BLOCKING CLIENT BERDASARKAN IP ADDRESS MAC ADDRESS DAN ALAMAT WEBSITE PADA MIKROTIK ROUTER

BLOCKING CLIENT BERDASARKAN IP ADDRESS MAC ADDRESS DAN ALAMAT WEBSITE PADA MIKROTIK  ROUTER

Norman Andika, Pasman Rizky, Reindy Gerian Pranata

         Teknik Elektronika Telekomunikasi, Politeknik Caltex Riau

I.            Pendahuluan

NAT (Network Address Translation) atau Penafsiran alamat jaringan adalah suatu metode untuk menghubungkan lebih dari satu komputer ke jaringan internet dengan menggunakan satu alamat IP. Banyaknya penggunaan metode ini disebabkan karena ketersediaan alamat IP yang terbatas, kebutuhan akan keamanan (security), dan kemudahan serta fleksibilitas dalam administrasi jaringan.

NAT merupakan salah satu protocol dalam suatu sistem jaringan, NAT memungkinkan suatu jaringan dengan ip atau internet protocol yang bersifat privat atau privat ip yang sifatnya belum teregistrasi di jaringan internet untuk mengakses jalur internet, hal ini berarti suatu alamat ip dapat mengakses internet dengan menggunakan ip privat atau bukan menggunakan ip public, NAT biasanya dibenamkan dalam sebuah router, NAT juga sering digunakan untuk menggabungkan atau menghubungkan dua jaringan yang berbeda, dan mentranslate atau menterjemahkan ip privat atau bukan ip public dalam jaringan internal ke dalam jaringan yang legal network sehingga memiliki hak untuk melakukan akses data dalam sebuah jaringan.

Ada tiga macam jenis dasar Network Address Translation (NAT):    

1.      Static NAT

Network Address Translation (NAT) menterjemahkan sejumlah IP address tidak terdaftar menjadi sejumlah IP address yang terdaftar sehingga setiap client dipetakkan kepada IP address terdaftar yang dengan jumlah yang sama. 

NAT Static Jenis NAT ini merupakan pemborosan IP address terdaftar, karena setiap IP address yang tidak terdaftar (un-registered IP) dipetakan kepada satu IP address terdaftar. Static NAT ini juga tidak seaman jenis NAT lainnya, karena setiap komputer secara permanen diasosiasikan kepada address terdaftar tertentu, sehingga memberikan kesempatan kepada para penyusup dari Internet untuk menuju langsung kepada komputer tertentu pada jaringan private anda menggunakan address terdaftar tersebut.

2.     Dynamic NAT

      Dynamic Network Address Translation dimaksudkan untuk suatu keadaan dimana anda mempunyai IP address terdaftar yang lebih sedikit dari jumlah IP address un-registered. Dynamic NAT menterjemahkan setiap komputer dengan IP tak terdaftar kepada salah satu IP address terdaftar untuk connect ke internet. Hal ini agak menyulitkan para penyusup untuk menembus komputer didalam jaringan anda karena IP address terdaftar yang diasosiasikan ke komputer selalu berubah secara dinamis, tidak seperti pada NAT statis yang dipetakan sama. Kekurangan utama dari dynamis NAT ini adalah bahwa jika jumlah IP address terdaftar sudah terpakai semuanya, maka untuk komputer yang berusaha connect ke Internet tidak lagi bisa karena IP address terdaftar sudah terpakai semuanya.      

3.      NAT Masquerading                                                                                       

        Masquerading NAT ini menterjemahkan semua IP address tak terdaftar pada jaringan anda dipetakan kepada satu IP address terdaftar. Agar banyak client bisa mengakses Internet secara bersamaan, router NAT menggunakan nomor port untuk bisa membedakan antara paket-paket yang dihasilkan oleh atau ditujukan komputer-komputer yang berbeda. Solusi Masquerading ini memberikan keamanan paling bagus dari jenis-jenis NAT sebelumnya, Karena asosiasi antara client dengan IP tak terdaftar dengan kombinasi IP address terdaftar dan nomor port didalam router NAT hanya berlangsung sesaat terjadi satu kesempatan koneksi saja, setelah itu dilepas.

Keamanan NAT Kebanyakan implementasi NAT sekarang ini mengandalkan pada teknik jenis Masquerading NAT karena meminimalkan jumlah kebutuhan akan IP address terdaftar dan memaksimalkan keamanan yang diberikan olen Network Address Translation (NAT). Akan tetapi perlu dicatat bahwa NAT itu sendiri, walau memakai jenis NAT yang paling aman, Masquerading bukanlah suatu firewall yang sebenarnya dan tidak memberikan suatu perisai besi keamanan untuk suatu situasi yang beresiko tinggi. NAT pada dasarnya hanya memblokir tamu tak diundang (unsolicited request) dan semua usaha penjajagan atau usaha scanning dari internet, yang berarti suatu pencegahan dari usaha para penyusup untuk mencari file share yang tidak di proteksi atau private Web ataupun FTP  usaha serangan DoS (Denial of Services) terhadap komputer yang ada dijaringan private anda. Ataupun tidak bisa mencegah usaha-usaha  lain dengan teknik yang lebih kompleks untuk melakukan kompromi jaringan.

NAT adalah solusi yang memadai jika:

• Akses ke internet dan akses ke jaringan tidak dibatasi berdasarkan user per user. Jaringan private berisi user didalam lingkungan yang tidak bisa di routed.
• Organisasi anda memerlukan address private untuk komputer-2 pada jaringan private.

Suatu server NAT memerlukan paling tidak 2 interface jaringan.

• Setiap interface memerlukan IP address, range IP address yang diberikan haruslah berada dalam subnet yang sama dengan jaringan dimana ia terhubung.
• Subnet mask juga harus sama dengan subnet mask yang diberikan pada segmen jaringan dimana dia terhubung

Suatu server NAT dapat diletakkan pada jaringan untuk melaksanakan tugas-tugas tertentu:

• Mengisolasi traffic jaringan pada segmen jaringan sumber, tujuan, dan segmen jaringan intermediate
• Membuat partisi subnet didalam jaringan private, melindungi data confidential.
• Pertukaran paket jaringan antara jenis segmen jaringan yang berbeda

II.           Tujuan

·        Mampu memahami cara kerja NAT

·        Mampu melakukan instalasi dan konfigurasi NAT

·        Mampu melakukan blocking pada user dengan menggunakan mikrotik router

III.        Langkah – langkah Konfigurasi NAT

Untuk mengkonfigurasi NAT dibutuhkan  beberapa perangkat berikut :

1.      1 buah mikrotik router

2.      1 buah switch

3.      1 buah PC server

4.      1 buah PC client

          Pada mikrotik router terdapat 3 buah port dengan konfigurasi sebagai berikut :

1.       ETHER-1 :  KE SWITCH 

2.       ETHER2-LAN : SEBAGAI ROUTER BUILD UP + WINBOX PC

3.       ETHER3-WAN : TERHUBUNG KE ROUTER PCR

1.      Setting INTERFACES

2.      Setting IP – ADDRESSSES

3.      Setting IP DHCP SERVER

4.      Setting IP –DHCP CLIENT

5.      Setting NAT

             IP-FIREWALL-NAT  

           ACTION : Firewall Masquerade

IV.        Analisa

Proses blocking pada akses client dapat dilakukan dengan berbagai cara antara lain dengan menggunakan IP address, MAC address maupun dengan alamat website tujuan. Dengan proses blocking tersebut maka hak akses client akan dibatasi. Setting hak akses client dapat diatur pada mikrotik router dengan menggunakan software winbox.

·        Blocking client dengan IP address

Dalam hal ini client yang akan diblok memiliki IP address 192.168.2.254. Untuk membloking nya dengan cara memilih menu IP>>Firewall>>general.

Chain =  forward

Src = 192.168.2.254

Out interface = ether3_WAN

Selanjutnya klik “Action”

Pada action pilih drop, maka client dengan IP 192.168.2.254 tidak dapat mengakses internet. Sedangkan Client yang lain tetap dapat menggunakan  hak akses sepenuhnya untuk membuka internet.

 

Dari gambar diatas ketika client melakukan ping ke www.google.com ternyata tidak dapat terkoneksi. Hal ini menandakan client dengan IP 192.168.2.254 akses internetnya sudah diblok. Namun ketika di unblocking client kembali lagi bisa mengakses internet.

·        Blocking client dengan MAC address

Proses blocking akses client dengan MAC address hampir sama dengan blocking IP address. Settingan pada mikrotik dapat dilakukan dengan cara pilih IP>>Firewall>>general

Chain =  forward

Out interface = ether3_WAN

Selanjutnya klik “Advance”

Pada Advanced diisikan MAC address client yang akan diblok. Selanjutnya pilih action>>drop. Berikut ini hasil ping client yang sudah diblok.

Dari gambar diatas ketika client melakukan ping ke www.google.com ternyata tidak dapat terkoneksi. Hal ini menandakan client dengan MAC address 44:37:E6:45:0E:5E akses internetnya sudah diblok. Namun ketika di unblocking client kembali lagi bisa mengakses internet.

·        Blocking client berdasarkan alamat website

Proses blocking akses client berdasarkan alamat website hampir sama dengan blocking IP address. Perbedaannya jika pada IP address, IP diinputkan pada source address sedangkan berdasarkan website, IP address dari alamat web yang akan diblok di inputkan pada Destination Address. Settingan pada mikrotik dapat dilakukan dengan cara pilih IP>>Firewall>>general

Chain =  forward

Dst. Address = 31.13.79.65 ( IP Facebook)

Out interface = ether3_WAN

Selanjutnya klik “Action”

       Selanjutnya pada “Action” pilih ”drop” untuk membloking akses ke facebook.

Dari gambar diatas ketika client melakukan ping ke IP facebook 31.13.79.65 ternyata tidak dapat terkoneksi ditandai dengan Request timed out. Hal ini menandakan alamat website facebook sudah diblok. Namun ketika di unblocking client kembali lagi bisa mengakses website facebook.

V.           Kesimpulan

Berdasarkan praktikum yang telah dilakukan dapat disimpulkan hal berikut :

1.  Blocking bertujuan untuk memberi batasan hak akses terhadap client-client tertentu dalam melakukan akses internet.

2. Proses blocking MAC address bersifat tetap untuk sebuah client yang di drop,sedangkan  blocking IP address bersifat dinamik karena IP tersebut bersifat DHCP.

3.  Proses blocking alamat website berlaku untuk seluruh range IP yang telah disetting pada router mikrotik.