Dalam hal keamanan, NAT memberikan lapisan perlindungan dengan menyembunyikan alamat IP pribadi perangkat dalam jaringan internal.
Misalnya, Anda memiliki jaringan rumah dengan beberapa perangkat yang terhubung, seperti komputer, ponsel, dan tablet. Tanpa NAT, masing-masing perangkat ini akan memiliki alamat IP publik, sehingga mudah diidentifikasi dan rentan terhadap serangan dari Internet.
Di akhir artikel Anda akan menemukan sedikit uji itu akan memungkinkan Anda menilai pengetahuan yang diperoleh dalam bacaan ini
Dengan menerapkan NAT, perangkat internal ini berbagi satu alamat IP publik, sehingga sulit untuk mengidentifikasi dan menyerang setiap perangkat satu per satu.
Selain itu, NAT berfungsi sebagai firewall dasar, karena secara otomatis memblokir lalu lintas yang tidak diminta dari Internet ke perangkat internal. Dengan demikian, NAT hanya mengizinkan koneksi yang dimulai dari dalam jaringan, yang meminimalkan kemungkinan penyerang eksternal mengakses perangkat internal.
Tindakan perlindungan
Namun, NAT saja tidak cukup untuk menjamin keamanan jaringan internal kita. Oleh karena itu, penting untuk melengkapi teknologi ini dengan tindakan perlindungan lainnya. Beberapa strategi tambahan ini meliputi:
1. Menerapkan firewall
Firewall adalah alat keamanan yang mengontrol dan memfilter lalu lintas data antara jaringan internal dan Internet. Membantu memblokir lalu lintas tidak sah dan melindungi perangkat internal dari potensi ancaman.
2. Gunakan perangkat lunak antivirus
Perangkat lunak antivirus sangat penting untuk melindungi perangkat kita dari malware dan serangan cyber lainnya. Selain itu, selalu memperbaruinya sangat penting untuk memastikan efektivitasnya.
3. Siapkan jaringan nirkabel Anda dengan aman
Hal ini melibatkan penggunaan kata sandi yang kuat dan mengaktifkan enkripsi, seperti protokol WPA3, untuk melindungi transmisi data.
4. Selalu perbarui perangkat lunak dan sistem operasi
Perangkat internal harus diperbarui secara berkala untuk memperbaiki kemungkinan kerentanan dan menghindari sasaran serangan.
Apa maksudnya NAT bertindak sebagai firewall dasar?
NAT, berfungsi sebagai firewall dasar, memberikan lapisan keamanan tambahan pada jaringan internal kami. Meskipun tidak sekomprehensif firewall khusus, penting untuk memahami bagaimana NAT berkontribusi terhadap perlindungan perangkat dan data kita.
Di bawah ini, kita akan mengeksplorasi secara rinci bagaimana NAT bertindak sebagai firewall dasar dan keterbatasannya dalam hal keamanan.
1. Pemfilteran paket
NAT bertindak sebagai filter paket dasar dengan secara otomatis memblokir lalu lintas masuk yang tidak diminta dari Internet ke perangkat internal. Hal ini dicapai melalui proses penerjemahan alamat, di mana NAT memeriksa apakah lalu lintas masuk merupakan respons terhadap permintaan yang sebelumnya dimulai dari perangkat internal. Jika tidak, lalu lintas akan dibuang, mencegah penyerang eksternal mengakses perangkat internal secara langsung.
2. Menyembunyikan alamat IP internal
NAT melindungi alamat IP pribadi perangkat dalam jaringan internal dengan mengizinkan perangkat tersebut berbagi satu alamat IP publik. Penyembunyian ini mempersulit penyerang eksternal untuk mengidentifikasi dan menyerang perangkat tertentu karena mereka tidak dapat melihat alamat IP pribadi di balik alamat IP publik yang dibagikan.
3. Mencegah serangan brute force
NAT dapat membantu mencegah serangan brute force yang menargetkan jaringan internal. Dengan memblokir lalu lintas yang tidak diminta, NAT mencegah penyerang mencoba kombinasi kata sandi yang berbeda atau mencari kerentanan pada perangkat internal.
Keterbatasan NAT sebagai firewall
Meskipun mempunyai kelebihan-kelebihan ini, NAT mempunyai keterbatasan sebagai firewall dasar:
1. Kurangnya pemeriksaan paket
Berbeda dengan firewall khusus, NAT tidak memeriksa isi paket data yang melewatinya. Oleh karena itu, ia tidak dapat mendeteksi atau memblokir malware, virus, atau ancaman lain yang tersembunyi di lalu lintas yang diizinkan.
2. Kurangnya kebijakan keamanan tingkat lanjut
NAT tidak mengizinkan penerapan kebijakan keamanan tingkat lanjut, seperti kontrol aplikasi, pemfilteran konten web, atau pencegahan intrusi. Fitur-fitur ini penting untuk melindungi jaringan internal dari ancaman yang lebih canggih dan tersedia di firewall khusus.
3. Perlindungan terbatas terhadap serangan orang dalam
NAT berfokus pada perlindungan terhadap ancaman eksternal, namun tidak dapat mempertahankan jaringan internal dari serangan yang dimulai dari dalam, seperti karyawan yang tidak puas atau perangkat yang terinfeksi. Firewall khusus dapat menawarkan perlindungan tambahan dalam hal ini.
Bisakah NAT diretas atau dilanggar?
Ya, meskipun NAT memberikan lapisan keamanan dasar, NAT tidak selalu aman dan mungkin rentan terhadap jenis serangan atau teknik peretasan tertentu. Berikut adalah beberapa cara NAT dapat dikompromikan:
1. Serangan luapan tabel NAT
Perangkat NAT memelihara tabel terjemahan alamat yang berisi pemetaan antara alamat IP internal dan alamat IP publik. Penyerang dapat mencoba membanjiri tabel NAT dengan beberapa permintaan palsu, menyebabkan tabel meluap dan menghabiskan sumber daya perangkat NAT. Hal ini dapat mengakibatkan penolakan layanan (DoS) atau memungkinkan penyerang mengakses jaringan internal.
2. Serangan refleksi dan amplifikasi
Dalam jenis serangan ini, penyerang mengirimkan permintaan palsu ke server yang rentan menggunakan alamat IP publik korban sebagai alamat sumber. Server merespons dengan sejumlah besar data yang diarahkan ke korban, menyebabkan penolakan layanan (DoS). Meskipun NAT tidak secara langsung disusupi dalam skenario ini, alamat IP publik bersama Anda dapat digunakan untuk meluncurkan jenis serangan ini.
3. Kerentanan dalam implementasi protokol
Beberapa implementasi NAT mungkin mengandung kerentanan dalam cara mereka menangani protokol tertentu, seperti Dynamic Host Configuration Protocol (DHCP) atau Secure Hypertext Transfer Protocol (HTTPS). Penyerang yang mengeksploitasi kerentanan ini dapat memperoleh akses ke jaringan internal atau mencegat informasi sensitif.
4. Serangan brute force pada port terbuka
Meskipun NAT mempersulit identifikasi perangkat individual, beberapa port mungkin terbuka untuk mengizinkan koneksi masuk tertentu, seperti layanan game online atau aplikasi panggilan video. Penyerang dapat mencoba mengeksploitasi port terbuka ini melalui serangan brute force atau dengan mencari kerentanan pada aplikasi yang menggunakannya.
Contohnya dengan MikroTik RouterOS
Untuk meningkatkan keamanan NAT pada perangkat MikroTik, Anda dapat menerapkan pengaturan berikut:
Contoh 1: Pemfilteran paket pada firewall
Pemfilteran paket di firewall membantu memblokir lalu lintas tidak sah dan melindungi jaringan internal. Anda dapat mengonfigurasi aturan di firewall MikroTik untuk hanya mengizinkan lalu lintas yang diperlukan dan memblokir sisanya.
Pengaturan:
- Akses antarmuka web perangkat MikroTik Anda atau login ke router menggunakan Winbox.
- Buka “IP” > “Firewall” > “Filter Rules” dan klik tombol “+” untuk menambahkan aturan baru.
- Setel string ke "input" dan protokol ke "tcp". Masukkan rentang port yang ingin Anda blokir di kolom “Dst. Pelabuhan."
- Tetapkan tindakan ke “drop” untuk menghapus paket yang cocok dengan aturan ini.
- Ulangi langkah 2-4 untuk menambahkan aturan tambahan sesuai kebutuhan.
- Pastikan aturan diurutkan dengan benar, dengan aturan “izinkan” sebelum aturan “blokir”.
# Reemplaza "tcp_ports" con el rango de puertos que deseas bloquear, por ejemplo, "80,443"
:local tcp_ports "tcp_ports"
/ip firewall filter
add chain=input protocol=tcp dst-port=$tcp_ports action=drop comment="Bloquear puertos específicos"
Contoh 2: Batasi jumlah koneksi baru per detik
Membatasi jumlah koneksi baru per detik adalah teknik untuk melindungi perangkat MikroTik Anda dari serangan table overflow NAT. Pengaturan ini mengurangi risiko penyerang membanjiri perangkat Anda dengan permintaan palsu.
Pengaturan:
- Akses antarmuka web perangkat MikroTik Anda atau login ke router menggunakan Winbox.
- Buka “IP” > “Firewall” > “Filter Rules” dan klik tombol “+” untuk menambahkan aturan baru.
- Atur rantai ke "meneruskan" dan protokol ke "tcp".
- Di tab “Advanced”, pilih “tcp flags” dan centang kotak “syn” di “Flags” dan “syn,!ack,!fin,!psh,!rst,!urg” di “No Flags”.
- Pada tab “Ekstra”, masukkan nilai rendah di kolom “Batas” (misalnya, 10/dtk) untuk membatasi jumlah koneksi baru per detik.
- Tetapkan tindakan ke “drop” untuk menghapus paket yang cocok dengan aturan ini.
- Pastikan aturan diurutkan dengan benar di daftar “Filter Rules”.
# Reemplaza "10" con el número de conexiones nuevas por segundo que deseas permitir
:local connections_limit "10"
/ip firewall filter
add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=drop limit=$connections_limit,s src-address-list=!allowed comment="Limitar conexiones nuevas por segundo"
Pastikan untuk menyesuaikan nilainya sesuai dengan kebutuhan dan persyaratan keamanan Anda sebelum menerapkan konfigurasi.
Setelah memasukkan kode pada terminal perangkat MikroTik Anda, periksa aturan di bawah “IP” > “Firewall” > “Filter Rules” untuk memastikan aturan tersebut telah diterapkan dengan benar.