Assalamualaikum Warohmatullahi Wabarokatuh
Pada kesempatan kali ini saya ingin menjelaskan mengenai beberapa tehnik yang dapat digunakan untuk menjaga keamanan router Mikrotik.
Konsep Dasar
Tehnik Security Router Mikrotik dapat dibagi menjadi 2 tehnik, yaitu:- Tehnik 1 (drop some and accept all)
- Tehnik 2 (accept some and drop all)
Dalam melakukan tehnik security ini kita akan menggunakan chain input yang dimana chain input pada router Mikrotik mempunyai kegunaan sebagai berikut:
- Berperan untuk melakukan filter terhadap paket-paket yang ditujukan bagi interface router.
- Berguna untuk membatasi akses terhadap router.
- Membatasi akses terhadap port yang ada disetiap interface router untuk keamanan router tersebut.
Topologi dan Ketentuan
- Block semua port kecuali port DNS dan Winbox
- Tambahkan admin yang dapat mengakses semua port
- Cek menggunakan NMAP (aplikasi scanning port)
Tehnik 1 (drop some and accept all)
Lakukan konfigurasi IP Address sesuai pada topologi. Disini kita konfigurasi ip address 192.168.20.1/24 untuk interface ether2 (yang mengarah ke client) dan ip address 172.18.0.20/24 untuk interface ether1 (yang mengarah ke internet).
[admin@Gilang] > ip address add address=192.168.20.1/24 interface=ether2 [admin@Gilang] > ip address add address=172.18.0.20/24 interface=ether1
Agar router dapat mengakses internet maka lakukan routing menuju internet menggunakan static default route dan tambahkan juga konfigurasi DNS Server. Koneksikan juga client ke internet dengan melakukan konfigurasi firewall nat pada router.
[admin@Gilang] > ip dns set servers=172.18.0.1,8.8.8.8 allow-remote-requests=yes [admin@Gilang] > ip route add dst-address=0.0.0.0/0 gateway=172.18.0.1 [admin@Gilang] > ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
Kemudian lakukan konfigurasi firewall filter. Karena disini kita menggunakan tehnik 1 yaitu drop some and accept all, berarti rule yang pertama kita buat adalah rule drop kemudian selanjutnya baru rule accept nya. Terlebih dahulu kita harus melakukan dropping paket pada port yang tidak boleh akses client. Disini client saya menggunakan ip address 192.168.20.10/24 dan untuk adminnya (yang dapat mengakses semua port) menggunakan ip address 192.168.20.20/24.
"Karena pada kali ini kita memblok satu ip address saja, jadi kita bisa tuliskan src-addressnya menggunakan ip address yang akan kita blok, misalnya 10.10.10.3. Tetapi bagaimana jika kita ingin memblok banyak ip address? Jika kita ingin memblok banyak ip address kita bisa mengisikan src-address menggunakan range ip address yang akan kita blok, misalnya 10.10.10.3-10.10.10.10"
[admin@Gilang] > ip firewall filter add chain=input in-interface=ether2 protocol=tcp dst-port=21,23,80,22,2000 src-address=192.168.20.10 action=drop [admin@Gilang] > ip firewall filter add chain=input in-interface=ether2 action=accept [admin@Gilang] > ip firewall filter print terse 0 chain=input action=drop protocol=tcp src-address=192.168.20.10 in-interface=ether2 dst-port=21,23,80,22,2000 log=no log-prefix="" 1 chain=input action=accept in-interface=ether2 log=no log-prefix=""
Verifikasi
Untuk verifikasinya disini kita coba setting IP Address untuk PC Admin terlebih dahulu.
Buka aplikasi NMAP, aplikasi NMAP ini yang nantinya akan melakukan scanning port, jadi kita bisa tahu port mana saja yang dapat diakses oleh kita. Untuk melakukan scanningnya kita isikan target dengan ip address interface router. Kemudian untuk profilenya kita bisa pilih intense scan plus UDP agar port TCP dan UDP dapat ter scan. Selanjutnya klik scan untuk memulai melakukan scanning dan tunggu beberapa saat hingga proses scanning selesai. Maka disana akan terlihat port yang dapat diakses oleh kita.
Sekarang kita coba lakukan setting IP Address pada PC Client.
Lakukan cara yang sama seperti PC Admin saat melakukan scanning yaitu menggunakan aplikasi NMAP. Isikan target >> pilih profile >> lakukan scanning. Maka disana akan terlihat port yang terbuka. Mengapa hanya port DNS dan port Winbox saja yang terbuka? karena sebelumnya kita telah melakukan filter pada ip address 192.168.20.10
Tehnik 2 (accept some and drop all)
Disini kita masih menggunakan topologi diatas. Hal yang pertama dilakukan tentunya konfigurasi IP Address yang sesuai pada topologi.
[admin@Gilang] > ip address add address=192.168.20.1/24 interface=ether2 [admin@Gilang] > ip address add address=172.18.0.20/24 interface=ether1
Kemudian agar router dan client dapat mengakses internet lakukan konfigurasi DNS Server, static default route. dan firewall nat.
[admin@Gilang] > ip dns set servers=172.18.0.1,8.8.8.8 allow-remote-requests=yes [admin@Gilang] > ip route add dst-address=0.0.0.0/0 gateway=172.18.0.1 [admin@Gilang] > ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
Selanjutnya lakukan konfigurasi firewall filter. Karena disini kita menggunakan tehnik 2 yaitu accept some and drop all, berarti rule pertama yang harus ditambahkan adalah rule accept terlebih dahulu kemudian rule dropnya.
[admin@Gilang] > ip firewall filter add chain=input in-interface=ether2 protocol=tcp dst-port=53,8291 action=accept [admin@Gilang] > ip firewall filter add chain=input in-interface=ether2 src-address=192.168.20.20 action=accept [admin@Gilang] > ip firewall filter add chain=input in-interface=ether2 action=drop [admin@Gilang] > ip firewall filter print terse 0 chain=input action=accept protocol=tcp in-interface=ether2 dst-port=53,8291 1 chain=input action=accept src-address=192.168.20.20 in-interface=ether2 2 chain=input action=drop in-interface=ether2
Verifikasi
Untuk verifikasinya sama saja seperti verifikasi pada tehnik 1. Anda hanya perlu melakukan konfigurasi IP Address pada masing-masing PC kemudian lakukan scanning port menggunakan aplikasi NMAP, maka disana akan terlihat port yang terbuka.
Sekian dari saya mengenai Tehnik Basic Security pada Router Mikrotik selebihnya saya mohon maaf jika terdapat kesalahan penulisan pada postingan kali ini. Jika anda kurang paham dengan postingan ini, kalian dapat bertanya melalui kolom komentar. Terima kasih.
Tidak ada komentar
Posting Komentar