Memblokir Akses Ke Wireless Mikrotik Dengan ARP List Dan DHCP Server

Beberapa tipe router Mikrotik mempunyai fitur Wireless yang dapat difungsikan sebagai Access Point untuk membuat WLAN. Salah satu cara untuk mengamankan Wireless di Mikrotik adalah dengan memblokir MAC Address dengan ARP List dan DHCP Server. Artikel ini menjelaskan cara memblokir akses ke Wireless Mikrotik dengan ARP List dan DHCP Server.

Berikut adalah topologi jaringan yang menjadi rujukan dalam penjelasan artikel ini. Komputer NB1 dan NB2 adalah perangkat yang akan terhubung ke internet melalui router Mikrotik.
Memblokir Akses Ke Wireless Mikrotik Dengan ARP List Dan DHCP Server

Barikut adalah cara kerja Memblokir Akses Ke Wireless Mikrotik Dengan ARP List Dan DHCP Server

  1. Mengonfigurasi interface Wireless untuk merespon permintaan ARP dari suatu perangkat hanya jika alamat IP dan MAC Address perangkat tersebut sudah terdaftar di ARP List.
  2. Mengonfigurasi DHCP Server berikut
    1. Membuat Static Lease untuk setiap perangkat yang diizinkan untuk terhubung ke router Mikrotik
    2. Ketika ada permintaan Alamat IP dari perangkat, maka Alamat IP diambil dari Static Lease
    3. Mendaftarkan Alamat IP dan MAC Address perangkat, di ARP List.


Mengonfigurasi “ARP: reply-only” di Interface

Tujuan konfigurasi adalah supaya interface Wireless merespon permintaan ARP hanya dari perangkat client yang alamat IP dan MAC Address-nya sudah terdaftar di ARP List.
Cara konfigurasi adalah dengan membuka interface Wireless, kemudian konfigurasi “ARP: reply-only”.
Memblokir Akses Ke Wireless Mikrotik Dengan ARP List Dan DHCP Server


Mengonfigurasi “Address Pool: Static-only” dan “Add ARP For Leases” DHCP Server

Buka DHCP Server, kemudian konfigurasi sebagai berikut.

Memblokir Akses Ke Wireless Mikrotik Dengan ARP List Dan DHCP Server

Penjelasan:

  • Address Pool: static-only.
    • DHCP Server hanya akan memberikan Alamat IP dari Static Lease kepada perangkat. Artinya adalah jika akan mengizinkan suatu perangkat untuk terhubung ke router Mikrotik, maka buat Static Lease untuk perangkat tersebut.
    • Jika konfigurasinya adalah “Address Pool: dhcp_pool0”, maka DHCP Server akan mengambil Alamat IP dari dhcp_pool0.
  • Add ARP For Leases: Yes.
    • Alamat IP yang diberikan kepada perangkat, akan didaftarkan di ARP List beserta dengan MAC Address perangkat dengan flag “DCH”.
    • Jika konfigurasinya adalah “Address Pool: dhcp_pool0” dan “Add ARP For Leases=No”, maka Alamat IP dan MAC Address yang diberikan kepada perangkat, akan ditambahkan di ARP List dengan flag “DC”.

 

Membuat Static Lease di DHCP Server

Fungsi Static Lease adalah memastikan perangkat untuk selalu mendapatkan Alamat IP yang sama.
Untuk membuat Static Lease, buka menu “IP | DHCP Server”, aktifkan “Leases” dan klik “+” untuk menambah data. Contoh, berikut adalah Static Lease untuk komputer NB1.
Memblokir Akses Ke Wireless Mikrotik Dengan ARP List Dan DHCP Server

“dhcp1” adalah nama DHCP Server darimana alamat IP diambil.

Hasil konfigurasi.
Memblokir Akses Ke Wireless Mikrotik Dengan ARP List Dan DHCP Server


Pengujian

Pengujian #1:
Saat ini di DHCP Server hanya ada Static Lease untuk komputer NB1.
Konfigurasi komputer NB1 sebagai DHCP Client.
Memblokir Akses Ke Wireless Mikrotik Dengan ARP List Dan DHCP Server

 

Hasilnya, komputer NB1 dapat terhubung ke internet.
Memblokir Akses Ke Wireless Mikrotik Dengan ARP List Dan DHCP Server

 

Berikut adalah isi ARP List dan Static Lease.
Memblokir Akses Ke Wireless Mikrotik Dengan ARP List Dan DHCP Server


Penjelasan

  1. Karena komputer NB1 dikonfigurasi sebagai DHCP Client, maka DHCP Server berperan untuk menentukan Alamat IP berdasarkan MAC Address komputer NB1
  2. Karena konfigurasi “Address Pool: Static-only”, maka MAC Address 74:DA:38:99:3B:FA dicari di Static Lease
  3. Karena terdapat Static Lease dengan MAC Address 74:DA:38:99:3B:FA, maka dapat diketahui Alamat IP-nya, yaitu 10.10.22.49
  4. Karena konfigurasi “Add ARP For Leases”, maka DHCP Server mendaftarkan Alamat IP 10.10.22.49 dan MAC Address 74:DA:38:99:3B:FA di ARP List dengan kode “DCH”. PENTING: Kode “DCH” berarti Alamat IP Dinamis. Indikatornya adalah bahwa Static Lease dengan Alamat IP 10.10.22.49 dan MAC Address 74:DA:38:99:3B:FA berstatus “bound”.
  5. Karena konfigurasi “ARP: reply-only”, maka router hanya akan merespon permintaan ARP dari perangkat yang Alamat IP dan MAC Address-nya sudah terdaftar di ARP List.
  6. Karena Alamat IP 10.10.22.49 dan MAC Address 74:DA:38:99:3B:FA terdaftar di ARP List, maka permintaan ARP dari Alamat IP dan MAC Address tersebut direspon oleh router.

 

Pengujian #2:
Di DHCP Server tidak ada Static Lease untuk komputer NB2.
Konfigurasi komputer NB2 sebagai DHCP Client.


Hasilnya komputer NB2 tidak terhubung ke internet.

 

Berikut isi “Lease” dan ARP List.

Penjelasan

  1. Karena komputer NB2 dikonfigurasi sebagai DHCP Client, maka DHCP Server berperan untuk menentukan Alamat IP berdasarkan MAC Address komputer NB2
  2. Karena konfigurasi “Address Pool: Static-only”, maka MAC Address 00:E0:20:30:35:09 dicari di Static Lease
  3. Karena tidak ada Static Lease dengan MAC Address 00:E0:20:30:35:09, maka komputer NB2 tidak mendapat Alamat IP dari DHCP Server, sehingga komputer NB2 tidak dapat terhubung ke router.

 

Pengujian #3:
Di pengujian sebelumnya, di DHCP Server tidak ada Static Lease untuk komputer NB2 sehingga ketika komputer NB2 dikonfigurasi sebagai DHCP Cleint, maka komputer NB2 tidak dapat terhubung ke internet.
Sekarang tambah Static Lease untuk komputer NB2.


Sekarang komputer NB2 bisa terhubung ke internet.


Berikut adalah isi “Leases” dan ARP List.


Penjelasan sama dengan Pungujian #1.


Pengujian #4:
Berikan alamat IP Static 10.10.99.47 ke komputer NB1.


Hasilnya, komputer NB1 tidak dapat terhubung ke internet.


Berikut adalah isi ARP List dan “Leases”. Tidak ada indicator bahwa komputer NB1 terhubung ke router.

Penjelasan

  1. Karena komputer NB1 mempunyai Alamat IP Statis, maka peran DHCP Server tidak diperlukan
  2. Komputer NB1 meminta informasi ARP.
  3. Karena interface Wireless dikonfigurasi “ARP: reply-only”, maka permintaan ARP dari Alamat IP 10.10.22.47 dan MAC Address 74:DA:38:99:3B:FA ditolak (karena Alamat IP dan MAC Address tersebut tidak terdaftar di ARP List), sehingga komputer NB1 tidak bisa terhubung ke internet.

 

Pengujian #5:
Berikan Alamat IP Static 10.10.22.49 ke komputer NB1. Alamat IP ini sama dengan Alamat IP di Static Lease.


Hasilnya adalah komputer NB1 tidak dapat terhubung ke internet.


Berikut adalah isi ARP List dan “Lease”. Tidak ada indicator bahwa komputer NB1 terhubung ke router.

Penjelasan

  1. Karena komputer NB1 mempunyai Alamat IP Statis, maka peran DHCP Server tidak diperlukan
  2. Komputer NB1 meminta informasi ARP.
  3. Karena interface Wireless dikonfigurasi “ARP: reply-only”, maka permintaan ARP dari Alamat IP 10.10.22.49 dan MAC Address 74:DA:38:99:3B:FA ditolak (karena Alamat IP dan MAC Address tersebut tidak terdaftar di ARP List), sehingga komputer NB1 tidak bisa terhubung ke internet.


Kesimpulan

Kelebihan

  • Meningkatkan keamanan jaringan karena perangkat hanya bisa menggunakan Alamat IP Dinamis. Jika perangkat menggunakan Alamat IP Statis, maka perangkat tidak akan terhubung ke internet.
  • Mendukung perangkat yang tidak menyediakan fasilitas pemasangan Alamat IP, misal: Beberapa jenis perangkat IP Camera tidak menyediakan fasilitas konfigurasi Alamat IP.


Kekurangan

  • Karena Alamat IP dan MAC Address perangkat harus diinput manual ke DHCP Server, maka cara ini tidak cocok jika jumlah perangkatnya banyak
  • Tidak bisa mengombinasikan Static Lease dan Dynamic Lease, contoh: di sebuah perkantoran, hanya komputer kelas Server saja yang perlu Static Lease, sedangkan untuk komputer karyawan, cukup dengan Dynamic Lease.

 

Demikian penjelasan Memblokir Akses Ke Wireless Mikrotik Dengan ARP List Dan Static Lease, semoga bermanfaat.

 

Baca juga memblokir akses ke Wireless Mikrotik dengan cara lainnya

 

Leave a Reply