Pada artikel sebelumnya kita sudah membahas mengenai DHCP Security untuk
pencegahan terhadap adanya multiple DHCP Server atau DHCP Rogue. Salah satu
contoh kita bisa menggunakan parameter "Authoritative" pada
konfigurasi DHCP Server.
Namun, selain cara tersebut kita juga bisa menggunakan alternatif lain yaitu
dengan filtering trafik pada perangkat layer 2. Secara garis besar nantinya
trafik DHCP Discover dari client hanya bisa dilakukan melalui link dimana DHCP
Server "Asli" tersambung. Dan link yang lain akan ditutup jalurnya
untuk trafik DHCP Discover.
Proses DHCP
DHCP (Dynamic Host Configuration Protocol) merupakan sebuah protokol yang
digunakan untuk memberikan/distribusi IP Address ke perangkat-perangkat client
di jaringan secara dinamis. Di MikroTik sendiri dapat difungsikan sebagai DHCP
Sever maupun DHCP Client.
Untuk prosesnya sendiri DHCP menggunakan protokol transport UDP (User
Datagram Protocl) dengan port 67 (Server) dan 68 (Client). Jika digambarkan
dengan diagram proses DHCP sebagai berikut:
Dengan mengetahui proses cara kerja DHCP diatas kita bisa melakukan
filtering trafiknya untuk mencegah adanya DHCP server lain yang dapat
mengganggu dalam satu jaringan. Pada contoh kasus kali ini yang akan kita
filter adalah trafik DHCP Discovery dari client.
Contoh Kasus + LAB
Contoh kasus terdapat sebuah topologi jaringan dimana dalam satu network
/subnet/segment IP terdapat sebuah DHCP Server yang aktif. Secara tidak sengaja
terdapat sebuah DHCP Server lain aktif, sehingga ada kemungkinan Client
malah akan mendapatkan IP Address dari DHCP Server Rogue ini. Akibatnya koneksi
client menjadi terganggu, client menjadi tidak dapat melakukan akses ke
internet karena mendapatkan informasi IP yang tidak sesuai. Dalam contoh kasus
ini, kita akan melakukan bloking traffic DHCP Discover dari Client yang menuju
selain ke DHCP Server aslinya.
Seperti topologi diatas untuk filtering trafik kita bisa memanfaatkan sebuah
Router MikroTik dengan mode bridge. Dari mode bridge
ini kita bisa memanfaatkan fitur bridge filter untuk menghandle
komunikasi layer 2 yang melewati MikroTik tersebut.
Katakanlah sesuai topologi tersebut, DHCP Server yang asli tersambung di
port ether1 MikroTik Bridge dan DHCP Rogue serta perangkat client tersambung di
port yang lain. Dengan demikian kita bisa membuat rule untuk mengijinkan
(ACCEPT) trafik DHCP Discover yang melewati ether1 dan melakukan blocking
(DROP) di port ethernet yang lain.
Pengaturan filtering kita akan fokuskan pada MikroTik Bridge yaitu pada menu
Bridge --> Filters --> klik Add
[+]. Kemudian untuk rule yang kita tambahkan ada 2 yaitu rule pertama
untuk ACCEPT dan rule kedua untuk DROP. Rule tersebut adalah seperti berikut:
/interface bridge filter
add action=accept
chain=forward dst-port=67
ip-protocol=udp mac-protocol=ip out-interface=ether1
src-port=68
add action=drop
chain=forward dst-port=67
ip-protocol=udp mac-protocol=ip src-port=68
Jika dilihat melalui winbox rule-nya seperti berikut:
Dengan rule diatas ketika ada trafik dari client (DHCP Discovery) dengan
Src.Port 68 dan Dst-Port 67, protocol UDP yang keluar dari ether1 maka akan di
ACCEPT. Selain itu dengan jenis trafik yang sama interface keluar selain ether1
akan di DROP.
*) Catatan:
Rule ACCEPT pastikan ditaruh diurutan atas/nomor yang paling kecil.
by : www.mikrotik.co.id
No comments:
Post a Comment