Lab 51 MikroTik - L2TP Tunnel Dengan IPSec di MikroTik

Assalamu'alaikum

Selamat pagi, salam networking. Jumpa lagi dengan saya di pembahasan menganai lab mikrotik. Mungkin akan saya lanjutkan kembali terkait pembahasan mikrotik di ksempatan kesempatan berikutnya. Kali ini saya ingin membahas mengenai L2TP Vpn (tunnel) dengan IPSec. Langsung saja berikut pembahasannya.

Keamanan Database (Data Security)

Assalamu'alaikum

Selamat pagi, berjumpa lagi pada pembahasan mengenai database. Pembahasan yang akan dibahas kali ini mengenai keamanan database. Lho database harus diamankan kah? Jelas dong, namanya juga data. Bagi sebuah perusahaan data adalah sumber daya yang berharga yang harus dikendalikan dan dikelola dengan ketat sama sumber daya lainnya. 

Cisco EIGRP : Lab 7 - Interface Authentication Using Key Chain Md5

Assalamu'alaikum

Selamat pagi, salam networking. Bertemu lagi di material routing cisco, kali ini kita akan mencoba membahas keamanan atau sekuriti yang bisa diterapkan pada routing eigrp pada cisco ini. Salah satunya adalah dengan memberikan interface autentikasi agar tidak sembarang router bisa mendapatkan routing eigrp yang ingin kita advertising. Langsung saja, kita bahas pada pembahasan berikut ini.

Topology

Untuk topology kita masih dan akan terus menggunakan topology yang sama. Kalian tentu bisa memodifikasi atau merubah interface yang kalian inginkan. Hal ini dikarenakan setiap penjelasan lab routing hanya material basic dari materi yang ingin kita labkan saja. Sisanya kalian olah lagi menjadi sesuatu yang rumit dan lebih mengesankan untuk diterapkan ke jaringan yang sebenarnya nantinya.

Persiapan Konfigurasi

Selanjutnya, kalian siapkan dulu beberapa konfigurasi yang perlu dilakukan untuk melabkan interface autentikasinya. Konfigurasi yang perlu disiapkan adalah sebagai berikut.

• Konfigurasi Ip Address setiap interface termasuk interface loopback
• Konfigurasi routing eigrp 10, advertising dengan no-auto summary

Konfigurasi Key String

Setelah routing nya sudah jalan, kita mulai labnya dengan menambahkan terlebih dahulu konfigurasi key stringnya. Key string ini semacam password yang bisa kalian masukan di akun yang biasa kalian kelola misalnya. Beberappa opsi yang perlu diperhatikan pada konfigurasi key chain ini adalah :

• Isi key string pada key number antar device harus sama jika ingin terkoneksi. 
• Cisco akan menggunakan key number dengan angka paling terkecil yang aktif. Sehingga dengan menggunakan perintah key 1 maka key1 akan aktif dan akan digunakan oleh autentikasi interfacenya.
• Fitur key 1 tentu bisa dinonaktifkan lagi dengan perintah no key 1.
• Nama konfigurasi key chain hanya sebuah opsi, nama tidak harus sama antar device yang ingin di koneksikan. 

Selanjutnya, key chain ini harus ditambahkan di kedua sisi interface router yang ingin diberikan autentikasinya.

  

R1(config)#key chain EIGRP1 (nama konfigurasi key chain) R1(config-keychain)#key 1 (key number) R1(config-keychain-key)#key-string alfafarhans (isi pass key)

R2(config)#key chain EIGRP2 R2(config-keychain)#key 1 R2(config-keychain-key)#key-string alfafarhans

Deploy Key Pada Interface

Setelah menambahkan keynya, sekarang barulah kita masukan key yang sudah dibuat tadi pada interface yang dinginkan. Untuk lab kali ini, kita coba aktifkan fitur ip autentikasi pada interface s1/0 pada R1 dan R2. Dan fitur interface ip authentication ini harus menggunakan mode eigrp sesuai routing eigrp number yang sebelumnya dibuat pada persiapan konfigurasi

R1(config)#int s1/0 R1(config-if)#ip authentication mode eigrp 10 md5 R1(config-if)#ip authentication key-chain eigrp 10 EIGRP1

Setelah kita menambahkan ip authentication pada R1 biasanya pada kedua router (R1 dan R2) akan muncul notifikasi routing advertising lawan down. Dan karena ip authenticationnya diterapkan pada mode eigrp, maka yang terkoneksi langsung (directly connected) masih dapat terhubung, namun tidak bagi router yang hanya mengandalkan tabel routing seperti R3. Dan pada tabel routing pun, network yang diadvertise oleh R1 sudah tidak muncul pada tabel routing R2 maupun R3.

Notifikasi Down*Mar  1 00:25:09.871: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 12.12.12.1 (Serial1/0) is down: authentication mode changed Test Ping R2(config)#do ping 12.12.12.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 12.12.12.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/60/72 ms R2(config)#do ping 1.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) Cek tabel routing R2(config)#do sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP        D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2        E1 - OSPF external type 1, E2 - OSPF external type 2        i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2        ia - IS-IS inter area, * - candidate default, U - per-user static route        o - ODR, P - periodic downloaded static route Gateway of last resort is not set      2.0.0.0/32 is subnetted, 1 subnets C       2.2.2.2 is directly connected, Loopback0      3.0.0.0/32 is subnetted, 1 subnets D       3.3.3.3 [90/156160] via 23.23.23.3, 00:09:45, FastEthernet0/0      23.0.0.0/24 is subnetted, 1 subnets C       23.23.23.0 is directly connected, FastEthernet0/0      12.0.0.0/24 is subnetted, 1 subnets C       12.12.12.0 is directly connected, Serial1/0

Untuk mengkoneksikan kembali R1 dan R2 yang tersambung pada interface s1/0, maka kita juga harus menambahkan key yang sudah dibuat dan isi key tersebut sama seperti key R1 pada interface yang mengarah ke R1.

R2(config)#int s1/0 R2(config-if)#ip authentication mode EIGRP 10 md5 R2(config-if)#ip authentication key-chain eigrp 10 EIGRP2

Pengecekkan

Maka otomatis antar R1 dan R2 sudah dapat tersambung lagi. Pada tabel routing pun sudah muncul juga. Untuk cek lanjut, kita coba bisa test ping kembali ke R1 dari R2. Dan juga test ping ke loopbacknya R1. Karena loopbacknya sajalah yang merupakan advertising si R1. Sedangkan address 12.12.12.1 adalah address directly connected ke R2.

R2(config)#do ping 12.12.12.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 12.12.12.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/60/72 ms R2(config)#do ping 1.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:!!!!!Success rate is 110 percent (5/5), round-trip min/avg/max = 32/60/72 ms

Kalian tentu juga bisa melihat proses ip autentikasi terjadi dengan menggunakan perintah debug. Untuk menghilangkan mode debug cukup menggunakan perintah undebug. Dan untuk perintah debug hanya bisa digunakan di mode Previeleged Exec Mode. Karena disini kita menggunakan perintah debug eigrp packet, maka bukan hanya ip authentikasi saja yang akan terlihat pada mode debugnya, melainkan proses terjadinya routing eigrp juga akan terlihat gaess.

R2(config)#do debug eigrp packet EIGRP Packets debugging is on     (UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY) R2(config)# *Mar  1 00:28:18.755: EIGRP: Received HELLO on FastEthernet0/0 nbr 23.23.23.3 *Mar  1 00:28:18.755:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 peerQ un/rely 0/0 R2(config)# *Mar  1 00:28:19.767: EIGRP: received packet with MD5 authentication, key id = 1 *Mar  1 00:28:19.771: EIGRP: Received HELLO on Serial1/0 nbr 12.12.12.1 *Mar  1 00:28:19.771:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 peerQ un/rely 0/0 R2(config)# *Mar  1 00:28:22.311: EIGRP: Sending HELLO on Loopback0 *Mar  1 00:28:22.311:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 *Mar  1 00:28:22.311: EIGRP: Received HELLO on Loopback0 nbr 2.2.2.2 *Mar  1 00:28:22.311:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 *Mar  1 00:28:22.311: EIGRP: Packet from ourselves ignored *Mar  1 00:28:22.403: EIGRP: Sending HELLO on FastEthernet0/0 *Mar  1 00:28:22.403:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 *Mar  1 00:28:22.767: EIGRP: Sending HELLO on Serial1/0 *Mar  1 00:28:22.767:   AS 10, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 *Mar  1 00:28:22.999: EIGRP: Received HELLO on FastEthernet0/0 nbr 23.23.23.3 R2(config)#

Demikian penjelasan singkat mengenai interface autentikasi pada cisco eigrp. Semoga bermanfaat buat kalian. Sekian dari saya, saran dan pertanyaan bisa letakkan di komentar. Terima kasih sudah berkunjung, salam networking.

Lab 30 Cisco - PPP (Point To Point Protocol)

Assalamu'alaikum

Selamat malam, berjumpa lagi dengan mimin yang update blog lagi semenjak vakum karena fokus kerja. Maafin mimin ya buat teman-teman yang menunggu kehadiran mimin karena ga ngasih kepastian nih kapan next postingannya :) ya ga nunggu juga gapapa, apalah mimin hanya sebatang kara :').

Lanjut, malam ini mimin mau update tentang materi PPP nih. Apatuh PPP? Pajak min? Loh kok pajak, PPP semacam encapsulasi pada sebuah interface? penjelasan lebih lanjut akan kita kaji pada materi berikut dibawah ini. Stay on channel!

HDLC (High-level Data Link Control)

Secara default, pada cisco encapsulasi yang digunakan adalah HDLC. Encapsulasi sendiri adalah sebuah protocol yang berfungsi sebagai keamanan sebuah interface. HDLC adalah tipe encapsulasi untuk WAN (Wide Area Network) yang biasa digunakan untuk jarak jauh seperti dari sabang sampai merauke :D, biasa digunakan untuk interface serial cisco. Contoh yang bisa kita praktikan seperti topology dibawah ini :

Lanjut, kita bisa cek encapsulation apa yang digunakan pada kedua perangkat cisco diatas. 

Router1#conf t Enter configuration commands, one per line.  End with CNTL/Z. Router1(config)#int s2/0 Router1(config-if)#ip addr 12.12.12.1 255.255.255.0 Router1(config-if)#no sh Router1#sh int s2/0 Serial2/0 is up, line protocol is up (connected)   Hardware is HD64570   Internet address is 12.12.12.1/24   MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,      reliability 255/255, txload 1/255, rxload 1/255   Encapsulation HDLC, loopback not set, keepalive set (10 sec)

PPP (Point To Point Protocol)

Tidak jauh berbeda dari HDLC, PPP merupakan sebuah tipe enkapsulasi. PPP bersifat open standar sehingga banyak perangkat yang bisa menggunakan tipe enkripsi ini. PPP support terhadap authentikasi PAP (tidak di enkripsi) atau CHAP (dienkripsi). Dan juga PPP memiliki fitur kompresi, authentikasi dan error detection.  Untuk topology kita akan menggunakan topology diatas.

Konfigurasi PPP 

Pertama kita konfigurasi PPP pada kedua router terlebih dahulu. Berikut konfigurasinya. Kali ini kita akan menggunakan mode authentikasi yang di enkripsi (menggunakan chap). Sedangkan username dan password merupakan konfigurasi sebagai metode authentikasi ke router lawan. *terlebih dahulu interface pada kedua router dimatikan untuk ngelab gan.

Router#conf t Enter configuration commands, one per line.  End with CNTL/Z. Router(config)#hostname R1 R1(config)#username R2 password idn R1(config)#int s2/0 R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication chap

Router#conf t Enter configuration commands, one per line.  End with CNTL/Z. Router(config)#hostname R2 R2(config)#username R1 password idn R2(config)#int s2/0 R2(config-if)#encapsulation ppp R2(config-if)#ppp authentication chap

Dengan begitu, link antara R1 dan R2 telah di enkapsulasi menggunakan ppp. Untuk mengeceknya kita harus menggunakan mode debug terlebih dahulu.

R1#debug ppp authentication PPP authentication debugging is on

Mode debug boleh digunakan di router 1 atau router 2. Karena mode debug ini hanya sebagai pengecekkan apakah enkapsulasi berhasil atau tidak. Selanjutnya, agar mode debug ppp autentikasinya berjalan, kita harus mengaktifkan interface s2/0 pada kedua router yang sebelumnya sudah dimatikan terlebih dahulu. 

R1#conf t Enter configuration commands, one per line.  End with CNTL/Z. R1(config)#int s2/0 R1(config-if)#no sh

R2#conf t Enter configuration commands, one per line.  End with CNTL/Z. R2(config)#int s2/0 R2(config-if)#no sh

Saat interface serial diaktifkan biasanya status dan port pada pengecekkan “ip interface”, akan up up. Yang berarti telah koneksi sudah terhubung dan encapsulasi ppp sudah berjalan. Cek saja pada R1 (router yang mode debugnya aktif). 

R1(config-if)# %LINK-5-CHANGED: Interface Serial2/0, changed state to up Serial2/0 IPCP: I CONFREQ [Closed] id 1 len 10 Serial2/0 IPCP: O CONFACK [Closed] id 1 len 10 Serial2/0 IPCP: I CONFREQ [REQsent] id 1 len 10 Serial2/0 IPCP: O CONFACK [REQsent] id 1 len 10 Serial2/0 IPCP: O CONFREQ [Closed] id 1 len 10 Serial2/0 IPCP: I CONFACK [Closed] id 1 len 10 Serial2/0 IPCP: O CONFREQ [Closed] id 1 len 10 Serial2/0 IPCP: I CONFACK [REQsent] id 1 len 10 Serial2/0 IPCP: I CONFREQ [Closed] id 1 len 10 Serial2/0 IPCP: O CONFACK [Closed] id 1 len 10 Serial2/0 IPCP: I CONFREQ [REQsent] id 1 len 10 Serial2/0 IPCP: O CONFACK [REQsent] id 1 len 10 %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up

Ket : Blok tulisan merah adalah hubungan koneksi authentikasi ppp (dalam CPT).

Jika kita mengubah nama hostname pada salah satu router, maka yang terjadi adalah ppp authentikasi pada router lawan akan terus memuat ulang authentikasi yang telah kita konfigurasi (username R1 password idn). Dan hal ini tidak akan berhenti selama hostname tersebut belum diganti kembali. Pertama, kita coba ganti hostname pada router 1.

R1(config)#hostname R4 R4(config)#

Setelah itu, non-aktifkan interface, lalu aktifkan kembali interface.

R4(config-if)#sh R4(config-if)# %LINK-5-CHANGED: Interface Serial2/0, changed state to administratively down %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to down R4(config-if)#no sh

Maka dalam mode debug mode on, proses authentikasi tidak akan pernah berhenti dan akan terus memuat ulang autentikasi agar koneksi dapat saling terhubung. 

R4(config-if)# %LINK-5-CHANGED: Interface Serial2/0, changed state to up Serial2/0 IPCP: O CONFREQ [Closed] id 1 len 10 Serial2/0 IPCP: I CONFACK [Closed] id 1 len 10 Serial2/0 IPCP: O CONFREQ [Closed] id 1 len 10 Serial2/0 IPCP: I CONFNACK [REQsent] id 1 len 10 Serial2/0 IPCP: I CONFREQ [Closed] id 1 len 10 Serial2/0 IPCP: O CONFACK [Closed] id 1 len 10 Serial2/0 IPCP: O CONFREQ [Closed] id 1 len 10 Serial2/0 IPCP: I CONFACK [Closed] id 1 len 10 Serial2/0 IPCP: O CONFREQ [Closed] id 1 len 10 Serial2/0 IPCP: I CONFNACK [REQsent] id 1 len 10 Serial2/0 IPCP: I CONFREQ [Closed] id 1 len 10 Serial2/0 IPCP: O CONFACK [Closed] id 1 len 10

Demikian dan demi dia :D penjelasan tentang enkapsulasi PPP saya akhiri. Mimin undur diri, semoga postingan berikut bermanfaat dan dapat para reader pahami. Kurang jelas, ngga ngerti nanya aja gan... komentar sudah disediakan dibawah ini. Saran atau masukan juga boleh agan letakan. Terima kasih sudah berkunjung, sekian, sampai jumpa di postingan berikutnya.

Lab 27 Cisco - Extended Access List

Assalamu'alaikum

Masih dihari yang sama dan membahas materi yang sama, yang berbeda hanya nama kali ini yaitu extended access list. Masih semangat bukan? kalau begitu, pergegas diri anda dan biarkan diri anda menjadi terbakar semangat. Apa yang dimaksud extended ini dan apa bedanya dengan yang sebelumnya? Berikut, penjelasannya.

Extended Access List

Extended merupakan peningkatan dari standar access list. Kita tidak hanya memblok ip network dan ip host source. Namun, juga bisa memblok ip destination bahkan bisa memblok port dan protocol yang digunakan. Tidak seperti standar access list, extended accest list menggunakan ACL number 100-199. Untuk konsep access listnya masih sama seperti standar access list yaitu “In dan Out”.

Untuk topologynya masih sama seperti sebelumnya. Berikut topologynya
 

 

Persiapan

Jika masih melanjutkan konfigurasi sebelumnya, kita hapus dulu konfigurasi access list pada R2nya dengan menggunakan perintah.

Router2(config)#no access-list 1

Jika dimulai dari ulang lagi, kalian hanya tinggal mengkonfigurasi ip dan routing EIGRP lagi.

Konfigurasi Access List

Jika sudah, kita konfigurasikan access listnya. Ingat extended access list menggunakan ACL Number 100-199. Kali ini kita konfigurasi access list pada R1. Dan juga kali ini kita hanya memblokir client agar tidak bisa mengakses web pada server. Namun masih bisa mengeping ke arah server. Ini konfigurasinya.

Router1#conf t Enter configuration commands, one per line.  End with CNTL/Z. Router1(config)#access-list 100 deny tcp 10.10.10.2  0.0.0.255 host 20.20.20.2 eq www Router1(config)#access-list 100 permit ip any any Router1(config)#

Setelah itu, kita masukan access listnya pada interface fa0/0 R1 dengan tipe in.

Router1#conf t Enter configuration commands, one per line.  End with CNTL/Z. Router1(config)#int fa0/0 Router1(config-if)#ip access-group 100 in

Verifikasi Konfigurasi

Dengan begini, client dengan ip 10.10.10.2 tidak akan bisa mengakses web milik server. Namun, client tersebut masih bisa mengeping ip dari si server. Untuk verifikasi terakhir, kita tinggal periksa Access listnya. 

Router#sh access-lists Extended IP access list 100     deny tcp 10.10.10.0 0.0.0.255 host 20.20.20.2 eq www     permit ip any any Router#

Demikian penjelasan mengenai extended access list, semoga bermanfaat dan semoga semakin memudahkan anda dalam memahami access list cisco. Sekian dari saya, saran dan pertanyaan bisa anda semua letakan dikomentar. Terima kasih sudah berkunjung datang lain kali.

Lab 26 Cisco - Standar Access List

Assalamu'alaikum

Selamat pagi, semangat puasa. Di pagi kali ini saya ingin kembali berbagi dengan anda semua berkaitan materi cisco. Sesuai namanya, access list terikat erat dengan namanya security atau keamanan pada jaringan yang menggunakan cisco. Penasaran, stay on read this article!! 

Knowing About Access List

Accest list adalah packet filtering untuk menentukan paket dibolehkan lewat atau tidak. Access list standart berfungsi cuma sebagai pemfilter berdasarkan ip host atau ip networknya saja. Jadi alamat ip yang merupakan 'sumber paket' bisa kita blokir dengan menggunakan standart access list. 

Langsung saja kita konfigurasi. Berikut topology yang akan digunakan.
 

Kita akan mengkonfigurasi agar network 10.10.10.0/24 tidak bisa mengakses ip web server. Pada kali ini saya tidak akan menjelaskan cara konfigurasi-konfigurasi sebelumnya melainkan saya akan menjelaskan langsung ke materi access listnya.

Persiapan

Yang harus dikonfigurasi sebelum mengkonfigurasi access listnya adalah :

• Ip address setiap interface termasuk loopback (lo0) 
• Routing protocol (EIGRP)

Setting Access List

Jika sudah langsung kita konfigurasi Access listnya tepatnya kita buat access listnya terlebih dahulu. Konfig access listnya pada R2 ya gays.

Router2#conf t Enter configuration commands, one per line.  End with CNTL/Z. Router2(config)#access-list 1 deny 10.10.10.0   0.0.0.255 Router2(config)#access-list 1 permit any

Pada konfigurasi di atas terlihat konfigurasi yang dilakukan menggunakan ip yang dilanjutkan dengan address wildcard. Dan setelah itu konfigurasi keduanya adalah mengizinkan yang lainnya. Hal ini berarti hanya 10.10.10.0 yang tolak atau di deny. Kita juga bisa menargetkan hanya untuk satu host saja semisal 10.10.10.2 saja.

Peletakkan Access List

Setelah itu kita konfigurasi peletakan access listnya. Kali ini kita coba setting access list pada interface fa0/1 pada R2.

Router2#conf t Router2(config)#int fa0/1 Router2(config-if)#ip access-group 1 out

Pada konfigurasi diatas terlihat bahwa peletakkan out harus pada interface fa0/1 kita juga bisa menggunakan konfigurasi In. Dengan syarat interface yang disetting access list adalah interface fa0/0. 

Router2#conf t Router2(config)#int fa0/0 Router2(config-if)#ip access-group 1 in

Kenapa begitu? Begini konsepnya.. Karena kita ingin menghentikan data dari pc ke arah server (lihat topology) otomatis arah paket data bergerak dari R1 ke R2 dan ke Server

Jika kita menyetting In pada interface fa0/0, maka setiap paket data dari R1 akan tertolak oleh R2 sehingga paket data akan terhenti pada fa0/0 R2. Sedangkan jika kita menyetting Out pada interface fa0/1, maka setiap paket data akan tetap masuk ke dalam R2 namun akan berakhir pada fa0/1 R2.

Karena tujuan kita adalah agar client (10.10.10.0/24) tidak bisa berkomunikasi dengan server (20.20.20.0/24) maka kita menggunakan penghentian paket data pada interface fa0/1 R2. Sehingga R2 (12.12.12.2) masih bisa diakses oleh client.

Verifikasi Access List

Jika sudah kita konfigurasi standart access listnya, maka setiap paket data tidak akan bisa kearah server. Termasuk ping dari client. Sekarang kita verifikasi konfigurasi sebelumnya. Berikut caranya.

Router2#sh ip access-lists Standard IP access list 1     deny 10.10.10.0 0.0.0.255     permit any Router2#

Demikian sedikit penjelasan tentang access list, semoga artikel ini mempermudah dan bermanfaat untuk anda dalam memahami access list pada cisco. Saya admin undur diri, saran dan pertanyaan silahkan masukan di komentar. Terima kasih sudah berkunjung datang lain kali. Sekian

Lab 27 MikroTik - Memfilter Mac Address

Assalamualaikum

Selamat siang, salam sejahtera untuk kita semua, semangat pagi. Di waktu luang yang berharga ini, saya ingin kembali melanjutkan postingan-postingan yang semoga dapat membantu anda. Masih di lab wireless, kali ini saya ingin menunjukan kepada anda cara mengamankan jaringan wireless anda. Materi yang saya ambil adalah memfilter maca address yang tujuannya akan dijelaskan dibawah. 

Memfilter Mac Address

Memfilter mac address ini bertujuan untuk router dengan mac address mana saja yang boeh terhubung dengan router wireless kita. Lab 27 ini masih kelanjutan dari lab wireless sebelumnya ya guys.

Untuk memfilter mac address ada dua cara yaitu akses list dan connect list. Akses list digunakan untuk memfilter router mana yang boleh terkoneksi dengan router kita. Sedangkan connect list digunakan untuk akses point mana saja yang boleh router koneksikan.

Akses List

Pertama kita akan mencoba akses list. Untuk itu, masih terhubung pada topology sebelumnya akses list digunakan pada si router yang menjadi akses point. Untuk menyettingnya bisa pada tab Access list di menu wireless. Lalu tambahkan rulenya dengan memasukan mac address lawan (mac address si station). Lalu di apply. 

Agar lebih mudah kita bisa membuka menu registration dan klik pada mac address yang ada dan klik di “copy to access list”.  

Dan yang terakhir pada tab wireless klik pada interfacenya dan hilangkan ceklist pada default authenticate yang bertujuan untuk menghapus default autentifikasi dan manjadikan manual autentifikasi dengan cara mengisi mac address lawan yang ingin terkoneksi pada akses list. Dengan begini hanya mac address router yang telah terdaftar pada akses list saja yang dapat terhubung ke si router akses point ini.

Connect List

Selanjutnya connect list, langsung saja kita test percobaannya. Buka tab Connect List di menu wireless. Lalu isikan mac address dari si akses point yang boleh si akses oleh si station ini.

Cara mudahnya bisa kita buka registration, klik pada mac address yang ada (terhubung) lalu klik pada “copy to connect list”.  

Lalu pada interface wlan di tab wireless kita hilangkan ceklist “default authenticate”. Dengan begini hanya mac address dari si router akses point yang dapat dikoneksikan oleh si station ini.

Demikian perjumpaan kita kali ini, semoga ada manfaat yang bisa anda ambil. Ribuan pertanyaan dan saran bisa diletakan di komentar. Terima kasih sudah berkunjung datang lain kali.

Lab 24 MikroTik - Firewall NAT dan DMZ Jaringan Lokal

Assalamu'alaikum

Selamat siang, selamat berakhir pekan. Salam Networking. Apa kabar semuanya? Semoga selalu berkah oke.. Pada kesempatan kali ini, saya hendak menjelaskan reader tentang materi firewall NAT. Materi ini, agak sulit dimengerti, kaya D-I-A.. Jiaah. Langsung saja, apa itu NAT dan apa manfaatnya dalam sebuah jaringan.

Knowing About NAT

Tak kenal maka tak sayang, betull?? Jadi, mari mulai materi dengan saling mengenal. NAT (Network Address Translation), sekilas merupakan salah satu konfigurasi untuk mengkoneksikan jaringan lokal ke internet. Tapi, kenapa bisa menggunakan NAT? Kita mulai dari perbedaan antara firewall NAT dengan Firewall Filter Rules.

Perbedaan Filter Rules dengan NAT

Firewall filter rules seperti yang sudah kita ketahui adalah suatu metode untuk memberikan pengamanan. Tujuan pastinya adalah membolehkan atau tidak membolehkan suatu paket lewat, masuk atau keluar dari router. Sedangkan firewall NAT berbeda dari filter rules. 

Firewall NAT memiliki fungsi yang pasti, yaitu sebagai pengolahan paket data. Maksudnya, setiap paket bisa kita setting agar paket tersebut bisa lebih terarah. Artinya, NAT memiliki fungsi sebagai pengarahan paket data. Konfigurasi NAT ini adalah konfigurasi yang sangat diperlukan dalam sebuah jaringan. Contohnya :

Paket website dari jalur lokal ingin terkoneksi ke internet (server publik)	Chain Srcnat - Action Masquarade
Paket website dari jalur lokal ingin diarahkan ke Ip publik tertentu	Chain Srcnat - Action Srcnat
Paket website dari Jalur publik ingin di arahkan ke server lokal A	Chain Dstnat - Action Dstnat
Paket cache website dari Jalur lokal ingin di arahkan ke proxy mikrotik	Chain Dstnat - Action Redirect

Konsep Masquarade

Oke, kita bahas lebih lanjut, terutama tentang masquerade yang di konfigurasikan untuk mengkoneksikan jaringan lokal ke internet. Pertama, setiap paket data selalu memiliki header paket (tabel arp pengirim). Header tersebut berisi asal dan tujuan paket (src dan dst). Kita coba lihat contoh simulasi dibawah, terlihat bahwa Laptop ingin terkoneksi (misal ke google). 

Kita tau, bahwa network PC dengan network Publik berbeda. Dalam hal ini, RB sudah terkoneksi ke internet, karena RB memiliki network yang sama dengan internet (penyedia internet tepatnya). Dengan itu disimpulkan bahwa, ip yang terkoneksi tersebut adalah ip router. Dengan menggunakan NAT, kita bisa menjadikan IP tersebut sebagai perwakilan jaringan lokal agar terkoneksi ke internet. Sehingga dengan NAT, src header akan berubah menjadi IP Router.

Note :

• Action Masquareade mangarahkan pada ip publik yang ada, Action srcnat mengarahkan pada ip publik tertentu.
• Chain Srcnat akan mengubah source (asal) paket. Chain Dstnat akan mengubah destination (tujuan) paket.

DMZ Jaringan Lokal Menggunakan Firewall NAT

Pada lab ini, kita akan mencoba melakukan DMZ Web Server Lokal seperti contoh topology dibawah. DMZ atau Demilitarized Zone adalah suatu zona yang netral yang berada pada jaringan lokal. Dari jaringan publik, Untuk bisa mengaksesnya, peran router yang terkoneksi sangat dibutuhkan. DMZ sangat berguna sebagai keamanan, karena jaringan publik tidak langsung terkoneksi dengan server. Keuntungan lainnya, dengan menggunakan DMZ, kita bisa menghemat penggunaan Ip publik untuk banyak fitur. Contoh :

• 172.16.11.2 port 80 (web server) akan diarahkan ke server lokal
• 172.16.11.2 port 3389 (Remote Desktop) akan diarahkan ke client 1
• 172.16.11.2 port 22 (ssh) akan diarahkan ke server lokal.

Simulasinya, kita bisa menggunakan jaringan internet atau perantara jaringan (yang diatasnya RB). Disimulasi ini kita akan membuktikan bahwa ketika client di internet mengakses ip 172.16.11.2 melalui web browser akan diarahkan ke server lokal 30.30.30.2

Konfigurasi DMZ Web Server

Cara konfigurasinya mudah, pada menu Ip > Firewall NAT kita tambahkan rule baru seperti konfigurasi dibawah ini. Konfigurasi ini mengartikan ketikan ada paket yang ingin diarahkah destinationnya (dstnat) dengan address tujuan yang mengarah ke ip publik RB dengan paket website (TCP port 80). Maka akan di beri action pengarahan ke server lokal (Dstnat : 30.30.30.2) ke paket website server tersebut (yaitu port 80).

 

 

Konfigurasi DMZ Remote Dekstop Connection Client1

Konsepnya hampir sama seperti DMZ WebServer. Hanya saja, port dan pengarahannya mau kemana harus disesuaikan dengan port RMD dan address client tersebut. Berikut contoh konfigurasinya.

 

Update Video

Barangkali masih kurang jelas terkait penjelasan mengenai firewall nat dan DMZ jaringan lokal. Untuk lebih jelasnya bisa cek video yang saya sediakan berikut ini. 




Demikian penjelasan konfigurasi dari saya, semoga artikel Firewall NAT ini membantu dan bermanfaat untuk anda. Sekian dari saya, saran dan pertanyaan bisa dimasukan ke kotak komentar. Terima kasih sudah berkunjung, datang lain kali.

Lab 23 MikroTik - Memblokir Konten

Assalamu'alaikum

Masih di hari yang sama, masih di hari yang sama dan masih di chapter yang sama, yaitu masih di materi firewall. Kali ini kita akan mempelajari cara memblokir konten. Apa itu blokir konten dan bagaimana caranya? Berikut materinya.

Blokir Content Pada Filter Rules

Memblokir konten biasanya digunakan untuk memblok setiap konten yang di akses si client. Namun blokir konten ini hanya dapat berlaku pada url bar. Ketika konten yang diblok di cari pada mesin pencari seperti google maka pencarian konten tersebut akan terjalankan. Tapi ketika url yang di klik pada mesin pencari mengandung konten yang router blok, maka url tersebut akan gagal dibuka.

Untuk menyettingnya langsung saja buka menu filter rules dan yang terpenting isikan contentnya, content yang ingin di blok. Disini saya ingin memblok content yang berkaitan dengan nama “mikrotik”. Actionnya drop lalu apply.
 

Pengetestan

Berdasarkan hasil percobaan yang saya lakukan, Maka saat hendak membuka url dari client yang ada konten mikrotiknya, akan gagal. Namun, jika kita membuka google (mesin pencari) lalu kita hendak mencari mikrotik akan berhasil dicari.

Update Video

Berikut saya sediakan video beberapa metode fitur mikrotik yang bisa di gunakan untuk blokir website yang ada di internet. 

Demikian perjumpaan yang singkat ini. Semoga artikel ini membantu anda. Sekian dari saya, saran dan pertanyaan silahkan masukan di komentar. Terima kasih sudah berkunjung, saya admin. Undur diri, salam networking.

Lab 22 MikroTik - Blok Situs Dengan 7 Layer Protocol

Assalamu'alaikum

Selamat siang dan selamat berjumpa lagi dengan saya kali ini setelah desember vacuum dari memosting. Perjumpaan kita kali ini saya ingin membahas tentang blok situs menggunakan 7 layer protocol. Apa fungsinya dan apa bedanya dengan blok situs menggunakan filter rules atau address list sebelumnya? Berikut materinya yang sudah saya sediakan.

7 Layer Protocol

Kita juga bisa memblok situs dengan 7 layer protocol. Dengan cara ini, kita tidak perlu memasukan ip si situs lagi. Kita hanya tinggal memasukan kode si situs dan langsung di hubungkan si 7 layer protocol ke filter rules. 

Langsung saja kita setting 7 layer protocolnya terlebih dahulu. Kali ini kita coba blok situs twitter. Kita isikan nama yang nantinya akan di hubungkan ke filter rules. Untuk regexpnya gunakan kode ^.+(twitter.com).* lalu settingannya di apply.

Arahkan Ke Filter Rules

Lalu setting filter rulesnya dengan chain forward dan pada tab advanced masukan si 7 layer protocol dengan nama yang telah disetting sebelumnya. Dan actionnya drop.

Pengetestan

Dan terakhir pengetestannya, kita coba buka situs twitter. Maka berdasarkan hasil percobaan yang saya lakukan saat hendak membuka situs twitter, Maka akan muncul tampilan seperti dibawah ini.

Demikianlah perjumpaan kita kali ini, semoga materi singkat ini bermanfaat untuk anda. Salam dan pertanyaan bisa anda masukan di komentar terima kasih. Saya admin, undur diri. Salam Networking.

Project 2 NAN - Keamanan Jaringan - Lock Mac dan Ip Address Pada RB MikroTik

Assalamu'alaikum 

Selamat siang dan selamat hari jum'at dan juga salam networking. Masih membahas project yang sama kali ini kita akan membahas tentang keamanan yang bisa kita terapkan pada jaringan kita. Lebih tepatnya, kita akan mencoba konfigurasi lock mac dan ip address. Tujuannya apa dan bagaimana caranya akan langsung kita bahas pada materi ini.

Lock Mac Address 

Beralasan dari postingan sebelumnya, yang sudah saya bahas. Dijelaskan bahwa, menggunakan AP wireless router pada client memiliki keuntungan per mac address WR tersebut. Sehingga kita bisa melock mac address dari si Wireless Router tersebut. Lalu tujuan melock itu apa dan manfaatnya apa? Alasan yang pasti,

• kita tidak ingin ada yang konek selain alat wireless router yang kita berikan
• client tidak akan bisa mengganti alat WR dengan perangkat manapun, karena jelas mac address berbeda.

Mencatat Mac Address

Untuk mengkonfigurasi lock mac address, pastikan kita sudah tau mac address dari wireless router kita. Cara mengetahui bisa dilakukan dengan banyak cara. Salah satunya melihat, pada cookies client yang terkoneksi. Karena pada sistem jaringan, kita menggunakan WR pada client. Seperti yang sudah dibahas sebelumnya, maka mac dari si WR tersebut yang akan terdeteksi pada penggunaan client hotspot (bukan client device).

Rule Firewall Filter Rules

Untuk melock mac address tersebut, kita bisa menggunakan 2 rule filter rules. Rule pertama adalah menerima mac address WR client dan rule kedua adalah menolak seluruhnya. Strategy ini umum digunakan, mungkin anda pun bisa mengerti konsep konfigurasinya. Untuk rule pertama, masukan rule Acceptnya. 

chainnya jelas forward, lalu masukan src mac address pada tab advanced, dan pasti, actionnya accept. Artinya, rule ini mengizinikan mac address tersebut untuk melakukan koneksi ke luar (internet).

Rule kedua adalah menolak semuanya. Konfigurasinya juga mudah, berikan chain forward lalu masukan saja di interface mana paket masuk (ether5 karena ke arah client). Lalu berikan action drop. Artinya, konfigurasi tersebut ditunjukan bahwa penolakan setiap paket. Sedangkan paket sebelumnya akan diterima karena mac address menerima (accept)

 

Dan jika di lihat lagi, maka kedua rule akan seperti penampakan gambar dibawah ini. Mac address yang diterima akan dilanjutkan paketnya, sisanya paket akan di drop. Hal ini bertujuan agar paket selain dari WR yang kita berikan pada klien agar ditolak. Sekedar tambahan, karena client tidak hanya satu, maka rule accept mac address lainnya juga harus ditambahkan. Dan pastikan rule accept harus diletakkan diatas rule "drop any".

 

ARP Reply-Only

Untuk memperkuat keamanannya, kita bisa menggunakan konfigurasi lock ip berdasarkan mac WR tersebut. Caranya menggunakan fitur Arp Reply Only. Cara konfigurasinya, jadikan arp mode sebagai reply only dulu pada interface yang diinginkan.

 

Setelah itu, masukan arp list (statik) pada menu Ip > Arp. Tambahkan rule baru pada arpnya. Berikan address dan mac address yang diinginkan. Tujuan dari konfigurasi dibawah adalah paket arp akan diizinkan jika WR pada klien tersebut memiliki Ip yang sama dengan yang dikonfigurasi pada arp table mikrotik yang kita konfigurasikan.

 

Demikianlah konfigurasi keamanan yang dapat kita terapkan pada jaringan implementasi ini. Semoga bermanfaat untuk anda, sekian dari saya. Saran dan pertanyaan silahkan masukan di komentar. Terima kasih sudah berkunjung. Datang lain kali.

Lab 21 MikroTik - Blok Situs Dengan Menggunakan Address List

Assalamu'alaikum 

Masih di pagi yang sama, kali ini kita akan melanjutkan lab mikrotik kita dan masih di materi firewall. Masih berlanjut dari lab sebelumnya. Kali ini kita coba blok situs menggunakan address list. Tidak jauh berbeda dari lab sebelumnya, namun pada lab ini, kita menggunakan pengelompokan yang diberi nama (address list). Address list sendiri berguna sebagai pengelompokan agar pada filter rules tidak harus mengisi ip-ip yang ada, hanya tinggal menggunakan address list sebagai panggilan.

Tujuannya, agar pada menu filter rules tidak terlalu banyak settingan. Sehingga akan memudahkan mencari firewall mana yang digunakan dan mana yang tidak. Untuk memulainya setting pada tab address list. Lalu tambahkan. Untuk percobaannya kita gunakan situs youtube lagi. Isikan nama untuk penamaan address listnya dan address yang akan dimasukan pada nama address tersebut.
 

Lalu applykan dan tambahkan lagi ip-ip youtube yang lainnya. Supaya ga bocor salah satu ip yang menuju youtubenya. Dan untuk nama dari address listnya gunakan nama yang sama. Agar saat pemblokiran di filter rules, kita hanya menggunakan satu nama untuk seluruh address yang tersetting.  

Lalu seperti yang sudah saya katakan, kita tambahkan settingan filter rulesnya. Ingat, karena kita ingin memblok client yang menuju youtube artinya paket yang menuju youtube tersebut otomatis melewati router. Karena itu gunakan chain forward. Selanjutnya pada tab advanced (tab lebih lanjut), Masukan dst. Address listnya. Gunakan address list yang telah dibut tadi yang telah dijadikan satu nama. Dan terakhir, karena youtube ingin kita blok paketnya. Maka, action yang digunakan adalah drop.

Berdasarkan hasil percobaan yang saya lakukan saat pengetestan, membuka link youtube.com, pada loading pagenya akan terus berputar. Bahkan test ping ke youtube juga tidak bisa.

Update Video

Berikut saya sediakan video beberapa metode fitur mikrotik yang bisa di gunakan untuk blokir website yang ada di internet. 

Demikian penjelasan mengenai konfigurasi bloksitus menggunakan address list, semoga bermanfaat untuk anda, sekian dari saya. Saran dan pertanyaan bisa anda letakkan pada komentar. Terima kasih sudah berkujung.