No title

BAB V. IMPLEMENTASI DAN PENGUJIAN 5.1.Implementasi Jaringan Tahap implementasi jaringan adalah tahap kelanjutan dari tahap perancangan jaringan. Implmentasi dilakukan sebagai usaha untuk mewujudkan jaringan yang dirancang. Langkah-langkah dari proses implementasi adalah urutan dari kegiatan awal sampai kegiatan akhir yang harus dilakukan dalam mewujudkan jaringan yang dirancang. Hasil dari tahapan implementasi ini adalah kombinasi antara Mikrotik dan Fortigate untuk membatasi hak akses jaringan yang dapat berjalan dengan baik.

5.1.1.Ruang Lingkup Implementasi Ruang lingkup dalam tahap implementasi penelitian ini mencakup proses rekayasa alur paket yang melewati router mikrotik dan Fortigate sehingga dapat dibuat aturan firewall untuk membatasi hak akses jaringan.

5.1.2.Lingkungan Perangkat Lunak Selama proses implementasi ada beberapa perangkat lunak yang digunakan. Perangkat lunak disini digunakan untuk melakukan konfigurasi router, baik router Mikrotik maupun router Fortigate. Untuk melakukan konfigurasi router Mikrotik menggunakan perangkat lunak Winbox. Dan untuk melakukan konfigurasi router Fortigate menggunakan web browser Google Chrome. Perangkat lunak yang digunakan pada router mikrotik menggunakan firmware versi 6.38.5 dimana versi tersebut merupakan versi yang terbaru pada saat implementasi dilakukan. Sedangkan untuk perangkat lunak yang digunakan pada router Fortigate menggunakan FortiOS v5.2.10 Build 742 yang merupakan firmware terbaru dari tipe Fortigate 200B.

34

http://digilib.mercubuana.ac.id/

5.1.3.Spesifikasi Perangkat Keras Yang Digunakan 5.1.3.1.Mikrotik RouterBoard Mikrotik RouterBoard yang digunakan adalah RB1100AHx2 yang memiliki spesifikasi sebagai berikut : Product Code Architecture CPU

RB1100AHX2 PPC Freescale P2020 1066MHz Dual Core Current Monitor No Main Storage/NAND 64MB RAM 1.5GB SFP Ports 0 LAN Ports 13 Gigabit Yes Switch Chip 2 MiniPCI 0 Integrated Wireless No MiniPCIe 0 SIM Card Slots No USB No Memory Cards 1 Memory Card Type MicroSD Power Jack 110/220V 802.3af Support No POE Input 10-24VDC POE Output No Serial Port DB9/RS232 Voltage Monitor Yes Temperature Sensor Yes Dimentions 1U case: 45x75x440mm Operating System RouterOS Temperature Range -20C .. +45C RouterOS License Level6 Tabel 5.1 – Spesifikasi RouterBoard 1100 AHx2

Gambar 5.1 – Perangkat RouterBoard 1100 AHx2 35


5.1.3.2.Fortigate 200B Fortigate yang digunakan adalah Fortigate 200B yang memiliki spesifikasi sebagai berikut : Hardware Specifications 10/100/1000

FortiASIC

NP2- 4

Accelerated Interfaces (Copper,

RJ-45) 10/100/1000 Interfaces (Copper,

4

RJ-45) 10/100 Switch Interfaces (Copper,

8

RJ-45) Console (Copper, RJ-45)

1

USB Interfaces

3

FSM Storage Bay

1 Dimensions

Height x Width x Length (in)

1.75 x 17 x 11.6 in

Height x Width x Length (cm)

4.45 x 43.2 x 29.35 cm

Weight

9 lbs 13 oz (4.45 kg)

Rack Mountable

Yes Environment

Power Required

100-240 VAC, 60-50 Hz

Power Consumption (AVG)

58W

Operating Temperature

(0 – 40 deg C) System Performance

36


Firewall Throughput (512/1518

5 Gbps

byte UDP packets) IPS Throughput

500 Mbps

Antivirus Throughput

95 Mbps

Firewall Policies (Max)

6000

Unlimited User Licenses

Yes

Tabel 5.2 – Spesifikasi Fortigate 200B

Gambar 5.2 – Perangkat Fortigate 200B

5.1.4.Konfigurasi Pertama yang perlu dilakukan adalah pembagian alamat IP yang akan digunakan oleh pengguna. Berdasarkan banyaknya pengguna dan topologi jaringan yang sudah dirancang, kantor PT Trisinar Indopratama memiliki gedung dengan empat lantai sehingga akan dibuat VLAN untuk masing-masing lantai. Pembagian alamat IP dapat dilihat pada Tabel 5.3 berikut.

Perangkat

Keterangan

Interface

Alamat IP

WAN

192.168.2.2/24

LAN

192.168.20.1/30

RB 1100AHx2

Ether1-WAN

192.168.20.2/30

Terhubung ke Fortigate 200B

Terhubung ke Router internet Fortigate 200B

gateway Terhubung ke Router Mikrotik

Mikrotik RB 1100Hx2

Ether2VLAN21

Sebagai gateway jaringan 192.168.21.1/24

lantai 1

37


Sebagai gateway jaringan

Ether2VLAN22

192.168.22.1/24

lantai 2 Sebagai gateway jaringan

Ether2VLAN23

192.168.23.1/24

lantai 3 Sebagai gateway jaringan

Ether2VLAN24

192.168.24.1/24

lantai 4

Tabel 5.3 – Pembagian alamat IP

5.1.4.1.Konfigurasi Mikrotik a) DHCP Server Dalam kondisi sistem yang berjalan saat ini pengguna mendapat alamat IP masih secara manual, Network Administrator harus memberikan alamat IP satu persatu pada setiap perangkat yang terhubung

ke

jaringan.

Dalam

sistem

yang

baru

akan

diimplementasikan setiap perangkat yang terkoneksi ke dalam jaringan mendapatkan alamat IP secara otomatis. Maka dari itu perlu dibuat DHCP Server pada Mikrotik RB1100AHx2. Dimulai dengan membuat DHCP Server pada jaringan lantai 1, Langkah-langkah dalam konfigurasi DHCP Server adalah sebagai berikut : 

Jika dikonfigurasi menggunakan Winbox, dapat dilakukan dengan cara Klik menu IP > DHCP Server > Tombol DHCP Setup. Kemudian pilih interface yang akan dijadikan DHCP Server.

Gambar 5.3 -

DHCP Server Interface

38




Selanjutnya adalah memilih alamat jaringan

Gambar 5.4 

DHCP Address Space

Setelah memilih alamat jaringan, kemudian pilih gateway.

Gambar 5.5 - Gateway untuk jaringan DHCP 

Klik next, dan isikan rentang alamat IP yang akan disediakan untuk pengguna.

Gambar 5.6 – Rentang IP untuk jaringan DHCP

39




Langkah selanjutnya adalah mengisi DNS server.

Gambar 5.7 – DNS Server untuk jaringan DHCP 

Tentukan juga batas waktu penggunaan IP yang diberikan DHCP Server.

Gambar 5.8 – Lease time DHCP Server 

Konfigurasi DHCP Selesai.

Gambar 5.9 – Konfirmasi konfigurasi DHCP berhasil Setting DHCP Server untuk VLAN21 sudah selesai. Langkah yang sama dilakukan juga untuk membuat DHCP Server untuk VLAN22, VLAN23, dan VLAN24.

Sampai pada tahapan ini, konfigurasi

DHCP Server telah selesai.

40


b) Address list Setiap alamat IP yang sudah terhubung ke jaringan nantinya akan dimasukan ke Address List. Fungsi Address list ini adalah untuk membuat group akses yang dipakai untuk membedakan hak akses pengguna. Address list yang dibuat adalah seperti berikut: 

AksesIntranet = Untuk pengguna yang hanya mengakses intranet.



AksesInternet = Untuk pengguna yang hanya mengakses internet.



AksesIntranet&Internet = Untuk pengguna yang mengakses intranet dan internet.

c) Mangle Mangle berfungsi untuk menandai paket data yang melewati router. Tujuan diberikannya tanda (mark) adalah agar paket data mudah dikenali saat menerapkan filter pembatasan hak akses. Dalam penggunaan mangle yang tepat, perlu diketahui arah dan tujuan paket data, jenis-jenis protocol, source/destination port maupun connection state dari sebuah paket data. d) Connection Marking Untuk menandai koneksi pada mikrotik konfigurasinya adalah sebagai berikut :  Menandai koneksi intranet 

Menggunakan winbox, Masuk menu IP > Firewall > Mangle



Klik tombol “+” untuk menambah mangle baru lalu pada tab General isikan seperti Gambar 5.10

41


Gambar 5.10 – Pengaturan Connection Mark Intranet (Tab:General) Parameter Chain : prerouting berarti koneksi yang akan masuk ke router. Kemudian Src. Address : 192.168.0.0/16 , berarti koneksi yang berasal dari semua IP yang ada di dalam subnet tersebut. Dan Dst. Address : 192.168.0.0/16 berarti koneksi yang menuju ke semua IP yang ada di dalam subnet tersebut.

Subnet 192.168.0.0/16 dipilih sebagai subnet yang

mewakili semua IP internal di yang ada di dalam jaringan PT. Trisinar Indopratama. Bisa diartikan subnet tersebut adalah Internal IP. 

Pengaturan selanjutnya ada di tab “Action” yang isinya adalah sebagai berikut :

Gambar 5.11 – Pengaturan Connection Mark Intranet (Tab:Action)

42


Action : mark connection berarti aksi dari mangle tersebut akan menandai koneksi. Kemudian pada parameter Intranet_Connection

berarti

koneksi

New Connection Mark : akan

ditandai

sebagai

Intranet_Connection. Dibawahnya terdapat ceklist Passtrough yang artinya setelah action di mangle ini dilaksanakan, traffik akan di teruskan ke mangle selanjutnya. Secara singkat konfigurasi tersebut dapat dibaca seperti ini : Koneksi yang masuk berasal dari IntranetIP menuju IntranetIP akan ditandai sebagai Intranet_Connection.

 Menandai koneksi internet 

Masuk menu IP > Firewall > Mangle




Gambar 5.12 - Pengaturan Connection Mark Internet (Tab:General) Konfigurasi untuk menandai koneksi internet hampir sama dengan konfigurasi untuk menandai koneksi intranet. Yang membedakan adalah adanya tambahan tanda seru (!) yang berarti not/bukan

pada parameter Dst.

Address : !192.168.0.0/16.

43





Gambar 5.13 – Pengaturan Connection Mark Internet (Tab:Action) Secara singkat konfigurasi tersebut dapat dibaca seperti ini : Koneksi yang masuk berasal dari IntranetIP menuju bukan IntranetIP akan ditandai sebagai Internet_Connection. Sampai tahap ini proses menandai koneksi sudah selesai. e) Packet Marking Dari koneksi yang sudah ditandai sebagai koneksi intranet maupun koneksi internet selanjutnya akan digunakan untuk menandai paket. Packet mark digunakan untuk menandai keseluruhan paket data yang keluar dan masuk dari komputer pengguna. Langkah-langkah untuk menandai paket pada Mikrotik adalah sebagai berikut.  Menandai paket intranet 





44


Gambar 5.14 – Pengaturan Packet Mark Intranet (Tab:General) Chain yang digunakan masih prerouting, kemudian pada parameter Connection Mark pilih Intranet_Conection yang sebelumnya sudah dibuat. 


Gambar 5.15 – Pengaturan Packet Mark Intranet (Tab:Action) Action : mark packet berarti aksi dari mangle tersebut akan menandai paket. Kemudian pada parameter New Packet Mark :

Intranet_Packet berarti

paket akan ditandai sebagai Intranet_Packet.

45


 Menandai packet internet 





Gambar 5.16 - Pengaturan Packet Mark Internet (Tab:General) Pada parameter Connection Mark pilih Internet_Connection untuk menandai paket internet yang berasal dari koneksi internet. 


Gambar 5.17 – Pengaturan Connection Mark Internet (Tab:Action) 46


Pada Gambar 5.17 parameter Action : mark packet berarti aksi dari mangle tersebut akan menandai paket. Kemudian pada parameter Mark

:

Internet_Packet

berarti

paket

akan

New Packet

ditandai

sebagai

Internet_Packet. Untuk menguji apakah konfigurasi mangle sudah bekerja atau belum dapat dilihat pada Counter Packets yang ada di tampilankan oleh Winbox.

Gambar 5.18 – Counter Packets pada mark connection dan mark packet. f) Firewall Tahap menandai koneksi dan paket sudah selesai, selanjutnya adalah membuat aturan-aturan yang mengatur paket mana saja yang diijinkan melewati router dan paket mana yang dilarang melewati router. Dalam menyusun aturan firewall ini, penulis menggunakan teknik “ijinkan beberapa, dan blok semua”. Jadi akan dibuat aturan untuk mengijinkan paket-paket yang sesuai hak akses pengguna. Selebihnya akan diblok. Langkah-langkah konfigurasinya adalah sebagai berikut.  Mengijinkan akses intranet 

Dengan Winbox, pilih menu IP > Firewall > Filter Rules. Klik tambah firewall baru lalu atur konfigurasinya seperti Gambar 5.19.

47


Gambar 5.19 – Konfigurasi filter rule akses intranet (Tab:General) Parameter yang digunakan pada Chain adalah forward yang berarti aturan ini akan melakukan filter terhadap paket yang melewati router. Kemudian pada parameter Dst. Address isikan subnet dari jaringan internal yaitu 192.168.0.0/16 selanjutnya tambahkan pula parameter Packet Mark yang diisi dengan Intranet_Packet agar filter ini dapat menjaring semua paket yang bertanda Intranet_Packet. 

Pada tab advance buat konfigurasi seperti Gambar 5.20 Parameter yang perlu diisi adalah pada Src. Address List. Isikan Address List “AksesIntranet” yang sudah didefinisikan sebelumnya.

48


Gambar 5.20 

Konfigurasi filter rule akses intranet (Tab:Advance)

Pada tab action, konfigurasikan seperti Gambar 5.21 dengan memilih action : accept yang berarti mengijinkan paket untuk melewati router.

Gambar 5.21 – Konfigurasi filter rule akses intranet (Tab:Action) Secara singkat filter rules tersebut adalah mengijinkan paket yang berasal dari address list “AksesIntranet” menuju subnet 192.168.0.0/16 dengan paket yang bertanda “Intranet_Packet”.

49


 Mengijinkan akses internet •

Dengan Winbox, pilih menu IP > Firewall > Filter Rules. Tambah firewall baru dan atur konfigurasinya seperti Gambar 5.22 dengan mengisi parameter Chain : forward. Kemudian pada parameter Dst. Address isikan subnet !192.168.0.0/16 dengan menambahkkan tanda seru didepan subnet. Selanjutnya tambahkan pula parameter Packet Mark yang diisi dengan Internet_Packet agar filter ini dapat menjaring semua paket yang bertanda Internet_Packet.

Gambar 5.22 – Konfigurasi filter akses internet (Tab:General) Untuk tab advance isikan “AksesInternet” pada parameter Src, Address list seperti yang terlihat pada Gambar 5.23 berikut.

50


Gambar 5.23 – Konfigurasi filter rule akses internet (Tab:Advance) Kemudian berikan action : accept untuk mengijinkan paket data yang berasal dari address list “AksesInternet” menuju subnet !192.168.0.0/16 dengan Mark Packet “Internet_Packet”.  Mengijinkan akses intranet dan internet Konfigurasi filter rule untuk akses intranet dan internet hampir sama dengan konfigurasi sebelumnya, karena merupakan gabungan dari filter akses intranet dan internet. Yang membedakan adalah asal paket datanya. Pada filter rule ini Src. Address List diambil dari “AksesIntranet&Internet”. Dan akan ada dua rule untuk akses intranet dan internet. Satu untuk rule ke intranet, satu lagi untuk rule ke internet (dengan src. address list yang sama). Langkah-langkahnya adalah sebagai berikut. 

Pertama buat rule AksesIntranet&Internet untuk akses intranet. Dari menu Winbox, IP > Firewall > Filter Rules , buat filter rule baru dengan menekan tombol + kemudian konfigurasikan seperti Gambar 5.19



Konfigurasi di tab Advanced yang perlu ditambahkan adalah parameter Src. Address List. Yaitu dengan mengisinya dengan “AksesIntranet&Internet” seperti yang terlihat pada Gambar 5.24.

51


Gambar 5.24 – Konfigurasi filter rule akses intranet dan internet (Tab: Advanced) 

Jangan lupa memberikan aksi Accept dari filter tersebut dengan melakukan konfigurasi pada tab Action. Seperti pada Gambar 5.21.



Kedua, buat rule untuk membuat filter AksesIntranet&Internet yang menuju internet. Melalui Winbox buka menu IP > Firewall > Filter Rules , buat filter rule baru dengan menekan tombol + kemudian konfigurasikan seperti Gambar 5.22.



Selanjutnya pada tab Advanced yang perlu ditambahkan adalah parameter Src.

Address

List.

Yaitu

dengan

mengisinya

dengan

“AksesIntranet&Internet” seperti yang terlihat pada Gambar 5.24. 

Dan yang terakhir berikan aksi Accept dari filter tersebut dengan melakukan konfigurasi pada tab Action. Seperti pada Gambar 5.21.

 Blok intranet Setelah membuat filter rule yang mengijinkan paket data sekarang akan dibuat filter rule untuk melarang paket data melewati router Mikrotik. Konfigurasi ini untuk melarang semua akses intranet. Langkah-langkahnya adalah sebagai berikut.

52




Dari menu Winbox, pilih menu IP > Firewall > Filter Rules. Lalu tambahkan rule baru dengan konfigurasi seperti Gambar 5.25 berikut.

Gambar 5.25 – Filter rules blok akses intranet (Tab:General)



Pada tab action, langkah selanjutnya yaitu dengan memberikan parameter Action: Drop untuk memblokir paket data yang sudah ditandai dengan Mark Packet:Intranet_Packet. Lihat Gambar 5.26 berikut.

Gambar 5.26 – Filter rules blok akses intranet (Tab:Action) 53


 Blok internet Tahap pemblokiran selanjutnya adalah memblokir semua akses internet dengan cara membuat filter rules yang memblokir paket internet. Langkahlangkahnya adalah sebagai berikut. 

Melalui Winbox, buka menu IP > Firewall > Filter Rules. Buat rules baru kemudian konfigurasi seperti Gambar 5.27. Parameter yang perlu diganti adalah pada bagian Packet Mark. Karena akan memblokir paket data internet maka pilih Packet Marknya Internet_Packet.

Gambar 5.27 - Filter rules blok akses internet (Tab:General) 

Langkah terakhir, adalah mengkonfigurasi tab Action, yaitu memberikan aksi Drop. Agar semua paket data internet dilarang melewati router Mikrotik. Tahapan konfigurasi pada router mikrotik sudah selesai. Hasil dari firewall yang sudah dibuat dapat dilihat pada Gambar 5.28 berikut. Dan dapat dilihat sudah terdapat trafik pada Counter Packet yang ditampilan pada winbox yang berarti proses filternya sudah berjalan.

54


Gambar 5.28 – Hasil Firewall filter yang sudah dibuat.

5.1.4.2.Konfigurasi Fortigate Peran Fortigate dalam pembatasan hak akses ini adalah untuk membatasi pengguna dalam mengakses website. Fortigate menentukan website mana saja yang boleh diakses dan website mana yang tidak boleh diakses. Untuk mengkonfigurasi Fortigate dapat dilakukan dengan mengaksesnya melalui web admin. Yang artinya dalam proses konfigurasi selanjutnya akan dilakukan melalui web browser. Dalam implementasi ini Penulis menggunakan web browser Google Chrome. Sesuai dengan pembagian alamat IP yang sudah dilakukan di tahap sebelumnya, perangkat Fortigate dapat diakses di alamat https://192.168.20.1. a) Object Registering Hal pertama yang perlu dilakukan untuk membatasi akses pengguna adalah mendaftarkan alamat IP pengguna ke dalam Fortigate. Di dalam Fortigate sebuah alamat IP dikenal sebagai object. Object terdiri dari dua jenis, yaitu Address dan Address Group. Di dalam pembatasan dengan Fortigate akan digunakan taktik firewall yang sama yaitu “Ijinkan beberapa, dan Blok semua”. Jadi tidak semua alamat IP didaftarkan sebagai object ke dalam Fortigate. Hanya alamat IP pengguna tertentu yang hanya memiliki kepentingan yang didaftarkan. Selain yang berkepentingan akan masuk ke akses default.

55


b) Address Untuk mendaftarkan alamat IP ke dalam Fortigate langkah-langkahnya adalah sebagai berikut.  Buka web admin Fortigate  Masuk ke menu Policy & Objects > Objects > Addresses kemudian Klik Create New. Lalu isikan alamat IP yang akan didaftarkan. Contohnya dapat dilihat pada Gambar 5.29.

Gambar 5.29 – Mendaftarkan alamat IP sebagai new address pada objects. Yang perlu diisi adalah : o Name : Berikan nama untuk setiap alamat IP agar mudah dikenali. o Type : Jenis object o Subnet / IP range : Masukkan format subnet atau IP Range jika ingin mendaftarkan lebih dari satu IP. Jika hanya satu alamat IP, masukan alamat IP itu sendiri sebagai rangenya. Untuk parameter lain bisa dibiarkan default.  Jika sudah klik tombol OK.

56


Daftarkan semua alamat IP yang memiliki hak akses. Jika sudah maka dapat dilihat pada tampilannya seperti Gambar 5.30 berikut ini.

Gambar 5.30 – Address yang sudah terdaftar c) Address Group Setiap address yang sudah didaftarkan selanjutnya akan dikelompokkan ke dalam sebuah Address Group. Address Group ini akan berfungsi sebagai group akses. Penulis mengelompokan group akses berdasarkan kategori website yang sering dipakai untuk pekerjaan. Jenis-jenis group aksesnya adalah sebagai berikut. o webfilter_akses_all o webfilter_akses_filesharing o webfilter_akses_socialnetwork o webfilter_akses_media_streaming Untuk alamat IP yang tidak terdaftar pada group akses akan masuk kategori default. Hasil dari pembuatan Address Group dan memasukan Address ke dalam Address Group dapat dilihat pada Gambar 5.31.

57


Gambar 5.31 – Address Group yang sudah terdaftar d) Web Filtering Secara default web filtering yang ada pada Fortigate masih mengijinkan semua website untuk diakses. Kategori-kategori yang ada pada database Fortigate ditunjukan pada Gambar 5.32. Di dalam menu Web Filtering dapat dibuat beberapa profile. Maka akan disetting profil Web Filtering sesuai group akses yang sudah dibuat.

Gambar 5.32 – Kategori Web Filter Fortigate

58


Langkah-langkah untuk membuat profil Web Filtering adalah sebagai berikut. Masuk menu Security Profile > Web Filter kemudian tambahkan profil baru dengan menekan tombol + yang ada di pojok kanan atas seperti pada Gambar 5.32.

Gambar 5.33 - Tombol tambah profil web filter Setelah itu akan muncul form untuk membuat profil webfilter seperti pada Gambar 5.34 dan karena ini adalah akses all, maka hanya kategori website yang bertipe keamanan saja yang akan diblok, selain itu akan di ijinkan.

Gambar 5.34 - Profil webfilter_akses_all Tahap selanjutnya dibuat juga untuk profil-profil webfilter lainnya. Seperti yang akan ditampilkan di gambar berikut ini. 59


Gambar 5.35 - Profil webfilter_akses_filesharing

Gambar 5.36 - Profil webfilter_akses_social_network

60


Gambar 5.37 - Profil webfilter_akses_media_streaming Untuk alamat-alamat IP yang tidak terdaftar dalam group akses maka Fortigate akan menerapkan webfilter dengan profil default seperti yang ditunjukan Gambar 5.39.

Gambar 5.38 - Profil default

61


e) Application Control Aplication Control merupakan fitur dari fortigate yang digunakan untuk membatasi akses user berdasarkan aplikasi yang digunakan. Sama seperti webfilter,

application

control

memiliki

kategori-kategori

untuk

membedakan jenis aplikasi. Kategori pada application control dapat dilihat pada Gambar 5.40 berikut ini.

Gambar 5.39 - Kategori Application Control Untuk menerapkan pembatasan akses, pada application control juga memiliki profil. Maka perlu dibuat profil-profil application control sesuai group akses, seperti yang sudah dibuat pada webfilter. Langkah-langkah untuk membuat profil Application control adalah sebagai berikut. Masuk menu Security Profile > Application Control kemudian tambahkan profil baru dengan menekan tombol + yang ada di pojok kanan atas seperti pada Gambar 5.33. Kemudian akan muncul kategori-kategori jenis aplikasi. Penulis membuat beberapa profil sesuai dengan group akses yang sudah didefinisikan sebelumnya. Tampilan application control yang sudah dibuat dapat dilihat pada gambar-gambar berikut.

62


Gambar 5.40 - Profil Application Control Akses all

Gambar 5.41 - Profil Application Control Akses file sharing

Gambar 5.42 - Profil Application Control Akses social network

Gambar 5.43 - Profil Application Control Akses media streaming

63


Gambar 5.44 - Profil Application Control Akses default Pada tahap ini proses pembuatan profil untuk application control setiap group akses sudah selesai. f) Policy Setelah objects, profil webfilter dan application control sudah dibuat, selanjutnya adalah membuat aturan firewall yang mengatur pembatasan akses pengguna. Pada Fortigate firewall disebut sebagai policy. Dengan menerapkan taktik ijinkan beberapa, blok semua. Maka aturan yang perlu dibuat adalah policy untuk mengijinkan akses, dan yang terakhir adalah memblokir semua akses. Untuk membuat aturan firewall menu yang diakses adalah Policy & Objects > Policy > IPv4. Kemudian Create new. 

Policy : Akses_all Konfigurasikan policy untuk akses all seperti Gambar 5.46 Lalu parameter yang perlu diisi adalah :

o Incoming Interface diisi dengan interface yang mengarah ke pengguna / interface lokal (LAN). o Source Address adalah Address group untuk Akses all. o Outgoing Interface diisi dengan interface yang mengarah ke internet (WAN). o Destination address pilih yang all o Schedule pilih always o Service pilih All

64


o Action pilih ACCEPT o Pada Security Profiles masukan profil webfilter dan application control yang sebelumnya sudah dibuat.

Gambar 5.45 - Policy akses all Untuk policy-policy yang lain konfigurasinya hampir sama, yang membedakan adalah Source Address dan Security Profilesnya saja. Tampilan policy yang lain bisa dilihat pada gambar-gambar berikut.

65




Policy : Akses_file_sharing Source Address diambil address group webfilter_akses_filesharing. Kemudian

untuk

setting

Security

Profiles

pilih

profil

webfilter_akses_filesharing dan AppCon_file_sharing. Lihat pada Gambar 5.47.

Gambar 5.46 - Policy akses file sharing 

Policy : Akses_social_network Source Address diambil address group webfilter_akses_social_network. Kemudian

untuk

setting

Security

Profiles

pilih

profil

webfilter_akses_social_network dan AppCon_social_network. Lihat pada Gambar 5.48.

66


Gambar 5.47 - Policy akses social network 

Policy : Akses_media_streaming Source Address diambil address group webfilter_akses_media_streaming. Kemudian

untuk

setting

Security

Profiles

pilih

profil

webfilter_akses_media_streaming dan AppCon_media_streaming. Lihat pada Gambar 5.49.

Gambar 5.48 - Policy akses media streaming

67




Policy :

Akses default

Source Address pilih all. Karena policy ini akan diterapkan untuk semua pengguna yang tidak masuk ke dalam address group. Kemudian untuk setting Security Profiles pilih webfilter default dan application control default. Lihat pada Gambar 5.50.

Gambar 5.49 - Policy akses default 

Policy : Blok semua Pada policy blok semua akses, incoming interface pilih any. Source address all. Kemudian outgoing interface any. Destination all dan Action DENY.

Gambar 5.50 - Policy blok semua akses

68


Setelah semua policy dibuat. Proses konfigurasi firewall pada Fortigate sudah selesai. Hasil pembuatan policy firewall yang sudah dibuat di Fortigate dapat dilihat pada Gambar 5.52 berikut ini.

Gambar 5.51 - Daftar firewall policy

5.2.Pengujian Kelanjutan dari tahap implementasi adalah tahap pengujian. Dalam pengujian ini yang akan diuji adalah proses pada firewall di Mikrotik dan Fortigate. Dan akan dilakukan pengujian pada pengguna setelah dilakukan implementasi pembatasan hak akses jaringan.

5.2.1.Pengujian firewall Mikrotik Untuk menguji apakah konfigurasi firewall pada mikrotik sudah berjalan apa belum dapat dilihat dari packet counter yang tercatat di mikrotik. Dari Gambar 5.53 terlihat bahwa terdapat trafik pada packet counter di tampilan Winbox.

Gambar 5.52 – Packet counter pada firewall mikrotik

69


Untuk dapat memastikan lagi bahwa pembatasan akses sudah berjalan penulis mengambil contoh alamat IP yang belum dan sudah didaftarkan ke address list. Kemudian mengecek alamat IP tersebut pada log Mikrotik. Untuk itu perlu disetting log pada firewall rules yang memblokir akses, menambahkan log prefik agar log mudah dibaca dan dikenali. Pengaturan log firewall bisa dilihat pada Gambar 5.54 berikut ini.

Gambar 5.53 – Pengaturan log prefik untuk drop intranet dan internet Pada Gambar 5.55 merupakan alamat IP yang belum terdaftar pada Address list.

70


Gambar 5.54 – Alamat IP yang belum masuk Address list Kemudian penulis melakukan test Ping dari komputer dengan IP 192.168.24.65 ke IP lokal misal ke 192.168.11.7 yang merupakan akses intranet dan hasilnya Request time out yang berarti koneksi ke intranet sudah diblokir. Berikut screenshoot dari log mikrotik dan ping ke intranet yang ditampilkan pada Gambar 5.56. Lalu dilakukan juga test ping ke internet misal ke website detik.com dan hasilnya pun sama yaitu Request time out yang berarti koneksi ke internet sudah diblok. Hasil screenshot dari log mikrotik dan hasil ping ke internet ditunjukan pada Gambar 5.57.

71


Gambar 5.55 – Log Mikrotik dan Hasil Ping ke intranet

Gambar 5.56 – Log Mikrotik dan Hasil Ping ke internet Selanjutnya alamat IP 192.168.24.65 akan didaftarkan ke Akses intranet (Gambar 5.58) dan mencoba melakukan test ping ke IP intranet 192.168.11.7 dan hasilnya computer 192.168.24.65 sudah bisa ping ke 192.168.11.7 tetapi ketika dicoba ping ke internet hasilnya masih Request time out. Artinya Address list Akses Intranet hanya mengijinkan pengguna untuk mengakses intranet saja dan diblokir untuk mengakses internet. Hasil ping dapat dilihat pada Gambar 5.59 berikut ini.

72


Gambar 5.57 -

Alamat IP 192.168.24.65 terdaftar pada Address list

Akses Intranet.

Gambar 5.58 – Log Akses Intranet dan hasil ping komputer pengguna

73


Selanjutnya alamat IP 192.168.24.65 akan didaftarkan pada Address list Akses Internet (Gambar 5.60) dan dilakukan test ping ke IP 192.168.11.7 dan test ping ke internet. Hasilnya komputer dengan IP 192.168.24.65 tidak dapat melakukan ping ke IP 192.168.11.7 namun bisa melakukan ping ke internet yaitu ping ke detik.com. Hasil screenshoot test ping dan log dapat dilihat pada Gambar 5.61. Artinya untuk Address list Akses Internet pengguna hanya diijinkan untuk mengakses internet tetapi dilarang untuk mengakses intranet. Address list ini akan diterapkan untuk pengguna yang bukan karyawan seperti tamu yang berkunjung ke kantor yang membutuhkan akses internet. Sehingga penguna (tamu) hanya bisa mengakses internet dan tidak bisa mengakses ke IP intranet.

Gambar 5.59 – IP 192.168.24.65 terdaftar di Address list Akses Internet

74


Gambar 5.60 – Log akses internet dan hasil ping pengguna ke intranet dan internet. Pengujian selanjutnya adalah mendaftarkan alamat IP 192.168.24.65 ke address list Akses Intranet & Internet (Gambar 5.62). Dan kemudian melakukan test ping ke intranet dan internet. Hasilnya komputer dengan IP 192.168.24.65 berhasil melakukan ping ke 192.168.11.7 (intranet) dan melakukan ping ke detik.com(internet) yang ditunjukan pada Gambar 5.63. Artinya untuk address list Akses Intranet & Internet diijinkan untuk mengakses jaringan intranet maupun jaringan internet.

75


Gambar 5.61 – Alamat IP 192.168.24.65 terdaftar di Address list Akses Intranet dan Internet

Gambar 5.62 – Hasil ping ke intranet dan internet

76


Untuk pengujian pada Mikrotik sudah bisa dilakukan pembatasan antara akses intranet dan akses internet. Alamat IP yang tidak terdaftar pada Address list tidak dapat terhubung ke intranet maupun internet. Kemudian untuk address list akses intranet hanya bisa mengakses intranet. Lalu address list akses internet hanya bisa mengakses internet. Dan address list akses intranet & internet dapat mengakses intranet dan internet. Tahap pengujian firewall pada Mikrotik selesai.

5.2.2.Pengujian firewall Fortigate Sama halnya dengan mikrotik, pada firewall Fortigate juga dapat dilihat trafik yang melewati firewall policy. Dengan cara melihat pada packet counter yang ditampilkan di web admin dapat diketahui apakah policy yang sudah dibuat bekerja atau tidak. Hasil packet counter yang sudah difilter oleh Fortigate dapat dilihat pada Gambar 5.64 berikut ini.

Gambar 5.63 – Jumlah trafik dari firewall policy Fortigate Selain dari packet counter yang ditampilkan pada policy, untuk melihat apakah firewall yang diimplementasikan sudah berjalan atau belum dapat dilihat dari log yang ada pada Fortigate. Untuk melihat log dapat diakses melalui menu Log & Report > Security log. Untuk log pada web filter bisa dilihat pada Gambar 5.65. Dari gambar tersebut dapat dilihat IP mana saja yang sudah melanggar firewall policy dan URL mana saja yang diakses serta action dari fortigate apakah diblok atau tidak. Ditampilkan juga kategori yang diakses oleh pengguna.

77


Gambar 5.64 – Log dari webfilter Fortigate 5.2.3.Pengujian pada Pengguna Pengujian selain dari sisi perangkat firewall juga dilakukan dari sisi pengguna. Karena berhasil tidaknya pembatasan hak akses ini dibuktikan di sisi pengguna. Dalam pengujian dari sisi pengguna akan dibuat beberapa skenario pengujian sebagai berikut : 1. Pengujian dengan IP yang berbeda. 2. Pengujian dengan profile Fortigate yang berbeda. 3. Pengujian dengan perangkat yang berbeda. 4. Pengujian dengan cara akses web yang berbeda. Untuk pengujian akses website, diambil masing-masing 3 URL website per kategori filter. Contohnya : Kategori Social Network : facebook.com, twitter.com, instagram.com Kategori File Sharing :

uptobox.com, tusfiles.net, indoshares.com

Kategori Media Streaming : youtube.com, soundcloud.com, joox.com Untuk akses internet menggunakan pengujian dengan website detik.com Untuk akses intranet menggunakan pengujian dengan webmail intranet 192.168.11.6/webmail 

Pengujian dengan IP yang berbeda. Digunakan 3 komputer dengan IP yang berbeda serta Adress list yang berbeda. IP yang digunakan adalah sebagai berikut :  192.168.24.65 tanpa diberi Address list.  192.168.24.205 dengan Address list Intranet.  192.168.24.114 dengan Address list Intranet dan Internet.

78


Gambar 5.65 – IP 192.168.24.65 tanpa Address list

Gambar 5.66 - Pengujian ping dari IP 192.168.24.65 ke intranet dan internet.

79


Gambar 5.67 – Pengujian dari IP 192.168.24.65 mengakses intranet dan internet lewat browser. Dari hasil pengujian yang terlihat pada gambar 5.67 dan gambar 5.68 komputer dengan IP 192.168.24.65 yang disetting tanpa address list tidak dapat mengakses ke intranet maupun internet.

Gambar 5.68 – IP 192.168.24.205 dengan Address list Intranet

80



Gambar 5.70 – Pengujian IP 192.168.24.205 mengakses intranet dan internet lewat browser. Dari hasil pengujian yang terlihat pada gambar 5.69 dan gambar 5.70 komputer dengan IP 192.168.24.205 yang disetting dengan address list AksesIntranet bisa membuka webmail intranet tapi tidak bisa membuka website detik.com yang berarti tidak terkoneksi ke internet.

81


Gambar 5.71 – IP 192.168.24.114 dengan Address list Intranet dan Internet


82


Gambar 5.73 – Pengujian IP 192.168.24.205 mengakses intranet dan internet lewat browser. Dari hasil pengujian yang terlihat pada gambar 5.72 dan gambar 5.73 komputer dengan IP 192.168.24.114 yang disetting dengan address list AksesIntranet&Internet bisa membuka webmail intranet dan juga bisa membuka website detik.com yang berarti komputer tersebut memiliki akses ke intranet dan internet. 

Pengujian dengan profile Fortigate yang berbeda. Sebagai sampel, tiga komputer yang sudah diberikan akses internet, kemudian akan diberikan profil yang berbeda pada Fortigate untuk dilakukan pengujian web akses.  192.168.24.65 dengan profil webfilter_akses_filesharing  192.168.24.205 dengan profil webfilter_akses_socialnetwork  192.168.24.114 dengan profil webfilter_akses_all IP didaftarkan sebagai object di fortigate. Penulis membuat nama untuk setiap object agar mudah penyebutannya. IP 192.168.24.65 didaftarkan sebagai object dengan nama Komputer 1, IP 192.168.24.205 didaftarkan sebagai object dengan nama Komputer 2, dan IP 192.168.24.114 didaftarkan sebagai object dengan nama Komputer 3.

83


Gambar 5.74 – Nama-nama object pada Fortigate untuk setiap IP address yang sudah didaftarkan. Setelah didaftarkan sebagai object address, selanjutnya adalah mendaftarkan address ke AddressGroup atau bisa disebut juga sebagai profil webfilter. Komputer 1 sebagai member dari profil akses_filesharing, Komputer 2 sebagai member dari profil akses_socialnetwork, dan Komputer 3 sebagai member dari profil akses_all. Seperti yang terlihat pada gambar 5.75.

84


Gambar 5.75 – Address Group webfilter Dilakukan pengujian untuk komputer 1 yang menggunakan profil webfilter akses file sharing untuk membuka website yang termasuk di dalam kategori social network dan media streaming. Hasilnya bisa dilihat pada Gambar 5.76 dan Gambar 5.77.

Gambar 5.76 – Akses website facebook.com yang termasuk kategori social networking yang sudah terblok.

85


Gambar 5.77 – Akses website youtube.com yang termasuk kategori media streaming yang sudah terblok.

Gambar 5.78 – Akses website uptobox.com yang termasuk kategori file sharing dapat diakses, sesuai profil webfilter Komputer 1. Pengujian yang kedua dilakukan pada Komputer 2 dengan profil webfilter akses social networking. Setelah dicoba untuk mengakses website yang termasuk kategori file sharing seperti uptobox.com, kemudian muncul pesan pemblokiran website seperti yang terlihat pada Gambar 5.79. Selanjutnya dicoba lagi untuk mengakses website yang sesuai profil social networking seperti facebook.com dan website facebook.com dapat diakses seperti yang terlihat pada Gambar 5.80.

86


Gambar 5.79 – website uptobox.com yang diblokir karena tidak sesuai dengan profil webfilter di komputer 2

Gambar 5.80 – Website facebook.com yang termasuk kategori social networking dapat dibuka oleh komputer 2 karena sesuai dengan profil webfilternya. Pengujian yang ketiga dilakukan pada Komputer 3 yang memiliki profil webfilter akses all yang artinya dapat mengakses website dengan kategori file sharing, social networking, maupun media streaming. Berikut contoh website yang sudah dicoba diakses dapat dilihat pada Gambar 5.81.

87


Gambar 5.81 Komputer 3 dapat mengakses website tusfiles.net (file sharing) , twitter.com(social networking), dan joox.com (media streaming) sesuai webfilter akses all. 

Pengujian dengan perangkat yang berbeda. Pengujian yang lain dilakukan dengan cara menggunakan perangkat yang berbeda yaitu dengan menggunakan perangkat Smartphone. Smartphone pertama tidak diberi akses internet dan smartphone kedua diberi akses internet. IP kedua smartphone tersebut adalah sebagai berikut :

Gambar 5.82 – Smartphone A dengan IP 192.168.27.232 dan tanpa address list.

88


Gambar 5.83 – Smartphone B dengan IP 192.168.27.244 dengan address list : Intranet&Internet Pada smartphone A dilakukan pengujian untuk membuka website detik.com tapi ternyata tidak bisa. Karena memang IP smartphone A tidak didaftarkan pada address list.

Gambar 5.84 – Smartphone A tidak bisa membuka website detik.com

89


Sedangkan pada smartphone B juga dilakukan pengujian untuk membuka website detik.com dan halaman website detik.com bisa diakses. Karena IP smartphone B termasuk ke address list akses intranet&internet.

Gambar 5.85 - Smartphone B bisa membuka website detik.com Kemudian untuk smartphone B yang sudah bisa mengakses internet namun belum didaftarkan pada webfilter di Fortigate dilakukan pengujian untuk mengakses website uptobox.com , joox.com, dan instagram.com . Dan hasilnya adalah website tersebut tidak dapat diakses dan keluar pesan bahwa website tersebut diblok. Karena secara default akses website yang berkategori File Sharing, media streaming, dan social networking memang diblok.

90


Gambar 5.86 – Smartphone B membuka website file sharing yang diblok

Gambar 5.87 Smartphone B membuka website media streaming yang diblok

Gambar 5.88 - Smartphone B membuka website social networking yang diblok 91




Pengujian dengan cara akses web yang berbeda. Yang dimaksud cara akses web yang berbeda disini adalah ketika kita ingin membuka sebuah website kita akan mengetikan alamat website tersebut secara langsung di address bar browser. Ada juga cara lain dengan menuliskan alamat website tersebut pada mesin pencari seperti google.com setelah muncul hasil pencarian kemudian mengakses website yang dituju melalui link hasil pencarian. Ada suatu kasus ketika kita membuka website dengan cara pertama dan website tersebut tenyata diblok, namun ketika menggunakan cara kedua, melalui link hasil pencarian google, website tersebut bisa diakses. Pada pengujian pembatasan hak akses dengan mikrotik dan fortigate ini, penulis sudah mencoba kedua cara mengakses website tersebut. Dan sudah mengulang beberapa kali dengan komputer yang berbeda dan IP yang berbeda serta profil webfilter yang berbeda. Dan hasilnya adalah website yang termasuk kategori dilarang. Maka saat diakses secara langsung maupun melalui link hasil pencarian tetap tidak bisa diakses karena diblokir.

92


5.3. Analisa Hasil Pengujian Dari semua hasil pengujian yang sudah dilakukan dengan firewall Mikrotik dan firewall Fortigate dapat dirangkum ke dalam sebuah tabel tes kasus (Tabel 5.4) yang berisi skenario pengujian dan hasil yang diharapkan. Dalam tabel tersebut dapat diberikan kolom validasi untuk mengetahui kesesuaian antara perancangan jaringan dengan implementasi jaringan yang sudah dilakukan.

Tabel 5.4 – Tes kasus pengujian firewall mikrotik dan fortigate No 1

Skenario

Hasil yang diharapkan

Pengguna

tidak Pengguna

didaftarkan

pada mengakses jaringan intranet

address list mikrotik. Pengguna 2

dalam

dalam

terdaftar Pengguna dapat mengakses list internet tapi tidak bisa akses

AksesInternet 4

dalam



internet.

address

Pengguna



dan internet

list intranet tapi tidak bisa akses

AksesIntranet 3

dapat

terdaftar Pengguna dapat mengakses

address

Pengguna

tidak

Validasi



intranet. terdaftar Pengguna dapat mengakses

address



list intranet dan internet

AksesIntranet&Internet Pengguna

tidak Pengguna

didaftarkan pada group membuka

5

tidak

bisa

website

yang

akses Fortigate (akses masuk ke dalam kategori

default)



file sharing, social network,

dan media streaming. 6

Pengguna

dalam group akses all Pengguna

7

terdaftar Pengguna dapat membuka

website tanpa pembatasan.


dalam group akses file website sharing



yang

masuk



kategori file sharing.

93


Pengguna

8

dalam


group

akses website

social network Pengguna

9

dalam

yang

masuk



kategori social network. terdaftar Pengguna dapat membuka

group

media streaming

akses website

yang

masuk



kategori media streaming.

Di dalam Fortigate terdapat feature log report yang dapat menampilkan log firewall, yang menunjukan banyaknya pemblokiran yang sudah dilakukan oleh Fortigate. Log reportnya dapat dilihat dalam gambar-gambar berikut.

Gambar 5.89 – Log monitor pemblokiran website berdasarkan kategori. Kategori website yang paling sering diblokir adalah : 1. Meaningless Content 2. Games 3. Social Networking

94


Gambar 5.90 – IP address yang sering diblokir untuk akses File Sharing

Gambar 5.91 – IP address yang sering diblokir untuk akses Games

95


Gambar 5.92 – IP address yang sering diblokir untuk akses Social Networking

Gambar 5.93 – IP address yang sering diblokir untuk akses Streaming Media

96


No title

Recommend Documents