Professional Documents
Culture Documents
(MTCSE)
Harijanto Pribadi
Caption in Bahasa
Schedule/Jadwal
AP
R1 R2 Rn
Wireless-Link
Ether-Link
Module 1
INTRODUCTION
What Security is all about?
NORMAL FLOW
Information Information
source destination
Security Threats / Attacks
INTERRUPTION
Information Information
source destination
“services or data become unavailable, unusable, destroyed, and so on, such as loss of
file, denial of service, etc.” / “Layanan atau data menjadi tidak tersedia, tidak dapat
digunakan, dihancurkan, dan sebagainya, seperti kehilangan file, penolakan layanan,
dll.”
Security Threats / Attacks
INTERCEPTION
Information Information
source destination
Attacker
“an unauthorized 3rd party has gained access to an object, such as stealing data,
overhearing another's communication, etc.” / "Pihak ke-3 yang tidak sah telah
memperoleh akses ke objek, seperti mencuri data, mendengar komunikasi orang lain,
dll."
Security Threats / Attacks
MODIFICATION
Information Information
source destination
Attacker
Information Information
source destination
Attacker
“additional data or activities are generated that would normally not exist, such as
adding a password to a system, replaying previously sent messages, etc.” / “Data atau
kegiatan tambahan dihasilkan yang biasanya tidak ada, seperti menambahkan kata
sandi ke sistem, memutar ulang pesan yang dikirim sebelumnya, dll.”
Threat / Attack Types
Interruption
Passive Attacks /
Interception
Threats
Security Mechanisms
Encryption : transforming data into something an attacker cannot understand, i.e.,
providing a means to implement confidentiality, as well as allowing the user to check
whether data has been modified. / mengubah data menjadi sesuatu yang tidak dapat
dipahami oleh penyerang, yaitu memberikan cara untuk menerapkan kerahasiaan,
serta memungkinkan pengguna untuk memeriksa apakah data telah dimodifikasi.
Authentication : verifying the claimed identity of a user, such as user name,
password, etc. / memverifikasi identitas yang diklaim pengguna, seperti nama
pengguna, kata sandi, dll.
Authorization : checking whether the user has the right to perform the action
requested. / memeriksa apakah pengguna memiliki hak untuk melakukan tindakan
yang diminta.
Auditing : tracing which users accessed what, when, and which way. In general,
auditing does not provide protection, but can be a tool for analysis of problems. /
melacak pengguna mana yang mengakses apa, kapan, dan ke mana. Secara umum,
audit tidak memberikan perlindungan, tetapi dapat menjadi alat untuk analisis
masalah.
COMMON THREATS
Common Security Threats
Botnet
“Collection of software robots, or 'bots', that creates an army of
infected computers (known as ‘zombies') that are remotely controlled by the
originator” / “Kumpulan robot perangkat lunak, atau 'bot', yang menciptakan
pasukan komputer yang terinfeksi (dikenal sebagai‘ zombie ') yang
dikendalikan dari jarak jauh oleh pencetusnya ”
What it can do :
• Send spam emails with viruses attached. / Kirim email spam dengan virus
terlampir.
• Spread all types of malware. / Sebarkan semua jenis malware.
• Can use your computer as part of a denial of service attack against other
systems. / Dapat menggunakan komputer Anda sebagai bagian dari
serangan "penolakan layanan" terhadap sistem lain.
Common Security Threats
Distributed denial-of-service (DDoS)
“A distributed denial-of-service (DDoS) attack — or DDoS attack — is when
a malicious user gets a network of zombie computers to sabotage a specific website or
server.” / Serangan penolakan layanan (DDoS) terdistribusi - atau serangan DDoS -
adalah ketika pengguna jahat mendapatkan jaringan komputer zombie untuk
menyabot situs web atau server tertentu. "
What it can do :
• The most common and obvious type of DDoS attack occurs when an attacker
“floods” a network with useless information. / Jenis serangan DDoS yang paling
umum dan jelas terjadi ketika penyerang "membanjiri" jaringan dengan informasi
yang tidak berguna.
• The flood of incoming messages to the target system essentially forces it to shut
down, thereby denying access to legitimate users. / Banjir pesan yang masuk ke
sistem target pada dasarnya memaksa untuk ditutup, sehingga menolak akses ke
pengguna yang sah.
Common Security Threats
Hacking
“Hacking is a term used to describe actions taken by someone to
gain unauthorised access to a computer.” / "Peretasan adalah istilah yang
digunakan untuk menggambarkan tindakan yang dilakukan seseorang untuk
mendapatkan akses tidak sah ke komputer."
What it can do :
• Find weaknesses (or pre-existing bugs) in your security settings and
exploit them in order to access your devices. / Temukan kelemahan (atau
bug yang sudah ada sebelumnya) di pengaturan keamanan Anda dan
manfaatkan mereka untuk mengakses perangkat Anda.
• Install a Trojan horse, providing a back door for hackers to enter and
search for your information. / Instal kuda Troya, memberikan pintu
belakang bagi peretas untuk masuk dan mencari informasi Anda.
Common Security Threats
Malware
“Malware is one of the more common ways to infiltrate or damage
your computer, it’s software that infects your computer, such as computer
viruses, worms, Trojan horses, spyware, and adware.” / "Malware adalah
salah satu cara yang lebih umum untuk menyusup atau merusak komputer
Anda, itu adalah perangkat lunak yang menginfeksi komputer Anda, seperti
virus komputer, worm, Trojan horse, spyware, dan adware."
What it can do :
• Intimidate you with scareware, which is usually a pop-up message that tells you your computer
has a security problem or other false information. / Mengintimidasi Anda dengan scareware,
yang biasanya merupakan pesan pop-up yang memberitahu Anda komputer Anda memiliki
masalah keamanan atau informasi palsu lainnya.
• Reformat the hard drive of your computer causing you to lose all your information. / Memformat
ulang hard drive komputer Anda menyebabkan Anda kehilangan semua informasi Anda
• Alter or delete files. / Ubah atau hapus file.
• Steal sensitive information. / Curi informasi sensitif.
• Send emails on your behalf. / Kirim email atas nama Anda.
• Take control of your computer and all the software running on it. / Kendalikan komputer Anda
dan semua perangkat lunak yang menjalankannya.
Common Security Threats
Phishing
“Phishing is used most often by cyber criminals because it's easy to
execute and can produce the results they're looking for with very little effort.” /
"Phishing paling sering digunakan oleh penjahat dunia maya karena mudah
dieksekusi dan dapat menghasilkan hasil yang mereka cari dengan sedikit usaha."
What it can do :
• Trick you into giving them information by asking you to update, validate or
confirm your account. It is often presented in a manner than seems official and
intimidating, to encourage you to take action. / Menipu Anda agar memberi
mereka informasi dengan meminta Anda memperbarui, memvalidasi, atau
mengonfirmasi akun Anda. Seringkali disajikan dengan cara, daripada yang
tampak resmi dan menakutkan, untuk mendorong Anda mengambil tindakan.
• Provides cyber criminals with your username and passwords so that they can
access your accounts (your online bank account, shopping accounts, etc.) and
steal your credit card numbers. / Berikan para penjahat cyber dengan nama
pengguna dan kata sandi Anda sehingga mereka dapat mengakses akun Anda
(akun bank online Anda, akun belanja, dll.) Dan mencuri nomor kartu kredit
Anda.
Common Security Threats
Ransomware
“Ransomware is a type of malware that restricts access to your computer
or your files and displays a message that demands payment in order for the
restriction to be removed.” / "Ransomware adalah jenis malware yang membatasi
akses ke komputer Anda atau file Anda dan menampilkan pesan yang menuntut
pembayaran agar pembatasan dihapus."
What it can do :
• Lockscreen ransomware: displays an image that prevents you from accessing your
computer. / Ransomware Lockscreen: menampilkan gambar yang mencegah Anda
mengakses komputer Anda.
• Encryption ransomware: encrypts files on your system's hard drive and
sometimes on shared network drives, USB drives, external hard drives, and even
some cloud storage drives, preventing you from opening them. / Encryption
ransomware: mengenkripsi file pada hard drive sistem Anda dan kadang-kadang
pada drive jaringan bersama, drive USB, hard drive eksternal, dan bahkan
beberapa drive penyimpanan cloud, mencegah Anda untuk membukanya.
Common Security Threats
Spam
“Spam is one of the more common methods of both sending
information out and collecting it from unsuspecting people.” / "Spam adalah salah
satu metode yang lebih umum untuk mengirim informasi dan mengumpulkannya
dari orang yang tidak menaruh curiga."
What it can do :
• Annoy you with unwanted junk mail. / Mengganggu Anda dengan surat sampah
yang tidak diinginkan.
• Create a burden for communications service providers and businesses to filter
electronic messages. / Buat beban bagi penyedia layanan komunikasi dan bisnis
untuk memfilter pesan elektronik.
• Phish for your information by tricking you into following links or entering details
with too-good-to-be-true offers and promotions. / Lihat informasi Anda dengan
menipu Anda ke tautan berikut atau memasukkan detail dengan penawaran dan
promosi yang terlalu bagus.
• Provide a vehicle for malware, scams, fraud and threats to your privacy. /
Berikan kendaraan untuk malware, penipuan, penipuan, dan ancaman terhadap
privasi Anda.
Common Security Threats
Spoofing
“This technique is often used in conjunction with phishing in an
attempt to steal your information.” / "Teknik ini sering digunakan
bersamaan dengan phishing dalam upaya mencuri informasi Anda."
What it can do :
• Sends spam using your email address, or a variation of your email
address, to your contact list. / Mengirim spam menggunakan alamat
email Anda, atau variasi alamat email Anda, ke daftar kontak Anda.
• Recreates websites that closely resemble the authentic site. This could
be a financial institution or other site that requires login or other
personal information. / Membuat situs web yang mirip dengan situs
asli. Ini bisa berupa lembaga keuangan atau situs lain yang memerlukan
login atau informasi pribadi lainnya.
Common Security Threats
Spyware & Adware
“This technique is often used by third parties to infiltrate your computer
or steal your information without you knowing it.” / "Teknik ini sering digunakan
oleh pihak ketiga untuk menyusup ke komputer Anda atau mencuri informasi Anda
tanpa Anda sadari."
What it can do :
• Collect information about you without you knowing about it and give it to third
parties. / Kumpulkan informasi tentang Anda tanpa Anda sadari dan berikan
kepada pihak ketiga.
• Send your usernames, passwords, surfing habits, list of applications you've
downloaded, settings, and even the version of your operating system to third
parties. / Kirim nama pengguna, kata sandi, kebiasaan berselancar, daftar
aplikasi yang telah Anda unduh, pengaturan, dan bahkan versi sistem operasi
Anda ke pihak ketiga.
• Change the way your computer runs without your knowledge. / Ubah cara
komputer Anda berjalan tanpa sepengetahuan Anda.
• Take you to unwanted sites or inundate you with uncontrollable pop-up ads. /
Membawa Anda ke situs yang tidak diinginkan atau membanjiri Anda dengan
iklan pop-up yang tidak terkendali.
Common Security Threats
Trojan Horses
“A malicious program that is disguised as, or embedded within,
legitimate software. It is an executable file that will install itself and run
automatically once it's downloaded.” / “Program jahat yang disamarkan sebagai,
atau tertanam di dalam, perangkat lunak yang sah. Ini adalah file yang dapat
dieksekusi yang akan menginstal sendiri dan berjalan secara otomatis setelah
diunduh. ”
What it can do :
• Delete your files. / Hapus file Anda.
• Use your computer to hack other computers. / Gunakan komputer Anda untuk
meretas komputer lain.
• Watch you through your web cam. / Mengamati Anda melalui web cam Anda.
• Log your keystrokes (such as a credit card number you entered in an online
purchase). / Catat keystrokes Anda (seperti nomor kartu kredit yang Anda
masukkan dalam pembelian online).
• Record usernames, passwords and other personal information. / Catat nama
pengguna, kata sandi, dan informasi pribadi lainnya.
Common Security Threats
Virus
“Malicious computer programs that are often sent as an email
attachment or a download with the intent of infecting your computer.” /
"Program komputer jahat yang sering dikirim sebagai lampiran email
atau unduhan dengan maksud menginfeksi komputer Anda."
What it can do :
• Send spam. / Kirim spam.
• Provide criminals with access to your computer and contact lists. /
Berikan penjahat akses ke komputer dan daftar kontak Anda.
• Scan and find personal information like passwords on your computer. /
Pindai dan temukan informasi pribadi seperti kata sandi di komputer
Anda.
• Hijack your web browser. / Bajak browser web Anda.
• Disable your security settings. / Nonaktifkan pengaturan keamanan
Anda.
• Display unwanted ads. / Tampilkan iklan yang tidak diinginkan.
Common Security Threats
Worm
“A worm, unlike a virus, goes to work on its own without attaching itself
to files or programs. It lives in your computer memory, doesn't damage or alter the
hard drive and propagates by sending itself to other computers in a network.” /
“Cacing, tidak seperti virus, bekerja sendiri tanpa melampirkan file atau program.
Ia hidup di memori komputer Anda, tidak merusak atau mengubah hard drive dan
menyebar dengan mengirimkan dirinya sendiri ke komputer lain di jaringan. "
What it can do :
• Spread to everyone in your contact list. / Sebarkan ke semua orang di daftar
kontak Anda.
• Cause a tremendous amount of damage by shutting down parts of the Internet,
wreaking havoc on an internal network and costing companies enormous
amounts of lost revenue. / Menyebabkan sejumlah besar kerusakan dengan
mematikan bagian-bagian Internet, mendatangkan malapetaka pada jaringan
internal dan membuat perusahaan kehilangan banyak pendapatan.
ROUTEROS
SECURITY
DEPLOYMENT
MikroTik as a Global Firewall Router
DATA CENTER
OFFICE
INTERNET
GUEST
MikroTik as a Global Firewall Router
Pro's
• Simple topology / Topologi sederhana
• Easy to manage / Mudah dikelola
Con's
• Single-point-of-failure / Titik kegagalan
• Demands high resources / Menuntut sumber daya yang tinggi
MikroTik as a Specific Router Firewall
DATA CENTER
OFFICE
INTERNET
GUEST
MikroTik as a Specific Router Firewall
Pro's
• Less resource consumption on each router / Konsumsi sumber daya lebih sedikit
pada setiap router
• Only focusing security firewall on each network / Hanya memfokuskan firewall
keamanan pada setiap jaringan
Con's
• Different network segment, different treatment / Segmen jaringan yang berbeda,
perawatan yang berbeda
• Need to configure firewall differently on each router / Perlu mengkonfigurasi
firewall secara berbeda pada setiap router
• Possible to configure double firewall rules on one another's routers / Kemungkinan
untuk mengkonfigurasi aturan firewall ganda pada router satu sama lain
MikroTik as an IPS
DATA CENTER
OFFICE
INTERNET
GUEST
MikroTik as an IPS
Pros
• Clean firewall configuration on router, because all firewall
configuration already defined on an IPS (Intrusion Prevention
System) router / Bersihkan konfigurasi firewall pada router,
karena semua konfigurasi firewall sudah ditentukan pada
router IPS (Intrusion Prevention System)
Cons
• A lot of resources will be needed to use RouterOS as an IPS /
Banyak sumber daya akan dibutuhkan untuk menggunakan
RouterOS sebagai IPS
MikroTik with IDS as a trigger
DATA CENTER
OFFICE
INTERNET
GUEST
IDS SERVER
MikroTik with IDS as a trigger
Pro's
• All firewall rules are made automatically by API from IDS (Intrusion
Detection System) server / Semua aturan firewall dibuat secara otomatis
oleh API dari server IDS (Intrusion Detection System)
Con's
• Additional device is needed to be triggered by the "bad" traffic / Perangkat
tambahan diperlukan untuk dipicu oleh lalu lintas "buruk"
• A powerful device is needed for mirroring all traffic from networks /
Perangkat yang kuat diperlukan untuk mencerminkan semua lalu lintas
dari jaringan
• Need special scripting for sending information to router / Perlu skrip
khusus untuk mengirim informasi ke router
• Expensive / Mahal
Module 2
FIREWALL
STATEFUL
FIREWALL
Stateful firewall
/interface ethernet
set [ find default-name=ether1 ] comment="To Internet" name=ether1-internet
set [ find default-name=ether2 ] comment="To Lan" name=ether2-Lan
/ip pool
add name=dhcp_pool0 ranges=192.168.11.2-192.168.11.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether2-Lan name=dhcp1
Lab. ICMP tracking
/ip address
add address=192.168.11.1/24 interface=ether2-Lan network=192.168.11.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1-internet
/system identity
set name=R1
Lab. ICMP tracking
Lab. ICMP tracking
Lab. ICMP tracking
/interface bridge
add fast-forward=no name=Lan
/interface ethernet
set [ find default-name=ether1 ] name=E1-ToInternet
/interface list
add name=WAN
add name=LAN
Lab. Securing areas
/ip pool
add name=dhcp_pool0 ranges=192.168.188.2-192.168.188.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=Lan name=dhcp1
/ip address
add address=192.168.188.1/24 interface=Lan network=192.168.188.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=E1-ToInternet
/system identity
set name=R1
PACKET
FLOW
Packet flow
Packet flow
Packet flow
Packet flow
Packet flow
RAW
TABLE
RouterOS Default Configuration
• RAW table offer two chains - prerouting and output
/ Tabel RAW menawarkan dua rantai - prerouting
dan output
• The function of the RAW table is to process the
packets before the connection tracking,
significantly reducing load on CPU / Fungsi tabel
RAW adalah untuk memproses paket sebelum
pelacakan koneksi, secara signifikan mengurangi
beban pada CPU
• This is much more efficient. / Ini jauh lebih efisien.
RAW table chains
RAW table
RAW table. Drop packets
RAW table. Drop packets
RAW table. SYN flood attack
Please note the values of 1-500 are nominal and might need to be adjusted to allow legitmate
traffic to your site. The use of a whitelist could also be included with these rules
RAW table. TCP SACK Panic attack
If DNS cache is left enabled be sure to protect UDP/53 on the input chain with
firewall rules / Jika cache DNS dibiarkan aktif pastikan untuk melindungi UDP /
53 pada rantai input dengan aturan firewall
Other Client Services
/ip proxy set enabled=no
/ip socks set enabled=no
/ip upnp set enabled=no
/ip cloud set ddns-enabled=no update-time=no
More Secure SSH - Strong-Crypto=Yes
Introduces following changes in the SSH configuration: /
Memperkenalkan perubahan berikut dalam konfigurasi SSH:
• Prefer 256 and 192 bit encryption instead of 128 bits
• Disable null encryption
• Prefer sha256 for hashing instead of sha1
• Disable md5
• Use 2048bit prime for Diffie Hellman exchange instead of
1024bit
/interface ethernet
set [ find default-name=ether1 ] name=E1-ToBridge
/ip address
add address=192.168.100.1/30 interface=E1-ToBridge
network=192.168.100.0
Lab. Only PPPoE Traffic
/interface pppoe-server server
add disabled=no interface=E1-ToBridge
/ppp secret
add local-address=10.100.100.1 name=test password=test \
remote-address=10.200.200.2 service=pppoe
/system identity
set name=R1
Lab. Only PPPoE Traffic
/interface ethernet
set [ find default-name=ether1 ] name=E1-ToBridge
/interface pppoe-client
add disabled=no interface=E1-ToBridge name=test password=test \
user=test
/ip address
add address=192.168.100.2/30 interface=E1-ToBridge \
network=192.168.100.0
Bridge Setup
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether2 ] name=E2-ToR1
set [ find default-name=ether3 ] name=E3-ToR3
/system identity
set name=Bridge
ICMP FILTERING
What is ICMP Filtering
• ICMP helps networks to cope with communication problems / ICMP
membantu jaringan untuk mengatasi masalah komunikasi
• No authentication method; can be used by hackers to crash computers on
the network / Tidak ada metode otentikasi; dapat digunakan oleh peretas
untuk membuat crash komputer di jaringan
• Firewall/packet filter must be able to determine, based on its message
type, whether an ICMP packet should be allowed to pass / Firewall / filter
paket harus dapat menentukan, berdasarkan pada jenis pesannya, apakah
paket ICMP harus diizinkan untuk lulus
ICMPv4 FILTERING
Table Filtering Recommendations
• Server IP – the IP server, the name of which will send the answer the
DHCP (xxx.xxx.xxx.xxx);
• Start IP – initiaIP, , issued to customers -address address range
(xxx.xxx.xxx.xxx);
• End IP – IP , issued to customers -address address range (xxx.xxx.xxx.xxx);
• Time The Lease (secs) – The time in seconds for which the address is given
• Time The Renew (secs) – The time in seconds how many clients must
renew the address lease
• Subnet Mask – Subnet mask for the clients (xxx.xxx.xxx.xxx);
• Router – router address issued to clients (xxx.xxx.xxx.xxx ,the address of a
fake router);
• DNS Server – DNS server provided to clients (xxx.xxx.xxx.xxx ,the address
of a fake DNS server);
• The Domain – a domain name in the local area network ( abc.def );
Preventing Rogue DHCP
• Enable DHCP Snooping on the switch / Aktifkan DHCP Mengintip pada sakelar
• Make port facing router as DHCP Snooping Trusted / Jadikan port menghadap router sebagai
DHCP Snooping Tepercaya
• Binding Address and MAC for known clients / Alamat Binding dan MAC untuk klien yang
dikenal
• RouterOS DHCP alert is ONLY sending information, not stopping or preventing an attack. /
Peringatan RouterOS DHCP HANYA mengirim informasi, tidak menghentikan atau mencegah
serangan.
DHCP Snooping enabled
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#DHCP_Snooping_and_DHCP_Option_82
TCP SYN Attack
SYN
SYN-ACK
• All of attacker’s traffic as a destination address has the broadcast address of the
network / Semua lalu lintas penyerang sebagai alamat tujuan memiliki alamat
broadcast jaringan
ICMP Smurf Attack
ICMP Smurf Attack
• The attack is exhausting the resources of the router and
impacting the performance / Serangan itu menghabiskan
sumber daya router dan berdampak pada kinerja
Preventing ICMP Smurf Attack
• A port scan is a method for determining which ports on a network are open or
available. / Scan port adalah metode untuk menentukan port mana pada jaringan
yang terbuka atau tersedia.
• Running a port scan on a network or server reveals which ports are open and
listening (receiving information) / Menjalankan pemindaian port pada jaringan
atau server mengungkapkan port mana yang terbuka dan mendengarkan
(menerima informasi)
• Port Scan tools (like NMAP) can detect what version of an application is running on
a port / Port Scan tools (seperti NMAP) dapat mendeteksi versi aplikasi apa yang
berjalan pada port
• Port scanning is the “gate” for starting an attack or penetration to your networks /
Pemindaian port adalah "gerbang" untuk memulai serangan atau penetrasi ke
jaringan Anda
Port Scanner Detection
Functions of a PKI :
• Registration / Registrasi • Key generation / Generasi
• Initialization / Inisialisasi kunci
• Certification / Sertifikasi • Key update / Pembaruan
• Key pair recovery / kunci
Pemulihan pasangan • Cross-certification /
kunci Sertifikasi silang
• Revocation / Pencabutan
Components of a PKI
• A self-signed SSL certificate does not use the chain of trust commonly
used by other SSL certificates / Sertifikat SSL yang ditandatangani sendiri
tidak menggunakan rantai kepercayaan yang biasa digunakan oleh
sertifikat SSL lainnya
• Is an identity certificate that is signed by the same entity whose identity
it certifies / Adalah sertifikat identitas yang ditandatangani oleh entitas
yang sama yang identitasnya disertifikasi
• Most often used when a company wants to perform internal testing
without the effort or expense of acquiring a standard SSL certificate. /
Paling sering digunakan ketika perusahaan ingin melakukan pengujian
internal tanpa upaya atau biaya untuk memperoleh sertifikat SSL standar.
Self-Signed Certificates
https://www.sslforfree.com
SSL For Free
SSL For Free
SSL For Free
Free of Charge Valid Certificates
“System > Certificate”: import both the “certificate.crt” and the “private.key”
Free of Charge Valid Certificates
Module 5
SECURING THE
ROUTER
PORT KNOCKING
What is Port Knocking
• Port knocking is a method that enables access to the router only after receiving a sequenced
connection attempts on a set of “pre-specified” open ports. / Port knocking adalah metode
yang memungkinkan akses ke router hanya setelah menerima upaya koneksi berurutan pada
satu set port terbuka "yang ditentukan".
• Once the correct sequence of the connection attempts is received, the RouterOS dynamically
adds a host source IP to the allowed address list and you will be able to connect to your
router. / Setelah urutan yang benar dari upaya koneksi diterima, RouterOS secara dinamis
menambahkan sumber IP host ke daftar alamat yang diizinkan dan Anda akan dapat
terhubung ke router Anda.
• You can use some online available port-knock clients, or manually connect router IP address
with defined ports. / Anda dapat menggunakan beberapa klien port-knock online yang
tersedia, atau secara manual menghubungkan alamat IP router dengan port yang ditentukan.
• The port "knock" itself is similar to a secret handshake and can consist of any number of TCP,
UDP, or ICMP or other protocol packets to numbered ports on the destination machine / Port
"ketukan" itu sendiri mirip dengan jabat tangan rahasia dan dapat terdiri dari sejumlah TCP,
UDP, atau ICMP atau paket protokol lainnya ke port bernomor pada mesin tujuan
How the Port Knocking works
NB: Obscurity is not security - you should also use firewall rules
TUNNELING
THROUGH SSH
What is an SSH Tunnel
INTERNET
R1
L2TP/IPsec
Setup L2TP/IPsec Server
tcp connection
ssl negotiation
IP binding
SSTP tunnel
How the SSTP works
• TCP connection is established from client to server (by default on
port 443) / Koneksi TCP dibuat dari klien ke server (secara default
pada port 443)
• SSL validates server certificate. If certificate is valid connection is
established otherwise connection is torn down. (But see note
below) / SSL memvalidasi sertifikat server. Jika sertifikat adalah
koneksi yang sah dibuat jika tidak koneksi dihancurkan. (Tapi lihat
catatan di bawah)
• The client sends SSTP control packets within the HTTPS session
which establishes the SSTP state machine on both sides / Klien
mengirim paket kontrol SSTP dalam sesi HTTPS yang membentuk
mesin negara SSTP di kedua sisi
How the SSTP works
• PPP negotiation over SSTP. Client authenticates to the server and binds IP
addresses to SSTP interface / Negosiasi PPP atas SSTP. Klien
mengautentikasi ke server dan mengikat alamat IP ke antarmuka SSTP
• SSTP tunnel is now established and packet encapsulation can begin. /
Terowongan SSTP sekarang didirikan dan enkapsulasi paket dapat dimulai.
• Note: Two RouterOS devices can establish an SSTP tunnel even without
the use of certificates (not in accordance with Microsoft standard) /
Catatan: Dua perangkat RouterOS dapat membuat terowongan SSTP
bahkan tanpa menggunakan sertifikat (tidak sesuai dengan standar
Microsoft)
• It is recommended to use the certificates at all times! / Dianjurkan untuk
menggunakan sertifikat setiap saat!
Lab Setup
INTERNET
R1
SSTP
Self-signed Certificate
sstp
SSTP Server
Setup SSTP Client
Setup SSTP Client
Setup SSTP Client
IPsec
What is IPsec
Internet Protocol Security (IPsec) is a set of protocols defined by the Internet
Engineering Task Force (IETF) to secure packet exchange over unprotected
IPv4 or IPv6 networks such as Internet. Provides Layer 3 security (RFC 2401)
/ Internet Protocol Security (IPsec) adalah seperangkat protokol yang
didefinisikan oleh Internet Engineering Task Force (IETF) untuk
mengamankan pertukaran paket melalui jaringan IPv4 atau IPv6 yang tidak
dilindungi seperti Internet. Memberikan keamanan Layer 3 (RFC 2401)
• Provides source authentication and data integrity / Memberikan otentikasi sumber dan
integritas data
• Protection against source spoofing and replay attacks / Perlindungan terhadap spoofing sumber dan
serangan replay
• Authentication is applied to the entire packet, with the mutable fields in the IP header zeroed
out / Otentikasi diterapkan ke seluruh paket, dengan bidang yang bisa berubah di header IP
dihapus
Authentication Header (AH)
• Operates on top of IP using protocol 51 / Beroperasi di atas IP menggunakan
protokol 51
• In IPv4, AH protects the payload and all header fields except mutable fields and IP
options (such as IPsec option) / Dalam IPv4, AH melindungi payload dan semua
bidang header kecuali bidang yang bisa berubah dan opsi IP (seperti opsi IPsec)
ESP Header : Comes before the encrypted data and its placement depends on / ESP Header: Hadir sebelum data terenkripsi dan
penempatannya tergantung
: whether ESP is used in transport mode or tunnel mode. / : apakah ESP digunakan dalam mode transportasi atau mode
terowongan.
ESP Trailer : This section is placed after the encrypted data. It /
Cuplikan ESP: Bagian ini ditempatkan setelah data terenkripsi itu
: contains padding that is used to align the encrypted data. /
: berisi padding yang digunakan untuk menyelaraskan data terenkripsi.
ESP Auth Data : This field contains an Integrity Check Value (ICV), computed / Data Auth ESP: Bidang ini berisi Nilai
Pemeriksaan Integritas (ICV), dihitung
: in a manner similar to how the AH protocol works, for / : dengan cara yang mirip dengan cara kerja protokol AH, untuk
: when ESP's optional authentication feature is used. / : ketika fitur otentikasi opsional ESP digunakan.
Encapsulating Security Payload (ESP)
• Uses IP protocol 50 / Menggunakan protokol IP 50
• Provides all that is offered by AH, plus data confidentiality / Menyediakan
semua yang ditawarkan oleh AH, plus kerahasiaan data
• It uses symmetric key encryption / Ini menggunakan enkripsi kunci simetris
• Must encrypt and/or authenticate in each packet / Harus mengenkripsi
dan / atau mengautentikasi dalam setiap paket
• Encryption occurs before authentication / Enkripsi terjadi sebelum otentikasi
• Authentication is applied to data in the IPsec header as well as the data
contained as payload / Otentikasi diterapkan ke data dalam header IPsec
serta data yang terkandung dalam payload
Encapsulating Security Payload (ESP)
Encryption :
DES : 56-bit DES-CBC encryption algorithm;
3DES : 168-bit DES encryption algorithm;
AES : 128, 192 and 256-bit key AES-CBC encryption algorithm;
Blowfish : added since v4.5
Twofish : added since v4.5
Camellia : 128, 192 and 256-bit key Camellia encryption algorithm
: added since v4.5
Internet Key Exchanger (IKE)
The Internet Key Exchange (IKE) is a protocol that provides authenticated keying material for
Internet Security Association and Key Management Protocol (ISAKMP) framework. There are other
key exchange schemes that work with ISAKMP, but IKE is the most widely used one. Together they
provide means for authentication of hosts and automatic management of security associations
(SA). / Internet Key Exchange (IKE) adalah protokol yang menyediakan materi kunci yang
diautentikasi untuk kerangka kerja Asosiasi Keamanan Internet dan Protokol Manajemen Kunci
(ISAKMP). Ada skema pertukaran kunci lain yang bekerja dengan ISAKMP, tetapi IKE adalah yang
paling banyak digunakan. Bersama-sama mereka menyediakan sarana untuk otentikasi host dan
manajemen otomatis asosiasi keamanan (SA).
• “An IPsec component used for performing mutual authentication and establishing and
maintaining Security Associations.” (RFC 5996) / "Komponen IPsec yang digunakan untuk
melakukan otentikasi bersama dan membangun dan memelihara Asosiasi Keamanan." (RFC
5996)
• Typically used for establishing IPSec sessions / Biasanya digunakan untuk membuat sesi IPSec
• A key exchange mechanism / Mekanisme pertukaran kunci
• Five variations of an IKE negotiation: / Lima variasi negosiasi IKE:
• Two modes (aggressive and main modes) / Dua mode (mode agresif dan utama)
• Three authentication methods (pre-shared, public key encryption, and public key signature) / Tiga
metode otentikasi (pra-bagi, enkripsi kunci publik, dan tanda tangan kunci publik)
• Uses UDP port 500 / Menggunakan port UDP 500
IKE Mode
Internet Key Exchanger (IKE)
Phase I / Fase I
• Establish a secure channel (ISAKMP SA) / Buat saluran aman (ISAKMP SA)
• Using either main mode or aggressive mode / Menggunakan mode utama atau mode agresif
• Authenticate computer identity using certificates or pre-shared secret / Otentikasi identitas
komputer menggunakan sertifikat atau rahasia yang dibagikan sebelumnya
Phase II / Fase II
• Establishes a secure channel between computers intended for the transmission of data (IPsec
SA) / Membuat saluran aman antara komputer yang ditujukan untuk transmisi data (IPsec SA)
• Using quick mode / Menggunakan mode cepat
Internet Key Exchanger (IKE)
IKE Phase 1 (Main Mode)
• Main mode negotiates an ISAKMP SA which will be used to create
IPsec SAs. / Mode utama menegosiasikan ISAKMP SA yang akan
digunakan untuk membuat IPsec SA.
• Three steps / Tiga langkah
• SA negotiation (encryption algorithm, hash algorithm, authentication
method, which DF group to use) / Negosiasi SA (algoritma enkripsi,
algoritma hash, metode otentikasi, grup DF mana yang akan
digunakan)
• Do a Diffie-Hellman exchange / Lakukan pertukaran Diffie-Hellman
• Provide authentication information / Berikan informasi otentikasi
• Authenticate the peer / Otentikasi rekan
IKE Phase 1 (Main Mode)
IKE Phase 1 (Aggressive Mode)
R1 R2
– Public Address : 11.11.11.2/24 – Public Address : 22.22.22.2/24
– Local Address : 192.168.1.0/24 – Local Address : 192.168.2.0/24
Lab Setup
INTERNET
R1 R2
IPsec
Setup IPsec R1
/ip address
add address=11.11.11.2/24 interface=ether1-to-internet network=11.11.11.0
add address=192.168.1.1/24 interface=ether2-to-local network=192.168.1.0
Setup IPsec R1
/ip address
add address=22.22.22.2/24 interface=ether1-to-internet network=22.22.22.0
add address=192.168.2.1/24 interface=ether2-to-local network=192.168.2.0
Setup IPsec R2