaringan LAN & Keamanan Dasar Mikrotik



48



24



Penerapan ARP untuk Keamanan DHCP Server Agar Client tidak bisa menggunakan IP Static Deskripsi Address Resolution Protocol (ARP) merupakan protocol Jaringan Local yang digunakan untuk membuat pemetaan antara IP address dan Mac Address yang dimiliki satu computer host. Pemetaan ini bersifat dinamik artinya Router Mikrotik akan mencari sendiri MAC address suatu komputer user berdasarkan IP Address Komputer tersebut.



49



Langkah Konfigurasinya: 1. Klik Interfaces, kemudian double klik interface LAN yang digunakan sebagai interface DHCP 2. Pilih Di Bagian ARP : Reply-Only



50



25



3. Konfigurasi di DHCP Server untuk menambahkan ARP ketika terjadi DHCP-lease. Klik IP–>DHCP Server, edit DHCP, check Add ARP for leases



51



ARP Untuk IP Static • Pemetaan IP dan MAC address dapat saja dibuat menjadi static sehingga seorang user tidak dapat menggunakan IP address user milik user orang lain. • Karena Jika User tersebut mengganti IP addressnya maka pemetaan ARP nya menjadi tidak Valid lagi dan ini akan mengakibatkan komputer user tersebut tidak dapat terhubung ke router mikrotik



52



26



Konfigurasi Agar User Tidak Bisa Mengganti IP Static di Jaringan Mikrotik Dengan Fungsi Reply-Only • Klik Menu IP – ARP • Daftarkan IP Address dan Mac Addressnya Termasuk IP Gateway Mikrotik ETH-1 dan ETH-2



53



• Selanjutnya Rubah ARP menjadi Reply-Only di Menu Interface ETH2-LAN



54



27



Yang Harus dilakukan Setelah Konfigurasi Dasar Mikrotik



Sumber Refrensi Chanel Mikrotik.id : https://youtu.be/ICPJwq4u4Fc



55



KEAMANAN JARINGAN EKSTERNAL (PUBLIC)



56



28



Tips Mengamankan Router Mikrotik 1. Pastikan Router telah diberi password Tidak menggunaan Login Default admin password kosong 2. Ganti Port Default Winbox 3. Hidden Mac address Router 4. Disable Service Port yang tidak perlu (IP – Services) 5. Batasi Akses Terhadap Router setting Available From pada Winbox



57



MENGAMANKAN Service Port • Pada tutorial ini akan dibahas cara mudah tahap awal mengamankan router mikrotik yaitu dengan cara menutup port di menu IP – Service. • port adalah mekanisme yang mengizinkan sebuah komputer untuk mendukung beberapa sesi koneksi dengan komputer lainnya dan program di dalam jaringan. • Port dapat mengidentifikasikan aplikasi dan layanan yang menggunakan koneksi di dalam jaringan TCP/IP. Sehingga, port juga mengidentifikasikan sebuah proses tertentu di mana sebuah server dapat memberikan sebuah layanan kepada klien atau bagaimana sebuah klien dapat mengakses sebuah layanan yang ada dalam server. • Dimana secara default port-port servist list mikrotik masih terbuka diantaranya api, ftp, ssh, telnet, winbox, http, dan https. Untuk itu harus kita tutup (disable 58



29



Teknis Konfigurasi



59



Keterangan Port



60



30



Langkah Terakhir



61



Beberapa Cara Penerapan Firewall Di Mikrotik 1. Membuat Firewall Untuk Memblock Akses Internet Dari 1 Ip Address Client. 2. Membuat Firewall Untuk Memblock Akses Internet Dari 1 Mac Address Client. 3. Membuat Firewall Untuk Memblock Akses Internet Dari Sekelompok Ip Address Client. 4. Blokir Berdasarkan Port 5. Membuat Firewall Untuk Memblock Akses Internet Dari Sekelompok Ip Address Attacker. 6. Membuat Firewall Untuk Memblock Akses Internet Dari Client Ke Suatu Websites Tertentu. 7. Membuat Firewall Dengan Penjadwalan Waktu 8. Membuat Firewall Dengan Fasilitas Layer 7 (RageXp)



62



31



Beberapa Studi Kasus Tentang Penggunaan Firewall Mikrotik



63



Blok Akses Internet Berdasarkan IP Tertentu



Jadi Firewall ini berarti : “Jika ada Client dengan IP : 192.168.1.34 yang akan mengakses internet dengan OUTGOING melalui Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik. 64



32



Blok Berdasarkan MAC Address



Jadi Firewall ini berarti : “Jika ada Client dengan Mac Address sesuai Mac target yang akan mengakses internet dengan OUTGOING melalui Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik. 65



Blok Berdasarkan Sekelompok IP Address LANGKAHNYA : 1. Membuat Daftar IP yang akan di Blok di Menu Address List



66



33



2. Membuat Rule Firewall di Filter Rule



Jadi Firewall ini berarti : “Jika ada Client dengan IP Address yang terdaftar pada“CLIENT NO INTERNET” yang akan mengakses internet dengan OUTGOING melalui Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik.



67



MEMBLOCK AKSES INTERNET DARI CLIENT KE SUATU WEBSITES TERLARANG.



68



34



Blokir Berdasarkan Port Contoh Kasus Di Sebuah kantor menerapkan kebijakan bahwa komputer dibagian Gudang hanya bisa mengakses Ms Outlook saja sebagai email client, dan tidak diperbolehkan melakukan browsing selama jam kerja



Penyelesaian 1. 2. 3. 4.



Login Menggunakan Winbox Masuk ke Menu IP – Firewall Klik Tab Filter Rule kemudian Klik tombol + Selanjutnya Masukan Script Dibawah ini /ip firewall filter > add src-address=192.168.1.42 protocol=tcp dst-port=80 chain=forward action=drop 69



Konfigurasi Dengan Winbox



70



35



Blok Dari IP Attacker



71



Jadi Firewall ini berarti : “Jika ada orang atau system dengan IP Address yang terdaftar pada “ATTACKER” yang akan mengakses IP Publick / IP WAN kita yang masuk melalui Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik. 72



36



LAB MANDIRI Latihan Mandiri Konfigurasi Keamanan Jaringan di Local 1. Setiap komputer client tidak bisa merubah IP yang telah diberikan oleh admin. dengan konsekuensi jika merubah IP maka tidak akan terkoneksi ke internet. 2. Tidak bisa sembarang komputer khususnya client Laptop atau Gadget masuk ke area Wifi artinya Mac Address harus terdaftar di Laptop 3. Tidak Bisa melakukan Tatering Koneksi Internet Sharing yang didapat dari sumber internet yang terhubung ke wifi mikrotik 73



Info Training Padepokan IT • WhatsApp : 081214518859 • E-mail : [email protected] • Padepokan IT Store : bit.ly/padepokanit-store • Youtube Chanel : Padepokan IT Course • Facebook : www.facebook.com/padepokanit • Gallery Training IG : @padepokanit • Website : www.padepokanit.com



Info Lengkap Training Mikrotik https://bit.ly/kursusmikrotik



37



Padepokan IT Course www.padepokanit.com 75



38