Firewall

 

Secara umum firewall ditempatkan diantara jaringan lokal dan jaringan publik, ditujukan untuk melindungi jaringan lokal dengan mebatasi traffik yang menuju router (input), keluar dari router (output) dan melewati router (forward)

Masquerade

Router MikroTik yang akan digunakan sebagai Internet Gateway harus menjalankan NAT (Network Address Translation), yaitu sebuah fungsi yang merubah field Source IP Private dari sebuah packet data menjadi IP Address Publik.

Berdasarkan skenario, untuk menjalankan fungsi NAT bagi keseluruhan host dari jaringan 10.10.10.0/24 untuk semua jenis layanan Internet, maka dapat digunakan perintah sebagai berikut :

[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24 action=masquerade

 

[admin@MikroTik] > ip firewall nat print

Flags: X – disabled, I – invalid, D – dynamic

0    chain=srcnat action=masquerade src-address=10.10.10.0/24

Dapat juga menggunakan perintah masquerade dengan memilih outgoing interface (dalam hal ini adalah ether1 yang akan digunakan untuk menuju Internet), seperti berikut :

[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Bila menggunakan WinBox, maka konfigurasi dapat dilakukan melalui menu IP > Firewall > NAT > Add

Jika diinginkan jaringan 10.10.10.0/24 hanya dapat mengakses layanan HTTP, maka konfigurasi yang harus digunakan adalah sebagai  berikut :

[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24 protocol=tcp dst-port=80 action=masqurade

 

[admin@MikroTik] > ip firewall nat print

Flags: X – disabled, I – invalid, D – dynamic

0    chain=srcnat action=masquerade protocol=tcp src-address=10.10.10.0/24 dst-port=80

HTTP merupakan aplikasi yang menggunakan protocol TCP dengan destination port pada server adalah 80

Untuk layanan mail atau Secure HTTP (https), maka konfigurasi tambahan yang harus dilakukan adalah sebagai berikut :

[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24 protocol=tcp dst-port=443 action=masquerade

 

[admin@MikroTik] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24 protocol=icmp action=masquerade

 

[admin@MikroTik] > ip firewall nat print

Flags: X – disabled, I – invalid, D – dynamic

 0   chain=srcnat action=masquerade protocol=tcp src-address=10.10.10.0/24 dst-port=80

 

 1   chain=srcnat action=masquerade protocol=tcp src-address=10.10.10.0/24 dst-port=443

 

 2   chain=srcnat action=masquerade protocol=icmp src-address=10.10.10.0/24

Bila terdapat bebarapa rule, maka Mikrotik akan mengeksekusi rule-rule tersebut dengan prinsip “top to bottom”. Sehingga urutan dari rule sangat berpengaruh terhadap efektifitas rule yang diinginkan.

MikroTik dapat membatasi akses jaringan (routing maupun NAT) berdasarkan waktu (hari dan jam). Misalnya jika ingin memberikan akses HTTP (web) pada jaringan 10.10.10.0/24  hanya pada jam 08.00 – 14.30 untuk hari senin, selasa, rabu, kamis, jumat, sabtu, maka konfigurasi yang dapat digunakan

[admin@Ijc-router] > ip firewall nat add chain=srcnat src-address=10.10.10.0/24 protocol=tcp dst-port=80 action=masquerade time=08:00:00-14:30:00,mon,tue,wed,thu,fri,sat

 

[admin@Ijc-router] > ip firewall nat print

Flags: X – disabled, I – invalid, D – dynamic

 0   chain=srcnat action=masquerade protocol=tcp src-address=10.10.10.0/24 dst-port=80 time=8h-14h30m,mon,tue,wed,thu,fri,sat

Untuk konfigurasi dengan menggunakan WinBox dapat melalui menu IP > Firewall > NAT > Add > Extra

Filtering

Filter ditujukan untuk menentukan apakah sebuah paket yang ditujukan pada sebuah interface router dapat diizinkan atau tidak. Umumnya ditujukan untuk meningkatkan level keamanan dari Router. Filter tidak digunakan untuk memeriksa paket data yang melewati router. Fungsi firewall untuk memeriksa data yang melewati router dilakukan oleh NAT.

Berikut contoh penerapan filtering pada sisi Interface ether1 yang berhubungan ke Internet. Filtering ini ditujukan untuk menutup port-port yang tidak dibutuhkan, sehingga tingkat keamanan dapat ditingkatkan. Contoh port yang terbuka secara default pada router MikroTik adalah 22 (ssh), 23 (telnet), 20 dan 21 (ftp), 80 (web), 8291 (WinBox).

[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=22 action=drop

 

[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=23 action=drop

 

[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=8291 action=drop

 

[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1 protocol=icmp action=drop

 

[admin@Ijc-router] > ip firewall filter print

Flags: X – disabled, I – invalid, D – dynamic

 0   chain=input action=drop protocol=tcp in-interface=ether1 dst-port=22

 

1     chain=input action=drop protocol=tcp in-interface=ether1 dst-port=23

 

2    chain=input action=drop protocol=tcp in-interface=ether1 dst-port=8291

 

3    chain=input action=drop protocol=icmp in-interface=ether1

Jika ada sebuah paket yang akan diizinkan masuk ke interface ether1 (misalnya mengizinkan host dengan IP Address 222.124.222.171), maka perintah yang diberikan adalah perintah dengan action=accept seperti berikut :

[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=22 src-address=222.124.222.171 action=accept

Bila terdapat bebarapa rule, maka Mikrotik akan mengeksekusi rule-rule tersebut dengan prinsip “top to bottom”. Sehingga urutan dari rule sangat berpengaruh terhadap efektifitas rule yang diinginkan.

Sedangkan untuk sisi Interface ether2 yang dihubungkan dengan jaringan lokal, berikut contoh rule filtering yang dapat digunakan :

[admin@Ijc-router] > ip firewall filter add chain=input protocol=tcp dst-port=80 in-interface=ether2 action=accept

 

[admin@Ijc-router] > ip firewall filter add chain=input protocol=tcp dst-port=22 in-interface=ether2 src-address=10.10.10.2 action=accept

 

[admin@Ijc-router] > ip firewall filter add chain=input protocol=tcp dst-port=23 in-interface=ether2 src-address=10.10.10.2 action=accept

 

[admin@Ijc-router] > ip firewall filter add chain=input protocol=tcp dst-port=8291 in-interface=ether2 src=address=10.10.10.2 action=accept

 

[admin@Ijc-router] > ip firewall filter add chain=input protocol=icmp in-interface=ether2 src=address=10.10.10.1 action=accept

 

[admin@Ijc-router] > ip firewall filter add chain=input protocol=udp dst-port=53 in-interface=ether2 action=accept

 

[admin@Ijc-router] > ip firewall filter add chain=input in-interface=ether2 action=drop

Bila terdapat bebarapa rule, maka Mikrotik akan mengeksekusi rule-rule tersebut dengan prinsip “top to bottom”. Sehingga urutan dari rule sangat berpengaruh terhadap efektifitas rule yang diinginkan.

Address List

Fitur Address List pada Firewall MikroTik dapat digunakan untuk mengelompokkan IP Address tertentu. Kelompok IP Address ini nantinya dapat digunakan oleh filter, NAT maupun mangle dari firewall. Address List dapat dibuat secara manual (static) maupun secara otomatis oleh MikroTik.

Contoh perintah untuk mendapatkan hasil Address List (dynamic) dari host yang pernah mengakses MikroTik dengan menggunakan protokol SSH pada interfecae ether2 :

[admin@ijc-router] > ip firewall filter add chain=input in-interface=ether2 protocol=tcp dst-port=22 action=add-src-to-address-list address-list=”akses ssh” 

[admin@ijc-router] > ip firewall address-list print

Flags: X – disabled, D – dynamic

 #   LIST                                                      ADDRESS                       

 0 D akses ssh                                                10.10.10.2                    

Jika ingin menggunakan IP Address pada Address list untuk tidak memberikan akses SSH, maka dapat digunakan filter dengan perintah sebagai berikut :

[admin@ijc-router] > ip firewall filter add chain=input in-interface=ether2 protocol=tcp dst-port=22 action=drop src-address-list=”akses ssh”

 

[admin@ijc-router] > ip firewall filter print

Flags: X – disabled, I – invalid, D – dynamic

 0   chain=input action=add-src-to-address-list protocol=tcp address-list=akses ssh address-list-timeout=0s in-interface=ether2 dst-port=22

 

 1   chain=input action=drop protocol=tcp src-address-list=akses ssh in-interface=ether2 dst-port=22

Jika ingin membuat Address List secara manual (static), maka dapat digunakan perintah sebagai berikut :

[admin@ijc-router] > ip firewall address-list add address=10.10.10.0/24 list=”akses ssh terlarang”

 

[admin@ijc-router] > ip firewall address-list print

Flags: X – disabled, D – dynamic

 #   LIST                                                        ADDRESS                    

 1   akses ssh terlarang                                       10.10.10.0/24    

Virtual private network

VPN adalah singkatan dari virtual private network, yaitu Sebuah cara aman untuk mengakses local area network yang berada pada jangkauan, dengan menggunakan internet atau jaringan umum lainnya untuk melakukan transmisi data paket secara pribadi, dengan enkripsi Perlu penerapan teknologi tertentu agar walaupun menggunakan medium yang umum, tetapi traffic (lalu lintas) antar remote-site tidak dapat disadap dengan mudah, juga tidak memungkinkan pihak lain untuk menyusupkan traffic yang tidak semestinya ke dalam remote-site.
Menurut IETF, Internet Engineering Task Force, VPN is an emulation of [a]
private Wide Area Network(WAN) using shared or public IP facilities, such as the Internet or
private IP backbones.VPN merupakan suatu bentuk private internet yang melalui public network
(internet), dengan menekankan pada keamanan data dan akses global melalui internet.
Hubungan ini dibangun melalui suatu tunnel (terowongan) virtual antara 2 node.
adalah suatu jaringan privat (biasanya untuk instansi atau kelompok tertentu) di dalam jaringan internet (publik), dimana jaringan privat ini seolah-olah sedang mengakses jaringan lokalnya tapi menggunakan jaringan public
VPN adalah sebuah koneksi Virtual yang bersifat privat mengapa disebut demikian karena pada dasarnya jaringan ini tidak ada secara fisik hanya berupa jaringan virtual dan mengapa disebut privat karena jaringan ini merupakan jaringan yang sifatnya privat yang tidak semua orang bisa mengaksesnya. VPN Menghubungkan PC dengan jaringan publik atau internet namun sifatnya privat, karena bersifat privat maka tidak semua orang bisa terkoneksi ke jaringan ini dan mengaksesnya. Oleh karena itu diperlukan keamanan data
Konsep kerja VPN pada dasarnya VPN Membutuhkan sebuah server yang berfungsi sebagai penghubung antar PC. Jika digambarkan kira-kira seperti ini
internet <—> VPN Server <—-> VPN Client <—-> Client
bila digunakan untuk menghubungkan 2 komputer secara private dengan jaringan internet maka seperti ini: Komputer A <—> VPN Clinet <—> Internet <—> VPN Server <—> VPN Client <—> Komputer B
Jadi semua koneksi diatur oleh VPN Server sehingga dibutuhkan kemampuan VPN Server yang memadai agar koneksinya bisa lancar.
lalu apa sih yang dilakukan VPN ini?? pertama-tama VPN Server harus dikonfigurasi terlebih dahulu kemudian di client harus diinstall program VPN baru setelah itu bisa dikoneksikan. VPN di sisi client nanti akan membuat semacam koneksi virtual jadi nanti akan muncul VPN adater network semacam network adapter (Lan card) tetapi virtual. Tugas dari VPN Client ini adalah melakukan authentifikasi dan enkripsi/dekripsi.
Nah setelah terhubung maka nanti ketika Client mengakses data katakan client ingin membuka situs www.google.com. Request ini sebelum dikirimkan ke VPN server terlebih dahulu dienkripsi oleh VPN Client misal dienkripsi dengan rumus A sehingga request datanya akan berisi kode-kode. Setelah sampai ke server VPN oleh server data ini di dekrip dengan rumus A, karena sebelumnya sudah dikonfigurasi antara server dengan client maka server akan memiliki algorith yang sama untuk membaca sebuah enkripsi. Begitu juga sebaliknya dari server ke Client.
Keamanan Dengan konsep demikian maka jaringan VPN ini menawarkan keamanan dan untraceable, tidak dapat terdeteksi sehingga IP kita tidak diketahui karena yang digunakan adalah IP Public milik VPN server. Dengan ada enkripsi dan dekripsi maka data yang lewat jaringan internet ini tidak dapat diakses oleh orang lain bahkan oleh client lain yang terhubung ke server VPN yang sama sekalipun. Karena kunci untuk membuka enkripsinya hanya diketahui oleh server VPN dan Client yang terhubung. Enkripsi dan dekripsi menyebabkan data tidak dapat dimodifikasi dan dibaca sehingga keamananya terjamin. Untuk menjebol data si pembajak data harus melalukan proses dekripsi tentunya untuk mencari rumus yang tepat dibutuhkan waktu yang sangat lama sehingga biasa menggunakan super computing untuk menjebol dan tentunya tidak semua orang memiliki PC dengan kemampuan super ini dan prosesnya rumit dan memakan waktu lama, agen-agen FBI atau CIA biasanya punya komputer semacam ini untuk membaca data-data rahasia yang dikirim melaui VPN.
Apakah Koneksi menggunakan VPN itu lebih cepat????? Hal ini tergantung dari koneksi antara client dengan VPN server karena proses data dilakukan dari VPN otomatis semua data yang masuk ke komputer kita dari jaringan internet akan masuk terlebih dahulu ke VPN server sehingga bila koneksi client ke VPN server bagus maka koneksi juga akan jadi lebih cepat. Biasanya yang terjadi adalah penurunan kecepatan menjadi sedikit lebih lambat karena harus melewati 2 jalur terlebih dahulu temasuk proses enkripsi. VPN ini bisa digunakan untuk mempercepat koneksi luar (internasional) bagaimana caranya???
misal kita punya koneksi lokal (IIX) sebesar 1mbps dan koneksi luar 384kbps kita bisa menggunakan VPN agar koneksi internasional menjadi sama dengan koneksi lokal 1mbps. Cara dengan menggunakan VPN Lokal yang diroute ke VPN Luar
internet <—->VPN Luar<—>VPN lokal <—>Client
mengapa model jaringan ini bisa lebih cepat sebab akses ke jaringan luar dilakukan oleh VPN luar lalu kemudian diteruskan oleh VPN lokal nah kita mengakses ke jaringan lokal yang berarti kecepatan aksesnya sebesar 1mbps. Tentunya diperlukan VPN dengan bandwith besar agar koneksinya bisa lancar.