Filter Rule Mikrotik Firewall
Firewall adalah suatu system yang
dirancang untuk mencegah akses yang tidak diinginkan baik yang berasal dari
luar (internet) maupun dari client
(local). Firewall menginplementasikan penyaringan paket dengan demikian menyediakan fungsi keamanan
yang digunakan untuk mengelolah aliran data yang melalui Router. Firewall
mengendalikan jalannya data serta memutuskan aksi untuk melewatkan (pass),
menjatuhkan(drop), menolak(reject), mengenkripsi atau melakukan pencatan log
data. Firewall menjamin akan data sesuai denga aturan (rule) yang terdapat
dalam kebijakan keamanannya (security policy). Firewall beroperasi dengan
aturan firewall. Setiap aturan terdiri dari dua bagian yaitu pencocokan aliran
lalu lintas dengan kondisi yang ditentukan dan melakukan tindakan terhadapa
paket yang cocok.
Aturan penyaringan firewall
dikelompokkan bersama dalam rantai (chain). Ini memungkinkan suatu paket untuk
dicocokkan dengan satu kriteria umum dalam satu rantai (chain), dan kemudian
diteruskan untuk diproses terhadap beberapa kriteria umum lainnya ke rantai
(chain) lain.
Secara default ada 3 chain yaitu
input, forward, output.
input - digunakan untuk memproses
paket yang memasuki router melalui salah satu antarmuka dengan alamat IP tujuan
yang merupakan salah satu alamat router. Paket yang melewati router tidak
diproses sesuai aturan rantai input
forward - digunakan untuk
memproses paket yang melewati router
output - digunakan untuk memproses paket yang berasal dari router dan meninggalkannya melalui salah satu antarmuka. Paket yang melewati router tidak diproses sesuai aturan rantai keluaran
Firewall Filter Rule
Prinsip yang digunakan IF...THEN…
IF (jika) paket memenuhi syarat
pada rule yang kita buat
THEN (maka) action yang akan
dilakukan pada paket tersebut
Firewall-IF (syarat)
Src. Address = IP address dari
sumber sebuah paket
Dst.address = IP address tujuan
sebuah paket
Protocol = protocol seperti
(ICMP,HTTP,TCP,UDP,Dll)
Src.port = port sumber sebuah
paket
Dst.port = port tujuan sebuah
paket
Any port = cocok dengan dst port
atau src port bukan hanya satu
In. interface = data yang masuk
melalui interface
Out. Interface = data yang keluar
melalui interface
In. interface list = list
interface masuk
Out. Interface list = list
interface keluar
Packet mark = paket yang ditandai
dengan fitur mangle
Connection mark = paket yang
ditandai fitur mangle dengan koneksi tertentu
Routing mark = paket yang
ditandai fitur mangle dengan rute tertentu
Routing table = Paket yang cocok dengan
alamat tujuan yang diselesaikan dalam tabel routing tertentu
Connection type = koneksi terkait
berdasarkan informasi dari pelacakan koneksi. Koneksi yang relevan harus
diaktifkan di IP->firewall-> service-port
Connection state = Menafsirkan
data analisis pelacakan koneksi untuk paket tertentu (established, invalid,
new, related, untracked)
Connection NAT state = Dapat
mencocokkan koneksi yang srcnatted, dstnatted atau keduanya.
Dan masih banyak lagi teman-teman dapat membaca pada wiki mikrotik
Firewall-THEN (Action)
Tindakan yang harus diambil jika
paket dicocokkan dengan aturan:
accept = terima paket. Paket
tidak diteruskan ke aturan firewall berikutnya.
add-dst-to-address-list =
tambahkan alamat tujuan ke daftar alamat yang ditentukan oleh parameter
daftar-alamat
add-src-to-address-list =
tambahkan alamat sumber ke daftar alamat yang ditentukan oleh parameter
daftar-alamat
drop = diam-diam menjatuhkan
paket
fasttrack-connection = memproses
paket dari koneksi menggunakan FastPath dengan mengaktifkan FastTrack untuk
koneksi
jump = lompat ke rantai yang
ditentukan pengguna yang ditentukan oleh nilai parameter target-jump
log = tambahkan pesan ke log
sistem yang berisi data berikut: in-interface, out-interface, src-mac,
protokol, src-ip: port-> dst-ip: port dan panjang paket. Setelah paket
dicocokkan itu dilewatkan ke aturan berikutnya dalam daftar, mirip dengan
passthrough
passthrough - jika paket cocok
dengan aturan, tingkatkan counter dan lanjutkan ke aturan berikutnya (berguna
untuk statistik)
reject - jatuhkan paket dan kirim
pesan tolak ICMP
return - melewati kontrol kembali
ke rantai dari mana lompatan itu terjadi
tarpit - menangkap dan menahan
koneksi TCP (balasan dengan SYN / ACK ke paket TCP SYN inbound)
Strategi Firewall
Banyak data yang harus difilter
dan dipilah mana yang harus diperbolehkan (accept) dan mana yang harus di buang
(drop). Ada dua metode yang digunakan untuk menderhanankan rule firewall yang
akan kita buat : buang beberapa lainya diterima dan terima beberapa lainya
dibuang.
Pada contoh ini kita akan
merapkan metode terima beberapa lainya buang, dimisalkan router teman-teman
hanya boleh menerima data dari IP address laptop teman-teman. Teman-teman harus
mengetahui berapa IP address laptop teman-teman, pada materi DHCP kita telah
pelajari cara mengecek IP address. IP address laptop saya adalah 192.168.1.254
IP ini nanti yang akan digunakan sebagai IF (syarat) yang harus terpenuhi.
Chain = Input dan Action=accept
Buatkan rule untuk menolak semua data
Akan ada dua rule
Dengan konfigurasi tersebut
router hanya menerima paket dari IP address 192.168.1.254 untuk mengecek apakah
rule firewall yang dibuat tadi berfungsi dengan baik teman-teman dapat
mengganti IP address laptop teman-teman dan lakukan akses Router Mikrotik. Ini
adalah salah satu contoh inmplementasi firewall filter rule pada mikrotik. teman-teman dapat mengamankan router dari pihak yang tidak bertanggung jawab. Silahkan teman-teman melakukan ekplorasi.
0 komentar:
Posting Komentar