Vlan Tag Stacking

Vlan Tag Stacking

Pada RouterOS v6.43 dimungkinkan untuk memaksa menambahkan tag VLAN baru di atas tag VLAN yang ada, fitur ini dapat digunakan untuk mencapai pengaturan penumpukan CVID, di mana tag CVID (0x8100) ditambahkan sebelum tag CVID yang ada. Jenis pengaturan ini sangat mirip dengan pengaturan Bridge Provider, untuk mencapai pengaturan yang sama tetapi dengan beberapa tag CVID (CVID stacking) kita dapat menggunakan topologi yang sama:

Dalam contoh ini, R1, R2, R3, dan R4 mungkin mengirimkan lalu lintas dengan tag VLAN, dapat berupa 802.1ad, 802.1Q atau jenis lalu lintas lainnya, tetapi SW1 dan SW2 perlu memisahkan lalu lintas antar router dengan cara yang dapat dilakukan R1 berkomunikasi hanya dengan R3 dan R2 hanya mampu berkomunikasi dengan R4. Untuk melakukannya, Anda dapat menandai semua lalu lintas masuk dengan tag CVID baru dan hanya mengizinkan VLAN ini pada port tertentu. Mulailah dengan memilih EtherType yang tepat, gunakan perintah ini pada SW1 dan SW2:

/interface bridge
add name=bridge1 vlan-filtering=no ether-type=0x8100

Dalam pengaturan ini, ether1 dan ether2 akan mengabaikan tag VLAN yang ada dan menambahkan tag VLAN baru, menggunakan parameter pvid untuk menandai semua lalu lintas masuk pada setiap port dan memungkinkan penumpukan tag pada port ini, gunakan perintah ini pada SW1 dan SW2:

/interface bridge port
add interface=ether1 bridge=bridge1 pvid=200 tag-stacking=yes
add interface=ether2 bridge=bridge1 pvid=300 tag-stacking=yes
add interface=ether3 bridge=bridge1

Tentukan port yang ditandai dan tidak diberi tag di tabel VLAN bridge, Anda hanya perlu menentukan ID VLAN dari tag luar, gunakan perintah ini di SW1 dan SW2:

/interface bridge vlan
add bridge=bridge1 tagged=ether3 untagged=ether1 vlan-ids=200
add bridge=bridge1 tagged=ether3 untagged=ether2 vlan-ids=300

Ketika bridge VLAN table dikonfigurasi, Anda dapat mengaktifkan bridge VLAN filtering, yang diperlukan agar parameter PVID memiliki efek apa pun, gunakan perintah ini pada SW1 dan SW2:

/interface bridge set bridge1 vlan-filtering=yes

Peringatan: Dengan mengaktifkan vlan-filtering Anda akan memfilter lalu lintas yang ditujukan ke CPU, sebelum mengaktifkan penyaringan VLAN, Anda harus memastikan bahwa Anda mengatur port Manajemen.

Sumber : https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge

Read More

VLAN Tunneling (Q-in-Q)

VLAN Tunneling (Q-in-Q)

Fitur baru pada bridge MikroTik yaitu Fungsi filtering Bridge IEEE 802.1ad compliant  dimungkinkan sebagai  filtering  VLAN ID berbasis VLAN ID (0x88A8) dari customer VLAN ID (0x8100) sejak RouterOS v6.43 di release. Prinsip yang sama dapat diterapkan seperti filtering pada VLAN IEEE 802.1Q (contoh pengaturan yang sama dapat digunakan). Di bawah ini adalah topologi untuk Bridge Provider umum:

Dalam contoh ini, R1, R2, R3, dan R4 mungkin mengirimkan lalu lintas dengan tag VLAN sebesar 802.1Q (CVID), tetapi SW1 dan SW2 perlu mengisolasi lalu lintas antar router dengan cara yang hanya dapat berkomunikasi dengan R3 dan R2 hanya mampu untuk berkomunikasi dengan R4. Untuk melakukannya, Anda dapat menandai semua lalu lintas masuk dengan SVID dan hanya mengizinkan VLAN ini pada port tertentu. Mulailah dengan mengaktifkan protokol VLAN 802.1ad di bridge, gunakan perintah ini di SW1 dan SW2:


/interface bridge
add name=bridge1 vlan-filtering=no ether-type=0x88a8


Dalam pengaturan ini, ether1 dan ether2 akan menjadi port akses (untagged), gunakan parameter pvid untuk menandai semua lalu lintas ingress pada setiap port, gunakan perintah ini pada SW1 dan SW2:

/interface bridge port
add interface=ether1 bridge=bridge1 pvid=200
add interface=ether2 bridge=bridge1 pvid=300
add interface=ether3 bridge=bridge1

Tentukan port yang ditandai dan tanpa tag di tabel VLAN bridge, gunakan perintah ini di SW1 dan SW2:

/interface bridge vlan
add bridge=bridge1 tagged=ether3 untagged=ether1 vlan-ids=200
add bridge=bridge1 tagged=ether3 untagged=ether2 vlan-ids=300

Ketika bridge tabel VLAN dikonfigurasi, Anda dapat mengaktifkan filtering VLAN bridge, gunakan perintah ini pada SW1 dan SW2 :

/interface bridge set bridge1 vlan-filtering=yes

Peringatan: Dengan mengaktifkan vlan-filtering Anda akan memfilter lalu lintas yang ditujukan ke CPU, sebelum mengaktifkan penyaringan VLAN, Anda harus memastikan bahwa Anda mengatur port Manajemen. Perbedaan antara menggunakan EtherTypes yang berbeda adalah Anda harus menggunakan interfaces Service VLAN. Interfaces VLAN layanan dapat dibuat sebagai antarmuka VLAN biasa, tetapi parameter use-service-tag mengalihkan jika interfaces akan menggunakan tag VLAN Service.

Catatan: Saat ini hanya switch seri CRS3xx yang mampu melepas perangkat lunak pemfilteran VLAN berdasarkan tag SVID (Service VLAN ID) ketika ether-type diatur ke 0x88a8.

Peringatan: Saat tipe eter disetel ke 0x8100, maka bridge memeriksa tag VLAN bagian luar jika menggunakan EtherType 0x8100. Jika jembatan menerima paket dengan tag luar yang memiliki EtherType yang berbeda, itu akan menandai paket sebagai untagged. Karena RouterOS hanya memeriksa tag luar suatu paket, tidak mungkin untuk filtering paket 802.1Q ketika protokol 802.1ad digunakan.

Sumber : https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge

Read More

WARNING !!! Cryptojacking Attack Mikrotik Router

WARNING !!! Cryptojacking Attack Mikrotik Router

Himbauan Terkait Kerentanan

CVE-2018-14847

TANGGAL PUBLIKASI CVE
02 Agustus 2018

DESKRIPSI
Kerentanan Winbox MikroTik RouterOS hingga versi 6.42 memungkinkan remote attacker untuk melakukan  bypass proses  otentikasi  dan membaca  file,  dengan  cara memodifikasi permintaan (Request) untuk mengubah 1 (satu) byte yang terkait dengan Session ID.

RINGKASAN

CVSS3 Base Score	Sedang dalam proses analisis
Hyperlink Proof of Concept (PoC)	https://github.com/BasuCert/WinboxPoC
	https://github.com/BigNerd95/WinboxExploit
	https://n0p.me/Winbox-bug-dissection/
Serangan Terkait Kerentanan	Cryptojacking / Crypto-loot pada router MikroTik yang terdampak

PENDAHULUAN
Dalam dunia router, MikroTik sudah sangat familiar bagi pengguna internet di Indonesia sebagai  sistem  operasi  dan  perangkat  lunak  yang  dapat  digunakan  untuk  menjadikan komputer biasa menjadi router network. Sebagai penyedia solusi murah untuk fungsi router, jumlah pengguna MikroTik di Indonesia sangat besar yaitu 127.096 (sumber : shodan.io)
Namun, pada awal tahun 2018, Czech Technology Forum melaporkan adanya indikasi serangan zero-day attack terhadap akses router MikroTik dengan sumber alamat serangan berasal dari IP 103.1.221.39 (berasal dari negara Taiwan). Serangan ini menargetkan Winbox pada Router MikroTik sebelum versi 6.42.
Serangan ini memungkinkan untuk dapat dilakukan remote attack   dan melakukan bypass proses otentikasi dan membaca file dengan cara memodifikasi permintaan (request) untuk mengubah 1 (satu) byte yang terkait dengan session ID pada Winbox MikroTik routerOS sehingga dapat mengambil alih akses router MikroTik.
Serangan yang dideteksi oleh Czech Technology Forum ini diindikasikan memiliki pola  yang serupa dimana terdapat dideteksi terdapat notifikasi dua kali kegagalan login Winbox dan dilanjutkan dengan notifikasi login yang berhasil. Kapersky Lab Security berhasil mengidentifikasi  payload  yang  digunakan  untuk  melakukan  serangan  terhadap  router.
MikroTik menggunakan Lua-based malware. Proof-of-Concept eksploitasi kerawanan Winbox, MikroTik pun telah dipublikasi secara publik. Kemudian cve.mitre.org menetapkan CVE-2018-14847 sebagai kerawanan Winbox MikroTik RouterOS hingga versi 6.42 yang memungkinkan untuk dapat dilakukan serangan secara remote untuk dapat melakukan bypass proses otentikasi dan melakukan privilege escalation pada tanggal 2 Agustus 2018.
Menindaklanjuti adanya kerawanan tersebut, pihak MikroTik segera melakukan pembaharuan sistem pada Winbox router MikroTik menjadi versi terbaru.

VERSI ROUTER MIKROTIK YANG TERDAMPAK
Semua  router  MikroTik  hingga  versi  6.42  (tanggal  rilis  2018/04/20)  rentan  terhadap kerawanan CVE-2018-11776.

DAMPAK
Kerentanan  CVE-2018-11776  memungkinkan  penyerang  untuk  dapat  melakukan  remote attack  dan melakukan bypass proses otentikasi dan membaca file dengan cara memodifikasi permintaan (request) untuk mengubah 1 (satu) byte yang terkait dengan session ID pada Winbox MikroTik routerOS sehingga dapat mengambil alih akses router MikroTik. Selanjutnya, dampak lain dari kerentanan ini adalah pihak penyerang dapat mengambil alih sistem  tersebut  dan  memanfaatkannya  pada  penggunaan  lain  seperti  digunakan  sebagai botnet, cryptojacking, dll, sehingga akan menghabiskan sumber daya seperti peningkatan bandwith, dan peningkatan konsumsi daya pada processor.

TIME LINE PENEMUAN CVE-2018-14847

1. April 2018 - Czech technology forum melaporkan adanya indikasi serangan zero-day attack terhadap akses router MikroTik dengan sumber alamat serangan berasal dari IP 103.1.221.39 (berasal dari negara Taiwan).
2. 23 April 2018 – MikroTik merilis versi 6.42.1 untuk memperbaiki kerawanan untuk bisa mendapatkan akses ke router MikroTik.
3. 24 Juni  2018  –  Proof-of-Concept eksploitasi  kerawanan  Winbox,  MikroTik dipublish secara publik.
4. 25 April 2018 – Kapersky Lab Security berhasil mengidentifikasi payload yang digunakan untuk melakukan serangan terhadap router MikroTik menggunakan Lua-based malware
5. 2 Agustus 2018 - CVE-2018-14847 dan ditetapkan oleh cve.mitre.org sebagai kerawanan Winbox MikroTik RouterOS hingga 6.42 yang memungkinkan untuk dapat dilakukan serangan secara remote untuk dapat melakukan bypass proses otentikasi dan melakukan privilege escalation. 17 Agustus 2018 - MikroTik terus melakukan pembaharuan versi hingga 6.42.7 untuk mengatasi kerawanan lain seperti CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159.

APAKAH SAYA TERDAMPAK OLEH KERENTANAN INI ?

Kerentanan ini dimiliki oleh Semua router MikroTik versi 6.29 sampai dengan 6.42 yang menjalankan layanan Winbox. Serangan ini dapat terjadi karena MikroTik RouterOS dapat memungkinkan penyerang untuk melakukan bypass pembatasan keamanan, yang disebabkan oleh validasi yang tidak benar oleh session ID pada Winbox. Penyerang melakukan serangan dengan cara mengirimkan Session ID yang dibuat secara khusus agar penyerang dapat mengeksploitasi kerentanan  tersebut,  dan  mendapatkan  akses untuk  membaca  file  pada sistem.
Winbox sendiri memungkinkan penggunanya untuk mengkonfigurasi router MikroTik secara online, keberhasilan melakukan eksploitasi terahadap kerentanan CVE-2018-14847, memungkinkan penyerang untuk menggunakan perangkat agar dapat melakukan koneksi ke Winbox melaui port 8291 dan melakukan permintaaan akses ke system user database file.
Untuk  melakukan  pengecekan  apakah  sistem  yang  dikelola  terdampak  CVE-2018-14847 dapat memeriksanya pada link berikut:
https://tools.webguard.ir/index.php?url=[ip_publik_MikroTik]

SERANGAN TERKAIT CVE-2018-14847

Pada awal Agustus 2018 Symantec melakukan pelacakan aktifitas penambangan koin digital skala besar menggunakan Open Source Intelligence Shodan dan menemukan bahwa aktifitas penambangan tersebut dialkukan dengan cara menginfeksi sekitar 157.000 s.d 200.000 router MikroTik. Aktifitas penambangan tersebut awalnya terkonsentrasi di Brasil; Namun, mulai menyebar dan menginfeksi router di seluruh dunia. Setelah dilakukan investigasi lebih lanjut ditemukan bukti bahwa aktifitas penambangan koin digital ini memanfaatakan kerentanan CVE-2018-14847 untuk mendapatkan akses kedalam router  MikroTik yang akan  diinfeksi.  Setelah  mendapatkan  akses,  penyerang  melakukan inject script coinhive (Lihat Gambar 1) kedalam router, untuk melakukan penambangan koin digital, dengan cara memuat malicious error page, yang ditampilkan setiap kali pengguna mengakses internet melalui router menemui kesalahan HTTP. Setiap kali halaman kesalahan ditampilkan, korban tanpa sadar menambang Monero (XMR) untuk para peretas. Hal ini dapat terjadi karena masih banyak pengguna router MikroTik yang tidak melakukan patch/ update perangkatnya sehingga memiliki kerentanan CVE-2018-14847, dan dan membuka peluang peretas untuk melakukan eksploitasi celah keamanan tersebut.

Mengingat proses penambangan membutuhkan kinerja yang berat dan akan mengakibatkan meningkatnya lalu lintas jaringan karena aktifitas penambangan cryptocurrency tersebut, hal ini tentunya akan menimbulkan kecurigaan ISP, pengelola / pemilik router, maka penyerang menggunakan taktik hanya meng-inject error page yang di reload oleh router, untuk menyembunyikan profile serangan. Selain cryptojacking ancaman lain yang mengeksplotasi kerentanan ini adalah penyadapan / eavesdropping pada lalu lintas jaringan yang melewati router yang terinfeksi. Setelah mendapatkan akses masuk kedalam router penyerang secara diam –diam mengaktifkan port Socks4 atau TCP/4153 pada perangkat korban yang memungkinkan penyerang untuk melakukan control pada perangkat yang terinfeksi segera setelah perangkat tersebut di  – reboot (IP berubah) dan secara periodik akan mengirimkan data IP address terbaru ke URL penyerang. Serangan ini memungkinkan penyerang untuk melakukan capture packet pada router server korban dan meneruskannya pada Stream server tertentu yang di kontrol oleh
penyerang.

REKOMENDASI PROTEKSI DAN MITIGASI

Berikut ini merupakan langkah-langkah mitigasi yang perlu dilakukan oleh administrator atau pemilik Winbox MikroTik RouterOS hingga versi 6.42:

1. Untuk  administrator/  pengelola  IT,  segera  lakukan  penambalan  celah  keamanan (patching)/ update pada perangkat MikroTik yang digunakan karena pihak vendor telah menyediakan  patching  untuk  kerentanan  tersebut.  Proses  updating  /  patching  dapat dilihat pada Gambar 1 berikut:
   
   
   
   
   
2. Gunakan  perlindungan  untuk  seluruh  endpoint/server  tanpa  terkecuali,  hal  ini  dapat menangkal masalah lebih lanjut yang dapat terjadi bila sistem telah terinfeksi.
3. Non aktifkan atau batasi akses plug-ins, extentions, atau komponen perangkat lunak lain yang telah usang, yang dapat dijadikan sebagai entry point penyerang untuk melakukan eksploitasi.
4. Menerapkan mekanisme keamanan seperti penggunaan firewall, IDS atau IPS.
5. Sebaiknya  terapkan  Filter  Rules  (ACL)  berikut  untuk  mencegah  akses  anonymous
   kedalam Router :
6. Script Firewall :ip firewall filter add chain=input in-interface=wan protocol=tcp dst-port=8291 action=drop
7. Sebaiknya  tidak  menggunakan  Winbox  untuk  MikroTik  RouterOS,  Karena  Winbox hanya berfungsi sebagai Graphical User Interface (GUI) saja. Namun jika memang penggunaan GUI pada Winbox sangat dibutuhkan pastikan lakukan whitelisting terhadap pengguna yang diperbolehkan mengakses layanan tersebut.
8. Aktifkan fitur PUA (Potentially Unwanted Application) pada sistem perlindungan yang digunakan. Hal ini untuk mencegah berjalannya program-program yang tidak diinginkan yang  dapat  menyebabkan  penggunaan  resources  yang  tinggi  atau  gangguan  yang mungkin muncul saat sistem sedang sedang berjalan.
9. Terapkan  solusi  pemantau  jaringan  atau  Network  Security  Analyst  System.  Dengan penerapan mekanisme ini Cryptojacking akan dapat dideteksi sedini mungkin, karena solusi ini mampu menganalisis data jaringan dan ancaman lainnya secara spesifik.
10. Untuk   menghindari   eksploitasi   kerentanan   untuk   serangan   cryptojacking   yang memanfaatkan celah kerentanan CVE-2018-14847, langkah yang dapat dilakukan adalah menonaktifkan layanan berikut jika tidak dibutuhkan:
    a.  TELNET
    b.  SSH
    c.  FTP
    d.  WINBOX
11. Jika Router MikroTik Anda telah terinfeksi cryptojacking coinhive dan atau Socks4
    proxy, langkah yang dapat dilakukan adalah :
    a.  Lakukan factory reset pada Router MikroTik yang didahului dengan membuat data cadangan konfigurasi sistem, lalu lakukan update RouterOS ke versi terbaru serta lakukan langkah pada poin 1. diatas.
    b.  Lakukan monitoring / pengecekan terhadap HTTP proxy, Socks4 proxy dan fungsi
    capture traffic jaringan, pastikan bahwa tidak ada lalu lintas jaringan yang dikrim terimakan ke alamat tertentu yang mencurigakan.

REFERENSI 

[1]https://autotekno.sindonews.com/read/1334444/133/MikroTik-di-indonesia-diserang- besar-besaran-cryptojacking-1535647099

[2] Common Vulnerability Exposure , http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-
2018-14847

[3] Winbox Exploit. https://github.com/BasuCert/WinboxPoC
 
[4] National Vulnerability Database.  https://nvd.nist.gov/vuln/detail/CVE-2018-14847
 
[5] https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/over-
200-000-MikroTik-routers-compromised-in-cryptojacking-campaign
[6]https://www.symantec.com/blogs/threat-intelligence/hacked-MikroTik-router.
[7] https://thehackernews.com/2018/09/MikroTik-router-hacking.html.

Document dalam bentuk PDF silahkan download, DISINI

Read More

Teknik Bonding MikroTik

Teknik Bonding MikroTik

Bonding MikroTik
Bonding adalah sebuah teknologi yang memungkinkan agregasi lebih dari satu interface ethernet dan menggabungkan kedalam satu link virtual sehingga kita akan mendapatkan troughput bandwith yang lebih besar. Selain itu bisa digunakan untuk keperluan fail-over. Pada contoh implementasinya kita bisa menghubungkan dua buah Router Mikrotik yang mana interface ethernet masing-masing router yang telah dibonding saling dikoneksikan. Atau bisa juga dari keempat interface tersebut dihubungkan ke sebuah switch, sehingga dapat berfungsi sebagai sebuah backbone penghubung jaringan yang memiliki bandwtih besar.

Link Monitor Interface Bonding MikroTik
Sangat penting bahwa salah satu opsi monitoring koneksi diaktifkan. Dalam contoh di atas, jika salah satu dari koneksi gagal, driver koneksi akan tetap melanjutkan pengiriman paket melalui koneksi yang gagal yang akan menyebabkan degradasi jaringan. Koneksi di RouterOS saat ini didukung dua skema untuk memantau status koneksi perangkat slave: MII dan pemantauan ARP. Tidak mungkin untuk menggunakan kedua metode pada saat yang sama karena pembatasan pada setiap koneksi.

Mode Koneksi 

1. 802.3ad - IEEE 802.3ad agregasi tautan dinamis. Dalam mode ini, antarmuka digabungkan dalam grup di mana setiap slave berbagi kecepatan yang sama. Menyediakan toleransi kesalahan dan load balancing. Pemilihan slave untuk lalu lintas keluar dilakukan sesuai dengan transmit-hash-policy.
2. aktif-cadangan - menyediakan cadangan tautan. Hanya satu slave yang dapat aktif dalam satu waktu. Slave lain hanya menjadi aktif, jika yang pertama gagal. 
3. keseimbangan-alb - load balancing adaptif. Sama seperti keseimbangan-tlb tetapi menerima trafik juga seimbang. Pengandar perangkat harus memiliki dukungan untuk mengubah alamat MAC-nya. 
4. keseimbangan-rr - load balancing round-robin. Slave dalam antarmuka pengikat akan mengirim dan menerima data secara berurutan. Menyediakan load balancing dan toleransi kesalahan. 
5. balance-tlb - Lalu lintas keluar didistribusikan sesuai dengan beban saat ini pada setiap slave. Lalu lintas masuk tidak seimbang dan diterima oleh slave saat ini. Jika menerima slave gagal, maka slave lain mengambil alamat MAC dari slave yang gagal. 
6. balance-xor - Transmit berdasarkan kebijakan transmit-hash terpilih. Mode ini menyediakan load balancing dan toleransi kesalahan.
7. broadcast - Menyiarkan data yang sama pada semua antarmuka sekaligus. Ini memberikan toleransi kesalahan tetapi memperlambat traffic throughput pada beberapa mesin lambat. 

Read More

Implementation Vlan Bridging MikroTik

Implementation Vlan Bridging MikroTik

Teknik Bridging Vlan Mikrotik

Disini kita akan belajar bagaimana membuat  jaringan menggunakan protocol vlan , dimana kita akan menggunakan teknik bridging untuk membuat vlan di Mikrotik, sebenarnya ada beberapa teknik pembuatan vlan di mikrotik, seperti vlan MikroTik base Switch, vlan MikroTik base Ether, vlan MikroTik hybrid. Silahkan simak video di bawah ini ( Ini adalah channel saya di You Tube).

    

Read More

MikroTik Hotspot & LAN on GNS3

Configuration Hotspot MikroTik On GNS3

Jaringan LAN dan Hotspot pada software GNS3

Disini kita akan belajar bagaimana membuat virtualisasi jaringan menggunakan software GNS3, dimana kedepannya nanti akan sangat berguna sekali dalam menganalisis sebuah konfigurasi jaringan sebelum di implementasikan  di jaringan yang sesungguhnya.

    

Read More

New Feature MikroTik Kid Control On ROS 6.41, 6.42

Fitur Baru Mikrotik Kid-Control

Baru - baru ini di ROS (Router Operating System) 6.41 dan 6.42 MikroTik menambahkan fitur Kid Control, Fitur ini adalah cara alternatif yang lebih mudah dalam membuat sebuah Firewall Parental Control, sebenarnya dalam pembuatan Firewall Parental Control kita dapat mengkombinasikan antara Script dan Scheduller, namun dengan fitur ini tentunya akan lebih mudah melakukan Parental Control.

Konfigurasi
Fitur ini dapat diaktifkan dengan cara mengakses tab /ip > kid-control dari terminal atau juga dapat di buka dengan winbox, contoh seperti gabar di bawah ini.

sources picture from www.mikrotik.co.id

Dalam feature Kid Control MikroTik ini  hak akses didasarkan pada sistem time-base, dengan sistem ini kita dapat dengan mudah untuk mengontrol aktifitas anak-anak kita dan menentukan kapan internet dapat diakses oleh anak-anak.

sources picture from www.mikrotik.co.id

Selanjutnya kita tentukan perangkat yang akan menggunakan pengaturan tersebut. Konfigurasinya kita lakukan di tab 'Devices'.

sources picture from www.mikrotik.co.id

Dengan pengaturan seperti pada gambar di atas maka fungsi management koneksi sudah berjalan, dimana nantinya dari pengaturan diatas akan langsung secara otomatis membuat firewall filter rule seperti gambar di bawah ini.

sources picture from www.mikrotik.co.id

Read More

Mengenal Gangguan Hacker Dalam Jaringan Internet

Mengenal Gangguan Hacker Dalam Jaringan Internet

Sebagian besar orang tidak tahu banyak tentang gangguan dan bahaya yang sedang mengancam pada jaringan internet yang mereka punya, hal ini yang sering terjadi kepada para pekerja IT, pada umumnya orang diluar ruang lingkup pekerja IT akan melihat bawasannya kerja seorang pekerja IT hanyalah duduk mengotak atik laptop yang ada di depannya.

Dari hal ini pula sering seorang pekerja IT harus mengerjakan pekerjaan yang bukan scope kerjanya hanya karena tidak ingin dikatakan kerja hanya duduk-duduk saja. Padahal kerja seorang pekerja IT memiliki tanggung jawab yang tidaklah ringan, selain memastikan lancarnya jaringan internet yang mereka kelola, mereka pulalah yang bekerja melindungi data pribadi setiap user atau data perusahaan dimana semuanya dalam kondisi terhubung dengan jaringan internet.

Maka dari itu penulis akan memberikan gambaran tentang apa saja gangguan internet yang harus dihadapi seorang pekerja IT. Dalam hal ini kita akan mengenalkan tentang gangguan dari luar jaringan internal, seperti gangguan dari para hacker, penulis akan berikan contoh umum.

1. Penggunaan Hacker Tool Cain & Abel

    Cain & Abel adalah sebuah software tool yang dikelola oleh sebuah web pengelola open sources oxit.it, dimana tool ini berfungsi untuk merekam setiap aktifitas user yang terhubung di dalam sebuah jaringan, dan yang menakutkan lagi adalah tool ini dapat merekam account pribadi setiap user. Penulis disini bukan mengajari untuk melakukan teknik hacking, tapi memberikan gambaran bagaimana tool ini bekerja dan bahayanya. Tool ini juga akan membuat jaringan internet sebesar apapun akan melambat secara signifikan karena seluruh traffic akan dilewatkan melalui laptop pengguna tool ini. 

Sumber : Hack Wifi Menggunakan Cain And Abel - You Tube

2. Penggunaan tool Hydra atau Brute Force tool

Hydra adalah tool yang digunakan untuk membobol user dan password admin router dengan menggunakan system dictionary, sistem dictionary adalah kumpulan kata yang ditulis dalam bentuk notepad dimana kata yang tertulis akan dicobakan satu per satu secara otomatis ke port user administrator router, dalam hal ini hydra akan membanjiri gateway router dengan packet icmp yang  berakibat naiknya cpu load router sehingga router akan mengalami keadaan kehabisan space ram dan jika digunakan untuk mebobol wifi password maka router akan kehabisan alokasi ip untuk user karena tool ini akan membuat seolah ada banyak user yang sedang mencoba terhubung dengan jaringan. Hal ini akan sangat memperlambat kinerja internet jaringan, dapat pula dikatakan perlambatan internet akan terjadi secara drastis.

Sumber : Hack Router/Wifi/Facebook Menggunakan Hydra - You Tube

 

3. Penggunaan tool NetCut

Netcut seperti namanya adalah tool untuk mencuri koneksi internet dari perangkat lain yang terhubung dengan internet, dengan jalan mengkloning mac address perangkat korban beserta ip addressnya menjadi milik pengguna netcut, dengan kata lain perangkat pengguna netcut seolah adalah perangkat korban yang telah terauthentifikasi oleh router, pertanyaannya bagaimana nasib perangkat korban, perangkat korban tidak akan memiliki koneksi ke internet walaupun secara nyatanya perangkat telah terhubung.

Sumber : Bagaimana Menggunakan Netcut - You Tube




Dari 3 contoh umum yang menyerang jaringan internet masih banyak lagi tool atau open source yang dapat digunakan untuk mengganggu sebuah jaringan internet.
Belu lagi gangguan dari dalam atau internal jaringan dari device yang mempunyai masalah koneksi, server trouble, CCTV error, database infected virus, bottle neck, print server error dan sebagainya, masihkah dapat dikatakan bawasannya seorang pekerja IT hanya duduk-duduk kerjanya?. Semua disiplin ilmu memiliki tingkat resiko yang beragam.

Sebagai penutup untuk mengatasi semua hal ini tanyakan dan pastikan jaringan internet anda dari para pekerja IT sudah terlindungi dan sudah dibuatkan firewall yang kuat sehingga jaminan data pribadi dan kecepatan perangkat anda dalam sebuah jaringan benar-benar aman, apalagi yang berhubungan dengan transaksi keuangan online, jangan-jangan rekening bank anda akan terkuras habis akibat pengelolaan jaringan yang menganggap firewall atau keamanan jaringan tidak penting.

Dan bagi para pekerja IT teruslah membaca dan belajar, update perkembangan teknologi terbaru, karena teknologi berkembang sangatlah pesat,sehingga skill dan kemampuan anda tetap mumpuni menghadapi perkembangan teknologi.

Untuk itu dari sebagian kecil contoh gangguan ini diharapkan semua orang mengerti betapa penting dan besarnya tanggung jawab seorang pekerja IT.  

Read More

Wireless Interference

Wireless Interference

Gangguan Wi-Fi adalah masalah umum dan merepotkan. Jaringan WLAN Anda mungkin bekerja dengan baik satu hari dan lamban keesokan harinya, tanpa Anda membuat perubahan jaringan apa pun. Hal ini terjadi karena beberapa faktor.

1. Membiarkan nomor saluran pada setiap radio yang disetel ke nilai default dapat menyebabkan interferensi tinggi di antara radio karena terlalu banyak radio yang berbagi bandwidth pada satu saluran.
2. Gangguan co-channel atau interferensi saluran yang berdekatan dapat dihasilkan dari pengaturan radio ke band-band yang memiliki saluran yang tumpang tindih. Saluran mungkin tidak semuanya digunakan oleh jaringan Anda — sinyal perusahaan tetangga juga dapat menyebabkan gangguan.
3. Beberapa perangkat non-jaringan, seperti oven microwave, alarm mobil, telepon nirkabel, atau kamera video nirkabel dapat mengganggu saluran nirkabel. Paling sering, perangkat ini menggunakan frekuensi 2,4-GHz.
4. Sambungan listrik yang buruk dapat menyebabkan emisi spektrum RF yang luas.
5. RF jamming adalah upaya yang disengaja untuk mengganggu jaringan dengan sinyal yang kuat.

Efek dari Interferensi akan terlihat pada client yang terhubung pada perangkat wireless.

Klien jaringan Anda mungkin memperhatikan hasil interferensi sebelum Anda melakukannya. Mereka mungkin mengeluhkan perlambatan jaringan, tetapi bukan kehilangan data. 

Pelambatan ini mungkin tidak segera terlihat dengan transmisi data berkapasitas rendah karena, jika gangguan terputus-putus, paket akhirnya dapat melewatinya. 

Oleh karena itu, tidak ada paket yang hilang, hanya retransmisi yang membutuhkan waktu. Kemungkinan lainnya adalah beberapa perangkat, seperti gelombang mikro, mengurangi keluaran tanpa memblokir sepenuhnya. 

Keluhan akan meningkat ketika lebih banyak pengguna masuk, meningkatkan kapasitas data hingga terjadi kehilangan data, atau ketika panggilan Voice Over IP digunakan. VoIP memerlukan bandwidth yang signifikan karena suara yang dikirimkan ulang bukanlah pilihan — hasilnya adalah transmisi suara yang turun atau jittery.

Sedikit akan penulis jelaskan tentang RF jamming. Apa itu RF Jamming?

RF jamming adalah serangan DoS. Tujuan dari gangguan RF adalah untuk menurunkan seluruh WLAN dengan membanjiri lingkungan radio dengan gangguan daya tinggi. Gejala serangan jamming RF adalah gangguan yang berlebihan. Jika radio jalur akses mendeteksi gangguan yang berlebihan pada saluran, dan saluran penyetelan otomatis diaktifkan, radio akan berubah ke saluran yang berbeda. Radio terus memindai pada saluran data aktif dan di saluran lain serta melaporkan hasilnya ke pengontrol, dengan kata lain adalah cobalah aktifkan dynamic channel otomatis pada Access Point anda, ketika channel terus berubah secara signifikan dalam waktu tertentu maka dapat dikatakan akses point anda sedang di Jamming. 

Kesimpulannya adalah dalam melakukan setting Access Point seorang network engineer  harus memperhatikan area sekitarnya, pertimbangkanlah penggunaan channel pada Access Point dimana penggunaan channel sebagai penentu patokan kelancaran dalam penggunaan Access Point, dan jika diperlukan jika lokasi pemasangan Access Point anda salingn berdekatan dengan Access Point Perusahaan lain maka gunakanlah opsi kesepakatan penggunaan channel yang berbeda sehingga antara AP yang satu dengan AP yang lain tidak saling interferensi.

Berikut adalah gambar range channel Access Point sebagai bahan referensi penggunaan channel agar AP tidak saling interferensi. Dan jika perusahaan anda atau hotel yang anda kelola memiliki banyak akses point pastikan channel AP satu dengan yang lain tidak sama.

    

Read More

Pentingnya Mengenal Port TCP/IP Sebelum memindahkan port service

Pentingnya Mengenal Port TCP/IP

Secara umumnya kita mengenal beberapa port TCP/IP sebagai dasar pengetahuan dasar jaringan, seperti port 80 http,port 443https, port 21 FTP, port 22 ssh, port 23 telnet,port 25 SMTP, port 587 SMTP. 

Mengapa penulis sangatlah menganggap penting, hal ini di karenakan saat implementasinya seorang network engineer pastinya akan banyak melakukan analisis, baik sebelum membuat konfigurasi router maupun sesudahnya, suatu contoh seorang network engineer mencoba mengamankan access MikroTik on web dari port defaultnya yaitu port 80 ke port 587, jika hal ini dilakukan yang terjadi adalah jaringan email akan terganggu saat melakukan access web  configuration, atau memindahkan akses telnet port dari port 23 ke port 138 - 139 pastinya hal ini juga akan sangatlah menggangu pada Print Server.  

Pengenalan port terasa sangatlah penting sekali saat akan memisah atau menandai traffic pada jaringan, misalnya menandai aplikasi media sosial seperti BBM,WhatApp, Instagram, Telegram dll, atau menandai aplikasi game online seperti mobile legend, COC dll. Hal ini dilakukan agar nantinya user merasa nyaman saat terhubung dalam jaringan.

Fungsi lainnya adalah saat dimana seorang network engineer membuat rangkaian firewall, pastinya berbagai macam tehnik serangan hacker akan mencoba melakukan penetrasi ke dalam jaringan, contohnya jika jaringan terindikasi oleh penggunaan tool perekam C&A maka seorang network engineer harus menganalisis adakah penggunaan port 666 dari dalam atau luar jaringan, atau misalkan indikasi serangan brute force dimana internet akan terasa sangat lambat karena gateway kita dipenuhi oleh packet ICMP maka hal yang dilakukan adalah menganalisis activitas pada port 22, connection list dan sebagainya.

Sebagai bahan pengetahuan dasar penulis akan menyematkan tabel Port TCP/IP yang mungkin sangatlah berguna sebagai bahan pengetahuan seorang network engineer,gunakan unofficial port untuk alokasi pemindahan port,ingat teknologi akan terus berkembang jangan masa bodoh tetaplah membaca dan belajar. Semoga bermanfaat.

Sumber : https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

    

Read More

Management Bandwidth MikroTik Menggunakan Simple Queue & Queue Tree

QoS MikroTik Bagian 2
Simple Queue & Queue Tree

Pada router mikrotik sudah tersedia fitur Queue yang mampu melakukan limitasi atau pembatasan pada bandwidth.

Ada 2 jenis Queue pada mikrotik:

1. Queue Simpel : merupakan jenis bandwidth management yang dapat dikonfigurasi secara mudah. Biasanya simple queue digunakan hanya untuk pembatasan pemakaian bandwidth (upload dan download) tiap client. Jenis queue ini sangat cocok di implementasikan pada jaringan skala kecil hingga menengah.
2. Queue Tree : merupakan jenis bandwidth management yang sangat kompleks. Secara garis besar fungsinya sama dengan simple queue hanya pada queue tree bandwidth management akan di kelompokan kedalam group / parent sehingga akan terlihat seperti hirarki. Untuk menggunakan Queue ini kita harus mengaktifkan mangle di menu firewall, sehingga kita dapat melakukan limitasi atau memberikan prioritas pada lalu lintas apapun seperti email, browsing, game dll

Perbedaan Simple Queue dan Queue Tree 

• Queue Simple

1. Simple Queue melimit secara fix dan memiliki aturan yang ketat.
2. Simple Queue akan memproses dari antrian secara terurut mulai dari atas hingga ke bawah.
3. Simple Queue melakukan limit dua arah sekaligus traffic Upload dan Download.
4. Simple Queue akan lebih di proses atau prioritaskan terlebih dahulu dibandingkan Queue Tree jika digunakan secara bersamaan. 
5. Simple Queue dapat memproses antrian yang di tandai oleh paket mangle.
6. Simple Queue sangat cocok bagi admin yang tidak mau ribet dengan adanya traffic control pada mangle.

• Queue Tree

1. Queue Tree membagi bandwidth secara fixed dan tidak memiliki aturan yang ketat.
2. Queue Tree tidak memperhatikan antrian sehingga proses akan dijalankan secara bersamaan. 
3. Queue Tree melakukan limit secara directional (satu arah).
4. Queue Tree sangat bergantung pada firewall mangle jika melakukan pembatasan trafik dan membedakan proses upload/download.
5. Queue Tree akan di nomer duakan setelah simple queue.
6. Untuk melakukan konfigurasi queue tree admin harus mengetahui traffic control lalu lintas yang ada.

• Contoh Simple Queue

Membatasi user berdasarkan ip address tertentu (berdasarkan alamat ip misal 192.168.101.254), perhatikan gambar berikut:

Gambar pertama adalah konfigurasi dimana user dengan ip address 192.168.101.254 di batasi bandwidthnya dengan limit-max 512kbps Upload dan limit-max 1Mbps download, sedangkan gambar kedua adalah batas limit-min 256kbps Upload dan limit-min 512kbps download.

Bagaimana bila kita akan membatasi bandwidth dalam satu jaringan LAN, misalkan yang akan kita batasi adalah LAN dengan ip 192.168.101.1/24, maka kita hanya mengganti destination target seperti pada gambar 1 target adalah 192.168.101.254 kita ganti dengan 192.168.101.0/24. Target ip 192.168.101.0/24 adalah wakil dari seluruh user jaringan LAN subnet /24.
Simple Queue juga dapat sekaligus menentukan antrian dengan setting priotity antrian dengan nilai priority 1 (Highest priority) dan 8 (Lowest priority).

•  Contoh  Queue Tree

Merupakan fitur bandwidth management di Mikrotik yang sangat fleksibel dan cukup kompleks. Pendefinisian target yang akan dilimit pada Queue Tree tidak dilakukan langsung saat penambahan rule Queue namun dilakukan dengan melakukan marking paket data menggunakan Firewall Mangle.

Membuat Queue tree mangle untuk user jaringan 192.168.101.0/24

Membuat Mangle Connection

1. Pilih Menu IP>Firewall>Mangle>klik tanda +
2. Isi kolom chain=forward; dst address 192.168.101.0/24
3. Pindah ke tab action, isi kolom action=mark connection
4. Beri nama baru pada new connection mark=conn-dowload
5. Centang passthrough

Buatlah satu mangle lagi dengan nama new connection mark=conn-upload, isi src address dengan alamat yang tadi di dst address, kosongkan dst address. 

 
Membuat Mangle Packet
Isilah seperti pada gambar di bawah ini:

Begitu pula untuk mangle  upload tinggal mengganti connection mark= conn-upload dan new paket mark menjadi client-upload.
Dari kedua mangle Queue Tree diatas dapat kita lihat klasifikasi koneksi jaringan dan paket yang akan kita Queue Tree.

Sekarang kita mulai Queue Treenya.

Name           = Nama Konfigurasi yang di buat
Parent           = Nama interface lokal yang akan di limit
Packet Mark = Nama Mangle yang telah kita buat di atas
Limit At        = min bandwidth
Max Limit    = max Bandwidth

Buatlah 1 lagi dengan nama client-upload dan paket mark=client-upload

Oh ya dari tadi saya tidak pernah pernah bilang OK, Jangan lupa setelah bikin konfigurasi di apply kemudian di OK.

OK Queue tree selesai, untuk test hasilnya silahkan lakukan sendiri. Semoga Bermanfaat.

Read More

Teori Management Bandwith MikroTik

QoS MikroTik Bagian 1

  

   QoS tidak selalu berarti pembatasan bandwith. QoS adalah cara yang digunakan untuk  mengatur pengguna bandwidth yang ada secara rasional. QoS bisa digunakan juga untuk mengatur prioritas traffic berdasarkan parameter yang di berikan, menghindari terjadinya traffic yang memonopoli seluruh bandwidth yang tersedia.

Kita tidak dapat melakukan pembatasan traffic yang masuk ke suatu interface, ada 2 cara dalam Mikrotik untuk mengontrol traffic yaitu :

1. Rate Limiting/Dropper/Shapper à Menolak (drop) semua paket jika melebihi limit yang telah ditentukan.
2. Rate Wqualizing/Scheduller à Menahan sementara paket (buffering) traffic yang melebihi rate limit pada antrian (queue) dan apabila memungkinkan akan dilewatkan kemudian.

Apabila di gambar dalam graffic traffic terhadap waktu adalah sebagai berikut:

Pada traffic shapper untuk koneksi TCP , paket yang di drop akan dikirimkan ulang sehingga tidak ada kehilangan paket data. Pada Router OS , untuk masing-masing antrian(queue) dikenal 2 jenis batasan rate limit :

1. CIR ( Committed Information Rate) – dalam keadaan terburuk, client akan mendapatkan bandwidth sesuai dengan “limit-at” (dengan asumsi bandwidth yang tersedia cukup untuk CIR semua client).
2. MIR( Maximal Information Rate) – jika masih ada bandwidth yang tersedia setelah semua client mencapai “limit-at”, maka client mendapatkan bandwidth tambahan sebagai “max-limit”.

Brust

Burst adalah salah satu cara menjalankan QOS . Burst memungkinkan penggunaan data-rate yang melebihi max-limit untuk periode waktu tertentu. Jika data rate lebih kecil dari burst-threshold , burst dapat dilakukan hingga data-rate mencapai burst-limit.

Setiap detik router mengkalkulasi data rate rata-rata pada suatu kelas queue untuk periode waktu terakhir sesuai dengan burst-time. Burst-time tidak sama dengan waktu yang diijinkan untuk melakukan burst.

Contoh Brust Limit

Limit-at=128kbps, max-limit=256kbps, brust-time=8, brust-threshold=192kbps, brust-limit=512kbps.

Pada awalnya data rata-rata 0 kbps.

1. Detik ke 1, data rata-rata adalah (0+0+0+0+0+0+0+512)/8=64kbps,masih lebih kecil dari brust-threshold (192kbps), brust dapat dilakukan. 
2. Detik ke 2, data rata-rata adalah (0+0+0+0+0+0+512+512)/8=128kbps,brust masih boleh.
3. Detik ke 3, data rata-rata adalah (0+0+0+0+0+512+512+512)/8=192kbps,brust masih boleh.
4. Detik ke 4, data rata-rata adalah (0+0+0+0+512+512+512+512)/8=256kbps,tibalah pada saat dimana data rate lebih besar dari brust -threshold(192kbps). Brust tidak dapat dilakukan lagi, dan data rate turun menjadi max-limit (256kbps).

Cara  termudah melakukan queue di RouterOS adalah menggunakan simple queue.
Dengan simple-queue,kita dapat melakukan :

Limit tx-rate client (upload)

Limit rx-rate client (download)

Limit tx+rx-rate client (akumulasi)

Scheduler queues:

1. BFIFO (Bytes First- In First-Out)
2. PFIFO ( Packets First-In First-Out)
3. RED( Random Early Detect)
4. SFQ ( Stochastic Fairness Queuing)

Shaper queues:

1. PCQ ( Per Connection Queue)
2. HTB (Hierarchical Token Bucket)

Untuk pengaturan Queue  Kinds dapat dilakukan pada menu Queue Type

• FIFO (First In Fist Out)

PFIFO dan BFIFO keduanya menggunakan algoritma FIFO, dengan buffer yang kecil. FIFO tidak mengubah urutan paket data, hanya menahan dan menyalurkan bila sudah memungkinkan. Jika buffer penuh maka paket data akan di drop. FIFO baik digunakan bila jalur data tidak congested. Parameter pfifo-limit dan bfifo-limit menentukan jumlah data yang bisa diantrikan di buffer.

• RED (Random Early Detect)

RED tidak melimit berdasarkan urutan paket, tetapi bila buffer sudah penuh, maka secara tidak langsung akan menyeimbangkan data rate setiap user. Saat ukuran queue rata-rata mencapai min-threshold, RED secara random akan memilih paket data untuk di drop. Saat ukuran queue rata-rata mencapai max-threshold, paket data akan di drop.

Jika ukuran Queue sebenarnya (bukan rata-ratanya) jauh lebih besar dari red-max-threshold maka semua paket yang melebihi red-limit akan di drop.

RED digunakan jika kita memiliki traffic yang congested. Sangat sesuai untuk trafik TCP, tetapi kurang baik digunakan untuk trafik UDP.

• SFQ ( Stochastic Fairness Queuing)

SFQ sama sekali tidak dapat melimit trafik. Fungsi utamanya menyembaingkan Flow trafik jika link telah benar-benar penuh. SFQ dapat digunakan untuk TCP maupun UDP. SFQ menggunakan metode hasing dan round robin dimana membagi trafik menjadi 1024 sub queue, dan jika terdapat lebih maka akan dilewati. Algoritma round robin akan melakukan queue ulang sejumlah bandwidth (allot) dari setiap queue. Total SFQ queue terdiri dari 128 paket.

Saat pertub mencapai waktu yang ditentukan algoritma hashing akan membagi traffic ke sub-queue berikutnya.

• PCQ (Per Connection Queue)

PCQ dibuat penyempurnaan SFQ, PCQ tidak membatasi jumlah sub-queue. Karena itu PCQ membutuhkan memori yang cukup besar.

PCQ akan membuat sub-queue, berdasarkan parameter pcq-classifier, yaitu src-address, dst-address, src-port,dst-port, sehingga memungkinkan untuk membatasi maksimal data rate untuk setiap sub-queue (pcq-rate) dan jumlah paket data(pcq-limit). Total ukuran queue pada PCQ tidak bisa melebihi jumlah paket sesuai pcq-total-limit.

Contoh ilustrasi PCQ
PCQ Rate =128

PCQ Rate = 0

• HTB ( Hierarchical Token Bucket)

HTB adalah classfull queuing discipline yang dapat digunakan untuk mengaplikasikan handling yang berbeda untuk beberapa jenis trafik.

Secara umum, kita hanya dapat membuat 1 tipe queue untuk setiap interface namun dengan HTB RouterOS,kita dapat mengaplikasikan perlakuan yang berbeda untuk jenis traffic yang berbeda.

HTB memungkinkan kita membuat queue menjadi lebih terstruktur, dengan melakukan pengelompokkan-pengelompokkan bertingkat.

Kita harus membuat tiga langkah besar untuk mengaplikasikan HTB.

1. Match and mark traffic- mengklasifikasikan traffic untuk digunakan lebih lanjut . Terdiri dari satu atau lebih parameter untuk memilih paket yang cocok untuk kelas tertentu.
2. Create rules (policy) to mark traffic – menempatkan kelas traffic tertentu ke dalam antrian yang spesifik dan untuk menentukan tindakan yang diambil untuk setiap kelas.
3. Attach policy for specific interface(-s) – menambahkan kebijakan pada semua interface(global-in, global-out atau global-total), untuk interface tertentu atau untuk parent queue tertentu.

Connection Mark&Mangle

Koneksi pada paket data protocol TCP, nomor portnya seringkali berubah, misal pada koneksi HTTP, port 80 hanya digunakan pada request pertama, setelah itu koneksi akan diubah dan dialihkan ke port yang lain tanpa kita ketahui.
Untuk melakukan tracking terhadap perubahan tersebut dibutuhkanlah connection mark. Connection mark akan mengingatkan koneksi yang terbentuk dan tepat bisa mengenali meskipun terjadi perubahan nomor port.
Setelah melakukan connection mark,barulah kita menandai paket-paketnya dengan melakukan packet mark berdasarkan nama dari connection mark yang telah dilakukan sebelumnya.
Connection mark dalam Mikrotik ada fitur Mangle, Mangle menandai paket-paket data tertentu, dan kita akan menggunakan tanda tersebut pada fitur lainnya, misalnya filter , routing, NAT ataupun queue.
Pada mangle kita juga bisa melakukan pengubahan beberapa parameter pada IP header,misalnya TOS (DSCP) dan TTL fields.
Tanda mangle ini hanya bisa digunakan pada router yang sama dan tidak terbaca pada router lainnya. Pembacaan rule mangle akan dilakukan dari atas ke bawah secara berurutan.

Read More

MikroTik Firewall Raw Feature

Menggunakan MikroTik Firewall Raw Feature untuk melindungi Router dari DDOS dan berbagai macam aksi hacker.

Dari pengalaman menggunakan router mikrotik, sering sekali terjadi penetrasi gangguan, baik dari para pencuri password wifi, pencurian koneksi seperti via netcut, pencurian data pribadi melalui ARP Poisoning  atau orang yang sengaja mengganggu dengan mengirim paket flooding (DDOS).

Mungkin semua hal tersebut di atas dapat kita kurangi menggunakan feature mikrotik firewall filter, akan tetapi akan timbul permasalahan baru yaitu mengurangi space ram (semakin banyak firewall filter maka semakin berkurang  space ram router). 

Firewall filter mikrotik bekerja setelah masuk di zona routing table

Gambar saya peroleh dari literature MUM Presentation-3938147937282-milik Achmad Mardiansyah, untuk file pdf, silahkan download disini 

Lihat dan pelajari baik - baik gambar di bawah ini :

Saya tidak akan menjelaskan paket flow di atas, akan tetapi memperlihatkan bahwa firewall filter bekerja setelah melewati routing table, sehingga akan sangat mempengaruhi CPU Load dari router.

Kita akan bandingkan dengan Firewall filter raw, simak baik-baik gambar berikut :

Firewall filter raw bertugas memutus aliran paket sebelum masuk ke routing table, sehingga apabila teridentifikasi paket yang mencurigakan tidak akan di masukkan ke dalam routing table, atau di blok, tentunya dalam membuat Firewall filter raw kita harus mengetahui karakteristik  aksi penetrasi ke router, misalkan kita dapat memutus aksi dns mitigation dengan mengenali, port yang di pakai  jenis paket (udp/tcp) dan sebagainya.

Untuk  Router yang saya configurasi biasanya sudah saya pindahkan terlebih  dahulu  ip servicenya dan kemudian menggunakan firewall raw untuk bloking di port yang biasa di pakai untuk  melakukan aksi serangan. Dengan demikian firewall raw yang saya  buat selain menurunkan CPU load juga saya gunakan sebagai monitoring flow attacking packet.

Contoh firewall raw dapat anda lihat di  www.gregsowell.com/?p=5286

Maaf bukan saya tidak mau berbagi script firewall raw yang saya punya, akan tetapi hal ini saya lakukan agar  pembaca tidak sekedar copy paste saja akan tetapi mengetahui fungsi kerja firewall raw dengan jelas. 

Sekian gambaran firewall raw, mungkin artikel ini dapat bermanfaat. Terima kasih   

Read More