Embed Size (px)
Citation preview
Certified Network Associate ( MTCNA )
Modul 6
Firewall
Firewall
• Sebuah layanan keamanan jaringan yang melindungi jaringan Internal dari jaringan Eksternal. Contoh : Internet
• Berposisi ditengah – tengah antara jaringan lokal dan jaringan publik
• Selain mencegah serangan, firewall mengontrol koneksi data menuju, melewati, dan keluar dari router
• Firewall di RouterOS di atur dalam tabel Filter dan NAT
Firewall di MikroTik
• Filter rules
• NAT ( srcnat dan dstnat )
• Mangle
• Address List
• Layer 7 Protocol
• Service Ports
• Connections ( Hanya melakukan monitoring )
Firewall Filter
Ada 3 default chain ( Rantai ) :
• INPUT ( Paket menuju Router )
• OUTPUT ( Paket keluar dari Router)
• FORWARD ( Paket yang melawati Router )
Firewall Filter Action
• Setiap rule memiliki action, jika cocok maka ACCEPT.
• Jika tidak, maka ada di DROP atau REJECT.
• DROP Dibuang secara diam – diam ( Tak ada pemberitahuan )
• REJECT Ditolak dengan pesan ICMP Reject
• Atau Jump/return ke rule yang ditetapkan oleh user
Filter Actions
Pilih IP Firewall New Firewall Rule ( + ) Action
Filter Chains
Sebaiknya, pada setiap rule kalian berikan Komentar ( comment ) untuk meningkatkan Kemudahan dalam membaca.
Chain: Input
• Melindungi router itu sendiri
• Dari jaringan public ( Internet ) dan jaringan lokal
Chain: Input
• Buat rule chain Input, dengan action ACCEPT pada interface bridge untuk laptop kalian
( src. Address = 192.168.XY.200 )
• Buat rule chain Input, dengan action DROP pada interface bridge yang terhubung dengan yang lainnya.
Chain: Input
• Ubah IP Address laptop kalian ke 192.168.XY.199, DNS dan Gateway ke 192.168.XY.1
• Putuskan koneksi dari Router
• Coba koneksi ke Router ( Tidak Bisa )
• Coba koneksi ke Internet ( Tidak Bisa )
Chain: Input
• Laptop anda menggunakan router untuk melakukan resolving nama domain
• Connect ke router menggunakan MAC Winbox
• Tambahkan rule baru, chain Input accept ke interface bridge untuk mengizinkan DNS request ( Port: 53/udp )
• Taruh diatas rule Drop yang sebelumnya kita buat
• Connect ke Internet ( Bisa )
Chain: Input
• Ubah IP Address laptop anda ke dinamik ( DHCP )
• Connect ke Router
• Hapus atau disable rules yang kalian buat tadi
Chain: Forward
• Berisi rules yang mengontrol paket data yang akan melewati router
• Forward mengontrol traffic data antara client dan Internet, serta antara client dan client
Chain: Forward
• Secara default, traffic antara client- client yang terhubung ke router diizinkan
• Traffic antara client dan Internet secara default tidak dibatasi
Chain: Forward
• Tambahkan filter rule Drop Forward untuk port http (80/tcp)
• Saat mendefinisikan Port tujuan, Protocol harus kalian definisikan juga
Chain: Forward
• Coba buka web www.mikrotik.com ( Tidak Bisa )
• Coba buka WebFig di http://192.168.XY.1 ( Bisa )
• WebFig router bisa diakses karena traffic ini menuju router ( Input ), bukan melewati router ( Forward )
Port yang Sering Digunakan
Address List
• Address list mengizikan untuk membuat Action untuk banyak IP sekaligus
• Sangat mungkin untuk menambahkan IP ke address list secara otomatis
• IP bisa ditambahkan secara permanen atau hanya dalam batasan waktu tertentu
• Address list bisa berisi 1 IP Address, IP Range bahkan seluruh subnet
Address List
IP Firewall Address List New Address List (+)
Address List
• Selain mendefinisikan address di General tab, pindah ke tab Advanced dan pilih address list ( Src. Dan Dst. Sesuai dengan rule )
IP Firewall New Firewall Rule Advanced
Address List
• Firewall action bisa digunakan untuk menambahkan address ke address list secara otomatis
• Permanen atau sementara
IP Firewall New Firewall Rule (+) Action
Address List
• Buat address list yang berisi IP yang diziinkan, jangan lupa tambahkan IP laptop kalian
• Tambahkan Input accept filter rule pada interface bridge untuk Port Winbox saat koneksi dari address yang terdapat di dalam address list yang diizinkan
• Tambahkan Input drop filter rule untuk orang lain saat koneksi ke Winbox
Firewall Log
• Setiap rule firewall bisa di log saat rule tersebut cocok
• Bisa ditambahkan keterangan spesifik untuk memudahkan pencarian record nanti
Firewall Log
IP → Firewall → Edit Firewall Rule → Action
Firewall Log
• Aktifkan Logging pada kedua rule firewall yang kita buat di Address List LAB
• Connect ke Winbox dengan IP yang diizinkan
• Disconnect dan ganti IP yang tidak terdaftar di IP yang diizinkan
• Coba connect router dengan winbox
• Ganti IP ke awal dan observasi entri log
NAT
• Network Address Translation ( NAT ) adalah metode yang memodifikasi asal atau tujuan dari suatu paket IP Address
• Ada 2 tipe NAT yaitu Source NAT dan Destination NAT
NAT
• NAT biasanya digunakan untuk menyediakan akses ke jaringan eksternal dari client yang menggunakan private IP (src-nat)
• Mengizinkan akses dari jaringan eksternal ke sumber daya ( contoh: web server ) yang ada di jaringan lokal (dst-nat)
NAT
NAT
NAT
• Chain srcnat dan dstnat digunakan untuk menjalankan firewall NAT menurut fungsinya
• Sama dengan filter, bekerja dengan prisip If-Then
• Dibaca dari atas table
Dst NAT
Dst NAT
Redirect
• Tipe spesial dari dstnat
• Action ini akan mengalihkan (Redirect) paket ke router sendiri
• Salah satu contoh penerapannya adalah membangun transparent proxy ( contoh : HTTP Proxy, DNS )
Redirect
Redirect
• Buat rule dstnat redirect untuk mengirim semua request dengan port tujuan HTTP (80/tcp) ke router dengan port 80
• Coba buka web www.mikrotik.com atau website lain yang menggunakan protokol HTTP
• Jika sudah, hapus atau disable rule itu
Src NAT
Masquerade adalah salah satu tipe spesial dari srcnat
Src NAT
• Srcnat action src-nat memiliki arti menulis ulang asal IP address atau port asal
• Contoh: sebuah perusahaan memiliki network 192.168.1.0/24 untuk jaringan lokal mereka. Perusahaan itu menggunakan ISP untuk Internet mereka dengan IP public yang berbeda network LAN. Agar terhubung, network engineer bisa menggunakan srcnat
NAT Helpers
• Beberapa protokol membutuhkan apa yang disebut NAT Helpers untuk bekerja dengan baik di jaringan NAT’d
Connections
• New – Paket membuka koneksi baru
• Established – Paket telah dimiliki oleh koneksi yang ada
• Related – Paket membuka koneksi baru namun masih memiliki relasi dengan koneksi yang ada
• Invalid – Paket tidak dimiliki oleh semua koneksi yang ada ( mengambang di jaringan )
Connections
Connection Tracking
• Memanage informasi tentang semua koneksi yang aktif
• Telah diaktifkan pada NAT dan filter
• Connection state tidak sama dengan TCP state
Connection Tracking
FastTrack
• Metode untuk “mempercepat” aliran paket yang melewati router
• Koneksi establised atau related bisa di tandai sebagai fasttrack connection
• Bypass firewall, connection tracking, simple queue dan fitur lainnya
• Saat ini hanya support protokol TCP dan UDP
FastTrack
Sumber : http://wiki.mikrotik.com/wiki/Manual:Wiki/Fasttrack
Tentang Penulis
• Nama : Joshua Renaldo
• TTL : Jakarta, 5 Juli 1998
• Umur : 17 Tahun
• MTCNA ( 7 April 2016 )
• Email : [email protected]
