TUGAS AIJ 02 – KONFIGURASI FIREWALL MIKROTIK

Khusnul Nisa Antika

Link Video 1
Link Video 2
Link Video 3
Link Video 4
Link Video 5

FIREWALL

Firewall adalah perangkat yang berfungsi untuk memeriksa dan menentukan paket data yang dapat keluar atau masuk dari sebuah jaringan. Peranan firewall sangat penting untuk keamanan jaringan komputer untuk melindungi serangan yang berasal dari jaringan luar (outside network). Firewall mengimplementasikan paket filtering untuk mengelola aliran data ke (Input), dari (Output), dan melalui (Forward) router atau firewall tersebut.

 
CARA KONFIGURASI FIREWALL DI MIKROTIK

1. Apabila sudah terhubung dengan benar bukalah aplikasi Winbox yang telah terinstall lalu connect
2. Pilih opsi IP -> Firewall
3. Pertama kali yang akan dipelajari disini adalah bagian Filter Rules

Khusnul Nisa Antika

     Klik ikon “New” (+)

Khusnul Nisa Antika

Tersedia 3 Chain

Khusnul Nisa Antika

    1) Forward : traffic yang melalui Router MikroTik. Misalnya; dari LAN ke Internet, dari Internet ke LAN, dari DMZ Network ke LAN, atau dari LAN ke DMZ Network

Khusnul Nisa Antika

Khusnul Nisa Antika

Khusnul Nisa Antika

    2) Input : seluruh traffic dari luar yang menuju ke Router MikroTik. Misalnya; dari Internet ke Router MikroTik, dari LAN ke Router MikroTik, atau dari DMZ Network ke Router MikroTik

Khusnul Nisa Antika

Khusnul Nisa Antika

Khusnul Nisa Antika

    3) Output : traffic dari Router MikroTik keluar menuju ke Network lain. Misalnya; dari Router MikroTik ke LAN, dari Router MikroTik ke Internet, atau dari Router MikroTik ke DMZ Network

Khusnul Nisa Antika

Khusnul Nisa Antika

Khusnul Nisa Antika

A. Contoh Konfigurasi Chain Forward

a. Cek terlebih dahulu IP Client
b. Buka CMD, lalu ketikkan ping www.google.com [ENTER]

Khusnul Nisa Antika

c. Pesan yang muncul ialah masih reply karena traffic ini dari LAN (PC Client) menuju google.com melalui MikroTik

Khusnul Nisa Antika

d. Coba untuk memblokir protokol icmp yang merupakan protokol untuk ping.
    a) New Firewall Rule
    b) General; Chain -> Forward, Protocol -> icmp

Khusnul Nisa Antika

    c) Action -> Drop [APPLY]

Khusnul Nisa Antika

e. Coba ping ke www.google.com
f. Pesan yang muncul ialah Request Timed Out
g. Coba ping ke www.detik.com
h. Pesan yang muncul sama, yaitu Request Timed Out

Khusnul Nisa Antika

i. Cobalah cek pada Packet, apabila Packet bernilai 8 maka pesan yang diterima dari internet juga 8
    a) Ubah Action menjadi Reject yaitu action yang diberikan disertai alasan.

Khusnul Nisa Antika

j. Cobalah ping www.google.com
k. Pesan yang akan diterima ialah Destination net unreachable

Khusnul Nisa Antika

l. Lalu cobalah untuk browsing ke www.google.com
m. Disini kita masih bisa membuka website nya karena kita hanya memblokir protokol icmp

Khusnul Nisa Antika

Pada percobaan pertama kita telah berhasil memblokir protokol icmp, maka kita akan mencoba untuk memblokir akses browsing ke www.google.com
a. Buka Firewall
    a) New Firewall Rule
    b) General; Chain -> Forward, Protocol -> 6 (tcp), Dst Port -> 80

Khusnul Nisa Antika

    c) Action -> Reject [OK]

Khusnul Nisa Antika

b. Bukalah browsing lalu coba untuk membuka www.google.com dan ternyata kita masih bisa membuka website tersebut karena google menggunakan port https sedangkan port 80 hanyalah untuk memblokir protokol http

Khusnul Nisa Antika

    Maka ubahlah
    a) General; Chain -> Forward, Protocol -> 6 (tcp), Dst Port -> 80.443

Khusnul Nisa Antika

    b) Action -> Reject [OK]
c. Cobalah untuk browsing kembali dan arusnya pun akan terasa lambat. Nah ternyata kita sudah tidak bisa browsing karena kita sudah memblokir protokol https

Khusnul Nisa Antika

d. Ketika kita disable firewall yang telah kita setting, maka kita bisa browsing kembali


B. Contoh Konfigurasi Chain Input

Berhati hatilah dengan chain input karena apabila kita tidak mendefinisikan secara detail maka router kita bisa ke blokir dan tidak bisa akses ke MikroTik.

a. Buka Firewall
    a) New Firewall Rule
    b) General; Chain -> Input, Protokol -> icmp untuk memblokir ping dari LAN ke Mikrotik

Khusnul Nisa Antika

    c) Action -> Drop [OK]
b. Dari Windows cobalah untuk ping ke IP Mikrotik yang bisa di cek di IP -> Address List
c. Maka pesan yang diterima adalah Request Timed Out

Khusnul Nisa Antika

    a) Ubahlah Action -> Reject [OK]
d. Lalu ping kembali dari Windows ke IP Mikrotik
e. Dan pesan yang diterima ialah Destination net unreachable

Khusnul Nisa Antika

f. Lihat pada Packet, nilai Packet akan sesuai dengan pesan balasan
g. Ketika kita disable firewallnya maka pada saat ping akan di reply



Apabila kita tidak berhati hati dalam menggunakan Chain Input dengan tidak menjelaskan secara detail; Src. Address, Dst. Address, dan Protocol kosong serta Action Reject atau Drop lalu APPLY maka koneksi akan terputus dan tidak bisa connect ke MikroTik.
Untuk mengecek lebih spesifiknya cobalah ping dari Windows ke IP MikroTik, maka akan terjadi Request Timed Out.
Pada saat kita ingin connect kembali, kita tidak bisa hanya menggunakan re-connect melainkan juga menggunakan Console.

Khusnul Nisa Antika

a. Login terlebih dahulu dengan account MikroTik
b. Ketikkan ip firewall filter print [ENTER]

Khusnul Nisa Antika

c. Disana tertulis Chain 2 Input Action Drop, lalu ketikkan ip firewall filter disable 2 [ENTER]
d. Ketikkan kembali ip firewall filter print [ENTER]

Khusnul Nisa Antika

e. Cek pada MikroTik, maka akan muncul pesan ERROR connect
f. Karena tadi pada saat console sudah disable, cobalah connect kembali dan akan berhasil connect kembali

Khusnul Nisa Antika

C. Contoh Konfigurasi Chain Output

a. Buka Firewall
    a) New Firewall Rule
    b) General; Chain -> Output, Protocol -> icmp

Khusnul Nisa Antika

    c) Action -> Drop [OK]
b. Cobalah ping dari Windows ke IP MikroTik maka pesan yang akan diterima adalah Request Timed Out

Khusnul Nisa Antika

Dari langkah – langkah diatas dapat disimpulkan :

A. Chain Input

Khusnul Nisa Antika

Ketika komputer memberikan paket ke MikroTik semisal ping maka MikroTik akan memblokir karena firewall disetting blokir pada icmp.

B. Chain Output

Khusnul Nisa Antika

Ketika komputer memberikan paket ke MikroTik maka Mikrotik akan memberikan paket balasan namun karena chain outputnya diblokir maka paket tersebut diblokir.


4. Fitur kedua yang akan kita pelajari ialah NAT
NAT berasal dari singkatan Network Address Translation yang berfungsi untuk menterjemahkan dari IP Private menjadi IP Public.
Ada dua jenis NAT :
1. SNAT -> Source NAT
2. DNAT -> Destination NAT atau PAT -> Port Address Translation

    1. SNAT

Sebetulnya IP Private tidak dikenali di internet maka jika kita ingin sebuah komputer 1 yang memiliki IP Private bisa berkomunikasi dengan internet maka harus di terjemahkan menjadi IP Public, dan jika sebuah komputer 1 ingin browsing maka paket dalam sebuah komputer 1 yang berisi :
    a. Src. Addr yaitu IP Address komputer 1
    b. Src. Port biasanya random
    c. Dst Addr yaitu IP Address server yang akan dituju
    d. Dst Port yaitu port yang ingin digunakan. Semisal kali ini menginginkan browsing maka port yang digunakan ialah port 80

Khusnul Nisa Antika

Berikut langkah pada saat sebuah komputer 1 menginginkan mengirimkan paket kepada Server Tujuan :
Komputer 1 mengirimkan paket ke Mikrotik, dan Mikrotik akan merubah Src. Addr sesuai IP Public disertai perubahan Src Port yaitu menandakan siapa yang nantinya browsing. Lalu Mikrotik mengirimkan paket ke server tujuan, dan server tujuan mengirimkan balasan dengan format Src Addr dibalik, yaitu Scr Addrnya ialah IP Address server dan Dst Addrnya ialah IP Public Komputer 1.
Mikrotik yang telah memiliki tabel NAT maka Mikrotik akan menerjemahkan kembali, dari IP Public kembali ke IP Private semula.

Sama halnya dengan komputer 1, apabila komputer 2 juga menghendaki browsing maka hal yang akan terjadi :
Komputer 2 ketika akan melakukan browsing juga akan memiliki paket yang terdiri dari Src Addr yaitu IP Private dan Src Port yang Random pula serta memiliki Dst Addr yaitu IP server yang dituju. Sama halnya dengan komputer 1, komputer 2 juga mengirimkan paket ke Mikrotik, dan Mikrotik akan membuat tabel mengenai paket yang akan dikirimkan ke server. Lalu MikroTik akan menerjemahkan IP Private komputer 2 menjadi IP Public dan dikirimkan ke server. Sesampainya paket di server, maka server juga akan mengirimkan paket balasan sesuai format dan MikroTik akan melihat tabel NAT lalu mengubahnya menjadi IP Private dan dikirim ke komputer 2.

Khusnul Nisa Antika

Khusnul Nisa Antika

    2. DNAT

DNAT digunakan ketika misalkan dijaringan komputer memiliki Web Server yang ingin diakses dari luar. Semisal Web Server memiliki IP Private yang tertulis di DMZ Network.

Khusnul Nisa Antika

Di MikroTik kita buat rule dimana ketika ada permintaan dari luar menuju IP Public MikroTik disertai dengan port maka akan diterjemahkan ke IP Private.
Ketika komputer luar dengan IP Public akan mengirimkan paket ke MikroTik, maka MikroTik akan merubah IP Publicnya menjadi IP Private dan diteruskan ke Web Server yang dituju.

Khusnul Nisa Antika

Network Topology Using VirtualBox

Khusnul Nisa Antika

Dalam laptop telah diinstall VirtualBox yang telah diinstall VirtualMachine yaitu MikroTik, Windows, dan Ubuntu Server. Kemudian untuk koneksi ke Internet menggunakan Handphone yang telah di tethering dan akan mendapatkan IP dari Handphone. Selain itu MikroTik akan mendapatkan IP yang satu segmen dengan Handphone dikarenakan interface WAN virtual networknya dibuat briking. Kemudian dalam MikroTik telah disetting DHCP Server yang akan membroadcast VM yaitu Windows. Dan untuk Ubuntu Server diberikan IP Static. Kedua VM yang seolah olah dibelakang MikroTik maka tidak bisa langsung terhubung ke Internet atau Handphone.

Khusnul Nisa Antika

Untuk memudahkan seolah olah laptop dengan VirtualBox adalah network yang terpisah dan dihubungkan dengan Handphone, Handphone yang dianggap sebagai ISP yang akan memberikan IP Address sebagai Client yaitu Laptop dan MikroTik.

Khusnul Nisa Antika

1. Konfigurasi Mikrotik Sebagai NAT Dalam VirtualBox

    1) Buka VM Windows lalu cek IP dan remote menggunakan Aplikasi Winbox
    2) Hapus terlebih dahulu firewall yang ada
    3) Setelah dihapus cobalah untuk ping dari CMD ke Internet, dan ping tidak berhasil karena tidak terhubung ke Internet

Khusnul Nisa Antika

    4) Buka MikroTik, lalu tambahkan Firewall NAT
        a. New NAT Rule
        b. Chain -> scrnat

Khusnul Nisa Antika

        c. Action -> Masquerade [OK]

Khusnul Nisa Antika

    5) Coba lagi ping www.google.com dan akan direply berarti bisa terkoneksi ke internet.
    6) Untuk lebih jelasnya bukalah MSN dan browsing www.google.com
Nah, cukup mudah apabila kita ingin membuat Client terkoneksi internet, cukup dengan Masquerade Scrnat.


Apabila kita memiliki dua jaringan yang berbeda, kita bisa menentukan salah satunya untuk NAT. Dan apabila salah satu jaringan tidak memiliki Src. Address maka otomatis akan di NAT oleh MikroTik.

Apabila kita memiliki 2 jaringan dan ingin membatasi hanya satu jaringan saja yang bisa akses ke internet.

Khusnul Nisa Antika

Caranya :
a) Tambahkan di Src Address yaitu IP Address yang akan diizinkan untuk akses ke Internet.

Khusnul Nisa Antika

Maka salah satu jaringan yang IP Addressnya tidak di NAT tidak bisa akses ke Internet


2. Melakukan DNAT Pada VirtualBox

Contohnya semisal kita memiliki Ubuntu Server yang sudah diinstall apache Web Server. Coba kita mengakses dari LAN, kita cek IP dari browser dan akan masuk ke Web Server.
Apabila kita ingin mengakses Web Server dari jaringan Internet, laptop yang seolah-olah terhubung ke ISP otomatis temasuk jaringan luar bukan jaringan LAN karena dipisahkan oleh Mikrotik dan ISP. Supaya laptop bisa akses ke Web Server maka laptop harus di NAT. Buka browser dari laptop dan akses ke IP Public. Lalu keluarlah web dari Mikrotik, dan sebetulnya ada service Web Server untuk konfigurasi dari web.

Apabila di Windows kita bisa mengakses dari jaringan LAN. Tetapi apabila dari jaringan luar Mikrotik bisa diakses dari jaringan WAN.
Cara mengakses Web Server dari jaringan luar :
1) Buka Firewall lalu NAT
    a. New NAT Rule
    b. General; Chain -> dstnat, Dst. Address -> IP WAN Mikrotik, Protocol -> tcp, Destination -> 80

Khusnul Nisa Antika

    c. Action -> dst-nat, To Addresses -> IP Web Server, To Port -> 80 [OK]

Khusnul Nisa Antika

2) Coba kembali akses ke Web Server dari jaringan luar menggunakan IP Web Server dan berhasil masuk

Khusnul Nisa Antika

Ketika paket sampai ke Mikrotik dan diterjemahkan ke IP Private dan disampaikan ke Web Server.

CATATAN

Action Filter Firewall RouterOS MikroTik

1. Accept : paket diterima dan tidak melanjutkan membaca baris berikutnya

2. Drop : menolak paket secara diam diam

3. Reject : menolak paket dan mengirimkan pesan balasan penolakan ICMP

4. Jump : melompat ke chain lain yang ditentukan oleh nilai parameter jump-target
5. Tarpit : menolak, tetapi tetap menjaga TCP connection yang masuk (membalas dengan SYN/ACK untuk paket TCP SYN yang masuk)
6. Passtrough : mengabaikan rule ini dan menuju rule selanjutnya
7. Log : menambahkan informasi paket data ke Log

Macam Protokol

TCP	PROTOKOL
FTP	20, 21
SSH	22
Telnet	23
SMTP	25
DNS	53
HTTP	80
POP3	110
NTP	123
IMAP4	143
HTTPS	443

UDP	PPROTOKOL
DNS	53
DHCP	67
TFTP	69
SNMP	161

ICMP

Ping

Traceroute