[mikrotik] Proxy Mikrotik Rawan dibobol
Proxy pada mikrotik yang saya kelola dibobol orang, ini pengalaman pribadi saya setelah melakukan setting proxy tranparent pada mikrotik.
Setidak – tidaknya ini adalah ungkapan pribadi saya dengan tidak mengurangi rasa hormat kepada pembuat Mikrotik, sebuah router yang cukup tangguh dan mudah untuk di-management.
Pengalaman ini berawal dari keinginan saya melakukan proteksi akses internet di kantor ke situs – situs porno. Saya memulai dengan membuat sebuah proxy server pada mesin terpisah menggunakan Red Hat Linux dan Squid plus Dansguardian.
Pada mulanya proxy server ini berjalan normal. Namun sayangnya karena dia berada sejajar dengan pc user dan menggunakan ip local, mengharuskan saya melakukan setting manual pada browser masing – masing user.
Lama kelamaan mulai lah nampak user – user yang nakal, mereka browsing ke situs porno dengan men-disable proxy pada browser mereka.
Kuping saya jadi cukup panas diomelin bos yang mengangkap basah user sedang melakukan akses ke situs sex.
Setelah baca – baca tutorial, saya putuskan untuk meng-aktifkan fitur proxy pada mikrotik lalu saya parent ke proxy yang terpisah tadi. Cuma dari awal saya sudah bingung mencari – cari tutorial setting ACL pada proxy mikrotik.
Sepertinyaย Mikrotik tidak menyediakan fitur setting acl proxy… CMIIW :d
Modal nekat, saya jalankan skema yang tadi. Satu jam pertamaย semua berjalan normal, kemudian dua sampai tiga jam berikutnya mulai tampak keanehan pada down stream lalu diikuti pada upstream. Bandwidth terkuras habis.
Setelah membaca log pada proxy mesin terpisah, saya gagal menemukan keanehan yang terjadi. Wajar saja menurut saya, karena semua aksesย yang mengarah ke proxy berasal dari mikrotik. Saya mencoba mencari – cari log di mikrotik, gagal juga.
Dengan sangat menyesal saya matikan fitur proxy pada mikrotik, walauย traffic kembali normal tapi kuping tetap panas di omelin bos. Sampai saat ini saya masih mencari teknik yang lebih baik untuk melakukan filtering access di jaringan di kantor
KAlo ditempat kami…pake mikrotik OS yang kami install di PIII RAM 256 …Client 17 pc..Bandwidth 64kbps upto 512 M (sharing)
…Untuk blokir situs2 …kami blok di web proxynya…………
Nah Agar …bandwith tidak terkuras oleh 1 ip. queuesnya diatur dengan pcq.
…
nah masalah yang timbul sekarang…..kalo ada Customer yang mencari artikel untuk kedokteran…situs 2 tsb terpaksa kami buka….namun …malah rto terus…
………..Ngebobol Mikrotiknya kok gak diceritain…..
to Ndoy..
ngebobol mikrotik = RUU ITE he he he he…
Kami menggunakan Mikrotik dengan Web Proxy transparent diaktifkan, dengan parent Proxy menggunakan Clarkconnect 4.1 pada port 3128. Squid dan Dansguardian diaktifkan pada Clarkconnect. Hasilnya, sampai sekarang kok aman2x saja 8-].
Malah ada pengguna yang senewen, tidak bisa akses situs tersebut. Oh iya, sekedar menambahkan. Biasanya dari client alamat dns kami alamatkan ke Clarkconnect, tapi kemudian kami ubah jadi ke Mikrotik. Opsi Allow-Remote Request = yes di Mikrotik.
Menurut pengalaman kami, permasalahannya pada cerita di atas ada pada Redhat Linux. Kalau di Clarkconnect, ada opsi Transparent Enabled dan Content Filter Enabled. Dengan transparent, ip tables akan memaksa setiap paket melewati dahulu Web Proxy. Berbeda dengan settingan Transparent pada squid, yang seringkali bisa dibypass.
Thqyu …
Sekedar menambahkan, jika belum dapat solusi mungkin ini bisa membantu :
http://www.cyberciti.biz/tips/linux-setup-transparent-proxy-squid-howto.html
Lihat artikel sampai ke bawah. Selain Squid yang dibuat transparent, ada script IP Tables yang akan memaksa paket untuk melewati Web Proxy pada port 3128. Jadi di setiap browser client, tidak perlu disetting apa2x lagi.
Bagus juga sekalian Squid Cache diaktifkan, dengan maks. object cache misalkan 1 MB. Usahakan jgn lebih, agar tidak boros space hard disk. Kalau memory segede gajah, cache memory bisa diperbesar dari default 8 MB. Juga sekedar catatan, mengaktifkan Dans Guardian menyebabkan Hard Disk terus bekerja tiada henti jika ada user yang mengakses internet.
Kebetulan hardware kami pas2x an … Kami cuma bisa menyarankan agar menggunakan processor yang kuat, hard disk yang cepat, dan memory segede gajah. Ada baiknya mencoba AMD, karena menggunakan teknologi Hyper Transport … Dan processor 64 Bit jika digunakan dengan OS 64 Bit akan semakin menghemat resources …
Thqyu …
to Cymblot
wah ClarkConnect barang baru nih… aku pelajari dulu…
tks atas sharingnya
coba topologinya di rubah mas sperti ini
net — proxy —- mt — hub — client
*proxy bisa pake ipcop, smoothwall, endian firewall, linux box laenya .
*opsi blok memblok memanfaatkan dansguard…
*atur bw nya di mt ๐
moga” bisa membantu
^_^
kayaknya memang kejadian baru2 ini saya baru saja tau sejak tanggal 2 kemaren tiba2 upload sama downstreemnya full …
sudah dimatikan dari semua line tetap saja ..
memang sebaiknya di pisah kayaknya lebih maksimum,
baru2 ini saya coba di rubah maximum object size menjadi 450k seperti masalah terkendali ..
@achul
hmmm…. proxy sbg gateway ya. good idea juga. saya coba deh.
@Aji
max object size 450k, RAM nya berapa mas ?
dugaan saya sih, ACL Mikrotik nya ?
Antara judul dengan ulasan rada gak sinkron gitu, bukan hanya mikrotik, proxy lainnya juga begitu rawan untuk di by-pass… ๐
Sekarang tergantung dari admin nya sendiri, bagaimana dia menerapkan rule buat proxy, mantep gak… ๐
Udah bener belum urutan script di MT nya, udah bener belum topologi jaringan dimana MT diletakkan… ๐
terakhir, apakah sudah menguasai teori dan praktek Mikrotik dengan baik dan benar belum…
Saya udah pake MT 3 tahun dan gak ada masalah kebobolan di by-pass sama client, walaupun dia berusaha menggunakan anonymous proxy sekalipun, nah loh… :p
@Mbah Marijan
mungkin hal diatas menjadi kesalahan saya yg tidak mampu membuat rule agar proxy hanya bisa diakses dari dalam dan blok akses dari luar.
topologi yg saya gunakan :
inet — mt — user
. |
. proxy
jadi proxy server berada dalam LAN dan sejajar dengan user.
yg saya lakukan adalah membuat web proxy di MT dengan parent proxy mengarah ke proxy server terpisah.
ternyata topologi ini kurang tepat dan akhirnya saya menemukan teknik yang lebih baik.
trims atas sharingnya ๐
Kirim skema network anda beserta setting IP, ke e-Mail saya.
saya dengan senang hati akan membuat skema baru dan solusi ampuh untuk jaringan anda.
Thanks ๐
Mikrotik yah… ๐
The man behind the gun kayaknya lebih tepat ya kayaknya.. apalagi dari penulis dah bilang kalo client ‘sejajar’ dengan proxy tuh…
Btw thanks sharingnya ๐
nice web log, wonderfull blog.
kombinasi ke squid di webproxynya mikrotik seting parentnya squid
lumayan double filtering mikrotik iya squid iya….nice deh pokoknya ๐
arahkan aja dns mikrotik sampeyan ke http://opendns.com/ ikuti aja langkah2 nya untuk mendafatar dan mensettign ip public anda
ini sudah saya terapkan pada warnet saya
Hmm … ada yg menarik nih,… coba diceritakan.
Masalah Proxy, akhirnya saya gunakan Web Proxy bawaan mikrotik.
– Bikin aturan redirect di Firewall – NAT untuk port 80-82 ke 3128.
– Web Proxy dibuat transparent di port 3128.
– Maks. Object size 512 Kb.
– System Cache Unlimited
– Memory Cache None
– Bikin script untuk Off Proxy setiap 1 hari pada jam 22.00 WIB, sekalian clear cache.
– Bikin script untuk on Proxy setiap 1 hari pada jam 22.10 WIB.
Sampai di sini, Web Proxy lancar dan aman. Block situs porno sekalian dari sini. karena transparant, tidak perlu setting2 apa2 di client. Jadi tidak bisa “dibobol” seperti judul artikel di atas ^_^.
– Bikin mangle untuk menangkap download file dengan ukuran di bawah 150Kb, beri mark-paket browsing.
– Chain yg digunakan prerouting untuk Up-Load (in-interface local), dan post routing untuk Down-Load (out-interface local).
– Bikin Simple Queue untuk mark-paket browsing, setting unlimited.
Nah, yang ini biar browsing sekencang2nya tanpa limit bw.
– Bikin mangle untuk menangkap download file dengan ukuran > 150Kb sekalian tangkap sesuai IP Address. Dibuatkan 2 rule setiap IP Address, dengan nama mark-paket yang sama misalkan pc1.
– Sama seperti di atas, untuk Up-Load menggunakan chain prerouting (in-interface local). Download menggunakana chain postrouting (out-interface local).
– Buat simple queue dengan masing2 mark-paket untuk setiap ip address.
Sampai di sini, setiap client dengan aman terlimit bw nya. Silahkan menggunakan PCQ jika ingin lebih saklek lagi.
– Nah, untuk jaga2 client dan software yg nakal,.. buat lagi mangle untuk IP Address 192.168.0.0/24 (jika set IP local menggunakan class c).
– Sama seperti di atas2, tujuannya jika ada client atau software yg coba2 ubah IP Address .. akan tetap terlimit.
– Terakhir,… bikin lagi mangle dengan filter protocol !tcp. Di buatkan mark-paket nya sendiri dan di limit jug sendiri.
– Misalkan 128Kb saja.Untuk menangkap protocol udp dan icmp biar gak kelewat batas ^_^.
Jadi, bukan salah mikrotiknya, tapi strategi kita saja dalam menerapkan rule. tetapi, jika ada software downloader yg memecah paket data jadi kecil2 … akan masuk ke paket browsing jadi tidak terlimit.
Nah,.. tinggal buat lagi rule nya untuk membatasi jumlah koneksi di client ^_^
Buat PR …
@Cymblot
wah tutorial yg lengkap, makasi mas…
masalah kami itu sebenarnya di transparent proxy yang terjadi bisa diakses orang dari luar via public ip, jadi orang luar menggunakan porxy kita. ini yang menjadi PR besar kami… mohon pencerahan mas.
mungkin bisa membantu.. bikin dulu aja address list ip ip yg boleh masuk misal dari IP LAN 192.168.100.0/24 dan dari ip public 202.xxx.xxx.xxx
/ip firewall address-list add address=192.168.100.0/24 list=Pr
oxy-allow
/ip firewall address-list add address=xxx.xxx.xxx.0/24 list=Pr
oxy-allow
trus di filter nya ditambahin rule
/ip firewall filter add chain=input src-address-list=!Proxy-al
low protocol=tcp dst-port=3128 action=drop
jangan lupa itu tanda ! nya.. itu bearti src-addres selain dari adress list Proxy allow tidak bisa di perbolehkan
semoga bisa membantu
Hmm … saya pernah mengalami hampir mirip seperti ini. Bedanya adalah, saya heran waktu lihat di log, kok ada yg coba2 tembus mikrotik lewat ftp dah ssh. Padahal sudah bikin rule untuk blok di public. Nah, ini terjadi saat saya bikin bridge di modem speedy, jadi bikin PPPoE di mikrotiknya. He he .. ternyata …
Mikrotik itu bagus, tapi benar2 manual. maksudnya adalah, kondisi defaultnya memang harus ada yang kita utak – atik. Seperti MySQL yg pada awalnya membuat username root tanpa password.
Coba buka menu “IP” – “Services”. Saya matikan semua service, kecuali “FTP”. Nah, “Available From” nya diubah jadi ke IP lokal misalkan “192.168.0.0./24” atau “192.168.0.100” khusus komputer admin.
Kedua atau selanjutnya …
– Masuk ke menu “Tools” – “Mac Server”
– Pada tab “Telnet Interfaces” … disabled saja interface “all”.
– Jika terpaksa, bisa “add” interface local.
– Ini adalah untuk mematikan akses telnet. Loh, kan sudah diblok port nya di firewall ? …
– Ini dia bedanya .. Mac Telnet tidak memerlukan IP Address. jadi, mikrotik kita tetap bisa di telnet dari luar meskipun port 20-24 sudah diblock. He he …..
– Selanjutnya pindah ke tab “Winbox Interface”
– Add interface “local”, kemudian disable interface “all”. Kenapa ? ..
– Saya kaget bukan main ketika ada orang yang bisa mengakses mikrotik melaui interface public dari internet !!! …
yah, itulah settingan default mikrotik yg harus kita edit sedikit demi keamanan.
Selanjutnya adalah …
– Buat rule di “Firewall” – “Filter Rules”
– Buat chain=input in-interface=public protocol=icmp action=drop. Kenapa ? … Karena menurut pengetahuan saya yg terbatas, semua aplikasi bruteforce atau apapun namanya mengawali identifikasi target lawan salah satunya menggunakan protocol icmp atau ping.
– buat chain=input in-interface=public protocol=udp port=5678 action=drop. nah, ini juga salah satu port identifikasi (barangkali lho .. saya juga kira2).
– nah, utk percobaan .. coba block sekalian port 80-82 dan port proxy misalkan 3128 atau 8080. Contoh :
– chain=input protocol=tcp port=80-82 in-inerface=public action=drop
– chain=input protocol=tcp port=3128 in-inerface=public action=drop
– chain=input protocol=tcp port=8080 in-inerface=public action=drop
Nah, siapa tahu membantu .. have a nice try ^_^
Salam …
pakai Open DNS aja mas
http://www.opendns.com/
sebenarnya itu masalah karena proxynya di allow untuk semua ip alias 0.0.0.0/0 jadi kalo pingin aman, yang bisa akses proxy cuman ip local network saja misal 192.168.1.0/24
selain itu bisa dengan di access selain ip local di deny
pasti aman dah
wah bagus nich artikel. pantes slama ini ada keluhan lambat dr client sementara client yg make cuma 2. bisa jd karena masalah spt ini, bandwith diabisin ama org luar.
test comment soalnya dari tadi kalo gw comment gak bisa melulu. ๐ kenapa yach ?
Mau jajal bikin proxy external pake ubuntu server blom bisa2 juga nih, kl pake proxy bawaan mikrotik kebanyakan erornya
pakai google public dns
8.8.8.8 atau 8.8.4.4
sunggug mengherankan orang yang baru belajar mikrotik bisa mencela proxy di mikrotik bisa di bobol orang..selama 4 tahun saya pake mikrotik belum ada 1 orang pun yang bisa bobol mikrotik…mungkin mas harus banyak belajar tentang mikrotik..jangan baru belajar secara baca doank itu juga baru 1 hari mas pake mikrotik trus bilang mikrotik bisa di bobol orang…..pelajari dan pahami trus di terpakan… bukan dengan omdo…mas…
goodluck…
itu sebenarnya simple, ip mas di scan oleh orang luar/org yg berkepntingan mencari port proxy ntar di jadiin host, makanya upload jadi habis.
mikroitk ada fitur ACL, di access silahkan baca2 referensi
trs org yg bisa di allow blok request port proxy dari luar dll
banyak kok
bobol membobol memang kerap terjadi di mana2 tak terkecuali di dunia maya….be carefull..
mikrotik kecil-kecil cabe rawit mas, untuk router kantoran lebih dari cukup. soal bobol mebobol router itu biasa, tinggal keamanan di mikrotik diperketat. belajar scurity biar ngk dibobol. pelajari seluk beluk security, trus tutup semua lubang kemanan di jaringan. untuk proxy dimikrotik bisa di gabung dengan squid baik lewat parent web proxy maupun lewat firewall, tinggal dibelokkan ke squid.. thx
Diskusi yg sangat bagus, (paling gak bagi saya yg pemula mkt). Begitu banyak ide yg di lemparkan ke forum, 1 tujuan bisa dikerjakan dari banyak cara yg buat saya lebih ngerti isi perutnya mikrotik.
Saya cuma ingatkan 1 hal: Security bukan “produk” tapi “proses”, Sebaik apapun software dan hardware semua tergantungn kepada brainware-nya. Segenius apapun brainware-nya kalo malas liat log dan memonitor trafic serta membaca (belajar/mengikuti perkenbangan), level security yg solid tidak akan pernah tercapai.
BTW: thx for all great post….
sory ikut gabung slam kenal seblumnya, klo cara memblok cloning mac address gmn ya? mhon pencerahannya
sory ikut gabung slam kenal seblumnya, klo cara memblok cloning mac address gmn ya? apalagi klo yg mbobol client dwe, mhon pencerahannya.
arahkan saja dns-nya ke nawala, pasti nyaho! heheheh
tak ada system yang sempurna bung…
selama ini saya selalu berhasil bobol browser/ browser yang di block…. hehehhehe… cuma saran ja mending orang2 yang jail coba dideketin bukan dilawan… semakin dilawan orang bisa melawan tapi klu dideketin dia akan respect peace ๐
assalamualaikum wr.wb
saya mau tanya tentang bagaimana cara setting firewall di winbox biar bisa di akses???
tlong djwab yah,,saya sudah bingung banget,,,
thankz…!!!!
di jawab donkkkk…..
please…!!!!
q bingung sekarang,,,
woooyyyyy,,,,,!!!!!!
dijawab ya,,,ntar dapet pahala dehhh…
pertanyaan q adalah…:::
bagaimana cara setting firewall mikrotik dengan winbox,,,???
thankz,,,
wassalaaamm..:)