Mikrotik : Firewall Blocking Technique - Yord's Note

Latest

Catatan kecil seputar Informatika dan Umum

Friday, September 15, 2017

Mikrotik : Firewall Blocking Technique

Assalamu'alaykum, selamat pagi kali ini materi mikrotik masuk ke Materi Firewall, sebelumnya firewall itu merupakan sebuah sistem keamanan memeriksa sebuah paket yang keluar ataupun yang masuk. dengan adanya firewall kita bisa mengamankan Jaringan lokal kita sendiri, sehingga di Mikrotik ini kita akan jadikan sebagai Router Firewall untuk melindungi jaringan lokal dari serangan luar (Internet).

MikroTik memiliki fitur firewall yang fungsinya untuk mengamankan Router dan jaringan baik itu dari serangan luar maupun dalam. Ada dua teknik pengamanan pada Router MikroTik yang saya ketahui yaitu :
a. Teknik 1 (Drop beberapa terima semuanya)
b. Teknik 2 (Terima beberapa drop semuanya)

Topologi


1. Drop some, Accept all

pada teknik kesatu, yaitu dengan teknik ini kita akan melakukan pemblokiran paket icmp, PC yang mengirim paket ping ke arah router akan ditolak.

misalnya disini saya akan akan mem-blok salah satu PC agar tidak bisa mengirim paket icmp ke router alias router itu bila diping oleh salah satu PC maka akan ditolak, lalu saya juga akan meng-accept sisanya.

a. yang pertama kita Remote dulu routernya, trus jangan lupa kita buat IP Address nya sesuai selera.


b. lalu silahkan buat Rule Firewall pada IP Firewall Filter Rules.

  • masukkan chain > input , berarti rule ini khusus untuk memilih paket yang masuk
  • src. address > 24.24.24.26 , source atau sumber ip, artinya ip tersebut yang masuk.
  • protocol > icmp , artinya protokol tersebut paket untuk ping. jadi, rule ini untuk memilih paket ping yang masuk.


c. masuk ke action, silahkan pilih > drop , jadi bila disimpulkan maka paket ping yang masuk dari ip 24.24.24.26 akan dibuang.


Verifikasi : Test ping dari PC 1, 24.24.24.25


Verfikasi : Test ping dari PC 2, 24.24.24.26 > hasilnya RTO, berarti Rule Firewall yang sudah dibuat sudah bekerja.


Verifikasi : Test ping dari PC Fisik.


d. bedanya kalau drop tadi, router akan membuang paket ping, sehingga tidak ada balasan dari router, dan kita ganti drop menjadi reject misalnya, lalu dengan balasan network unreachable.


e. silahkan coba lagi ping ke arah router, hasilnya akan ada balasan network unreachable.


2. Drop all, Accept some.

pada teknik kedua kita akan menolak semua paket icmp dari semua PC kecuali hanya 1 IP saja yang boleh. sebenarnya ini cuma mondar mandir aja hehehe..

a. rule yang menolak paket icmp dari IP 24.24.24.26 kita ubah dari drop/reject menjadi accept seperti tadi.


b. silahkan ganti action nya menjadi action, artinya hanya ip 24.24.24.26 saja yang boleh mengirim paket icmp ke router.


c. lalu bagaimana untuk menolak semua pc untuk mengirim paket icmp? kita harus membuat rule baru, silahkan klik tanda +, kita buat juga chain nya input.


d. lalu kita coba dengan action drop, artinya semua PC tidak diperkenankan untuk mengirim paket icmp ke router, sehingga paket icmp nya akan dibuang dan hasilnya akan RTO.


e. beginilah hasil 2 rule yang berbeda.


verifikasi : ip 24.24.24.26 yang semula di drop, maka akan bisa mengirim paket icmp dengan rule yang action nya accept.


verifikasi : ip 24.24.24.25 bila mengirim paket icmp ke router maka paketnya akan dibuang oleh router.


verifikasi : ip 24.24.24.24 juga akan dibuang paket icmp nya pada router.


3. Blocking Port TCP

kalau tadi merupakan 2 teknik dasar dalam blocking pada firewall, kali ini saya akan implementasikan untuk blok port TCP yang lalu lalang pada router mikrotik.

percobaan kali ini kita dengan menggunakan Teknik 1, yaitu Drop some, Accept all. jangan lupa untuk menginstall aplikasi untuk melihat port yang terbuka pada suatu jaringan yaitu nmap.

a. pada Target silahkan isi ip router anda misalnya 24.24.24.1, lalu silahkan klik scan. ceritanya disini saya akan menge-drop port 21 yaitu ftp. maka sisanya kita accept.


b. silahkan buat rule nya pada IP Firewall Filter Rules.

  • chain > input, artinya segala paket maupun request yang masuk ke arah router.
  • protocol > 6 (tcp) , segala port yang bisa dilalui atas izin router yaitu port jaringan tcp.
  • dst. port > 21 , kita memilih port 21 atau port ftp, artinya segala paket ataupun request memasuki router dengan tujuan ke arah port 21.
  • in interface > boleh diisi boleh engga. ether2 memiliki ip 24.24.24.1.



c. pilih action, action > drop , jadi bila disimpulkan pada rule ini, segala paket yang masuk atau request yang masuk ke router dengan tujuan ke arah port 21/ftp maka requestnya akan dibuang.


d. beginilah penampakkan rule yang kita buat.

verfikasi : pada client silahkan scan ip dari interface router. maka bila sudah discan, kita lihat bahwa service ftp pada router tidak terbaca pada client. jadi, client tidak akan bisa mengakses ftp.


e. bila kita menggunakan teknik kedua, yaitu Drop all, Accept some sama saja dengan teknik dasar tadi, kita bisa membuat 2 rule yang berbeda, namun disini saya menggunakan 1 rule saja, ternyata 1 rule saja juga bisa ternyata :v

disini saya ceritanya akan saya jadikan di router bahwa port 21, 80, 53 akan ditutup. sehingga client tidak akan bisa mengakses jaringan dengan port yang sudah diblok tersebut. untuk membuktikannya kita cukup menggunakan nmap saja. silahkan scan dahulu untuk memastikannya.


f. buat rule baru, chain > input, protocol > 6 (tcp), Dst Port > 21, 53, 80. artinya disini segala paket yang masuk atau request yang masuk ke router dengan tujuan ke port 21(ftp), 53(dns), 80(http).


g. lalu pilih actionnya drop , kesimpulannya bahwa segala paket atau request yang masuk ke router dengan tujuan ke port 21, 53, 80 maka akan dibuang/ditolak/paketnya dibuang.


verifikasi : silahkan cek dengan nmap, scan ip yang mengarah ke interface router. dan bisa kita lihat hasilnya, bahwa port 23, 22, 2000 dan 8291 tersedia untuk bisa diakses, dan untuk port 21, 53, 80 tidak terbaca pada nmap maka port tersebut tidak bisa diakses.


No comments:

Post a Comment

Popular