Pada kesempatan kali ini, admin akan membahas mengenai fitur yang ada di mikrotik lebih tepat pada fitur firewall pada mikrotik. Firewall itu sendiri adalah suatu sistem / fitur yang dirancang untuk mencegah akses yang tidak diinginkan dari atau ke dalam suatu jaringan internal. Jadi skenarionya kita akan menfilter yang mana yang tidak boleh dan yang mana yang boleh.
Ada 2 teknik firewall yang akan saya bahas
> Teknik 1 (Drop some and Accept all)
Teknik ini digunakan untuk membuang (drop) beberapa paket yang tidak dibutuhkan, kemudian menerima (accept) seluruh paket.
> Teknik 2 (Accept all and Drop some)
Teknik ini digunakan untuk menerima (accept) beberapa paket yang dibutuhkan, kemudian membuang (drop) semua paket.
Seperti judul pada postingan ini, dalam melakukannya admin akan menggunakan Chain input. berikut kegunaan dari chain input itu sendiri
1) Berperan untuk melakukan filter terhadap paket-paket yang ditujukan bagi interface router
2) Berguna untuk membatasi akses terhadap Mikrotik
3) Membatasi akses terhadap port yang ada disetiap interface untuk keamanan router tersebut
Topologi
Berikut topologi yang admin gunakan
Jika dilihat dari topologi diatas interface terhubung ke jaringan local mempunya network 10.10.10.0/24. Selain itu ada 2 PC yang bertindak sebagai Administrator yang nantinya hanya si PC admin yang mempunyai dan yang satunya lagi akan bertindak sebagai Client yang hanya mempunyai hak akses melalui DNS dan Winbox
Ketentuan:
1. Blocking semua port kecuali DNS dan WinBox
2. Setting IP address admin agar bisa mengakses semua port
3. Cek menggunakan NMAP
Ketentuan:
1. Blocking semua port kecuali DNS dan WinBox
2. Setting IP address admin agar bisa mengakses semua port
3. Cek menggunakan NMAP
Teknik 1 (Drop some and Accept all)
1) Pertama-tama, remote mikrotik menggunakan winbox, lalu setting ip router sesuai topologi diatas. Disini untuk interface yang terhubung ke local admin beri ip 10.10.10.1
2) Kemudian setting DNS di router mikrotik. Masukkan command dibawah ini
3) Untuk melakukan ketentuan diatas yaitu agar admin dapat mengakses semua port. Masuk ke terminal kemudian masukkan perintah dibawah ini
Penjelasan :
Chain = input, karena request yang dilakukan client (jaringan local) ke router dan berakhir di router itu juga maka yang kita gunakan adalah chain input
Protocol=tcp, protokol yang digunakan adalah tcp
src-address=[IP address] action=accept, maksudnya bila ip address tersebut melakukan request maka paket request tersebut akan diterma oleh router
4) lalu lakukan konfigurasi untuk paket request yang akan di drop.
Penjelasan
dst-port=[port] action=drop, maksudnya jika ada client yang melakukan request melalui post tersebut maka paket request tersebut akan di buang oleh router
5) Lakukan verifikasi konfigurasi firewall filter
7) lalu buka aplikasi Zenmap, Aplikasi ini biasanya digunakan untuk melakukan scanning port yang mana saja yang dapat direquest oleh client dengan sesuai ketentuan yang telah di buat sebelumnya. Masukkan IP router yang terhubung ke local. lalu akan terlihat port port mana saja yang dibolehkan
Karena ip administrator yaitu 10.10.10.10 diberi kuasa untuk dapat melakukan request dari port mana saja Maka verifikasinya akan terlihat seperti pada gambar dibawah ini
8) Lalu coba juga di ip Client lain selain ip administrator. Disini admin coba dengan ip 10.10.10.12
9) lalu lakukan lagi di zenmap. karena ip yang selain ip administrator tidak diberi kuasa oleh router untuk melakukan request melalui port port yang telah di tentukan sebelumnya. maka jika di verifikasi lewat zenmap maka akan terlibat seperti pada gambar dibawah ini
2) Kemudian setting DNS di router mikrotik. Masukkan command dibawah ini
ip dns set servers= [IP DNS] allow-remote-requests=yes
3) Untuk melakukan ketentuan diatas yaitu agar admin dapat mengakses semua port. Masuk ke terminal kemudian masukkan perintah dibawah ini
ip firewall filter add chain=input protocol=tcp src-address= [IP Address Administrator] action=accept
Penjelasan :
Chain = input, karena request yang dilakukan client (jaringan local) ke router dan berakhir di router itu juga maka yang kita gunakan adalah chain input
Protocol=tcp, protokol yang digunakan adalah tcp
src-address=[IP address] action=accept, maksudnya bila ip address tersebut melakukan request maka paket request tersebut akan diterma oleh router
4) lalu lakukan konfigurasi untuk paket request yang akan di drop.
ip firewall filter add chain=input protocol=tcp dst-port=[port yang akan di blok] action=drop
Penjelasan
dst-port=[port] action=drop, maksudnya jika ada client yang melakukan request melalui post tersebut maka paket request tersebut akan di buang oleh router
5) Lakukan verifikasi konfigurasi firewall filter
Verifikasi
6) Untuk verifikasinya, admin akan lakukan melalui ip administrator dengan ip 10.10.10.107) lalu buka aplikasi Zenmap, Aplikasi ini biasanya digunakan untuk melakukan scanning port yang mana saja yang dapat direquest oleh client dengan sesuai ketentuan yang telah di buat sebelumnya. Masukkan IP router yang terhubung ke local. lalu akan terlihat port port mana saja yang dibolehkan
Karena ip administrator yaitu 10.10.10.10 diberi kuasa untuk dapat melakukan request dari port mana saja Maka verifikasinya akan terlihat seperti pada gambar dibawah ini
8) Lalu coba juga di ip Client lain selain ip administrator. Disini admin coba dengan ip 10.10.10.12
9) lalu lakukan lagi di zenmap. karena ip yang selain ip administrator tidak diberi kuasa oleh router untuk melakukan request melalui port port yang telah di tentukan sebelumnya. maka jika di verifikasi lewat zenmap maka akan terlibat seperti pada gambar dibawah ini
Teknik 2 (Accept some and Drop all)
1) Pada teknik ke 2 ini adalah teknik sebaliknya dari teknik 1, yang dimana router akan mengaccept beberapa paket dan akan mendrop semua paket. Masukkan beberapa konfigurasi dibawah ini
ip firewall filter add chain=input protocol=tcp src-address= [IP Address Administrator] action=accept
ip firewall filter add chain=input protocol=tcp dst-port=[port yang akan dibolehkan] action=accept
ip firewall filter add chain=input protocol=tcp action=drop
2) Lalu, lakukan verifikasi konfigurasi firewall filter
3) Hasilnya tidak jauh beda dengan teknik 1 Yaitu memblok semua port kecuali port dns (53) dan port winbox (8291)
lewar IP Administrator 10.10.10.10
lewat IP Client lain 10.10.10.12
ConversionConversion EmoticonEmoticon