Membuat Penjadwalan (Scheduler) Restart Otomatis pada Mikrotik

Perkenalan penulis dengan “scheduler” berawal dari pengalaman penulis saat awal-awal mengenal mikrotik, ada kejadian dimana beberapa kali Router Mikrotik (menggunakan PC pentium 4) yang penulis kelola  tiba-tiba error dan tidak bisa diakses, yang ujung-ujungnya harus direstart, akhirnya saat itu penulis berinisiatif untuk membuat router mikrotik bisa otomatis reboot/restart setiap hari agar kejadian tersebut tidak terulang lagi. Dan setelah menerapakan scheduler reboot otomatis ini, router mikrotik tersebut tidak pernah error lagi sendiri seperti sebelumnya, mungkin router juga butuh istirahat setiap harinya dengan cara reboot ini, karena ia bekerja 24 jam sehari :)

Demikian peekenalan penulis dengan fungsi scheduler di Mikrotik, pada dasarnya scheduler pada Mikrotik bisa dimanfaatkan untuk banyak hal, seperti pemblokiran situs terntentu pada jam tertentu, Limit bandwidth pada jam tertentu dan masih banyak lagi, pada intinya fungsi scheduler adalah melakukan penjadwalan pada system router mikrotik tergantung apa yang ingin anda dijadwalkan.

Pada postingan kali ini membahas tutorial tentang membuat penjadwalan restart otoomatis pada Mikrotik. Setting penjadwalan restart Router Mikrotik ini merupakan setting paling mudah dan simpel, berikut adalah tutorial dengan menggunakan winbox.

Pertama, jangan lupa setting “clock” pada Router Mikrotik anda, karena sistem penjadwalan “scheduler” berdasarkan sistem waktu pada Router Mikrotik anda.

Selanjutnya klik “System” – “scheduler”

Klik tanda [+] pada jendela scheduler, dan isikan penjadwalan yang anda inginkan dan jangan lupa paad kolom “On Event” isikan “/system reboot” sebagai perintah untuk restart,
Pada contoh di berikut, Router Mikrotik di setting agar restart setiap hari pada jam 00:00 (tengah malam)

Note :
Name : Nama penjadwalan yang anda inginkan
Start Date : Tanggal dimulainya penjadwalan tersebut dimulai, secara otomatis akan tertulis tnggal hari ini.
Start Time : Kapan penjadwalan dieksekusi, dalam kasus ini, adalah jam dimana saat Router Mikrotik direstart secara otomatis oleh system.
Interval : Interval / jangka waktu penjadwalan, dalam kasus ini setiap berapa jam / hari router akan di restart, dalam contoh interval-nya 1d (satu hari) yang artinya, penjadwalan akan di eksekusi 1 hari setelah penjadwalan pertama dieksekusi, simpelnya setiap hari pada jam 00:00 Router Mikrotik dijadwalkan untuk restart.
On Event : Kolom yang berisi “perintah” atau “script” yang harus dieksekusi dalam penjadwalan. Dalam kasus ini adalah script/perintah untuk restart, maka di isi dengan “/system reboot”

Demikian tutorial singkat tentang penjadwalan restart pada Router Mikrotik.

Read more...

Setup TP-Link TD8840T sebagai Bridge Mode

          Selain difungsikan sebagai router ada kalanya modem ADSL difungsikan sebagai mode bridge saja, yaitu hanya berfungsi sebagai device yang menjembatani ISP dengan router misal seperti Mikrotik RouterOS, sehingga kinerja modem ADSL tersebut tidaklah terlalu berat, karena fungsi-fungsi router seperti PPPoE, DHCP, Manajemen Bandwidth dan User telah ditangani oleh router tersebut. Dan berikut adalah tutorial untuk setup Modem ADSL TP-Link TD8840T.

Login ke halaman administrator Modem, lalu klik “Quick Setup”, pilih “Run Wizard”

Pilih Time zone

Centang pada “Bridge Mode”

Masukkan VPI dan VCI sesuai daerah anda dengan vendor TP-Link

Setup telah selesai, jangan lupa untuk mengganti password modem jika password anda masih default dari vendor.

Semoga Bermanfaat :)

Read more...

Setup Modem ADSL TP-Link TD-8840T sebagai PPPoE/PPPoA

          Sedikit review tentang ADSL, ADSL merupakan kepanjangan dari Asymmetric Digital Subscriber Line, salah satu kelebihan dari koneksi ADSL ini adalah adanya pembagian frekuensi untuk layanan suara (telephone) dan data (internet). ADSL saat ini menjadi pilihan banyak kalangan yang menginginkan koneksi internet yang  cepat dengan biaya yang tidak terlalu mahal, layanan ADSL di Indonesia yang banyak dikenal adalah program Telkom Speedy . Jika ingin mendalami tentang ADSL silahkan kesini atau kesini. dan berikut adalah tutorial untuk setup Modem ADSL TP-Link TD-8840T sebagai PPPoE/PPPoA :

Sambungkan Komputer anda dengan Modem, lalu setting IP address komputer yang akan anda gunakan untuk men-setup modem ADSL sebagai berikut :

Akses modem dari browser kesayangan anda dengan mengtikkan ip address modem pada URL

Masukkan username : admin dan password : admin

Kemudian akan muncul halaman utama admin sebagai berikut

 

Untuk memulai setup, klik “Quick Setup”, lalu klik “run wizard”

Next untuk melanjutkan setup

Pilih TimeZone

 

Pilih PPPoE/PPPoA sebagai ISP connection type

 

Masukkan Username dan Password akun ISP anda (akun Speedy), untuk VPI dan VCI silahkan sesuaikan dengan Daerah dan Vendor modem anda, jika anda pelanggan ISP Speesdy anda bisa menelepon 147 untuk mengetahui VPI dan VCI untuk Daerah dan Vendor modem anda.

Setup modem telah selesai, silahkan cek koneksi anda dengan menggunakan fasilitas ping ke internet atau paling mudah ping ke ip address google yaitu 8.8.8.8

Sebagai tambahan, untuk mengamankan jaringan anda dari penyusup dan cracker ada baiknya anda mengganti password default modem pada menu “maintenance – administration”.

Semoga bermanfaat :)

Read more...

Kind of Intruders in Network Security (NIDS Prolog)

Secara leterlek intruder dapat diartikan sebagai penyusup. Dalam dunia jaringan komputer khususnya nerwork security juga terdapat istilah penyusup, dan setiap penyusup pastilah berniat tidak baik atau mungkin jika ia hanya iseng tentu kehadirannya tidak diharapkan. Di sini akan dibahas beberapa jenis intruder dalam security network beserta beberapa saran untuk menanggulanginya. Intruder bukan hanya manusia namun juga bisa  software yang berupa virus, worm ataupun trojan. Untuk intruder berupa software ini tentu sudah tidak asing lagi ditelinga kita.

Sebelum mempelajari tentang Intrution Detection System ada baiknya kita mengetahui jenis – jenis Penyusup untuk mengenal lenih jauh musuh kita :), dengan begitu kita bisa mencari cara menanggulanginya, dirinjau dari statusnya,  seorang intruder dalam network security dikelaskan menjadi tiga kelas sebagai berikut :

1. Masquerader

“An individual who is not authorised to use the computer and who penetrates a system’s access controls to exploit a legitimate user’s account”

Singkatnya masquerader adalah user yang tidak mempunyai hak akses yang sah, kemudian ia melakukan penetrasi terhadap akses kontrol sistem untuk mengeksploit akun user yang sah  dan memanfaatkan akun yang telah dieksploit tersebut untuk mencapai tujuannya. Masquerader biasanya adalah orang luar (outsider)

2. Misuser

“A legitimate user who accesses data, programs, or resources for which such access is not authorised, or who is authorised for such access, but misuses his or her privileges”

Misuser adalah user yang sah yang mencoba mengakses resource yang bukan menjadi haknya, seperti seorang mahasiswa yang ingin mendapatkan hak akses dosen, atau juga seorang yang mempunyai hak akses terhadap resource tersebut namun menyalahgunakan kekuasaan atau hak akses tersebut.
Misuser biasanya adalah orang dalam (insider).

3. Clandestine User

“An individual who seizes supervisory control of the system and uses this control to evade auditing and access controls or to suppress audit collection.”

Clandestine user adalah seseorang yang merebut kendali pengawasan sistem (supervisory control of the system) untuk menghindar dari pengwasan dan masuk ke sistem. Clandestine user bisa insider maupun outsider.

Selain itu ditinjau dari motivasi penyusupannya intruder juga digolongkan menjadi tiga :

1. Hacker
Seorang hacker dimotivasi oleh gairah untuk meretas dan mencari kebanggaaan dalam komunitasnya. Jika penyusup ini jinak (tidak merusak) mungkin masih bisa ditoleransi, namun masalahnya tidak bisa diketahui apakah ia jinak atau tidak dari semula.
Berikut adalah beberapa kebiasaan dan karakter dari hacker :

• Mencari target dengan memanfaatkan tool IP lookup 
• Memetakan jaringan untuk mencari celah service yang dapat diakses
• Mengidentifikasi potensi service  yang vulnerable 
•  Menebak-nebak password (Brute Force)
• Menunggu admin untuk login dan mengcapture password
• Menginstall remote administration tool
• Dan sisanya masuk menggunakan password yang telah didapat

Penyusup hacker masih dapat diatasi dengan bantuan IDS (Intrution Detection System), IPS (Intrution Prevention System) atau VPN (Virtual Private Network)

2. Criminal
Penyusup dengan tipe criminal harus diwaspadai, karena modus yang digunakan biasanya adalah mencari keuntungan dan terorganisir secara rapi. Biasanya mempunyai target yang sudah ditentukan dan akan mencari tau segala kelemahannya untuk dapat masuk, bertindak secara cepat lalu keluar setelah mendapatkan yang dicari. Sasarannya pada umumnya adalah kartu kredit atau server e-commerce serta penyerangannya tidaklah individual namun secara berkelompok dan terorganisasi.
Berikut adalah Criminal behaviour :

• Bertindak cepat dan tepat untuk membuat aktivitas mereka sulit dilacak
• Mengeksploit perimeter melalui port yang vulnerable
• Menggunakan trojan horses (hidden software) untuk meninggalkan backdoor sebagai sarana untuk masuk kembali suatu saat jika diperlukan (re-entry)
• Menggunakan sniffer untuk meng-capture password
• Tidak akan berlama – lama di situ hingga ketahuan
• Membuat kesalahan seminimal mungkin atau bahkan jika bisa sama sekali tidak membuat kesalahan

Penggunaan IDS dan IPS meungkin masih dapat mengatasi namun kurang efektif, untuk data yang sensitif dibutuhkan proteksi yang kuat. Criminal juga biasa disebut sebagai Cracker atau juga ada yang disebut Carder. Awal mula terkenalnya criminal ini dari Hacker – hacker di  Eropa Timur dan Rusia.

3. Insider
Penyusup yang satu ini harus lebih diwaspadai dari criminal, karena penyusup ini adalah musuh dalam selimut. Intruder jenis ini adalah jenis intruder yang paling sulit dideteksi dan dicegah karena ia adalah orang yang mempunyai akses dan pengetahuan tentang sistem. Pada umumnya dimotivasi oleh balas dendam terhadap perusahaan tersebut karena pemecatan misalnya atau menjual informasi untuk kepentingan perusahaan kompetitor dengan mengambil data kostumer.
Dan ini adalah kebiasaan –kebiasaan (behaviour) dari insider yang perlu diwaspadai :

• Membuat akun untuk dia  sendiri dan teman-temannya 
• Mengakses aplikasi dan akun yang ridak dibutuhkan untuk pekerjaan  sehari – hari mereka
• Mengirim email kepada mantan ataupun calon pengusaha
• Chating secara sembunyi –sembunyi 
• Mengunjungi situs yang melayani karyawan yang tidak puas
• Mendownload atau mengkopi file dengan kapasitas yang besar
• Mengakses jaringan disaat jam istirahat

IDS atau IPS masih dapat membantu mengatasi Insider, namun juga dibutuhkan kebijakan untuk menerapkan previlege yang strict, log monitor, autentikasi yang kuat, memblokir resource yang bukan menjadi hak aksesnya.

Pada dasarnya teknik penyusup untuk mendapatkan tujuannya adalah dengan mendapatkan akses ke sistem atau untuk meningkatkan berbagai hak akses istimewa pada sebuah sistem dan juga dengan mendapatkan informasi yang umumnya dilindungi (seperti file password), sehingga perlindungan yang umum digunakan adalah dengan enkripsi dan kontrol terhadap akses sistem.

Sebagai seorang administrator jaringan tentu kehadiran intruder adalah hal yang sangat tidak diinginkan. Dengan artikel ini semoga anda bisa mengenali macam – macam penyusup jaringan anda, sehingga dapat lebih hati – hati dan bijak dalam memanage jaringan. Untuk meminimalisir adanya intruder selain menggunakan IDS / IPS dan VPN, anda juga bisa menggunakan FIrewall dan Honeypot
Postingan ini di terjemahkan dan disarikan dari Modul Perkuliahan Penganmanan Sistem Komputer. Postingan ini dimaksudkan untuk dokumentasi pengetahuan serta sarana berbagi ilmu dengan para blogger. Semoga bermanfaat

Read more...

Blokir Situs Porno dan Negatif dengan DNS Nawala pada Mikrotik

“Nawala Nusantara adalah sebuah layanan yang bebas digunakan oleh pengguna internet yang membutuhkan saringan situs negatif. Nawala Nusantara akan membantu menapis jenis situs-situs negatif yang tidak sesuai dengan peraturan perundangan, nilai dan norma sosial, adat istiadat dan kesusilaan bangsa Indonesia seperti pornografi dan perjudian. Selain itu, Nawala Nusantara juga akan menapis situs Internet yang mengandung konten berbahaya seperti malware, situs phising (penyesatan) dan sejenisnya.
Selamat Menggunakan layanan kami dan jika ada saran, usulan, dan kritikan alamatkan ke info@nawala.org
Salam,
Tim Nawala “

Demikian sambutan oleh Tim Nawala pada website nawala.org yang sekaligus bisa memberikan anda pengertian tentang apa itu Nawala. DNS Nawala merupakan program pemerintah dalam hal ini mekominfo untuk memfilter situs situs negatif dan terutama situs porno. ISP di Indonesia sebenarnya diharuskan untuk menggunakan DNS ini pada Server mereka, namun entah karena alasan bisnis atau yang lainnya, sampai saat ini masih banyak pengguna layanan ISP yang bebas untuk mengakses situs – situs porno. Terlepas dari semua kelemahan DNS Nawala ini, jika anda berminat untuk memblokir situs – situs negatif pada jaringan anda, anda bisa menggunakan DNS ini pada Server jaringan anda.

Pada tutorial ini akan membahas tentang bagaimana memblokir situs negatif dengan Nawala pada Mikrotik RouterOS. Set DNS Server Mikrotik menggunakan DNS Server Nawala (180.131.144.144 dan 180.131.145.145).
Buka terminal dan ketikkan :

ip dns set servers=180.131.144.144,180.131.145.145 allow-remote-requests=yes

untuk penggunakan mikrotik versi 3.xx kebawah :

ip dns set primary-dns=180.131.144.144 secondary-dns=180.131.145.145 allow-remote-requests=yes

atau jika anda prefer menggunakan winbox anda bisa ser DNS Server melalui menu IP > DNS lalu isikan DNS Server Nawala (180.131.144.144 dan 180.131.145.145) dan centang pada “allow-remote-requests”.

Langkah selanjutnya adalah memaksa client untuk menggunakan DNS Server Nawala ini meski client tersebut mengakali dengan menggunakan Open DNS dengan mengeset DNS Server sendiri. Langkah ini adalah untuk menanggulangi kelemahan program pemblokiran yang lebih mengandalkan kesadaran dari pengguna. Namun bukankah tak ada gading yang tak retak, kita perlu mengapresiasi usaha menkominfo dalam pemfilteran situs – situs negatif di Indonesia tercinta ini. Oke kembali pada hal teknis, untuk  memaksa setiap pemintaan DNS (port 53) pada protokol UDP dan TCP ke DNS Mikrotik yang sudah di set ke Nawala  (jadi, meskipun user menggunakan DNS lain tetap akan “dipaksa” menggunakan DNS nawala) buat rule di firewall seperti berikut :

ip firewall nat add chain=dstnat protocol=tcp dst-port=53 action=redirect to-ports=53 comment=NawalaPornBlocking
ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53 comment=NawalaPornBlocking

Jika menggunakan winbox, anda bisa mensetting dengan masuk ke menu “ip” > “firewall” > “NAT”.

Untuk membuktikan keampuhan dari Metode Pemblokiran dengan DNS Nawala ini silahkan anda buka situs – situs porno, jika anda benar – benar tidak tahu anda bisa mencarinya di gugel dengan keyword “porn” lalu akses salah satu yang ada list, maka akan diredirect ke halaman nawala.org seperti berikut :

Jika pemblokiran situs porno dengan menggunakan web-proxy mikrotik masih bisa bocor, begitu pula dengan metode pemfilteran dengan DNS Nawala ini, jadi sebagai saran saja, untuk menambah keampuhan pemblokiran situs porno ini anda bisa mengkombinasikan dengan metode lain, yang salah satunya adalah dengan web proxy mikrotik yang sudah dibahas disini.
Ayo majukan Indonesia dengan menggunakan produk dalam negeri, dan salah satunya adalah Nawala Project. Semoga bermanfaat untuk jaringan anda dan Negeri ini. :)

Read more...

Cara Mudah Blokir Situs Porno dengan Web Proxy Mikrotik

     Pemblokiran situs porno masih menjadi dilema di negeri ini,mungkin  begitu juga dengan jaringan yang anda kelola, sebagai seorang administrator sebenarnya tidak masalah, namun jika dengan diaksesnya web porno apa lagi mendownload video dapat memperlambat koneksi user lainnya (terutama untuk instansi pendidikan atau instansi lainnya yang tidak diperuntukkan / diijinkan untuk mengakses web porno), maka inilah alasan utama bagi seorang administrator untuk memblokir situs porno disamping alasan kemanusiaan, agama dan lain lain.

Tutorial ini adalah tutorial untuk memblokir situs porno dengan cara yang sangat simple namun lumayan efektif karena  penyaringan yang dilakukan dengan menggunakan keyword. Syarat utama memblokir situs porno dengan metode ini adalah mengaktifkan web proxy mikrotik, jika belum silahkan menuju kesini untuk tutorialnya.
Jika ingin menggunakan terminal, anda bisa mengetikkan perintah berikut :

ip proxy access add dst-host=*porn* action=deny redirect-to=appstrack.blogspot.com
ip proxy access add dst-host=*xxx* action=deny redirect-to=appstrack.blogspot.com
ip proxy access add dst-host=*sex* action=deny redirect-to=appstrack.blogspot.com
ip proxy access add dst-host=*girl* action=deny redirect-to=appstrack.blogspot.com

“dst host” : keyword yang ingin diblokir, untuk kasus web porno anda bisa mengisinya dengan xxx, sex, porn, girl dan keyword web porno yang lain diantara karakter * (karakter * di depan dan belakang keyword dimaksudkan untuk menangkap paket apapun yang terdapat kata porn (misalnya) baik itu tepat porn, ataupun di depan dan belakangnya terdapat karakter  atau huruf yang lain, lalu di men-drop atau mengalihkan paket tersebut ke situs yang telah kita spesifikasikan pada “redirect”)
“redirect” : jika user mngakses salah satu keyword diatas, maka ia akan dialihkan ke situs appstrack.blogspot.com

Jika lebih suka menggunakan winbox, anda bisa mengaksesnya dengan menu “IP” > “Web Proxy” > klik “Access” > klik menu “+” berwana merah untuk menambahkan access yang ingin diblokir > isikan keyword yng ingin diblokir pada “Dst. Host :” dan isi deny pada “Action :”, jika anda ingin me-redirect ke halaman web tertentu silahkan ketikkan pada “Redirect to :”

Mudah bukan ?

Untuk membuktikan kempuhannya, silahkan test dari browser anda untuk mengakses web porno, misal dengan mencari keyword yang anda blokir tadi di om gugel, dan cobalah mengaksesnya. Jika tidak diredirect maka akan muncul halaman peringatan seperti ini.

Ini adalah tutorial paling sederhana yang masih ada beberapa kelemahan karena hanya menggunakan keyword, kadang - kadang masih bisa bocor  jika ada web porno yang tidak menggunakan keyword yang telah dispesifikasikan. Sebaiknya kombinasikan dengan metode pemblokiran web porno lain yang lebih efektif.

Read more...

Change Web Proxy Mikrotik Disk Stores

Secara dafault cache web proxy di simpan pada hardisk tempat mikrotik diinstal, namun jika dirasa hardisk sebagai tempat instalasi mikrotik tersebut terlalu kecil untuk menyimpan cache, anda bisa menyimpannya di hardisk lain yang lebih besar kapasitasnya, dan berikut adalah tutorialnya.
Sebelumnya diasble dahulu proxy dan NAT redirect-nya jika sedang aktif, lalu klik menu stores, hapus dulu tempat penyimpanan cache proxy default

store remove "web-proxy1"

“web-proxy1” : nama default untuk tempat penyimpanan web proxy

Setelah hardisk terpasang, format terlebih dahulu hardisk baru yang akan digunakan untuk cache proxy.

store disk format-drive secondary-slave

Ketikkan “y” jika muncul peringatan

“WARNING: All disk data will be lost! Format drive? [y/N]”.

Tunggu beberapa saat sampai selesai proses format yang lumayan memakan waktu, sabar yah :), lalu tambahkan tempat penyimpanan baru.untuk web proxy

store add name=Internal_Proxy disk=secondary-slave activate=yes type=web-proxy

“Internal_Proxy “: penamaan untuk tempat penyimpanan cache yang akan digunakan
“secondary-slave” : port hardisk yang akan digunakan untuk menyimpan cache (jika anda tidak yakin berada di port mana hardisk yang akan anda gunakan, anda bisa melihat berdasarkan space atau kapasitasnya dengan perintah “store disk print”)

dan langkah terakhir Restart router mikrotik anda.

Read more...

Set Transparent Proxy Mikrotik

 Jika jaringan mikrotik yang anda kelola adalah wireless dan anda menggunakan proxy, anda tentu akan sangat kesulitan dan tersibukkan jika harus mensetting satu persatu komputer client untuk mengarahkan ke proxy server proxy mikrotik, apalagi jika user-nya setiap hari berganti seperti di kafe – kafe. Untuk memudahkan seorang admin dan juga memaksa user untuk menggunakan web proxy mikrotik yang telah anda set, Solusinya adalah set mikrotik sebagai Transparent Proxy.

Transparent Proxy akan memaksa user untuk mengarahkan semua paket pada port 80 (http) menuju port 3128 (port web proxy mikrotik yang telah anda set).
Sebelumnya jangan lupa setup Web Proxy, jika belum silahkan setup dahulu dengan tutorial disini. Untuk mensetting agar Web Proxy Mikrotik anda Transparent, anda hanya perlu mensetting pada User Profile dengan mencentang  “Tansparent Procy”, atau pada terminal anda bisa menggunakan perintah berikut :

ip hotspot user profile set "nama User Profile" transparent-proxy=yes

jika anda menggunakan mikrotik versi 3.xx ke bawah, pada winbox pengaturan ini ada pada menu “IP” > “Web Proxy” > “Setting” > centang “Transparent Proxy”

Selamat beristirahat :), karena kini anda tidak perlu mensetting satu persatu komputer client untuk mengarah ke Web Proxy Mikrotik anda.

Read more...

Setup Web Proxy Mikrotik

     Web Proxy dengan salah satu fungsinya yang dapat men-cache konten statik (meski kini banyak proxy yang dapat menyimpan  konten dinamis) sering dijadikan salah satu teknik untuk mempercepat koneksi internet. Tentu ini tanpa alasan, karena dengan men-cache konten statis di jaringan lokal akan meringankan beban koneksi internet dari ISP, konten yang biasanya di layani oleh ISP dengan mengambil langsung dari server kini tinggal di load dari web proxy lokal, dengan begitu akan sangat menghemat bandwith internet.

 
Mikrotik selain fungsi dasarnya sebagai RouterOS juga terdapat fitur Web Proxy di dalamnya. Dan berikut adalah tutorial untuk men-setup web-proxy pada mikrotik :
Pada tutorial ini diasumsikan setup mikrotik anda sudah beres, jika belum anda bisa lihat di sini dulu untuk setup mikrotik.
Topologi :

 
Setup Web Proxy Server pada Mikrotik
Pertama enable fitur web-proxy pada mikrotik menggunakan terminal

/ip proxy set enabled=yes port=3128 cache-administrator=Adminitrator_Jaringan max-cache-size=unlimited cache-on-disk=yes always-from-cache=yes cache-hit-dscp=4

Selanjutnya redirect semua paket web (port 80) menuju web-proxy (port 3128)

/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 in-interface=Lokal action=redirect to-ports=3128  comment=Redirect-HTTP-to-WebProxy

Yang terakhir setting mangle firewall secara terurut (jangan dibolak balik) sebagai Cache Hits (TOS) di Web Proxy Mikrotik
 

ip firewall mangle add chain=output out-interface=Lokal dscp=4 action=accept comment=Cache_Hit_Proxy

/ip firewall mangle add chain=output out-interface=Lokal dscp=4 action=mark-packet new-packet-mark=tcp-hit passthrough=no

/ip firewall mangle add chain=prerouting src-address=10.0.0.0/24 in-interface=Lokal action=mark-packet new-packet-mark=upload passthrough=no comment=WebProxyMangle

/ip firewall mangle add chain=forward src-address=10.0.0.0/24 action=mark-connection new-connection-mark=cli-conn passthrough=yes comment=WebProxyMangle

/ip firewall mangle add chain=forward in-interface=Internet connection-mark=cli-conn action=mark-packet new-packet-mark=download passthrough=no comment=WebProxyMangle

/ip firewall mangle add chain=output dst-address=10.0.0.0/24 out-interface=Lokal action=mark-packet new-packet-mark=download passthrough=no comment=WebProxyMangle

Selesai sudah setup internal web proxy mikrotik.

Setting Proxy pada Client
Selanjutnya adalah setting proxy di sisi client pada browser :

• Firefox : “Option” > pilih tab advanced > klik “Setting” > centang “Manual Proxy Configuration” > isikan “10.0.0.1” (IP Address Mikrotik) pada HTTP Proxy dan isikan “3128” pada Port. 
• 
  
• Chrome : “Settings” > klik “Advanced Settings” > “Change Proxy Settings” > “LAN Setting” > centang “use a proxy server .....” > isikan “10.0.0.1” (IP Address Mikrotik) pada Address dan isikan “3128” pada Port.
• 
   

 Untuk setting pada browser lainnya silahkan anda cari sendiri, karena pada dasarnya hampir sama :)
Jika anda ingin membuat Web Proxy tersebut Transparent agar tidak perlu repot setting pada client, silahkan lihat tutorialnya disini.

Monitoring Web Peoxy
Anda bisa memonitor berapa banyak Hit (jumlah paket yang dikirimkan dari proxy lokal ke client) dengan perintah berikut

ip proxy monitor

penulis lebih suka melihat kinerja proxy ini melalui winbox karena terasa lebih real, jika anda ingin melihat melalui winbox anda bisa melihatnya pada menu  “IP” > “Web Proxy” > “Web Proxy Seting” > klik tab “Status”
dan untuk melihat trafik Cache Hit Web Proxy, anda bisa melihatnya melalui menu “IP” > “Firewall” > klik tab “Mangle” > Double klik pada mangle yang tadi terdapat comment “Cache_Hit_Proxy” > klik tab “Statistics”

Dari gambar diatas dapat kita lihat pada detik terakhir ada 561,1 kbps konten statis yang diakses dari web-proxy lokal oleh user, dengan begitu ada penghematan bandwith 561,1 kb setiap detiknya jika di asumsikan rata2 koneksi ke web-proxy per-detik-nya 561,1 kb. Namun pada prakteknya biasanya cache hit web proxy pada router mikrotik yang penulis kelola bisa mencapai 8Mbps-10Mbps  saat user ramai, tentu ini penghematan yang sangat besar bukan ? :)
Sebagai tambahan, Jika Hardisk tempat dimana mikrotik diinstal sebagai tempat penyimpanan default cache web proxy dirasa kapasitasnya kurang memadai, anda bisa menyimpannya pada hardisk lain yang berkapasitas lebih besar, dan berikut turorialnya disini.

Read more...

Things to Do After Setup Mikrotik

        Melanjutkan pembahasan pada posting sebelumnya tentang basic setup mikrotik, disini akan dibahas hal – hal apa saja yang seharusnya dilakukan atau dirubah setelah setup mikrotik selesai, karena setting yang ada pada setup mikrotik biasanya masih default atau sekedar mengiikuti tutorial yang ditemukan untuk yang baru berkenalan dengan mikrotik :) . Untuk lebih detailnya berikut adalah hal – hal yang perlu diperhatikan yang berkaitan dengan security dasar mikrotik, manajemen user, server dan bandwith serta monitor jaringan dan backup konfigurasi.

1. Ubah username dan password default Admin Mikrotik
Ini adalah hal yang sangat urgen untuk dilakukan pertama kali setelah install mikrotik selesai, karena username dan password admin ini adalah celah yang sangat rawan untuk dibobol hacker jika dibiarkan default. Ada tiga group atau level admin yang ada pada User Management Mikrotik :

• Full

Admin dengan level / grup full, adalah super administrator yang mempunyai hak akses penuh terhadap system, seseorang yang mempunyai hak akses ini bisa melakukan apapun tehadap router mikrotik-nya. Sebaiknya hati-hati dalam menggunakan user dengan hak akses full ini, sangat direkomendasikan untuk menggunakannya pada lokal saja ataupun pada jaringan yang aman, bukan pada jaringan yang terdapat celah sniffing seperti wireless, karena sekali username dan pasword ini diketahui oleh pihak yang tidak diinginkan, ia bisa melakukan apa saja dengan jaringan anda. Lebih baik jika anda menspesifikasikan ip address berapa saja yang dapat mengakses user dengan hak akses full ini, atau juga bisa menggunakan jaringan khusus dengan subnet dengan prefix    30. Penulis merasa pelu menjelaskan sepanjang ini karena penulis pernah mengalami pengalaman pahit, jaringan mikrotik yang penulis kelola  diambil alih oleh user lain, yang membuat kelabakan dan harus men-setup ulang mikrotik karena tidak dapat lagi masuk sebagai admin. Sebaiknya hanya satu orang yang memiliki hak akses ini, jika ada admin selain anda, berikan ia hak skses write atau read.

• Write

User dengan hak akses write hampir sama dengan full, namun ada beberapa batasan yang tidak bisa dilakukan oleh user dengan hak akses write ini. Jika ingin melakuakn konfigurasi atau perubahan pada mikrotik dengan metode remote sebaiknya gunakan hak akses ini, karena user group write tidak dapat merubah password user group full , andai hak akses ini diambil alih oleh pihak yang tidak diinginkan, anda masih punya hak akses full. Namun lebih baik lagi jika anda juga menspesifikasikan ip address berapa saja yang dapat mengakses user group ini.

• Read

Jika tujuan anda hanya memonitor jaringan dan tidak melakukan perubahan baik lokal maupun remote, sebaiknya gunakan user group read ini. User grup read hanya bisa memonitor saja, tidak dapat melakukan peruahan apapun kecuali mengganti passwordnya sendiri.

Demikian tingkatan user group pada mikrotik dengan berbagai pertimabangan yang penulis berikan berdasarkan pengalaman penulis, dan jangan lupa untuk logout jika sudah selesai, karena kelalaian ini bisa berakibat fatal. Selain itu gunakan password yang unik dan panjang dengan kombinasi alfabet dan angka untuk menghindari serangan brute force, dan juga berikan username yang mengidentifikasikan pemegang akunnya. Silahkan kelola pemegang akun jaringan anda sebijak mungkin :). Anda bisa mengubahnya melalui menu system – users atau untuk mikrotik 3.22 kebawah pada menu users.

2. Services

Pada menu service yang bisa diakses melalui menu “IP – Services”, silahkan anda konfigurasi service apa saja yang diijinkan pada jaringan anda. Untuk men-disable service tertentu  anda tinggal klik service yang diinginkan lalu klik kanan pilih disable, atau juga bisa dengan mengklik tombol silang merah. Dan untuk men-spesifikasikan ip adddress berapa yang bisa menggunakan service tersebut, double klik pada service yang diinginkan.

3. Time

Selanjutnya adalah men-set waktu yang digunakan pada mikrotik, menu ini terlihat kuang penting, namun jika waktu tidak dikonfigurasi dengan tepat log maupun history yang anda dapat tentu juga tidak relevan. Anda bisa mengubahnya melalui menu “System - Clock”

4. IP Pool

IP pool adalah range ip tertentu (misal 10.0.0.2 sampai 10.0.0.50) yang nanti bisa anda manfaatkan dalam pengaturan DHCP, Hotspot Server maupun  User Profile. Jika dirasa jaringan yang anda kelola tidak terlalu besar, anda bisa memberikan ip pool sesuai jumlah user yang mengakses jaringan anda.

5. DHCP Server

 DHCP Server adalah pengaturan yang nantinya akan diterapkan pada DHCP Client yang mengakses jaringan kita. “Lease Time” merupakan lama waktu peminjaman IP Address kepada  user (DHCP Client), jika waktu peminjaman telah habis maka ip address yang sebelumnya digunakan bisa dipinjamkan kepada user lain. Jika anda ingin menyertakan ARP pada saat peminjaman ip address anda bisa mencentang “Add ARP For Leases”.
Pada tab “Leases” anda bisa melihat ip berapa saja dan kepada komputer mana saja ip address dipinjamkan.

6. Hotspot Server

Hotspot Server merupakan pengaturan server hotspot. Ini akan sangat bermanfaat jika anda mengelola lebih dari satu jaringan hotspot yang anda kelola, anda bisa menamakannya sesuai tempat atau identitas  jaringan tersebut.

7. User Profile

Pengaturan untuk user / client terdapat di menu ini, ada beberapa pengaturan didalamnya :

• Session Timeout : Lamanya waktu online yang diberikan kepada user / client setelah login, sebaiknya tidak perlu diisi, karena jika diisi 5 menit seperti contoh diatas maka user akan otomatis logout saat user online mencapai 5 menit, dan akan terus terulang saat ia login kembali nantinya, cukup merepotkan bukan ?.
• Idle Timeout : Idle Timeout digunakan untuk mendeteksi client yang sedang tidak menggunakan jaringan, jika mencapai batas waktu idle yang anda tentukan pada kotak isian tersebut maka user akan log out dengan sendirinya. idle time out mengecek traffik, jika user online namun tidak mengirimkan atau menerima paket data apapun selama waktu yang ditentukan tadi, maka client mencapai batas timeout-nya.
• Keepalive timeout : keepalive timeout berguna untuk mendeteksi ketersediaan koneksi antar router dengan client dan apakah koneksi tersebut dapat digunakan, jika hasil pengecekan gagal maka user akan di drop. keepalive timeout mengecek ketersediaan koneksi, keealive timeout dapat terjadi jika user disconnect secara fisik atau mematikan device. keepalive timeout memonitor user dengan mengirimkan paket ICMP, jadi jika user memblokir paket ICMP baik dengan firewall ataupun aplikasi lainnya, maka fitur keepalive timeout ini tidak akan berguna.
• Status Autorefresh : inteval untuk refresh secara otomatis pada halaman status user
• Shared Users : Jumlah user dapat aktif secara bersamaan dalam satu waktu. Misal ada user bernama “irul”, jika pada shared users di set “2”, maka user dengan akun “irul” tersebut dapat aktif secara bersamaan pada 2 komputer/device yang berbeda.
• Rate Limit (rx/tx) : Batasan untuk download (rx : receive) dan upload (tx : tranmitting). Menu ini merupakan salh satu manajemen bandwith yang sederhana dengan membatasi download dan upload untuk setiap user. Namun metode ini masih sering jebol oleh IDM.
• Open Status Page : penentuan kapan status page akan ditampilkan.

Untu k fitur yang lainnya karena jarang penulis gunakan, jadi tidak bisa memberi banyak keterangan, jika ingin memperdalam menu fitur lainnya pada user rofile silahkan explore sendiri disini.

8. IP Binding

IP address yang dibinding atau di bypass, sehingga tidak perlu login setiap kali ingin mengakses internet. Untuk menggunakan fasilitas ip binding ini anda dapat mengisi MAC address-nya jika anda tahu, ip address yang di bypass, server yang digunakan, dan pada kotak isian “type” isikan “bypassed”.

9. Manajemen user
Untuk manajemen user, anda dapat menambahkan, mengurangi, men-disable dan memberi komentar pada user dari tab “user” pada menu “IP - Hotspot”.

Untuk melihat user yang aktif, pindah ke tab “Active”

Pada tab “Host” akan terlihat host – host yang tersambung ke jaringan lengkap dengan statusnya. Host tidak hanya user yang aktif saja, namun juga termasuk user yang telah tekoneksi ke jaringan tapi belum login.

 10. Setting DNS Server

Di sini anda bisa bisa mengatur DNS Server yang ingin anda digunakan, pada contoh ini mengunakan DNS Server milik google dengan Primary DNS 8.8.8.8 dan Secondary DNS 8.8.4.4, anda bisa menggantinya dengan DNS Server yang anda suka, untuk alternatif, saya biasa mmenggunakan DNS Server Speedy dengan Primary DNS 203.130.208.18 dan Secondary DNS 203.130.209.242. Pertimbangan pemilihan DNS Server ini biasanya bedasar pada kecepetan server dalam resolving DNS name serta banyaknya DNS name yang dapat ditranslasikan.

11. Identity

Identity adalah identitas dari mikrotik, sama seperti jika pada windows kita biasa mengenalnya dengan computer name. Jika anda mengelola lebih dari satu router mikrotik, ini akan sangat membantu anda untuk mempermudah mengingat identitas router tersebut.

12. Monitor jaringan dengan Log & History

Untuk memonitor perubahan dan aktivitas apa saja yang terjadi pada jaringan anada, anda dapat memonitornya dengan memanfaatkan menu “Log”, namun khusus untuk mengetahui perubahan, pengurangan, atau penambahan konfigurasi oleh admin anda bisa memanfaatkan menu “History” yang bisa di akses melalui “System - History”.

13. Backup konfigurasi

Setelah semua selesai terkonfigurasi, sebaiknya simpan konfigurasi tersebut dengan membackup-nya. Jika suatu saat server mengalami error atau crash anda tinggal merestore file backup tersebut. Untuk membackup atau merestore file backup mikrotik anda bisa menemukannya pada menu “files”  dengan mengklik “backup” atau “restore” pada winbox atau juga bisa lewat terminal.

14. Tools 

Ada beberapa tools yang bisa anda gunakan untuk menganalisa jaringan anda, tool – tool mikrotik ini bisa anda dapatkan pada menu “tools”, dan jika anda berminat untuk menggunakannya dan ingin tahu detail dari tools tresebut anda bisa merujuk kesini.


   Demikianlah beberapa hal dasar yang harus dilakukan setelah setup hotspot pada mikrotik selesai dilkukan, ini dimaksudkan untuk memaksimalkan jaringan mikrotik yang anda kelola. untuk sisanya anda bisa mengeksplore sendiri router mikrotik baik melalui forum maupun wiki.
Semoga bermanfaat :)

Read more...