Trouble shooting Keamanan Jaringan Pada Jaringan WAN
Skenario : Dalam kegiatan uji kompetensi ini anda bertindak sebagai Network System Administrator. Tugas anda sebagai Network System Administrator adalah merancang bangun dan mengkonfigurasi sebuah Wifi Router yang berfungsi sebagai Gateway Internet, Hotspot dengan RADIUS, Web Proxy, dan Firewall, kemudian internet tersebut di-share ke client melalui jalur kabel dan wireless secara DHCP.
Dengan Opsi konfigurasi sebagai berikut:
Konfigurasi Wifi Router
- DNS = Sesuai dengan DNS yang diberikan ISP
- NTP = Yes
- Web Proxy dengan Cache Administrator = nama_peserta@sekolah.sch.id
- IP Address = Sesuai dengan Network yang diberikan ISP
- Gateway = Sesuai dengan IP yang diberikanoleh ISP
- IP Address = 192.168.100.1/25
- DHCP Pool sebanyak 99 Client
- Buat firewall agar IP 192.168.100.2 - 192.168.100.50 tidak dapat ping ke router
- Buat firewall agar IP 192.168.100.51 - 192.168.100.100 tidak dapat ping ke client wireless
- Buat rule agar setiap akses ke router tercatat di logging dan tersimpan di disk
- IP Address = 192.168.200.1/24
- SSID = nama_peserta@ProxyUKK
- DHCP Pool sebanyak 99 client
- Membuat 20 account hotspot secara random di RADIUS
- Account hotspot hanya bisa menggunakan internet pada pukul 07.00 - 16.00
- Blocking Site = https://www.linux.org
- Blocking File = .mp3, .mkv
1. Menerapkan prosedur kesehatan, keselamatan kerja dan keamanan kerja yang diperlukan
2. Melakukan pemasangan kabel UTP
3. Melakukan pemasangan dan konfigurasi jaringan lokal (LAN)
4. Melakukan pemasangan dan konfigurasi jaringan lokal (WAN)
5. Melakukan pemasangan dan konfigurasi jaringan lokal (WLAN)
6. Melakukan konfigurasi DHCP Server
7. Melakukan konfigurasi Firewall pada router
8. Melakukan instalasi dan konfigurasi Hotspot + RADIUS
9. Melakukan konfigurasi Server/Router (WebProxy)
10. Melakukan Pengujian dari PC Client yang terhubung kabel :
2. Melakukan pemasangan kabel UTP
3. Melakukan pemasangan dan konfigurasi jaringan lokal (LAN)
4. Melakukan pemasangan dan konfigurasi jaringan lokal (WAN)
5. Melakukan pemasangan dan konfigurasi jaringan lokal (WLAN)
6. Melakukan konfigurasi DHCP Server
7. Melakukan konfigurasi Firewall pada router
8. Melakukan instalasi dan konfigurasi Hotspot + RADIUS
9. Melakukan konfigurasi Server/Router (WebProxy)
10. Melakukan Pengujian dari PC Client yang terhubung kabel :
a. IP DHCP Client11. Melakukan Pengujian dari smartphone yang terhubung wireless:
b. Koneksi internet
c. Blocking ping dari client
d. Logging
a. Login user hotspot
b. Blocking Site
c. Blocking File
d. Blocking akses internet pada waktu yang telah ditentukan
GAMBAR KERJA
LANGKAH – LANGKAH PENGERJAAN :
A. Setting IP Address Mikrotik (3)
B. Setting NAT dan NTP Client (5)
C. Setting DHCP Server untuk LAN dan WLAN Mikrotik (7)
D. Setting Web Proxy Mikrotik (9)
E. Setting Hotspot Mikrotik pada Interface Wlan1 atau Jaringan Wireless (9)
F. Setting RADIUS Server (Userman) (10)
G. Konfigurasi Pada Sisi Server RADIUS (12)
H. Setting Firewall (15)
Pertama, ganti nama perangkat mikrotik dulu:
1. Masuk ke mikrotik dengan winbox > buka menu System > Identity > rubah nama router sesuai keinginan.
2. Kemudian kita akan masuk ke pembahasan pokok kita. untuk memudahkan pekerjaan sesuai dengan soal
diatas, disini akan kita uraikan dalam beberapa bagian, diantaranya:
A. Setting IP Address Mikrotik
Untuk memudahkan atau lebih memahami dalam mengkonfigurasi tandai/ ganti nama interface yang akan digunakan, pada menu winbox > interfaces.
Misal ether1 direname dengan ether1-Internet, ether2 direname dengan ether2-Jaringan Lokal, wlan1 direname dengan Jaringan Wireless. Tapi tidak wajib ya, hanya untuk mempermudah sesuai dengan penjelasan.
Untuk melakukan setting ip address mikrotik pada soal, terdapat beberapa ketentuan,
yaitu:
1. IP Address Pada Ether1 (Jaringan Internet):
IP = Sesuai dengan Network yang diberikan
ISP
Gateway = Sesuai dengan IP yang diberikan oleh ISP
DNS = Sesuai dengan DNS yang diberikan ISP
Klik menu IP > DHCP Client > (+) > Interface : ether1 >
Centang Use Peer DNS
Centang Use Peer NTP
Add
Default Route : Yes
Selanjutnya, cek apakah IP dhcp (otomatis) sudah didapat dari ISP pada ether1, amati gambar dibawah:
Jika pada Status bertuliskan bound, berarti ip dhcp sudah berhasil di release dari ISP ke ether1.
Tes koneksi internet mikrotik kita sesuai dengan yang diberikan oleh ISP, caranya klik menu New Terminal, pada
command shell ketikkan ping google.com
Jika tampilan kurang lebih seperti gambar diatas, maka itu artinya router mikrotik kita sudah terkoneksi ke internet melalui ether1 yang tersambung dengan ISP.
Jika tampilan kurang lebih seperti gambar diatas, maka itu artinya router mikrotik kita sudah terkoneksi ke internet melalui ether1 yang tersambung dengan ISP.
2. IP Address Pada Ether2-Jaringan Lokal dan Wlan1 / Jaringan Wireless:
Ether2-Jaringan Lokal : 192.168.100.1/25
Jaringan Wireless : 192.168.200.1/24
Masukkan IP Address pada interface ether2-Jaringan Lokal, dengan cara :
Klik menu IP > Address > (+) > Address: 192.168.100.1/25 > Interface: ether2-Jaringan Lokal > OK
Sekarang ip address untuk 3 interface sudah terisi sesuai dengan soal, yaitu ether1 dari ISP, ether2 192.168.100.1/25 dan ether3 192.168.200.1/24
Agar client pada router kita bisa terhubung ke internet, diperlukan sebuah firewall NAT (Network Address Translation).
1. Setting NAT (Network Address Translation):
Langkah-langkahnya:
Klik menu IP > Firewall > NAT > (+) > General > Chain: srcnat > Out. Interface: ether1-Internet > Action > Action:
masquerade > OK
NTP Client digunakan untuk men-singkronkan waktu pada router kita dengan
layanan NTP Server yang ada di
internet.
Langkah-langkahnya:
Klik menu System > SNTP Client > Centang Enabled > Primary
Address: id.pool.ntp.org > Secondary Address: asia.pool.ntp.org > OK
Jika terdapat pesan error ketika di Apply atau OK, maka yang kita butuhkan
adalah IP Address dari domain
tersebut.
Untuk mengetahui IP Address dari id.pool.ntp.org dan asia.pool.ntp.org, cukup kita ping ip tersebut
dari menu New Terminal > copy kedua ip address tersebut kemudian masukan ke Primary NTP Server dan
Secondary NTP Server :
Zona waktu setiap kawasan berbeda-beda, untuk kasus ini kita gunakan GMT
+07 (Asia/Jakarta). Caranya:
Klik menu System > Clock > Time Zone Name: Asia/Jakarta > OK
DHCP Server kali ini kita buat untuk masing-masing jaringan LAN maupun WLAN
1. Setting DHCP Server untuk LAN
Sebagaimana soal, pada jaringan LAN, DHCP Pool sebanyak 99 Client.
Kemudian
DHCP Server Interface: ether2-Jaringan Lokal > Next >
DHCP Address Space: 192.168.100.0/25 > Next >
Gateway for DHCP Network : 192.168.100.1 > Next >
Addresses to Give Out : 192.168.100.2-192.168.100.100 > Next >
DNS Server: 8.8.8.8, 8.8.4.4 >
Lease Time:
00:10:00 > Next > OK
Seperti halnya pada LAN, untuk WLAN ini juga DHCP Pool sebanyak 99 Client.
Caranya:
Ulangi Langkah seperti pada DHCP Server untuk LAN.
Klik menu IP > DHCP Server > DHCP > (+) > DHCP Setup. Muncul kotak dialog DHCP Setup, Kemudian
DHCP Server Interface: wlan1/Jaringan wireless > Next >
DHCP Address Space: 192.168.200.0/24 > Next >
Gateway for DHCP Network : 192.168.200.1 > Next >
Addresses to Give Out : 192.168.200.2-192.168.200.100 > Next >
DNS Server: 8.8.8.8, 8.8.4.4 >
Lease Time:
00:10:00 > Next > OK
Pada soal, kita di minta untuk mengaktifkan fitur web proxy pada mikrotik dengan keterangan Cache
Administrator = nama_peserta@sekolah.sch.id. Langkah-langkahnya:
Klik menu IP > Webproxy > Centang: Enabled > Port: 8080 > Centang: Anonymous > Cache Administrator:
susan@sekolah.sch.id > Centang: Chace On Disk > OK
Jaringan Hotspot pada interface jaringan wireless menggunakan RADIUS Server untuk konektivitas pada client
smartphone atau laptop melalui sambungan wireless.
Kita harus mensetting terlebih dahulu SSID yang akan kita
gunakan.
Langkahnya klik Interface > Pilih Interface Wlan1 atau Jaringan Wireless > kemudian pada tab wireless
> pilih mode : ap bridge > SSID > nama_peserta@ProxyUKK
Selanjutnya kita di minta untuk membuat sebanyak 20 akun hotspot secara random menggunakan RADIUS
Server (userman) dan akun hotspot tersebut hanya bisa terkoneksi internet pada pukul 07.00 - 16.00.
Klik menu IP > Hotspot > Server > Hotspot Setup
Hotspot Interface : wlan1 atau Jaringan Wireless > Next >
Local Address of Network: 192.168.200.1/24 > Next >
Address Pool of Network: 192.168.200.2-192.168.200.100 > Next > Next > Next >
DNS Servers: 8.8.8.8, 8.8.4.4 >
Next >
DNS Name: ukk.tkj > Next >
User: admin, password: (kosong) > Next > OK
Userman (user manager) adalah aplikasi tambahan yang miliki mikrotik, jadi biasanya paket tersebut untuk
beberapa Routerboard tidak tersedia di daftar paket yang telah terinstall oleh routerOS.
Jadi bagi kalian yang
memiliki routerboard dan belum terinstall paket userman, silahkan mendownload terlebih dahulu situs resmi
mikrotik.
Cara Install Userman (user manager):
1. Untuk melihat apakah routerOS kita telah terinstall paket userman atau belum,
klik menu System > Packages2. Jika belum ada user-manager pada daftar packages berarti user manager belum terinstall
1. Untuk melihat apakah routerOS kita telah terinstall paket userman atau belum,
klik menu System > Packages2. Jika belum ada user-manager pada daftar packages berarti user manager belum terinstall
Anda juga bisa mengecek dengan mengakses user manager langsung dari browser. Buka browser akses http://ipaddressmikrotik/userman, misalnya : http://192.168.10.5/userman. Jika fitur User Manager belum terinstall maka akan muncul pesan Error code 404 Not Found.
Selanjutnya silakan anda masuk ke halaman mikrotik.com/download. Pilih jenis RouterBoard Mikrotik anda --> Pilih versi RouterOS Mikrotik anda --> download All packages. Misalnya seperti gambar berikut :
Buka menu Files pada Winbox Mikrotik --> klik menu paste --> pastikan paket user manager sudah muncul di daftar files dan ter-upload di root direktori, bukan di sub direktori. Jika fitur User Manager Mikrotik anda belum terinstall maka anda harus menginstall nya. Tapi sebelumnya anda harus meng-upgrade RouterOS Mikrotik anda ke versi terbaru sesuai yang ada di web Mikrotik.com.
Karena paket user manager kita download dari web mikrotik.com dan paket nya hanya kompetibel dengan versi RouterOS terbaru yang ada di halaman download Mikrotik.
Jadi untuk amannya silakan upgrade dulu RouterOS mikrotik anda ke versi terbaru.
Baca juga :Cara Upgrade RouterOS ke Versi Terbaru
Reboot (restart) Mikrotik untuk menginstall paket user manager secara otomatis.
Silakan cek lagi di menu System --> Packages apakah paket user manager sudah terinstall apa belum.
Gambar diatas menunjukkan paket userman telah tersedia di routerOS kita. Selanjutnya kita akan melakukan
konfigurasi userman, sebagai berikut: Silakan cek lagi di menu System --> Packages apakah paket user manager sudah terinstall apa belum.
Klik menu Radius > (+) > General > Centang Hotspot > Address: 127.0.0.1 > Protocol: udp Secret: ukktkj > OK
Selanjutnya klik menu IP > Hotspot > Server Profiles > Klik 2 kali nama profil : hsprof1 > RADIUS > Centang Use
RADIUS > OK
G. Konfigurasi Pada Sisi Server RADIUS
Disini kita akan membuka web server side radius server pada sisi klien. Buka aplikasi Browser pada komputer klien, kemudian pada address bar ketikkan 192.168.100.1/userman
1. Membuat Profil Server Radius
Pada tampilan login, ketikkan Login : admin > Password: (kosong) > Log in
Setelah terbuka tampilan user manager di browser kita, selanjutnya klik menu Routers > Add > New > Name:
Router-Hotspot > IP Address: 127.0.0.1 > Shared secret: ukktkj > Add / Save
2. Membuat Profile User di Userman Sebelum membuat user, kita akan membuat profile user terlebih dahulu, caranya:
Pada tampilan Userman, klik menu Profiles > Profiles > (+) > Name: user-UKK > Create
Masih di tampilan Profile, selanjutnya klik Tab Limitations > Add > New > Name: limit-UKK > Add / Save
Hubungkan rule limit yang sudah dibuat dengan profile user, caranya:
Hubungkan rule limit yang sudah dibuat dengan profile user, caranya:
Klik tombol Add new limitation > Time: 07:00:00 - 16:00:00 > Centang limit1 > Add
Simpan pengaturan profile user, dengan cara klik tombol Save profile
Simpan pengaturan profile user, dengan cara klik tombol Save profile
Sesuai dengan soal, kita diharuskan membuat 20 akun hotspot secara random, caranya:
Klik menu Users > Add > Batch > Number of users: 20 > Assign profile: user-UKK > Add
Untuk Username prefix: UKK dan memudahkan disini saya samakan antara user dengan password dengan cara
centang pada Pwd same as login.
Jika berhasil, maka akan kita lihat tampilan seperti gambar dibawahKonfigurasi firewall kali ini kita di minta untuk melakukan blok ping (icmp) dari client LAN maupun WLAN
dengan rentang ip address yang ditentukan, kemudian melakukan blok situs dan beberapa file dengan ekstensi
tertentu serta membuat logging sistem.
1. Blok Ping
IP 192.168.100.2 - 192.168.100.50 (tidak bisa ping ke router)
Login ke mikrotik menggunakan winbox,
Klik menu IP > Firewall > Filters Rules > (+) > Chain: input > Src.
Address: 192.168.100.2-192.168.100.50 > Protocol: icmp > Action: drop
Klik menu IP > Firewall > Filters Rules > (+) > Chain: input > Src. Address: 192.168.100.51-192.168.100.100 > Dst.
Address: 192.168.200.0/24 > Protocol: icmp > Action: drop
2. Blok Situs dan File
2. Blok Situs dan File
Situs yang akan kita blok adalah https://linux.org, langkah-langkahnya:
Klik menu IP > Firewall > Filter Rules > Chain: forward > Protocol: 6(tcp) > Dst. Port: 443 > Advanced > Content:
linux.org > Action:drop > OK
Untuk memblok file berekstensi .mp3, langkah-langkahnya sebagai berikut: Klik menu IP > Firewall > Filter Rules > Chain: forward > Advanced > Content: .mp3 > Action: drop > OK
Untuk memblok file berekstensi .mkv, langkah-langkahnya sebagai berikut:Klik menu IP > Firewall > Filter Rules > Chain: forward > Advanced > Content: .mkv > Action: drop > OK
3. Membuat Logging Access Pada kasus ini, kita diminta untuk membuat rule agar setiap akses client ke router bisa tercatat di logging dan
tersimpan di disk router.
Langkah-langkahnya:
Klik menu IP > Firewall > Filter Rules > (+) > Chain: input > Action: log > Centang Log > Log prefix: Akses Ke
Router===>> > OK
Klik System > Logging > Rules > (+) > Prefix: akses Akses Ke Router===>> > Action: disk > OK;Semoga Bermanfaat :)
إرسال تعليق