Tips Mengamankan Jaringan yang Menggunakan DHCP
Contoh, ketika ada sebuah host baru yang tidak dikenal pada jaringan, maka dhcp akan memberikan konfigurasi ip untuk host tersebut selama jatah ip address yang disediakan dhcp server masih ada. Hal seperti ini tentunya akan membuat host tersebut dapat terkoneksi dengan host lain pada jaringan tersebut.
Penggunaan dhcp yang tidak dilengkapi dengan "keamanan" juga dapat membuat jaringan tersebut menjadi rentan. Bisa saja terdapat sebuah komputer yang menyamar menjadi dhcp server palsu untuk memberikan konfigurasi ip palsu kepada host. Situasi seperti ini dapat dimanfaatkan oleh pihak yang tidak bertanggung jawab untuk mengarahkan client agar menggunakan gateway lain, dan dalam situasi yang lebih buruk dapat mengakibatkan terjadinya pencurian informasi milik client atau hal buruk lainnya.
Pada postingan kali ini saya akan berbagi tips mengamankan jaringan mikrotik yang menggunakan dhcp server agar tidak terdapat user ilegal maupun dhcp lain yang berusaha mengganggu stabilitas jaringan. Ada beberapa cara yang bisa kita lakukan untuk meningkatkan keamanan pada jaringan tersebut.
1. Mengkonfigurasi arp menjadi reply-only
Secara default, interface pada mikrotik menggunakan konfigurasi arp enabled. Artinya, setiap ada host yang konek, router akan mencatat mac address milik host tersebut beserta ip address yang digunakan. Kekurangan dari konfigurasi ini adalah, semua host dapat bebas terhubung dengan router dan juga jaringan di luar router. Sedangkan jika kita mengkonfigurasi arp menjadi reply-only maka router hanya akan menghubungkan host yang mac addressnya telah tercatat oleh router. Dengan kata lain, host yang mac addressnya tidak terdaftar pada router tidak bisa terhubung dengan router maupun jaringan di luar router tersebut.
Untuk mengubah arp menjadi reply-only, masuk ke menu interface, kemudian pilih interface yang mengarah ke client atau jaringan lokal yang menggunakan service dhcp tadi. Pada bagian ARP ubah menjadi reply-only.
Perlu diketahui, jika kita mengkonfigurasi arp menjadi reply-only, pastikan setiap host telah mendapatkan ip address dari dhcp server, karena jika kita mengkonfigurasi arp sebelum client mendapatkan ip dhcp maka client tersebut tetap tidak akan terhubung dengan router. Hal ini dikarenakan ketika arp diubah menjadi reply-only dan client belum mendapatkan ip dhcp, posisi tabel arp pada router masih kosong, sehingga router tidak memiliki daftar mac address host, akibatnya router akan menolak semua host tadi karena mac addressnya tidak terdaftar pada router.
Namun jika kalian sudah terlanjur mengkonfigurasi arp terlebih dahulu sebelum dhcp server, maka kalian dapat mengijinkan host yang mendapatkan ip dhcp untuk dicatat mac addressnya oleh router. Caranya adalah dengan men-checklist opsi “Add ARP for Leases” pada dhcp server.
Klik pada nama dhcp server yang telah dibuat, kemudian centang opsi “Add ARP for Leases” yang terletak di bagian bawah. Dengan begitu, setiap kali ada host yang mendapatkan ip dhcp, mac address host tersebut akan dimasukkan ke dalam tabel ARP router.
2. Mengkonfigurasi DHCP Statik
Cara berikutnya yang bisa kalian gunakan untuk mengamankan jaringan dhcp adalah dengan mengkonfigurasi ip address statik untuk client dhcp. Jadi nanti client hanya akan menerima ip address sesuai dengan address yang dikonfigurasikan pada server dhcp. Kelebihan dari cara ini adalah, hanya client yang didaftarkan mac addressnya saja yang bisa mendapatkan ip, sedangkan yang lainnya tidak. Sedangkan kekurangannya adalah kita harus mengkonfigurasi address untuk client satu persatu dan kita juga harus mengetahui mac address si client tersebut.
Untuk mengkonfigurasi dhcp statik ini, siapkan terlebih dahulu ip address untuk client. Masuk ke menu IP > DHCP Server > Tab Leases > Add. Kemudian inputkan address yang akan digunakan oleh client beserta mac address dari si client. Lalu pada bagian Server arahkan ke dhcp server yang telah dibuat sebelumnya.
Setelah menyiapkan ip address, selanjutnya kalian perlu mengubah parameter Address Pool pada dhcp server menjadi static-only seperti berikut ini :
Konfigurasi dhcp statik sudah selesai. Jika kalian tetap ingin menggunakan pool address namun ingin membuat beberapa client menggunakan ip statik juga bisa. Caranya, pilih client yang addressnya akan dibuat statik. Kalian dapat melihat daftar client dhcp pada menu tab Leases. Kemudian klik, lalu pilih Make Static.
Dengan begitu client akan selalu mendapatkan ip address tersebut.
3. Mengaktifkan DHCP Alert
Cara berikutnya yang bisa kalian gunakan untuk mengamankan jaringan dhcp adalah dengan mengkonfigurasi ip address statik untuk client dhcp. Jadi nanti client hanya akan menerima ip address sesuai dengan address yang dikonfigurasikan pada server dhcp. Kelebihan dari cara ini adalah, hanya client yang didaftarkan mac addressnya saja yang bisa mendapatkan ip, sedangkan yang lainnya tidak. Sedangkan kekurangannya adalah kita harus mengkonfigurasi address untuk client satu persatu dan kita juga harus mengetahui mac address si client tersebut.
Untuk mengkonfigurasi dhcp statik ini, siapkan terlebih dahulu ip address untuk client. Masuk ke menu IP > DHCP Server > Tab Leases > Add. Kemudian inputkan address yang akan digunakan oleh client beserta mac address dari si client. Lalu pada bagian Server arahkan ke dhcp server yang telah dibuat sebelumnya.
Dengan begitu client akan selalu mendapatkan ip address tersebut.
Cara selanjutnya adalah dengan mengaktifkan ‘DHCP Alert’. DHCP Alert ini akan memberitahukan kita apabila di dalam jaringan terdapat dhcp server selain yang telah kita konfigurasi. Kita akan mendapatkan peringatan pada log router berupa pemeritahuan bahwa ada dhcp server yang tidak dikenal.
contoh log yang menampilkan adanya dhcp server asing dalam jaringan
Untuk mengaktifkan dhcp alert ini, masuk ke menu IP > DHCP Server > Tab Alert > Add. Pada bagian interface diisi dengan interface yang digunakan oleh dhcp server.
Kita bisa mengatur interval alert pada bagian Alert Timeout. Misalkan kita set alert timout dengan waktu 15 menit, maka setiap 15 menit router akan melakukan cek apakah terdapat dhcp server lain, jika ada maka dhcp alert akan mengirimkan pesan pada log seperti pada gambar di atas sebelumnya. Kita juga bisa mengkombinasikan dhcp alert dengan script. Misal ketika terdapat dhcp server lain, router akan mengirimkan email pemberitahuan. Konfigurasi script untuk mengirim email pemberitahuan ini dapat kalian letakkan pada bagian On Alert.
Mungkin cukup sekian tips yang dapat saya bagikan untuk mengamankan jaringan yang menggunakan dhcp server pada mikrotik router os. Apabila kalian memiliki tips lain untuk mengamankan jaringan tersebut silahkan berbagi melalui komentar. Semoga bermanfaat.
