username
password
daftar | lupa password  
Keranjang Belanja | Detail
barang, Rp ,-
Di luar PPN, diskon %
 
Cari produk:
 
Halaman Muka
Produk
Voucher MUM
Lisensi (dgn DOM)
Lisensi (tanpa DOM)
Upgrade Lisensi
Cloud Router Switch
Interface
Switch
MikroBits Switch
RouterBoard (only)
Router Indoor
Wireless Indoor NEW
Router Outdoor
RouterBoard 2011
RouterBoard 3011
MikroBits Aneto
MikroBits Ainos
MikroBits Celoica
MikroBits Dinara NEW
Cloud Core Router
Wireless Indoor 800
Wireless Outdoor 800
Wireless Indoor 493
Wireless Indoor 433
Wireless Outdoor 433
Wireless Outdoor 435
Wireless Indoor 411
Wireless Outdoor 411
Wireless Outdoor 900
Wireless Outdoor 711
Groove
Metal
Embedded 2.4GHz
Embedded 5.xGHz
Indoor Antenna
RF Ellements
Outdoor Antenna
SFP Transceiver
Mikrobits Fiber Patch
NetProtector NEW
Perlengkapan Lain
Discontinued
Rancang Sendiri
Aplikasi Bantu
Pelatihan
Manual & Dokumentasi
Download Area
Artikel
Tips & Trik
Mikrotik @ Media
Fitur & Penggunaan
Tentang Kami
Aturan & Tata Cara
Layanan Pelanggan
BGP-Peer NEW
Kontak Kami
 
 
 

Artikel

Simple Port Knocking

Kategori: Tips & Trik
Share


Port Knocking adalah metode yang dilakukan untuk membuka akses ke port tertentu yang telah diblock oleh Firewall pada perangkat jaringan dengan cara mengirimkan paket atau koneksi tertentu. Koneksi bisa berupa protocol TCP, UDP maupuan ICMP

Jika koneksi yang dikirimkan oleh host tersebut sudah sesuai dengan rule knocking yang diterapkan, maka secara dinamis firewall akan memberikan akses ke port yang sudah diblock.

Dengan cara ini, perangkat jaringan seperti Router akan lebih aman, sebab admin jaringan bisa melakukan blocking terhadap port-port yang rentan terhadap serangan seperti Winbox (tcp 8291), SSH (tcp 22), Telnet (tcp 23) atau webfig (tcp 80). Jika dilakukan port scanning port-port tersebut terlihat tertutup.

Dari sisi admin jaringan tetap bisa melakukan konfigurasi dan monitoring akan tetapi dengan langkah-langkah khusus (knocking) agar bisa diijinkan oleh firewall untuk akses port Winbox, SSH,dsb.

Address-List

Untuk dapat menerapkan metode port knocking sederhana, kita bisa memanfaatkan Address-List pada Router. Fitur Address-List dapat digunakan untuk melakukan pengelompokan / grouping IP Address yang selanjutnya group IP tersebut dapat digunakan pada fitur lain seperti Firewall Filter, NAT atau Mangle.

Address-List dapat ditambahkan secara manual ataupun secara dynamic. Penambahan secara manual dapat dilakukan pada menu IP -> Firewall -> Address List

Tentukan nama group serta IP Address yang akan dimasukkan pada group tersebut.

Disamping itu Address-List dapat juga ditambahkan secara dynamic, dimana biasa diterapkan jika IP yang akan dimasukkan ke dalam group Address List belum diketahui sebelumnya atau memang sifat nya berubah-ubah.

Dalam contoh setting Simple Port Knocking inilah, akan digunakan dynamic Address-List tersebut.

Konsep

Contoh kasus port knocking yang akan dibahas kali ini adalah bagaimana host dapat melakukan Winbox (tcp 8291) ke Router hanya jika host tersebut sudah melakukan knock ICMP (ping) terlebih dahulu.

Cara kerja nya yaitu dengan memasukkan IP Address Host yang mengirimkan paket ICMP (ping) ke Router ke dalam sebuah Address-List secara otomatis. Setelahnya, hanya IP yang sudah terdaftar pada Address-List yang bisa akses Winbox ke Router. 

Konfigurasi

Untuk melakukan grouping IP secara otomatis kita bisa menggunakan fitur Firewall Filter. Pertama, lakukan konfigurasi matcher Firewall. Spesifikan hanya traffic ping (icmp) ke Router yang akan ditangkap

Setelah itu, gunakan action=add-src-to-address-list untuk memasukkan IP Address user yang melakukan ping ke Router ke dalam sebuah group.

Nama group dapat didefinisikan pada parameter Address List. Jika menghendaki IP tersebut tidak selamanya ada di dalam daftar group, maka bisa definisikan parameter Timeout.

Sampai langkah ini, jika ada host yang melakukan ping ke Router maka ip user tersebut akan dimasukkan ke dalam Address-List dengan nama=ping.

Perbedaan Address-List yang ditambahkan secara otomatis terletak pada flag "D" di depan nya. Karena sebelumnya TimeOut ditentukan maka IP Address tersebut akan dihapus otomatis dari daftar pada saat TimeOut habis.

Langkah selanjutnya yang harus dilakukan adalah membuat rule Firewall Filter untuk melakukan blocking akses Winbox ke Router dari sumber (src-address) selain dari IP Address yang sudah masuk dalam Address-List.


Tentu saja tidak hanya Winbox saja yang bisa kita definisikan pada matcher, tetapi bisa juga Telnet ,SSH,FTP dan webfig agar lebih aman.

Selanjutnya spesifikan src-address dari paket data yang akan ditangkap. Untuk kasus ini kita bisa menggunakan nama address-list yang sebelumnya ditambahkan secara otomatis.

Karena yang akan kita tangkap adalah traffic data dari selain IP yang sudah terdaftar maka kita bisa menggunakan logika NOT (!).

Langkah terakhir adalah penentuan action. Untuk tujuan blocking gunakan action=drop.

Jika dilihat keseluruhan rule Firewall Filter yang dibuat menjadi seperti berikut


Pengetesan

Setelah semua langkah selesai, lakukan pengetesan dengan akses winbox ke Router tanpa melakukan ping terlebih dahulu, maka akses akan diblock


Akan tetapi jika lakukan ping terlebih dahulu, baru akses winbox ke Router, maka akses winbox akan sukses dilakukan.


Pada artikel ini, port knocking akan berlaku pada semua interface Router, karena tidak ada rule untuk menspesifikan in-interface. Untuk implementasi di lapangan bisa sesuaikan dengan kebutuhan.





Kembali ke :
Halaman Artikel | Kategori Tips & Trik

 

muka - tentang kami - produk - artikel - kontak kami
 
Copyrights 2005-2017 Citraweb Nusa Infomedia. All Rights Reserved. Generated in 0.0098 second(s).
Your IP: 54.146.59.51