Firewall dalam MikroTik

Dalam arsitektur jaringan modern, router tidak hanya berfungsi sebagai perangkat pengarah lalu lintas (routing), tetapi juga sebagai titik kontrol keamanan yang berperan krusial dalam menjaga integritas, kerahasiaan, dan ketersediaan layanan jaringan. Salah satu mekanisme utama yang digunakan untuk tujuan tersebut adalah firewall.

Secara konseptual, firewall merupakan sistem keamanan jaringan yang bertugas mengawasi, memfilter, dan mengendalikan lalu lintas data masuk maupun keluar berdasarkan seperangkat kebijakan (policy) yang telah ditentukan. Kebijakan ini memungkinkan administrator jaringan untuk membatasi akses, menerapkan segmentasi, serta menekan risiko serangan terhadap router maupun host di jaringan internal.

MikroTik melalui RouterOS menyediakan subsistem firewall yang relatif komprehensif dan fleksibel. Pemahaman terhadap struktur menu dan fungsi masing-masing komponennya menjadi prasyarat penting bagi perancangan kebijakan keamanan jaringan yang efektif, khususnya di lingkungan pendidikan dan perkantoran.

Mekanisme Umum Firewall pada RouterOS

Firewall RouterOS bekerja dengan model berbasis aturan (rule-based). Setiap paket yang melewati router akan dievaluasi terhadap rule yang disusun administrator. Berdasarkan kecocokan terhadap parameter tertentu—seperti alamat IP, port, protokol, interface, serta status koneksi—router akan mengeksekusi tindakan (action) yang relevan, antara lain:

1. accept: mengizinkan paket diteruskan,
2. drop: membuang paket tanpa pemberitahuan,
3. reject: menolak paket dengan respons tertentu,
4. log: mencatat paket untuk keperluan audit dan troubleshooting.

Efektivitas firewall dalam RouterOS sangat ditentukan oleh akurasi aturan, kelengkapan kebijakan, serta urutan rule dalam setiap chain.

Komponen Utama Firewall MikroTik

1. Filter Rules

Filter Rules merupakan komponen inti dalam pengendalian keamanan lalu lintas. Fungsinya mencakup penyaringan dan pengaturan akses berdasarkan kriteria tertentu, seperti alamat IP, port, protokol, dan interface.

Tiga chain utama yang perlu dipahami adalah:

1. input: mengontrol trafik yang ditujukan ke router (misalnya Winbox, SSH, DNS pada router).
2. forward: mengontrol trafik yang melewati router (misalnya klien menuju internet atau antar-segmen jaringan).
3. output: mengontrol trafik yang berasal dari router itu sendiri.

Dalam praktik keamanan, chain input harus menjadi fokus prioritas karena berhubungan langsung dengan perlindungan perangkat router sebagai otoritas kontrol jaringan.

2. NAT (Network Address Translation)

NAT berfungsi melakukan translasi alamat IP sumber maupun tujuan. Dua implementasi paling umum pada RouterOS adalah:

1. masquerade untuk membagikan akses internet dari jaringan lokal menggunakan satu alamat publik,
2. port forwarding untuk mengarahkan trafik dari jaringan eksternal menuju server internal.

Chain utama pada NAT:

1. srcnat (trafik keluar),
2. dstnat (trafik masuk).

NAT berfungsi sebagai mekanisme pengalamatan dan akses, dan biasanya digunakan berdampingan dengan Filter Rules untuk memastikan kontrol keamanan menyeluruh.

3. Mangle

Mangle digunakan untuk memberi penanda (marking) terhadap koneksi, paket, atau rute. Komponen ini lazim dimanfaatkan dalam pengaturan:

1. load balancing
2. policy-based routing,
3. Quality of Service (QoS).

Perlu ditegaskan bahwa mangle tidak secara langsung menentukan izin atau penolakan paket, melainkan menyiapkan metadata agar paket dapat diproses lebih lanjut oleh mekanisme lain.

4. Raw

Raw memungkinkan administrator melakukan tindakan drop pada tahap awal, sebelum paket masuk ke connection tracking. Strategi ini efektif untuk mengurangi beban pemrosesan CPU ketika menghadapi trafik yang berpotensi menimbulkan gangguan, seperti:

1. port scanning,
2. flood,
3. trafik anomali berulang.

5. Address Lists

Address Lists menyediakan mekanisme pengelompokan alamat IP atau network sebagai entitas logis yang dapat digunakan kembali pada Filter Rules, NAT, maupun Mangle. Penggunaan address list meningkatkan konsistensi kebijakan dan mempermudah pemeliharaan konfigurasi, misalnya untuk:

1. whitelist manajemen,
2. blacklist sumber serangan,
3. segmentasi akses berbasis kelompok pengguna.

6. Connections

Menu Connections menampilkan koneksi aktif yang terdaftar dalam connection tracking, termasuk informasi sumber/tujuan, protokol, port, dan status koneksi. Fitur ini bermanfaat untuk:

1. analisis aktivitas jaringan,
2. deteksi perilaku trafik abnormal,
3. troubleshooting akses.

7. Komponen Tambahan

1. Service Ports mengelola helper internal untuk layanan tertentu (FTP, SIP, dan sejenisnya). Untuk optimalisasi keamanan, helper yang tidak digunakan direkomendasikan untuk dinonaktifkan.
2. Layer7 Protocols memungkinkan pemfilteran berbasis pola konten (regex), namun memiliki konsekuensi beban CPU lebih tinggi dan akurasi yang dapat menurun pada trafik modern yang banyak terenkripsi.

Rancangan Konfigurasi Firewall Dasar untuk Lingkungan Kantor/Kelas

Konfigurasi berikut merepresentasikan baseline kebijakan firewall yang umum digunakan pada jaringan kantor atau kelas. Tujuan utamanya adalah:

1. melindungi router dari akses langsung jaringan eksternal, dan
2. mengizinkan trafik internal menuju internet dengan kontrol yang memadai.

1) Membuat Interface List

/interface list

add name=WAN

add name=LAN

/interface list member

add list=WAN interface=ether1

add list=LAN interface=bridge

2) Menetapkan Address List untuk Manajemen (Opsional)

/ip firewall address-list

add list=trusted_mgmt address=192.168.10.0/24 comment="Admin LAN segment"

3) Filter Rules — Proteksi Router (Chain Input)

/ip firewall filter

add chain=input action=accept connection-state=established,related,untracked comment="Allow established/related"

add chain=input action=drop connection-state=invalid comment="Drop invalid"

add chain=input action=accept protocol=icmp comment="Allow ICMP to router"

add chain=input action=accept in-interface-list=LAN comment="Allow access from LAN"

add chain=input action=accept src-address-list=trusted_mgmt comment="Allow trusted management"

add chain=input action=drop in-interface-list=WAN comment="Drop everything from WAN to router"

4) Filter Rules — Proteksi Jaringan Internal (Chain Forward)

/ip firewall filter

add chain=forward action=accept connection-state=established,related,untracked comment="Allow established/related"

add chain=forward action=drop connection-state=invalid comment="Drop invalid"

add chain=forward action=accept in-interface-list=LAN out-interface-list=WAN comment="LAN to Internet"

add chain=forward action=drop in-interface-list=WAN out-interface-list=LAN comment="Block unsolicited WAN to LAN"

5) NAT Masquerade

/ip firewall nat

add chain=srcnat action=masquerade out-interface-list=WAN comment="Internet sharing"

Implikasi dan Prinsip Implementasi

Agar kebijakan firewall berjalan optimal, beberapa prinsip berikut perlu diperhatikan:

1. Prioritas proteksi chain input. Perlindungan router sebagai pusat kontrol jaringan harus menjadi fokus utama, karena kompromi pada router berdampak langsung terhadap seluruh jaringan.
2. Konsistensi urutan rule. Rule untuk established/related ditempatkan pada bagian awal agar trafik sah tidak terhambat, sekaligus meningkatkan efisiensi pemrosesan.
3. Pembatasan akses manajemen dari WAN. Praktik terbaik menekankan penggunaan VPN atau whitelist IP tepercaya, bukan membuka akses Winbox/SSH secara publik.
4. Pengembangan bertahap. Baseline yang stabil sebaiknya menjadi fondasi sebelum mengimplementasikan fitur lanjutan seperti brute-force mitigation, raw anti-scan, atau kebijakan QoS berbasis mangle.