Pengertian Firewall,
Jenis-jenis Firewall, Fitur Mikrotik Firewall, dan Proxy
SISTEM KEAMANAN
JARINGAN
(FIREWALL)
Keamanan Jaringan
adalah proses untuk mencegah dan mengidentifikasi penggunanan yang tidak sah
dari jaringan komputer. Langkah-langkah pencegahan membantu menghentikan
pengguna yang tidak sah yang disebut “penyusup” untuk mengakses setiap bagian
dari sistem jaringan komputer.
Tujuan keamanan
jaringan komputer adlah untuk mengantisipasi resiko jaringan komputer berupa
bentuk ancaman fisik maupun logic baik langsung ataupun tidak langsung
mengganggu aktivitas yang sedang berlangsung dalam jaringan komputer.
Keamanan adalah hal
yang penting dalam segala hal. Selayaknya sebuah rumah memiliki pagar,
serverkita pun membutuhkan 'pagar'. Apalagi server selalu terhubung dengan
internet. Isu keamanan sangat penting untuk melindungi server dan data yang
tersimpan di dalamnya. ‘Pagar’ tersebut bernama “firewall” atau “Tembok Api”.
1. Firewall
Istilah
“firewall” sendiri sebenarnya juga dikenal dalam disiplin lain,dan dalam
kenyataannya, istilah ini tidak hanya bersangkutan dengan terminology jaringan.
Kita juga menggunakan firewall, misalnya untuk memisahkan garasi dari rumah,
atau memisahkan satu apartemen dengan apartemen lainnya. Dalam hal ini,
firewall adalah penahan (barrier) terhadap api yang dimaksudkan untuk
memperlambat penyebaran api seandainya terjadi kebakaran sebelum petugas
pemadam kebakaran dating untuk memadamkan api. Contoh
lain dari firewall juga bisa ditemui pada kendaran bermotor, dimana firewall
memisahkan antara ruang penumpang dan kompartemen mesin.
Untuk
firewall didalam terminology jaringan, memiliki beberapa pengertian antara lain
adalah sebagai berikut:
Firewall
didefinisikan sebagai suatu cara atau mekanisme yang diterapkan baik terhadap
hardware, software ataupun system itu sendiri dengan tujuan untuk melindungi,
baik dengan menyaring, membatasi atau bahkan menolak suatu atau semua
hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang
bukan merupakan ruang lingkupnya.
Firewall
didefinisikan sebagai sebuah komponen atau kumpulan komponen yang membatasi
akses antara sebuah jaringan yang diproteksi dan internet, atau antara kumpulan
kumpulan jaringan lainnya.
Definisi lain
mengatakan bahwa, firewall adalah sebuah computer yang memproteksi jaringan
dari jaringan yang tidak dipercaya yang memisahkan antara jaringan local dengan
jaringan publik, dengan melakukan metode filtering paket data yang masuk dan
keluar.
Menurut Wabopedia.com definisi firewall
adalah sebuah sistem yang didesain untuk mencegah akses
yang tidak sah ke atau dari jaringan pribadi (Privat Network). Sedangkan
menurut MTCNA definisinya adalah firewall diposisikan antara jaringan lokal dan
jaringan publik bertujuan melindungi computer dari serangan, dan secara efektif
mengontrol koneksi data menuju, dari dan melewati router.
Ilmuwan lain
mendefinisikan firewall sebagai sebuah titik diantara dua/lebih jaringan dimana
semua lalulintas (trafik) harus melaluinya (choke point); trafik dapat
dikendalikan oleh dan diautentifikasi melalui sautu perangkat, dan seluruh
trafik selalu dalam kondisi tercatat (logged).
Dari beberapa
definisi diatas, penulis dapat memberikan definisi dimana firewall adalah
sebuah pembatas antara suatu jaringan local dengan jaringan lainnya yang
sifatnya public (dapat diakses oleh siapapun) sehingga setiap data yang masuk
dapat diidentifikasi untuk dilakukan penyaringan sehingga aliran data dapat
dikendalikan untuk mencegah bahaya/ancaman yang dating dari jaringan publik.
Dalam
jaringan komputer, khususnya yang berkaitan dengan aplikasi yang melibatkan
berbagai kepentingan, akan banyak terjadi hal yang dapat mengganggu kestabilan
koneksi jaringan komputer tersebut, baik yang berkaitan dengan hardware
(pengamanan fisik, sumber daya listrik) maupun yang berkaitan dengan software
(sistem, konfigurasi, sistem akses, dll). Gangguan pada sistem dapat terjadi
karena faktor ketidaksengajaan yang dilakukan oleh pengelola (human error),
akan tetapi tidak sedikit pula yang disebabkan oleh pihak ketiga. Gangguan
dapat berupa perusakan, penyusupan, pencurian hak akses, penyalahgunaan data
maupun sistem, sampai tindakan kriminal melalui aplikasi jaringan komputer.
Pengamanan terhadap sistem hendaknya dilakukan sebelum sistem tersebut
difungsikan. Percobaan koneksi (trial) sebaiknya dilakukan sebelum sistem yang
sebenarnya difungsikan. Dalam melakukan persiapan fungsi sistem hendaknya
disiapkan pengamanan dalam bentuk:
·
Memisahkan terminal yang difungsikan sebagai
pengendali jaringan atau titik pusat akses (Server) pada suatu area yang
digunakan untuk aplikasi tertentu.
·
Menyediakan pengamanan fisik berupa ruangan khusus
untuk pengamanan perangkat yang disebut pada butir nomor 1. Ruangan tersebut
dapat diberikan label Network Operating Center (NOC) dengan membatasi personil
yang diperbolehkan masuk.
·
Memisahkan sumber daya listrik untuk NOC dari
pemakaian yang lain. Hal ini untuk menjaga kestabilan fungsi sistem. Perlu juga
difungsikan Uninteruptable Power Supply (UPS) dan Stabilizer untuk menjaga
kestabilan supply listrik yang diperlukan perangkat pada NOC.
·
Merapikan wiring ruangan dan memberikan label serta
pengklasifikasian kabel.
·
Memberikan Soft Security berupa Sistem Firewall
pada perangkat yang difungsikan di jaringan.
·
Merencanakan maintenance dan menyiapkan Back Up
sistem.
Firewall (Gambar
1.1) adalah salah satu aplikasi pada sistem operasi yang dibutuhkan oleh
jaringan komputer untuk melindungi intergritas data/sistem jaringan dari
seranganserangan pihak yang tidak bertanggung jawab atau lalu lintas jaringan
yang tidak aman. Caranya dengan melakukan filterisasi terhadap paket-paket yang
melewatinya.
Gambar 1 Ilustrasi Penerapan Firewall
Firewall tersusun
dari aturan-aturan yang diterapkan baik terhadap hardware, software ataupun
sistem itu sendiri dengan tujuan untuk melindungi jaringan, baik dengan
melakukan filterisasi, membatasi, ataupun menolak suatu permintaan koneksi dari
jaringan luar lainnya seperti internet.
Oleh karena
seringnya firewall digunakan untuk melindungi jaringannya, maka firewall juga
berfungsi sebagai pintu penyangga antara jaringan yang dilindunginya dengan
jaringan lainnya atau biasa disebut gateway.
Gambar 1.2 Arsitektur Firewall Pada Jaringan Komputer
Gambar 1.2
menunjukkan firewall yang melindungi jaringan lokal dengan cara mengendalikan
aliran paket yang melewatinya. Firewall dirancang untuk mengendalikan aliran
paket berdasarkan asal, tujuan, port dan informasi tipe paket.Firewall berisi
sederet daftar aturan yang digunakan untuk menentukan nasib paket data yang
datang atau pergi dari firewall menurut kriteria dan parameter tertentu. Semua
paket yang diperiksa firewall akan melakukan mengalami perlakuan yang diterapkan
pada rule atau policyyang diterapkan pada chains firewall. Masing-masing
tabel dikenakan untuk tipe aktivitas paket tertentu dan dikendalikan oleh
rantai aturan filter paket yang sesuai. Rantai (chains) adalah daftar aturan
yang dibuat untuk mengendalikan paket.
Pada firewall
terjadi beberapa proses yang memungkinkannya melindungi jaringan. Proses yang
terjadi pada firewall ada tiga macam yaitu:
1.
Modifikasi header paket,
2.
Translasi alamat jaringan, dan
3.
Filter paket
Modifikasi header
paket digunakan untuk memodifikasi kualitas layanan bit paket TCP sebelum
mengalami proses routing.
Translasi alamat
jaringan antara jaringan privat dan jaringan publik terjadi pada firewall.
Translasi yang terjadi dapat berupa translasi satu ke satu (one to one), yaitu
satu alamat IP privat dipetakan kesatu alamat IP publik atau translasi banyak
kesatu (many to one) yaitu beberapa alamat IP privat dipetakan kesatu alamat
publik.
Filter paket
digunakan untuk menentukan nasib paket apakah dapat diteruskan atau tidak.
2. Jenis-Jenis
Firewall
Firewall dapat dibedakan berdasarkan
caranya bekerja. Jenisjenis firewall tersebut adalah:
·
Packet Filtering Gateway
·
Application Layer Gateway
·
Circuit Level Gateway
·
Statefull Multilayer Inspection Firewall
2.1. Packet Filtering Gateway
Packet filtering
gateway dapat diartikan sebagai firewall yang bertugas melakukan filterisasi
terhadap paket-paket yang datang dari luar jarigan yang dilindunginya.
Filterirasi paket
ini hanya terbatas pada sumber paket, tujuan paket, dan atribut-atribut dari
paket tersebut, misalnya paket tersebut bertujuan ke server kita yang
menggunakan alamat IP 202.51.226.35 dengan port 80. Port 80 adalah atribut yang
dimiliki oleh paket tersebut.
Seperti yang
terlihat pada gambar 11.4, firewall tersebut akan melewatkan paket dengan
tujuan ke Web Server yang menggunakan port 80 dan menolak paket yang menuju Web
Server dengan port 23.
Bila kita lihat
dari sisi arsitektur TCP/IP, firewall ini akan bekerja pada layer internet.
Firewall ini biasanya merupakan bagian dari sebuah router firewall.
Software yang dapat
digunakan untuk implementasi packet filtering diantaranya adalah iptables
dan ipfoward.
Gambar 2.1 Lapisan untuk Proses
Packet Filtering Gateway
2.2. Application Layer Gateway
Model firewall ini juga dapat disebut
Proxy Firewall. Mekanismenya tidak hanya berdasarkan sumber, tujuan dan atribut
paket, tapi bisa mencapai isi (content) paket tersebut.
Gambar 2.2 Web
server dengan Firewall
Mekanisme lainnya yang terjadi adalah
paket tersebut tidak akan secara langsung sampai ke server tujuan, akan tetapi
hanya sampai firewall saja.
Selebihnya firewall ini akan membuka
koneksi baru ke server tujuan setelah paket tersebut diperiksa berdasarkan
aturan yang berlaku.
Bila kita melihat dari sisi layer
TCP/IP, firewall jenis ini akan melakukan filterisasi pada layer aplikasi
(Application Layer).
Gambar 2.3 Proxy
Firewall dilihat pada Model TCP/IP
2.3. Circuit Level Gateway
Model firewall ini
bekerja pada bagian Lapisan Transport model referensi TCP/IP. Firewall ini akan
melakukan pengawasan terhadap awal hubungan TCP yang biasa disebut sebagai TCP
Handshaking, yaitu proses untuk menentukan apakah sesi hubungan tersebut
diperbolehkan atau tidak. Bentuknya hampir sama dengan Application Layer
Gateway, hanya saja bagian yang difilter terdapat ada lapisan yang berbeda,
yaitu berada pada layer Transport.
Gambar 2.4 Circuit
Level Gateway dilihat pada Model TCP/IP
2.4. Statefull Multilayer Inspection Firewall
Model firewall ini
merupakan penggabungan dari ketiga firewall sebelumnya. Firewall jenis ini akan
bekerja pada lapisan Aplikasi, Transport dan Internet.
Dengan penggabungan
ketiga model firewall yaitu Packet Filtering Gateway, Application Layer Gateway
dan Circuit Level Gateway,mungkin dapat dikatakan firewall jenis ini merupakan
firewall yang,memberikan fitur terbanyak dan memberikan tingkat keamanan yang
paling tinggi.
Gambar 2.5 State
Multilayer Inspection Firewall dilihat pada model TCP/IP
3. Fitur Mikrotik
Firewall
Didalam
router mikrotik juga terdapat fitur firewall yang berfungsi untuk melindungi
dengan cara mendrop atau mengaccept sebuah paket yang akan masuk, melewati,
atau keluar router.
Dalam
fitur firewall terdapat beberapa direktori yaitu :
1. Rules
2. Nat (source-nat and
destination-nat)
3. Mangle
4. Address List
5. Layer 7 Protocol
(baru di versi 3)
6. Service Ports
7. Connections
§ For monitoring only
Traffic Flow
Traffic-Flow merupakan sebuah sistem yang menampilkan informasi
statistik akan besar atau banyaknya paket-paket yang melewati sebuah router.
Maka dengan fitur ini kita bisa melakukan monitoring terhadap sebuah jaringan
dan memungkinkan bagi kita untuk mengidentifikasi berbagai macam masalah yang
terjadi di dalamnya. Selain itu, dengan memanfaatkan fitur ini kita dapat
melakukan analisa dan meningkatkan performa dari router.
Setiap paket data
memiliki asal (source) dan tujuan (destination). Traffic flow bisa dibedakan
menjadi 3 kategori, dilihat dari sudut pandang router.
Ø Dari Luar router
menuju ke luar router lagi.
Contoh : traffic
client browsing ke internet
Ø Dari luar router
menuju ke dalam router itu sendiri (Local process).
Contoh : traffic
winbox ke router
Ø Dari dalam router
(local process) menuju ke luar router.
Contoh : traffic
ping dari new terminal winbox
Simple Packet Flow
Di
dalam packet flow terdapat 5 pos pemeriksaan didalamnya yaitu
1. Input
Input
= pos pemeriksaan paket data yang terletak di depan Local Proses, semua data
yang menuju ke dalam router itu sendiri (Local Proses) akan melewati pos ini.
2. Output
Output = pos
pemeriksaan paket data yang terletak di belakang Local Proses, semua paket data
yang keluar dari dalam router (local proses) sebelum menuju ke output interface
akan di proses dalam chain output.
3. Forward
Forward = pos
pemeriksaan paket data yang terletak di antara PreRouting dan PostRouting
,semua paket data dari luar router menuju ke luar router akan diproses di chain
Forward.
4. Prerouting
Prerouting = pos pemeriksaan paket data yang terletak dibelakang input
interface,semua data yang masuk dari input interface akan melalui dan diproses
pada chain Prerouting sebelum ke proses selanjutnya.
5. Postrouting
Postrouting = pos
pemeriksaan yang terletak di depan output interface,semua data yang keluar
menuju output interface akan terlebih dahulu di proses pada Chain PostRouting.
Connection Tracking
and State
Connection Tracking
Connection Tracking adalah “jantung” dari firewall, mengumpulkan
informasi tentang active connections. Dengan mendisable connection
tracking router akan kehilangan fungsi NAT, filter rule dan mangle.
Setiap connection tracking membaca pertukaran traffic 2 arah (src dan dst
address). Connection tracking membutuhkan CPU resources (disable
saja jika kita tidak menggunakan firewall).
Connection tracking mempunyai kemampuan untuk melihat informasi koneksi
yang melewati router, seperti source dan destination IP dan Port yang
sedang di gunakan, status koneksi,tipe protocol dan lain-lain.
Setiap paket data itu memiliki status koneksi ( connection started )
yang dapat dilihat pada connection tracking, ini gan, status koneksi nya :
· Invalid : paket
tidak dimiliki oleh koneksi apapun, tidak berguna.
· New : paket yang
merupakan pembuka sebuah koneksi/paket pertama dari sebuah koneksi.
· Established :
merupakan paket kelanjutan dari paket dengan status new.
· Related : paket
pembuka sebuah koneksi baru, tetapi masih berhubungan denga koneksi sebelumnya.
Berikut gambaran Status
koneksi/Connection State.
Implikasi Connection State
Pada rule Firewall
filter, pada baris paling atas biasanya kita membuat rule :
1. Connection
state=invalid >> drop
2. Connection
state=related >> accept
3. Connection
state=established >> accept
4. Connection
state=new >> diproses ke rule berikutnya
Sistem rule seperti
ini akan sangat menghemat resources router, karena proses filtering hanya
dilakukan pada saat connection dimulai (connection-state=new).
Mangle
Mangle adalah cara untuk menandai paket-paket data tertentu, dan kita
akan menggunakan tanda tersebut pada fitur lainnya, misalnya pada filter,
routing, NAT, ataupun queue. Pada mangle kita juga bisa melakukan pengubahan
beberapa parameter pada IP Header, misalnya TOS (DSCP) dan TTL fields. Tanda
mangle ini hanya bisa digunakan pada router yang sama, dan tidak terbaca pada
router lainnya. Pembacaan rule mangle akan dilakukan dari atas ke bawah secara
berurutan.
Gambar Chain pada Mangle
Type Of Mark
Ada tiga
tipe mark, diantaranya ialah :
1. Packet Mark
Penandaan untuk
setiap paket data
2. Connection Mark
Penandaan untuk
koneksi
3. Route Mark
Penandaan paket
khusus untuk routing
Pada saat yang
bersamaan, setiap paket data hanya bisa memiliki 1 conn-mark, 1 packet-mark,
dan 1 route-mark.
Connection
Mark
Adalah fitur mangle
untuk menandai suatu koneksi (berlaku baik untuk request, maupun untuk
response) sebagai satu kesatuan. Untuk jaringan dengan src-nat atau kalau kita
mau melakukan marking berdasarkan protokol tcp, disarankan untuk melakukan
mark-connection terlebih dahulu, baru membuat mark-packet atau mark-routing
berdasarkan conn-mark nya. Mark-connection cukup dibuat pada saat proses
request saja.
Passthrough
Passthrough=no
- berarti jika
parameter sesuai, maka baris mangle berikutnya tidak lagi dibaca
- value mangle sudah
final, tidak diubah lagi
Passthrough=yes
- akan tetap membaca
baris mangle berikutnya
- value mangle bisa
diubah lagi di baris berikutnya
Biasanya pada :
- mark-connection,
passthrough = yes
- mark-packet,
passthrough=no
Mangle dengan SRC NAT
Karena urutan
proses NAT dan mangle diperhatikan pada bagan Packet Flow, maka
kita harus menggunakan conn-mark terlebih dahulu jika kita ingin membuat mangle
untuk menandai proses uplink dan downlink IP tertentu di chain Prerouting.
Jika dipasang mangle di chain Forward maka bisa langsung
digunakan packet mark.
Chain
pada Firewall Mikrotik
Firewall beroperasi dengan menggunakan
aturan firewall. Setiap aturan terdiri dari dua bagian - matcher yang sesuai
arus lalu lintas terhadap kondisi yang diberikan dan tindakan yang
mendefinisikan apa yang harus dilakukan dengan paket yang cocok. Aturan
firewall filtering dikelompokkan bersama dalam chain. Hal ini memungkinkan
paket yang akan dicocokkan terhadap satu kriteria umum dalam satu chain, dan
kemudian melewati untuk pengolahan terhadap beberapa kriteria umum lainnya
untuk chain yang lain.
Misalnya paket harus cocok dengan alamat
IP:port. Tentu saja, itu bisa dicapai dengan menambahkan beberapa rules dengan
alamat IP:port yang sesuai menggunakan chain forward, tetapi cara yang lebih
baik bisa menambahkan satu rule yang cocok dengan lalu lintas dari alamat IP
tertentu, misalnya: filter firewall / ip add src-address = 1.1.1.2/32
jump-target = "mychain".
Ada tiga chain yang telah ditetapkan
pada RouterOS Mikrotik :
1. Input - digunakan
untuk memproses paket memasuki router melalui salah satu interface dengan
alamat IP tujuan yang merupakan salah satu alamat router. Chain input berguna
untuk membatasi akses konfigurasi terhadap Router Mikrotik.
2. Forward - digunakan
untuk proses paket data yang melewati router.
3. Output - digunakan
untuk proses paket data yang berasal dari router dan meninggalkan melalui salah
satu interface.
Posisi Chain / Parent
Ketika memproses
chain, rule yang diambil dari chain dalam daftar urutan akan dieksekusi dari
atas ke bawah. Jika paket cocok dengan kriteria aturan tersebut, maka tindakan
tertentu dilakukan di atasnya, dan tidak ada lagi aturan yang diproses dalam
chain. Jika paket tidak cocok dengan salah satu rule dalam chain, maka paket
itu akan diterima.
Firewall
Filters – Blocking Rules
· Adalah cara untuk
memfilter paket, dilakukan untuk meningkatkan keamanan jaringan, dan mengatur
flow data dari, ke client, ataupun router
· Pembacaan rule
filter dilakukan dari atas ke bawah secara berurutan. Jika melewati rule yang
kriterianya sesuai akan dilakukan action yang ditentukan, jika tidak sesuai,
akan dianalisa ke baris selanjutnya.
Action Filter
Firewall RouterOS Mikrotik
Pada konfigurasi
firewall mikrotik ada beberapa pilihan Action, diantaranya :
· Accept : paket
diterima dan tidak melanjutkan membaca baris berikutnya
· Drop : menolak
paket secara diam-diam (tidak mengirimkan pesan penolakan ICMP)
· Reject : menolak
paket dan mengirimkan pesan penolakan ICMP
· Jump : melompat ke
chain lain yang ditentukan oleh nilai parameter jump-target
· Tarpit : menolak,
tetapi tetap menjaga TCP connection yang masuk (membalas dengan SYN/ACK untuk
paket TCP SYN yang masuk)
· Passthrough :
mengabaikan rule ini dan menuju ke rule selanjutnya
·
log : menambahkan informasi paket data ke log
Filter Rules
Filter rule biasanya digunakan untuk
melakukan kebijakan boleh atau tidaknya sebuah trafik ada dalam jaringan,
identik dengan accept atau drop. Pada menu Firewall → Filter Rules terdapat
3 macam chain yang tersedia. Chain tersebut antara lain adalah Forward, Input, Output.
Adapun fungsi dari masing-masing chain tersebut adalah sebagai berikut:
- Forward :
Digunakan untuk memproses trafik paket data yang hanya melewati router.
Misalnya trafik dari jaringan public ke local atau sebaliknya dari jaringan
local ke public, contoh kasus seperti pada saat kita melakukan browsing. Trafik
laptop browsing ke internet dapat dimanage oleh firewall dengan menggunakan chain
forward.
- Input :
Digunakan untuk memproses trafik paket data yang masuk ke dalam router
melalui interface yang ada di router dan memiliki tujuan IP Address berupa ip
yang terdapat pada router. Jenis trafik ini bisa berasal dari jaringan public
maupun dari jaringan lokal dengan tujuan router itu sendiri. Contoh:
Mengakses router menggunakan winbox, webfig, telnet baik dari Public maupun
Local.
- Output :
Digunakan untuk memproses trafik paket data yang keluar dari router.
Dengan kata lain merupakan kebalikan dari 'Input'. Jadi trafik yang berasal
dari dalam router itu sendiri dengan tujuan jaringan Public maupun jaringan
Local.Misal dari new terminal winbox, kita ping ke ip google. Maka trafik ini
bisa ditangkap dichain output.
RouterOS v5 Services
Basis
Address List
Address-list digunakan untuk
memfilter group IP address dengan 1 rule firewall. Address-list juga bisa
merupakan list IP hasil dari rule firewall yang memiliki action “add to address
list”. Satu line address-list dapat berupa subnet, range, atau 1 host IP
address.
Kita dapat
melakukan pengelompokan IP Address dengan Address List. Address List (seperti
halnya mangle) bisa dijadikan parameter dalam pembuatan filter, queue, mangle,
NAT, dll. Dengan Filter dan Mangle, kita bisa secara otomatis memasukkan IP
Address tertentu ke dalam address list dan juga menentukan jangka waktu expire
nya.
NAT
(Network Address Translation)
NAT (Network
Address Translation) atau Penafsiran alamat jaringan adalah suatu metode untuk
menghubungkan lebih dari satu komputer ke jaringan internet dengan
menggunakan satu alamat IP. Banyaknya penggunaan metode ini disebabkan
karena ketersediaan alamat IP yang terbatas, kebutuhan akan keamanan (security),
dan kemudahan serta fleksibilitas dalam administrasi jaringan.
NAT merupakan salah
satu protocol dalam suatu sistem jaringan, NAT memungkinkan suatu jaringan
dengan ip atau internet protocol yang bersifat privat atau privat ip yang
sifatnya belum teregistrasi di jaringan internet
untuk mengakses jalur internet, hal ini berarti suatu alamat ip
dapat mengakses internet dengan menggunakan ip privat atau bukan
menggunakan ip public, NAT biasanya dibenamkan dalam sebuah router, NAT
juga sering digunakan untuk menggabungkan atau menghubungkan dua jaringan yang
berbeda, dan mentranslate atau menterjemahkan ip privat atau bukan ip public
dalam jaringan internal ke dalam jaringan yang legal network sehingga
memiliki hak untuk melakukan akses data dalam sebuah jaringan.
NAT digunakan untuk
melakukan pengubahan baik src-address ataupun dst-address. Setelah paket data
pertama dari sebuah koneksi terkena NAT, maka paket berikutnya pada koneksi
tersebut juga akan terkena NAT. NAT akan diproses terurut mulai baris paling
atas hingga ke bawah.
Firewall NAT
Firewall NAT pada
Winbox
Di
MikroTik ada dua type NAT :
Srcnat
(Source NAT) : pengalihan dijalankan untuk paket data yang berasal dari
jaringan natted. NAT dapat merubah alamat IP asal paket dari jaringan natted
dengan alamat IP umum. Source NAT senantiasa dikerjakan sesudah routing saat
sebelum paket keluar menuju jaringan. Masquerade yaitu perumpamaan dari srcnat.
Dstnat
(Destination NAT) : pengalihan dikerjakan untuk paket data yang menuju jaringan
lokal. Ini umum difungsikan untuk membuat host dalam jaringan lokal dapat
diakses dari luar jaringan (internet). NAT dapat merubah alamat IP arah paket
dengan alamat IP lokal. Destination NAT senantiasa dikerjakan saat sebelum
routing saat paket dapat masuk dari jaringan. Port Forward, Port Mapping,
transparent proxy yaitu perumpamaan dari dstnat.
Src-NAT and
Masquerade
Untuk
menyembunyikan IP Address lokal dan menggantikannya dengan IP Address publik
yang sudah terpasang pada router
src-nat
Kita bisa memilih
IP Address publik yang digunakan untuk menggantikan.
Masquerade
Masquerade
mungkin bisa di artikan sebagai topeng untuk bisa terkenoneksi ke jaringan
internet menggunakan ip private, atau simplenya masquerade mikrotik atau
masquerade linux merupakan sebuah metode yang mengizinkan dan memperbolehkan ip
private untuk terkoneksi ke internet dengan mengunakan bantuan sebuah ip public
/bertopengkan sebuah ip publik.
Dengan
bantuan masquerade sebuah ip publik dapat mendistribusikan koneksi internet ke
banyak ip private. Ip private merupakan ip address yang tidak masuk kedalam
routing table router jaringan internet global. Dan ip private hanya bisa di
gunakan didalam jaringan lokal. Karena ip private ini hanya bisa di gunakan
dalam jaringan LAN atau local area network, maka lahirlah masquerade yang
menjadi topeng agar ip private (LAN) dapat berinteraksi ke internet.
Secara otomatis
akan menggunakan IP Address pada interface publik.
Digunakan untuk
mempermudah instalasi dan bila IP Address publik pada interface publik
menggunakan IP Address yang dinamik (misalnya DHCP, PPTP atau EoIP)
Dst-nat
and Redirect
Untuk melakukan
penggantian IP Address tujuan, atau mengarahkan koneksi ke localhost.
dst-nat
Kita bisa mengganti
IP Address dan port tujuan dari seuatu koneksi.
Redirect
Untuk mengalihkan
koneksi yang tadinya melwati router, dan dialihkan menuju ke loclhost.
4. Proxy
Proxy adalah sebuah komputer server atau program komputer yang dapat bertindak
sebagai komputer lainnya untuk melakukan request terhadap content dari Internet
atau intranet. Proxy Server bertindak sebagai gateway terhadap dunia Internet
untuk setiap komputer klien. Web server yang menerima request dari proxy server
akan menginterpretasikan request-request tersebut seolah-olah request itu
datang secara langsung dari komputer klien, bukan dari proxy server.
Proxy
server juga dapat digunakan untuk mengamankan jaringan pribadi yang dihubungkan
ke sebuah jaringan publik. Proxy server memiliki lebih banyak fungsi daripada
router yang memiliki fitur packet filtering karena memang proxy server
beroperasi pada level yang lebih tinggi dan memiliki kontrol yang lebih
menyeluruh terhadap akses jaringan.
Pada semua level routeros, baik yang diinstall pada PC maupun yang diinstall
pada routerboard, kita bisa mengaktifkan fitur proxy.
Konsep Proxy
Konsep
tanpa proxy
Konsep dengan proxy
Untuk mempercepat proses browsing, kita menggunakan proxy untuk menyimpan sebagian
data website. Data yang sudah ada, akan langsung diberikan ke user (HIT). Jika
belum ada, akan dimintakan dari internet, baru kemudian diberikan ke user
(MISS).
Kebutuhan Proxy
Jika ingin menjalankan cache (penyimpanan data proxy), dibutuhkan storage untuk
penyimpanan.
- PC Router :
• 1 harddisk (system
+ cache)
• 1 DOM (system) + 1
harddisk (cache)
- Routerboard (RB800, RB433AH, RB493G, RB1100)
• Internal
storage/NAND (system) + kartu memori
• tambahan (CF/Micro-SD)
untuk cache
Fitur Proxy di RouterOS
- Regular HTTP proxy
- Transparent proxy
Dapat berfungsi juga sebagai transparan dan
- Access list
Berdasarkan source, destination, URL dan requested
- Cache Access list
Menentukan objek mana yang disimpan pada cache
- Direct Access List
Mengatur koneksi mana yang diakses
secara langsung dan yang melalui proxy server lainnya