Friday, September 15, 2017

MikroTik Security Profile Firewall Technique

Assalamu'alaikum Warahmatullahi Wabarakatuh

السَّلاَمُ عَلَيْكُمْ وَرَحْمَةُ اللهِ وَبَرَكَاتُهُ

Selamat pagi, pada pagi kali ini saya ingin sharing mengenai beberapa teknik yang akan berguna untuk keamanan Router MikroTik para pengunjung sekalian. 

Sudah tidak asing lagi jika berhubungan dengan keamanan khususnya pada jaringan, yang akan dibahas dan berguna untuk mengamankan adalah Firewall, dan pada kali ini saya akan sharing mengenai teknik yang digunakan firewall untuk mengamankan Router. Jika ada yang belum mengetahui pengertian, fungsi dan manfaat firewall itu apa, silahkan mampir kesini terlebih dahulu.


Jadi firewall teknik ini dibagi menjadi 2, yaitu: 

- Tehnik 1 (drop some and accept all)
Pada teknik 1, Router akan membuang (drop) beberapa paket yang tidak dibutuhkan kemudian menerima (accept) semua paket

- Tehnik 2 (accept some and drop all)
Sedangkan pada teknik 2, Router akan Menerima (accept) beberapa paket yang dibutuhkan kemudian membuang (drop) semua paket

Firewall teknik ini menggunakan chain input yang dimana chain input ini mempunyai kegunaan sebagai berikut:
  • Berperan untuk melakukan filter terhadap paket-paket yang ditujukan bagi interface router
  • Berguna untuk membatasi akses terhadap mikrotik
  • Membatasi akses terhadap port yang ada disetiap interface untuk keamanan router tersebut

Topologi


Misalnya disini saya memiliki topologi seperti gambar diatas. Dan saya ingin mencoba melakukan konfigurasi Security Router dengan menggunakan firewall teknik 1 dan 2 dengan memperhatikan ketentuan sebagai berikut:
  • Blocking semua port kecuali DNS dan Winbox
  • Setting IP Address admin agar bisa mengakses semua port
  • Verifikasi menggunakan nmap
Lalu bagaimana cara melakukan konfigurasi Security Router menggunakan Firewall teknik 1 dan 2 ? Berikut adalah konfigurasi nya.


Teknik 1 (drop some and accept all)

Lakukan konfigurasi IP Address terlebih dahulu sesuai dengan topologi yang telah ditentukan. Setting IP Address untuk ether2 yang mengarah ke client yaitu 192.168.10.1/24, setelah itu setting IP Address untuk ether1 yang mengarah ke internet yaitu 172.16.0.22/16.
[admin@Rizky] > ip address add address=172.16.0.22/16 interface=ether1 
[admin@Rizky] > ip address add address=192.168.10.1/24 interface=ether2 

Kemudian konfigurasi supaya Router dapat terkoneksi ke Internet dengan menambahkan Routing, setelah itu konfigurasi Firewall NAT supaya nantinya client dapat terhubung ke Internet dan konfigurasi DNS supaya client dapat melakukan request DNS nantinya.
[admin@Rizky] > ip dns set servers=172.16.0.1,8.8.8.8 allow-remote-requests=yes 
[admin@Rizky] > ip route add dst-address=0.0.0.0/0 gateway=172.16.0.1
[admin@Rizky] > ip firewall nat add chain=srcnat action=masquerade out-interface=ether1

Selanjutnya lakukan konfigurasi firewall filter. Karena disini kita menggunakan teknik 1 yaitu drop some and accept all, berarti rule yang pertama kita buat adalah rule drop, kemudian barulah dibuat rule accept nya. Sebelumnya kita harus melakukan dropping paket pada port yang tidak boleh diakses oleh client. Disini untuk si client menggunakan IP Address 192.168.10.2/24 dan untuk si admin menggunakan IP Address 192.168.10.10/24

Karena  disini yang akan kita blok hanya 1 IP Address, maka pada src-address nya kita hanya perlu memasukkan IP Address yang ingin kita blok saja, misalnya src-address=192.168.10.2/24. Sedangkan jika kita ingin memblok beberapa IP Address sekaligus, maka kita perlu memasukkan IP Address sesuai dengan range IP Address yang akan kita blok, misalnya src-address=192.168.10.1-192.168.10.9.
[admin@Rizky] > ip firewall filter add chain=input in-interface=ether2 protocol=tcp dst-port=21,22,23,80,2000 src-address=192.168.10.1-192.168.10.9 action=drop
[admin@Rizky] > ip firewall filter add chain=input in-interface=ether2 action=accept

[admin@Rizky] > ip firewall filter print terse 
 0    chain=input action=drop protocol=tcp src-address=192.168.10.1-192.168.10.9 in-interface=ether2 dst-port=21,22,23,80,2000 
 1    chain=input action=accept in-interface=ether2 


Verifikasi Teknik 1

Untuk verifikasi, pertama kita setting IP Address PC Adminnya terlebih dahulu.


Kemudian kita buka aplikasi NMAP. NMAP ini merupakan aplikasi yang digunakan untuk scanning port, jadi dengan menggunakan NMAP ini kita bisa tahu port mana saja yang terbuka. Untuk melakukan scanning port, pada bagian target kita masukkan IP Address interface Router ether2. Kemudian pada bagian profile pilih Intense scan plus UDP supaya nanti port TCP dan UDP dapat di scan. Kemudian untuk malakukan scan klik Scan, setelah itu tunggu sesaat sampai muncul informasi port mana saja yang terbuka. Disini terlihat semua port terbuka, karena tadi untuk PC Admin kita accept semua port yang ada.


Sekarang setting IP Address PC Clientnya.


Sekarang kita coba lakukan scanning port lagi untuk melihat port mana saja yang terbuka, untuk caranya masih sama seperti yang diatas yaitu masukkan targetnya --> profile --> scan. Disini terlihat hanya port DNS dan Winbox saja yang terbuka, kenapa demikian ? Karena sebelumnya kita telah melakukan filter port untuk PC Client yang menggunakan IP Address 192.168.10.2.


Teknik 2 (accept some and drop all)

Untuk teknik yang kedua masih menggunakan topologi yang sama. Pertama setting IP Address sesuai dengan topologi.
[admin@Rizky] > ip address add address=172.16.0.22/16 interface=ether1 
[admin@Rizky] > ip address add address=192.168.10.1/24 interface=ether2 

Kemudian lakukan konfigurasi Routing, DNS dan Firewall NAT supaya nanti Router dan Client dapat terkoneksi ke Internet.
[admin@Rizky] > ip dns set servers=172.16.0.1,8.8.8.8 allow-remote-requests=yes 
[admin@Rizky] > ip route add dst-address=0.0.0.0/0 gateway=172.16.0.1
[admin@Rizky] > ip firewall nat add chain=srcnat action=masquerade out-interface=ether1

Selanjutnya lakukan konfigurasi firewall filternya. Karena disini kita menggunakan tehnik 2 yaitu accept some and drop all, maka rule pertama yang harus ditambahkan adalah rule accept terlebih dahulu, kemudian rule dropnya.
[admin@Rizky] > ip firewall filter add chain=input in-interface=ether2 protocol=tcp dst-port=53,8291 action=accept
[admin@Rizky] > ip firewall filter add chain=input in-interface=ether2 src-address=192.168.10.10 action=accept   
[admin@Rizky] > ip firewall filter add chain=input in-interface=ether2 action=drop 

[admin@Rizky] > ip firewall filter print terse 
 0    chain=input action=accept protocol=tcp in-interface=ether2 dst-port=53,8291 
 1    chain=input action=accept src-address=192.168.10.10 in-interface=ether2 
 2    chain=input action=drop in-interface=ether2 


Verifikasi Teknik 2

Untuk verifikasi nya masih sama seperti yang sebelumnya, yaitu setting IP Address untuk PC Admin atau PC Clientnya terlebih dahulu. Kemudian buka NMAP dan masukkan target, profile dan yang terkahir di scan.

Setting IP Address untuk PC Admin.


Kemudian lakukan scanning port untuk melihat port mana saja yang terbuka jika menggunakan PC Admin.


Setelah itu setting IP Address untuk PC Clientnya.


Kemudian lakukan scanning port untuk melihat port mana saja yang terbuka jika menggunakan PC Client.

Mungkin hanya sekian yang dapat saya share, mohon maaf bila terdapat kesalahan dan kekurangan baik dari segi kata maupun penulisan. Jika ada yang kurang jelas bisa ditanyakan di kolom komentar.
Terima Kasih. Semoga Bermanfaat.

Wassalamu'alaikum Warahmatullahi Wabarakatuh

وَ السَّلاَمُ عَلَيْكُمْ وَرَحْمَةُ اللهِ وَبَرَكَاتُهُ

2 comments: