Implementasi ZTNA (Zero Trust Network Access) dengan MikroTik dan Debian Linux

Mei 05, 2025 Rufaidah-network No comments


Deskripsi Singkat:
ZTNA adalah pendekatan keamanan yang memastikan bahwa tidak ada perangkat atau pengguna yang dipercaya secara otomatis, baik dari dalam maupun luar jaringan. Akses diberikan berdasarkan identitas, perangkat, dan kebijakan yang terkontrol. Di bawah ini adalah panduan implementasi dasar ZTNA menggunakan MikroTik dan server Debian Linux.

1. Topologi Dasar

  • Client (Laptop/HP)Router MikroTikDebian Gateway (ZTNA Agent/Verifier)Internal Resource (DB/Web Server)

  • Semua trafik dari klien tidak langsung ke server, tetapi diverifikasi dulu oleh gateway Debian.

2. Komponen Utama

  • MikroTik RouterOS

  • Debian Linux (ZTNA Gateway)

  • Firewall, NAT, dan tagging koneksi di MikroTik

  • Autentikasi token atau sertifikat

  • (Opsional) VPN untuk tunneling traffic internal

3. Langkah Implementasi

A. MikroTik Setup (Edge)

a. Buat VLAN/Subnet untuk pengguna

/ip address add address=192.168.100.1/24 interface=bridge-user
/ip pool add name=ztna-pool ranges=192.168.100.10-192.168.100.254
/ip dhcp-server add name=ztna-dhcp interface=bridge-user address-pool=ztna-pool
/ip dhcp-server network add address=192.168.100.0/24 gateway=192.168.100.1

b. Routing ke Debian Gateway (ZTNA Verifier)

/ip route add dst-address=10.99.99.0/24 gateway=192.168.100.2

c. Drop semua koneksi langsung ke internal

/ip firewall filter add chain=forward src-address=192.168.100.0/24 dst-address=10.99.99.0/24 action=drop comment="ZTNA enforce"

B. Debian Linux Setup (ZTNA Gateway)

a. Install Firewall dan Proxy Gateway

sudo apt install iptables netfilter-persistent squid openssl

b. Generate sertifikat untuk autentikasi klien

openssl req -x509 -newkey rsa:2048 -keyout ztna.key -out ztna.crt -days 365 -nodes

c. Konfigurasi Proxy yang hanya izinkan klien valid

Contoh squid.conf:

https_port 3128 cert=/etc/ssl/ztna.crt key=/etc/ssl/ztna.key
acl allowed_users ssl::certCN clients.allowed.local
http_access allow allowed_users
http_access deny all

4. Mekanisme Kerja

  • Klien mendapatkan IP dari MikroTik.

  • Semua trafik ke internal diblok oleh MikroTik kecuali yang melalui Debian.

  • Debian bertindak sebagai proxy/gateway dan memverifikasi identitas klien.

  • Jika valid, Debian meneruskan trafik ke resource internal.

5. Penambahan Keamanan

  • Gunakan JWT atau mTLS untuk autentikasi per klien.

  • Tambahkan Fail2ban di Debian untuk brute force detection.

  • Integrasikan Grafana + Loki untuk logging request klien.

6. Manfaat ZTNA dengan MikroTik + Debian

  • Tidak ada akses langsung ke internal.

  • Akses berdasarkan identitas (bukan hanya IP).

  • Bisa diperluas ke sistem monitoring, IoT, dan remote work.

Catatan Tambahan:

  • Untuk skala besar, bisa pakai HashiCorp Boundary atau OpenZiti di sisi Debian.

  • Bisa juga kombinasikan dengan WireGuard untuk secure tunnel.

Selesai. Dengan pendekatan ini, jaringan Anda lebih aman dari lateral movement dan internal compromise.

0 Comments:

Posting Komentar

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | coupon codes