BAB 4 IMPLEMENTASI SISTEM
4.1 Implementasi Router Mikrotik 4.1.1 Spesifikasi Router Mikrotik
Gambar 4.1 Router Mikrotik yang digunakan Sumber : www.haffytech.indonetwork.co.id
Item
Description
CPU
AR7161 680 MHz Atheros CPU
Memory
256MB DDR onboard memory chip
Root loader Data storage
RouterBOOT, 1Mbit Flash chip 512MB onboard NAND memory chip
Ethernet ports
5 buah 10/100/1000 Mbit/s Gigabit Ethernet port supporting Auto-MDI/X
Serial ports
One DB9 RS232C asynchronous serial port
LEDs
Power, user LED Power over Ethernet: 18..28V DC (except power over datalines)
Power options
Power jack: 10..28V DC Overvoltage protection
Dimensions
116mm x 90mm
Currently supported
RouterOS
Tabel 4.1 Spesifikasi mikrotik
75
76 4.1.2 Router Mikrotik pada Email Server Email server pada DMZ (demilitarized zone) perusahaan menjadi salah satu aset berharga yang perlu dilindungi dari ancaman luar. Oleh karena itu, pemasangan firewall sebelum keluar ke internet maupun ke jaringan internal perusahaan mutlak sangat dibutuhkan. Berikut adalah topologi yang ada pada ruang server di gedung 24
Gambar 4.2 Topologi jaringan di ruang server
Email server diletakkan di luar jangkauan PC Gateway sejak awal, yaitu ketika perusahaan baru memiliki dan memasang email server ini untuk pertama kali. Email server ini menggunakan 2 LAN Card yang terhubung ke jaringan internal dan internet. Untuk jaringan internal, packet keluar dan masuk email server di-filtering oleh PC Gateway. Jadi untuk port email server yang
77 terhubung ke jaringan internal perusahaan sudah terlindungi. Sementara untuk packet keluar dan masuk ke jaringan eksternal (internet), belum ada fitur filtering yang diimplementasikan, packet langsung di-forward menuju router Lintasarta yang hanya memiliki fitur routing tanpa menyediakan fitur firewall seperti filtering dan lain-lain. Oleh karena itu, resiko terhadap ancaman tentunya lebih besar karena tidak memiliki fitur filtering keluar dan masuk antara email server ke internet. Ancaman-ancaman seperti virus, ip spoofing, dan sebagainya sangat besar kemungkinannya untuk masuk ke jaringan perusahaan melalui email server ini. Router firewall adalah solusi yang dipakai untuk mengatasi masalah ancaman ini. Router yang digunakan adalah mikrotik RB 450G. Setting dilakukan secara GUI menggunakan software Winbox dan melalui telnet. Dalam melakukan setting, semua port yang tidak diperlukan ditutup. Hanya port-port tertentu yang diperlukan saja yang dibuka, seperti port 25 untuk protokol SMTP dan port 110 untuk POP3. Untuk masalah kemanan yang lebih advanced, digunakan pendeteksian dini untuk hacking, seperti IP spoofing dan lain-lain. Pengaturan IP address juga memiliki peranan vital dalam pembuatan firewall ini. Pada port eth0/0, digunakan subnet mask /29 untuk menyetarakan IP pada router firewall dengan DMZ. Sementara untuk port eth0/1, digunakan subnet mask /30 (point to point) untuk menyambungkan email server dengan firewall router mikrotik ini. Digunakan subnet masks /30 atau 255.255.255.252 untuk meminimalisasi user yang bisa masuk ke area jaringan ini. Jika menggunakan subnet masks /30,
78 berarti jaringan yang terbentuk antara router firewall mikrotik dengan email server adalah point to point. Dengan demikian, semakin amanlah keberadaan email server, karena hanya router firewall mikrotik inilah yang diijinkan atau memiliki hak akses untuk transfer / receive dari dan ke email server. Pengaturan IP adalah langkah awal dari tindak pencegahan terhadap ancaman-ancaman pihak tak diijinkan yang mencoba mengakses email server tanpa ijin. Selanjutnya port yang tidak terpakai adalah unused, dengan kata lain tidak memiliki IP address, untuk mencegah kemungkinan adanya hacker yang menyusup lewat port-port tersebut. Routing selain secara directly connected ke kedua kaki router, ditambahkan static route yaitu untuk menuju internet (0.0.0.0 dengan subnet mask 0.0.0.0) langsung menuju router milik Lintasarta. Ditambahkan lagi routing untuk menuju ke Plant 1, Plant 2, dan Plant 3 pada routing table yang ada di router firewall mikrotik ini.
79
Gambar 4.3 Topologi jaringan setelah implementasi mikrotik pada email server
Berikut adalah proses bagaimana melakukan setting terhadap router firewall mikrotik (beserta print screen) menggunakan program winbox dari tampilan awal sampai router siap digunakan.
Gambar 4.4 Tampilan awal program winbox
80 Program winbox dipakai untuk melakukan setting terhadap router mikrotik ini. Tampilan program ini adalah GUI, lebih mudah digunakan dibanding setting melalui telnet (port 23). Kekurangannya adalah jika di-remote dari luar, setting menggunakan winbox akan mengalami banyak delay apabila menggunakan internet dengan bandwidth yang pas-pasan. Delay tersebut dikarenakan program winbox melakukan pengiriman data lengkap dari layer 1 sampai layer 7. Berbeda dengan telnet yang langsung masuk layer 4 (port 23) ke bawah sampai layer 1. winbox mengirim data dari layer 7 karena data yang dikirim ada yang berupa aplikasi (winbox menggunakan GUI). Untuk dapat masuk ke layar utama, pada layar login pilih MAC address router mikrotik yang akan di setting. Biasanya IP address router mikrotik yang belum dipakai atau yang masih baru adalah 0.0.0.0, seperti tampak pada gambar di bawah.
Gambar 4.5 Pemilihan berdasarkan mac address
81 Kemudian, ketikkan “admin” pada kolom password, sebagai default password untuk router yang masih baru. Password dapat diganti setelah login. Klik connect untuk masuk ke layar utama.
Gambar 4.6 Pengisian password
Di bawah adalah tampilan utama program winbox. Tidak terlalu rumit, karena berbasis GUI. Berbeda dengan telnet, dimana kita harus mengerti command-command tertentu untuk melakukan setting, pada winbox kita hanya melakukan “klik” dan memilih fitur-fitur yang ingin kita jalankan pada kolom sebelah kiri.
82
Gambar 4.7 Tampilan awal winbox
Klik “interface” pada kolom sebelah kiri, maka akan terlihat bahwa router memiliki 5 port yang dapat di-set IP masing-masing. Untuk keperluan perlindungan terhadap email server, hanya akan digunakan 2 port, yaitu port ether1-public dan port ether 2. Port ether1 akan terhubung ke router CISCO 1841XM milik Lintasarta untuk tersambung ke internet (melalui switch). Port ether2 akan terhubung ke router CISCO 1841XM milik Indosat melalui switch untuk tersambung ke jaringan dalam HO, Plant 1, Plant 2, dan Plant 3. Untuk melakukan setting terhadap masing-masing port secara spesifik, double klik pada port yang akan di-setting. Berikut disertakan print screen yang akan memperjelas keterangan.
83
Gambar 4.8 Tampilan interface yang ada pada router
Ketika port tertentu di-double klik, akan muncul setting advanced yang terdiri dari 4 tabs yaitu general, Ethernet, status, dan traffic. Settingan default bawaan dari router untuk kelima Ethernet tidak diubah karena sudah benar. Berikut print screen ketika dilakukan klik pada ether1-public.
84
Gambar 4.9 Tampilan konfigurasi port secara spesifik untuk ether1-public
Lalu langkah selanjutnya, ketika telah dipastikan bahwa kelima port yang ada pada router berjalan dengan baik, maka port yang tidak perlu harus di-non aktifkan. Port-port tersebut yakni ether3, ether4, dan ether5. Caranya, klik satu kali pada port yang akan ditutup atau di-non aktifkan, lalu klik tanda X berwarna merah di baris atas. Berikut tampilan halaman interface setelah port interface yang tidak digunakan di blok.
85
Gambar 4.10 Port ether3, ether4, ether5 telah di blok
Interface tidak akan berjalan jika tidak memiliki IP address. Oleh karena itu, kedua port interface (ether1 dan ether2) harus diberi IP address. Caranya klik IP pada kolom sebelah kiri, kemudian klik Addresses, seperti pada print screen dibawah.
86
Gambar 4.11 Langkah awal untuk melakukan setting IP address
Berikut adalah tampilan Address List. Masih kosong karena belum dilakukan setting IP address.
87
Gambar 4.12 Tampilan awal Address List
Akan ada 2 IP address yang di-assigned ke dua port. Langkah pertama, klik tanda + berwarna merah di baris atas. Setelah muncul tampilan new address box, settingan IP dapat dilakukan. Untuk yang pertama akan di assigned IP address
public
untuk
terhubung
ke
internet.
IP
addressnya
adalah
202.152.30.194 /29. Untuk yang kedua akan di-assigned IP address private untuk terhubung ke email server. IP addressnya adalah 192.168.112.1 /30. Berikut adalah print screennya.
88
Gambar 4.13 Meng-assign IP publik
Gambar 4.14 Meng-assign IP private
Langkah selanjutnya adalah melakukan setting DNS. Caranya adalah klik IP pada kolom sebelah kanan, lalu klik DNS, seperti pada print screen di bawah.
89
Gambar 4.15 Setting DNS
Lalu klik tanda + berwarna merah, masukkan primary DNS beserta IP nya seperti print screen di bawah.
Gambar 4.16 Cara entry DNS
90 Kemudian masukkan DNS secondary seperti di bawah, caranya sama dengan melakukan klik pada tanda + yang berwarna merah.
Gambar 4.17 Entry DNS
Gambar 4.18 Tampilan DNS
91 Tidak hanya sampai disitu, settingan selanjutnya adalah NAT, dimana IP private dari email server akan dikonversi menjadi IP public sebelum keluar ke internet. IP public yang digunakan adalah 202.152.30.194. Berikut cara setting NAT.
Gambar 4.19 Setting NAT Klik IP, kemudian pilih firewall. Klik tab NAT pada baris bagian atas. Add new rule dengan melakukan klik pada tanda “+” berwarna merah. Akan muncul tampilan seperti gambar di bawah.
92
Gambar 4.20 Penambahan NAT
Pada tab general, ubah chain menjadi scrnat, kemudian out interface menjadi ether1(public). Klik tab action, pilih masquerade. Dengan demikian, selesailah pengaturan NAT pada router mikrotik ini. Email server sudah dapat berkomunikasi dengan internet. Langkah selanjutnya adalah mengisi routing table pada router. Pada router ini, tidak diperlukan banyak routing table. Salah satu Ethernet card pada email server sudah termasuk dalam jaringan internal perusahaan dengan network ID 192.168.111.0, jadi jaringan internal perusahaan, termasuk Plant 1, Plant 2, dan Plant 3, sudah bisa mengakses email server tanpa masalah melalui
93 PC-Gateway. Oleh karena itu, routing table hanya untuk memastikan akses ke internet berjalan lancar.
Gambar 4.21 IP Route Klik IP lalu routes. Klik tanda “+” berwarna merah untuk menambah route list baru. Atur gateway nya. Hanya dua faktor yang penting dalam routing, yaitu destination network address dan next hop device (dalam IP address) yang ditunjukkan pada gambar berikut.
94
Gambar 4.22 Setting IP route
Total ada tiga route list yang terdaftar. Dua lagi merupakan route yang sudah ada saat kita meng-assign IP address private dan IP address public. Dua route ini otomatis terbentuk. Dengan demikian, router sudah dapat digunakan. Proses implementasi dilakukan dengan cepat agar akses ke email server tetap terjaga availabilitynya. Waktu yang dibutuhkan untuk pemasangan seminimal mungkin, sehingga koneksi ke email server tetap terjaga, sekitar 5 menit. Setelah router terpasang, saatnya mengaktifkan fitur firewall. Dalam implementasi firewall ini, dilakukan penutupan port yang tidak perlu.
95
Gambar 4.23 Port yang dibuka
Protokol default yang dibuka adalah port 80 untuk browsing dari email server, port 25 untuk SMTP, port 110 untuk POP3, 23 untuk telnet, port 443 untuk SSH, port 21 untuk FTP. Sementara port lain yang tidak diperlukan, ditutup sama sekali. Jadi tidak ada celah untuk masuk lewat port yang terbuka bagi para hacker. Berikut command yang ditambahkan melalui telnet untuk mencegah ping flood, DoS dan port scanning. / ip firewall filter add chain=input protocol=tcp dst-port=1337 action= add-src-to-addresslist address-list=knock address-list-timeout=15s comment=”” disabled=no add chain=input protocol=tcp dst-port=7331 src-address-list=knock action= addsrc-to-address-list address-list=safe address-list-timeout=15m comment=”” disabled=no
96 add chain=input connection-state=established action=accept comment=”accept established connection packets” disabled=no add chain=input connection-state=related action=accept comment=”accept related connection packets” disabled=no add chain=input connection-state=invalid action=drop comment=”drop invalid packets” disabled=no add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment=”detect and drop port scan connections” disabled=no add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpit comment=”suppress DoS attack” disabled=no add chain=input protocol=tcp connection-limit=10,32 action= add-src-toaddress-list address-list=black_list address-list-timeout=1d comment=”detect DoS attack” disabled=no add chain=input protocol=icmp action=jump jump-target=ICMP comment=”jump to chain ICMP” disabled=no add chain=input action=jump jump-target=services comment=”jump to chain services” disabled=no add chain=input dst-address-type=broadcast action=accept comment=”Allow Broadcast Traffic” disabled=no add chain=input action=log log-prefix=”Filter:” comment=”” disabled=no add chain=input src-address=192.168.110.0/24 action=accept add chain=input src-address=192.168.111.0/26 action=accept add chain=input src-address=192.168.115.0/24 action=accept add chain=input src-address=192.168.0.0/24 action=accept add chain=input src-address=192.168.1.0/24 action=accept add chain=input src-address=192.168.2.0/24 action=accept add chain=input src-address=192.168.3.0/24 action=accept add chain=input src-address=192.168.120.0/24 action=accept add chain=input src-address=192.168.130.0/24 action=accept add chain=input src-address=192.168.140.0/24 action=accept add chain=input src-address=192.168.121.0/24 action=accept add chain=input src-address=192.168.131.0/24 action=accept add chain=input src-address=192.168.141.0/24 action=accept add chain=input src-address=192.168.145.0/24 action=accept add chain=input src-address=192.168.112.0/24 action=accept add chain=input src-address=202.152.30.192/29 action=accept add chain=input action=drop comment=”drop everything else” disabled=no add chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept comment=”0:0 and limit for 5pac/s” disabled=no add chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5 action=accept
97 comment=”3:3 and limit for 5pac/s” disabled=no add chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5 action=accept comment=”3:4 and limit for 5pac/s” disabled=no add chain=ICMP protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept comment=”8:0 and limit for 5pac/s” disabled=no add chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept comment=”11:0 and limit for 5pac/s” disabled=no add chain=ICMP protocol=icmp action=drop comment=”Drop everything else” disabled=no add chain=services src-address-list=127.0.0.1 dst-address=127.0.0.1 action=accept comment=”accept localhost” disabled=no add chain=services protocol=udp dst-port=20561 action=accept comment=”allow MACwinbox ” disabled=no add chain=services protocol=tcp dst-port=2000 action=accept comment=”Bandwidth server” disabled=yes add chain=services protocol=udp dst-port=5678 action=accept comment=” MT Discovery Protocol” disabled=no add chain=services protocol=tcp dst-port=161 action=accept comment=”allow SNMP” disabled=no add chain=services protocol=tcp dst-port=179 action=accept comment=”Allow BGP” disabled=yes add chain=services protocol=udp dst-port=5000-5100 action=accept comment=”allow BGP” disabled=yes add chain=services protocol=udp dst-port=123 action=accept comment=”Allow NTP” disabled=yes add chain=services protocol=tcp dst-port=1723 action=accept comment=”Allow PPTP” disabled=yes add chain=services protocol=gre action=accept comment=”allow PPTP and EoIP” disabled=yes add chain=services protocol=tcp dst-port=53 action=accept comment=”allow DNS request” disabled=no add chain=services protocol=udp dst-port=53 action=accept comment=”Allow DNS request” disabled=no add chain=services protocol=udp dst-port=1900 action=accept comment=”UPnP” disabled=yes add chain=services protocol=tcp dst-port=2828 action=accept comment=”UPnP” disabled=yes add chain=services protocol=udp dst-port=67-68 action=accept comment=”allow DHCP” disabled=yes add chain=services protocol=tcp dst-port=8080 action=accept comment=”allow Web Proxy” disabled=yes add chain=services protocol=ipencap action=accept comment=”allow IPIP” disabled=yes add chain=services protocol=tcp dst-port=443 action=accept comment=”allow https for Hotspot” disabled=yes
98 add chain=services protocol=tcp dst-port=1080 action=accept comment=”allow Socks for Hotspot” disabled=yes add chain=services protocol=udp dst-port=500 action=accept comment=”allow IPSec connections” disabled=yes add chain=services protocol=ipsec-esp action=accept comment=”allow IPSec” disabled=yes add chain=services protocol=ipsec-ah action=accept comment=”allow IPSec” disabled=yes add chain=services protocol=udp dst-port=520-521 action=accept comment=”allow RIP” disabled=yes add chain=services protocol=ospf action=accept comment=”allow OSPF” disabled=yes add chain=services action=return comment=”” disabled=no add chain=forward connection-state=established comment=”allow established connections” add chain=forward connection-state=related comment=”allow related connections” add chain=forward connection-state=invalid action=drop comment=”drop invalid connections” add chain=virus protocol=tcp dst-port=135-139 action=drop comment=”Drop Blaster Worm” add chain=virus protocol=udp dst-port=135-139 action=drop comment=”Drop Messenger Worm” add chain=virus protocol=tcp dst-port=445 action=drop comment=”Drop Blaster Worm” add chain=virus protocol=udp dst-port=445 action=drop comment=”Drop Blaster Worm” add chain=virus protocol=tcp dst-port=593 action=drop comment=”________” add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment=”________” add chain=virus protocol=tcp dst-port=1080 action=drop comment=”Drop MyDoom” add chain=virus protocol=tcp dst-port=1214 action=drop comment=”________” add chain=virus protocol=tcp dst-port=1363 action=drop comment=”ndm requester” add chain=virus protocol=tcp dst-port=1364 action=drop comment=”ndm server” add chain=virus protocol=tcp dst-port=1368 action=drop comment=”screen cast” add chain=virus protocol=tcp dst-port=1373 action=drop comment=”hromgrafx” add chain=virus protocol=tcp dst-port=1377 action=drop comment=”cichlid” add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment=”Worm”
99 add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Bagle Virus” add chain=virus protocol=tcp dst-port=2283 action=drop comment=”Drop Dumaru.Y” add chain=virus protocol=tcp dst-port=2535 action=drop comment=”Drop Beagle” add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Drop Beagle.C-K” add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment=”Drop MyDoom” add chain=virus protocol=tcp dst-port=3410 action=drop comment=”Drop Backdoor OptixPro” add chain=virus protocol=tcp dst-port=4444 action=drop comment=”Worm” add chain=virus protocol=udp dst-port=4444 action=drop comment=”Worm” add chain=virus protocol=tcp dst-port=5554 action=drop comment=”Drop Sasser” add chain=virus protocol=tcp dst-port=6881-6889 action=drop comment=”________” add chain=virus protocol=tcp dst-port=8866 action=drop comment=”Drop Beagle.B” add chain=virus protocol=tcp dst-port=9898 action=drop comment=”Drop Dabber.A-B” add chain=virus protocol=tcp dst-port=10000 action=drop comment=”Drop Dumaru.Y” add chain=virus protocol=tcp dst-port=10080 action=drop comment=”Drop MyDoom.B” add chain=virus protocol=tcp dst-port=12345 action=drop comment=”Drop NetBus” add chain=virus protocol=tcp dst-port=17300 action=drop comment=”Drop Kuang2″ add chain=virus protocol=tcp dst-port=27374 action=drop comment=”Drop SubSeven” add chain=virus protocol=tcp dst-port=65506 action=drop comment=”Drop PhatBot, Agobot, Gaobot” add chain=forward action=jump jump-target=virus comment=”jump to the virus chain” add chain=forward protocol=icmp comment=”allow ping” add chain=forward protocol=udp comment=”allow udp” add chain=forward src-address=63.219.6.0/24 action=accept comment=”Allow access to internet from known network” add chain=forward src-address=192.168.0.0/26 action=accept add chain=forward src-address=192.168.1.0/24 action=accept add chain=forward src-address=192.168.2.0/24 action=accept add chain=forward src-address=192.168.3.0/24 action=accept
100 add chain=forward src-address=192.168.110.0/24 action=accept add chain=forward src-address=192.168.111.0/24 action=accept add chain=forward src-address=192.168.115.0/24 action=accept add chain=forward src-address=192.168.120.0/24 action=accept add chain=forward src-address=192.168.121.0/24 action=accept add chain=forward src-address=192.168.130.0/24 action=accept add chain=forward src-address=192.168.131.0/24 action=accept add chain=forward src-address=192.168.141.0/24 action=accept add chain=forward src-address=192.168.140.0/24 action=accept add chain=forward src-address=192.168.145.0/24 action=accept add chain=forward src-address=192.168.112.0/24 action=accept add chain=forward src-address=202.152.30.192/29 action=accept add chain=forward action=drop comment=”drop everything else”
4.1.3 Router Mikrotik sebagai pengganti PC Gateway Implementasi router mikrotik pada PC Gateway dilakukan dengan mengganti gateway yang sebelumnya menggunakan PC, dengan router mikrotik sehingga kecepatan di dalam jaringan dapat lebih meningkat. PC Gateway ini diganti juga dikarenakan seringnya PC Gateway ini down. Router mikrotik yang akan dipakai sama dengan router firewall yang dipakai pada email server, yaitu tipe RB-450G
101
Gambar 4.24 Topologi jaringan setelah implementasi mikrotik pada gateway
Untuk pengaturan router mikrotik pengganti PC Gateway ini, urutan pengaturannya sama seperti pengaturan router mikrotik sebagai firewall pada email server, hanya parameter-parameternya saja yang berbeda. Pertama, interface yang dibuka ada lima port, dengan masing-masing port adalah seperti gambar di bawah. Tidak digunakan sub IP disini dikarenakan fitur yang tidak memadai pada router mikrotik ini.
102
Gambar 4.25 Interfaces mikrotik gateway
Setelah interface dibuka, IP address di-assign pada masing-masing interface seperti pada gambar di bawah. IP address yang di assign adalah 192.168.111.244, 192.168.110.244, 192.168.115.244, dan IP publicnya yaitu 202.152.30.195
103
Gambar 4.26 Assigned IP Berikut cara meng-assign IP address pada tiap interface.
Gambar 4.27 Cara assign IP address
104 Pada DNS, yang digunakan adalah sebagai berikut
Gambar 4.28 DNS interface
Setelah melakukan pengaturan DNS hal berikutnya yang dilakukan ialah melakukan konfigurasi pada NAT, yang dilakukan pada gateway ini sama persis dengan konfigurasi pada router firewall sebelumnya. Pada tampilan routing table, untuk menambahkan rule dan pengaturan lainnya sama caranya dengan pengaturan sebelumnya, yaitu dengan mengklik tanda ‘+’ berwarna merah yang tampak seperti gambar berikut.
105
Gambar 4.29 Assigned routing table
Pada router mikrotik yang berperan sebagai gateway ini juga diberikan pengaturan firewall yang akan memberikan keamanan pada jaringan. Pengaturan firewall yang dilakukan sama dengan pengaturan firewall yang dilakukan pada router mikrotik firewall email server.
106 4.2 Backup Router 4.2.1 Spesifikasi Backup Router
Gambar 4.30 Router Huawei yang digunakan Sumber : (kiri) www.huawei.com/cn/products/datacomm/datacomm/zhcn/detailitem/1259_img/Eudemon100.JPG (kanan) www.aslanasia.net/data/ar28_9.gif
• Spesifikasi Router Huawei AR 28-09 Item
Description 1 console port 1 AUX port
Fixed interface
1 synchronous/asynchronous serial interface 1 x 10/100 Mbps Ethernet interface 1 MIM slot
Slot
2 SIC slots
Boot ROM
512 KB
SDRAM
128 MB
Flash
32 MB
Weight
2.5 kg (5.5 lb)
Dimensions (H x W x D)
79.4 x 376.2 x 287.9 mm (3.1 x 14.8 x 11.3 in)
Power supply
Input
Rated voltage: 100 VAC to 240 VAC; 50/60 Hz Maximum tolerance: 90 VAC to 264 VAC; 47/63 Hz
107 Input current: 1 A to 0.5 A
Output
Output voltage: 12 VDC Output current: 4 A
System power consumption
50 W
Operating temperature
0°C to 40°C (32°F to 104°F)
Storage temperature
–40°C to 70°C (–40°F to 158°F)
Relative humidity (noncondensing)
5% to 90%
Tabel 4.2 Spesifikasi huawei AR 28-09
• Spesifikasi Router Huawei AR 28-11
Item
AR 28-10
AR 28-11
2 SIC slots
Slot
1 MIM slot Fixed interface
1 x 10/100 Mbps Ethernet interface
2 x 10/100 Mbps Ethernet interfaces
1 synchronous / asynchronous serial interface (DB-50) 1 AUX port
1 synchronous / asynchronous serial interface (DB-50 connector for AR 28-11)
1 console port
1 AUX port 1 console port
Boot ROM
512 KB
SDRAM
Default: 128 MB Max: 256 MB 32 MB
Flash Memory Input voltage
AC
DC
Rated voltage:100 VAC to 240 VAC; 50/60 Hz Maximum tolerance: 85 VAC to 264 VAC; 47/63 Hz Rated voltage: –48 VDC to –60 VDC Maximum tolerance: –40 VDC to –75 VDC
Maximum power
60 W
Weight
6 kg (13.2 lb)
108 Dimensions (H x W x D)
44.4 x 442 x 315 mm (1.8 x 17.4 x 12.4 in)
Operating temperature
0°C to 40°C (32°F to 104°F)
Storage temperature
–40°C to 70°C (–40°F to 158°F)
Relative humidity (noncondensing)
5% to 90%
Tabel 4.3 Spesifikasi Huawei AR 28-11
4.2.2 Implementasi Backup Router Untuk mendukung availability jika sewaktu-waktu router mengalami masalah maka disiapkan router untuk menggantikan router yang bermasalah, hal ini juga merupakan permintaan dari manager IT PT.Arwana Citramulia sekaligus untuk memnfaatkan 2 router yang belum dipakai, yaitu router Huawei AR 28-09 dan Huawei AR28-11. Router backup akan ditempatkan pada routerrouter mikrotik yang diimplementasikan, baik router mikrotik pada email server, maupun pada mikrotik yang menjadi gateway. Untuk merealisasikan hal diatas maka konfigurasi dari router backup akan disamakan dengan router yang sedang berjalan, tentu saja fitur-fitur yang ada pada router backup tidak sebaik router inti yang sedang berjalan dan dipakai sekarang.
109
Gambar 4.31 Topologi jaringan setelah implementasi backup router
4.3 Implementasi Software Network Monitoring Seperti yang telah ditentukan pada bab sebelumnya, software yang digunakan sebagai aplikasi yang dapat memonitor jaringan yang ada pada PT. Arwana Citramulia ialah spiceworks. System requirements yang dibutuhkan untuk menginstal software ini ialah sebagai berikut : • Windows XP Pro SP2, Windows 2003 Server • 700 MHz Pentium class processor • 512 MB RAM
110 Sedangkan browser requirements yang dibutuhkan ialah : • Firefox 1.5 - 2.0 • Internet Explorer 6.0 - 7.0
4.3.1. Installasi Spiceworks Untuk menginstal spiceworks, download software spiceworks di www.spiceworks.com lalu jalankan file .exe tersebut.
Gambar 4.32 Logo Spiceworks
Gambar 4.33 Tampilan awal instalasi spiceworks
111
Gambar 4.34 Lokasi penyimpanan file spiceworks
Gambar 4.35 Proses instalasi
Setelah selesai melakukan proses instalasi, jalankan spiceworks dengan mengklik icon spicework pada desktop yang nantinya akan secara otomatis membuka web melalui internet explorer atau mozilla firefox. Maka akan muncul halaman login sebagai berikut.
112
Gambar 4.36 Halaman login
4.3.2. Pengaturan Spiceworks Hal pertama yang dilakukan setelah login ke dalam spiceworks, melihat menu network scan pada menu setting. Pada awal tampilan, Scan Entries hanya terdapat range IP 192.168.111.1-254 saja sehingga spiceworks tidak dapat memonitoring keseluruhan jaringan PT. Arwana karena PT. Arwana juga memiliki range IP 192.168.110.1-254 dan 192.168.115.1-254. pada menu ini ditambahkan range IP tersebut sehingga spiceworks dapat memonitoring seluruh jaringan PT. Arwana. Selain mengatur IP range yang discan, dilakukan juga beberapa pengaturan seperti yang ditampilkan pada gambar. Berikut tampilan pengaturan network scan.
113
Gambar 4.37 Halaman network scan pada menu setting
114 Selain melakukan pengaturan pada network scan, dilakukan juga pengaturan pada menu monitors & alerts yang juga terdapat pada menu setting.
Gambar 4.38 Halaman monitors & alerts pada menu setting
4.3.3. Tampilan Spiceworks Pada spiceworks terdapat 4 menu utama, yaitu dashboard, inventory, helpdesk, community.
115 1. Dashboard Pada dashboard terdapat beberapa tampilan yang berisi informasiinformasi seperti :
Gambar 4.39 Halaman dashboard
Environment charts Pada gambar dapat dilihat informasi mengenai warnings ataupun errors yang terjadi pada jaringan berdasarkan event history yang dibagi sesuai tanggal
Alerts Pada bagian ini ditampilkan hal-hal yang dapat membahayakan atau mengganggu jalannya jaringan dalam PT. Arwana sehingga melalui tampilan ini, staff IT dapat segera mengatasi permasalahan yang terjadi didalam alerts
116 tersebut. Salah satu alerts yang dapat dilihat ialah “G: was < 25% free on file server” yang menunjukkan memory harddisk yang sudah hampir penuh.
Security Center Tampilan ini menunjukkan status antivirus yang terdapat dalam jaringan sehingga dapat diketahui antivirus apa yang terpasang di jaringan, antivirus yang belum diupdate, dan device mana yang belum ada antivirus.
Spiceworks News Berisi informasi-informasi terbaru yang disediakan spiceworks
Timeline Berisi aktivitas-aktivitas yang terjadi didalam jaringan seperti device baru yang terdeteksi, memory free didalam device, update yang dilakukan, dan lain-lain
2. Inventory Pada menu Inventory, terdapat tampilan icon-icon yang terbagi berdasarkan jenis device, antara lain router, server, workstation, dan semuanya itu tergabung didalam icon device yang berisi seluruh device yang ada di jaringan PT. Arwana. Semua device terdeteksi melalui setiap IP yang ada di dalam jaringan sehingga device router terdeteksi berdasarkan port yang aktif. Pada gambar berikut dapat terlihat device-device yang ada dengan total terdapat 77 device.
117
Gambar 4.40 Halaman inventory
118 Berikut adalah tampilan router yang terdeteksi berdasarkan IPnya.
Gambar 4.41 Tampilan router
119 Berikut adalah tampilan server yang ada.
Gambar 4.42 Tampilan server Berikut adalah tampilan workstation yang sebagian besar dalam bentuk PC yang dipakai oleh para staff dan karyawan di PT. Arwana yang dapat dimonitoring berdasarkan IP.
120
Gambar 4.43 Tampilan workstation
Untuk melihat informasi device yang ingin dilihat, cukup dengan mengarahkan pointer mouse ke icon yang ingin dilihat, maka akan muncul informasi berupa MAC address, Vendor, OS yang dipakai, Memory, dan Serial.
121
Gambar 4.44 Tampilan informasi device
Jika icon tersebur diklik, maka spiceworks akan menampilkan general info dari device tersebut. Gambar di bawah ini merupakan contoh general info dari email server yang dimiliki PT. Arwana :
122
Gambar 4.45 Tampilan general info device
General info yang ada dapat di update atau di edit dengan mgklik icon seperti gambar pensil yang ada dibagian kanan didekat informasi IP. Maka setiap informasi yang ada dapat diganti sesuai kebutuhan. Jika sudah selesai, tekan save pada bagian bawah.
123
Gambar 4.46 Tampilan edit general info
3. Help Desk Pada menu help desk berisi tutorial-tutorial dan informasi mengenai spicework yang dikirimkan secara berkala oleh pihak spiceworks. Selain itu didalam menu help desk juga dapat melakukan design untuk user portal.
4. Community Menu ini berupa forum sehingga dapat melakukan diskusi mengenai topik yang ada, maupun membuka topik baru mengenai spiceworks. Dalam Community terdapat menu Ask a Question, Discussion Group, Ratings & Reviews, Extensions Center, How-tos, Whitepapers.
124 4.3.4. Analisis Cara Kerja Spiceworks Spiceworks melakukan scan seluruh jaringan dengan menggunakan remote management protocols, sehingga hanya perlu menginstalnya di satu komputer.
Langkah Spiceworks melakukan scan jaringan secara otomatis : •
Active Directory diakses Jika digunakan, dan Spiceworks memiliki akses, Spiceworks akan memeriksa Active Directory untuk mendapatkan inventarisasi aset pada jaringan. Spiceworks menggunakan info ini (alamat IP, sistem operasi, tingkat service pack, nama mesin) untuk mengisi informasi perangkat, bila perangkat ditemukan.
•
NetBIOS diakses NetBIOS diakses untuk memperoleh informasi sebanyak mungkin.
•
Alamat IP dalam jangkauan jaringan dilakukan ping Spiceworks menentukan alamat IP yang memiliki mesin online dan yang kosong.
•
Mesin diidentifikasi Mesin yang merespon ping diidentifikasi berdasarkan port yang dapat terhubung. Spiceworks akan mencoba untuk terhubung menggunakan SNMP, WMI, SSH, SIP, MAC address, kemudian HTTP. Jika semua hal tersebut gagal, Spiceworks akan menggunakan informasi terbatas yang diterima dari NetBIOS dan ping untuk mengidentifikasi perangkat
125 menggunakan Active Directory. Perangkat ini hanya akan memiliki informasi yang terbatas (sistem operasi, service pack level, serial number) yang terdapat dalam Active Directory. •
Informasi dikumpulkan Menggunakan protokol yang tepat dan kredensial, Spiceworks akan mengumpulkan informasi tergantung pada jenis mesin.
•
Mesin diklasifikasikan Berdasarkan informasi yang diperoleh, Spiceworks akan mengkategorikan mesin yang dimiliki.
•
Device dikelompokkan Setelah scan, Spiceworks akan menempatkan perangkat ke dalam kelompok-kelompok seperti Workstation, Server, atau Printer. Selain itu juga dapat membuat grup kustom berdasarkan kriteria sendiri.
Ports yang Digunakan Untuk Mengidentifikasi Devices : Spiceworks terhubung ke port untuk mengidentifikasi mesin yang merespon ping. •
135 (WMI) : untuk mendeteksi Windows.
•
22 (SSH) : untuk mendeteksi Unix / Linux.
•
16992 (Intel AMT SOAP / HTTP) : untuk mendeteksi status vPro. Hal ini dilakukan dengan memeriksa respon HTTP pada port tersebut.
•
9100 (Jet Direct) : untuk mendeteksi printer.
•
5060 (SIP) : untuk mendeteksi IP phones.
126 •
80 (HTTP) : untuk mendeteksi server, VMware, dan perangkat NAS.
•
161 (SNMP) : untuk mendeteksi perangkat jaringan seperti printer, switch, dan lain-lain.
•
5800 (VNC HTTP) : untuk mendeteksi jika perangkat mendukung akses remote menggunakan VNC.
Kriteria Klasifikasi Devices : •
Network Devices: Mesin yang merespon SNMP, seperti router, hub, dan switch. Banyak router baru menggunakan SSH, tetapi Spiceworks belum mampu mengumpulkan informasi dengan cara ini.
•
Printer: Printer yang merespon SNMP, HTTP, atau Jet protokol langsung.
•
VOIP: Mesin yang merespon ke port SIP
•
Laptop: Mesin yang merespon port WMI atau SSH dan ditemukan memiliki baterai terpasang.
•
Desktop: Mesin yang merespon port WMI atau SSH, tetapi tidak memiliki baterai terpasang dan tidak menjalankan sistem operasi server.
•
Server: Mesin yang merespon port WMI, SSH, atau HTTP dan ditemukan akan menjalankan sistem operasi server, seperti Linux, Windows Server, atau VMware.
•
Unknowns: Mesin yang tidak memiliki port terbuka, dan tidak dapat diidentifikasi dengan Active Directory.
127 4.4 Testing Untuk menilai seberapa efisien hasil implementasi dari pemasangan router mikrotik sebagai gateway dan juga sebagai firewall pada email server, maka dilakukan testing yang sederhana sebagai berikut : Pada Gateway Untuk melihat pengaruh implementasi router mikrotik pada gateway, dilakukan testing berupa pengukuran speedtest yang dapat dilihat hasilnya sebagai berikut.
Gambar 4.47 Gateway sebelum implementasi
Gambar 4.48 Gateway setelah implementasi
128 Dapat dilihat bahwa dari hasil speedtest tersebut, terdapat peningkatan kecepatan dari Writing (mengirim data) sebesar 3.5% dan Reading (menerima data) sebesar 69.7%, sehingga rata-rata penigkatan kecepatannya adalah 36.6%. Pada Firewall Email Server Untuk dapat mengetahui tingkat keamanan setelah implementasi firewall, dilakukan telnet ke IP 192.168.111.244 melalui command prompt. Sebelum implementasi, telnet tersebut dapat dilakukan untuk masuk ke konfigurasi, tetapi setelah dilakukan implementasi, telnet tidak dapat dilakukan kembali karena port 23 dan port-port lain yang tidak dipakai telah ditutup.
Gambar 4.49 Telnet untuk testing firewall 4.5 Training Setelah melakukan implementasi jaringan seperti yang telah dibahas, dilakukan juga training yang pesertanya ialah seluruh department IT. Training ini bertujuan untuk menjelaskan beberapa hal yang dilakukan. Berikut adalah hal-hal yang dipresentasikan :
Topologi jaringan yang ada di PT. Arwanan Citramulia
Routing table dan IP route pada router yang digunakan
129
Gateway
Fitur firewall dan cara pengaturan
Cara implementasi dan perancangan router baru di dalam jaringan
Subnet dan IP Addressing
Network troubleshooting
Cara mengkonfigurasi router mikrotik
Pengetahuan umum Networking
Training ini diikuti dan mendapatkan respon positif dari para peserta yang datang, terlihat dari banyaknya pertanyaan yang diajukan oleh peserta, serta kehadiran dan pengarahan yang dilakukan oleh Corporate IT Manager PT. Arwana Citramulia pada akhir training. Berikut adalah beberapa dokumentasi yang dilakukan pada training tersebut :
Gambar 4.50 Presentasi melalui slide
130
Gambar 4.51 Presentasi melalui whiteboard
Gambar 4.52 Sesi sharing (tanya jawab)
4.6 Evaluasi Setelah melakukan implementasi router mikrotik sebagai firewall, implementasi mikrotik pada gateway, implementasi backup router dan spiceworks sebagai software network monitoring didapatkan hasil sebagai berikut :
131 • Traffic yang keluar dan masuk ke jaringan external (internet) harus melewati router mikrotik yang sudah dipasang fitur filtering seperti access list control, penutupan port yang tidak dipakai, dan NAT. Oleh karena itu, resiko ancaman terhadap data yang keluar dan masuk seperti virus, ip-spoofing, dan sebagainya antara email server ke internet dapat diminimalkan. • Setelah penggantian pc gateway oleh router mikrotik kinerja jaringan dalam mengakses internet meningkat karena performa routing yang lebih baik. • Dengan implementasi router backup maka apabila terjadi error pada router gateway ataupun router firewall dapat segera diatasi tanpa harus menunggu lama untuk perbaikan router yang error • Manager IT sudah dapat melihat traffic yang berjalan di jaringan HO pada PT. Arwana, komputer-komputer yang aktif beserta info tentang komputer tersebut.
