Tutorial Konfigurasi IPSec VPN MikroTik ke SAP HANA Enterprise Cloud (HEC)

Mei 03, 2025 Rufaidah-network No comments

 

Topologi:

+-------------------+                 +---------------------------+
|                   |                 |                           |
|  Customer Network |                 | SAP HANA Enterprise Cloud |
|   (MikroTik)      |                 |         (HEC)             |
|   192.168.88.0/24 |                 |     10.10.0.0/16          |
|   IP:198.51.100.2 |                 |     IP:203.0.113.1        |
+--------+----------+                 +-----------+---------------+
         |                                        |
         |             Internet                  |
         +----------------+-----------------------+
                          |
                    IPSec VPN Tunnel
                          |
         +----------------+-----------------------+
         |                                        |
+--------v----------+                 +-----------v---------------+
| VPN Gateway       |                 |    L3 Router              |
| (203.0.113.1)     |---------------->|                           |
+-------------------+                 +-----------+---------------+
                                                 |
                                  +--------------+-------------+
                                  |                            |
                     +------------v------+       +-------------v-----+
                     |  SAP App Server   |       |   SAP DB Server    |
                     +------------------+       +--------------------+

Tujuan:
Membangun koneksi IPSec Site-to-Site VPN yang aman antara MikroTik (Customer) dan SAP HEC, dengan keamanan tingkat tinggi.

1. Persiapan Data yang Dibutuhkan:

Dari SAP HEC:

  • IP Publik VPN Gateway SAP HEC: 203.0.113.1

  • Network di SAP HEC: 10.10.0.0/16

  • Pre-shared key (PSK): StrongSAPvpnKey123

Dari Customer:

  • IP Publik MikroTik: 198.51.100.2

  • Network lokal Customer: 192.168.88.0/24

2. Konfigurasi di MikroTik (Customer Network)

a. Konfigurasi Phase 1 (IKE Policy)

/ip ipsec proposal
add name="sap-proposal" auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048 lifetime=1h

/ip ipsec peer
add address=203.0.113.1/32 name=sap-peer exchange-mode=ike2 secret=StrongSAPvpnKey123 \
policy-template-group=default send-initial-contact=yes nat-traversal=yes dpd-interval=2m \
dpd-maximum-failures=5 ike-version=2

/ip ipsec identity
add peer=sap-peer auth-method=pre-shared-key secret=StrongSAPvpnKey123 generate-policy=port-strict

b. Konfigurasi Phase 2 (IPSec Policy)

/ip ipsec policy
add src-address=192.168.88.0/24 dst-address=10.10.0.0/16 sa-dst-address=203.0.113.1 sa-src-address=198.51.100.2 \
proposal=sap-proposal tunnel=yes action=encrypt

c. Firewall Configuration (Optional but recommended)

/ip firewall filter
add chain=input protocol=udp port=500,4500 src-address=203.0.113.1 action=accept comment="Allow IPSec VPN"
add chain=input protocol=ipsec-esp src-address=203.0.113.1 action=accept comment="Allow IPSec ESP"
add chain=input protocol=ipsec-ah src-address=203.0.113.1 action=accept comment="Allow IPSec AH"

3. Validasi dan Monitoring

/ip ipsec active-peers
/ip ipsec installed-sa

Pastikan status tunnel = established dan paket dapat mengalir ke network SAP.

4. Security Tips:

  • Gunakan PSK yang kuat dan rahasiakan.

  • Batasi akses VPN hanya dari IP Gateway SAP.

  • Monitor trafik dan log koneksi IPsec secara berkala.

  • Gunakan firewall rule untuk membatasi akses antar subnet.

  • Pertimbangkan penggunaan certificate (X.509) jika SAP mendukung, untuk keamanan tambahan.

Selesai.
Kini jaringan lokal Anda bisa berkomunikasi dengan layanan SAP HEC secara aman dan terenkripsi via IPSec VPN.

Untuk peningkatan visibilitas, bisa digabungkan dengan monitoring tools seperti The Dude, Zabbix, atau Prometheus-Grafana untuk tunnel status.

Read more »

Anti-Looping Skema Setting Lengkap

April 28, 2025 Rufaidah-network No comments

 # MikroTik Anti-Looping Skema Setting Lengkap


# 1. Buat Bridge dan aktifkan RSTP

/interface bridge

add name=bridge1 protocol-mode=rstp


# 2. Tambahkan interface ke bridge dan atur horizon

/interface bridge port

add bridge=bridge1 interface=ether1 horizon=1

add bridge=bridge1 interface=ether2 horizon=1

add bridge=bridge1 interface=ether3 horizon=1

add bridge=bridge1 interface=ether4 horizon=1

add bridge=bridge1 interface=ether5 horizon=1


# 3. Aktifkan BPDU Guard untuk port ke klien

/interface bridge port

set [find interface=ether3] bpdu-guard=yes

set [find interface=ether4] bpdu-guard=yes

set [find interface=ether5] bpdu-guard=yes


# 4. Setup Storm Control pada port

/interface ethernet switch port

set ether1 storm-rate=broadcast-5000

set ether2 storm-rate=broadcast-5000

set ether3 storm-rate=broadcast-5000

set ether4 storm-rate=broadcast-5000

set ether5 storm-rate=broadcast-5000


# 5. Tambahkan monitoring sederhana CPU (optional)

/system scheduler

add interval=1m name=cpu-check on-event=":if ([/system resource get cpu-load] > 80) do={/log warning message=\"CPU usage high, possible loop!\"}" start-time=startup


# 6. Opsional: Tambahkan filter bridge untuk membatasi broadcast lebih lanjut

/interface bridge filter

add action=drop chain=forward mac-protocol=ip multicast=yes


# End of Anti-Looping Setting

# -- Semoga jaringanmu aman dari looping! :) --


Read more »

Tutorial Pencegahan Serangan UDP Flood/DNS Amplification

April 28, 2025 Rufaidah-network No comments


Target: Memblokir serangan dari IP DNS ISP dan mengamankan jaringan Anda.

Langkah 1: Cek Sumber Serangan

  1. Identifikasi IP Penyerang:

    • Lihat log di perangkat Ruijie Anda, cari pola IP yang muncul terus-menerus (contoh: Blocked attacks: 8014).

    • Catat alamat IP sumber yang tercantum di log (misal: 192.168.x.x atau IP publik ISP).

  2. Verifikasi Jenis Serangan:

    • Jika serangan berasal dari port 53/UDP (port DNS), maka ini adalah DNS Amplification Attack.

    • Jika tidak, mungkin serangan UDP Flood biasa.

Langkah 2: Blokir Manual via Web Interface Ruijie (GUI)

  1. Login ke Dashboard Ruijie:

    • Buka browser, ketik alamat IP perangkat Ruijie (misal: 192.168.1.1).

    • Masuk dengan username/password admin.

  2. Buat Access Control List (ACL):

    • Navigasi ke menu Security > ACL.

    • Buat ACL baru:

      • Nama ACLBLOCK-UDP-FLOOD

      • Rule 1: Blokir semua traffic UDP dari IP sumber serangan (masukkan IP yang dicatat di Langkah 1).

      • Rule 2: Blokir traffic UDP ke port 53 (DNS) jika tidak digunakan di jaringan Anda.

    • Simpan konfigurasi.

  3. Terapkan ACL ke Interface:

    • Pilih interface yang terhubung ke internet (misal: GigabitEthernet 0/1).

    • Arahkan ACL BLOCK-UDP-FLOOD sebagai Inbound Policy.

Langkah 3: Hubungi ISP untuk Mitigasi

  1. Laporkan Serangan:

    • Kirim log dan detail IP sumber serangan ke ISP.

    • Minta mereka untuk:

      • Memperbaiki server DNS yang menjadi open resolver (sumber amplifikasi).

      • Memblokir traffic mencurigakan dari sisi mereka.

  2. Minta Implementasi BCP38:

    • Pastikan ISP mengaktifkan anti-spoofing untuk mencegah pemalsuan alamat IP.

Langkah 4: Aktifkan Fitur Bawaan Anti-DDoS di Ruijie

  1. Aktifkan DDoS Protection:

    • Di dashboard Ruijie, cari menu Security > Anti-DDoS.

    • Aktifkan fitur UDP Flood Protection dan atur parameter:

      • Threshold: 500 paket/detik (sesuaikan dengan kebutuhan).

      • ActionBlock atau Limit.

  2. Aktifkan Geo-Blocking (Opsional):

    • Jika serangan berasal dari luar negeri, blokir traffic dari negara tertentu via menu Firewall > Geo-IP Filtering.

Langkah 5: Hardening Jaringan

  1. Matikan Layanan DNS Lokal (Jika Tidak Dipakai):

    • Jika tidak pakai DNS server sendiri, matikan layanan DNS di Ruijie via menu Services > DNS.

  2. Ganti Port DNS (Jika Memakai DNS Lokal):

    • Ubah port DNS default (53/UDP) ke port acak (misal: 5353) untuk hindari target serangan.

  3. Pasang Pembatas Bandwidth:

    • Di menu QoS > Bandwidth Management, batasi bandwidth untuk traffic UDP (misal: maksimal 10% dari total bandwidth).

Langkah 6: Monitoring & Peringatan Dini

  1. Pasang Network Monitoring Tool:

    • Gunakan tools gratis seperti Wireshark atau PRTG untuk pantau traffic UDP.

    • Setel alert jika ada lonjakan traffic UDP melebihi 500 paket/detik.

  2. Cek Log Rutin:

    • Buka menu Log > Security Log di Ruijie setiap hari untuk lacak serangan baru.

Langkah 7: Backup dan Update

  1. Backup Konfigurasi:

    • Di menu Maintenance > Backup, simpan konfigurasi terbaru ke komputer Anda.

  2. Update Firmware Ruijie:

    • Cek update firmware di Maintenance > System Update.

    • Firmware terbaru biasanya menyertakan patch keamanan untuk serangan DDoS.

Contoh Kasus Praktis

Masalah: Serangan UDP Flood dari IP 203.160.92.1 (DNS ISP) ke port 53.
Solusi:

  1. Blokir IP 203.160.92.1 via ACL di Ruijie.

  2. Hubungi ISP untuk minta mereka mematikan open resolver di IP tersebut.

  3. Aktifkan QoS untuk batasi bandwidth UDP maksimal 5 Mbps.

  4. Setel alert di PRTG jika traffic UDP > 1.000 paket/detik.

Poin Penting!

  • Jangan sembarangan blokir port 53/UDP jika jaringan Anda memakai DNS internal.

  • Koordinasi dengan ISP adalah kunci utama untuk serangan DNS Amplification!

  • Jika serangan masih parah, sewa layanan cloud-based DDoS protection seperti Cloudflare.

Read more »

TUTORIAL BLOKIR APLIKASI NETSHARE DI JARINGAN

April 28, 2025 Rufaidah-network No comments


Alat yang Digunakan:

  • Router MikroTik (ROS 6/7)

  • (Opsional) Server Linux (Debian/Ubuntu) untuk DNS hijack

Target:

  • Blokir penggunaan proxy/vpn yang dibuat oleh aplikasi NetShare.

  • Mencegah sharing internet via tethering tersembunyi.

1. Blokir Port Proxy dan VPN

Firewall Filter Rule:

/ip firewall filter
add chain=forward protocol=tcp dst-port=1080,3128,8080,8000 action=drop comment="Blokir Proxy umum NetShare"
add chain=forward protocol=udp dst-port=1080,3128,8080,8000 action=drop comment="Blokir Proxy umum UDP"

Catatan: Bisa tambah port lain sesuai log hasil monitoring.

2. Paksa Semua DNS ke Server Lokal

Firewall NAT Redirect Rule:

/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53 comment="Paksa DNS redirect UDP"
add chain=dstnat protocol=tcp dst-port=53 action=redirect to-ports=53 comment="Paksa DNS redirect TCP"

Opsional:

  • Setup AdGuard Home atau Unbound di server DNS internal untuk filtering lebih ketat.

3. Blokir DoH (DNS over HTTPS)

Blokir IP Provider DoH Umum:

/ip firewall address-list
add list=DoH-Servers address=1.1.1.1
add list=DoH-Servers address=1.0.0.1
add list=DoH-Servers address=8.8.8.8
add list=DoH-Servers address=8.8.4.4
add list=DoH-Servers address=9.9.9.9

/ip firewall filter
add chain=forward dst-address-list=DoH-Servers action=drop comment="Blokir akses DNS over HTTPS"

Tambahkan IP lain sesuai kebutuhan (lihat log trafik!).

4. Deteksi dan Drop TTL Tidak Wajar

Firewall Mangle + Drop Rule:

/ip firewall mangle
add chain=prerouting protocol=ip ttl=65 action=drop comment="Blokir TTL manipulasi tethering"

TTL Normal:

  • Android: 64

  • iPhone: 64

  • Windows: 128

  • Linux: 64

Kalau perlu, atur sendiri.

5. Client Isolation

Wireless Access List:

  • Aktifkan "Client-to-Client Isolation" di Access Point.

  • Cegah HP yang "jadi router" share koneksi ke HP lain via WiFi lokal.

Di MikroTik:

/interface wireless set [ find default-name=wlan1 ] default-forwarding=no

6. Wajibkan PPPoE Login (Opsional)

Setup PPPoE Server di MikroTik:

/interface pppoe-server server add interface=ether2 service-name=pppoe-user disabled=no
/ppp profile add name=profile-pppoe local-address=10.10.10.1 remote-address=pool-pppoe
/ip pool add name=pool-pppoe ranges=10.10.10.2-10.10.10.254
/ppp secret add name=user1 password=pass1 profile=profile-pppoe service=pppoe

Dengan ini:

  • Tidak bisa asal connect, harus autentikasi.

  • NetShare tidak mudah bypass autentikasi PPPoE.

Bonus: Monitoring User Nakal

Simple Torch untuk Analisa:

/tool torch ether2

  • Lihat MAC/IP yang trafiknya tidak wajar.

Atau pakai:

/ip firewall connection print where protocol=tcp

  • Untuk lihat koneksi aneh.

Penutup:

  • Tidak ada sistem yang 100% anti NetShare, tapi kombinasi ini bisa membuat mereka susah dan menyerah.

  • Update terus firewall dan monitoring untuk deteksi teknik baru.


Read more »

Tutorial Mengatasi DNS Cache Aneh di MikroTik (RB1100Hx2)

April 28, 2025 Rufaidah-network No comments

 



Permasalahan:
Entri DNS cache dengan nama domain acak dan tipe "unknown" seperti pada gambar sering mengindikasikan serangan cache poisoning, malware, atau konfigurasi yang tidak valid.

Solusi:

1. Flush DNS Cache (RouterOS CLI)

Langkah pertama untuk membersihkan cache yang tercemar:

bash
Copy
Download
/system script add name="flush_dns" source="/ip dns cache flush"

  • Cara menjalankan:

    • Buka terminal WinBox atau CLI.

    • Ketik:

      bash
      Copy
      Download
      /system script run flush_dns

2. Konfigurasi DNS Server Terpercaya

Ganti DNS server default dengan server yang lebih aman (Google/Cloudflare):

bash
Copy
Download
/ip dns set servers=8.8.8.8,1.1.1.1 allow-remote-requests=yes

3. Blokir Permintaan DNS ke IP Tidak Dikenal (Firewall)

Buat rule firewall untuk memblokir permintaan DNS mencurigakan:

bash
Copy
Download
/ip firewall filter add chain=forward protocol=udp dst-port=53 action=drop \
  comment="Block Unknown DNS" place-before=0

4. Update Firmware Router

Pastikan firmware MikroTik selalu terbaru:

bash
Copy
Download
/system package update check-for-updates
/system package update install

Catatan:

  • Lakukan ini saat jaringan tidak sibuk.

  • Backup konfigurasi sebelum update.

5. Aktifkan DNSSEC

Aktifkan validasi DNSSEC untuk mencegah spoofing:

bash
Copy
Download
/ip dns set use-doh=yes verify-doh-cert=yes

6. Script Auto-Flush DNS Berkala (Opsional)

Buat script untuk flush DNS otomatis tiap 1 jam:

bash
Copy
Download
/system scheduler add name="auto_flush_dns" interval=1h \
  on-event="/ip dns cache flush"

Untuk Perangkat Klien (Windows/Linux)

Jika masalah terjadi di perangkat pengguna, ajarkan pembaca untuk:

Windows:

Flush DNS lokal dengan Command Prompt:

cmd
Copy
Download
ipconfig /flushdns

Linux:

Restart service DNS resolver:

bash
Copy
Download
sudo systemctl restart systemd-resolved

Tips Tambahan:

  • Pantau DNS cache secara berkala dengan perintah:

    bash
    Copy
    Download
    /ip dns cache print

  • Gunakan Safe Mode di WinBox untuk menghindari perubahan tidak sengaja.

  • Scan jaringan dengan tools seperti Wireshark untuk deteksi aktivitas mencurigakan.

Peringatan:

  • Pastikan Anda memahami setiap perintah sebelum menjalankannya.

  • Backup konfigurasi router sebelum melakukan perubahan besar.

Semoga tutorial ini membantu mengamankan jaringan Anda! 🔒

Catatan untuk Blog:

  • Tambahkan screenshot perintah WinBox/CLI untuk visualisasi.

  • Gunakan format code block agar script mudah dibaca.

  • Sertakan anchor link ke bagian spesifik jika artikel panjang.

Read more »

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | coupon codes