Assalamualaikum Wr. Wb.
Yap mumpung ada kesempatan untuk ngeblog, sekarang saya akan membahas mengenai Security Router Mikrotik (Firewall) Menggunakan Chain Input.
Sebelum masuk ke langkahnya, apa sih kegunaan dari firewall itu? Firewall digunakan untuk melindungi router dari akses yang tidak diinginkan baik dari luar (internet) maupun dari local (client). Firewall dalam mikrotik diimplementasikan dalam fitur Filter dan NAT.
Secara Default Firewall Filter terdapat 3 jenis chain, yaitu forward, input, dan output. Namun pada kali ini kita menggunakan chain input, dimana chain input ini berguna untuk :
- Melakukan filter terhadap paket-paket yang ditujukan bagi interface router
- Berguna untuk membatasi akses terhadap Mikrotik
- Membatasi akses terhadap port yang ada disetiap interface untuk keamanan router tersebut
Ketentuan :
- Blocking semua port kecuali port DNS (53) WinBox (8291)
- Setting IP address Admin agar bisa mengakses semua port
- Cek menggunakan NMAP
Lanjut ke langkah-langkahnya yaa :
Drop Some and Accept All
Teknik ini digunakan untuk membuang (drop) beberapa paket yang tidak dibutuhkan, kemudian menerima (accept) seluruh paket.
1. Langkah pertama yang kita lakukan adalah menambahkan IP DHCP Client. Pada ether2 terhubung langsung dengan internet. Konfigurasi DHCP clientnya terlebih dahulu agar router mendapat koneksi internet. Caranya dengan klik IP > DHCP Client > klik icon plus (+) > DHCP > atur interface dengan interface yang terhubung langsung dengan internet (disini ether2 yang terhubung dengan internet) > Apply > OK.
2. Dan IP nya berhasil ditambahkan.
3. Selanjutnya kita tambahkan IP Address untuk ether1 yang terhubung langsung dengan PC kalian, tambahkan IP sesuai keinginan kita. Jika sudah maka klik Apply > OK.
4. Dan IP nya berhasil ditambahkan. ether2 dengan IP DHCP (yang terhubung dengan internet) dan ether1 dengan statik (yang terhubung dengan PC).
5. Selanjutnya kita konfigurasi IP DNS Server dengan mengetikkan perintah seperti gambar dibawah ini.
Ket :
- 172.16.0.1 merupakan IP DNS yang kita dapat dari interface yang terhubung dengan internet.
- 8.8.8.8 merupakan DNS Google.
- allow-remote-requests=yes digunakan agar IP router dapat dijadikan IP DNS oleh Client.
6. Selanjutnya kita lakukan konfigurasi firewall filternya, ketikkan perintah seperti gambar dibawah ini.
Ket :
- chain=input digunakan untuk memfilter paket-paket yang ditujukan bagi interface router, membatasi akses terhadap mikrotik, dan membatasi akses terhadap port yang ada di setiap interface.
- in-interface merupakan sumber interface.
- protocol merupakan jenis protocol yang digunakan.
- dst-port merupakan tujuan port, contoh disini port 21 (FTP), 22 (SSH), 23 (Telnet), 80 (HTTP), 2000.
- src-address merupakan sumber paket yang berasal dari range ip 172.28.28.28-172.28.28.50. jadi, range ip tersebut tidak dapat mengakses port yang telah ditentukan.
- action=drop merupakan paket yang tidak memenuhi kriteria maka akan di dropped-out dan tidak akan dilanjutkan ke proses selanjutnya.
- action=accept merupakan paket yang memenuhi kriteria, selanjutnya akan di proses.
Verifikasi
PC Admin
1. Pertama kita atur IP dari PC Admin, disini kita menggunakan IP 172.28.28.57/24.
2. Selanjutnya kita scan port munggunakan aplikasi NMAP, untuk kolom target isikan IP router yang terhubung dengan PC, lalu klik scan, dan akan terlihat port yang terbuka.
PC Client
1. Selanjutnya kita atur IP dari PC Admin, disini kita menggunakan IP 172.28.28.47/24. IP tersebut masuk ke dalam IP yang di drop.
2. Selanjutnya kita scan port munggunakan aplikasi NMAP, untuk kolom target isikan IP router yang terhubung dengan PC, lalu klik scan, dan akan terlihat port yang terbuka yaitu port DNS dan Winbox.
Accept Some and Drop All
Teknik ini digunakan untuk menerima (accept) beberapa paket yang dibutuhkan, kemudian membuang (drop) semua paket.
1. Langkah pertama yang kita lakukan adalah menambahkan IP DHCP Client. Pada ether2 terhubung langsung dengan internet. Konfigurasi DHCP clientnya terlebih dahulu agar router mendapat koneksi internet. Caranya dengan klik IP > DHCP Client > klik icon plus (+) > DHCP > atur interface dengan interface yang terhubung langsung dengan internet (disini ether2 yang terhubung dengan internet) > Apply > OK.
2. Dan IP nya berhasil ditambahkan.
3. Selanjutnya kita tambahkan IP Address sesuai keinginan kita untuk digunakan pada ether1 yang terhubung langsung dengan PC, maka ketikkan perintah seperti gambar dibawah ini.
4. Dan terlihat disini IP telah bertambah dengan IP DHCP (yang terhubung dengan internet) dan ether1 dengan statik (yang terhubung dengan PC).
5. Selanjutnya konfigurasi firewall filternya, konfigurasi seperti gambar dibawah ini.
Verifikasi
Untuk verifikasi caranya sama seperti di teknik pertama, dengan menggunakan aplikasi NMAP dan nantinya akan terlihat port yang terbuka dan yang tertutup.
Sekian yang dapat saya sampaikan, kurang lebihnya saya mohon maaf.
Wassalamualaikum Wr. Wb.
rahadd.blogspot.com