Port knocking adalah metode keamanan yang menjaga port layanan sensitif seperti SSH atau Winbox pada server atau router dalam keadaan tersembunyi. Port ini tidak terdeteksi oleh pemindaian port biasa dan hanya akan aktif setelah menerima urutan ‘ketukan’ yang spesifik, yaitu percobaan koneksi ke serangkaian port tertentu dalam urutan dan waktu yang tepat. Setelah urutan ini berhasil, sistem akan sementara mengizinkan akses ke port layanan sensitif dari alamat IP yang melakukan knocking. Ini menambahkan lapisan keamanan tambahan yang memerlukan pengetahuan khusus tentang urutan ketukan yang benar.
Bayangkan sebuah rumah dengan beberapa pintu tersembunyi. Untuk masuk, kamu harus mengetuk pintu-pintu ini dalam urutan tertentu. Tidak ada yang bisa melihat pintu ini kecuali mereka tahu urutan ketukan yang tepat. Di dunia MikroTik, ‘rumah’ adalah router dan ‘pintu-pintu tersembunyi’ adalah port yang tidak terlihat bagi semua orang. Ketika seseorang ‘mengetuk’ port ini dalam urutan yang benar (mengirim paket ke port yang telah ditentukan dalam urutan tertentu), router mengenali ini sebagai sinyal untuk menambahkan IP orang tersebut ke dalam ‘Allowed List’. Setelah berada di dalam ‘Allowed List’, orang tersebut diberikan akses untuk meremote atau mengelola router tersebut sesuai konfigurasi firewall yang diterapkan. Ini seperti rahasia untuk masuk yang hanya diketahui oleh mereka yang diizinkan.
Pada skenario kali ini untuk port akses ke MikroTik sudah saya ubah menjadi :
winbox : 3821
ssh : 4522
web : 48080
Jadi untuk konfigurasi kali ini dapat disesuaikan dengan port akses ke router anda yang dapat dilihat pada menu IP > Services
Langkah Konfigurasi
Buat Aturan Knocking
Menggunakan Command Line Interface
/ip firewall filter add action=add-src-to-address-list address-list=AllowedNetwork address-list-timeout=1h chain=input dst-address=43.x.x.3 dst-port=1999 protocol=tcp
Penjelasan :
- Chain:
input
– memproses untuk paket yang masuk ke router dengan IP tujuan IP Address yang dimiliki router, bisa menggunakan IP apa saja yang ada di router. - dst-address:
43.x.x.3
– Alamat IP tujuan (IP router yang ingin diakses). - protocol:
TCP
– Protokol yang digunakan untuk knocking (contoh: TCP, UDP). - Action:
add src to address-list
– Menambahkan IP sumber (yang melakukan knocking) ke daftar alamat. - Address-list:
AllowedNetwork
– Daftar alamat yang berisi IP sumber yang diizinkan. - Timeout:
01:00:00
– Durasi IP sumber disimpan dalam daftar alamat AllowedNetwork (1 jam).
Note : Untuk timeout dapat disesuaikan dengan keinginan kita, berapa lama IP sumber disimpan dalam group AllowedNetwork
Tes Port Knocking
Untuk menguji port knocking, Anda dapat menggunakan web browser dan terminal dengan layanan SSH. Masukkan alamat dan port yang telah ditentukan, seperti yang dijelaskan di bawah ini. Jika halaman web tidak terbuka atau terminal menunjukkan error, tidak perlu khawatir, karena tujuan utamanya adalah melakukan knocking.
Pengujian Menggunakan Web Browser
Pengujian Menggunakan Terminal dengan service SSH
Apabila urutan knocking dilakukan dengan benar, maka IP sumber akan ditambahkan ke dalam grup AllowedNetwork pada Address Lists.
Anda juga memiliki opsi untuk menambahkan alamat IP yang sudah dikenal ke dalam daftar akses terpercaya pada router Anda. Ini bisa termasuk IP dari jaringan lokal Anda atau IP dari kantor lain. Dengan menambahkannya secara manual, pengguna dari IP ini tidak perlu melakukan proses knocking untuk mengakses router. Sebagai contoh, lihat gambar di bawah ini yang menunjukkan cara menambahkannya.
Blok semua akses masuk ke router, kecuali IP Address yang diizinkan
Tambahkan konfigurasi firwall pada IP > Firewall > Filter Rules seperti pada gambar dibawah ini, dengan memilih Src. Address List AllowedNetwork seperti yang sudah dikonfigurasi sebelumnya.
Menggunakan Command Line Interface
/ip firewall filter add action=drop chain=input dst-port=3821,4522,48080 protocol=tcp src-address-list=!AllowedNetwork
Catatan:
- Simbol (!) dalam aturan ini berarti (bukan) atau (selain). Jadi, aturan ini akan menolak (drop) akses dari alamat IP yang tidak termasuk dalam grup (AllowedNetwork) saat mencoba mengakses router.
- Untuk konfigurasi src. Address List pada MikroTik V6 dapat ditemukan di menu Advanced pada Filter Rules.
Uji Konfigurasi
Setelah konfigurasi selesai, cobalah mengakses router tanpa melakukan proses knocking terlebih dahulu. Anda akan menemukan bahwa akses diblokir, seperti yang ditunjukkan pada gambar di bawah ini.
Namun, jika Anda melakukan knocking terlebih dahulu, kemudian mengakses winbox pada router, maka akses winbox akan berhasil.
Artikel ini membahas penerapan port knocking yang berlaku pada semua interface router, karena tidak ada aturan khusus untuk menentukan in-interface. Anda dapat menyesuaikan implementasi ini sesuai dengan kebutuhan di lapangan.”
Siap meningkatkan keamanan dan kinerja jaringan Anda? Temukan solusi sempurna dengan layanan internet dedicated dari nusa.id cloud. Dapatkan koneksi yang stabil, aman, dan cepat, dirancang khusus untuk memenuhi kebutuhan bisnis Anda. Kunjungi nusa.id cloud sekarang dan nikmati perbedaan layanan internet kelas bisnis. Klik disini untuk memulai perjalanan internet dedicated yang lebih baik!
Reza Haikal Barus
Cloud Specialist
Experienced network, cloud, and systems engineer with over 4 years of experience in the technology industry. Possesses a broad range of technical skills and the ability to work independently and as part of a team. Committed to providing high-quality service and innovative solutions to meet customer needs.