Balik lagi bosku hari ini saya akan memberikan penjelasan tentang Perbandingan firewall mikrotik dan m0n0wall. Didalam router mikrotik terdapat
fitur firewall yang berfungsi untuk melindungi dengan cara mendrop atau
mengaccept sebuah paket yang akan masuk, melewati, atau keluar dari router.
Fitur tersebut seperti berikut:
- Filter Rules
- NAT
- Mangle
- Address Lists
- Layer7 Protocols
- Service Ports
- Connection Tracking
M0n0wall adalah sebuah embedded
firewall software bebasiskan Sistem Operasi FreeBSD. Didalam firewall terdapat 4 fitur seperti berikut:
- Rules
- NAT
- Traffic
- shaper
- Aliases
Mikrotik
Filter
Rules merupakan salah satu firewall pada mikrotik yang digunakan untuk
menentukan apakah suatu paket data dapat masuk atau tidak kedalam sistem router
mikrotik paket data yang akan ditangani fitur filter ini adalah paket data yang
ditunjukan pada salah satu interface router.
Fitur
filter rules pada mikrotik memiliki 3 chain yaitu :
- Chain Input =
- Chain Output =
- Chain Forward =
2. NAT
NAT
(Network Address Translation) pada jaringan komputer berfungsi melakukan
perubahan IP Address pengirim dari sebuah paket data sehingga dengan adanya NAT
ini setiap komputer pada jaringan LAN dapat mengakses internet dengan mudah.NAT
terbagi menjadi dua jenis yaitu :
- DNAT atau Destiantion Network Address Translation adalah sebuah NAT yang berfungsi untuk meneruskan paket dari IP public melalui firewall ke suatu host dalam jaringan. Dnat hanya bekerja pada tabel nat dan didalam tabel NAT berisi 3 bagian yang disebut dengan CHAIN, ketiga CHAIN tersebut meliputi prerouting, postrouting dan output.
- SNAT atau Source Network Address Translation yaitu sebuah NAT yang bertugas untuk merubah source address dari suatu paket data. SNAT hanya berlaku pada postrouting.
3. Mangle
Mangle
merupakan suatu cara untuk menandai paket data dan koneksi tertentu yang dapat
diterapkan pada fitur mikrotik lainnya, sepeti pada routes, pemisahan bandwidth
pada queues, NAT dan filter rules. Tanda mangle yang ada pada router mikrotik
hanya bisa digunakan pada router itu sendiri. Dan yang perlu diingat bahwa
proses pembacaan rule mangle ini dilakukan dari urutan pertama ke bawah.
Ada
beberapa jenis penandaan (Mark) yang ada pada Mangle yaitu Packet Mark
(Penandaan Paket), Connection Mark (Penandaan Koneksi), dan Routing Mark
(Penandaan Routing). Secara default parameter mangle terbagi menjadi beberapa
chain, yaitu :
- Chain Input digunakan untuk menandai trafik yang masuk menuju ke router mikrotik dan hanya bisa memilih In. Interface saja.
- Chain Output digunakan untuk menandai trafik yang keluar melalui router mikrotik dan hanya bisa memilih Out. Interface saja.
- Chain Forward digunakan untuk menandai trafik yang keluar masuk melalui router dan dapat memilih In dan Out Interface.
- Chain Prerouting digunakan untuk menandai trafik yang masuk menuju dan melalui router (trafik download). Chain ini hanya bisa memilih Out. Interface saja.
- Chain Postrouting digunakan untuk menandai trafik yang keluar dan melalui router (trafik upload) dan hanya bisa memilih In. Interface saja.
4. Address Lists
Address Lists adalah
salah satu fitur mikrotik yang berfungsi untuk memudahkan kita dalam menandai
suatu konfigurasi address. Sehingga dengan address list, kita bisa membuat list
address yang ingin di tandai tanpa harus menggangu konfigurasi penting di fitur
lainnya.
5. Layer7 Protocols
Layer7 Protocols adalah metode untuk mencari pola dalam ICMP / TCP / UDP stream. Atau istilah lainnya regex pattern.
Layer7 Protocols adalah metode untuk mencari pola dalam ICMP / TCP / UDP stream. Atau istilah lainnya regex pattern.
1. 1. ICMP
ICMP
adalah protokol jaringan internet yang berfungsi untuk memberikan kiriman pesan
– pesan ke dalam sebuah jaringan, mulai dari mengirimkan pesan eror, pesan
diterima, hubungan putus atau connection lost, dan sebagainya. Dengan adanya
ICMP ini, maka jaringna akan mengetahui respon – respon yang terjadi salama
konektivitas di dalam jaringan itu berlangsung.
A. Ada
beberapa Apa fungsi ICMP:
- Membantu proses error handling / melaporkan apabila terjadi error pada sebuah jaringan
Error
merupakan salah satu gejala yang paling mungkin terjadi di dalam sebuah
jaringan komputer. Error biasanya terjadi ketika pesan dan juga request tidak
dapat tersampaikan ke host, ataupun koneksi terputus atau kehilangan koneksi
dalam proses transmisi data di dalam jaringan komputer. Dengan adanya protocol
ICMP ini, maka setiap error yang terjadi dapat dihandle langsung oleh protocol
ini, dimana protocol ICMP ini bertugas untuk melakukan tindakan – tindakan
ketika terjadi yang namanya error di dalam sebuah jaringan komputer tesebut.
- Membantu control procedure atau prosedur pengaturan pada sebuah jaringan
Control
procedure atau prosedur pengontrolan juga merupakan tugas dan fungsi utama dari
protocol ICMP ini. ICMP bertugas untuk mengatur dan mengontrol segala macam
bentuk pengaturan pada sebuah jaringan kompter. Dengan adanya ICMP ini, maka
setiap jaringan komputer dapat berjalan sesuai dengan prosedur juga ketentuan
yang ada, sehingga tidak mengalami melenceng atau kesalahan dalam proses transmisi
jaringan tersebut.
- Menyediakan pengendalian error dan pengendalian arus pada network layer atau lapisan jaringan
Pengendalian
error atau error handling sudah dibahas pada poin sebelumnya. Akan tetapi,
selain melakukan pengendalian error atau error handling ini, ICMP juga memiliki
tugas juga fungsi lainnya, yaitu melakukan pengenalian terhadap arus informasi
yang ditransmisikan pada network layer atau lapisan jaringan. Seperti
diketahui, ketika bekerja, sebuah jaringan akan memiliki beberapa macam lapisan
atau layer – layer tertentu yang mana setiap paket data harus melewatinya. ICMP
bertugas untuk melakukan pengendalian terhadap arus yang akan masuk ke dalam
masing – masing layer tersebut.
- Mendeteksi terjadinya error pada jaringan, seperti connection lost, kemacetan jaringan dan sebagainya
Tugas
pendeteksian dan juga pelaporan akan terjadinya error juga merupakan tugas dan
fungsi utama dari ICMP ini. ICMP merupakan protocol yang memilki peran penting
ketika terjadi error pada sebuah jaringan atau network. Ketika ICMP mendeteksi
terjadinya error, biasanya router atau perangkat keras jaringan lainnya akan
memberikan tanda kepada ICMP, misalnya host tidak dapat dijangkau, atau koneksi
terputus.
B. Tipe
– Tipe Pesan pada ICMP:
- ICMP Error Message
Merupakan
suatu pesan atau message yang disampaikan oleh ICMP ketika terjadi kesalahan
atau error pada jaringan komputer yang sedang berjalan. ICMP error message ini
sendiri juga terbagi menjadi beberapa jenis. Berikut ini adalah beberapa jenis
ICMP error message :
- Destination Unreachable
Destination
unreacheable merupakan suatu pesan error yang terjadi ketika pengiiman paket
data mengalami kegagalan transmisi, yang disebabkan oleh putusnya jalur koneksi
baik jalur secara fisik maupun jalir secara logic pada suatu jaringan. Biasanya
destination unreacheable ini disampaikan oleh perangkat keras router.
- Time Exceeded
Merupakan
pesan yang dikirmkan oleh ICMP ketika field TTL pada paket IP sudah habis,
namun paket tersebut belum juga sampai pada tujuannya. Hal ini mirip seperti
request timed out ketika kita akan masuk ke dalam seuah situs internet.
- Parameter Problem
Merupaakn
pesan kesalahan yang terjadi ketika terjadi kesalahan parameter pada header
paket data yang ditransmisikan.
- Source Quench
Merupakan
pesan yang dikirimkan ketika router tujuan mengalami gangguan atau kongesti,
sehingga hal in akan menyebabkan pengiriman paket data harus menjadi lebih
lambat daripada biasanya.
- ICMP Query Message
Merupakan pesan pada
ICMP yang dikirimkan oleh node, yang kemudian dijawab oleh format – format
spesifik dari node yang dituju, jadi tidak berhubungan degnan error message,
dan hanya berupa pembalasan pesan yang dikirmkan.
2. TCP
TCP/IP (Transmission Control
Protocol/ Internet Protocol ) adalah sekumpulan protokol yang didesain untuk
melakukan fungsi-fungsi komunikasi data seperti pada LAN(Local Area Network)
dan WAN(Wide Area Network). TCP/IP terdiri atas sekumpulan protokol yang
masing-masing bertanggung jawab atas bagian-bagian tertentu dari komunikasi
data.
- Application
- Transport
- Network
- Data-link
- physical
Dalam TCP/IP, terjadi penyampaian
data dari protokol yang berada di satu layer dengan protokol yang berada di
layer yang lain. Setiap protokol memperlakukan semua informasi yang diterimanya
dari protokol lain sebagai data. Jika suatu protocol menerima data dari
protokol lain di layer atasnya, maka akan menambahkan informasi tambahan
miliknya ke data tersebut. Informasi ini memiliki fungsi yang sesuai dengan
fungsi dari protokol tersebut. Setelah itu, data ini diteruskan lagi ke
protokol pada layer dibawahnya.
TCP/IP terdiri dari 4 lapisan
(layer) yang berupa sekumpulan protokol yang bertingkat. Keempat lapis / layer
tersebut adalah :
- Network Interface Layer
Network Interface Layer
bertanggung jawab untuk mengirim dan menerima data dari media fisik yang dapat
berupa kabel, serat optik atau gelombang radio. Karena tugasnya ini, protokol
pada layer ini harus mampu menerjemahkan sinyal listrik menjadi data digital
yang dimengerti komputer, yang berasal dari peralatan lain yang sejenis,
misalnya Ethernet, repeater, brigde, router, hub.
- Internet Layer
- Transport Layer
Transport Layer berisikan
protokol-protokol yang bertangung jawab dalam mengadakan komunikasi antar dua
host atau komputer. Kedua protokol tersebut adalah TCP (Transmission Control
Protocol) dan UDP (User DatagramProtocol).
- Application Layer
Application Layer merupakan
tempat aplikasi-aplikasi yang menggunakan TCP/IP stack berada, contohnya antara
lain SMTP (Simple Mail Transfer Protocol) adalah suatu protokol aplikasi yang
merupakan sistem pengiriman message/pesan atau email, HTTP (HyperText Transfer
Protocol) adalah suatu protokol digunakan untuk transfer halaman web dan FTP
(File Transfer Protocol) adalah layanan untuk melakukan upload dan download
file.
3. UDP
UDP, singkatan dari User Datagram
Protocol, adalah salah satu protokol lapisan transpor TCP/IP yang mendukung
komunikasi yang tidak andal (unreliable), tanpa koneksi (connectionless) antara
host-host dalam jaringan yang menggunakan TCP/IP.
6. Service Ports
mengamankan
router dengan cara menonaktifkan service port yang TIDAK di gunakan, misalkan
port SSH dan Telnet. sehingga ketika ada user yang ingin mencoba untuk
mengakses router tidak akan bisa, Selain menonaktifkan port, kita juga bisa
mengatur siapa saja dan melalui apa user tersebut dapat mengakses router
berdasarkan IP komputer. Menonaktifkan port merupakan cara yang kurang efektif
untuk di lakukan jika port tersebut masih di gunakan, cara lainnya yaitu dengan
mengubah default port yang di gunakan.
A. Ada beberapa service
yang secara default dijalankan oleh router mikrotik. Berikut detail informasi
service router MikroTik dan kegunaannya:
- API : Application Programmable Interface, sebuah service yang mengijinkan user membuat custom software atau aplikasi yang berkomunikasi dengan router, misal untuk mengambil informasi didalam router, atau bahkan melakukan konfigurasi terhadap router. Menggunakan port 8728.
- API-SSL : Memiliki fungsi yang sama sama seperti API, hanya saja untuk API SSL lebih secure karena dilengkapi dengan ssl certificate. API SSL ini berjalan dengan menggunakan port 8729.
- FTP : Mikrotik menyediakan standart service FTP yang menggunakan port 20 dan 21. FTP biasa digunakan untuk upload atau download data router, misal file backup. Authorisasi FTP menggunakan user & password account router.
- SSH : Merupakan salah satu cara remote router secara console dengan secure. Hampir sama seperti telnet, hanya saja bersifat lebih secure karena data yang ditrasmisikan oleh SSH dienskripsi. SSH MikroTik by default menggunakan port 22.
- Telnet : Memiliki fungsi yang hampir sama dengan ssh hanya saja memiliki beberapa keterbatasan dan tingkat keamanan yang rendah. Biasa digunakan untuk remote router secara console. Service telnet MikroTik menggunakan port 23.
- Winbox :Service yang mengijinkan koneksi aplikasi winbox ke router. Tentu kita sudah tidak asing dengan aplikasi winbox yang biasa digunakan untuk meremote router secara grafik. Koneksi winbox menggunakan port 8291.
- WWW : Selain remote console dan winbox, mikrotik juga menyediakan cara akses router via web-base dengan menggunakan browser. Port yang digunakan adalah standart port HTTP, yaitu port 80.
- WWW-SSL : Sama seperti service WWW yang mengijinkan akses router menggunakan web-base, akan tetapi www-ssl ini lebih secure karena menggunakan certificae ssl untuk membangun koneksi antara router dengan client yang akan melakukan remote. By default menggunakan port 443.
B. Ada beberapa opsi kebijakan yang akan diberikan
untuk menentukan priviledge user. berikut detail opsi policy dan hak yang
dimiliki :
- local : kebijakan yang mengijinkan user login via local console (keyboard, monitor)
- telnet : kebijakan yang mengijinkan use login secara remote via telnet
- ssh : kebijakan yang mengijinkan user login secara remote via secure shell protocol
- ftp : Kebijakan yang mengijinkan hak penuh login via FTP, termasuk transfer file dar/menuju router. User dengan kebijakan ini memiliki hak read, write, dan menghapus files.
- reboot : Kebijakan yang mengijinkan user me-restart router.
- read : Kebijakan yang mengijinkan untuk melihat Konfigurasi router. Semua command console yang tidak bersifat konfigurasi bisa diakses.
- write : Kebijakan yang mengijinkan untuk melakukan konfigurasi router, kecuali user management. Policy ini tidak mengijinkan user untuk membaca konfigurasi router, user yang diberikan policy wirte ini juga disarankan juga diberikan policy read.
- policy : Kebijakan yang meemberikan hak untuk management user. Should be used together with write policy. Allows also to see global variables created by other users (requires also 'test' policy).
- web : Kebijakan yang memberikan hak untuk remote router via WebBox
- winbox : Kebijakan yang memberikan hak untuk remote router via WinBox
- password : Kebijakan yang memberikan hak untuk mengubah password
- sensitive : Kebijakan yang memberikan hak untuk melihat informasi sensitif router, misal secret radius, authentication-key, dll.
- api : Kebijakan yang memberikan hak untuk remote router via API.
- sniff : Kebijakan yang memberikan hak untuk menggunakan tool packet sniffer
7. Connection Tracking
Connection
Tracking adalah sebuah fitur mikrotik yang berfungsi untuk melihat informasi
koneksi yang melewati router seperti source dan destination ip address dan port
yang sedang digunakan, status koneksi, tipe protocol, dll.
Connection
Tracking mempunyai beberapa status koneksi:
- estabilished, yaitu paket data yang sedang berlangsung
- new, yaitu paket data yang baru akan masuk
- related, yaitu paket data yang masih berhubungan dengan koneksi yang sedang berlangsung
- invalid: yaitu paket data yang tidak jelas tujuannya mau kemana.
m0n0wall
A.
Rules
digunakan untuk
menentukan apakah suatu paket data dapat masuk atau tidak dengan cara memblokir
port tersebut agar tidak terhubung ke internet.
B.NAT
Untuk mengizinkan koneksi dari internet ke PC. Ada empat tab pada pilihan NAT, Inbound, Server
NAT, dan Outbound. Inbound ini mirip dengan fungsi yang akan temukan pada firewall yang lain
dan beberapa router, dan memungkinkan koneksi ke alamat IP dari interface WAN untuk diletakkan
ke alamat IP pada salah satu interface internal.
Untuk mengizinkan koneksi dari internet ke PC. Ada empat tab pada pilihan NAT, Inbound, Server
NAT, dan Outbound. Inbound ini mirip dengan fungsi yang akan temukan pada firewall yang lain
dan beberapa router, dan memungkinkan koneksi ke alamat IP dari interface WAN untuk diletakkan
ke alamat IP pada salah satu interface internal.
- Inbound NAT
Inbound
NAT memungkinkan Anda untuk membuka port TCP dan / atau UDP atau rentang port
ke host pada jaringan yang dilindungi oleh m0n0wall. Anda mungkin perlu membuka
port untuk memungkinkan aplikasi dan protokol NAT-unfriendly tertentu berfungsi
dengan benar. Juga jika Anda menjalankan layanan atau aplikasi apa pun yang
memerlukan koneksi masuk ke mesin di jaringan internal Anda, Anda akan
memerlukan NAT. Lalu lintas masuk adalah data yang masuk pada antarmuka NAT
m0n0wall yang dipilih yang belum melakukan perjalanan througn th m0n0wall itu
sendiri. Sebagai contoh, lalu lintas masuk pada antarmuka WAN yang datang
langsung dari Internet dapat memiliki aturan masuk yang diterapkan untuk itu
tetapi lalu lintas dari jaringan LAN yang melewati antarmuka WAN tidak dapat
memiliki aturan masuk yang diterapkan karena lalu lintas itu harus melewati
m0n0wall untuk tiba di antarmuka WAN.
- Server NAT
Server
NAT memberi Anda kemampuan untuk menentukan alamat IP tambahan, selain WAN IP,
yang akan tersedia untuk aturan NAT Masuk. Ini dapat digunakan untuk
memungkinkan dua atau lebih alamat IP dapat diakses dari antarmuka jaringan
yang dipilih.
- Outbound NAT
m0n0wall secara otomatis menambahkan aturan
NAT ke semua antarmuka ke NAT host internal Anda ke alamat IP WAN Anda untuk
lalu lintas keluar. Satu-satunya pengecualian adalah untuk setiap host yang
Anda konfigurasikan entri NAT. Oleh karena itu, jika Anda menggunakan alamat IP
publik pada salah satu antarmuka di belakang m0n0wall Anda, Anda perlu mengubah
perilaku NAT default m0n0wall dengan mengaktifkan Outbound NAT
Perbandingan Menggunakan M0n0wall
C. Traffic
shaper
Traffic
shaping adalah teknik manajemen bandwidth yang digunakan pada jaringan komputer
yang
menunda beberapa atau semua datagram untuk membuatnya sesuai dengan profil
lalu lintas yang
diinginkan.Traffic shaping digunakan untuk mengoptimalkan atau
menjamin kinerja, meningkatkan
latensi, atau meningkatkan bandwidth yang dapat
digunakan untuk beberapa jenis paket dengan
menunda jenis lainnya. Hal ini
sering disalahartikan dengan pemolisian lalu lintas, praktik yang
berbeda
tetapi terkait dengan menjatuhkan paket dan menandai paket.
D. Aliases
Aliase
bertindak sebagai placeholder untuk alamat IP sebenarnya dan dapat digunakan
untuk meminimalkan jumlah perubahan yang harus dilakukan jika host atau alamat jaringan
berubah.Anda dapat memasukkan nama alias, bukan alamat IP di semua bidang alamat yang
memiliki latar belakang biru. Alias akan dipecahkan ke alamat saat ini sesuai dengan daftar alias
yang ditetapkan. Jika alias tidak dapat diselesaikan (misalnya karena Anda menghapusnya), elemen
terkait (misalnya aturan filter / NAT / pembentuk) akan dianggap tidak valid dan dilewati.
untuk meminimalkan jumlah perubahan yang harus dilakukan jika host atau alamat jaringan
berubah.Anda dapat memasukkan nama alias, bukan alamat IP di semua bidang alamat yang
memiliki latar belakang biru. Alias akan dipecahkan ke alamat saat ini sesuai dengan daftar alias
yang ditetapkan. Jika alias tidak dapat diselesaikan (misalnya karena Anda menghapusnya), elemen
terkait (misalnya aturan filter / NAT / pembentuk) akan dianggap tidak valid dan dilewati.
Perbandingan Mikrotik :
- Mikrotik adalah sistem operasi yang dirancang untuk menjadi router, Menggunakan metode fifo(antrian)dalam pemrosesan data dimana data yang pertama masuk akan terlebih dahulu di prosessampai selesai kecuali request tersebut mengalami keadaan time out dimana request tidak dapat dilayani sampai waktu yang ditentukan.
- Koneksi secara simultan dalam jumlah yang banyak akan membebani resource memori Semakin banyak aturan firewall akan semakin membebankan resource hardware pada komputer yang terinstall mikrotik
- Aturan pada mikrotik yang seringkali saling tumpang tindih (kesalahan konfigurasi oleh admin).
- Mikrotik khusus untuk melayani routing sesuaikan Konfigurasi dengan kondisi hardware router.
Perbandingan Menggunakan M0n0wall
- M0n0wall adalah sistem operasi yang dirancang untuk menjadi router, Koneksi yang berlebihan dalam jumlah yang banyak akan membebani resource memori.
- Semakin banyak aturan firewall akan semakin membebankan resource hardware pada komputer yang terinstall m0n0wall.
- Aturan pada m0n0wall yang seringkali saling tumpang tindih (kesalahan konfigurasi oleh admin).
- Kinerja PC Router menjadi lebih tidak stabil karena PC router di m0n0wall yang mengendalikan seluruh jaringan komputer.
EmoticonEmoticon