Tuesday, August 25, 2020

Tugas AIJ 3

Manajemen Bandwith dengan Simple Queue

1. Pastikan kita sudah login ke winbox (bila belum login maka buka winbox kemudian login).

2. Klik pada menu Queues maka akan tampil berupa tampilan berikut ini :



  

3. Apabila kita akan menambahkan queues baru maka klik add (+) dan kemudian akan masuk pada kotak dialog “New Simple Queue”.

  


Pada Name dapat isi terserah sesuai dengan kebutuhan. Kemudian pada Target Address bisa diisi dengan IP yang akan ditembak, bisa satu IP dengan komputer yg sedang dipakai.

Pada bagian Burst, Max limit (Target Upload dan Target Download) dapat isi sesuai dengan keiinginan. Misal, diisi dengan 256 Kbps maka yang didapat oleh client juga sebesar itu pula.

Note : Burst dapat tembus hingga 512 Kbps (Burst Limit) dengan syarat tidak download apapun hingga 192 Kbps (Burst Threshold) dalam waktu 8 second (Burst Time).

Kemudian Klik Apply dan Klik OK.

Dalam kasus ini kita contohkan kita ingin memanajemenkan bandwith disebuah kantor ke beberapa ruangan. Jadi, dapat kita ganti dengan nama : Kantor dengan Max Limitnya target upload-nya 1 M dan dan target downloadnya 1 M.

  


Note : apabila warna queuenya merah maka sudah over maksimal

4. Apabila kita akan membagi bandwithnya maka, tambah queue baru dengan memilih add (+) dan isikan namanya, target address dan max limitnya.

  


Contoh :

Name : Ruang1

Target Address : 192.168.10.0/24

Max limit target uploadnya 1 M dan dan target downloadnya 1 M.

Kemudian masuk pada tab Advance , disinilah nanti bandwith akan dibagi. Pada bagian Limit At diisi dengan 512 Mb dan 512 Mb.

  




Pada bagian Parent diisi dengan nama queue yang awal tadi “Kantor”..

Kemudian klik Apply dan klik OK.

Maka dapat kita lihat tampilan manajemen bandwith yang telah kita lakukan dengan simple queue.

  


Apabila akan membagi lagi, maka harus menambah ether lagi “ether3” dan kemudian baru menambah queue baru untuk ruangan kedua.



Tuesday, August 11, 2020

Tugas AIJ 2 - Konfigurasi firewall mikrotik

 

TUGAS AIJ 2 - KONFIGURASI FIREWALL MIKROTIK


                     FIREWALL

  • Firewall adalah perangkat yang berfungsi untuk memeriksa dan menentukan paket data yang dapat keluar atau masuk dari sebuah jaringan.
  • Peranan firewall sangat penting untuk keamanan jaringan komputer untuk melindungi serangan yang berasal dari jaringan luar (outside network)
  • Firewall mengimpletasikan paket filtering untuk mengelola aliran data ke (input), dari (output) dan melalui (forward) router atau firewall tersebut.

CARA KONFIGURASI FIREWALL

  1. Jika sudah terhubung dengan benar, buka aplikasi winbox pada pc yang terhubung ke mikrotik, lalu klik “connect”.
  2. Pilih menu “IP” kemudian pilih “Firewall”.
  3. Hal yang  pertama kita pelajari adalah “Filter Rules”

  • Di filter rules ini ada 3 chain yaitu forward, input, dan output

  1. “Chain Forward”


    => trafik yang melalui router baik melalui internet atau dari LAN menuju ke internet atau misalkan kita mempunyai DMZ Network ke LAN atau sebaliknya dari LAN ke DMZ Network. Jadi semua trafik yang melalui mikrotik maka kita menggunakan chain Forward.
  2. “Chain Input”


    => semua trafik dari luar menuju ke mikrotik atau ke router tersebut, misalkan dari internet menuju ke mikrotik atau firewall atau ke router. Atau dari LAN menuju ke mikrotik, atau dari DMZ menuju ke mikrotik.
  3. “Chain Output” 
    => trafik dari mikrotik menuju ke network lain, misalkan dari mikrotik menuju ke LAN atau dari mikrotik menuju ke internet, ataupun dari mikrotik menuju ke DMZ Network. Semua trafik dari mikrotik yang menuju ke internet atau ke LAN atau ke DMZ Network, maka kita menggunakan chain output.


CONTOH KONFIGURASI FIREWALL

      1. CONTOH KONFIGURASI MENGGUNAKAN CHAIN FORWARD                               

  • Buka CMD, lalu kita coba ping ke www.google.com. Dan yang muncul masih reply karena trafik atau paket ini melalui mikrotik, dari LAN menuju ke www.google.com, namun melalui mikrotik.
  • Misalkan kita akan memblokir protokol icmp (protokol yang digunakan untuk ping).
  • Kemudian kita kasih actionnya “drop”, lalu kita apply.
  • Selanjutnya kita buka CMD, lalu ping www.google.com, dan akan muncul “Request Timed Out”.
  • Selain action “drop”, disini juga ada action “reject” (menolak paket dengan mengirimkan pesan penolakan icmp).
  • Sebagai contoh, kita buka CMD, lalu ping www.google.com atau ping www.detik.com, dan akan muncul “Destination net uncreachable”.
  • Kemudian kita mencoba browsing ke www.google.com dan disini kita masih bisa membuka websitenya karna yang kita blok adalah protokol icmp.

2. CONTOH KONFIGURASI MENGGUNAKAN CHAIN INPUT

  • Hal pertama yang harus diperhatikan saat menggunakan chain input adalah kita harus hati hati karena kalau kita tidak definisikan secara eksplisit maka nanti bisa ke blok/kita tidak bisa akses ke mikrotiknya.
  • Disini kita menggunakan protokol icmp untuk memblok ping dari LAN ke mikrotik, kemudian kita kasih actionnya “drop”, lalu kita OK.
  • Selanjutnya kita buka CMD, lalu kita ping ke mikrotiknya (IP mikrotik => 172.16.0.254) dan pasti akan muncul “Request Timed Out”.
  • Kemudian kita ganti optionnya “reject” (dengan pesan icmp network unreachable)
  • Lalu kita ping lagi ke mikrotiknya (IP mikrotik => 172.16.0.254) dan pasti akan muncul pesan “destination net unreachable”.

MACAM MACAM ACTION DALAM FIREWALL

Pada konfigurasi firewall mikrotik, terdapat beberapa pilihan action yang dapat digunakan, diantaranya adalah :

  • Accept   =>  paket diterima dan tidak melanjutkan membaca baris berikutnya.
  • Drop  =>  menolak paket secara diam diam (tidak mengirimkan pesan penolakan icmp).     
  • Jump   =>  melompat ke chain lain yang ditentukan oleh nilai parameter  jump-target.
  • Passthrough  =>  mengabaikan rule ini dan melanjutkan menuju rule selanjutnya.
  • Log  =>  menambahkan informasi paket data ke log.
  • Reject   =>  menolak paket dan mengirimkan pesan penolakan icmp.
  • Tarpit  =>  menolak, tetapi tetap menjaga TCP connection yang masuk (membalas dengan SYN/ACK untuk paket TCP SYN yang masuk.

NAT (NETWORK ADDRESS TRANSLATION)

  • NAT                 => Network Address Translation.
  • Fungsi NAT     => menerjemahkan IP Private menjadi IP Public.
  • Ada dua jenis NAT :

    1. SNAT (Source Network Address Translation)


        SNAT (Source Network Address Translation) yaitu sebuah NAT yang bertugas untuk                         merubah source address dari suatu paket data. SNAT hanya berlaku pada postrouting.

    2. DNAT (Destiantion Network Address Translation)


        DNAT (Destiantion Network Address Translation) adalah sebuah NAT yang berfungsi untuk            meneruskan paket dari IP public melalui firewall ke suatu host dalam jaringan. DNAT hanya            bekerja pada tabel NATdan di dalam tabel NAT berisi 3 bagian yang disebut dengan CHAIN,            ketiga CHAIN tersebut meliputi prerouting, postrouting dan output.

CARA KERJA NAT (NETWORK ADDRESS TRANSLATION)

NAT mempunyai fungsi yaitu sebagai penerjemah sebuah alamat IP, sehingga dengan adanya NAT ini alamat IP private dapat dengan mudah mengakses alamat IP public. Berikut adalah cara kerja dari NAT:

  • Di dalam alamat  IP terdapat sebuah bagian yang mana di dalam IP tersebut terdapat informasi-informasi berupa alamat asal, alamat tujuan, dll. Bagian ini disebut dengan header.
  • Sebagai contoh adalah sebuah komputer client dengan IP 192.168.1.2 akan mengakses atau melakukan request ke alamat http://www.google.co.id dengan IP 216.239.61.104, maka proses yang akan terjadi adalah sebagai berikut :
  • Pada header, informasi yang tersimpan antara lain alamat asal > 192.168.1.2
  • Sehingga ketika paket telah sampai pada router (gateway dari client), maka isi dari header akan dirubah menjadi : alamat asal > 192.168.1.1
  • Sebelum paket keluar (menuju internet), maka header tersebut akan kembali berubah menjadi, alamat asal > 200.100.50.2, demikian seterusnya.
  • Proses di atas merupakan mekanisme dari SNAT (source NAT), dimana IP asal (komputer klien) akan dirubah disesuaikan dengan IP ketika paket telah berpindah. Ketika server google melakukan response / balasan, maka akan terjadi DNAT (destination NAT), dimana IP tujuan akan berubah disesuaikan dengan tujuan paket (komputer klien). Prosesnya adalah sebagai berikut :
  • Pada header, ketika paket telah sampai pada Router, informasi IP tujuan >200.100.50.20
  • Ketika paket berada pada gateway, IP tujuan >192.168.1.1
  • Di sini header akan kembali mengalami perubahan, IP tujuan > 192.168.1.2
  • Sehingga Paket dapat dikirim dan bisa sampai pada komputer client.

NETWORK TOPOLOGY USING VIRTUALBOX


Install virtualbox dimana virtualbox itu diinstall tiga buah virtual mesin yaitu mikrotik, windows, ubuntu server. Kemudian untuk koneksi ke internet menggunakan handphone yang telah di tethering sehingga untuk laptop akan mendapatkan IP dari handphone. Selain itu mikrotik juga akan mendapatkan IP yang satu segmen dengan laptop karena untuk interface WAN virtual networknya dibuat briking.sehingga untuk mikrotiknya akan mendapatkan IP dari handphone. Kemudian di dalam mikrotik ini dibuat DHCP Server sehingga DHCP Server ini akan membroadcast IP untuk virtual mesin yaitu windows. Dan untuk ubuntu server diberikan IP Static. Kedua virtual mesin ini seolah olah karena dibelakang mikrotik maka dia tidak bisa terkoneksi langsung ke internet/tidak bisa langsung terhubung ke handphone.

Thursday, July 30, 2020

Tugas AIJ XII TKJ2

TAHAPAN KONFIGURASI DASAR MIKROTIK :

1. Membuat desain/topologi jaringan








         Ditahap ini kita harus menentukan sumber internet masuk melalui port berapa, bisa menggunakan fiber optic, kabel ethernet atau wireless dan juga bisa menggunakan GSM/LTE (dalam kata lain bisa menggunakan jaringan seluler) tergantung providernya.

  • ·        Aplikasi/software yang dibutuhkan adalah Winbox.

2. Buka aplikasi Winbox
     Langkah langkahnya adalah :
  1. Login : admin (tanpa menggunakan password).
  2. Kita sudah terkoneksi dengan router.
  3. Kemudian Klik pada MAC Address jangan pada IP Address karena kalau kita klik pada IP Address kita akan terkoneksi melalui IP Addres oleh karena itu kita harus konek menggunakan MAC Address.
  4. Kemudian muncul tampilan untuk keterangan default config (konfigurasi bawaan), inilah yang membuat kita tidak bisa terkoneksi Winbox melalui port 1.
  5. Hapus semua default configuration yang ada pada router yang akan mengakibatkan router ini menjadi fresh kosong tanpa konfigurasi dengan cara menekan tombol “Remove Configuration” dengan tujuan agar settingan yang kita buat tidak akan mengalami bentrok/tidak sinkron dengan default configuration.
  6. Sebelum konek ke internet sebaiknya ganti password untuk keamanan dan untuk mengantisipasi karena kalau IP Public kita sudah terpasang biasanya akan langsung ada banyak yang menyerang atau kita juga bisa ganti user baru supaya user Admin tidak terkena bruteforce. Saat membuat user baru jangan lupa membuat Group “Full”.
  7. Langkah berikutnya adalah kita disable user Admin dengan tujuan agar tidak ada orang yang mencoba login menggunakan admin untuk bruteforce.
  8. Selanjutnya login ulang dengan username baru.
  9. Ganti nama perangkat  pada menu “system identity”.
  10. Gunakan brigde untuk antisipasi jika ada permasalahan pada port yang kita gunakan misalnya jika besok ether1 mengalami kerusakan kita bisa berpindag menggunakan ether4 karena kalau kita konfigurasi semua berdasarkan port, rule yang sudah terbuat (firewall ,konfigurasi, dan lain lain) akan diganti semua.  Dengan kata lain, membuat bridge bertujuan untuk meminimalisir membuat ulang rule.
  11. Buat brigde WAN. Kemudian kita masukkan port yang akan dimasukkan kedalam WAN tersebut, kita masukkan port yang digunakan untuk yang digunakan untuk koneksi ke sumber internet, kemudian kia masukkan port tersebut pada tab “Ports”.
  12. Kemudian kita gunakan DHCP client, kita simulasikan bahwa dari ISP kita mendapatkan IP DHCP atau mendapatkan IP Address secara otomatis, kita hanya perlu add interface dengan “bridge WAN” karena ether1 tadi sudah menjadi anggota bgidge WAN, Add Default Router “yes” kemudian klik “ok” sampai statusnya “bound”(sudah mendapatkan IP Address).
  13. Lihat pada menu IP Address, disini sudah terlihat mendapatkan IP otomatis dari provider internet dan terlihat interface IP tersebut pada bridge WAN sesuai dengan komfigurasi kita tadi.
  14. Kita cek terlebih dahulu langkah langkah tadi apakah sudah terkoneksi ke Gateway atau belum, untuk cek gateway kita bisa lihat pada menu IP-Routes. Kemudian kita ping ke gateway yang sudah kita dapat tadi.
  15. Kemudian kita cek dulu router ini sudah bisa terkoneksi ke internet atau belum. Kita ping ke IP Google atau ke IP Public (8.8.8.8).
  16. Lalu kita setting DNS. Masuk pada menu IP DNS lalu kita masukkan server DNS (informasi untuk DNS Server ini juga didapatkan dari provider internet yang kita gunakan), atau kita juga bisa menggunakan DNS Public seperti 8.8.8.8 atau 1.1.1.1. Jika router akan digunakan untuk melayani jaringan lokal kita jangan lupa untuk mengaktifkan Allow Remote Requests pada DNS Server kita. Kita tes ping kembali ke www.google.com.
  17. Kemudian kita masuk ke konfigurasi LAN. Caranya adalah dengan kita membuat satu bridge lagi, yaitu bridge LAN. Lalu kita tinggal memilih port yang akan digunakan sesuai dengan kebutuhan kita. Kemudian kita juga bisa menambahkan interface lain yang ingin kita gunakan.
  18. Berikutnya adalah kita memasukkan konfigurasi untuk IP Address untuk distribusi ke LAN, kita bisa memasukkan pada manu “IP-Address”. Kemudian kita buat baru, harus berbeda dengan IP Address dari ISP, lalu kita memilih interface pada “bridge LAN”, jadi konfigurasinya hampir sama dengan sebelumnya.
  19. Berikutnya, kita sekarang sesuaikan IP Address yang ada pada laptop kita atau kita bisa mensetting DHCP Server dengan cara masuk kedalam menu “IP-DHCP Server” untuk memberikan IP Address secara otomatis ke client. Konfigurasi di perangkat mikrotik tidak susah karena sudah terdapat wizardnya, dan yang paling terpenting adalah pemilihan interface.
  20. Ada satu hal lagi yang perlu diperhatikan agar bisa terkoneksi dengan internet yaitu kita konfigurasi source NAT (Nerwork Address Translation). Pada router kita harus memilih action source NAT sebagai masquerade. Caranya kita masuk ke menu “IP-Firewall” kemudian masuk pada tab “NAT” lalu kita lakukan penambahan. Kita perlu mengatur “Out. Interfaces” pada bridge WAN, karena harus memilih interface yang digunakan untuk menuju keluar jaringan kita. Kemudian pada tab “Action” kita memilih “masquerade” lalu apply.
  21. Setelah terkoneksi internet, konfigurasi dasarnya sudah selesai.
  22. Hanya tinggal ada beberapa hal yang bisa diterapkan, contohnya :

    • Kita bisa menerapkan QoS. Kita bisa menerapkan limitasi Bandwidh, paling mudah kita bisa menggunakan simple queue target kita masukkan IP yang akan di limit kemudian masukkan IP Address dari laptop atau client yang akan di berlakukan limitasi. Lalu kita bisa mengatur mau diberi bandwidh akses berapa.
    • Keamanan. Terkadang masih ada yang melakukan serangan bruteforce atau bug walaupun tadi di awal kita sudah mengganti username dan password, sehingga kita harus cek di menu “IP-Service” maka akan nampak service yang sedang aktif pada router yang kita gunakan sekarang. Kemudian, kita harus menonaktifkan yang tidak perlu (misalnya, jika service port API, FTP, Telnet tidak digunakan harus dimatikan).
    • Pengembangan jaringan. Karena jaringan sekarang ini banyak menggunakan perangkat mobile (lapto, hp)sehingga mmbutuhkan wireless. Pengaturan tersebut terdapat di menu “Wireless”. Kita bisa mensetting sebagai access point, untuk pemilihan frekuensi juga harus hati hati, harus sesuai dengan peraturan yang berlaku. Beberapa perangkat yang ada di Indonesia terkadang range frekuensi yang diperbolehkan menjadi sempit yang mengakibatkan tidak bisa terkoneksi ke luar frekuensi yang ditentukan. Sebelum mengaktifkan access point ini, kita perlu membuat pengaman, caranya masuk ke dalam tab “Security Profiles” kemudian tambahkan profile, disitu kita bisa menentukan password untuk melalui interface wireless yang ingin kita gunakan. Lalu kita buka mode advance nya baru kita bisa memilih security profiles. Jika sudah selesai, jangan lupa di “enable”. 


TIPS DAN CATATAN PENTING DALAM KONFIGURASI DASAR MIKROTIK
  1. Untuk router baru jangan koneksikan melalui port 1 karena di proteksi sedari awal oleh mikrotik (ada bawaan config).
  2. Sebelum konek ke internet sebaiknya ganti password untuk keamanan dan untuk mengantisipasi karena kalau IP Public kita sudah terpasang biasanya akan langsung ada banyak yang menyerang atau kita juga bisa ganti user baru supaya user Admin tidak terkena bruteforce.
  3. Pastikan kita hafal username dan password kalau tidak nanti bisa kacau. Langkah yang bisa dilakukan hanyalah reset perangkat (Netinstall perangkat) dan datanya akan hilang semua.
  4. Buat brigde untuk antisipasi jika ada permasalahan pada port yang kita gunakan misalnya jika besok ether1 mengalami kerusakan kita bisa berpindag menggunakan ether4 karena kalau kita konfigurasi semua berdasarkan port, rule yang sudah terbuat (firewall ,konfigurasi, dan lain lain) akan diganti semua.  Dengan kata lain, membuat bridge bertujuan untuk meminimalisir membuat ulang rule.
  5. Jangan lupa memasukkan IP Privat yang kita gunakan, jadi kita masih mempunyai akses bisa remote ke router.