Cara pertama adalah dengan memanfaatkan matcher Content yang tersedia pada firewall filter maupun raw di mikrotik router os. Parameter content akan mencocokan string yang terdapat pada halaman web dengan nilai yang telah kita isikan. Apabila cocok dan action yang digunakan adalah drop, maka firewall akan memblokir halaman web tersebut.
Matcher ini dapat kalian temui pada menu Tab Advanced. Firewall akan mencocokan isi paket dengan nilai yang diberikan pada parameter content. Misalkan kita ingin memblokir youtube menggunakan content ini maka kita bisa mengisinya dengan content=www.youtube.com .
Pada parameter chain, pilih forward (karena kita akan memblokir paket yang melewati router). Kemudian isi Src. Address dengan ip network yang digunakan oleh jaringan kalian (jaringan lokal).
Selanjutnya masuk ke tab Advanced, kemudian masukkan situs yang ingin diblokir pada bagian Content.
Pada tab menu Action, pilih action drop.
Untuk pengujiannya, silahkan akses youtube melalui browser. Seharusnya situs tidak bisa diakses. Dan pada tabel firewall akan terlihat jumlah bytes dan paket yang didrop oleh firewall.
Langkah-langkah di atas dapat juga dipakai pada firewall raw. Karena langkahnya sama maka saya tidak akan menuliskannya. Kalian dapat mencobanya sendiri.
ACCEPT merupakan suatu tindakan untuk membolehkan suatu koneksi terhubung kedalam suatu sistem. Sebagai contoh jika terdapat layanan HTTP atau SSH pada suatu sistem dan layanan tersebut diperbolehkan diakses dari luar sistem maka biasanya ACCEPT akan diterapkan pada rule netfilter yang sesuai dengan layanan tersebut. Rule yang umum dipergunakan adalah:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
Contoh rule tersebut memerintahkan agar jika terdapat suatu koneksi baru mengarah ke TCP port 22 (TCP port standard yang dipergunakan oleh SSH) pada sistem maka koneksi tersebut diijinkan sehingga transaksi packetdata SSH dapat berjalan.
Packet Decode Trafik IPTables SSH ACCEPT
Packet no.14 menunjukkan bahwa Host 192.169.100.182 meminta koneksi kedalam sistem 192.168.100.234 dengan mengirimkan packet TCP syn dengan TCP port tujuan adalah TCP port 22. Selanjutnya packet no.15 merupakan jawaban dari sistem 192.168.100.234 memberikan jawaban bahwa permintaan koneksi dari host 192.168.100.182 tersebut diijinkan untuk terhubung menggunakan socket TCP port 22 & 56421 dengan mengirimkan packetsync/ack. Kemudian pada packet no.16. Host 192.168.100.182 mengirimkan packetacknowledgement dari terhadap packet no.15 tersebut.
Hasil decode trafik SSH tersebut saat kita lihat menggunakan Wireshark menunjukkan pada 3 packet pertama, standard 3-way handshake (syn, syn/ack, ack) dari TCP connection establishment berjalan semestinya.
DROP
Jika pada ACCEPT sistem mengijinkan suatu koneksi terbentuk ke sistem tersebut, maka DROP merupakan tindakan dari netfilter untuk menolak koneksi untuk terhubung ke dalam sistem. Penolakan pada DROP dilakukan dengan cara “mengabaikan” setiap permintaan koneksi yang mengarah ke port atau protokol atau layanan pada sistem sehingga host yang meminta koneksi tersebut berasumsi bahwa sistem yang dituju tidak aktif. Rules yang sering dipergunakan untuk DROP ini adalah sebagai berikut:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j DROP
Packet Decode Trafik IPTables SSH DROP
Dapat dilihat pada hasil decode packet bahwa host 192.168.100.182 mengirimkan packet berisi permintaan koneksi kedalam sistem 192.168.100.235 dengan menggunakan TCP port 22 sebagai tujuan (packet no. 1). Setelah menunggu jawaban sekitar 3 detik dan tidak menerima jawaban, host tersebut mencoba mengulang permintaan yang sama kearah 192.168.100.235, dalam hal ini kita lihat terdapat packet “TCP Retransmission” (packet no.3). Kembali setelah menunggu selama 3 detik tanpa ada jawaban, host mengulang permintaan koneksi ke 192.168.100.235. Setelah host 192.168.100.182 mencoba sebanyak 3 kali tanpa mendapatkan jawaban, hosttersebut menganggap bahwa sistem yang dituju tidak aktif dan usaha untuk membentuk koneksi tidak dilanjutkan.
REJECT
REJECT merupakan tindakan dari netfiler yang sama dengan DROP dimana berfungsi untuk mengabaikan suatu koneksi kedalam sistem. Akan tetapi REJECT merupakan cara yang lebih “halus” dimana penolakan tersebut disertai balasan oleh sistem bahwa port/protokol/layanan yang dituju tidak tersedia.
Packet Decode Trafik IPTables SSH REJECT
Untuk REJECT rule yang umum dipergunakan adalah:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j REJECT
Dari hasil decode packet setiap permintaan koneksi (packet no.1, 4, dan 6) dari host 192.168.100.182 akan mendapatkan jawaban dari sistem yang dituju berupa packet ICMP yang berisi “Destination unreachabe (Port unreachable)”. Dengan ini dapat diambil kesimpulan bahwa sistem yang dituju aktif akan tetapi port/protokol/layanan yang dituju tidak tersedia.
chain ini merupakan kebalikan dari chain PREROUTING dan terjadi setelah melewati proses lokal di tubuh router. Chain ini bisa kita gunakan untuk penandaan trafik melewati router ataupun yang akan keluar dari tubuh router baik itu tujuannya ke jaringan lokal (intranet) ataupun ke jaringan publik (internet) dan setelah melewati proses lokal pada router. Sebagai contoh disaat kita ingin membuat penandaan trafik yang sudah melewati proses redirect atau pembelokan di internal web proxy mikrotik.
PREROUTING, chain ini terjadi sebelum proses INPUT dan bisa kita gunakan untuk penandaan trafik yang “akan” masuk ke tubuh router dengan asal dari mana saja, baik itu tujuannya ke tubuh router, ke jaringan publik atau jaringan internal yang mana nantinya bisa dilakukan proses lokal untuk koneksi tersebut. Sebagai contoh sederhana untuk pemisahan routing trafik browsing dan games online pada warnet atau games center yang menggunakan 2 line ISP, jika kita ingin menandakan trafik games online berdasarkan koneksinya ke untuk di routing ke ISP-A, pada tabelip-firewall-mangle kita bisa menggunakan chain PREROUTING untuk penandaan koneksi dan penandaan routing dengan filtering berdasarkan in-interface,src-address,dst-
OUTPUT, bisa dibilang chain ini kebalikan dari chain INPUT, yang mana chain ini digunakan untuk memproses trafik yang keluar atau berasal dari tubuh router, tujuannya bisa saja ke jaringan internal (intranet) ataupun jaringan publik (internet). Sebagai contoh, saat kita melakukan cek ping ke detik.com dari terminal mikrotik, request yang kita lakukan tersebut termasuk kedalam chain output. Ataupun disaat kita melakukan remote winbox baik itu dari komputer internal ataupun dari jaringan publik, paket-paket yang dikirimkan oleh router ke akses winbox pada komputer kita juga termasuk kedalam chain output.
ICMP (Internet Control Message Protocol) merupakan protokol didalam jaringan komputer yang bertugas untuk memberitahukan kepada pengguna tentang adanya koneksi jaringan atau tidak, terjangkau atau tidaknya sebuah komputer / server tujuan, serta kemungkinan adanya balasan dari server / komputer tujuan. ICMP bekerja dengan cara mengirimpkan ICMP echo request dan ICMP echo reply kepada pengguna komputer melalui perintah ping. Perintah ping ke alamat tujuan ini dapat Anda lakukan melalui terminal Linux atau pada sistem operasi lainnya.
UDP
UDP (User Datagram Protokol) merupakan protokol didalam jaringan komputer yang berfungsi untuk mengatur dan mengurusi semua koneksi yang ada dengan sifat yang berkebalikan dengan protokol TCP (Transmission Control Protocol). Ketika sifat utama pada jaringan komputer yang diurusi oleh protokol UDP adalah koneksi yang unreliable (tidak andal didalam jaringan komputer), koneksi yang tidak memerlukan setup koneksi terlebih dahulu (connection oriented), serta memiliki header UDP yang didalamnya memuat SPI (Source Process Indetification) dan DPI (Destionation Process Indetification)
Dengan ketiga sifat utama jaringan komputer yang dikelola oleh protokol UDP ini, menyebabkan protokol UDP lebih banyak digunakan diberbagai layanan jaringan komputer yang bersifat streaming (video streaming, radio streaming, TV streaming), pengiriman pesan sederhana, dan lain-lain. UDP dan TCP merupakan protokol-protokol yang terdapat didalam layer transport, yang mana merupakan subprotokol pada pasangan protokol TCP/IP (sekaligus sebagai pemodelan layer TCP/IP).
TCP ( Transmission Control Protocol)
g berada dilapisan transport (lapisan ke empat dari model OSI) yang berorientasi sambungan (connection – oriented) dan dapat diandalkan (reliable). Komputer-komputer yang terhubung dengan atau ke internet, berkomunikasi menggunakan protokol ini. Karena menggunakan bahasa yang sama, yaitu protokol TCP/IP, perbedaan jenis komputer ataupun perbedaan Sistem Operasi tidak menjadikan masalah. Jadi TCP adalah protokol yang memungkinkan berkomunikasi komputer satu dengan komputer lan
Ada beberapa arsitektur firewall. Pada artikel ini hanya akan dijelaskan beberapa
diantaranya, yaitu : dual-homed host architecture, screened host architecture, dan
screened subnet architecture
1. Arsitektur Dual-Homed Host
Arsitektur Dual-home host dibuat disekitar komputer dual-homed host, yaitu
komputer yang memiliki paling sedikit dua interface jaringan. Untuk
mengimplementasikan tipe arsitektur dual-homed host, fungsi routing pada host ini di
non-aktifkan. Sistem di dalam firewall dapat berkomunikasi dengan dual-homed host dan
sistem di luar firewall dapat berkomunikasi dengan dual-homed host, tetapi kedua sistem
ini tidak dapat berkomunikasi secara langsung.
Dual-homed host dapat menyediakan service hanya dengan menyediakan proxy
pada host tersebut, atau dengan membiarkan user melakukan logging secara langsung
pada dual-homed host.
2. Arsitektur Screened Host
Arsitektur screened host menyediakan service dari sebuah host pada jaringan
internal dengan menggunakan router yang terpisah. Pada arsitektur ini, pengamanan
utama dilakukan dengan packet filtering.
Gambar 4. Arsitektur screened host
Bastion host berada dalam jaringan internal. Packet filtering pada screening router
dikonfigurasi sehingga hanya bastion host yang dapat melakukan koneksi ke Internet
(misalnya mengantarkan mail yang datang) dan hanya tipe-tipe koneksi tertentu yang
diperbolehkan. Tiap sistem eksternal yang mencoba untuk mengakses sistem internal
harus berhubungan dengan host ini terlebih dulu. Bastion host diperlukan untuk tingkat
keamanan yang tinggi.
3. Arsitektur Screened Subnet
Arsitektur screened subnet menambahkan sebuah layer pengaman tambahan pada
arsitekture screened host, yaitu dengan menambahkan sebuah jaringan perimeter yang
lebih mengisolasi jaringan internal dari jaringan Internet.
Jaringan perimeter mengisolasi bastion host sehingga tidak langsung terhubung ke
jaringan internal. Arsitektur screened subnet yang paling sederhana memiliki dua buah
screening router, yang masing-masing terhubung ke jaringan perimeter. Router pertama
terletak di antara jaringan perimeter dan jaringan internal, dan router kedua terletak di
antara jaringan perimeter dan jaringan eksternal (biasanya Internet). Untuk menembus
jaringan internal dengan tipe arsitektur screened subnet, seorang intruder harus melewati
dua buah router tersebut sehingga jaringan internal akan relatif lebih aman.
http://4sucktie.tripod.com/firewall.pdf
Selasa, 30 Oktober 2018
LANGKAH-LANGKAH MEMBANGUN FIREWALL
1.Mengidenftifikasi bentuk jaringan yang dimiliki Mengetahui bentuk jaringan yang dimiliki khususnya toplogi yang di gunakan serta protocol jaringan, akan memudahkan dalam mendesain sebuah firewall 2.Menentukan Policy atau kebijakan Penentuan Kebijakan atau Policy merupakan hal yang harus di lakukan, baik atau buruknya sebuah firewall yang di bangun sangat di tentukan oleh policy/kebijakan yang di terapkan. Diantaranya: a. Menentukan apa saja yang perlu di layani. Artinya, apa saja yang akan dikenai policy atau kebijakan yang akan kita buat b. Menentukan individu atau kelompok-kelompok yang akan dikenakan policy atau kebijakan tersebut c. Menentukan layanan-layanan yang di butuhkan oleh tiap tiap individu atau kelompok yang menggunakan jaringan d. Berdasarkan setiap layanan yang di gunakan oleh individu atau kelompok tersebut akan ditentukan bagaimana konfigurasi terbaik yang akan membuatnya semakin aman e. Menerapkankan semua policy atau kebijakan tersebut 3.Menyiapkan Software atau Hardware yang akan digunakan Baik itu operating system yang mendukung atau software-software khusus pendukung firewall seperti ipchains, atau iptables pada linux, dsb. Serta konfigurasi hardware yang akan mendukung firewall tersebut.
4.Melakukan test konfigurasi Pengujian terhadap firewall yang telah selesai di bangun haruslah dilakukan, terutama untuk mengetahui hasil yang akan kita dapatkan, caranya dapat menggunakan tool tool yang biasa dilakukan untuk mengaudit seperti nmap.
Digunakan untuk multimedia streaming, yang sangat memberikan toleransi kehilangan segment cukup baik dan yang sangat tidak sensitive terhadap kerusakan atau kehilangan segment Contoh protokol aplikasi yang menggunakan UDP :
