Sabtu, 13 April 2013

Meng’aman’kan Mikrotik




Apakah selama ini Anda berpikir Mikrotik Router  Anda aman ??? Kalau jawabannya “iya” cobalah anda perhatikan di winbox anda, klik menu IP, Firewall, Connections. Cobalah perhatikan baik-baik pada kolom Dst. Address. Disitulah nampak client-client mengakses internet  dengan tujuan address nya. Perhatikan baik-baik pula dibelakang ip-ip yang di akses terdapat port-port sebagai tujuan akses. Port-port yang umum dan boleh di akses adalah 80 untuk WWW, 5050 untuk YM, 5100 untuk webcam YM, 443 untuk https, 8291 untuk winbox, 667 untuk Mirc, 21 untuk FTP, 22 untuk SSH dan 23 untuk Telnet.
Setelah memperhatikan dengan seksama ip firewall connections di winbox, apakah anda menemukan port-port yang lain selain port-port di atas ??? Jika jawabannya  “ya” hmmm berarti ada masalah disisi client dengan mengakses internet melalui port-port yang tidak diijinkan, atau client sengaja menggunakan port yang terbuka, atau ada virus yang menyerang dan aktif sehingga mengganggu traffict. Akibatnya internet lemot… lelet… dan bikin jengkel… payahnya lagi ping DNS normal tapi tidak bisa browsing… Jika kondisi ini terjadi pada Mikrotik anda maka perlu membatasi akses hanya port-port tertentu saja. Selain port-port yang diijinkan akan di reject/ditolak sehingga Mikrotik kita aman.
Nah bagaimana cara mengamankannya ??? Monggo di lanjut Bosss…
Berikut ini script yang saya gunakan untuk mengamankan Mikrotik RB750 Versi 4.50
/ip firewall filter
add action=reject chain=forward comment=”REJECT UDP SELAIN PORT 53″ disabled=\
no dst-port=!53 protocol=udp reject-with=icmp-network-unreachable
add action=reject chain=input comment=\
“REJECT BROWSING SELAIN PORT 80,5050,8291,443,5100″ disabled=no dst-port=\
!80,5050,8291,443,5100 protocol=tcp reject-with=icmp-network-unreachable
add action=reject chain=input comment=”REJECT UDP SELAIN PORT 53″ disabled=no \
dst-port=!53 protocol=udp reject-with=icmp-network-unreachable
add action=reject chain=forward comment=\
“REJECT BROWSING SELAIN PORT 80,5050,8291,443,5100″ disabled=no dst-port=\
!80,5050,8291,443,5100 protocol=tcp reject-with=icmp-network-unreachable
Keterangan :
Saya hanya mengijinkan port 80,443,53,8291,5050,5100 yang dapat mengakses internet, selain port-port tersebut akan di reject-with icmp-network-unreachable, artinya setiap akan mengakses internet melalui port-port selain yang diijinkan maka akan tidak bisa lagi mengakses.  Chain yang saya gunakan adalah forwad dan input… jadi jika ada input selain port diatas otomatis di reject, selanjutnya jika di forward (dilanjutkan) juga akan di reject…
Mungkin anda bertanya , Mengapa tidak di drop saja action nya ???
Jika action di drop maka kemungkinan untuk connection state nya akan terus menempel di Mikrotik, dan jika tidak kuat Mikrotik kita bisa terjadi Flooding. Flooding adalah suatu keaadan dimana Router kita di banjiri oleh akses yang terus menerus sehingga terjadi bottle neck, router kita jadi hang…
NB : sesuaikan dengan port-port yang ingin anda ijinkan. Settingan Mikrotik Router untuk firewall filter nya yang kami gunakan hanya seperti ini dibawah ini, dan Alhamdulillah sampai saat ini aman…:
/ip firewall filter
add action=accept chain=input comment=”Added by webbox” disabled=no protocol=\
icmp
add action=accept chain=input comment=”Added by webbox” connection-state=\
established disabled=no in-interface=ether1
add action=accept chain=input comment=”Added by webbox” connection-state=\
related disabled=no in-interface=ether1
add action=drop chain=input comment=”Added by webbox” disabled=no \
in-interface=ether1
add action=jump chain=forward comment=”Added by webbox” disabled=no \
in-interface=ether1 jump-target=customer
add action=accept chain=customer comment=”Added by webbox” connection-state=\
established disabled=no
add action=accept chain=customer comment=”Added by webbox” connection-state=\
related disabled=no
add action=drop chain=customer comment=”Added by webbox” disabled=no
add action=reject chain=forward comment=”REJECT UDP SELAIN PORT 53″ disabled=\
no dst-port=!53 protocol=udp reject-with=icmp-network-unreachable
add action=reject chain=input comment=\
“REJECT BROWSING SELAIN PORT 80,5050,8291,443,5100″ disabled=no dst-port=\
!80,5050,8291,443,5100 protocol=tcp reject-with=icmp-network-unreachable
add action=reject chain=input comment=”REJECT UDP SELAIN PORT 53″ disabled=no \
dst-port=!53 protocol=udp reject-with=icmp-network-unreachable
add action=reject chain=forward comment=\
“REJECT BROWSING SELAIN PORT 80,5050,8291,443,5100″ disabled=no dst-port=\
!80,5050,8291,443,5100 protocol=tcp reject-with=icmp-network-unreachable
add action=reject chain=forward comment=”Reject Network” disabled=no \
reject-with=icmp-network-unreachable src-address=!172.160.212.0/24
add action=reject chain=input comment=”Reject Network” disabled=no \
reject-with=icmp-network-unreachable src-address=!172.160.212.0/24
Berikut ini Screenshot hasil implementasi script
Semoga sukses yach … :) :)
tamampapua.wordpress.com

Tidak ada komentar:

Poskan Komentar