7.

Teknik konfigurasi firewall

1) Screened Host FIrewall system (single-homed bastion)
Pada konfigurasi ini, fungsi firewall akan dilakukan oleh packet filtering router
dan bastion host .Router ini dikonfigurasikan sedemikian sehingga untuk semua
arus data dari Internet, hanya paket IP yang menuju bastion host yang di ijinkan.
Sedangkan untuk arus data (traffic) dari jaringan internal, hanya paket IP dari
bastion host yang di ijinkan untuk keluar.
Konfigurasi ini mendukung fleksibilitas dalam Akses internet secara langsung,
sebagai contoh apabila terdapat web server pada jaringan ini maka dapat di
konfigurasikan agar web server dapat diakses langsung dari internet. Bastion
Host melakukan fungsi Authentikasi dan fungsi sebagai proxy. Konfigurasi ini
memberikan tingkat keamanan yang lebih baik daripada packet-filtering router
atau application-level gateway secara terpisah.
2) Screened Host Firewall system (Dual-homed bastion)
Pada konfigurasi ini, secara fisik akan terdapat patahan/celah dalam jaringan.
Kelebihannya adalah dengan adanya du ajalur yang meisahkan secara fisik maka
akan lebih meningkatkan keamanan dibanding konfigurasi pertama, adapun
untuk server-server yang memerlukan direct akses (akses langsung) maka dapat
di letakkan ditempat/segmenrt yang langsung berhubungan dengan internet Hal
ini dapat dilakukan dengan cara menggunakan 2 buah NIC (Network Interface
Card) pada bastion Host.
3) Screened subnet firewall
Ini merupakan konfigurasi yang paling tinggi tingkat keamanannya. kenapa?
karena pada konfigurasi ini di gunakan 2 buah packet filtering router, 1 diantara
internet dan bastion host, sedangkan 1 lagi diantara bastian host dan jaringan
local konfigurasi ini membentuk subnet yang terisolasi.
adapun kelebihannya adalah :
– terdapat 3 lapisan/tingkat pertahanan terhadap penyusup/intruder .
– router luar hanya melayani hubungan antara internet dan bastion
host sehingga jaringan lokal menjadi tak terlihat (invisible)
– Jaringan lokal tidak dapat mengkonstuksi routing langsung ke internet,
atau dengan kata lain , Internet menjadi Invinsible (bukan berarti tidak
bisa melakukan koneksi internet).
8. Fitur Mikrotik Firewall
Didalam router mikrotik juga terdapat fitur firewall yang berfungsi untuk
melindungi dengan cara mendrop atau mengaccept sebuah paket yang akan masuk,
melewati, atau keluar router.

Dalam fitur firewall terdapat beberapa direktori yaitu :

1) Filter
2) Nat (source-nat and destination-nat)
3) Mangle
4) Address List
5) Layer 7 Protocol (baru di versi 3)
6) Service Ports
7) Connections (For monitoring only)
 a. Traffic Flow
Traffic-Flow merupakan sebuah sistem yang menampilkan informasi statistik
akan besar atau banyaknya paket-paket yang melewati sebuah router. Maka dengan
fitur ini kita bisa melakukan monitoring terhadap sebuah jaringan dan
memungkinkan bagi kita untuk mengidentifikasi berbagai macam masalah yang
terjadi di dalamnya. Selain itu, dengan memanfaatkan fitur ini kita dapat melakukan
analisa dan meningkatkan performa dari router.
Setiap paket data memiliki asal (source) dan tujuan (destination). Traffic
flow bisa dibedakan menjadi 3 kategori, dilihat dari sudut pandang router.
Dari Luar router menuju ke luar router lagi.
Contoh : traffic client browsing ke internet
Dari luar router menuju ke dalam router itu sendiri (Local process).
Contoh : traffic winbox ke router
Dari dalam router (local process) menuju ke luar router.
Contoh : traffic ping dari new terminal winbox
b. Simple Packet Flow

Gambar 8.1 Paket Flow Firewall pada ROS MikroTIK v6.

Di dalam packet flow terdapat 5 pos pemeriksaan didalamnya yaitu :

1) Input
Input = pos pemeriksaan paket data yang terletak di depan Local Proses, semua
data yang menuju ke dalam router itu sendiri (Local Proses) akan melewati pos
ini.
2) Output
Output = pos pemeriksaan paket data yang terletak di belakang Local Proses,
semua paket data yang keluar dari dalam router (local proses) sebelum menuju
ke output interface akan di proses dalam chain output.
3) Forward
Forward = pos pemeriksaan paket data yang terletak di antara PreRouting dan
PostRouting ,semua paket data dari luar router menuju ke luar router akan
diproses di chain Forward.
4) Prerouting
Prerouting = pos pemeriksaan paket data yang terletak dibelakang input
interface,semua data yang masuk dari input interface akan melalui dan diproses
pada chain Prerouting sebelum ke proses selanjutnya.
5) Postrouting
Postrouting = pos pemeriksaan yang terletak di depan output interface,semua
data yang keluar menuju output interface akan terlebih dahulu di proses pada
Chain PostRouting.

c. Connection Tracking and State

Connection
Tracking
Connection Tracking adalah “jantung” dari firewall,
mengumpulkan informasi tentang active connections. Dengan mendisable
connection tracking router akan kehilangan fungsi NAT, filter rule dan
mangle. Setiap connection tracking membaca pertukaran traffic 2 arah (src
dan dst address).
Connection tracking membutuhkan CPU resources (disable saja jika
kita tidak menggunakan firewall).

Gambar 8.2 Connection Tracking Pada Firewall MikroTIK

Connection tracking mempunyai kemampuan untuk melihat
informasi
koneksi yang melewati router, seperti source dan destination IP dan Port
yang sedang di gunakan, status koneksi,tipe protocol dan lain-lain.
Setiap paket data itu memiliki status koneksi ( connection started ) yang
dapat dilihat pada connection tracking, ini gan, status koneksi nya :
Invalid : paket tidak dimiliki oleh koneksi apapun, tidak berguna.
New : paket yang merupakan pembuka sebuah koneksi/paket pertama dari
sebuah koneksi.
Established : merupakan paket kelanjutan dari paket dengan status new.
Related : paket pembuka sebuah koneksi baru, tetapi masih berhubungan denga
koneksi sebelumnya.
Berikut gambaran Status koneksi/Connection State.
 Gambar 8.3 Gambaran Status Connection State Pada Firewall
MikroTIK
Implikasi Connection State
Pada rule Firewall filter, pada baris paling atas biasanya kita membuat rule :
1. Connection state=invalid >> drop
2. Connection state=related >> accept
3. Connection state=established >> accept
4. Connection state=new >> diproses ke rule berikutnya
Sistem rule seperti ini akan sangat menghemat resources router, karena
proses filtering hanya dilakukan pada saat connection dimulai (connection-
state=new).
d. Mangle
Mangle adalah cara untuk menandai paket-paket data tertentu, dan kita akan
menggunakan tanda tersebut pada fitur lainnya, misalnya pada filter, routing, NAT,
ataupun queue. Pada mangle kita juga bisa melakukan pengubahan beberapa
parameter pada IP Header, misalnya TOS (DSCP) dan TTL fields. Tanda mangle
ini hanya bisa digunakan pada router yang sama, dan tidak terbaca pada router
lainnya. Pembacaan rule mangle akan dilakukan dari atas ke bawah secara
berurutan.

Gambar 8.4 Gambar Chain pada Mangle.

e. Type Of Mark
Ada tiga tipe mark, diantaranya ialah :
1. Packet
Mark
Penandaan untuk setiap paket data
2. Connection
Mark
Penandaan untuk koneksi
3. Route
Mark
Penandaan paket khusus untuk routing
Pada saat yang bersamaan, setiap paket data hanya bisa memiliki 1 conn-mark,
1 packet-mark, dan 1 route-mark.
f. Connection Mark
Adalah fitur mangle untuk menandai suatu koneksi (berlaku baik untuk
request, maupun untuk response) sebagai satu kesatuan. Untuk jaringan dengan
src-nat atau kalau kita mau melakukan marking berdasarkan protokol tcp,
disarankan untuk melakukan mark-connection terlebih dahulu, baru membuat
mark-packet atau mark-routing berdasarkan conn-mark nya. Mark-connection
cukup dibuat pada saat proses request saja.
g. Passthrough

Passthrough=no
- berarti jika parameter sesuai, maka baris mangle berikutnya tidak
lagi dibaca
- value mangle sudah final, tidak diubah lagi

Passthrough=yes
- akan tetap membaca baris mangle berikutnya
- value mangle bisa diubah lagi di baris berikutnya
Biasanya pada :
- mark-connection, passthrough = yes
- mark-packet, passthrough=no
h. Mangle dengan SRC NAT
Karena urutan proses NAT dan mangle diperhatikan pada bagan Packet Flow,
maka kita harus menggunakan conn-mark terlebih dahulu jika kita ingin
membuat mangle untuk menandai proses uplink dan downlink IP
tertentu di chain Prerouting. Jika dipasang mangle di chain Forward maka
bisa langsung digunakan packet mark.
i. Chain pada Firewall Mikrotik
Firewall beroperasi dengan menggunakan aturan firewall. Setiap aturan terdiri
dari dua bagian - matcher yang sesuai arus lalu lintas terhadap kondisi yang
diberikan dan tindakan yang mendefinisikan apa yang harus dilakukan dengan
paket yang cocok. Aturan firewall filtering dikelompokkan bersama dalam
chain. Hal ini memungkinkan paket yang akan dicocokkan terhadap satu
kriteria umum dalam satu chain, dan kemudian melewati untuk pengolahan
terhadap beberapa kriteria umum lainnya untuk chain yang lain.
Misalnya paket harus cocok dengan alamat IP:port. Tentu saja, itu bisa dicapai
dengan menambahkan beberapa rules dengan alamat IP:port yang sesuai
menggunakan chain forward, tetapi cara yang lebih baik bisa menambahkan
satu rule yang cocok dengan lalu lintas dari alamat IP tertentu, misalnya: filter
firewall
/ ip add src-address = 1.1.1.2/32 jump-target =
"mychain".
 Gambar 8.5 Gambar Chain Firewall

Ada tiga chain yang telah ditetapkan pada RouterOS Mikrotik :

a. Input - digunakan untuk memproses paket memasuki router melalui salah
satu interface dengan alamat IP tujuan yang merupakan salah satu alamat
router. Chain input berguna untuk membatasi akses konfigurasi terhadap
Router Mikrotik.
b. Forward - digunakan untuk proses paket data yang melewati router.
c. Output - digunakan untuk proses paket data yang berasal dari router dan
meninggalkan melalui salah satu interface.
j. Firewall Filters – Blocking Rules
Adalah cara untuk memfilter paket, dilakukan untuk meningkatkan
keamanan jaringan, dan mengatur flow data dari, ke client, ataupun router
Pembacaan rule filter dilakukan dari atas ke bawah secara berurutan.
Jika melewati rule yang kriterianya sesuai akan dilakukan action yang
ditentukan, jika tidak sesuai, akan dianalisa ke baris selanjutnya.
k. Action Filter Firewall RouterOS MikroTIK
Pada konfigurasi firewall mikrotik ada beberapa pilihan Action, diantaranya :
Accept : paket diterima dan tidak melanjutkan membaca baris berikutnya
Drop : menolak paket secara diam-diam (tidak mengirimkan pesan penolakan
ICMP)
Reject : menolak paket dan mengirimkan pesan penolakan ICMP
Jump : melompat ke chain lain yang ditentukan oleh nilai parameter jump-target
Tarpit : menolak, tetapi tetap menjaga TCP connection yang masuk
(membalas dengan SYN/ACK untuk paket TCP SYN yang masuk)
Passthrough : mengabaikan rule ini dan menuju ke rule selanjutnya
log : menambahkan informasi paket data ke log

Gambar 8.5 Gambar Action List yang dapat digunakan pada firewal
l. Filter Rules
Filter rule biasanya digunakan untuk melakukan kebijakan boleh atau
tidaknya sebuah trafik ada dalam jaringan, identik dengan accept atau
drop. Pada menu Firewall → Filter Rules terdapat 3 macam chain yang
tersedia. Chain tersebut antara lain adalah Forward, Input, Output. Adapun
fungsi dari masing- masing chain tersebut adalah sebagai berikut:
Forward :
Digunakan untuk memproses trafik paket data yang hanya melewati router.
Misalnya trafik dari jaringan public ke local atau sebaliknya dari jaringan
local ke public, contoh kasus seperti pada saat kita melakukan browsing.
Trafik laptop browsing ke internet dapat dimanage oleh firewall dengan
menggunakan chain forward.
Input :
Digunakan untuk memproses trafik paket data yang masuk ke dalam router
melalui interface yang ada di router dan memiliki tujuan IP Address berupa
ip yang terdapat pada router. Jenis trafik ini bisa berasal dari jaringan public
maupun dari jaringan lokal dengan tujuan router itu sendiri. Contoh:
Mengakses router menggunakan winbox, webfig, telnet baik dari Public
maupun Local.

Output :
Digunakan untuk memproses trafik paket data yang keluar dari router.
Dengan kata lain merupakan kebalikan dari 'Input'. Jadi trafik yang berasal
dari dalam router itu sendiri dengan tujuan jaringan Public maupun jaringan
Local.Misal dari new terminal winbox, kita ping ke ip google. Maka trafik
ini bisa ditangkap dichain output.
m. Basis Address List
Address-list digunakan untuk memfilter group IP address dengan 1 rule
firewall. Address-list juga bisa merupakan list IP hasil dari rule firewall yang
memiliki action “add to address list”. Satu line address-list dapat berupa subnet,
range, atau 1 host IP address.
Kita dapat melakukan pengelompokan IP Address dengan Address List.
Address List (seperti halnya mangle) bisa dijadikan parameter dalam
pembuatan filter, queue, mangle, NAT, dll. Dengan Filter dan Mangle,
kita bisa secara otomatis memasukkan IP Address tertentu ke dalam address
list dan juga menentukan jangka waktu expire nya.

n. NAT (Network Address Translation)

NAT (Network Address Translation) atau Penafsiran alamat jaringan adalah
suatu metode untuk menghubungkan lebih dari
satu komputer ke jaringan internet dengan menggunakan satu alamat
IP. Banyaknya penggunaan metode ini disebabkan karena ketersediaan alamat
IP yang terbatas, kebutuhan akan keamanan (security), dan kemudahan serta
fleksibilitas dalam administrasi jaringan.
NAT merupakan salah satu protocol dalam suatu sistem jaringan, NAT
memungkinkan suatu jaringan dengan ip atau internet protocol yang bersifat
privat atau privat ip yang sifatnya belum teregistrasi di jaringan
internet untuk mengakses jalur internet, hal ini berarti suatu alamat ip dapat
mengakses internet dengan menggunakan ip privat atau bukan menggunakan ip
public, NAT biasanya dibenamkan dalam sebuah router, NAT juga sering
digunakan untuk menggabungkan atau menghubungkan dua jaringan yang
berbeda, dan mentranslate atau menterjemahkan ip privat atau bukan ip public
dalam jaringan internal ke dalam jaringan yang legal network sehingga
memiliki hak untuk melakukan akses data dalam sebuah jaringan.
NAT digunakan untuk melakukan pengubahan baik src-address ataupun dst-
address. Setelah paket data pertama dari sebuah koneksi terkena NAT, maka
paket berikutnya pada koneksi tersebut juga akan terkena NAT. NAT akan
diproses terurut mulai baris paling atas hingga ke bawah.

Gambar 8.6 Firewall NAT pada

MikroTIK Di MikroTik ada dua type NAT :
1) Srcnat (Source NAT) : pengalihan dijalankan untuk paket data yang berasal
dari jaringan natted. NAT dapat merubah alamat IP asal paket dari jaringan
natted dengan alamat IP umum. Source NAT senantiasa dikerjakan sesudah
routing saat sebelum paket keluar menuju jaringan. Masquerade yaitu
perumpamaan dari srcnat.
2) Dstnat (Destination NAT) : pengalihan dikerjakan untuk paket data
yang menuju jaringan lokal. Ini umum difungsikan untuk membuat host
dalam jaringan lokal dapat diakses dari luar jaringan (internet). NAT dapat
merubah alamat IP arah paket dengan alamat IP lokal. Destination NAT
senantiasa dikerjakan saat sebelum routing saat paket dapat masuk dari jaringan.
Port Forward, Port Mapping, transparent proxy yaitu perumpamaan dari dstnat.
Src-NAT and Masquerade
Untuk menyembunyikan IP Address lokal dan menggantikannya dengan
IP Address publik yang sudah terpasang pada router
– src-nat
Kita bisa memilih IP Address publik yang digunakan untuk
menggantikan.
– Masquerade
Masquerade mungkin bisa di artikan sebagai topeng untuk bisa
terkenoneksi ke jaringan internet menggunakan ip private, atau simplenya
masquerade mikrotik atau masquerade linux merupakan sebuah metode
yang mengizinkan dan memperbolehkan ip private untuk terkoneksi ke
internet dengan mengunakan bantuan sebuah ip public /bertopengkan
sebuah ip publik.
Dengan bantuan masquerade sebuah ip publik dapat mendistribusikan
koneksi internet ke banyak ip private. Ip private merupakan ip address yang
tidak masuk kedalam routing table router jaringan internet global. Dan ip
private hanya bisa di gunakan didalam jaringan lokal. Karena ip private ini
hanya bisa di gunakan dalam jaringan LAN atau local area network, maka
lahirlah masquerade yang menjadi topeng agar ip private (LAN) dapat
berinteraksi ke internet.
Secara otomatis akan menggunakan IP Address pada interface publik.
Digunakan untuk mempermudah instalasi dan bila IP Address publik
pada interface publik menggunakan IP Address yang dinamik (misalnya
DHCP, PPTP atau EoIP)
Dst-nat and Redirect
Untuk melakukan penggantian IP Address tujuan, atau mengarahkan
koneksi ke localhost.
– dst-nat
Kita bisa mengganti IP Address dan port tujuan dari seuatu koneksi.
– Redirect
Untuk mengalihkan koneksi yang tadinya melwati router, dan
dialihkan menuju ke loclhost.
 RANGKUMAN
1. Dapat ditarik kesimpulan firewall adalah sebuah pembatas antara suatu
jaringan lokal dengan jaringan lainnya yang sifatnya publik (dapat diakses
oleh siapapun) sehingga setiap data yang masuk dapat diidentifikasi untuk
dilakukan penyaringan sehingga aliran data dapat dikendalikan untuk
mencegah bahaya/ancaman yang dating dari jaringan publik.
2. Prinsip firewall adalah Semua komunikasi jaringan melewati firewall,
Hanya lalu lintas data dari jaringan terpercaya yang diperbolehkan lewat
oleh firewall, Firewall memiliki kemampuan melindungi omputer dari
serangan berbahaya yang berasal dari internet dan cara kerja firewall ada 2
yaitu Packet Filtering dan Stateful Inspeksi.
3. Jenis-Jenis firewall yaitu (1) Packet Filtering Gateway, (2) Application Layer
Gateway, (3) Circuit Level Gateway, (4) Statefull Multilayer Inspection
Firewall, (5) Reverse-Proxy Firewalls dan (6) Reusing IP Addresses
4. Ada dua jenis karakteristik firewall jika dilihat dari fungsi firewall
tersebut yaitu Personal Firewall dan Network Firewall.
5. Arsitektur firewall ada 3 yaitu Arsitektur dual-homed host, Arsitektur
screened host dan Arsitektur screened subnet
6. Teknik konfigurasi firewall ada 3 teknik yaitu Screened Host FIrewall
system (single-homed bastion), Screened Host Firewall system (Dual-
homed bastion) dan Screened subnet firewall
7. Dalam Router OS Mikrotik terdapat fitur firewall, dimana dalam fitur
firewall terdapat beberapa direktori yaitu Rules, NAT (source-nat and
destination-nat), Mangle, Address List, Layer 7 Protocol (baru di versi 3),
Service Ports dan Connections