PEMBAHASAN FIREWALL
Firewall
merupakan suatu cara/sistem/mekanisme yang diterapkan baik terhadap
hardware , software ataupun sistem itu sendiri dengan tujuan untuk
melindungi, baik dengan menyaring, membatasi atau bahkan menolak suatu
atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan
jaringan luar yang bukan merupakan ruang lingkupnya. Segmen tersebut
dapat merupakan sebuah workstation, server, router, atau local area
network (LAN) anda.
Firewall secara umum di peruntukkan untuk melayani :
1. Mesin/komputer
Setiap
individu yang terhubung langsung ke jaringan luar atau internet dan
menginginkan semua yang terdapat pada komputernya terlindungi.
2. Jaringan
Jaringan
komputer yang terdiri lebih dari satu buah komputer dan berbagai jenis
topologi jaringan yang digunakan, baik yang di miliki oleh perusahaan,
organisasi dsb.
KARAKTERISTIK FIREWALL
1.Seluruh
hubungan/kegiatan dari dalam ke luar , harus melewati firewall. Hal ini
dapat dilakukan dengan cara memblok/membatasi baik secara fisik semua
akses terhadap jaringan Lokal, kecuali melewati firewall. Banyak sekali
bentuk jaringan yang memungkinkan.
2.Hanya
Kegiatan yang terdaftar/dikenal yang dapat melewati/melakukan hubungan,
hal ini dapat dilakukan dengan mengatur policy pada konfigurasi
keamanan lokal. Banyak sekali jenis firewall yang dapat dipilih
sekaligus berbagai jenis policy yang ditawarkan.
3.Firewall
itu sendiri haruslah kebal atau relatif kuat terhadap
serangan/kelemahan. hal ini berarti penggunaan sistem yang dapat
dipercaya dan dengan Operating system yang relatif aman.
TEKNIK YANG DIGUNAKAN OLEH FIREWALL
1.Service control (kendali terhadap layanan)
berdasarkan
tipe-tipe layanan yang digunakan di Internet dan boleh diakses baik
untuk kedalam ataupun keluar firewall. Biasanya firewall akan mencek no
IP Address dan juga nomor port yang di gunakan baik pada protokol TCP
dan UDP, bahkan bisa dilengkapi software untuk proxy yang akan menerima
dan menterjemahkan setiap permintaan akan suatu layanan sebelum
mengijinkannya.Bahkan bisa jadi software pada server itu sendiri ,
seperti layanan untuk web ataupun untuk mail.
2.Direction Conrol (kendali terhadap arah)
berdasarkan arah dari berbagai permintaan (request) terhadap layanan yang
akan dikenali dan diijinkan melewati firewall.
3.User control (kendali terhadap pengguna)
berdasarkan
pengguna/user untuk dapat menjalankan suatu layanan, artinya ada user
yang dapat dan ada yang tidak dapat menjalankan suatu servis,hal ini di
karenakan user tersebut tidak di ijinkan untuk melewati firewall.
Biasanya digunakan untuk membatasi user dari jaringan lokal untuk
mengakses keluar, tetapi bisa juga diterapkan untuk membatasi terhadap
pengguna dari luar.
4.Behavior Control (kendali terhadap perlakuan)
berdasarkan
seberapa banyak layanan itu telah digunakan. Misal, firewall dapat
memfilter email untuk menanggulangi/mencegah spam.
TIPE – TIPE FIREWALL
1.Packet Filtering Router
Packet Filtering diaplikasikan dengan cara mengatur semua packet IP baik yang menuju, melewati atau akan dituju oleh packet tersebut.pada tipe
ini packet tersebut akan diatur apakah akan di terima dan diteruskan ,
atau di tolak.penyaringan packet ini di konfigurasikan untuk menyaring
packet yang akan di transfer secara dua arah (baik dari atau ke jaringan
lokal). Aturan penyaringan didasarkan pada header IP dan transport
header,termasuk juga alamat awal(IP) dan alamat tujuan (IP),protokol
transport yang di
gunakan(UDP,TCP), serta nomor port yang digunakan.
Kelebihan dari tipe ini adalah mudah untuk di implementasikan, transparan untuk pemakai, lebih cepat
Adapun
kelemahannya adalah cukup rumitnya untuk menyetting paket yang akan
difilter secara tepat, serta lemah dalam hal authentikasi.
Adapun serangan yang dapat terjadi pada firewall dengan tipe ini adalah:
+ IP address spoofing : intruder (penyusup) dari luar dapat melakukan ini
dengan cara menyertakan/menggunakan ip address jaringan lokal yanbg telah
diijinkan untuk melalui firewall.
+ Source routing attacks : tipe ini tidak menganalisa informasi routing
sumber IP, sehingga memungkinkan untuk membypass firewall.
+
Tiny Fragment attacks : intruder (penyusup) membagi IP kedalam
bagian-bagian (fragment) yang lebih kecil dan memaksa terbaginya
informasi mengenai TCP header. Serangan jenis ini di design untuk menipu
aturan penyaringan yang bergantung kepada informasi dari TCP header.
Penyerang berharap hanya bagian (fragment) pertama saja yang akan di
periksa dan sisanya akan bisa lewat dengan bebas. Hal ini dapat di
tanggulangi dengan cara menolak semua packet dengan protokol TCP dan
memiliki Offset = 1 pada IP fragment (bagian IP)
2.Application-Level Gateway
Application-level
Gateway yang biasa juga di kenal sebagai proxy server yang berfungsi
untuk memperkuat/menyalurkan arus aplikasi. Tipe ini akan mengatur semua
hubungan yang menggunakan layer aplikasi ,baik itu FTP, HTTP, GOPHER
dll.
Cara
kerjanya adalah apabila ada pengguna yang menggunakan salah satu
aplikasi semisal FTP untuk mengakses secara remote, maka gateway akan
meminta user memasukkan alamat remote host yang akan di akses.Saat pengguna
mengirimkan USer ID serta informasi lainnya yang sesuai maka gateway
akan melakukan hubungan terhadap aplikasi tersebut yang terdapat pada
remote host, dan menyalurkan data diantara kedua titik. apabila data
tersebut tidak sesuai maka firewall tidak akan meneruskan data tersebut
atau menolaknya. Lebih jauh lagi, pada tipe ini Firewall dapat di
konfigurasikan untuk hanya mendukung beberapa aplikasi saja dan menolak
aplikasi lainnya untuk melewati firewall.
Kelebihannya
adalah relatif lebih aman daripada tipe packet filtering router lebih
mudah untuk memeriksa (audit) dan mendata (log) semua aliran data yang
masuk pada level aplikasi.
Kekurangannya
adalah pemrosesan tambahan yang berlebih pada setiap hubungan. yang
akan mengakibatkan terdapat dua buah sambungan koneksi antara pemakai
dan gateway, dimana gateway akan memeriksa dan meneruskan semua arus
dari dua arah.
3.Circuit-level Gateway
Tipe
ketiga ini dapat merupakan sistem yang berdiri sendiri , atau juga
dapat merupakan fungsi khusus yang terbentuk dari tipe
application-level gateway.tipe ini tidak mengijinkan koneksi TCP end to end (langsung)
cara
kerjanya : Gateway akan mengatur kedua hubungan tcp tersebut, 1 antara
dirinya (gw) dengan TCP pada pengguna lokal (inner host) serta 1 lagi
antara dirinya (gw) dengan TCP pengguna luar (outside host). Saat dua
buah hubungan terlaksana, gateway akan menyalurkan TCP segment dari satu
hubungan ke lainnya tanpa memeriksa isinya. Fungsi pengamanannya
terletak pada penentuan hubungan mana yang di ijinkan.
Penggunaan tipe ini biasanya dikarenakan administrator percaya dengan pengguna internal (internal users).
CARA KERJA FIREWALL
Firewall
pada dasarnya merupakan penghalang antara komputer Anda (atau jaringan)
dan Internet (luar dunia). Firewall bisa hanya dibandingkan dengan
seorang penjaga keamanan yang berdiri di pintu masuk rumah Anda dan
menyaring pengunjung yang datang ke tempat AndaDia mungkin mengizinkan
beberapa pengunjung untuk masuk sementara menyangkal orang lain yang ia
tersangka penyusup yang. Demikian pula firewall adalah sebuah program
perangkat lunak atau perangkat keras yang menyaring informasi (paket)
yang datang melalui internet ke komputer pribadi Anda atau jaringan
komputer.
Firewall
dapat memutuskan untuk mengizinkan atau memblokir lalu lintas jaringan
antara perangkat berdasarkan aturan yang pra-dikonfigurasi atau
ditentukan oleh administrator firewall. Kebanyakan personal firewall
seperti firewall Windows beroperasi pada seperangkat aturan
pra-konfigurasi yang paling cocok dalam keadaan normal sehingga pengguna
tidak perlu khawatir banyak tentang konfigurasi firewall.
firewall
pribadi adalah mudah untuk menginstal dan menggunakan dan karenanya
disukai oleh pengguna-akhir untuk digunakan pada komputer pribadi
mereka. Namun jaringan besar dan perusahaan-perusahaan lebih memilih
orang-orang firewall yang memiliki banyak pilihan untuk mengkonfigurasi
sehingga untuk memenuhi kebutuhan khusus mereka. Sebagai contoh,
perusahaan mungkin membuat aturan firewall yang berbeda untuk server
FTP, Telnet server dan server Web. Selain itu perusahaan bahkan dapat
mengontrol bagaimana karyawan dapat terhubung ke Internet dengan
memblokir akses ke situs web tertentu atau membatasi transfer file ke
jaringan lain. Jadi selain keamanan, firewall dapat memberikan
perusahaan kontrol luar biasa atas bagaimana orang menggunakan jaringan.
Firewall menggunakan satu atau lebih metode berikut untuk mengatur lalu lintas masuk dan keluar dalam sebuah jaringan:
1. 1.. Packet Filtering: Pada metode ini paket (potongan kecil data) dianalisa dan dibandingkan denganfilter. filter
paket memiliki seperangkat aturan yang datang dengan tindakan menerima
dan menolak yang pra-dikonfigurasi atau dapat dikonfigurasi secara
manual oleh administrator firewall.. Jika paket berhasil membuatnya
melalui filter ini maka itu diperbolehkan untuk mencapai tujuan, kalau
tidak akan dibuang.
2. 2. Stateful Inspeksi: Ini
adalah metode baru yang tidak menganalisa isi dari paket. Sebaliknya ia
membandingkan aspek kunci tertentu setiap paket database sumber
terpercaya.. Kedua paket yang masuk dan keluar dibandingkan terhadap
database ini dan jika perbandingan menghasilkan pertandingan yang wajar,
maka paket yang diizinkan untuk melakukan perjalanan lebih lanjut. Jika
tidak, mereka akan dibuang.
KONFIGURASI FIREWALL
Firewall
dapat dikonfigurasi dengan menambahkan satu atau lebih filter
berdasarkan beberapa kondisi seperti tersebut di bawah ini:
1. 1. Alamat IP: Dalam
kasus apapun jika sebuah alamat IP di luar jaringan dikatakan kurang
baik, maka dimungkinkan untuk mengatur filter untuk memblokir semua lalu
lintas ke dan dari alamat IP. Misalnya, jika alamat IP cetain ditemukan
akan membuat terlalu banyak koneksi ke server, administrator dapat
memutuskan untuk memblokir lalu lintas dari IP ini menggunakan firewall.
2. 2. Nama Domain: Karena
sulit untuk mengingat alamat IP, itu adalah cara yang lebih mudah dan
lebih cerdas untuk mengkonfigurasi firewall dengan menambahkan filter
berdasarkan nama domain. Dengan mendirikan domain filter, perusahaan
dapat memutuskan untuk memblokir semua akses ke nama domain tertentu,
atau mungkin menyediakan akses hanya untuk daftar nama domain yang
dipilih.
3. 3. Port / Protokol: Setiap
layanan yang berjalan pada server dibuat tersedia ke Internet
menggunakan nomor port, satu untuk setiap layananDengan kata sederhana,
port bisa dibandingkan dengan pintu virtual dari server melalui layanan
yang tersedia. Sebagai contoh, jika server adalah menjalankan Web (HTTP)
layanan maka akan biasanya tersedia pada port 80. Untuk memanfaatkan
layanan ini, klien ingin terhubung ke server melalui port 80. Demikian
pula berbagai layanan seperti Telnet (Port 23), FTP (port 21) dan SMTP
(port 25) Layanan dapat berjalan pada server. Jika layanan ini ditujukan
untuk publik, mereka biasanya tetap terbuka. Jika tidak, mereka yang
diblok menggunakan firewall sehingga mencegah penyusup menggunakan port
terbuka untuk membuat sambungan tidak sah.
4. 4. Firewall
dapat dikonfigurasi untuk menyaring satu atau lebih kata atau frase
spesifik sehingga, baik dan keluar paket yang datang dipindai untuk
kata-kata dalam saringan. Misalnya, Anda mungkin mengatur aturan
firewall untuk menyaring setiap paket yang berisi istilah ofensif atau
frase yang mungkin Anda memutuskan untuk memblokir dari memasuki atau
meninggalkan jaringan Anda.
HARDWARE VS SOFTWARE FIREWALL
Hardware
firewall menyediakan tingkat keamanan yang lebih tinggi dan karenanya
lebih disukai untuk server mana keamanan memiliki prioritas paling atas
sedangkan, firewall perangkat lunak yang lebih murah dan paling disukai
di komputer rumah dan laptop. Hardware firewall biasanya datang sebagai
unit built-in router dan memberikan keamanan maksimum karena filter
masing-masing paket di tingkat hardware itu sendiri bahkan sebelum itu
berhasil memasuki komputer AndaSebuah contoh yang baik adalah Linksys
Cable / DSL router.
Mengapa Firewall?
Firewall
memberikan keamanan di sejumlah ancaman online seperti login Remote,
backdoors Trojan, pembajakan Sesi, serangan DOS & DDOS, virus,
cookie mencuri dan banyak lagi. Efektivitas keamanan tergantung pada
cara Anda mengkonfigurasi firewall dan bagaimana Anda mengatur aturan
filter. Namun ancaman utama seperti DOS dan serangan DDOS kadang-kadang
dapat mengelola untuk melewati firewall dan melakukan kerusakan server.
Meskipun firewall bukanlah jawaban yang lengkap terhadap ancaman online,
dapat paling efektif menangani serangan dan memberikan keamanan untuk
komputer sampai batas maksimal.
Proxy
Apa itu Proxy? Proxy adalah aplikasi yang menjadi perantara antara client dengan web server. Salah satu fungsi proxy adalah menyimpan cache. Dalam jaringan LAN, apabilaclient mengakses URL web maka browser akan mengirim request tersebut ke proxy server. Apabila tidak tersedia, maka proxy server akan menangani langsung permintaan ke web server. Untuk kasus ini, akan mempercepat proses browsing.
Ilustrasi gambar di atas. Proxy dan proxy server adalah dua hal
yang berbeda. Proxy merupakan layanan yang dimiliki proxy server,
sedangkan proxy server bertugas melayani permintaan dari client. Bila
mengakses halaman tertentu, IP Anda akan dicek dan disimpan apakah
diperbolehkan menerima hasil request atau tidak. Apabila ingin mengakses
web yang melarang IP selain negaranya atau hanya memperbolehkan dari
negara tertentu, kita dapat memanfaatkan proxy.
IP merupakan identitas dalam dunia maya. Seperti halnya sebuah KTP, IP
yang diberikan Internet Service Provider (ISP) bersifat unik. Tidak
sulit untuk menemukan di mana lokasi seseorang dan layanan internet yang
digunakan dari IP yang dimilikinya. Fakta ini menjadi keresahan bagi cracker yang
berusaha men-deface atau memasuki celah keamanan suatu website. Karena
hal tersebut, peran proxy sangatlah membantu penyamaran.
Proxy mampu menyembunyikan identitas pemilik IP. Ilmu komputer mengambil contoh seorang
cracker yang berusaha merusak web
http://target.com.
Apabila ia berhasil merusaknya, sang admin akan melihat log IP yang
pernah atau terakhir kali mengakses web-nya. Seperti yang tadi telah
disinggung, IP merupakan KTP. Seperti halnya penjahat di dunia nyata,
sang
cracker tidak
ingin meninggalkan jejaknya begitu saja. Begitu banyak web yang
menyediakan proxy. Untuk menyamarkannya, cukup dengan mengakses URL
http://target.com melalui
http://proxy.net (contoh). Sehingga seolah-olah yang terdata pernah mengakses
http://target.com adalah
http://proxy.net. Sedangkan IP sang
crackerhanya ter-log di
http://proxy.net. Meskipun lebih aman, imbasnya adalah koneksi semakin lambat. Cara seperti di atas
masih dimungkinkan untuk dilacak. Namun, berbeda bila menggunakan proxychain atau menggunakan proxy untuk mengakses proxy.
Squid adalah sebuah daemon yang digunakan sebagai proxy server dan web cache. Squid memiliki banyak jenis penggunaan, mulai dari mempercepat server web dengan melakukan caching permintaan yang berulang-ulang, caching DNS,
caching situs web, dan caching pencarian komputer di dalam jaringan
untuk sekelompok komputer yang menggunakan sumber daya jaringan yang
sama, sehingga pada membantu keamanan dengan cara melakukan penyaringan (filter)
lalu lintas data. Meskipun seringnya digunakan untuk protokol HTTP dan
FTP, Squid juga menawarkan dukungan terbatas untuk beberapa protokol
lainnya termasuk Transport Layer Security (TLS),
Secure Socket Layer (SSL), Internet Gopher, dan HTTPS. Versi Squid 3.1
mencakup dukungan protokol IPv6 dan Internet Content Adaptation Protocol
(ICAP).
Squid adalah
High-Performance Proxy Caching Server yang menyimpan Meta data dan
terutama Hot-object yang di simpan di RAM, menyimpan DNS lookups,
mendukung non-Blocking DNS Lookups, dan Implementasi Negative-Caching
jika permintaan gagal. Dengan menggunakan lightweight Internet Cache
Protokol, Squid Cache dapat dibuat dalam suatu Hirarki atau Mesh untuk
meningkatkan Penghematan Bandwidth. Dengan kata lain, Squid bekerja
sebagai Internet Object caching dimana
metode untuk menyimpan hasil permintaan internet-object. (seperti,
data yang ada dari HTTP, FTP, dan ghoper protokol) untuk membuat
sistem lebih dekat melayani permintaan daripada harus ke sumber
aslinya. Web browser dapat menggunakan lokal squid cache sebagai proxy
HTTP server, ini akan mengurangi waktu akses.
Squid pada awalnya dikembangkan oleh Duane Wessels sebagai “Harvest object cache“,
yang merupakan bagian dari proyek Harvest yang dikembangkan di
University of Colorado at Boulder. Pekerjaan selanjutnya dilakukan
hingga selesai di University of California, San Diego dan didanai
melalui National Science Foundation. Squid kini hampir secara
eksklusif dikembangkan dengan cara usaha sukarela. Squid umumnya
didesain untuk berjalan di atas sistem operasi mirip UNIX, meski Squid
juga bisa berjalan di atas sistem operasi Windows. Karena dirilis di
bawah lisensi GNU General Public License, maka Squid merupakan perangkat lunak bebas
Pada saat browser mengirimkan header permintaan, sinyal http request dikirimkan
ke server. Header tersebut diterima squid dan dibaca. Dari hasil pembacaan, squid akan
memparsing URL yang dibutuhkan, lali URL ini dicocokkan dengan database cache yang ada.
Database ini berupa kumpulan metadata (semacam header) dari object yang sudah
ada didalam hardisk. Jika ada, object akan dikirimkan ke klien dan tercatat dalam logging
bahwa klien telah mendapatkan object yang diminta. Dalam log kejadian tersebut akan
dicatat sebagai TCP_HIT. Sebaliknya, jika object yang diminta ternyata tidak ada, squid akan
mencarinya dari peer atau langsung ke server tujuan. Setelah mendapatkan objectnya, squid
akan menyimpan object tersebut ke dalam hardisk. Selama dalam proses download object
ini dinamakan “object in transit” yang sementara akan menghuni ruang memori. Dalam
masa download tadi, object mulai dikirimkan ke klien dan setelah selesai, kejadian ini
tercatat dalam log sebagai TCP_MISS.
ICP sebagai protokol cache berperan dalam menanyakan ketersediaan object dalam
cache. Dalam sebuah jaringan sebuah cache yang mempunyai sibling, akan mencoba
mencari yang dibutuhkan ke peer sibling lainnya, bukan kepada parent, cache akan
mengirimkan sinyal icp kepada sibling dan sibling membalasnya dengan informasi
ketersediaan ada atau tidak. Bila ada, cache akan mencatatkan ICP_HIT dalam lognya.
Setelah kepastian object bias diambil dari sibling, lalu cache akan mengirimkan sinyal http ke
sibling untuk mengambil object yang dimaksud. Dan setelah mendapatkannya, cache akan
mencatat log SIBLING_HIT.
Jika ternyata sibling tidak menyediakan object yang dicari, cache akan memintanya
kepada parent. Sebagai parent, ia wajib mencarikan object yang diminta tersebut walaupun
ia sendiri tidak memilikinya (TCP_MISS). Setelah object didapatkan dari server origin, object
akan dikirimkan ke cache child tadi, setelah mendapatkannya cache child akan mencatatnya
sebagai PARENT_HIT.
KONFIGURASI DASAR SQUID
Konfigurasi-konfigurasi mendasar squid antara lain :
1. http_port nomor port.
Ini akan menunjukkan nomor port yang akan dipakai untuk menjalankan squid. Nomor port
ini akan dipakai untuk berhubungan dengan klien dan peer.
2. icp_port nomor port.
Ini akan menunjukkan nomor port yang akan dipakai untuk menjalankan squid. Nomor port
ini akan dipakai untuk berhubungan dengan klien dan peer.
3. cache_peer nama_peer tipe_peer nomor_port_http nomor_port_icp option.
Sintask dari cache peer ini digunakan untuk berhubungan dengan peer lain, dan peer lain
yang dikoneksikan ini tipenya bergantung dari tipe peer yang telah dideklarasikan ini, bias
bertipe sibling maupun bertipe parent,dan port yang digunakan untuk hubungan ICP
maupun HTTP juga dideklarasikan disini, sedangakan untuk parameter option disini ada
bermacam-macam salah satunya adalah default yang berarti dia adalah satu-satunya parent
yang harus dihubungi (jika bertipe parent) dan proxy-only yang berarti bahwa object yang
dipata dari peer tersebut tidak perlu disimpan dalam hardisk local.
4. Dead_peer_timeout jumlah_detik seconds.
Masing-masing peer yang telah didefinisikan sebelumnya mempunyai waktu timeout
sebesar yang ditentukan dalam konfigurasi ini, Jika peer tidak menjawab kiriman sinyal ICP
dalam batas waktu yang telah ditentukan, peer akan dianggap tidak akan dapat dijangkau,
dan cache server tidak akan mengambil object dari server yang bersangkutan dalam interval
waktu tertentu.
5. Hierarcy_stoplist pola1 pola2
Sintaks ini digunakan untuk menyatakan apa yang harus tidak diminta dari peer, melainkan
harus langsung dari web server origin, jika pola1 dan pola 2 adalah parameter cgi-bin, ?, dan
lain-lain maka jika ada request URL yang mengandung karakter tersebut maka akan
diambilkan langsung ke server origin.
6. Cache_mem jumlah_memori (dalam bytes)
Sintaks ini akan menentukan batas atas jumlah memori yang digunakan untuk menyimpan
antara lain : intransit object yaitu object yang dalam masa transisi antara waktu cache
mendownload sampai object disampaikan ke klien, dan hot object, yaitu object yang sering
diakses.
7. Cache_swap_low/high jumlah (dalam persen)
Squid akan menghapus object yang ada didalam hardisknya jika media tersebut mulai
penuh. Ukuran penuh ini yang diset pada cache_swap_low dan cache_swap_high. Bila batas
swap_low telah tercapai maka squid mulai menghapus dan jika batas swap_high tercapai
maka squid akan semakin sering menghapus.
8. Cache_dir jenis_file_sistem direktori kapasitas_cache dir_1 jumlah dir_2
Sintaks ini akan menjelaskan direktori cache yang dipakai, pertama adalah jenis file
sistemnya, lalu didirektori mana cache tersebut akan disimpan, selanjutnya ukuran cache
tersebut dalam MegaBytes lalu jumlah direktori level 1 dan direktori level 2 yang akan
digunakan squid untuk menyimpan objectnya.
LAYANAN SQUID
1. ICP (INTERNET CACHE PROTOCOL)
ICP yaitu merupakan protocol yang digunakan untuk mengkoordinasikan antara dua wen
cache atau lebih agar dapat bekerjasama dan berkomunikasi. Tujuan web-cache bekerja
sama ini adalah supaya dapat mencari letak yang tepat untuk menerima objek yang
direquest. Prtokol ini tidak reliable namun memiliki time out yang sangat pendek sehingga
cocok utnuk web-cache. Protocol ini tidak cocok untuk delivery – UDP adalah protocol yang
lebih umum digunakan untuk delivery protocol.
2. ACL (ACCESS CONTROL LIST)
ACL adalah daftar rule yang menyatakan pembagian previleges, untuk mencegah orang yang
tidak memiliki hak akses menggunakan infrastruktur cache. ACL adalah konfigurasi yan paling
dalam sebuah web-cache. Dalam squid, ACL digunakan untuk mendefinifikan rule yang
diterapkan dalam web-cache tersebut.
3. DELAY POOL
Delay pool adlah suatu cara untuk menurunkan kecepatan akses untuk suatu alamat website
dari ACL tertentu. Dalam squid, delay pool dispesifikasi dalam beberapa konfigurasi, yaitu :
a) Delay pool menspesifikasi berapa jumlah pool atau kelompok bandwidth yang akan
digunakan dlam squid.
b) Delay class menspesifikasi masing-maisng kelompok pool untuk masuk dalam class apa.
Dalam squid ada beberapa class yang memiliki fungsi yang berbeda-beda, yaitu class 1,
class 2, dan class 3. Class-class ini dispesifikasi berdasarkan IP address dari ACL
c) Delay parameter menspesifikasi berapa jumlah transfer rate atau lebih sering disebut
bandwidth untuk suatu pool. Bandwidth dispesifikasi dalam transferrate rata-rata dan
transferrate maksimum yang dapat dicapai suatu pool.
d) Delay access adlaah parameter untuk memasukkan suatu ACL ke pool tertentu. Di sini
juga disebut apakah ACL diterima atau ditolak untuk masuk ke pool tersebut.
AUTENTIKASI PADA SQUID
Squid mendukung 4 skema autentikasi, yaitu:
1. Basic
2. Digest
3. NTLM
4. Negotiate (mulai dari versi 2.6)
Basic adalah skema autentikasi yang didukung oleh semua peramban (browser)
utama. Dan lebih dari itu, bisa berfungsi dengan baik di semua platform OS. Jadi kalau ingin
menggunakan skema autentikasi yang yakin berfungsi dengan baik di semua browser,
pakailah skema autentikasi basic. Sayangnya skema autentikasi basic ini memiliki satu
kelemahan utama, yaitu proses pengiriman data user dan password dikirim dalam format
plain text. Jadi sangat rentan terhadap proses snip atau penyadapan saat proses autentikasi
berlangsung. Skema ini tidak disarankan ketika layanan yang diberikan akan diakses melalui
jaringan internet. Tapi masih bisa ditolerir jika layanan itu dibuat untuk kalangan terbatas,
misalnya LAN kantor. Dan karena squid pada umumnya digunakan di jaringan terbatas,
skema autentikasi ini masih bisa digunakan.
Sedangkan NTLM adalah skema autentikasi yang diperkenalkan oleh Microsoft.
Dengan menggunakan skema autentikasi NTLM, semua user yang sudah login ke domain,
ketika mengakses squid tidak akan diminta lagi username dan password. Ini yang kita kenal
sebagai proses Single Sign On. Jika sudah sukses autentikasi di satu layanan, ketika ingin
menggunakan layanan lain tidak perlu memasukkan login dan password lagi, proses
autentikasi berlangsung secara transparan. Sayangnya, seperti yang mungkin Anda sudah
bisa tebak, ini hanya berfungsi dengan baik di sistem operasi Windows. Dan tidak semua
browser mendukung skema autentikasi NTLM. Internet Explorer dan Firefox adalah salah
satu browser yang mendukung skema autentikasi NTLM. Chrome, Safari dan Opera adalah
contoh browser yang belum mendukung skema autentikasi NTLM. Biasanya, untuk browser
atau OS yang tidak mendukung skema autentikasi NTLM, ada pilihan fallback ke skema
autentikasi basic.
KEUNTUNGAN MENGGUNAKAN PROXY SERVER
1. Mempercepat koneksi karena file-file web yang direquest disimpan di dalam cache
sehingga tidak perlu keluar menuju internet.
2. Dapat mengetur kecepatan bandwidth untuk subnet yang berbeda-beda.
3. Dapat melakuakan pembatasan akses, download, waktu untuk file-file dan website
tertentu.
4. Dapat melakuakan pembatasan user yang boleh mengakses internet dengan
menggunakan autentifikasi.
5. Dapat digunakan sebagai bandwidth manajemen
KERUGIAN MENGGUNAKAN PROXY SERVER
1. Pinti keluar menuju gerbang internet hanya lewat proxy, sehingga ketika terjadi
overload, akses internet menjadi lamabat.
2. User akan melihat file yang kadaluarsa jika cache expire time-nya terlalu lama,
sehingga meskipun di website file tersebut sidah berubah, user masih melihat file
yang tersimpan di cache memory.
3. Karena koneksi internet harus melalui gerbang proxy terlebih dahulu, maka
kecepatan akses bias jadi lebih lambat daripada melakukan koneksi langsung. Dalam
hal ini keduanya akan mengakses file internet secara langsung.
Instalasi Squid 3.0
Ingat : perlu di ingat cara install ini harus online, jika tidak maka download squid secara
manual lalu install dengan cara manual dan selebihnya bisa melihat cara instalasi dari
dokumentasi dari luar.
Install squid 3.0 atau lebih baru dan stabil.
#apt-get install squid3
Alternative to source code:
Jika menggunakan instalasi source code dari situs web-nya di http://www.squidcache.org/Download/
. maka yang dilakukan setelah download squid yaitu :
Extrak file squid
# tar –zxvf squid-3.0.STABLE8.tar.gz
# cd squid-3.0.STABLE8
Setelah extrak file squid, bacalah proses install pada file INSTALL. Lalu lakukan
perintah sesuia intruksi.
Melakuakan konfigurasi sebelum instalasi
# ./configure --prefix=/usr/local/squid
Setelah semua file squid terkonfigurasi maka lakukan kompilasi
# make all
Jika tidak ada error berarti file squid bias mulai dijalankan. Lakukan proses
instalasi dengan
# make install
Jika sukses maka masuk ke folder instalsi yang telah ditentukan di atas
# cd =/usr/local/squid
Lakukan konfigurasi file squid.conf dengan editor gedit / nano / vi
# nano squid.conf
Setelah itu lakuakan inisilisasi file squid
# /usr/local/squid/sbin/squid –z
Start squid
# /usr/local/squid/sbin/squid
Menjalankan squid.conf
Sebelum menjalankan service squid lakukan inisilisasi squid dengan cara
# squid3 -z
Untuk menjalankan squid cukup dengan cara memanggil service squid, yaitu :
# /etc/init.d/squid3 start
Alternative to source code:
Jika sukses maka masuk ke folder instalsi yang telah ditentukan di atas
# cd /usr/local/squid
Lakukan konfigurasi file squid.conf dengan editor gedit / nano / vi
# nano squid.conf
Setelah itu lakuakan inisilisasi file squid
# /usr/local/squid/sbin/squid –z
Start squid
# /usr/local/squid/sbin/squid
Jika ada error, carilah letak kesalahan dengan selalu memonitor log
# tail –f /var/log/messages
Untuk menghentikan service squid jalankan perintah
# /etc/init.d/squid3 stop
Konfigurasi file squid.conf
Secara default, squid sudah terkonfigurasi secara standart sehingga dapat langsung di
gunakan. Agar squid dapat digunakan sebagai sebuah serevr proxy oleh seluruh jaringan
maka sejumlah opsi harus di ubah sebelum di jalankan.
Lakukan edit terhadap file squid.conf dengan test editor nano / gedit / vi.
Sebelum edit file squid.conf lakukan backup:
# cp /etc/squid3/squid.conf /etc/squid3/squid.conf.backup
Lalu edit dan konfigurasi file squid.conf
# nano /etc/squid3/squid.conf
Gantidan tambahkan beberapa option-optionyang dirasa penting untuk menjalankan squid
dan perlu di perhatikan konfigurasi squid harus berdasarkan kebutuhan. Berikut konfigurasi
minimum yang digunakan.
Ingat : tanda # (pagar) adalah tanda untuk mengawali komen, jadi setelah tanda pagar maka
perintah di anggap sebagai komen dan tidak di eksekusi.
Konfigurasi :
http_port 3128
option in akan menentukan di port berapa suid akan berjalan
icp_port 0
option ini akan menentukan melalui port berapa squid akan mengirim dan menerima
request ICP dari proxy cache tetangga. Untuk komunikasi antar cache, squid
mendukung suatu protocol yan dikenal sebagai ICP. ICP memungkinkan cache
berkomunikasi satu dengan yang lainnya melalui paket-paket UDP yang cepat, dalam
sebuah paket UDP tunggal jika file-file tersebut terdapat di cache pengirim tersebut.
cache_peer parent.foo.net parent 3128 3130
proxy-only default
baris cache_peer menentukan nama host, jenis (type) cache (“parent”), nomor port
proxy (3128) dan nomor port ICP (default 3130).
cache_mem 64 MB
option ini menetukan berapa besar memory yang akan digunakan oleh squid.
cache_dir ufs /var/spool/squid3 100 16 25
nilai di atas adlah nilai default squid, jika ingin melakukan perubahan maka aktifkan
perintah ini. Parameter pertama adalah nama direktori tempat menyimpan file cache.
Parameter dua yang bernilai 100 adalah banyaknya ruang pada hardisk (satuan MB)
untuk menyinpan file cache. Parameter tiga disebut dengan level-1 adalah banyaknya
direktori yang akan dibuat oleh squid dalam direktori cache. Parameter empat disebut
dengan level-2 adalah banyaknya direktori level pertama diatas
test : untuk membuktikan apakah folder squid3 memiliki mode akses sebagai
proxy, maka laukan perintah berikut:
# cd /var/spool/
#ls –la
…
drwxr-xr-x 18 proxy proxy 4096 2010-08-19 16:17 squid
…
Dari hasil tampilan di atas terlihat bahwa user proxy dan group proxy.
cache_store_log none
optioan ini akan melog setiap aktivitas dari store manager. Log ini akan memperlihatkan
objek-objek mana saja yang dikeluarkan dari cache, dan objek-objek mana saja yang
disimpan dan untuk berapa lama objek tersebut dismpan.
negative_ttl 2 minutes
waktu resfresh proxy
cache_effective_user proxy
cache_effective_group proxy
jika squid cache dijalankan oleh root, maka user yang akan menjalankannya akan
diubah sesuai UID/GID user yang disebutkan pada optioan di atas.
maximum_object_size_in_memory 1024 KB
dengan option ini, ukuran file maksimum yang disimpan oleh squid cache bisa dibatasi.
minimum_object_size 4 KB
dengan option ini maka objek yang lebih kecil dari bilangan yang disebutkan tidak akan
disaved ke dalam disk.
ftp_user Squid@email.com
option ini digunakan untuk ketika client mengakses situs ftp anonymous, email address
di atas akan dikirim sebagai password bagi ftp server anonymous.
#link ke local lab
acl lab src 192.168.1.1-192.168.1.80/255.255.255.0
#puskom
acl puskom src 192.168.50.31-192.168.50.70/255.255.255.224
#siakad
acl siakad src 192.168.0.250
http_access allow localhost
http_access allow lab
http_access allow puskom
http_access allow siakad
http_access deny all
pengubahan dan penambahan option di atas menentukan subnet nama yang boleh
mengakses proxy squid.
cache_mgr Proxy.Lab.Multimedia
email address dari local cache manager yang akan menerima email jika cache mati.
visible_hostname proxy.lab.net
informasi ini dikirim sebagai footer pada saat pesan error tampil di layar browser client
half_closed_clients off
beberapa client dapat membatalkan koneksi TCP nya, denagn membiarkan bagian
penerimanya terbuka. Kadang squid tidak dapat membedakan anatara koneksi TCP
yang haft-closed dan full-closed
Ingat : dikarenakan dile squid.conf ini berjalan dari atas ke bawah. Jadi bila ada perintah
pengeblokan seluruh jaringan pada awal perintah maka perintah untuk jaringan yang
diijinkan sesudah itu akan terblok.
Setelah melakukan konfigurasi terhadap file squid.conf, maka restart service squid
# /etc/init.d/squid3 restart
Mengatur cache proxy
Untuk mendapatkan cache squid yang tangguh maka perlu diperhatikan untuk
memodifikasi baris berikut pada file konfigurasi squid.conf
cache_dir ufs /var/spool/squid3 1600 4 256
option pada cache_dir menentukan system pengimpanan seperti apa yang akan
digunakan (ufs), nama direktori tempat penyimpanan cache (/cache), ukuran disk dalam
megabytes yang digunakan oleh direktori tempat penyimpanan cache (1600 MB), jumlah
subdirektori pertama yang akan dibuat di bawah /cache (4), dan jumlah subdirektori kedua
yang akan diciptakan di bawah subdirektori pertama tadi (256).
Nilai-nilai pada option cache_dir tadi harus disesuaikan dengan system yang
dimiliki, biasanya yang harus disesuaikan hanyalah tempat penyimpanan cache, ukuran disk,
dan jumlah subdirektori yang akan dibuat. Mengenai angka-angka tersebut, dapat kita
peroleh dari rumus untuk optimasi sebagai berikut:
gunakan maksimal 80% dari setiap kapasitas cache direktori yang telah kita siapkan. Jika kita
mengeset ukuran direktori lebih besar dari itu akan berdampak penurunan performa squid.
Selanjutnya tentukan jumlah direktori cache dengan cara sebagai berikut:
x = ukuran cache dir dalam KB (missal 6 GB = ~ 6,000,000 KB)
y = average object size (gunakan saja 13 KB)
z = jumlah subdirektori pertama = (((x/y)/256)/256)*2 = … direktori
sebagai contoh, missal menggunakan 6 GB dari untuk /cache (setelah disisihkan 80% nya),
maka:
6,000,000 / 13 = 461538.5 / 256 = 1802.9 / 256 = 7 * 2 = 14
maka baris cache_dir akan menjadi seperti ini:
Cache_dir ufs 6000 14 256
Mengatur Access Control List (ACL)
Modifikasi ACL dan halk akses internet untuk pengguna melalui perubahan
konfigurasi squid. ACL perlu di definisikan dan diberi hak akses. Jika tidak maka suatu user
tidak dapat mengakses proxy cache tersebut. Dalam konfigurasi ini akan memakai beberapa
scenario atau kasus dan bagaimana sulusi untuk ACL.
Lakukan konfigurasi seperti berikut :
Hak akses internet untuk nomor IP tertentu
Pembatasan hak akses nomor ip tertentu, seperti berikut
Siakad
IP : 192.168.0.250
Client lab
IP : 192.168.1.45
Lokal Lab
IP : 192.168.1.1-192.168.1.80
Maka listing konfigurasi :
# access controls
#link ke local lab
acl lab src 192.168.1.1-192.168.1.80/255.255.255.0
#client lab
acl client_lab src 192.168.1.45/255.255.255.224
#siakad
acl siakad src 192.168.0.25
# blok IP
Acl blok_ip src 192.168.1.100
# tag http_access
http_access allow lab
http_access allow client_lab
http_access allow siakad
http_access deny blok_ip
http_access deny all
setelah service squid di restart, hak akses internet hanya untuk local lab,client, dan ke
puskom dan sedangkan ip yang di tolak hanya 1 dan muncul pesan penolkan apda layar web
browser dengan access deny.
Hak akses internet pada jam tertentu
Squid untuk membatasi pemakian pada jam-jam tertentu saja.
#access control
acl lab-mm src 192.168.1.11-192.168.1.20/255.255.255.0
acl jam-lab-mm time 07:00-20:00
#tag : http_access
http_access allow jam-lab-mm lab-mm
http_access deny all
hak akses internet pada hari tertentu
pengaturan hak akses internet dapat diataur berdasarkan hari tertentu
#access control
acl lab-mm src 192.168.1.11-192.168.1.20/255.255.255.0
acl hari-lab-mm MTWHF
#http_access
http_access allow hari-lab-mm lab-mm
http_access deny all
kombinasi huruf MTWHF apada ACL hari-lab-mm merupakan singkatan hari untuk penulisan
ACL
hak akses internet pada hari dan jam tertentu
denga kombinasi access control untuk hari dan jam, hak akses internet dapat di batasi
dengan lebih spesifik.
#access control
acl lab-mm src 192.168.1.11-192.168.1.20/255.255.255.0
acl jam-istirahat time TW 12:00-13:00
#http_access
http_access allow jam-istirahat
http_access deny all
hak akses dengan pembatasan alamat internet tertentu
berikut ini cara untuk memblokir beberapa situs yang tidak boleh dikunjungi dengan
menambahkan aturan ke ACL.
acl lab-mm src 192.168.1.11-192.168.1.20/255.255.255.0
acl dilarang url_regex –I “/etc/squid3/dilarang/porn.txt”
acl domain-blok dstdomain “/etc/squid3/dilarang/faildomain.txt”
# http_access
http_access deny dilarang
http_access deny domain-blok
http_access allow lab-mm
http_access deny all
jangan lupa untuk membuat file porn.txt dan fail-domain.txt yang di simpan di
/etc/squid/dilarang file ini berisi alamat-alamat dan kata-kata yang tidak bias di akses
karena alas an-alasan tertentu.
Hak akses pembatasan untuk IP tertentu
Tidak semua pengguna harus di blok untuk hak aksesnya ke alamat-alamat tertentu karena
alasan pekerjaan.
#access control
acl lab-mm 192.168.1.11-192.168.1.20/255.255.255.0
acl wifi-mm 192.168.1.100-192.168.1.120/255.255.255.0
acl admin-mm src 192.168.1.11-192.168.1.20/255.255.255.0
#http_access17 | P a g e
http_access allow !dilarang lab-mm
http_access allow !dilarang wifi-mm
http_access allow admin
Penentuan jenis dan pengaturan ukuran file yang didownload
Cara berikut digunakan untuk menolak dan membatasi download file yang di lakukan
pengguna dengan pembatasan jam download dan maksimal download.
acl download url_regex -i ftp \.exe$ \.mp3$ \.vqf$ \.tar.gz$
\.wmv$ \.tar.bz$ \.tar.bz2$ \.gz$ \.rpm$ \.zip
acl download url_regex -i \.rar$ \.avi$ \.mpeg$ \.mpe$ \.mpg$
\.qt$ \.ram$ \.rm$ \.iso$ \.raw$ \.wav$ \.tar$ \.doc
acl download url_regex -i \.ppt$ \.z$ \.wmf$ \.mov$ \.arj$
\.lzh$ \.gzip$ \.bin$ \.wma$ \.flv
acl download_upto time 08:00-13:00
#cancel download if file s bigger than 2 MB = 2000x1024 byte =
2048000 byte
Replay_body_max_size 2048000 allow media download_upto
Bandwidth management
Squid mempunyai kemampuan untuk mengatur bandwidth dengan delay pools.
Pengaturan delay pools membutuhkan konfigurasi minimal seperti di bawah ini :
acl <nama_acl> scr <nomor_ip>
delay_pools <jumlah pengaturan>
delay_class <no_urut_pengaturan> <pilihan_pool_1_3>
delay_access <no_urut_pengatuaran> allow <nama_acl>
delay_parameters <no_urut_pengaturan> <max_bandwidth>
pada dasarnya, tag delay pools membagi konfigurasi dalam beberapa class. Sebagai
contoh, jika mempunyai aturan bendwidth yang berbeda maka konfigurasi delay pools
membutuhkan 2 class untuk 2 perbedaan tersebut. Setiap class dapat memilih untuk
menggunakan pengaturan pada pool 1, pool 2, atau pool 3. Perbedaan ketiga pool tersebut
adalah :
pool 1
hanya mengetur pembatasan bandwidth pada keseluruhan jaringan yang melewati
squid (aggregate). Semua user di perlakukan sama dalam satu pengaturan
pool 2
mampu mengetur pembatasan abandwidth untuk keseluruhan jaringan dan akases
setiap individu (setiap nomor IP) yang melewati squid (aggregate dan individu).
Pool 3
Mampu mengatur pembatasan bandwidth seperti pool 2 di tambah dengan grup
dari semua host (aggregate, network, dan individual)
Membatasi total bandwidthsebesar 32 Kbps
Berikut contoh penerapan delay pool untuk membatasi total bandwidth hanya samapai 32
KBps
acl all src 0.0.0.0/0.0.0.0
delay pools 1
delay_class 1 1
delay_parameters 1 4000/4000
delay_access 1 allow lab-mm
delay_access 1 deny all
membatasi bandwidth untuk perorangan (max 32 Kbps)
membatasi bandwidth setiap computer max sebesar 32 Kbps, maka harus mendefinisikan
ACL yang akan menerima pengaturan tersebut.
acl user12 src 192.168.1.12/255.255.255.0
selanjutnya buat pengaturan class 1 saja dengan pool 3
delay pool 1
delay_class 1 3
aturlah ACL yang menggunakan pengaturan class 1 dan tolak
semua pengguna di luar ACL
delay_access 1 allow user12
delay_access 1 deny all
terakhir buatlah pengaturan bandwidth untuk keseluruhan jaringan missal 64 Kbps, group
dari semua host (maksimum bandwidth yang ada) dan setiap individu (32 Kbps dari total
bandwidth 64 Kbps)
delay_parameters 1 8000/8000 -1/-1 4000/8000
membatasi bandwidth untuk download file multimedia
melakuakan pembatasan file-file mulyimedia seperti mp3, mpeg, avi, dt, rm, dan sejenisnya.
Untuk file lainnya di berikan akses maksimum (dinyatakan dengan notasi -1/-1). Untuk itu,
konfigurasi akses maksimum dapat di buat deperti di bawah ini :
acl multimedia url_regex –I \.mp3 \.rm \.mpg \.mpeg \.avi
\.dat
delay_pools 1
delay_class 1 1
delay_parameters 1 1000/16000
delay_access 1 allow multimedia
delay_access 1 deny all
Transparent Proxy
Transparent proxy adalah proxy yang tidak terlihat oleh client. Dengan menggunakan
transparent proxy client di paksa untuk memakai proxy tanpa melakuakan setting di
browser.
Cara mengkonfigurasi squid.conf maka tambahakan
http_port 3128 transparent
agar client dapat redirect port squid server, kita membutuhkan perintah IP tables.
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables –t nat –A POSTROUTING –j MASQUERADE
# iptables – nat –A PREROUTING –t nat –p tcp –dport 80 –j
REDIRECT –to-port 3128
PEMBAHASAN MIKROTIK
Mikrotik didesain untuk memberikan kemudahan bagi penggunanya. Administrasinya
bisa dilakukan melalui
Windows application = (WinBox). Selain itu
instalasi dapat dilakukan pada Standard computer PC. PC yang akan
dijadikan router mikrotikpun tidak memerlukan resource yang cukup besar
untuk penggunaan standard, misalnya hanya sebagai gateway. Untuk
keperluan beban yang besar ( network yang kompleks, routing yang rumit
dll) disarankan untuk mempertimbangkan pemilihan resource PC yang
memadai.
Sejarah MikroTik RouterOS
Mikrotik dibuat oleh MikroTikls sebuah perusahaan di kota Riga, Latvia. Bagi yang
belum tau, Latvia adalah sebuah negara yang merupakan “pecahan” dari
negara Uni Soviet dulunya atau Rusia sekarang ini. Dengan nama merek
dagang Mikrotik mulai didirikan tahun 1995 yang pada awalnya ditujukan
untuk perusahaan jasa layanan Internet (PJI) atau Internet
Service Provider (ISP) yang melayani pelanggannya menggunakan teknologi
nirkabel atau wireless. Saat ini MikroTikls memberikan layanan kepada
banyak ISP nirkabel untuk layanan akses Internet dibanyak negara di
dunia dan juga sangat populer di Indonesia.
Pembentukannya diprakarsai oleh John Trully dan Arnis Riekstins. John
Trully adalah seorang berkewarganegaraan Amerika yang berimigrasi ke
Latvia. Di Latvia ia bejumpa dengan Arnis, Seorang darjana Fisika dan
Mekanik sekitar tahun 1995.
John dan Arnis mulai me-routing dunia pada tahun 1996 (misi MikroTik
adalah me-routing seluruh dunia). Mulai dengan sistem Linux dan MS-DOS
yang dikombinasikan dengan teknologi Wireless-LAN (WLAN) Aeronet
berkecepatan 2 Mbps di Moldova, negara tetangga Latvia, baru kemudian
melayani lima pelanggannya di Latvia.
Prinsip dasar mereka bukan membuat Wireless ISP (W-ISP), tetapi membuat
program router yang handal dan dapat dijalankan diseluruh dunia. Latvia
hanya merupakan tempat eksperimen John dan Arnis, karena saat ini mereka
sudah membantu negara-negara lain termasuk Srilanka yang melayani
sekitar 400 pengguna.
Linux yang pertama kali digunakan adalah Kernel 2.2 yang dikembangkan
secara bersama-sama denag bantuan 5-15 orang staff Research and
Development (R&D) MikroTik yang sekarang menguasai dunia routing di
negara-negara berkembang. Menurut Arnis, selain staf di lingkungan
MikroTik, mereka juga merekrut tenega-tenaga lepas dan pihak ketiga yang
dengan intensif mengembangkan MikroTik secara marathon.
JENIS-JENIS MIKROTIK
1.MikroTik RouterOS yang berbentuk software yang dapat di-download di
www.mikrotik.com. Dapat diinstal pada komputer rumahan (PC).
2.BUILT-IN Hardware MikroTik dalam bentuk perangkat keras yang khusus
dikemas dalam board router yang didalamnya sudah terinstal MikroTik
RouterOS.
Berbagai Level Router OS dan Kemampuannya
Mikrotik bukanlah perangkat lunak yang gratis jika kamu ingin memanfaatkannya secara
penuh, dibutuhkan lisensi dari MikroTikls untuk dapat menggunakanya
alias berbayar. Mikrotik dikenal dengan istilah Level pada lisensinya.
Tersedia mulai dari Level 0 kemudian 1, 3 hingga 6,
untuk Level 1 adalah versi Demo Mikrotik dapat digunakan secara gratis
dengan fungsi-fungsi yang sangat terbatas. Tentunya setiap level
memiliki kemampuan yang berbeda-beda sesuai dengan harganya, Level 6
adalah level tertinggi dengan fungsi yang paling lengkap. Secara singkat
dapat digambarkan jelas sebagai berikut:
_ Level 0 (gratis); tidak membutuhkan lisensi untuk menggunakannya dan penggunaan fitur
hanya dibatasi selama 24 jam setelah instalasi dilakukan.
_ Level 1 (demo); pada level ini kamu dapat menggunakannya sbg fungsi routing standar
saja dengan 1 pengaturan serta tidak memiliki limitasi waktu untuk menggunakannya.
_ Level 3; sudah mencakup level 1 ditambah dengan kemampuan untuk menajemen segala
perangkat keras yang berbasiskan Kartu Jaringan atau Ethernet dan pengelolaan perangkat
wireless tipe klien.
_ Level 4; sudah mencakup level 1 dan 3 ditambah dengan kemampuan untuk mengelola
perangkat wireless tipe akses poin.
_ Level 5; mencakup level 1, 3 dan 4 ditambah dengan kemampuan mengelola jumlah
pengguna hotspot yang lebih banyak.
_ Level 6; mencakup semua level dan tidak memiliki limitasi apapun.
Jika kamu ingin sekedar untuk mencoba-coba silakan gunakan Level 1
sebagai awal. Sedangkan untuk kamu yang ingin menggunakan seluruh fitur
dari Mikrotik maka mau tidak mau kamu harus membeli lisensinya.
Lebih Lengkap lihat di www.mikrotik.co.id
Spec Minimal Mikrotik
• CPU and motherboard - bisa pake P1 ampe P4, AMD, cyrix asal yang bukan multiprosesor
• RAM - minimum 32 MiB, maximum 1 GiB; 64 MiB atau lebih sangat dianjurkan, kalau
• mau sekalian dibuat proxy , dianjurkan 1GB... perbandingannya, 15MB di memori
• ada 1GB di proxy..
• HDD minimal 128MB parallel ATA atau Compact Flash, tidak dianjurkan
• menggunakan UFD, SCSI, apa lagi S-ATA Very Happy
• NIC 10/100 atau 100/1000
Untuk keperluan beban yang besar ( network yang kompleks, routing yang
rumit dll)disarankan untuk mempertimbangkan pemilihan resource PC yang
memadai.
Lebih lengkap bisa dilihat di www.mikrotik.com.
FITUR-FITUR MIKROTIK
1.Address List : Pengelompokan IP Address berdasarkan nama
2.Asynchronous : Mendukung serial PPP dial-in / dial-out, dengan
otentikasi CHAP, PAP, MSCHAPv1 dan MSCHAPv2, Radius, dial on demand,
modem pool hingga 128 ports.
3.Bonding : Mendukung dalam pengkombinasian beberapa antarmuka ethernet ke dalam 1 pipa pada koneksi cepat.
- Bridge : Mendukung fungsi bridge spinning tree, multiple bridge interface, bridging firewalling.
- Data Rate Management : QoS berbasis HTB dengan penggunaan burst, PCQ, RED, SFQ, FIFO queue, CIR, MIR, limit antar peer to peer
- DHCP : Mendukung DHCP tiap antarmuka; DHCP Relay; DHCP Client, multiple network DHCP; static and dynamic DHCP leases.
- Firewall dan NAT : Mendukung pemfilteran koneksi peer to peer, source
NAT dan destination NAT. Mampu memfilter berdasarkan MAC, IP address,
range port, protokol IP, pemilihan opsi protokol seperti ICMP, TCP Flags
dan MSS.
- Hotspot : Hotspot gateway dengan otentikasi RADIUS. Mendukung limit data rate, SSL ,HTTPS.
- IPSec : Protokol AH dan ESP untuk IPSec; MODP Diffie-Hellmann groups
1, 2, 5; MD5 dan algoritma SHA1 hashing; algoritma enkirpsi menggunakan
DES, 3DES, AES-128, AES-192, AES-256; Perfect Forwarding Secresy (PFS)
MODP groups 1, 2,5
1. ISDN : mendukung ISDN dial-in/dial-out. Dengan otentikasi PAP, CHAP,
MSCHAPv1 dan MSCHAPv2, Radius. Mendukung 128K bundle, Cisco HDLC, x751,
x75ui, x75bui line protokol.
2. M3P : MikroTik Protokol Paket Packer untuk wireless links dan ethernet.
3. MNDP : MikroTik Discovery Neighbour Protokol, juga mendukung Cisco Discovery Protokol (CDP).
4. Monitoring / Accounting : Laporan Traffic IP, log, statistik graph yang dapat diakses melalui HTTP.
5. NTP : Network Time Protokol untuk server dan clients; sinkronisasi menggunakan system GPS.
6. Poin to Point Tunneling Protocol : PPTP, PPPoE dan L2TP Access
Consentrator; protokol otentikasi menggunakan PAP, CHAP, MSCHAPv1,
MSCHAPv2; otentikasi dan laporan Radius; enkripsi MPPE; kompresi untuk
PPoE; limit data rate.
7. Proxy : Cache untuk FTP dan HTTP proxy server, HTTPS proxy;
transparent proxy untuk DNS dan HTTP; mendukung protokol SOCKS;
mendukung parent proxy; static DNS.
8. Routing : Routing statik dan dinamik; RIP v1/v2, OSPF v2, BGP v4.
9. SDSL : Mendukung Single Line DSL; mode pemutusan jalur koneksi dan jaringan.
10.Simple Tunnel : Tunnel IPIP dan EoIP (Ethernet over IP).
11.SNMP : Simple Network Monitoring Protocol mode akses read-only.
12.Synchronous : V.35, V.24, E1/T1, X21, DS3 (T3) media ttypes;
sync-PPP, Cisco HDLC; Frame Relay line protokol; ANSI-617d (ANDI atau
annex D) dan Q933a (CCITT atau annex A); Frame Relay jenis LMI.
13.Tool : Ping, Traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer; Dinamik DNS update.
14.UPnP : Mendukung antarmuka Universal Plug and Play.
15.VLAN : Mendukung Virtual LAN IEEE 802.1q untuk jaringan ethernet dan wireless; multiple VLAN; VLAN bridging.
16.VoIP : Mendukung aplikasi voice over IP.
17.VRRP : Mendukung Virtual Router Redudant Protocol.
18.WinBox : Aplikasi mode GUI untuk meremote dan mengkonfigurasi MikroTik RouterOS.
Kebutuhan Perangkat Keras Dalam Installasi
MikroTik ROuterOS sudah banyak mendukung berbagai macam driver hardware.
Beberapa hal yang perlu diperhatikan dalam instalasi antara lain :
1. CPU dan MotherBoard : Intel, Cyrix 6X86, AMD K5 atau sekelasnya, tidak
mendukung multiprosesor/hyperthreading, mendukung arsitektur keluarga i386
dengan PCI Local Bus.
2. RAM : Minimal 32 MB (untuk Proxy dianjurkan 1 GB).
3. HARRDISK : IDE 400 Mb Minimal 64 MB, tidak mendukung USB, SCSI, RAID,
sedangkan type SATA (menunggu update Versi terbaru) hanya pada Legacy
Access Mode. Mendukung Flash dan Microdrive dengan interface ATA
4. NIC (Network Inteface Card) : NIC 10/100 atau 100/1000.
Router adalah sebuah device yang fungsinya untuk meneruskan paket-paket dari
sebuah network ke network yang lain (baik LAN ke LAN atau ke WAN atau internet) sehingga
host-host yang ada pada sebuah network bisa berkomunikasi dengan host-host yang ada di
network yang lain.
Tujuan routing adalah:
Agar paket IP yang dikirim sampai pada target, begitu juga paket IP yang ditujukan untuk kita
sampai pada kita dengan baik. Target atau destination ini bisa berada dalam 1 jaringan
ataupun berbeda jaringan (baik secara topologis maupun geografis).
Akses MikroTik
Ada 4 cara pengaksesan MikroTik Router, antara lain :
1. Via Console/Command Mikrotik
Jenis router board maupun PC bisa kita akses langsung via console/shell maupun
remote akses menggunakan PUTTY (www.putty.nl)
Tips Command : "Manfaatkan auto complete" (mirip bash auto complete di linux) Tekan
Tombol TAB di keyboard untuk mengetahui/melengkapi daftar perintah selanjutnya. Jadi
perintah yang panjang tidak perlu kita ketik lagi, cukup ketikkan awal perintah itu, lalu
tekan TAB-TAB maka otomatis Shell akan menampilkan/melengkapi daftar perintah yang
kita maksud.
Contoh:
Cukup ketikkan Ip Fir >>> lalu tekan TAB >>> maka otomatis shell akan melengkapi
menjadi Ip Firewall. Lalu ketik “..” (titik dua) untuk kembali ke sub menu diatasnya, dan
ketik “/“ untuk kembali ke root menu.
2. Via Web Browser
Mikrotik bisa juga diakses via web/port 80 pada browser.
Contoh : ketik di browser IP mikrotik kita: 192.168.0.18.
3. Via Winbox
Mikrotik bisa juga diakses/remote menggunakan tool winbox (utility kecil di windows
yang sangat praktis dan cukup mudah digunakan). Tampilan awal mengaktifkan winbox
seperti ini : sumber : http://images.arrohwany.multiply.com/attachment/0/
Winbox bisa mendeteksi mikrotik yang sudah di install asal masih dalam satu network,
yaitu dengan mendeteksi MAC address dari ethernet yang terpasang di Mikrotik.
4. Via Telnet
Kita dapat me-remote MikroTik menggunakan telnet melalui program aplikasi ”command
prompt” (cmd) yang ada pada windows. Namun, penggunaan telnet tidak dianjurkan
dalam jaringan karena masalah keamanannya.
Contoh : c:\>telnet 192.168.2.1
Tahap Installasi MikroTik
Gambar : Menu utama installasi MikroTik
[x] Keterangan beberapa yang penting diantaranya:
• System : Packet wajib install (inti system mikrotik/paket dasar), berisi Kernel Mikrotik.
• PPP : Untuk membuat Point to Point Protocol Server,Point-to-Point tunneling protocols -
PPTP, PPPoE and L2TP Access Concentrators and clients; PAP, CHAP, MSCHAPv1 and
MSCHAPv2 authentication protocols; RADIUS authentication and accounting; MPPE
encryption; compression for PPPoE; data rate limitation; differentiated firewall; PPPoE dial
on demand.
• Dhcp : Packet yang dibutuhkan apabila ingin membuat dhcp-server (agar client bisa
mendapatkan ip address otomatis -dynamic IP) * DHCP - DHCP server per interface; DHCP
relay; DHCP client; multiple DHCP networks; static and dynamic DHCP leases; RADIUS
support.
• Advanced tool : Tools tambahan untuk admnistrasi jaringan seperti ipscan, bandwidth test,
Scanning, Nslookup dan lain lain.
• Arlan : Packet untuk konfigurasi chipset wireless aironet arlan .
• Gps : Packet untuk support GPS Device.
• Hotspot : Packet untuk membuat hotspot gateway, seperti authentication , traffic quota dan
SSL HotSpot Gateway with RADIUS authentication and accounting; true Plug-and-Play access
for network users; data rate limitation; differentiated firewall; traffic quota; real-time status
information; walled-garden; customized HTML login pages; iPass support; SSL secure
authentication; advertisement support.
• Hotspot –fix: Tambahan packet hotspot.
• Security : Berisi fasilitas yang mengutamakan Keamanan jaringan, seperti Remote Mesin
dengan SSH, Remote via MAC Address.
• Web-proxy : Untuk menjalankan service Web proxy yang akan menyimpan cache agar traffik
ke Internet bisa di reduksi sehingga sensasi browsing lebih cepat FTP and HTTP caching proxy
server; HTTPS proxy; transparent DNS and HTTP proxying; SOCKS protocol support; DNS
static entries; support for caching on a separate drive; access control lists; caching lists;
parent proxy support.
• ISDN : Packet untuk isdn server dan isdn client membutuhkan packet PPP.
• Lcd : Packet untuk customize port lcd dan lain lain.
[x] Kita pilih service apa saja yang ingin kita install.
[x] Tekan:
'a’ = semua service akan terpilih.
‘n’ = bila kita menginstall baru.
‘y’ = bila kita hanya ingin menambah service baru (konfigurasi sebelumnya tidak akan hilang)
[x] Lalu ketik “ i “ untuk memulai instalasi, maka proses berlanjut... "proses format dan
pengkopian file-file yang dibutuhkan akan berjalan otomatis"
Gambar : Menu utama MikroTik setelah selesai Installasi
Mengubah Password Default
(hal ini ditujukan demi keamanan)
Command:
[admin@Mikrotik] > password
old password: (Enter)
new password: ***** (ketikan password baru kita)
retype new password: *****
Mengganti Nama Sistem
- Buka winbox
- Pilih System
- Klik Identify,
- Setelah selesai di ubah, klik Apply lalu Ok
Mengaktifkan Kedua LAN-Card
(ethernet; jika belum aktif) dengan cara memeriksanya dengan command :
[admin@ aan] > /interface print
Ket : Tanda X setelah nomor maka status disabled, tanda R status Enabled
Ada 2 hal yang menyebabkan LAN-Card tidak terdeteksi :
1. LAN Card yang kita pasang rusak.
2. Driver LAN Card itu belum tersupport.
Aktifkan dengan perintah :
Command:
[admin@aan] >interface ethernet enable ether1
Via winbox :
Pilih Interface, lihat tanda X dan R di paling kiri dekat nama "ether"
Setting IP Address pada tiap Ethernet
Via Command:
[admin@aan]>ip address add interface= public
address=192.168.33.14/255.255.255.0 comment=ip-public
Keterangan : 192.168.33.212/255.255.255.0 = ini hanya contoh, ganti
dengan IP address yang diberikan oleh ISP.
[admin@aan] >ip address add interface=local
address=192.168.0.18/255.255.255.0 comment=gateway-lokal
Keterangan : 192.168.0.18/255.255.255.0 = IP address jaringan lokal (LAN)
kita.
[admin@aan] > /ip address print.
Memasukan IP Gateway
(Fungsi Router: Agar dapat connect ke internet lewat pintu gerbang IP
Gateway yang diberi ISP)
Via Command:
[admin@aan] > ip route add gateway=192.168.33.1
Keterangan : 192.168.33.1 = disesesuaikan dengan IP Gateway yang
diberikan ISP kita
Periksa Tabel routing kita:
[admin@aan] > ip route print
DHCP Server ( Dynamic Host Configuration Protocol )
Jika kita ingin client mendapat IP address secara otomatis (pengaturan IP Address
dilakukan terpusat di server), sehingga juga akan mempermudah administrator
memberi pengalamatan IP untuk client (tidak perlu setting IP secara manual)
Via Command:
1. Buat IP address pool (rentang jatah pengalamatan IP)
/ip pool add name=dhcp-pool ranges=192.168.3.33-192.168.33.212
2. Menambahkan DHCP Network dan gatewaynya yang akan kita distribusikan ke
client (Pada contoh ini networknya adalah 192.168.33.0/24 dan gatewaynya
192.168.33.1)
/ip dhcp-server network add address=192.168.33.0/24
gateway=192.168.33.1
3. Tambahkan DHCP Server (pada contoh ini dhcp diterapkan pada interface local )
/ip dhcp-server add interface=local address-pool=dhcp-pool
4. Check status DHCP server
[admin@aan] ip dhcp-server print
Keterangan : Tanda X = Disable; R=Running menyatakan status DHCP server.
5. Perintah meng-enable-kan DHCP server:
/ip dhcp-server enable 0
Periksa kembali :
[admin@aan] ip dhcp-server print
6. Tes Ping Dari Client
c:\>ping www.yahoo.com
