Teknik Basic Security Router Mikrotik (Firewall) Menggunakan Chain Input

10:35:00 AM 0 Comments

Assalamualaikum wr wb

Pada kesempatan kali ini saya akan membahas tentang Teknik Basic Security Router Mikrotik (Firewall) Menggunakan Chain Input. Pada bahasan ini saya menggunakan 2 teknik, teknik yang pertama adalah drop some and accept all dan yang kedua adalah accept some and drop all.
  • drop some and accept all
Teknik ini adalah cara untuk membuang (drop) beberapa paket yang tidak dibutuhkan kemudian menerima (accept) beberapa paket yang di butuhkan.
  • accept some and drop all
Teknik ini yaitu cara untuk menerima ( accept ) beberapa paket yang dibutuhkan kemudian membuang ( drop ) beberapa paket yang tidak dibutuhkan.

Dalam melakukan teknik security ini saya menggunakan chain input. Berikut ini adalah penjelasan tentang Chain Input :

- Digunakan untuk memproses paket memasuki router melalui salah satu interface dengan alamat IP tujuan yang merupakan salah satu alamat router. Chain input berguna untuk membatasi akses konfigurasi terhadap Router Mikrotik(sumber:mikrotikindo).

Topologi :


Tujuan :

- Memblock semua port kecuali port DNS dan Winbox (teknik 1)
- Memblock protokol icmp (teknik 2)
- Tambahkan Admin yang dapat mengakses semua port 
- Cek Menggunakan Nmap

Teknik 1 ( drop some and accept all )

1. lakukan konfigurasi ip address sesuai dengan topologi diatas,

2.) Untuk menerapkan teknik1 yaitu drop some and accept all , lakukan konfigurasi berikut ini


penjelasan :

  • Chain=input, karena request berasal dari client ke router maka input adalah chain yang harus digunakan
  • Protokol=tcp, maksudnya protokol yang digunakan adalah protokol tcp
  • src-address=5.5.5.10, untuk membuat pengecualian untuk alamat administrator yang bersumber dari ip 5.5.5.10
  • Action=accept untuj menerima paket request yang muncul 
  • dst-port=21,22,23,80,2000 untuk port yang ditujukan adalah 21,22,23,80,2000
  • Action=drop untuk membuang paket yang dituju 
  • In-interface=ether1, Artinya permintaan client yang masuk adalah dari interface ether1.

3) Setelah dikonfigurasi teknik 1, maka tampilan di winboxnya akan seperti ini



Verifikasi pc Admin 

1) lakukan verifikasi dengan menggunakan aplikasi bernama zenmaps, aplikasi ini digunakan untuk melakukan scanning port mana saja yang masih bisa terpindai oleh ip terntetu dengan berbagai ketentuan yang telah dibuat sebelumnya, pertama saya akan menggunakan ip milik admin


2) Kemudian masukan targetnya adalah ip si router yaitu 5.5.5.1. Untuk profile pilih instance plus UDP. Kemudian mulai scan
disana terlihat semua port masih bisa dilalui oleh pc admin ini. 

Verifikasi pc client  

1) Sama seperti langkah pertama pada verifikasi pc admin, yaitu mwngatur ip address menjadi ip address milik pc client yaitu 5.5.5.20


2) Kemudian masukan targetnya adalah ip si router yaitu 5.5.5.1. Untuk profile pilih instance plus UDP. Kemudian mulai scan
disana terlihat port yang bisa dilalui oleh pc client adalah port 53 dan port 8291 saja. Ini dikarenakan port yang lain sudah diblok.



Teknik 2 ( accept some and drop all )

1) Untuk menerapkan teknik 2 ini yaitu accept some and drop all, masukan konfigurasi berikut ini pada terminal.

penjelasan :
  • Chain=input, karena request berasal dari client ke router maka input adalah chain yang harus digunakan
  • Protokol=icmp, maksudnya protokol yang digunakan adalah protokol icmp
  • src-address=5.5.5.10, untuk membuat pengecualian untuk alamat administrator yang bersumber dari ip 5.5.5.10
  • Action=accept untuk menerima paket request yang muncul 
  • dst-port=21,22,23,80,2000 untuk port yang ditujukan adalah 21,22,23,80,2000
  • Action=drop untuk membuang paket yang dituju 
  • In-interface=ether1, Artinya permintaan client yang masuk adalah dari interface ether1.
2) Jika sudah dikonfigurasi teknik 2, maka di winbox tampilannya seperti ini


Verifikasi pc client 

1) Untuk verifikasiya kali ini kita menggunakan cmd/terminal karena yang di blok adalah protokol icmp maka untuk verifikasinya kita coba test PING saja. pertama atur ip address menjadi ip milik client, yaitu 5.5.5.20


2) Jika sudah di atur ipnya, maka cobalah untuk test PING ke ip router yaitu 5.5.5.1 maka dipastikan pc client ini tidak akan bisa ping ke ip tersebut dikarenakan yang bisa mengeping ip router hanyalah ip 5.5.5.10, selain dari ip ini tidak akan bisa mengeping ip router.


Verifikasi pc Admin 

1) Sama seperti pada verifikasi pc client, pertama atur ip address menjadi ip address milik pc Admin yaitu 5.5.5.10

'
2) Lakukan test PING lagi ke ip router, pastikan pc Admin ini bberhasil mengeping ke ip router. Karena yang dibolehkan hanyalah ip admin saja, yaitu 5.5.5.10



Alhamdulillah selesai
Semoga Bermanfaat
Wassalamualaikum

Pandutama

Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.

0 comments:

Subscribe to: Post Comments (Atom)