FIREWALL
- Firewall adalah perangkat yang berfungsi untuk memeriksa dan menentukan paket data yang dapat keluar atau masuk dari sebuah jaringan.
- Peranan firewall sangat penting untuk keamanan jaringan komputer untuk melindungi serangan yang berasal dari jaringan luar (outside network)
- Firewall mengimpletasikan paket filtering untuk mengelola aliran data ke (input), dari (output) dan melalui (forward) router atau firewall tersebut.
CARA KONFIGURASI FIREWALL
- Jika sudah terhubung dengan benar, buka aplikasi winbox pada pc yang terhubung ke mikrotik, lalu klik “connect”.
- Pilih menu “IP” kemudian pilih “Firewall”.
- Hal yang pertama kita pelajari adalah “Filter Rules”
- Di filter rules ini ada 3 chain yaitu forward, input, dan output
- “Chain Forward”
=> trafik yang melalui router baik melalui internet atau dari LAN menuju ke internet atau misalkan kita mempunyai DMZ Network ke LAN atau sebaliknya dari LAN ke DMZ Network. Jadi semua trafik yang melalui mikrotik maka kita menggunakan chain Forward. - “Chain Input”
=> semua trafik dari luar menuju ke mikrotik atau ke router tersebut, misalkan dari internet menuju ke mikrotik atau firewall atau ke router. Atau dari LAN menuju ke mikrotik, atau dari DMZ menuju ke mikrotik. - “Chain Output” => trafik dari mikrotik menuju ke network lain, misalkan dari mikrotik menuju ke LAN atau dari mikrotik menuju ke internet, ataupun dari mikrotik menuju ke DMZ Network. Semua trafik dari mikrotik yang menuju ke internet atau ke LAN atau ke DMZ Network, maka kita menggunakan chain output.
CONTOH KONFIGURASI
FIREWALL
- Buka CMD, lalu kita coba ping ke www.google.com. Dan yang muncul masih reply karena trafik atau paket ini melalui mikrotik, dari LAN menuju ke www.google.com, namun melalui mikrotik.
- Misalkan kita akan memblokir protokol icmp (protokol yang digunakan untuk ping).
- Kemudian kita kasih actionnya “drop”, lalu kita apply.
- Selanjutnya kita buka CMD, lalu ping www.google.com, dan akan muncul “Request Timed Out”.
- Selain action “drop”, disini juga ada action “reject” (menolak paket dengan mengirimkan pesan penolakan icmp).
- Sebagai contoh, kita buka CMD, lalu ping www.google.com atau ping www.detik.com, dan akan muncul “Destination net uncreachable”.
- Kemudian kita mencoba browsing ke www.google.com dan disini kita masih bisa membuka websitenya karna yang kita blok adalah protokol icmp.
2. CONTOH KONFIGURASI MENGGUNAKAN CHAIN INPUT
- Hal pertama yang harus diperhatikan saat menggunakan chain input adalah kita harus hati hati karena kalau kita tidak definisikan secara eksplisit maka nanti bisa ke blok/kita tidak bisa akses ke mikrotiknya.
- Disini kita menggunakan protokol icmp untuk memblok ping dari LAN ke mikrotik, kemudian kita kasih actionnya “drop”, lalu kita OK.
- Selanjutnya kita buka CMD, lalu kita ping ke mikrotiknya (IP mikrotik => 172.16.0.254) dan pasti akan muncul “Request Timed Out”.
- Kemudian kita ganti optionnya “reject” (dengan pesan icmp network unreachable)
- Lalu kita ping lagi ke mikrotiknya (IP mikrotik => 172.16.0.254) dan pasti akan muncul pesan “destination net unreachable”.
MACAM MACAM ACTION DALAM FIREWALL
Pada
konfigurasi firewall mikrotik, terdapat beberapa pilihan action yang dapat
digunakan, diantaranya adalah :
- Accept => paket diterima dan tidak melanjutkan membaca baris berikutnya.
- Drop => menolak paket secara diam diam (tidak mengirimkan pesan penolakan icmp).
- Jump => melompat ke chain lain yang ditentukan oleh nilai parameter jump-target.
- Passthrough => mengabaikan rule ini dan melanjutkan menuju rule selanjutnya.
- Log => menambahkan informasi paket data ke log.
- Reject => menolak paket dan mengirimkan pesan penolakan icmp.
- Tarpit => menolak, tetapi tetap menjaga TCP connection yang masuk (membalas dengan SYN/ACK untuk paket TCP SYN yang masuk.
NAT (NETWORK ADDRESS TRANSLATION)
- NAT => Network Address Translation.
- Fungsi NAT => menerjemahkan IP Private menjadi IP Public.
- Ada dua jenis NAT :
1. SNAT (Source Network Address Translation)
SNAT (Source Network Address Translation) yaitu sebuah NAT yang bertugas untuk merubah source address dari suatu paket data. SNAT hanya berlaku pada postrouting.
2. DNAT (Destiantion Network Address Translation)
DNAT (Destiantion Network Address Translation) adalah sebuah NAT yang berfungsi untuk meneruskan paket dari IP public melalui firewall ke suatu host dalam jaringan. DNAT hanya bekerja pada tabel NATdan di dalam tabel NAT berisi 3 bagian yang disebut dengan CHAIN, ketiga CHAIN tersebut meliputi prerouting, postrouting dan output.
CARA KERJA NAT
NAT mempunyai
fungsi yaitu sebagai penerjemah sebuah alamat IP, sehingga dengan adanya NAT
ini alamat IP private dapat dengan mudah mengakses alamat IP public. Berikut
adalah cara kerja dari NAT:
- Di dalam alamat IP terdapat sebuah bagian yang mana di dalam IP tersebut terdapat informasi-informasi berupa alamat asal, alamat tujuan, dll. Bagian ini disebut dengan header.
- Sebagai contoh adalah sebuah komputer client dengan IP 192.168.1.2 akan mengakses atau melakukan request ke alamat http://www.google.co.id dengan IP 216.239.61.104, maka proses yang akan terjadi adalah sebagai berikut :
- Pada header, informasi yang tersimpan antara lain alamat asal > 192.168.1.2
- Sehingga ketika paket telah sampai pada router (gateway dari client), maka isi dari header akan dirubah menjadi : alamat asal > 192.168.1.1
- Sebelum paket keluar (menuju internet), maka header tersebut akan kembali berubah menjadi, alamat asal > 200.100.50.2, demikian seterusnya.
- Proses di atas merupakan mekanisme dari SNAT (source NAT), dimana IP asal (komputer klien) akan dirubah disesuaikan dengan IP ketika paket telah berpindah. Ketika server google melakukan response / balasan, maka akan terjadi DNAT (destination NAT), dimana IP tujuan akan berubah disesuaikan dengan tujuan paket (komputer klien). Prosesnya adalah sebagai berikut :
- Pada header, ketika paket telah sampai pada Router, informasi IP tujuan >200.100.50.20
- Ketika paket berada pada gateway, IP tujuan >192.168.1.1
- Di sini header akan kembali mengalami perubahan, IP tujuan > 192.168.1.2
- Sehingga Paket dapat dikirim dan bisa sampai pada komputer client.
NETWORK TOPOLOGY USING
VIRTUALBOX
Install virtualbox dimana
virtualbox itu diinstall tiga buah virtual mesin yaitu mikrotik, windows, ubuntu
server. Kemudian untuk koneksi ke internet menggunakan handphone yang telah di
tethering sehingga untuk laptop akan mendapatkan IP dari handphone. Selain itu
mikrotik juga akan mendapatkan IP yang satu segmen dengan laptop karena untuk
interface WAN virtual networknya dibuat briking.sehingga untuk mikrotiknya akan
mendapatkan IP dari handphone. Kemudian di dalam mikrotik ini dibuat DHCP
Server sehingga DHCP Server ini akan membroadcast IP untuk virtual mesin yaitu
windows. Dan untuk ubuntu server diberikan IP Static. Kedua virtual mesin ini
seolah olah karena dibelakang mikrotik maka dia tidak bisa terkoneksi langsung
ke internet/tidak bisa langsung terhubung ke handphone.
No comments:
Post a Comment