Upload
vuthuy
View
225
Download
0
Embed Size (px)
Citation preview
42
BAB 4
IMPLEMENTASI DAN EVALUASI
4.1. Spesifikasi Sistem
Dalam membangun jaringan pada Yayasan dan Sekolah Sang Timur ini
membutuhkan sarana pendukung baik perangkat lunak dan perangkat keras.
4.1.1. Spesifikasi Perangkat Keras
Perangkat keras yang dibutuhkan antara lain:
• Router RB951-2n
Tabel 4.1 Spesifikasi RB951-2n
(Sumber routerboard.com/RB951-2n, diakses tanggal 17 Febuari
2013)
Product Code RB951-2n
CPU Speed 300 Mhz
RAM 32MB
Architecture MIPS-BE
LAN ports 5
Gigabit 0
Mini PCI 0
Integrated Wireless Yes
Wireless standards 802.11b/g/n
USB 0
Power Jack 8-30V DC
802.3af support No
PoE 8-28V DC on Ether1
Voltage Monitor No
PCB temperature monitor No
CPU temperature monitor No
Dimensions 113x89x28mm
Temperature range -20C .. +50C
RouterOS License Level 4
Antenna gain 1.5dBi
Current Monitor No
TX Power 17dBm
CPU AR9331
Max Power Consumption 3W
43
• Modem FirstMedia
• PC Client
• Kabel UTP
• RJ-45
4.1.2. Spesifikasi Perangkat Lunak
Perangkat lunak yang dibutuhkan antara lain:
• Winbox
• MikroTik OS
Gambar 4.1 Jenis lisensi dan fitur MikroTik OS (Sumber Citraweb Indonusa Infomedia, p29)
Tabel 4.2 Spesifikasi Modem Motorolla SB 5100
(Sumber http://reviews.cnet.com/search-results/motorola
surfboard-sb5100-cable/4507-5_7-30482516.html,
diakses tanggal 17 Febuari 2013)
Interface Type USB/Ethernet
Connectivity Technology Wired
Max Transfer Rate 38.0 Mbps
Protocols & Specifications DOCSIS 2.0
Line Coding Format
256QAM, 16 QAM, 64 QAM, 128 QAM,
QPSK, 8 QAM, 32 QAM
44
45
4.2. Rancangan Topologi
4.2.1. Rancangan Topologi Logical
Gambar 4.2 Rancangan Logical Topologi Yayasan Karya Sang Timur
Perwakilan Jakarta-Banten
46
Router digunakan untuk sentralisasi jaringan pada setiap unit dan
yayasan. Pada router tersebut dapat diimplementasikan bandwidth
management, polis dan security jaringan. Pada percobaan ini RB 951-2n hanya
memiliki 5 interface Fast Ethernet, maka jaringan TK dan SD digabung
menjadi satu. Hal ini dikarenakan kegiatan operasional TK yang tidak banyak
sehingga sisa dari bandwidth tersebut dapat digunakan oleh SD yang memiliki
kegiatan operasional yang paling besar.
4.2.2. Pengalamatan IP
Dalam memudahkan manajemen jaringan, hal pertama yang harus
dilakukan adalah mengganti sistem pengalamatan yang lama. Pada sistem yang
lama, pengalamatan menggunakan servis DHCP untuk setiap perangkat
jaringan yang ada. Pada sistem yang baru, pengalamatan akan diberikan secara
static kepada sebagian perangkat, terutama perangkat yang terdapat pada bagian
operasional sekolah. Penggunaan IP static pada bagian operasional sekolah
dimaksudkan untuk memudahkan management dan juga dokumentasi jaringan,
karena management pada jaringan yang menggunakan DHCP lebih sulit dan
dapat menyebabkan terjadinya computer name conflict antar komputer.
Perangkat yang diluar bagian operasional akan mendapatkan alamat IP melalui
servis DHCP. Berikut ini adalah tabel rincian penggunaan alamat IP
berdasarkan tiap unit.
Tabel 4.3 Alokasi pengalamatan IP tiap unit pada Yayasan Karya Sang Timur Perwakilan Jakarta-Banten
Bagian / Unit Range IP Address Jumlah Host
Yayasan (192.168.14.0/24)
Absensi 192.168.14.1 – 192.168.14.2 2 Host
Biara 192.168.14.3 – 192.168.14.5 3 Host
Printer 192.168.14.6 – 192.168.14.7 2 Host
Tata Usaha 192.168.14.8 – 192.168.14.11 4 Host
47
Pengalamatan IP yang digunakan untuk tiap unitnya (kecuali TK dan SD)
berada pada range yang berbeda, pemisahan range ini bertujuan untuk
pembagian bandwidth jaringan tiap unit.
4.3. Implementasi Sistem
Setelah perancangan jaringan telah selesai, maka langkah selanjutnya adalah
melakukan konfigurasi pada MikroTik. Berikut ini adalah langkah – langkah dalam
membuat jaringan komputer dengan menggunakan MikroTik sesuai dengan topologi
yang telah dirancang:
TK (192.168.4.0/24)
Admin 192.168.4.1 1 Host
Kelas 192.168.4.2 – 192.168.4.7 6 Host
Lab DHCP 20 Host
Tata Usaha 192.168.4.8 1 Host
Printer 192.168.4.9 – 192.168.4.11 3 Host
SD (192.168.4.0/24)
Lab 192.168.4.12 – 192.168.4.56 45 Host
Kepala Sekolah 192.168.4.57 1 Host
Printer 192.168.4.58 – 192.168.4.60 3 Host
Tata Usaha 192.168.4.61 – 192.168.4.65 6 Host
SMP (192.168.16.0/24)
Admin 192.168.16.1 1 Host
Kelas 192.168.16.2 – 192.168.16.16 15 Host
Lab Lantai 1 DHCP 45 Host
Lab Lantai 2 DHCP 45 Host
Penilaian 192.168.16.17 – 192.168.16.36 20 Host
Perpustakaan 192.168.16.37 – 192.168.16.38 2 Host
Printer 192.168.16.39 – 192.168.16.41 3 Host
Tata Usaha 192.168.16.42 – 192.168.16.44 3 Host
SMA (192.168.1.0/24)
Kelas 192.168.1.1 – 192.168.1.21 22 Host
Kepala Sekolah 192.168.1.22 1 Host
Lab DHCP 45 Host
Guru 192.168.1.23 – 192.168.1.52 30 Host
Printer 192.168.1.53 – 192.168.1.55 3 Host
Tata Usaha 192.168.1.56 – 192.168.1.58 3 Host
48
4.3.1. Winbox
Winbox merupakan sebuah aplikasi yang disediakan oleh MikroTik dan
merupakan salah satu cara untuk melakukan konfigurasi. Untuk
menghubungkan Winbox ke MikroTik, dapat menggunakan alamat IP yang
terdapat pada interface MikroTik maupun menggunakan alamat MAC.
Gambar 4.4 Tampilan login winbox dengan menggunakan alamat
MAC.
Gambar 4.3 Aplikasi Winbox.
49
Pada gambar 4.4, textbox “Connect To” akan diisi dengan alamat
MikroTik yang akan dikonfigurasi. Winbox dapat mendeteksi semua MikroTik
yang terhubung ke perangkat komputer yang digunakan untuk konfigurasi,
sehingga pengguna tetap dapat mengkonfigurasi meskipun MikroTik belum
memiliki alamat IP. Kemudian pada bagian login dan password, masukkan
username dan password yang digunakan untuk mengakses MikroTik, setelah
itu tekan tombol “Connect” untuk masuk ke halaman utama Winbox seperti
gambar 4.5. Pada Winbox, juga terdapat menu “New Terminal” yang digunakan
untuk konfigurasi menggunakan command layaknya konfigurasi menggunakan
Console.
Gambar 4.5 Tampilan awal winbox.
50
4.3.2. Konfigurasi Interface
Penamaan pada interface dimaksudkan untuk memudahkan identifikasi fungsi
masing – masing interface yang ada, sehingga kesalahan konfigurasi dapat
dihindari serta mempermudah dokumentasi dan identifikasi ketika terjadi
masalah.
Gambar 4.7 Tampilan nama interface secara default.
Gambar 4.6 Tampilan menu New Terminal pada Winbox.
51
Untuk merubah nama tiap interface, hal pertama yang harus dilakukan adalah
masuk kedalam bagian interface. Kemudian gunakan perintah set yang diikuti
dengan interface yang hendak dikonfigurasi beserta dengan nama baru yang
akan diberikan terhadap tiap interface.
4.3.3. Konfigurasi Alamat IP untuk setiap Interface pada Router.
Alamat IP pada interface router akan digunakan sebagai alamat gateway pada
tiap host jaringan, alamat gateway ini yang menjadi jalur keluar dari suatu
jaringan menuju jaringan lain, seperti contohnya agar komputer host dapat
melakukan komunikasi keluar dari jaringannya menuju akses internet.
Pengaturan alamat IP terdapat pada bagian IP Address, kemudian gunakan
perintah add yang diikut dengan interface, alamat IP, alamat Network serta
alamat Broadcast dari masing-masing unit. Untuk interface “FirstMedia”
Gambar 4.8 Tampilan nama interface setelah dikonfigurasi.
[admin@MikroTik] > interface set ether1 name=FirstMedia
[admin@MikroTik] > interface set ether2 name=Yayasan
[admin@MikroTik] > interface set ether3 name=TK/SD
[admin@MikroTik] > interface set ether4 name=SMP
[admin@MikroTik] > interface set ether5 name=SMA
52
pengalamatan dikonfigurasi secara dinamis yang akan diberikan oleh server
DHCP ISP tersebut.
[admin@MikroTik] /ip address>
add interface=SMP
address=192.168.16.254/24
network=192.168.16.0
broadcast=192.168.16.255
[admin@MikroTik] /ip address>
add interface=TK/SD
address=192.168.4.254/24
network=192.168.4.0
broadcast=192.168.4.255
[admin@MikroTik] > ip address
[admin@MikroTik] /ip address>
add interface=Yayasan
address=192.168.14.254/24
network=192.168.14.0
broadcast=192.168.14.255
[admin@MikroTik] > ip dhcp-client
[admin@MikroTik] /ip dhcp-client> add interface=FirstMedia
disabled=no
53
Setelah konfigurasi selesai, dilakukan pengecekan untuk memastikan
konfigurasi yang dimasukkan berhasil.
Gambar 4.10 Tampilan hasil konfigurasi alamat IP tiap interface.
Gambar 4.9 Alamat IP yang didapat dari DHCP ISP
[admin@MikroTik] /ip address>
add interface=SMA
address=192.168.1.254/24
network=192.168.1.0
broadcast=192.168.1.255
54
4.3.4. Konfigurasi DHCP pada Router.
Pengaturan untuk mengaktifkan servis Dynamic Host Configuration Protocol
(DHCP) yang diperlukan untuk beberapa perangkat jaringan pada unit – unit
Sekolah Sang Timur Tomang. Untuk dapat menjalankan servis DHCP,
diperlukan sebuah DHCP pool berisikan alamat – alamat IP yang akan
diberikan kepada perangkat jaringan yang meminta alamat IP. Jumlah DHCP
Pool dibuat berdasarkan banyak servis DHCP Server yang akan dijalankan.
[admin@MikroTik] /ip pool>
add name=Pool_SMA
ranges=192.168.1.100-192.168.1.250
[admin@MikroTik] /ip pool>
add name=Pool_SMP
ranges=192.168.16.100-192.168.16.250
[admin@MikroTik] > ip pool
[admin@MikroTik] /ip pool>
add name=Pool_TK/SD
ranges=192.168.4.100-192.168.4.200
55
Setelah DHCP Pool telah dikonfigurasi, selanjutkan dilakukan konfigurasi
DHCP Server dengan menggunakan pool masing-masing.
[admin@MikroTik] /ip dhcp-server>
add name=DHCP_SMA
interface=SMA
address-pool=Pool_SMA
disabled=no
[admin@MikroTik] /ip dhcp-server>
add name=DHCP_SMP
interface=SMP
address-pool=Pool_SMP
disabled=no
[admin@MikroTik] > ip dhcp-server
[admin@MikroTik] /ip dhcp-server>
add name=DHCP_TK/SD
interface=TK/SD
address-pool=Pool_TK/SD
disabled=no
Gambar 4.11 Tampilan hasil konfigurasi pool DHCP.
56
4.3.5. Konfigurasi Gateway pada Router
Langkah selanjutnya adalah mengkonfigurasi gateway sebagai jalur keluar
menuju jaringan internet.
Pada gambar 4.13 hanya terdapat rute dari masing – masing interface, namun
tidak terdapat rute untuk menuju ke jaringan luar atau internet. Oleh karena itu
dilakukan konfigurasi agar interface “FirstMedia” menjadi jalur keluar menuju
jaringan internet.
[admin@MikroTik] > ip route add gateway=FirstMedia
Gambar 4.13 Tampilan sebelum konfigurasi gateway.
Gambar 4.12 Tampilan hasil konfigurasi DHCP.
57
4.3.6. Konfigurasi DNS pada Router
Untuk dapat terhubung ke internet, router dikonfigurasi untuk mengetahui
nama domain. Alamat Domain Name Server (DNS) yang digunakan adalah
alamat yang diperoleh dari ISP.
[admin@MikroTik] > ip dns
[admin@MikroTik] /ip dns> set primary-dns=202.73.99.2
secondary-dns=61.247.0.2
Gambar 4.14 Tampilan hasil konfigurasi gateway.
58
4.3.7. Konfigurasi Network Address Translation (NAT) pada Router
NAT dikonfigurasi pada interface yang menuju ke internet, sehingga semua
jaringan yang berada di jaringan lokal dapat mengakses internet.
4.3.8. Pengaturan Bandwidth dengan menggunakan Queue Tree
Untuk pengaturan bandwidth dapat dilakukan dengan queue, bandwidth
akan dibagi secara merata untuk setiap unit yang ada. Untuk mengetahui
darimana paket data berasal, maka paket data tersebut ditandai berdasarkan
alamat IP asal paket dengan menggunakan perintah “mangle”.
[admin@MikroTik] > ip firewall
[admin@MikroTik] /ip firewall> nat add chain=srcnat
action=masquerade
out-interface=FirstMedia
Gambar 4.15 Tampilan hasil konfigurasi alamat DNS.
59
[admin@MikroTik] /ip firewall> mangle
[admin@MikroTik] /ip firewall mangle>
add src-address=192.168.14.0/24
action=mark-connection
new-connection-mark=mark_Yayasan
chain=prerouting
[admin@MikroTik] /ip firewall mangle>
chain=prerouting
action=mark-packet
new-packet-mark=pmark_Yayasan
passthrough=yes
connection-mark=mark_Yayasan
[admin@MikroTik] /ip firewall mangle>
add src-address=192.168.4.0/24
action=mark-connection
new-connection-mark=mark_TK/SD
chain=prerouting
[admin@MikroTik] /ip firewall mangle>
chain=prerouting
action=mark-packet
new-packet-mark=pmark_TK/SD
passthrough=yes
connection-mark=mark_TK/SD
[admin@MikroTik] /ip firewall mangle>
add src-address=192.168.16.0/24
action=mark-connection
new-connection-mark=mark_SMP
chain=prerouting
[admin@MikroTik] /ip firewall mangle>
chain=prerouting
action=mark-packet
new-packet-mark=pmark_SMP
passthrough=yes
connection-mark=mark_SMP
60
Sebagai percobaan, digunakan jaringan internet FirstMedia yang
terdapat pada SD Sang Timur Tomang. Percobaan dilakukan saat kegiatan
sekolah sedang tidak berjalan, dan pada saat percobaan dilakukan, hanya
terdapat 3 PC yang beroperasi. Spesifikasi yang diperoleh dari hasil pengujian
adalah sebagai berikut:
Gambar 4.16 Spesifikasi bandwidth FirstMedia
pada SDK Sang Timur
[admin@MikroTik] /ip firewall mangle>
add src-address=192.168.1.0/24
action=mark-connection
new-connection-mark=mark_SMA
chain=prerouting
[admin@MikroTik] /ip firewall mangle>
chain=prerouting
action=mark-packet
new-packet-mark=pmark_SMA
passthrough=yes
connection-mark=mark_SMA
61
SDK Sang Timur Tomang memiliki bandwidth sebesar up to 4 Mbps untuk
akses ke internet, dengan informasi tersebut maka bandwidth akan dibagi
sebesar 600 kbps pada downlink yang akan dikonfigurasikan pada max-limit
untuk koneksi downlink dan 300 kbps pada max-limit untuk koneksi uplink
untuk tiap unit yang ada.
[admin@MikroTik] /queue tree>
add name=uplink_SMP
parent=FirstMedia
limit-at=50600
packet-mark=pmark_SMP
max-limit=300000
[admin@MikroTik] /queue tree>
add name=downlink_SMP
parent=SMP
limit-at=480000
packet-mark=pmark_SMP
max-limit=600000
[admin@MikroTik] /queue tree>
add name=uplink_SMA
parent=FirstMedia
limit-at=50600
packet-mark=pmark_SMA
max-limit=300000
[admin@MikroTik] /queue tree>
add name=uplink_Yayasan
parent=FirstMedia
limit-at=50600
packet-mark=pmark_Yayasan
max-limit=300000
[admin@MikroTik] /queue tree>
add name=downlink_Yayasan
parent=Yayasan
limit-at=480000
packet-mark=pmark_Yayasan
max-limit=600000
62
Untuk interface TK/SD, max-limit pada downlink dan uplink lebih besar dua
kali lipat karena interface tersebut digunakan oleh dua unit sekolah.
[admin@MikroTik] /queue tree>
add name=uplink_TK/SD
parent=FirstMedia
limit-at=50600
packet-mark=pmark_TK/SD
max-limit=300000
[admin@MikroTik] /queue tree>
add name=downlink_TK/SD
parent=TK/SD
limit-at=960000
packet-mark=pmark_TK/SD
max-limit=1200000
[admin@MikroTik] /queue tree>
add name=downlink_SMA
parent=SMA
limit-at=480000
packet-mark=pmark_SMA
max-limit=600000
63
4.3.9. Pengaturan Firewall
Untuk mengamankan dan juga membatasi hak akses pada jaringan Yayasan dan
Sekolah Sang Timur, dibuatlah sebuah policy melalui konfigurasi firewall. Hal
pertama yang dilakukan adalah konfigurasi agar router memeriksa semua paket
data yang melalui router dan melakukan block terhadap paket data yang tidak
diinginkan diinginkan atau paket invalid. Paket invalid adalah sebuah paket
yang rusak dan tidak bisa diproses oleh perangkat jaringan.
Gambar 4.17 Tampilan hasil konfigurasi Queue Tree.
64
Selanjutnya untuk menjaga integritas data tiap unit, dibuatlah sebuah policy
firewall untuk mencegah komunikasi tiap unit sekolah, dan hanya
memperbolehkan komunikasi antara unit terhadap yayasan serta koneksi ke
internet.
Konfigurasi pertama adalah untuk melakukan drop paket data yang berasal dari
subnet alamat IP unit SMA ke unit SMP.
Tambahkan konfigurasi policy untuk melakukan drop paket dari subnet alamat
IP unit SMA ke unit TK/SD.
[admin@MikroTik] /ip firewall filter>
add chain=forward
action=drop
src-address=192.168.1.0/24
dst-address=192.168.4.0/24
[admin@MikroTik] /ip firewall filter>
add chain=forward
action=drop
src-address=192.168.1.0/24
dst-address=192.168.16.0/24
[admin@MikroTik] /ip firewall filter>
add chain=forward
connection-state=established
comment=”allow established connections”
[admin@MikroTik] /ip firewall filter>
add chain=forward
connection-state=related
comment=”allow related connections”
[admin@MikroTik] /ip firewall filter>
add chain=forward
connection-state=invalid
action=drop
comment=”drop invalid connections”
65
Tambahkan konfigurasi policy untuk melakukan drop paket dari subnet alamat
IP unit TK/SD ke unit SMP.
Untuk meningkatkan keamanan, setelah membuat chain untuk policy jaringan
LAN, port dan protocol yang biasanya menjadi celah bagi Trojan maupun
virus.
[admin@MikroTik] /ip firewall filter>
add chain=virus protocol=tcp dst-port=135-139
action=drop comment="Drop Blaster Worm"
add chain=virus protocol=udp dst-port=135-139
action=drop comment="Drop Messenger Worm"
add chain=virus protocol=tcp dst-port=445
action=drop comment="Drop Blaster Worm"
add chain=virus protocol=udp dst-port=445
action=drop comment="Drop Blaster Worm"
add chain=virus protocol=tcp dst-port=593
action=drop comment="________"
add chain=virus protocol=tcp dst-port=1024-1030
action=drop comment="________"
add chain=virus protocol=tcp dst-port=1080
action=drop comment="Drop MyDoom"
add chain=virus protocol=tcp dst-port=1214
action=drop comment="________"
add chain=virus protocol=tcp dst-port=1363
action=drop comment="ndm requester"
[admin@MikroTik] /ip firewall filter>
add chain=forward
action=drop
src-address=192.168.4.0/24
dst-address=192.168.16.0/24
66
Setelah chain selesai dibuat, hubungkan terhadap chain forward.
add chain=forward action=jump
jump-target=virus comment="jump to the virus chain"
add chain=virus protocol=tcp dst-port=1364
action=drop comment="ndm server"
add chain=virus protocol=tcp dst-port=1368
action=drop comment="screen cast"
add chain=virus protocol=tcp dst-port=1373
action=drop comment="hromgrafx"
add chain=virus protocol=tcp dst-port=1377
action=drop comment="cichlid"
add chain=virus protocol=tcp dst-port=1433-1434
action=drop comment="Worm"
add chain=virus protocol=tcp dst-port=2745
action=drop comment="Bagle Virus"
add chain=virus protocol=tcp dst-port=2283
action=drop comment="Drop Dumaru.Y"
add chain=virus protocol=tcp dst-port=2535
action=drop comment="Drop Beagle"
add chain=virus protocol=tcp dst-port=2745
action=drop comment="Drop Beagle.C-K"
add chain=virus protocol=tcp dst-port=3127-3128
action=drop comment="Drop MyDoom"
add chain=virus protocol=tcp dst-port=3410
action=drop comment="Drop Backdoor OptixPro"
add chain=virus protocol=tcp dst-port=4444
action=drop comment="Worm"
add chain=virus protocol=udp dst-port=4444
action=drop comment="Worm"
add chain=virus protocol=tcp dst-port=5554
action=drop comment="Drop Sasser"
add chain=virus protocol=tcp dst-port=8866
action=drop comment="Drop Beagle.B"
add chain=virus protocol=tcp dst-port=9898
action=drop comment="Drop Dabber.A-B"
add chain=virus protocol=tcp dst-port=10000
action=drop comment="Drop Dumaru.Y"
add chain=virus protocol=tcp dst-port=10080
action=drop comment="Drop MyDoom.B"
add chain=virus protocol=tcp dst-port=12345
action=drop comment="Drop NetBus"
add chain=virus protocol=tcp dst-port=17300
action=drop comment="Drop Kuang2"
add chain=virus protocol=tcp dst-port=27374
action=drop comment="Drop SubSeven"
add chain=virus protocol=tcp dst-port=65506
action=drop comment="Drop PhatBot, Agobot, Gaobot"
67
4.3.10. Pengamanan Router
Selain pengamanan jaringan, pengamanan router juga merupakan hal yang
penting dilakukan untuk menghindari konfigurasi pihak yang tidak memiliki
hak.
Berikut ini langkah-langkah yang dilakukan dengan menggunakan Winbox:
• Konfigurasi Account untuk akses konfigurasi Router.
Account dibutuhkan untuk dapat mengakses konfigurasi router,
pengaturan account terdapat pada bagian “System”, kemudian masuk
kedalam menu “Users”. Setelah itu tambahkan user baru dan user
tersebut hanya boleh diakses oleh Yayasan melalui alamat IP
192.168.14.1. Dengan demikian, perubahan konfigurasi router hanya
bisa dilakukan melalui satu PC yang memiliki hak.
Gambar 4.18 Tampilan Add User
68
• Matikan Port Servis yang Tidak Digunakan.
Router MikroTik dapat menjalankan beberapa servis, dan akan
lebih baik jika port servis yang tidak dibutuhkan dan hanya
mengaktifkan port SSH dan port Winbox.
Gambar 4.20 Hasil Konfigurasi disable port servis.
[admin@MikroTik] >ip services
[admin@MikroTik] /ip services>set ftp disabled=yes
[admin@MikroTik] /ip services>set telnet disabled=yes
[admin@MikroTik] /ip services>set www disabled=yes
[admin@MikroTik] /ip services>set www-ssl disabled=yes
Gambar 4.19 Tampilan hasil konfigurasi User
69
• Mencegah BruteForce via SSH.
Langkah berikutnya adalah mengamankan akses konfigurasi
secara remote melalui SSH. Router akan menolak dan menandai
permintaan akses sebuah alamat IP setelah password yang dimasukkan
salah berkali-kali.
[admin@MikroTik] >ip firewall filter
[admin@MikroTik] /ip firewall filter>
add chain=input protocol=tcp dst-port=22
src-address-list=ssh_blacklist action=drop
comment="Drop SSH BruteForce" disabled=no
[admin@MikroTik] /ip firewall filter>
add chain=input protocol=tcp dst-port=22
connection-state=new action=add-src-to-address-list
address-list=ssh_stage1 address-list-timeout=1m
disabled=no
[admin@MikroTik] /ip firewall filter>
add chain=input protocol=tcp dst-port=22
connection-state=new src-address-list=ssh_stage1
action=add-src-to-address-list address-list=ssh_stage2
address-list-timeout=5m disabled=no
[admin@MikroTik] /ip firewall filter>
add chain=input protocol=tcp dst-port=22
connection-state=new src-address-list=ssh_stage2
action=add-src-to-address-list address-list=ssh_stage3
address-list-timeout=10m disabled=no
[admin@MikroTik] /ip firewall filter>
add chain=input protocol=tcp dst-port=22
connection-state=new src-address-list=ssh_stage3
action=add-src-to-address-list address-list=ssh_blacklist
address-list-timeout=24h disabled=no
70
4.4. Evaluasi / Analisis Hasil Percobaan
Setelah konfigurasi maka dilakukan pengujian dan analisis, berikut hasil analisis
yang diperoleh:
4.4.1. Evaluasi Bandwidth Management
Pengetesan bandwidth sebelum konfigurasi dilakukan tercatat sebesar 2.81
Mbps, dan setelah Queue Tree diaktifkan dan dilakukan pengetesan ulang,
tercatat bandwidth yang didapat adalah sebesar 576.10 kbps atau sekitar 1/5
dari bandwidth awal.
4.4.2. Evaluasi Pengaturan Hak Akses Unit
Untuk menguji pengaturan hak akses, dilakukan percobaan dengan
menggunakan Ping dari unit ke unit lainnya.
Gambar 4.21 Hasil Tes Bandwidth setelah Queue Tree diaktifkan.
71
Dari gambar 4.22 di atas dapat dilihat bahwa PC pada subnet IP yayasan dapat
terkoneksi dengan PC pada subnet IP TK/SD.
Dari gambar di atas dapat dilihat bahwa PC dari subnet IP TK/SD dapat
terkoneksi dengan PC subnet IP Yayasan. PC TK/SD dan PC Yayasan dapat
terkoneksi satu sama lain.
Gambar 4.23 Hasil ping dari salah satu PC
pada subnet IP TK/SD ke IP Yayasan
Gambar 4.22 Hasil ping dari salah satu PC
pada subnet IP Yayasan ke IP TK/SD
72
Dari gambar di atas dapat dilihat bahwa PC dari subnet IP TK/SD tidak dapat
terkoneksi dengan PC subnet IP SMP setelah diterapkannya pengaturan hak
akses yaitu PC subnet IP tiap unit sekolah tidak bisa berhubungan satu sama
lain.
Dari gambar di atas dapat dilihat bahwa PC dari subnet IP TK/SD tidak dapat
terkoneksi dengan PC subnet IP SMA setelah diterapkannya pengaturan hak
Gambar 4.25 Hasil ping dari salah satu PC
pada subnet IP TK/SD ke IP SMA
Gambar 4.24 Hasil ping dari salah satu PC
pada subnet IP TK/SD ke IP SMP
73
akses yaitu PC subnet IP tiap unit sekolah tidak bisa berhubungan satu sama
lain.
4.4.3. Evaluasi Proteksi Terhadap SSH Brute Force
Pengujian terhadap policy untuk mencegah Brute Force ke router via SSH
dilakukan dengan percobaan SSH dari salah satu PC pada jaringan SMA. Pada
percobaan, password diinputkan secara acak untuk akses konfigurasi MikroTik.
Dari gambar di atas bias dilihat bahwa IP 192.168.1.200 telah masuk ke dalam
stage 1, stage 2, stage 3, dan blacklist. Jika sudah masuk ke dalam daftar
blacklist maka IP tersebut tidak dapat melakukan SSH lagi selama 24 jam.
Gambar 4.26 Tampilan Address-List dari IP yang telah diblok
74
Dari gambar di atas, dapat dilihat bahwa IP yang sudah masuk ke dalam
blacklist sudah tidak dapat melakukan SSH lagi.
4.4.4 Evaluasi Perbandingan Sistem Lama dengan Sistem Baru
Sistem Lama Sistem Baru
- Tidak ada pembagian bandwith
pemakaian Internet
- Tersebar pada setiap unit sehingga
menggunakan ISP yang berbeda
- Adanya pembagian bandwith uplink
dan downlink
- Tersentralisasi pada yayasan dan
menggunakan 1 ISP dengan
kecepatan yang lebih tinggi dengan
harga yang relatif lebih murah
Gambar 4.27 Tampilan Hasil Percobaan SSH setelah IP diblok
75
- Tidak adanya security - Terdapat security, antara lain :
Packet Filtering, pengamanan dari
Brute Force melalui SSH, dan
mematikan port service yang tidak
digunakan
- Tidak terdapat komunikasi data
antara unit dengan yaysan
- Terdapat komunikasi data antara
unit dengan yayasan