BAB V. IMPLEMENTASI DAN PENGUJIAN 5.1.Implementasi Jaringan Tahap implementasi jaringan adalah tahap kelanjutan dari tahap perancangan jaringan. Implmentasi dilakukan sebagai usaha untuk mewujudkan jaringan yang dirancang. Langkah-langkah dari proses implementasi adalah urutan dari kegiatan awal sampai kegiatan akhir yang harus dilakukan dalam mewujudkan jaringan yang dirancang. Hasil dari tahapan implementasi ini adalah kombinasi antara Mikrotik dan Fortigate untuk membatasi hak akses jaringan yang dapat berjalan dengan baik.
5.1.1.Ruang Lingkup Implementasi Ruang lingkup dalam tahap implementasi penelitian ini mencakup proses rekayasa alur paket yang melewati router mikrotik dan Fortigate sehingga dapat dibuat aturan firewall untuk membatasi hak akses jaringan.
5.1.2.Lingkungan Perangkat Lunak Selama proses implementasi ada beberapa perangkat lunak yang digunakan. Perangkat lunak disini digunakan untuk melakukan konfigurasi router, baik router Mikrotik maupun router Fortigate. Untuk melakukan konfigurasi router Mikrotik menggunakan perangkat lunak Winbox. Dan untuk melakukan konfigurasi router Fortigate menggunakan web browser Google Chrome. Perangkat lunak yang digunakan pada router mikrotik menggunakan firmware versi 6.38.5 dimana versi tersebut merupakan versi yang terbaru pada saat implementasi dilakukan. Sedangkan untuk perangkat lunak yang digunakan pada router Fortigate menggunakan FortiOS v5.2.10 Build 742 yang merupakan firmware terbaru dari tipe Fortigate 200B.
34
http://digilib.mercubuana.ac.id/
5.1.3.Spesifikasi Perangkat Keras Yang Digunakan 5.1.3.1.Mikrotik RouterBoard Mikrotik RouterBoard yang digunakan adalah RB1100AHx2 yang memiliki spesifikasi sebagai berikut : Product Code Architecture CPU
RB1100AHX2 PPC Freescale P2020 1066MHz Dual Core Current Monitor No Main Storage/NAND 64MB RAM 1.5GB SFP Ports 0 LAN Ports 13 Gigabit Yes Switch Chip 2 MiniPCI 0 Integrated Wireless No MiniPCIe 0 SIM Card Slots No USB No Memory Cards 1 Memory Card Type MicroSD Power Jack 110/220V 802.3af Support No POE Input 10-24VDC POE Output No Serial Port DB9/RS232 Voltage Monitor Yes Temperature Sensor Yes Dimentions 1U case: 45x75x440mm Operating System RouterOS Temperature Range -20C .. +45C RouterOS License Level6 Tabel 5.1 – Spesifikasi RouterBoard 1100 AHx2
Gambar 5.1 – Perangkat RouterBoard 1100 AHx2 35
http://digilib.mercubuana.ac.id/
5.1.3.2.Fortigate 200B Fortigate yang digunakan adalah Fortigate 200B yang memiliki spesifikasi sebagai berikut : Hardware Specifications 10/100/1000
FortiASIC
NP2- 4
Accelerated Interfaces (Copper,
RJ-45) 10/100/1000 Interfaces (Copper,
4
RJ-45) 10/100 Switch Interfaces (Copper,
8
RJ-45) Console (Copper, RJ-45)
1
USB Interfaces
3
FSM Storage Bay
1 Dimensions
Height x Width x Length (in)
1.75 x 17 x 11.6 in
Height x Width x Length (cm)
4.45 x 43.2 x 29.35 cm
Weight
9 lbs 13 oz (4.45 kg)
Rack Mountable
Yes Environment
Power Required
100-240 VAC, 60-50 Hz
Power Consumption (AVG)
58W
Operating Temperature
(0 – 40 deg C) System Performance
36
http://digilib.mercubuana.ac.id/
Firewall Throughput (512/1518
5 Gbps
byte UDP packets) IPS Throughput
500 Mbps
Antivirus Throughput
95 Mbps
Firewall Policies (Max)
6000
Unlimited User Licenses
Yes
Tabel 5.2 – Spesifikasi Fortigate 200B
Gambar 5.2 – Perangkat Fortigate 200B
5.1.4.Konfigurasi Pertama yang perlu dilakukan adalah pembagian alamat IP yang akan digunakan oleh pengguna. Berdasarkan banyaknya pengguna dan topologi jaringan yang sudah dirancang, kantor PT Trisinar Indopratama memiliki gedung dengan empat lantai sehingga akan dibuat VLAN untuk masing-masing lantai. Pembagian alamat IP dapat dilihat pada Tabel 5.3 berikut.
Perangkat
Keterangan
Interface
Alamat IP
WAN
192.168.2.2/24
LAN
192.168.20.1/30
RB 1100AHx2
Ether1-WAN
192.168.20.2/30
Terhubung ke Fortigate 200B
Terhubung ke Router internet Fortigate 200B
gateway Terhubung ke Router Mikrotik
Mikrotik RB 1100Hx2
Ether2VLAN21
Sebagai gateway jaringan 192.168.21.1/24
lantai 1
37
http://digilib.mercubuana.ac.id/
Sebagai gateway jaringan
Ether2VLAN22
192.168.22.1/24
lantai 2 Sebagai gateway jaringan
Ether2VLAN23
192.168.23.1/24
lantai 3 Sebagai gateway jaringan
Ether2VLAN24
192.168.24.1/24
lantai 4
Tabel 5.3 – Pembagian alamat IP
5.1.4.1.Konfigurasi Mikrotik a) DHCP Server Dalam kondisi sistem yang berjalan saat ini pengguna mendapat alamat IP masih secara manual, Network Administrator harus memberikan alamat IP satu persatu pada setiap perangkat yang terhubung
ke
jaringan.
Dalam
sistem
yang
baru
akan
diimplementasikan setiap perangkat yang terkoneksi ke dalam jaringan mendapatkan alamat IP secara otomatis. Maka dari itu perlu dibuat DHCP Server pada Mikrotik RB1100AHx2. Dimulai dengan membuat DHCP Server pada jaringan lantai 1, Langkah-langkah dalam konfigurasi DHCP Server adalah sebagai berikut :
Jika dikonfigurasi menggunakan Winbox, dapat dilakukan dengan cara Klik menu IP > DHCP Server > Tombol DHCP Setup. Kemudian pilih interface yang akan dijadikan DHCP Server.
Gambar 5.3 -
DHCP Server Interface
38
http://digilib.mercubuana.ac.id/
Selanjutnya adalah memilih alamat jaringan
Gambar 5.4
DHCP Address Space
Setelah memilih alamat jaringan, kemudian pilih gateway.
Gambar 5.5 - Gateway untuk jaringan DHCP
Klik next, dan isikan rentang alamat IP yang akan disediakan untuk pengguna.
Gambar 5.6 – Rentang IP untuk jaringan DHCP
39
http://digilib.mercubuana.ac.id/
Langkah selanjutnya adalah mengisi DNS server.
Gambar 5.7 – DNS Server untuk jaringan DHCP
Tentukan juga batas waktu penggunaan IP yang diberikan DHCP Server.
Gambar 5.8 – Lease time DHCP Server
Konfigurasi DHCP Selesai.
Gambar 5.9 – Konfirmasi konfigurasi DHCP berhasil Setting DHCP Server untuk VLAN21 sudah selesai. Langkah yang sama dilakukan juga untuk membuat DHCP Server untuk VLAN22, VLAN23, dan VLAN24.
Sampai pada tahapan ini, konfigurasi
DHCP Server telah selesai.
40
http://digilib.mercubuana.ac.id/
b) Address list Setiap alamat IP yang sudah terhubung ke jaringan nantinya akan dimasukan ke Address List. Fungsi Address list ini adalah untuk membuat group akses yang dipakai untuk membedakan hak akses pengguna. Address list yang dibuat adalah seperti berikut:
AksesIntranet = Untuk pengguna yang hanya mengakses intranet.
AksesInternet = Untuk pengguna yang hanya mengakses internet.
AksesIntranet&Internet = Untuk pengguna yang mengakses intranet dan internet.
c) Mangle Mangle berfungsi untuk menandai paket data yang melewati router. Tujuan diberikannya tanda (mark) adalah agar paket data mudah dikenali saat menerapkan filter pembatasan hak akses. Dalam penggunaan mangle yang tepat, perlu diketahui arah dan tujuan paket data, jenis-jenis protocol, source/destination port maupun connection state dari sebuah paket data. d) Connection Marking Untuk menandai koneksi pada mikrotik konfigurasinya adalah sebagai berikut : Menandai koneksi intranet
Menggunakan winbox, Masuk menu IP > Firewall > Mangle
Klik tombol “+” untuk menambah mangle baru lalu pada tab General isikan seperti Gambar 5.10
41
http://digilib.mercubuana.ac.id/
Gambar 5.10 – Pengaturan Connection Mark Intranet (Tab:General) Parameter Chain : prerouting berarti koneksi yang akan masuk ke router. Kemudian Src. Address : 192.168.0.0/16 , berarti koneksi yang berasal dari semua IP yang ada di dalam subnet tersebut. Dan Dst. Address : 192.168.0.0/16 berarti koneksi yang menuju ke semua IP yang ada di dalam subnet tersebut.
Subnet 192.168.0.0/16 dipilih sebagai subnet yang
mewakili semua IP internal di yang ada di dalam jaringan PT. Trisinar Indopratama. Bisa diartikan subnet tersebut adalah Internal IP.
Pengaturan selanjutnya ada di tab “Action” yang isinya adalah sebagai berikut :
Gambar 5.11 – Pengaturan Connection Mark Intranet (Tab:Action)
42
http://digilib.mercubuana.ac.id/
Action : mark connection berarti aksi dari mangle tersebut akan menandai koneksi. Kemudian pada parameter Intranet_Connection
berarti
koneksi
New Connection Mark : akan
ditandai
sebagai
Intranet_Connection. Dibawahnya terdapat ceklist Passtrough yang artinya setelah action di mangle ini dilaksanakan, traffik akan di teruskan ke mangle selanjutnya. Secara singkat konfigurasi tersebut dapat dibaca seperti ini : Koneksi yang masuk berasal dari IntranetIP menuju IntranetIP akan ditandai sebagai Intranet_Connection.
Menandai koneksi internet
Masuk menu IP > Firewall > Mangle
Klik tombol “+” untuk menambah mangle baru lalu pada tab General isikan seperti Gambar 5.12
Gambar 5.12 - Pengaturan Connection Mark Internet (Tab:General) Konfigurasi untuk menandai koneksi internet hampir sama dengan konfigurasi untuk menandai koneksi intranet. Yang membedakan adalah adanya tambahan tanda seru (!) yang berarti not/bukan
pada parameter Dst.
Address : !192.168.0.0/16.
43
http://digilib.mercubuana.ac.id/
Pengaturan selanjutnya ada di tab “Action” yang isinya adalah sebagai berikut :
Gambar 5.13 – Pengaturan Connection Mark Internet (Tab:Action) Secara singkat konfigurasi tersebut dapat dibaca seperti ini : Koneksi yang masuk berasal dari IntranetIP menuju bukan IntranetIP akan ditandai sebagai Internet_Connection. Sampai tahap ini proses menandai koneksi sudah selesai. e) Packet Marking Dari koneksi yang sudah ditandai sebagai koneksi intranet maupun koneksi internet selanjutnya akan digunakan untuk menandai paket. Packet mark digunakan untuk menandai keseluruhan paket data yang keluar dan masuk dari komputer pengguna. Langkah-langkah untuk menandai paket pada Mikrotik adalah sebagai berikut. Menandai paket intranet
Masuk menu IP > Firewall > Mangle
Klik tombol “+” untuk menambah mangle baru lalu pada tab General isikan seperti Gambar 5.14
44
http://digilib.mercubuana.ac.id/
Gambar 5.14 – Pengaturan Packet Mark Intranet (Tab:General) Chain yang digunakan masih prerouting, kemudian pada parameter Connection Mark pilih Intranet_Conection yang sebelumnya sudah dibuat.
Pengaturan selanjutnya ada di tab “Action” yang isinya adalah sebagai berikut :
Gambar 5.15 – Pengaturan Packet Mark Intranet (Tab:Action) Action : mark packet berarti aksi dari mangle tersebut akan menandai paket. Kemudian pada parameter New Packet Mark :
Intranet_Packet berarti
paket akan ditandai sebagai Intranet_Packet.
45
http://digilib.mercubuana.ac.id/
Menandai packet internet
Masuk menu IP > Firewall > Mangle
Klik tombol “+” untuk menambah mangle baru lalu pada tab General isikan seperti Gambar 5.12
Gambar 5.16 - Pengaturan Packet Mark Internet (Tab:General) Pada parameter Connection Mark pilih Internet_Connection untuk menandai paket internet yang berasal dari koneksi internet.
Pengaturan selanjutnya ada di tab “Action” yang isinya adalah sebagai berikut :
Gambar 5.17 – Pengaturan Connection Mark Internet (Tab:Action) 46
http://digilib.mercubuana.ac.id/
Pada Gambar 5.17 parameter Action : mark packet berarti aksi dari mangle tersebut akan menandai paket. Kemudian pada parameter Mark
:
Internet_Packet
berarti
paket
akan
New Packet
ditandai
sebagai
Internet_Packet. Untuk menguji apakah konfigurasi mangle sudah bekerja atau belum dapat dilihat pada Counter Packets yang ada di tampilankan oleh Winbox.
Gambar 5.18 – Counter Packets pada mark connection dan mark packet. f) Firewall Tahap menandai koneksi dan paket sudah selesai, selanjutnya adalah membuat aturan-aturan yang mengatur paket mana saja yang diijinkan melewati router dan paket mana yang dilarang melewati router. Dalam menyusun aturan firewall ini, penulis menggunakan teknik “ijinkan beberapa, dan blok semua”. Jadi akan dibuat aturan untuk mengijinkan paket-paket yang sesuai hak akses pengguna. Selebihnya akan diblok. Langkah-langkah konfigurasinya adalah sebagai berikut. Mengijinkan akses intranet
Dengan Winbox, pilih menu IP > Firewall > Filter Rules. Klik tambah firewall baru lalu atur konfigurasinya seperti Gambar 5.19.
47
http://digilib.mercubuana.ac.id/
Gambar 5.19 – Konfigurasi filter rule akses intranet (Tab:General) Parameter yang digunakan pada Chain adalah forward yang berarti aturan ini akan melakukan filter terhadap paket yang melewati router. Kemudian pada parameter Dst. Address isikan subnet dari jaringan internal yaitu 192.168.0.0/16 selanjutnya tambahkan pula parameter Packet Mark yang diisi dengan Intranet_Packet agar filter ini dapat menjaring semua paket yang bertanda Intranet_Packet.
Pada tab advance buat konfigurasi seperti Gambar 5.20 Parameter yang perlu diisi adalah pada Src. Address List. Isikan Address List “AksesIntranet” yang sudah didefinisikan sebelumnya.
48
http://digilib.mercubuana.ac.id/
Gambar 5.20
Konfigurasi filter rule akses intranet (Tab:Advance)
Pada tab action, konfigurasikan seperti Gambar 5.21 dengan memilih action : accept yang berarti mengijinkan paket untuk melewati router.
Gambar 5.21 – Konfigurasi filter rule akses intranet (Tab:Action) Secara singkat filter rules tersebut adalah mengijinkan paket yang berasal dari address list “AksesIntranet” menuju subnet 192.168.0.0/16 dengan paket yang bertanda “Intranet_Packet”.
49
http://digilib.mercubuana.ac.id/
Mengijinkan akses internet •
Dengan Winbox, pilih menu IP > Firewall > Filter Rules. Tambah firewall baru dan atur konfigurasinya seperti Gambar 5.22 dengan mengisi parameter Chain : forward. Kemudian pada parameter Dst. Address isikan subnet !192.168.0.0/16 dengan menambahkkan tanda seru didepan subnet. Selanjutnya tambahkan pula parameter Packet Mark yang diisi dengan Internet_Packet agar filter ini dapat menjaring semua paket yang bertanda Internet_Packet.
Gambar 5.22 – Konfigurasi filter akses internet (Tab:General) Untuk tab advance isikan “AksesInternet” pada parameter Src, Address list seperti yang terlihat pada Gambar 5.23 berikut.
50
http://digilib.mercubuana.ac.id/
Gambar 5.23 – Konfigurasi filter rule akses internet (Tab:Advance) Kemudian berikan action : accept untuk mengijinkan paket data yang berasal dari address list “AksesInternet” menuju subnet !192.168.0.0/16 dengan Mark Packet “Internet_Packet”. Mengijinkan akses intranet dan internet Konfigurasi filter rule untuk akses intranet dan internet hampir sama dengan konfigurasi sebelumnya, karena merupakan gabungan dari filter akses intranet dan internet. Yang membedakan adalah asal paket datanya. Pada filter rule ini Src. Address List diambil dari “AksesIntranet&Internet”. Dan akan ada dua rule untuk akses intranet dan internet. Satu untuk rule ke intranet, satu lagi untuk rule ke internet (dengan src. address list yang sama). Langkah-langkahnya adalah sebagai berikut.
Pertama buat rule AksesIntranet&Internet untuk akses intranet. Dari menu Winbox, IP > Firewall > Filter Rules , buat filter rule baru dengan menekan tombol + kemudian konfigurasikan seperti Gambar 5.19
Konfigurasi di tab Advanced yang perlu ditambahkan adalah parameter Src. Address List. Yaitu dengan mengisinya dengan “AksesIntranet&Internet” seperti yang terlihat pada Gambar 5.24.
51
http://digilib.mercubuana.ac.id/
Gambar 5.24 – Konfigurasi filter rule akses intranet dan internet (Tab: Advanced)
Jangan lupa memberikan aksi Accept dari filter tersebut dengan melakukan konfigurasi pada tab Action. Seperti pada Gambar 5.21.
Kedua, buat rule untuk membuat filter AksesIntranet&Internet yang menuju internet. Melalui Winbox buka menu IP > Firewall > Filter Rules , buat filter rule baru dengan menekan tombol + kemudian konfigurasikan seperti Gambar 5.22.
Selanjutnya pada tab Advanced yang perlu ditambahkan adalah parameter Src.
Address
List.
Yaitu
dengan
mengisinya
dengan
“AksesIntranet&Internet” seperti yang terlihat pada Gambar 5.24.
Dan yang terakhir berikan aksi Accept dari filter tersebut dengan melakukan konfigurasi pada tab Action. Seperti pada Gambar 5.21.
Blok intranet Setelah membuat filter rule yang mengijinkan paket data sekarang akan dibuat filter rule untuk melarang paket data melewati router Mikrotik. Konfigurasi ini untuk melarang semua akses intranet. Langkah-langkahnya adalah sebagai berikut.
52
http://digilib.mercubuana.ac.id/
Dari menu Winbox, pilih menu IP > Firewall > Filter Rules. Lalu tambahkan rule baru dengan konfigurasi seperti Gambar 5.25 berikut.
Gambar 5.25 – Filter rules blok akses intranet (Tab:General)
Pada tab action, langkah selanjutnya yaitu dengan memberikan parameter Action: Drop untuk memblokir paket data yang sudah ditandai dengan Mark Packet:Intranet_Packet. Lihat Gambar 5.26 berikut.
Gambar 5.26 – Filter rules blok akses intranet (Tab:Action) 53
http://digilib.mercubuana.ac.id/
Blok internet Tahap pemblokiran selanjutnya adalah memblokir semua akses internet dengan cara membuat filter rules yang memblokir paket internet. Langkahlangkahnya adalah sebagai berikut.
Melalui Winbox, buka menu IP > Firewall > Filter Rules. Buat rules baru kemudian konfigurasi seperti Gambar 5.27. Parameter yang perlu diganti adalah pada bagian Packet Mark. Karena akan memblokir paket data internet maka pilih Packet Marknya Internet_Packet.
Gambar 5.27 - Filter rules blok akses internet (Tab:General)
Langkah terakhir, adalah mengkonfigurasi tab Action, yaitu memberikan aksi Drop. Agar semua paket data internet dilarang melewati router Mikrotik. Tahapan konfigurasi pada router mikrotik sudah selesai. Hasil dari firewall yang sudah dibuat dapat dilihat pada Gambar 5.28 berikut. Dan dapat dilihat sudah terdapat trafik pada Counter Packet yang ditampilan pada winbox yang berarti proses filternya sudah berjalan.
54
http://digilib.mercubuana.ac.id/
Gambar 5.28 – Hasil Firewall filter yang sudah dibuat.
5.1.4.2.Konfigurasi Fortigate Peran Fortigate dalam pembatasan hak akses ini adalah untuk membatasi pengguna dalam mengakses website. Fortigate menentukan website mana saja yang boleh diakses dan website mana yang tidak boleh diakses. Untuk mengkonfigurasi Fortigate dapat dilakukan dengan mengaksesnya melalui web admin. Yang artinya dalam proses konfigurasi selanjutnya akan dilakukan melalui web browser. Dalam implementasi ini Penulis menggunakan web browser Google Chrome. Sesuai dengan pembagian alamat IP yang sudah dilakukan di tahap sebelumnya, perangkat Fortigate dapat diakses di alamat https://192.168.20.1. a) Object Registering Hal pertama yang perlu dilakukan untuk membatasi akses pengguna adalah mendaftarkan alamat IP pengguna ke dalam Fortigate. Di dalam Fortigate sebuah alamat IP dikenal sebagai object. Object terdiri dari dua jenis, yaitu Address dan Address Group. Di dalam pembatasan dengan Fortigate akan digunakan taktik firewall yang sama yaitu “Ijinkan beberapa, dan Blok semua”. Jadi tidak semua alamat IP didaftarkan sebagai object ke dalam Fortigate. Hanya alamat IP pengguna tertentu yang hanya memiliki kepentingan yang didaftarkan. Selain yang berkepentingan akan masuk ke akses default.
55
http://digilib.mercubuana.ac.id/
b) Address Untuk mendaftarkan alamat IP ke dalam Fortigate langkah-langkahnya adalah sebagai berikut. Buka web admin Fortigate Masuk ke menu Policy & Objects > Objects > Addresses kemudian Klik Create New. Lalu isikan alamat IP yang akan didaftarkan. Contohnya dapat dilihat pada Gambar 5.29.
Gambar 5.29 – Mendaftarkan alamat IP sebagai new address pada objects. Yang perlu diisi adalah : o Name : Berikan nama untuk setiap alamat IP agar mudah dikenali. o Type : Jenis object o Subnet / IP range : Masukkan format subnet atau IP Range jika ingin mendaftarkan lebih dari satu IP. Jika hanya satu alamat IP, masukan alamat IP itu sendiri sebagai rangenya. Untuk parameter lain bisa dibiarkan default. Jika sudah klik tombol OK.
56
http://digilib.mercubuana.ac.id/
Daftarkan semua alamat IP yang memiliki hak akses. Jika sudah maka dapat dilihat pada tampilannya seperti Gambar 5.30 berikut ini.
Gambar 5.30 – Address yang sudah terdaftar c) Address Group Setiap address yang sudah didaftarkan selanjutnya akan dikelompokkan ke dalam sebuah Address Group. Address Group ini akan berfungsi sebagai group akses. Penulis mengelompokan group akses berdasarkan kategori website yang sering dipakai untuk pekerjaan. Jenis-jenis group aksesnya adalah sebagai berikut. o webfilter_akses_all o webfilter_akses_filesharing o webfilter_akses_socialnetwork o webfilter_akses_media_streaming Untuk alamat IP yang tidak terdaftar pada group akses akan masuk kategori default. Hasil dari pembuatan Address Group dan memasukan Address ke dalam Address Group dapat dilihat pada Gambar 5.31.
57
http://digilib.mercubuana.ac.id/
Gambar 5.31 – Address Group yang sudah terdaftar d) Web Filtering Secara default web filtering yang ada pada Fortigate masih mengijinkan semua website untuk diakses. Kategori-kategori yang ada pada database Fortigate ditunjukan pada Gambar 5.32. Di dalam menu Web Filtering dapat dibuat beberapa profile. Maka akan disetting profil Web Filtering sesuai group akses yang sudah dibuat.
Gambar 5.32 – Kategori Web Filter Fortigate
58
http://digilib.mercubuana.ac.id/
Langkah-langkah untuk membuat profil Web Filtering adalah sebagai berikut. Masuk menu Security Profile > Web Filter kemudian tambahkan profil baru dengan menekan tombol + yang ada di pojok kanan atas seperti pada Gambar 5.32.
Gambar 5.33 - Tombol tambah profil web filter Setelah itu akan muncul form untuk membuat profil webfilter seperti pada Gambar 5.34 dan karena ini adalah akses all, maka hanya kategori website yang bertipe keamanan saja yang akan diblok, selain itu akan di ijinkan.
Gambar 5.34 - Profil webfilter_akses_all Tahap selanjutnya dibuat juga untuk profil-profil webfilter lainnya. Seperti yang akan ditampilkan di gambar berikut ini. 59
http://digilib.mercubuana.ac.id/
Gambar 5.35 - Profil webfilter_akses_filesharing
Gambar 5.36 - Profil webfilter_akses_social_network
60
http://digilib.mercubuana.ac.id/
Gambar 5.37 - Profil webfilter_akses_media_streaming Untuk alamat-alamat IP yang tidak terdaftar dalam group akses maka Fortigate akan menerapkan webfilter dengan profil default seperti yang ditunjukan Gambar 5.39.
Gambar 5.38 - Profil default
61
http://digilib.mercubuana.ac.id/
e) Application Control Aplication Control merupakan fitur dari fortigate yang digunakan untuk membatasi akses user berdasarkan aplikasi yang digunakan. Sama seperti webfilter,
application
control
memiliki
kategori-kategori
untuk
membedakan jenis aplikasi. Kategori pada application control dapat dilihat pada Gambar 5.40 berikut ini.
Gambar 5.39 - Kategori Application Control Untuk menerapkan pembatasan akses, pada application control juga memiliki profil. Maka perlu dibuat profil-profil application control sesuai group akses, seperti yang sudah dibuat pada webfilter. Langkah-langkah untuk membuat profil Application control adalah sebagai berikut. Masuk menu Security Profile > Application Control kemudian tambahkan profil baru dengan menekan tombol + yang ada di pojok kanan atas seperti pada Gambar 5.33. Kemudian akan muncul kategori-kategori jenis aplikasi. Penulis membuat beberapa profil sesuai dengan group akses yang sudah didefinisikan sebelumnya. Tampilan application control yang sudah dibuat dapat dilihat pada gambar-gambar berikut.
62
http://digilib.mercubuana.ac.id/
Gambar 5.40 - Profil Application Control Akses all
Gambar 5.41 - Profil Application Control Akses file sharing
Gambar 5.42 - Profil Application Control Akses social network
Gambar 5.43 - Profil Application Control Akses media streaming
63
http://digilib.mercubuana.ac.id/
Gambar 5.44 - Profil Application Control Akses default Pada tahap ini proses pembuatan profil untuk application control setiap group akses sudah selesai. f) Policy Setelah objects, profil webfilter dan application control sudah dibuat, selanjutnya adalah membuat aturan firewall yang mengatur pembatasan akses pengguna. Pada Fortigate firewall disebut sebagai policy. Dengan menerapkan taktik ijinkan beberapa, blok semua. Maka aturan yang perlu dibuat adalah policy untuk mengijinkan akses, dan yang terakhir adalah memblokir semua akses. Untuk membuat aturan firewall menu yang diakses adalah Policy & Objects > Policy > IPv4. Kemudian Create new.
Policy : Akses_all Konfigurasikan policy untuk akses all seperti Gambar 5.46 Lalu parameter yang perlu diisi adalah :
o Incoming Interface diisi dengan interface yang mengarah ke pengguna / interface lokal (LAN). o Source Address adalah Address group untuk Akses all. o Outgoing Interface diisi dengan interface yang mengarah ke internet (WAN). o Destination address pilih yang all o Schedule pilih always o Service pilih All
64
http://digilib.mercubuana.ac.id/
o Action pilih ACCEPT o Pada Security Profiles masukan profil webfilter dan application control yang sebelumnya sudah dibuat.
Gambar 5.45 - Policy akses all Untuk policy-policy yang lain konfigurasinya hampir sama, yang membedakan adalah Source Address dan Security Profilesnya saja. Tampilan policy yang lain bisa dilihat pada gambar-gambar berikut.
65
http://digilib.mercubuana.ac.id/
Policy : Akses_file_sharing Source Address diambil address group webfilter_akses_filesharing. Kemudian
untuk
setting
Security
Profiles
pilih
profil
webfilter_akses_filesharing dan AppCon_file_sharing. Lihat pada Gambar 5.47.
Gambar 5.46 - Policy akses file sharing
Policy : Akses_social_network Source Address diambil address group webfilter_akses_social_network. Kemudian
untuk
setting
Security
Profiles
pilih
profil
webfilter_akses_social_network dan AppCon_social_network. Lihat pada Gambar 5.48.
66
http://digilib.mercubuana.ac.id/
Gambar 5.47 - Policy akses social network
Policy : Akses_media_streaming Source Address diambil address group webfilter_akses_media_streaming. Kemudian
untuk
setting
Security
Profiles
pilih
profil
webfilter_akses_media_streaming dan AppCon_media_streaming. Lihat pada Gambar 5.49.
Gambar 5.48 - Policy akses media streaming
67
http://digilib.mercubuana.ac.id/
Policy :
Akses default
Source Address pilih all. Karena policy ini akan diterapkan untuk semua pengguna yang tidak masuk ke dalam address group. Kemudian untuk setting Security Profiles pilih webfilter default dan application control default. Lihat pada Gambar 5.50.
Gambar 5.49 - Policy akses default
Policy : Blok semua Pada policy blok semua akses, incoming interface pilih any. Source address all. Kemudian outgoing interface any. Destination all dan Action DENY.
Gambar 5.50 - Policy blok semua akses
68
http://digilib.mercubuana.ac.id/
Setelah semua policy dibuat. Proses konfigurasi firewall pada Fortigate sudah selesai. Hasil pembuatan policy firewall yang sudah dibuat di Fortigate dapat dilihat pada Gambar 5.52 berikut ini.
Gambar 5.51 - Daftar firewall policy
5.2.Pengujian Kelanjutan dari tahap implementasi adalah tahap pengujian. Dalam pengujian ini yang akan diuji adalah proses pada firewall di Mikrotik dan Fortigate. Dan akan dilakukan pengujian pada pengguna setelah dilakukan implementasi pembatasan hak akses jaringan.
5.2.1.Pengujian firewall Mikrotik Untuk menguji apakah konfigurasi firewall pada mikrotik sudah berjalan apa belum dapat dilihat dari packet counter yang tercatat di mikrotik. Dari Gambar 5.53 terlihat bahwa terdapat trafik pada packet counter di tampilan Winbox.
Gambar 5.52 – Packet counter pada firewall mikrotik
69
http://digilib.mercubuana.ac.id/
Untuk dapat memastikan lagi bahwa pembatasan akses sudah berjalan penulis mengambil contoh alamat IP yang belum dan sudah didaftarkan ke address list. Kemudian mengecek alamat IP tersebut pada log Mikrotik. Untuk itu perlu disetting log pada firewall rules yang memblokir akses, menambahkan log prefik agar log mudah dibaca dan dikenali. Pengaturan log firewall bisa dilihat pada Gambar 5.54 berikut ini.
Gambar 5.53 – Pengaturan log prefik untuk drop intranet dan internet Pada Gambar 5.55 merupakan alamat IP yang belum terdaftar pada Address list.
70
http://digilib.mercubuana.ac.id/
Gambar 5.54 – Alamat IP yang belum masuk Address list Kemudian penulis melakukan test Ping dari komputer dengan IP 192.168.24.65 ke IP lokal misal ke 192.168.11.7 yang merupakan akses intranet dan hasilnya Request time out yang berarti koneksi ke intranet sudah diblokir. Berikut screenshoot dari log mikrotik dan ping ke intranet yang ditampilkan pada Gambar 5.56. Lalu dilakukan juga test ping ke internet misal ke website detik.com dan hasilnya pun sama yaitu Request time out yang berarti koneksi ke internet sudah diblok. Hasil screenshot dari log mikrotik dan hasil ping ke internet ditunjukan pada Gambar 5.57.
71
http://digilib.mercubuana.ac.id/
Gambar 5.55 – Log Mikrotik dan Hasil Ping ke intranet
Gambar 5.56 – Log Mikrotik dan Hasil Ping ke internet Selanjutnya alamat IP 192.168.24.65 akan didaftarkan ke Akses intranet (Gambar 5.58) dan mencoba melakukan test ping ke IP intranet 192.168.11.7 dan hasilnya computer 192.168.24.65 sudah bisa ping ke 192.168.11.7 tetapi ketika dicoba ping ke internet hasilnya masih Request time out. Artinya Address list Akses Intranet hanya mengijinkan pengguna untuk mengakses intranet saja dan diblokir untuk mengakses internet. Hasil ping dapat dilihat pada Gambar 5.59 berikut ini.
72
http://digilib.mercubuana.ac.id/
Gambar 5.57 -
Alamat IP 192.168.24.65 terdaftar pada Address list
Akses Intranet.
Gambar 5.58 – Log Akses Intranet dan hasil ping komputer pengguna
73
http://digilib.mercubuana.ac.id/
Selanjutnya alamat IP 192.168.24.65 akan didaftarkan pada Address list Akses Internet (Gambar 5.60) dan dilakukan test ping ke IP 192.168.11.7 dan test ping ke internet. Hasilnya komputer dengan IP 192.168.24.65 tidak dapat melakukan ping ke IP 192.168.11.7 namun bisa melakukan ping ke internet yaitu ping ke detik.com. Hasil screenshoot test ping dan log dapat dilihat pada Gambar 5.61. Artinya untuk Address list Akses Internet pengguna hanya diijinkan untuk mengakses internet tetapi dilarang untuk mengakses intranet. Address list ini akan diterapkan untuk pengguna yang bukan karyawan seperti tamu yang berkunjung ke kantor yang membutuhkan akses internet. Sehingga penguna (tamu) hanya bisa mengakses internet dan tidak bisa mengakses ke IP intranet.
Gambar 5.59 – IP 192.168.24.65 terdaftar di Address list Akses Internet
74
http://digilib.mercubuana.ac.id/
Gambar 5.60 – Log akses internet dan hasil ping pengguna ke intranet dan internet. Pengujian selanjutnya adalah mendaftarkan alamat IP 192.168.24.65 ke address list Akses Intranet & Internet (Gambar 5.62). Dan kemudian melakukan test ping ke intranet dan internet. Hasilnya komputer dengan IP 192.168.24.65 berhasil melakukan ping ke 192.168.11.7 (intranet) dan melakukan ping ke detik.com(internet) yang ditunjukan pada Gambar 5.63. Artinya untuk address list Akses Intranet & Internet diijinkan untuk mengakses jaringan intranet maupun jaringan internet.
75
http://digilib.mercubuana.ac.id/
Gambar 5.61 – Alamat IP 192.168.24.65 terdaftar di Address list Akses Intranet dan Internet
Gambar 5.62 – Hasil ping ke intranet dan internet
76
http://digilib.mercubuana.ac.id/
Untuk pengujian pada Mikrotik sudah bisa dilakukan pembatasan antara akses intranet dan akses internet. Alamat IP yang tidak terdaftar pada Address list tidak dapat terhubung ke intranet maupun internet. Kemudian untuk address list akses intranet hanya bisa mengakses intranet. Lalu address list akses internet hanya bisa mengakses internet. Dan address list akses intranet & internet dapat mengakses intranet dan internet. Tahap pengujian firewall pada Mikrotik selesai.
5.2.2.Pengujian firewall Fortigate Sama halnya dengan mikrotik, pada firewall Fortigate juga dapat dilihat trafik yang melewati firewall policy. Dengan cara melihat pada packet counter yang ditampilkan di web admin dapat diketahui apakah policy yang sudah dibuat bekerja atau tidak. Hasil packet counter yang sudah difilter oleh Fortigate dapat dilihat pada Gambar 5.64 berikut ini.
Gambar 5.63 – Jumlah trafik dari firewall policy Fortigate Selain dari packet counter yang ditampilkan pada policy, untuk melihat apakah firewall yang diimplementasikan sudah berjalan atau belum dapat dilihat dari log yang ada pada Fortigate. Untuk melihat log dapat diakses melalui menu Log & Report > Security log. Untuk log pada web filter bisa dilihat pada Gambar 5.65. Dari gambar tersebut dapat dilihat IP mana saja yang sudah melanggar firewall policy dan URL mana saja yang diakses serta action dari fortigate apakah diblok atau tidak. Ditampilkan juga kategori yang diakses oleh pengguna.
77
http://digilib.mercubuana.ac.id/
Gambar 5.64 – Log dari webfilter Fortigate 5.2.3.Pengujian pada Pengguna Pengujian selain dari sisi perangkat firewall juga dilakukan dari sisi pengguna. Karena berhasil tidaknya pembatasan hak akses ini dibuktikan di sisi pengguna. Dalam pengujian dari sisi pengguna akan dibuat beberapa skenario pengujian sebagai berikut : 1. Pengujian dengan IP yang berbeda. 2. Pengujian dengan profile Fortigate yang berbeda. 3. Pengujian dengan perangkat yang berbeda. 4. Pengujian dengan cara akses web yang berbeda. Untuk pengujian akses website, diambil masing-masing 3 URL website per kategori filter. Contohnya : Kategori Social Network : facebook.com, twitter.com, instagram.com Kategori File Sharing :
uptobox.com, tusfiles.net, indoshares.com
Kategori Media Streaming : youtube.com, soundcloud.com, joox.com Untuk akses internet menggunakan pengujian dengan website detik.com Untuk akses intranet menggunakan pengujian dengan webmail intranet 192.168.11.6/webmail
Pengujian dengan IP yang berbeda. Digunakan 3 komputer dengan IP yang berbeda serta Adress list yang berbeda. IP yang digunakan adalah sebagai berikut : 192.168.24.65 tanpa diberi Address list. 192.168.24.205 dengan Address list Intranet. 192.168.24.114 dengan Address list Intranet dan Internet.
78
http://digilib.mercubuana.ac.id/
Gambar 5.65 – IP 192.168.24.65 tanpa Address list
Gambar 5.66 - Pengujian ping dari IP 192.168.24.65 ke intranet dan internet.
79
http://digilib.mercubuana.ac.id/
Gambar 5.67 – Pengujian dari IP 192.168.24.65 mengakses intranet dan internet lewat browser. Dari hasil pengujian yang terlihat pada gambar 5.67 dan gambar 5.68 komputer dengan IP 192.168.24.65 yang disetting tanpa address list tidak dapat mengakses ke intranet maupun internet.
Gambar 5.68 – IP 192.168.24.205 dengan Address list Intranet
80
http://digilib.mercubuana.ac.id/
Gambar 5.69 - Pengujian ping dari IP 192.168.24.65 ke intranet dan internet.
Gambar 5.70 – Pengujian IP 192.168.24.205 mengakses intranet dan internet lewat browser. Dari hasil pengujian yang terlihat pada gambar 5.69 dan gambar 5.70 komputer dengan IP 192.168.24.205 yang disetting dengan address list AksesIntranet bisa membuka webmail intranet tapi tidak bisa membuka website detik.com yang berarti tidak terkoneksi ke internet.
81
http://digilib.mercubuana.ac.id/
Gambar 5.71 – IP 192.168.24.114 dengan Address list Intranet dan Internet
Gambar 5.72 - Pengujian ping dari IP 192.168.24.114 ke intranet dan internet.
82
http://digilib.mercubuana.ac.id/
Gambar 5.73 – Pengujian IP 192.168.24.205 mengakses intranet dan internet lewat browser. Dari hasil pengujian yang terlihat pada gambar 5.72 dan gambar 5.73 komputer dengan IP 192.168.24.114 yang disetting dengan address list AksesIntranet&Internet bisa membuka webmail intranet dan juga bisa membuka website detik.com yang berarti komputer tersebut memiliki akses ke intranet dan internet.
Pengujian dengan profile Fortigate yang berbeda. Sebagai sampel, tiga komputer yang sudah diberikan akses internet, kemudian akan diberikan profil yang berbeda pada Fortigate untuk dilakukan pengujian web akses. 192.168.24.65 dengan profil webfilter_akses_filesharing 192.168.24.205 dengan profil webfilter_akses_socialnetwork 192.168.24.114 dengan profil webfilter_akses_all IP didaftarkan sebagai object di fortigate. Penulis membuat nama untuk setiap object agar mudah penyebutannya. IP 192.168.24.65 didaftarkan sebagai object dengan nama Komputer 1, IP 192.168.24.205 didaftarkan sebagai object dengan nama Komputer 2, dan IP 192.168.24.114 didaftarkan sebagai object dengan nama Komputer 3.
83
http://digilib.mercubuana.ac.id/
Gambar 5.74 – Nama-nama object pada Fortigate untuk setiap IP address yang sudah didaftarkan. Setelah didaftarkan sebagai object address, selanjutnya adalah mendaftarkan address ke AddressGroup atau bisa disebut juga sebagai profil webfilter. Komputer 1 sebagai member dari profil akses_filesharing, Komputer 2 sebagai member dari profil akses_socialnetwork, dan Komputer 3 sebagai member dari profil akses_all. Seperti yang terlihat pada gambar 5.75.
84
http://digilib.mercubuana.ac.id/
Gambar 5.75 – Address Group webfilter Dilakukan pengujian untuk komputer 1 yang menggunakan profil webfilter akses file sharing untuk membuka website yang termasuk di dalam kategori social network dan media streaming. Hasilnya bisa dilihat pada Gambar 5.76 dan Gambar 5.77.
Gambar 5.76 – Akses website facebook.com yang termasuk kategori social networking yang sudah terblok.
85
http://digilib.mercubuana.ac.id/
Gambar 5.77 – Akses website youtube.com yang termasuk kategori media streaming yang sudah terblok.
Gambar 5.78 – Akses website uptobox.com yang termasuk kategori file sharing dapat diakses, sesuai profil webfilter Komputer 1. Pengujian yang kedua dilakukan pada Komputer 2 dengan profil webfilter akses social networking. Setelah dicoba untuk mengakses website yang termasuk kategori file sharing seperti uptobox.com, kemudian muncul pesan pemblokiran website seperti yang terlihat pada Gambar 5.79. Selanjutnya dicoba lagi untuk mengakses website yang sesuai profil social networking seperti facebook.com dan website facebook.com dapat diakses seperti yang terlihat pada Gambar 5.80.
86
http://digilib.mercubuana.ac.id/
Gambar 5.79 – website uptobox.com yang diblokir karena tidak sesuai dengan profil webfilter di komputer 2
Gambar 5.80 – Website facebook.com yang termasuk kategori social networking dapat dibuka oleh komputer 2 karena sesuai dengan profil webfilternya. Pengujian yang ketiga dilakukan pada Komputer 3 yang memiliki profil webfilter akses all yang artinya dapat mengakses website dengan kategori file sharing, social networking, maupun media streaming. Berikut contoh website yang sudah dicoba diakses dapat dilihat pada Gambar 5.81.
87
http://digilib.mercubuana.ac.id/
Gambar 5.81 Komputer 3 dapat mengakses website tusfiles.net (file sharing) , twitter.com(social networking), dan joox.com (media streaming) sesuai webfilter akses all.
Pengujian dengan perangkat yang berbeda. Pengujian yang lain dilakukan dengan cara menggunakan perangkat yang berbeda yaitu dengan menggunakan perangkat Smartphone. Smartphone pertama tidak diberi akses internet dan smartphone kedua diberi akses internet. IP kedua smartphone tersebut adalah sebagai berikut :
Gambar 5.82 – Smartphone A dengan IP 192.168.27.232 dan tanpa address list.
88
http://digilib.mercubuana.ac.id/
Gambar 5.83 – Smartphone B dengan IP 192.168.27.244 dengan address list : Intranet&Internet Pada smartphone A dilakukan pengujian untuk membuka website detik.com tapi ternyata tidak bisa. Karena memang IP smartphone A tidak didaftarkan pada address list.
Gambar 5.84 – Smartphone A tidak bisa membuka website detik.com
89
http://digilib.mercubuana.ac.id/
Sedangkan pada smartphone B juga dilakukan pengujian untuk membuka website detik.com dan halaman website detik.com bisa diakses. Karena IP smartphone B termasuk ke address list akses intranet&internet.
Gambar 5.85 - Smartphone B bisa membuka website detik.com Kemudian untuk smartphone B yang sudah bisa mengakses internet namun belum didaftarkan pada webfilter di Fortigate dilakukan pengujian untuk mengakses website uptobox.com , joox.com, dan instagram.com . Dan hasilnya adalah website tersebut tidak dapat diakses dan keluar pesan bahwa website tersebut diblok. Karena secara default akses website yang berkategori File Sharing, media streaming, dan social networking memang diblok.
90
http://digilib.mercubuana.ac.id/
Gambar 5.86 – Smartphone B membuka website file sharing yang diblok
Gambar 5.87 Smartphone B membuka website media streaming yang diblok
Gambar 5.88 - Smartphone B membuka website social networking yang diblok 91
http://digilib.mercubuana.ac.id/
Pengujian dengan cara akses web yang berbeda. Yang dimaksud cara akses web yang berbeda disini adalah ketika kita ingin membuka sebuah website kita akan mengetikan alamat website tersebut secara langsung di address bar browser. Ada juga cara lain dengan menuliskan alamat website tersebut pada mesin pencari seperti google.com setelah muncul hasil pencarian kemudian mengakses website yang dituju melalui link hasil pencarian. Ada suatu kasus ketika kita membuka website dengan cara pertama dan website tersebut tenyata diblok, namun ketika menggunakan cara kedua, melalui link hasil pencarian google, website tersebut bisa diakses. Pada pengujian pembatasan hak akses dengan mikrotik dan fortigate ini, penulis sudah mencoba kedua cara mengakses website tersebut. Dan sudah mengulang beberapa kali dengan komputer yang berbeda dan IP yang berbeda serta profil webfilter yang berbeda. Dan hasilnya adalah website yang termasuk kategori dilarang. Maka saat diakses secara langsung maupun melalui link hasil pencarian tetap tidak bisa diakses karena diblokir.
92
http://digilib.mercubuana.ac.id/
5.3. Analisa Hasil Pengujian Dari semua hasil pengujian yang sudah dilakukan dengan firewall Mikrotik dan firewall Fortigate dapat dirangkum ke dalam sebuah tabel tes kasus (Tabel 5.4) yang berisi skenario pengujian dan hasil yang diharapkan. Dalam tabel tersebut dapat diberikan kolom validasi untuk mengetahui kesesuaian antara perancangan jaringan dengan implementasi jaringan yang sudah dilakukan.
Tabel 5.4 – Tes kasus pengujian firewall mikrotik dan fortigate No 1
Skenario
Hasil yang diharapkan
Pengguna
tidak Pengguna
didaftarkan
pada mengakses jaringan intranet
address list mikrotik. Pengguna 2
dalam
dalam
terdaftar Pengguna dapat mengakses list internet tapi tidak bisa akses
AksesInternet 4
dalam
internet.
address
Pengguna
dan internet
list intranet tapi tidak bisa akses
AksesIntranet 3
dapat
terdaftar Pengguna dapat mengakses
address
Pengguna
tidak
Validasi
intranet. terdaftar Pengguna dapat mengakses
address
list intranet dan internet
AksesIntranet&Internet Pengguna
tidak Pengguna
didaftarkan pada group membuka
5
tidak
bisa
website
yang
akses Fortigate (akses masuk ke dalam kategori
default)
file sharing, social network,
dan media streaming. 6
Pengguna
dalam group akses all Pengguna
7
terdaftar Pengguna dapat membuka
website tanpa pembatasan.
terdaftar Pengguna dapat membuka
dalam group akses file website sharing
yang
masuk
kategori file sharing.
93
http://digilib.mercubuana.ac.id/
Pengguna
8
dalam
terdaftar Pengguna dapat membuka
group
akses website
social network Pengguna
9
dalam
yang
masuk
kategori social network. terdaftar Pengguna dapat membuka
group
media streaming
akses website
yang
masuk
kategori media streaming.
Di dalam Fortigate terdapat feature log report yang dapat menampilkan log firewall, yang menunjukan banyaknya pemblokiran yang sudah dilakukan oleh Fortigate. Log reportnya dapat dilihat dalam gambar-gambar berikut.
Gambar 5.89 – Log monitor pemblokiran website berdasarkan kategori. Kategori website yang paling sering diblokir adalah : 1. Meaningless Content 2. Games 3. Social Networking
94
http://digilib.mercubuana.ac.id/
Gambar 5.90 – IP address yang sering diblokir untuk akses File Sharing
Gambar 5.91 – IP address yang sering diblokir untuk akses Games
95
http://digilib.mercubuana.ac.id/
Gambar 5.92 – IP address yang sering diblokir untuk akses Social Networking
Gambar 5.93 – IP address yang sering diblokir untuk akses Streaming Media
96
http://digilib.mercubuana.ac.id/