Saturday, 26 May 2018

Perbandingan firewall mikrotik dan m0n0wall

Balik lagi bosku hari ini saya akan memberikan penjelasan tentang Perbandingan firewall mikrotik dan m0n0wall. Didalam router mikrotik terdapat fitur firewall yang berfungsi untuk melindungi dengan cara mendrop atau mengaccept sebuah paket yang akan masuk, melewati, atau keluar dari router. Fitur tersebut seperti berikut:
  • Filter Rules
  • NAT
  • Mangle
  • Address Lists
  • Layer7 Protocols
  • Service Ports
  • Connection Tracking


M0n0wall adalah sebuah embedded firewall software bebasiskan Sistem Operasi FreeBSD. Didalam  firewall terdapat 4 fitur seperti berikut:
  • Rules
  • NAT
  • Traffic
  • shaper 
  • Aliases
Mikrotik

        1. Filter Rules


Filter Rules merupakan salah satu firewall pada mikrotik yang digunakan untuk menentukan apakah suatu paket data dapat masuk atau tidak kedalam sistem router mikrotik paket data yang akan ditangani fitur filter ini adalah paket data yang ditunjukan pada salah satu interface router.
Fitur filter rules pada mikrotik memiliki 3 chain yaitu :
  • Chain Input = 
digunakan untuk memproses paket data yang masuk ke router melalui salah satu interface dengan alamat IP tujuan yang merupakan salah satu alamat router. Paket tidak dapat melewati router jika bertentangan dengan aturan/rule chain input.
  • Chain Output =
digunakan untuk memproses paket yang berasal dari router dan meninggalkan mellui salah satu interface.
  • Chain Forward = 
digunakan untuk memproses paket yang melewati router.



     2. NAT

NAT (Network Address Translation) pada jaringan komputer berfungsi melakukan perubahan IP Address pengirim dari sebuah paket data sehingga dengan adanya NAT ini setiap komputer pada jaringan LAN dapat mengakses internet dengan mudah.NAT terbagi menjadi dua jenis yaitu :
  • DNAT atau Destiantion Network Address Translation adalah sebuah NAT yang berfungsi untuk meneruskan paket dari IP public melalui firewall ke suatu host dalam jaringan. Dnat hanya bekerja pada tabel nat dan didalam tabel NAT berisi 3 bagian yang disebut dengan CHAIN, ketiga CHAIN tersebut meliputi prerouting, postrouting dan output.
  • SNAT atau Source Network Address Translation yaitu sebuah NAT yang bertugas untuk merubah source address dari suatu paket data. SNAT hanya berlaku pada postrouting.


     3. Mangle

Mangle merupakan suatu cara untuk menandai paket data dan koneksi tertentu yang dapat diterapkan pada fitur mikrotik lainnya, sepeti pada routes, pemisahan bandwidth pada queues, NAT dan filter rules. Tanda mangle yang ada pada router mikrotik hanya bisa digunakan pada router itu sendiri. Dan yang perlu diingat bahwa proses pembacaan rule mangle ini dilakukan dari urutan pertama ke bawah.
Ada beberapa jenis penandaan (Mark) yang ada pada Mangle yaitu Packet Mark (Penandaan Paket), Connection Mark (Penandaan Koneksi), dan Routing Mark (Penandaan Routing). Secara default parameter mangle terbagi menjadi beberapa chain, yaitu :
  • Chain Input digunakan untuk menandai trafik yang masuk menuju ke router mikrotik dan hanya bisa memilih In. Interface saja.
  • Chain Output digunakan untuk menandai trafik yang keluar melalui router mikrotik dan hanya bisa memilih Out. Interface saja.
  • Chain Forward digunakan untuk menandai trafik yang keluar masuk melalui router dan dapat memilih In dan Out Interface.
  • Chain Prerouting digunakan untuk menandai trafik yang masuk menuju dan melalui router (trafik download). Chain ini hanya bisa memilih Out. Interface saja.
  • Chain Postrouting digunakan untuk menandai trafik yang keluar dan melalui router (trafik upload) dan hanya bisa memilih In. Interface saja.


     4. Address Lists

Address Lists adalah salah satu fitur mikrotik yang berfungsi untuk memudahkan kita dalam menandai suatu konfigurasi address. Sehingga dengan address list, kita bisa membuat list address yang ingin di tandai tanpa harus menggangu konfigurasi penting di fitur lainnya.


     5. Layer7 Protocols
Layer7 Protocols  adalah metode untuk mencari pola dalam ICMP / TCP / UDP stream. Atau istilah lainnya regex pattern.

1.               1.  ICMP

ICMP adalah protokol jaringan internet yang berfungsi untuk memberikan kiriman pesan – pesan ke dalam sebuah jaringan, mulai dari mengirimkan pesan eror, pesan diterima, hubungan putus atau connection lost, dan sebagainya. Dengan adanya ICMP ini, maka jaringna akan mengetahui respon – respon yang terjadi salama konektivitas di dalam jaringan itu berlangsung.


     A. Ada beberapa Apa fungsi ICMP:

  • Membantu proses error handling / melaporkan apabila terjadi error pada sebuah jaringan

Error merupakan salah satu gejala yang paling mungkin terjadi di dalam sebuah jaringan komputer. Error biasanya terjadi ketika pesan dan juga request tidak dapat tersampaikan ke host, ataupun koneksi terputus atau kehilangan koneksi dalam proses transmisi data di dalam jaringan komputer. Dengan adanya protocol ICMP ini, maka setiap error yang terjadi dapat dihandle langsung oleh protocol ini, dimana protocol ICMP ini bertugas untuk melakukan tindakan – tindakan ketika terjadi yang namanya error di dalam sebuah jaringan komputer tesebut.
  • Membantu control procedure atau prosedur pengaturan pada sebuah jaringan

Control procedure atau prosedur pengontrolan juga merupakan tugas dan fungsi utama dari protocol ICMP ini. ICMP bertugas untuk mengatur dan mengontrol segala macam bentuk pengaturan pada sebuah jaringan kompter. Dengan adanya ICMP ini, maka setiap jaringan komputer dapat berjalan sesuai dengan prosedur juga ketentuan yang ada, sehingga tidak mengalami melenceng atau kesalahan dalam proses transmisi jaringan tersebut.
  • Menyediakan pengendalian error dan pengendalian arus pada network layer atau lapisan jaringan

Pengendalian error atau error handling sudah dibahas pada poin sebelumnya. Akan tetapi, selain melakukan pengendalian error atau error handling ini, ICMP juga memiliki tugas juga fungsi lainnya, yaitu melakukan pengenalian terhadap arus informasi yang ditransmisikan pada network layer atau lapisan jaringan. Seperti diketahui, ketika bekerja, sebuah jaringan akan memiliki beberapa macam lapisan atau layer – layer tertentu yang mana setiap paket data harus melewatinya. ICMP bertugas untuk melakukan pengendalian terhadap arus yang akan masuk ke dalam masing – masing layer tersebut.
  • Mendeteksi terjadinya error pada jaringan, seperti connection lost, kemacetan jaringan dan sebagainya

Tugas pendeteksian dan juga pelaporan akan terjadinya error juga merupakan tugas dan fungsi utama dari ICMP ini. ICMP merupakan protocol yang memilki peran penting ketika terjadi error pada sebuah jaringan atau network. Ketika ICMP mendeteksi terjadinya error, biasanya router atau perangkat keras jaringan lainnya akan memberikan tanda kepada ICMP, misalnya host tidak dapat dijangkau, atau koneksi terputus.


     B. Tipe – Tipe Pesan pada ICMP:
  • ICMP Error Message

Merupakan suatu pesan atau message yang disampaikan oleh ICMP ketika terjadi kesalahan atau error pada jaringan komputer yang sedang berjalan. ICMP error message ini sendiri juga terbagi menjadi beberapa jenis. Berikut ini adalah beberapa jenis ICMP error message :
  • Destination Unreachable

Destination unreacheable merupakan suatu pesan error yang terjadi ketika pengiiman paket data mengalami kegagalan transmisi, yang disebabkan oleh putusnya jalur koneksi baik jalur secara fisik maupun jalir secara logic pada suatu jaringan. Biasanya destination unreacheable ini disampaikan oleh perangkat keras router.
  • Time Exceeded

Merupakan pesan yang dikirmkan oleh ICMP ketika field TTL pada paket IP sudah habis, namun paket tersebut belum juga sampai pada tujuannya. Hal ini mirip seperti request timed out ketika kita akan masuk ke dalam seuah situs internet.
  • Parameter Problem

Merupaakn pesan kesalahan yang terjadi ketika terjadi kesalahan parameter pada header paket data yang ditransmisikan.
  • Source Quench

Merupakan pesan yang dikirimkan ketika router tujuan mengalami gangguan atau kongesti, sehingga hal in akan menyebabkan pengiriman paket data harus menjadi lebih lambat daripada biasanya.
  • ICMP Query Message

Merupakan pesan pada ICMP yang dikirimkan oleh node, yang kemudian dijawab oleh format – format spesifik dari node yang dituju, jadi tidak berhubungan degnan error message, dan hanya berupa pembalasan pesan yang dikirmkan.


       2. TCP

TCP/IP (Transmission Control Protocol/ Internet Protocol ) adalah sekumpulan protokol yang didesain untuk melakukan fungsi-fungsi komunikasi data seperti pada LAN(Local Area Network) dan WAN(Wide Area Network). TCP/IP terdiri atas sekumpulan protokol yang masing-masing bertanggung jawab atas bagian-bagian tertentu dari komunikasi data.

  • Application
  • Transport
  • Network
  • Data-link
  • physical

Dalam TCP/IP, terjadi penyampaian data dari protokol yang berada di satu layer dengan protokol yang berada di layer yang lain. Setiap protokol memperlakukan semua informasi yang diterimanya dari protokol lain sebagai data. Jika suatu protocol menerima data dari protokol lain di layer atasnya, maka akan menambahkan informasi tambahan miliknya ke data tersebut. Informasi ini memiliki fungsi yang sesuai dengan fungsi dari protokol tersebut. Setelah itu, data ini diteruskan lagi ke protokol pada layer dibawahnya.

TCP/IP terdiri dari 4 lapisan (layer) yang berupa sekumpulan protokol yang bertingkat. Keempat lapis / layer tersebut adalah :
  • Network Interface Layer

Network Interface Layer bertanggung jawab untuk mengirim dan menerima data dari media fisik yang dapat berupa kabel, serat optik atau gelombang radio. Karena tugasnya ini, protokol pada layer ini harus mampu menerjemahkan sinyal listrik menjadi data digital yang dimengerti komputer, yang berasal dari peralatan lain yang sejenis, misalnya Ethernet, repeater, brigde, router, hub.
  • Internet Layer
Internet Layer bertanggung jawab dalam proses pengiriman ke alamat yang tepat.
  • Transport Layer

Transport Layer berisikan protokol-protokol yang bertangung jawab dalam mengadakan komunikasi antar dua host atau komputer. Kedua protokol tersebut adalah TCP (Transmission Control Protocol) dan UDP (User DatagramProtocol).
  • Application Layer

Application Layer merupakan tempat aplikasi-aplikasi yang menggunakan TCP/IP stack berada, contohnya antara lain SMTP (Simple Mail Transfer Protocol) adalah suatu protokol aplikasi yang merupakan sistem pengiriman message/pesan atau email, HTTP (HyperText Transfer Protocol) adalah suatu protokol digunakan untuk transfer halaman web dan FTP (File Transfer Protocol) adalah layanan untuk melakukan upload dan download file.


     3. UDP

UDP, singkatan dari User Datagram Protocol, adalah salah satu protokol lapisan transpor TCP/IP yang mendukung komunikasi yang tidak andal (unreliable), tanpa koneksi (connectionless) antara host-host dalam jaringan yang menggunakan TCP/IP.


6. Service Ports

mengamankan router dengan cara menonaktifkan service port yang TIDAK di gunakan, misalkan port SSH dan Telnet. sehingga ketika ada user yang ingin mencoba untuk mengakses router tidak akan bisa, Selain menonaktifkan port, kita juga bisa mengatur siapa saja dan melalui apa user tersebut dapat mengakses router berdasarkan IP komputer. Menonaktifkan port merupakan cara yang kurang efektif untuk di lakukan jika port tersebut masih di gunakan, cara lainnya yaitu dengan mengubah default port yang di gunakan. 

A. Ada beberapa service yang secara default dijalankan oleh router mikrotik. Berikut detail informasi service router MikroTik dan kegunaannya:
  • API : Application Programmable Interface, sebuah service yang mengijinkan user membuat custom software atau aplikasi yang berkomunikasi dengan router, misal untuk mengambil informasi didalam router, atau bahkan melakukan konfigurasi terhadap router. Menggunakan port 8728.
  • API-SSL : Memiliki fungsi yang sama sama seperti API, hanya saja untuk API SSL lebih secure karena dilengkapi dengan ssl certificate. API SSL ini berjalan dengan menggunakan port 8729.
  • FTP : Mikrotik menyediakan standart service FTP yang menggunakan port 20 dan 21. FTP biasa digunakan untuk upload atau download data router, misal file backup. Authorisasi FTP menggunakan user & password account router.
  • SSH : Merupakan salah satu cara remote router secara console dengan secure. Hampir sama seperti telnet, hanya saja bersifat lebih secure karena data yang ditrasmisikan oleh SSH dienskripsi. SSH MikroTik by default menggunakan port 22.
  • Telnet : Memiliki fungsi yang hampir sama dengan ssh hanya saja memiliki beberapa keterbatasan dan tingkat keamanan yang rendah. Biasa digunakan untuk remote router secara console. Service telnet MikroTik menggunakan port 23.
  • Winbox :Service yang mengijinkan koneksi aplikasi winbox ke router. Tentu kita sudah tidak asing dengan aplikasi winbox yang biasa digunakan untuk meremote router secara grafik. Koneksi winbox menggunakan port 8291.
  • WWW : Selain remote console dan winbox, mikrotik juga menyediakan cara akses router via web-base dengan menggunakan browser. Port yang digunakan adalah standart port HTTP, yaitu port 80.
  • WWW-SSL : Sama seperti service WWW yang mengijinkan akses router menggunakan web-base, akan tetapi www-ssl ini lebih secure karena menggunakan certificae ssl untuk membangun koneksi antara router dengan client yang akan melakukan remote. By default menggunakan port 443.

B. Ada beberapa opsi kebijakan yang akan diberikan untuk menentukan priviledge user. berikut detail opsi policy dan hak yang dimiliki :
  • local : kebijakan yang mengijinkan user login via local console (keyboard, monitor)
  • telnet : kebijakan yang mengijinkan use login secara remote via telnet
  • ssh : kebijakan yang mengijinkan user login secara remote via secure shell protocol
  • ftp : Kebijakan yang mengijinkan hak penuh login via FTP, termasuk transfer file dar/menuju router. User dengan kebijakan ini memiliki hak read, write, dan menghapus files.
  • reboot : Kebijakan yang mengijinkan user me-restart router.
  • read : Kebijakan yang mengijinkan untuk melihat Konfigurasi router. Semua command console yang tidak bersifat konfigurasi bisa diakses.
  • write : Kebijakan yang mengijinkan untuk melakukan konfigurasi router, kecuali user management. Policy ini tidak mengijinkan user untuk membaca konfigurasi router, user yang diberikan policy wirte ini juga disarankan juga diberikan policy read.
  • policy : Kebijakan yang meemberikan hak untuk management user. Should be used together with write policy. Allows also to see global variables created by other users (requires also 'test' policy).
 test : Kebijakan yang memberikan hak untuk menjalankan ping, traceroute, bandwidth-test, wireless scan, sniffer, snooper dan test commands lainnya.
  • web : Kebijakan yang memberikan hak untuk remote router via WebBox
  • winbox : Kebijakan yang memberikan hak untuk remote router via WinBox
  • password : Kebijakan yang memberikan hak untuk mengubah password
  • sensitive : Kebijakan yang memberikan hak untuk melihat informasi sensitif router, misal secret radius, authentication-key, dll.
  • api : Kebijakan yang memberikan hak untuk remote router via API.
  • sniff : Kebijakan yang memberikan hak untuk menggunakan tool packet sniffer

7. Connection Tracking

Connection Tracking adalah sebuah fitur mikrotik yang berfungsi untuk melihat informasi koneksi yang melewati router seperti source dan destination ip address dan port yang sedang digunakan, status koneksi, tipe protocol, dll.
Connection Tracking mempunyai beberapa status koneksi:
  • estabilished, yaitu paket data yang sedang berlangsung
  • new, yaitu paket data yang baru akan masuk
  • related, yaitu paket data yang masih berhubungan dengan koneksi yang sedang berlangsung
  • invalid: yaitu paket data yang tidak jelas tujuannya mau kemana.


m0n0wall


A.     Rules

digunakan untuk menentukan apakah suatu paket data dapat masuk atau tidak dengan cara memblokir port tersebut agar tidak terhubung ke internet.


B.NAT
Untuk mengizinkan koneksi dari internet ke PC. Ada empat tab pada pilihan NAT, Inbound, Server
NAT, dan Outbound. Inbound ini mirip dengan fungsi yang akan temukan pada firewall yang lain
dan beberapa router, dan memungkinkan koneksi ke alamat IP dari interface WAN untuk diletakkan
ke alamat IP pada salah satu interface internal.
  • Inbound NAT
Inbound NAT memungkinkan Anda untuk membuka port TCP dan / atau UDP atau rentang port ke host pada jaringan yang dilindungi oleh m0n0wall. Anda mungkin perlu membuka port untuk memungkinkan aplikasi dan protokol NAT-unfriendly tertentu berfungsi dengan benar. Juga jika Anda menjalankan layanan atau aplikasi apa pun yang memerlukan koneksi masuk ke mesin di jaringan internal Anda, Anda akan memerlukan NAT. Lalu lintas masuk adalah data yang masuk pada antarmuka NAT m0n0wall yang dipilih yang belum melakukan perjalanan througn th m0n0wall itu sendiri. Sebagai contoh, lalu lintas masuk pada antarmuka WAN yang datang langsung dari Internet dapat memiliki aturan masuk yang diterapkan untuk itu tetapi lalu lintas dari jaringan LAN yang melewati antarmuka WAN tidak dapat memiliki aturan masuk yang diterapkan karena lalu lintas itu harus melewati m0n0wall untuk tiba di antarmuka WAN.
  • Server NAT
Server NAT memberi Anda kemampuan untuk menentukan alamat IP tambahan, selain WAN IP, yang akan tersedia untuk aturan NAT Masuk. Ini dapat digunakan untuk memungkinkan dua atau lebih alamat IP dapat diakses dari antarmuka jaringan yang dipilih.
  • Outbound NAT
m0n0wall secara otomatis menambahkan aturan NAT ke semua antarmuka ke NAT host internal Anda ke alamat IP WAN Anda untuk lalu lintas keluar. Satu-satunya pengecualian adalah untuk setiap host yang Anda konfigurasikan entri NAT. Oleh karena itu, jika Anda menggunakan alamat IP publik pada salah satu antarmuka di belakang m0n0wall Anda, Anda perlu mengubah perilaku NAT default m0n0wall dengan mengaktifkan Outbound NAT

C. Traffic shaper
Traffic shaping adalah teknik manajemen bandwidth yang digunakan pada jaringan komputer yang
menunda beberapa atau semua datagram untuk membuatnya sesuai dengan profil lalu lintas yang
diinginkan.Traffic shaping digunakan untuk mengoptimalkan atau menjamin kinerja, meningkatkan
latensi, atau meningkatkan bandwidth yang dapat digunakan untuk beberapa jenis paket dengan
menunda jenis lainnya. Hal ini sering disalahartikan dengan pemolisian lalu lintas, praktik yang
berbeda tetapi terkait dengan menjatuhkan paket dan menandai paket.

D. Aliases
Aliase bertindak sebagai placeholder untuk alamat IP sebenarnya dan dapat digunakan
untuk meminimalkan jumlah perubahan yang harus dilakukan jika host atau alamat jaringan
berubah.Anda dapat memasukkan nama alias, bukan alamat IP di semua bidang alamat yang
memiliki latar belakang biru. Alias ​​akan dipecahkan ke alamat saat ini sesuai dengan daftar alias
yang ditetapkan. Jika alias tidak dapat diselesaikan (misalnya karena Anda menghapusnya), elemen
terkait (misalnya aturan filter / NAT / pembentuk) akan dianggap tidak valid dan dilewati.

   Perbandingan Mikrotik :
  •     Mikrotik adalah sistem operasi yang dirancang untuk menjadi router, Menggunakan metode fifo(antrian)dalam pemrosesan data dimana data yang pertama masuk akan terlebih dahulu di prosessampai selesai kecuali request tersebut mengalami keadaan time out dimana request tidak dapat dilayani sampai waktu yang ditentukan.
  •     Koneksi secara simultan dalam jumlah yang banyak akan membebani resource memori Semakin banyak aturan firewall akan semakin membebankan resource hardware pada komputer yang terinstall mikrotik
  •     Aturan pada mikrotik yang seringkali saling tumpang tindih (kesalahan konfigurasi oleh admin).
  •     Mikrotik khusus untuk melayani routing sesuaikan Konfigurasi dengan kondisi hardware router.

Perbandingan Menggunakan M0n0wall
  •    M0n0wall adalah sistem operasi yang dirancang untuk menjadi router, Koneksi yang berlebihan dalam jumlah yang banyak akan membebani resource memori. 
  •    Semakin banyak aturan firewall akan semakin membebankan resource hardware pada komputer yang terinstall m0n0wall.
  •    Aturan pada m0n0wall yang seringkali saling tumpang tindih (kesalahan konfigurasi oleh admin).
  •     Kinerja PC Router menjadi lebih tidak stabil karena PC router di m0n0wall yang mengendalikan seluruh jaringan komputer.
Perbandingan firewall mikrotik dan m0n0wall







sumber artikel : mikrotik.co.id / m0n0.ch


EmoticonEmoticon