-
Konfigurasi Port Knocking


  •       Port Knocking adalah metode yang dilakukan untuk membuka akses ke port tertentu yang telah diblock oleh Firewall pada perangkat jaringan dengan cara mengirimkan paket atau koneksi tertentu. Koneksi bisa berupa protocol TCP, UDP maupuan ICMP. Untuk dapat menerapkan metode port knocking sederhana, kita bisa memanfaatkan Address-List pada Router. Fitur Address-List dapat digunakan untuk melakukan pengelompokan / grouping IP Address yang selanjutnya group IP tersebut dapat digunakan pada fitur lain seperti Firewall Filter, NAT atau Mangle. Address-List dapat ditambahkan secara manual ataupun secara dynamic. Penambahan secara manual dapat dilakukan pada menu IP => Firewall => Address List. 
Tentukan nama group serta IP Address yang akan dimasukkan pada group tersebut.
Konfigurasi
Untuk melakukan grouping IP secara otomatis kita bisa menggunakan fitur Firewall Filter. Pertama, lakukan konfigurasi matcher Firewall. Spesifikan hanya traffic ping (icmp) ke Router yang akan ditangkap
Setelah itu, gunakan action=add-src-to-address-list untuk memasukkan IP Address user yang melakukan ping ke Router ke dalam sebuah group.
Nama group dapat didefinisikan pada parameter Address List. Jika menghendaki IP tersebut tidak selamanya ada di dalam daftar group, maka bisa definisikan parameter Timeout.
Sampai langkah ini, jika ada host yang melakukan ping ke Router maka ip user tersebut akan dimasukkan ke dalam Address-List dengan nama=ping.
Perbedaan Address-List yang ditambahkan secara otomatis terletak pada flag "D" di depan nya. Karena sebelumnya TimeOut ditentukan maka IP Address tersebut akan dihapus otomatis dari daftar pada saat TimeOut habis.
Langkah selanjutnya yang harus dilakukan adalah membuat rule Firewall Filter untuk melakukan blocking akses Winbox ke Router dari sumber (src-address) selain dari IP Address yang sudah masuk dalam Address-List.
 
Tentu saja tidak hanya Winbox saja yang bisa kita definisikan pada matcher, tetapi bisa juga Telnet ,SSH,FTP dan webfig agar lebih aman.
Selanjutnya spesifikan src-address dari paket data yang akan ditangkap. Untuk kasus ini kita bisa menggunakan nama address-list yang sebelumnya ditambahkan secara otomatis. 
Karena yang akan kita tangkap adalah traffic data dari selain IP yang sudah terdaftar maka kita bisa menggunakan logika NOT (!).
Langkah terakhir adalah penentuan action. Untuk tujuan blocking gunakan action=drop.
Jika dilihat keseluruhan rule Firewall Filter yang dibuat menjadi seperti berikut

Pengetesan
Setelah semua langkah selesai, lakukan pengetesan dengan akses winbox ke Router tanpa melakukan ping terlebih dahulu, maka akses akan diblock

Akan tetapi jika lakukan ping terlebih dahulu, baru akses winbox ke Router, maka akses winbox akan sukses dilakukan. 

Pada artikel ini, port knocking akan berlaku pada semua interface Router, karena tidak ada rule untuk menspesifikan in-interface. Untuk implementasi di lapangan bisa sesuaikan dengan kebutuhan. 















\

Comments

Post a Comment

Popular posts from this blog

JARINGAN KOMPUTER

-
Image
  KOMPONEN JARINGAN KOMPUTER 1. NIC NIC atau juga network card adalah sebuah kartu yang berfungsi sebagai jembatan dari komputer ke sebuah jaringan komputer. Jenis NIC yang beredar, terbagi menjadi dua jenis, yakni NIC yang bersifat fisik, dan NIC yang bersifat logis. Contoh NIC yang bersifat fisik adalah NIC Ethernet, Token Ring, dan lainnya; sementara NIC yang bersifat logis adalah loopback adapter dan Dial-up Adapter. Disebut juga sebagai Network Adapter. Setiap jenis NIC diberi nomor alamat yang disebut sebagai MAC address, yang dapat bersifat statis atau dapat diubah oleh pengguna.  2. Hub Hub atau yang lebih dikenal dengan istilah network hub adalah sebuah perangkat yang berfungsi untuk menghubungkan komputer yang satu dengan komputer lainnya asalkan masih dalam lingkup jaringan yang sama. Artinya komputer atau perangkat yang terhubung melalui hub ini dapat saling bertukar informasi antara satu sama lain. 3. Switch Switch adalah sebuah alat jaringan yang melakukan penjembatan tak
Read more

SEBUTKAN DAN JELASKAN 7 LAYER OSI

-
  PHYSICAL LAYER Physical layer  berfungsi melakukan mendefinisikan sebagai sebuah media transmisi pada sebuah jaringan. DATA LINK LAYER Berfungsi sebagai menjadi pengkoreksian daripada sebuah kesalahan NETWORK  LAYER Berfungsi untuk membantu pendefinisikan berbagai macam bentuk alamat IP maupun internet protocol . TRANSPORT  LAYER Merupakan lapisan OSI yang memilki tugas sebagai pengantar . Fungsi utama dari transport layer pada lapisan OSI ini adalah Memecah data ke dalam paket – paket data, Mentransmisikan data dari session layer menuju network layer, maupun sebaliknya. SESSION  LAYER Berfungsi untuk melakukan pendefinisikan sebagai sebuah bentuk dari koneksi untuk dibangun PRESENTATION  LAYER Berfungsi untuk melakukan penghubungan data yang dimana akan dilakukan pengtransimian yang berasal dari sebuah aplikasi APPLICATION  LAYER Application Layer merupakan lapisan yang pertama pada saat sebuah data mulai ditransfer, dan merupakan lapisan terakhir yang dilewati begitu komputer clien
Read more

PENGERTIAN INTERNET, INTRANET, & EXTRANET

-
PENGERTIAN INTERNET Internet adalah suatu jaringan komunikasi yang memiliki fungsi untuk menghubungkan antara satu media elektronik dengan media elektronik yang lain dengan cepat dan tepat. INTRANET Intranet adalah sebuah jaringan privat (private network) yang menggunakan protokol-protokol Internet (TCP/IP), untuk membagi informasi rahasia perusahaan atau operasi dalam perusahaan tersebut kepada karyawannya. Kadang-kadang, istilah intranet hanya merujuk kepada layanan yang terlihat, yakni situs web internal perusahaan EXTRANET Extranet  adalah jaringan pribadi yang menggunakan protokol internet dan sistem telekomunikasi publik untuk membagi sebagian informasi bisnis atau operasi secara aman kepada pelanggan. PERBEDAAN INTERNET, INTRANET, & EXTRANET                A. INTERNET                    o  Internet adalah komunikasi global yang diakses melalui Web.                     o  Hanya ada satu, dan Anda sudah menggunakannya sekarang.                B.INTRANET                    o  I
Read more