Segmentasi Jaringan MikroTik
Segmentasi Jaringan MikroTik
Pengenalan
Segmentasi jaringan adalah praktik memisahkan jaringan menjadi beberapa segmen berdasarkan fungsi dan tingkat kepercayaan. Pada implementasi MikroTik, segmentasi digunakan untuk meningkatkan keamanan, mengurangi risiko penyebaran gangguan, serta mempermudah pengelolaan jaringan.
Halaman wiki ini mendokumentasikan pendekatan segmentasi jaringan pada lingkungan homelab dan jaringan desa, dengan fokus pada perlindungan server, isolasi perangkat pengguna, dan pembatasan akses antar segmen.
Tujuan Segmentasi Jaringan
Segmentasi jaringan diterapkan dengan tujuan utama:
- Melindungi server dan infrastruktur inti
- Membatasi pergerakan lateral antar perangkat
- Mengurangi dampak jika salah satu segmen terkompromi
- Meningkatkan stabilitas dan performa jaringan
- Mempermudah troubleshooting dan manajemen akses
Topologi Jaringan
Contoh pembagian interface pada MikroTik:
- ether1 : Koneksi ISP (Internet)
- ether2 : Server (Proxmox, VM, LXC)
- ether3 : Jaringan PPPoE Client
- ether4 : Jaringan CCTV / NVR
- ether5 : Access Point / User WiFi
Setiap interface mewakili segmen jaringan yang memiliki tingkat kepercayaan dan kebutuhan akses yang berbeda.
Kategori Segmen Jaringan
Segmen Trusted
Segmen dengan tingkat kepercayaan tinggi:
- Server Proxmox
- VM dan LXC internal
- Management host
Karakteristik:
- Boleh mengakses seluruh segmen
- Boleh mengakses router
- Digunakan untuk administrasi dan layanan inti
Segmen Untrusted
Segmen dengan tingkat kepercayaan rendah:
- Client PPPoE
- Access Point
- CCTV dan IoT
Karakteristik:
- Tidak boleh mengakses router
- Tidak boleh mengakses server
- Hanya boleh mengakses internet atau layanan tertentu
Prinsip Akses Antar Segmen
Aturan komunikasi antar segmen dirancang sebagai berikut:
- Trusted → Semua segmen : Diizinkan
- Untrusted → Trusted : Diblokir
- Untrusted → Untrusted : Dibatasi sesuai kebutuhan
- Semua segmen → Internet : Diizinkan
Pendekatan ini mengikuti prinsip *least privilege*.
Implementasi Address List
Untuk mempermudah pengelolaan, perangkat trusted dimasukkan ke dalam address-list.
Contoh Address List Trusted
/ip firewall address-list add \
list=trusted \
address=192.168.2.10 \
comment="Proxmox Server"
/ip firewall address-list add \
list=trusted \
address=192.168.2.20 \
comment="Admin PC"
Firewall Forward Chain
Forward Chain digunakan untuk mengontrol lalu lintas antar segmen jaringan.
Allow Established dan Related
/ip firewall filter add \
chain=forward \
connection-state=established,related \
action=accept \
comment="Allow established & related forward"
Allow Trusted ke Semua Segmen
/ip firewall filter add \
chain=forward \
src-address-list=trusted \
action=accept \
comment="Trusted full access"
Block Untrusted ke Segmen Server
/ip firewall filter add \
chain=forward \
dst-address-list=trusted \
action=drop \
comment="Block untrusted to trusted"
Alasan Keamanan Implementasi
Segmentasi ini penting karena:
- Mencegah client mengakses server secara langsung
- Mengisolasi malware dari jaringan user
- Menghindari scanning dan brute force ke server
- Mengurangi broadcast dan trafik tidak perlu
Pada jaringan desa, satu perangkat terinfeksi dapat berdampak besar jika tidak ada segmentasi.
Kesalahan Umum
Beberapa kesalahan yang sering terjadi:
- Semua interface digabung dalam satu bridge
- Tidak ada pemisahan trusted dan untrusted
- Firewall forward terlalu longgar
- Tidak menggunakan address-list
Kesalahan tersebut meningkatkan risiko keamanan secara signifikan.
Kesimpulan
Segmentasi jaringan pada MikroTik merupakan fondasi penting dalam desain jaringan yang aman dan stabil. Dengan membagi jaringan berdasarkan fungsi dan tingkat kepercayaan, administrator dapat:
- Melindungi server dan router
- Mengontrol akses antar segmen
- Meningkatkan keamanan jaringan desa dan homelab
Pendekatan ini bersifat skalabel dan dapat diterapkan pada jaringan kecil hingga besar.
