Apa itu NAT Dan SPI

Prakata

Kita sering mendengar istilah Network Address Translation (NAT) dalam kaitannya dengan koneksi ke jaringan public atau koneksi ke internet. Kalau dalam bahasa teknik kita mungkin adalah “Terjemahan Alamat Jaringan”, agak asing ditelinga kita rasanya.
Dalam kita merencanakan konektivity ke Internet dalam organisasi kita, anda harus mendefinisikan seberapa besar ukuran dari jaringan infrastruktur anda.

• Untuk ukuran jaringan yang kecil yang tidak di routed, anda bisa menggunakan solusi NAT sederhana saja, akan tetapi solusi ini memberikan solusi keamanan minimum yang umumnya menggunakan wireless router standard rumahan seperti TP-link W8961.
• Untuk jaringan berskala besar, yang sangat kompleks anda membutuhkan suatu server ISA atau solusi firewall jadi – hardware firewall. Solusi server ISA atau hardware firewall memungkinkan anda mengkoneksikan beberapa routed jaringan ke Internet dan memberikan anda suatu system keamanan yang lebih advance dan lebih bisa leluasa mengendalikan akses resource jaringan.

Apa itu Network Address Translation (NAT)?

Network Address Translation (NAT) adalah suatu metoda pokok yang memungkinkan komputer yang mempunyai address yang tidak terdaftar atau komputer yang menggunakan address private, untuk bisa mengakses Internet. Ingat pada diskusi IP address sebelumnya bahwa IP address private tidak bisa di route ke internet (non-routed), hanya dipakai pada jaringan internal yang berada pada range berikut:

Tabel IP address private

Class Type	Start Address	End Address
Class A	10.0.0.0	10.255.255.254
Class B	172.16.0.0	172.31.255.254
Class C	192.168.0.0	192.168.255.254

Untuk setiap paket yang dihasilkan oleh client, implementasi Network Address Translation (NAT) menggantikan IP address yang terdaftar kepada IP address client yang tidak terdaftar.
Ada tiga macam jenis dasar Network Address Translation (NAT):

1. Static NAT

Network Address Translation (NAT) menterjemahkan sejumlah IP address tidak terdaftar menjadi sejumlah IP address yang terdaftar sehingga setiap client dipetakkan kepada IP address terdaftar yang dengan jumlah yang sama.

NAT Static

Jenis NAT ini merupakan pemborosan IP address terdaftar, karena setiap IP address yang tidak terdaftar (un-registered IP) dipetakan kepada satu IP address terdaftar. Static NAT ini juga tidak seaman jenis NAT lainnya, karena setiap komputer secara permanen diasosiasikan kepada address terdaftar tertentu, sehingga memberikan kesempatan kepada para penyusup dari Internet untuk menuju langsung kepada komputer tertentu pada jaringan private anda menggunakan address terdaftar tersebut.

2. Dynamic NAT

Dynamic Network Address Translation dimaksudkan untuk suatu keadaan dimana anda mempunyai IP address terdaftar yang lebih sedikit dari jumlah IP address un-registered. Dynamic NAT menterjemahkan setiap komputer dengan IP tak terdaftar kepada salah satu IP address terdaftar untuk connect ke internet. Hal ini agak menyulitkan para penyusup untuk menembus komputer didalam jaringan anda karena IP address terdaftar yang diasosiasikan ke komputer selalu berubah secara dinamis, tidak seperti pada NAT statis yang dipetakan sama. Kekurangan utama dari dynamis NAT ini adalah bahwa jika jumlah IP address terdaftar sudah terpakai semuanya, maka untuk komputer yang berusaha connect ke Internet tidak lagi bisa karena IP address terdaftar sudah terpakai semuanya.

3. Masquerading NAT

Masquerading NAT ini menterjemahkan semua IP address tak terdaftar pada jaringan anda dipetakan kepada satu IP address terdaftar. Agar banyak client bisa mengakses Internet secara bersamaan, router NAT menggunakan nomor port untuk bisa membedakan antara paket-2 yang dihasilkan oleh atau ditujukan komputer-2 yang berbeda. Solusi Masquerading ini memberikan keamanan paling bagus dari jenis-2 NAT sebelumnya, kenapa? Karena asosiasi antara client dengan IP tak terdaftar dengan kombinasi IP address terdaftar dan nomor port didalam router NAT hanya berlangsung sesaat terjadi satu kesempatan koneksi saja, setelah itu dilepas.

NAT Masquerading

Keamanan NAT

Kebanyakan implementasi NAT sekarang ini mengandalkan pada teknik jenis Masquerading NAT karena meminimalkan jumlah kebutuhan akan IP address terdaftar dan memaksimalkan keamanan yang diberikan olen Network Address Translation (NAT).
Akan tetapi perlu dicatat bahwa NAT itu sendiri, walau memakai jenis NAT yang paling aman – Masquerading, bukanlah suatu firewall yang sebenarnya dan tidak memberikan suatu perisai besi keamanan untuk suatu situasi yang beresiko tinggi. NAT pada dasarnya hanya memblokir tamu tak diundang (unsolicited request) dan semua usaha penjajagan atau usaha scanning dari internet, yang berarti suatu pencegahan dari usaha para penyusup untuk mencari file share yang tidak di proteksi atau private Web ataupun FTP server. Akan tetapi, NAT tidak bisa mencegah user di Internet untuk meluncurkan suatu usaha serangan DoS (Denial of Services) terhadap komputer yang ada dijaringan private anda. Ataupun tidak bisa mencegah usaha-2 lain dengan teknik yang lebih kompleks untuk melakukan kompromi jaringan.

Network Address Translation dan Stateful Packet Inspection

Beberapa implementasi NAT juga melibatkan tambahan keamanan, biasanya secara umum menggunakan teknik yang disebut Stateful Packet Inspection (SPI). Stateful Packet Inspection adalah istilah generic pada proses dimana NAT router memeriksa paket yang datang dari internet dilakukan lebih teliti dan lebih seksama dari biasanya. Pada umumnya implementasi NAT, router hanya konsen pada IP address dan port dari paket yang melewatinya.
Suatu router NAT yang mendukung Stateful packet inspection memeriksa sampai ke header layer network dan layer transport juga, memeriksa pola yang mempunyai tingkah laku berbahaya, seperti IP spoofing, SYN floods, dan serangan teardrop. Banyak produsen router mengimplementasikan stateful packet inspection dalam berbagai bentuk dan cara, jadi tidak semua router NAT dengan kemampuan Stateful packet inspection ini mempunyai tingkat perlindungan keamanan yang sama.

Solusi NAT

Seperti didiskusikan sebelumnya, keputusan untuk design jaringan seharusnya mempertimbangkan berikut ini:

• Ukuran besarnya jaringan private anda
• Kebutuhan akan keamanan jaringan dalam organisasi

NAT adalah solusi yang memadai jika:

• Akses ke internet dan akses ke jaringan tidak dibatasi berdasarkan user per user. Tentunya anda tidak memberikan akses internet ke semua user dalam jaringan anda bukan?
• Jaringan private berisi user didalam lingkungan yang tidak bisa di routed.
• Organisasi anda memerlukan address private untuk komputer-2 pada jaringan private.

>
Suatu server NAT memerlukan paling tidak 2 interface jaringan.

• Setiap interface memerlukan IP address, range IP address yang diberikan haruslah berada dalam subnet yang sama dengan jaringan dimana ia terhubung.
• Subnet mask juga harus sama dengan subnet mask yang diberikan pada segmen jaringan dimana dia terhubung

Suatu server NAT dapat diletakkan pada jaringan untuk melaksanakan tugas-2 tertentu:

• Mengisolasi traffic jaringan pada segmen jaringan sumber, tujuan, dan segmen jaringan intermediate
• Membuat partisi subnet didalam jaringan private, melindungi data confidential.
• Pertukaran paket jaringan antara jenis segmen jaringan yang berbeda

Sumber

Tutorial Mengatasi Netcut Pada Jaringan Hotstpot Dengan Mikrotik

Tutorial Mengatasi Netcut Pada Jaringan Hotstpot Dengan Mikrotik  - Ini bisa digunakan ketika Hotstpot anda diputuskan oleh Netcut jadi kalau sobat mau tau cara mengatasinya silahkan ikuti langka berikut ini

• Pertama tama sobat pake winbox agar lebih mudah.
• Masuk ke IP --> DHCP Server
• Pilih konfigurasi DHCP yang digunakan untuk hotspot anda, kalo' saya, menggunakan settingan default DHCP
• Di sini saya cuma mengganti waktu sewa (lease time) IP menjadi 1 hari
• Dan yang paling penting, aktifkan opsi Add ARP for Leases, opsi ini untuk mencegah ARP Spoofing oleh NetCut
• dan lebih jelasnya lihat gambar di bawah ini

• Setelah itu tekan Ok
• Lalu Sobat tambahkan juga netmask /32 untuk single host (255.255.255.255) contonya seperti gambar di bawah ini

• Setelah iku klik Ok
• Setelah itu coba sobat Cut di-jaringan hotspot tadi, hasilnya akan tidak berpengaru
• Tambahan jika sobat ingin lebih aman, sobat drop semua paket ICMP pada firewall, jadi sobat hanya menambah kode di bawah ini

/ip firewall filter
add action=accept chain=input comment="default configuration \

anti netcut, defaultnya accept)" disabled=no protocol=icmp

Kode tersbut berguna sekali untuk mengamankan hostspot anda karena saya sudah pernah baca, kalo NetCut itu menggunakan ICMP.

Sumber: http://haekalfiqri.blogspot.com/2013/02/tutorial-mengatasi-netcut-pada-jaringan.html#ixzz2qjwNUwxe

Apa itu NTP? Setting NTP Client di Mikrotik

Apa itu NTP? Setting NTP Client di Mikrotik - Ada yang tau apa itu NTP (Network Time Protocol)? Pasti banyak yang belum tau apa itu Network Time Protocol. NTP memang terdengar asing bagi orang yang belum begitu paham tentang jaringan komputer. Oke, untuk mempelajari lebih lanjut tentang Apa itu NTP (Network Time Protocol) dan penerapannya di Mikrotik silakan simak pengertian NTP berikut ini :

Pengertian NTP

Network Time Protocol atau lebih sering disebut dengan istilah NTP adalah sebuah mekanisme atau protokol yang digunakan untuk melakukan sinkronisasi terhadap penunjuk waktu dalam sebuah sistem komputer dan jaringan. Proses sinkronisasi ini dilakukan di dalam jalur komunikasi data yang biasanya menggunakan protokol komunikasi TCP/IP. Sehingga proses ini sendiri dapat dilihat sebagai proses komunikasi data biasa yang hanya melakukan pertukaran paket-paket data saja.  

NTP menggunakan port komunikasi UDP nomor 123. Protokol ini memang didesain untuk dapat bekerja dengan baik meskipun media komunikasinya bervariasi, mulai dari yang waktu latensinya tinggi hingga yang rendah, mulai dari media kabel sampai dengan media udara. Protokol ini memungkinkan perangkat-perangkat komputer untuk tetap dapat melakukan sinkronisasi waktu dengan sangat tepat dalam berbagai media tersebut. Biasanya dalam sebuah jaringan, beberapa node dilengkapi dengan fasilitas NTP dengan tujuan untuk membentuk sebuah subnet sinkronisasi. Node-node tersebut kemudian akan saling berkomunikasi dan ber sinkronisasi menyamakan waktu yang direkam mereka. Meskipun ada beberapa node yang akan menjadi master (primary server), protokol NTP tidak membutuhkan mekanisme pemilihan tersebut.

Oke sudah tau kan apa itu NTP? Kalo sudah jelas tentang NTP sekarang lanjut ke seting NTP pada Mikrotik mari kita Belajar Mikrotik lebih dalam lagi tentang NTP.

Setting Network Time Protocol Client di Mikrotik

Dalam kondisi tertentu Router Mikrotik harus bekerja berdasarkan waktu, baik tanggal, hari, maupun jam. Misalnya saja jika Anda ingin memblokir akses internet di luar jam kerja atau memblokir beberapa situs pada jam-jam tertentu. Jika anda menggunakan PC sebagai Router Mikrotik ini tentu bukan masalah, karena di Motherboard komputer sudah terpasang baterai yang dapat mempertahankan konfigurasi waktu. Namun pada RouterBoard Mikrotik yang tidak memiliki barerai internal maka konfigurasi waktu akan kacau tiap kali router mengalami restart.

Nah, untuk menghindari ketidakakuratan konfigurasi waktu inilah, maka pada Router Mikrotik perlu dikonfigurasikan Network Time Protocol (NTP). Router Mikrotik perlu mengetahui NTP Server yang ada di Internet dan akan berusaha menyesuaikan dengan konfigurasi waktu yang ada di NTP Server tersebut. Untuk sinkronisasi konfigurasi waktu pada Router Mikrotik, Anda dapat menggunakan NTP Server untuk Indonesia dengan IP Address 203.160.128.3.

Untuk lebih mudahnya silakan anda gunakan Winbox untuk menyeting NTP Client nya. Buka Winbox, masuk ke menu System --> NTP Client, seperti gambar berikut :

Centang opsi Enabled --> Mode : unicast --> Primary NTP Server : 203.160.128.3

Atau bisa juga menggunakan command line :

[admin@MikroTik] > system ntp client set primary-ntp=203.160.128.3 enabled=yes mode=unicast

Selanjutnya seting waktu pada mikrotik nya dengan masuk ke menu System --> Clock, seperti gambar di bawah ini :

Atau bisa juga menggunakan command line :
[admin@MikroTik] > system clock set time-zone-name=Asia/Jakarta

Sekarang konfigurasi waktu Router Mikrotik anda sudah sesuai.