75

IMPLEMENTASI SISTEM

4.1 Implementasi Router Mikrotik

4.1.1 Spesifikasi Router Mikrotik

Gambar 4.1 Router Mikrotik yang digunakan Sumber : www.haffytech.indonetwork.co.id

Item Description

CPU AR7161 680 MHz Atheros CPU

Memory 256MB DDR onboard memory chip Root loader

RouterBOOT, 1Mbit Flash chip

Data storage

512MB onboard NAND memory chip

Ethernet ports _{5 buah 10/100/1000 Mbit/s Gigabit Ethernet port supporting}

Auto-MDI/X

Serial ports One DB9 RS232C asynchronous serial port

LEDs Power, user LED

Power options

Power over Ethernet: 18..28V DC (except power over datalines) Power jack: 10..28V DC

Overvoltage protection

Dimensions 116mm x 90mm Currently supported RouterOS

4.1.2 Router Mikrotik pada Email Server

Email server pada DMZ (demilitarized zone) perusahaan menjadi salah

satu aset berharga yang perlu dilindungi dari ancaman luar. Oleh karena itu, pemasangan firewall sebelum keluar ke internet maupun ke jaringan internal perusahaan mutlak sangat dibutuhkan. Berikut adalah topologi yang ada pada ruang server di gedung 24

Gambar 4.2 Topologi jaringan di ruang server

Email server diletakkan di luar jangkauan PC Gateway sejak awal, yaitu

ketika perusahaan baru memiliki dan memasang email server ini untuk pertama kali. Email server ini menggunakan 2 LAN Card yang terhubung ke jaringan internal dan internet. Untuk jaringan internal, packet keluar dan masuk email

terhubung ke jaringan internal perusahaan sudah terlindungi. Sementara untuk packet keluar dan masuk ke jaringan eksternal (internet), belum ada fitur

filtering yang diimplementasikan, packet langsung di-forward menuju router

Lintasarta yang hanya memiliki fitur routing tanpa menyediakan fitur firewall seperti filtering dan lain-lain. Oleh karena itu, resiko terhadap ancaman tentunya lebih besar karena tidak memiliki fitur filtering keluar dan masuk antara email

server ke internet. Ancaman-ancaman seperti virus, ip spoofing, dan sebagainya

sangat besar kemungkinannya untuk masuk ke jaringan perusahaan melalui

email server ini.

Router firewall adalah solusi yang dipakai untuk mengatasi masalah

ancaman ini. Router yang digunakan adalah mikrotik RB 450G. Setting dilakukan secara GUI menggunakan software Winbox dan melalui telnet. Dalam melakukan setting, semua port yang tidak diperlukan ditutup. Hanya port-port tertentu yang diperlukan saja yang dibuka, seperti port 25 untuk protokol SMTP dan port 110 untuk POP3.

Untuk masalah kemanan yang lebih advanced, digunakan pendeteksian dini untuk hacking, seperti IP spoofing dan lain-lain. Pengaturan IP address juga memiliki peranan vital dalam pembuatan firewall ini. Pada port eth0/0, digunakan subnet mask /29 untuk menyetarakan IP pada router firewall dengan DMZ. Sementara untuk port eth0/1, digunakan subnet mask /30 (point to point) untuk menyambungkan email server dengan firewall router mikrotik ini. Digunakan subnet masks /30 atau 255.255.255.252 untuk meminimalisasi user yang bisa masuk ke area jaringan ini. Jika menggunakan subnet masks /30,

berarti jaringan yang terbentuk antara router firewall mikrotik dengan email

server adalah point to point. Dengan demikian, semakin amanlah keberadaan email server, karena hanya router firewall mikrotik inilah yang diijinkan atau

memiliki hak akses untuk transfer / receive dari dan ke email server.

Pengaturan IP adalah langkah awal dari tindak pencegahan terhadap ancaman-ancaman pihak tak diijinkan yang mencoba mengakses email server tanpa ijin.

Selanjutnya port yang tidak terpakai adalah unused, dengan kata lain tidak memiliki IP address, untuk mencegah kemungkinan adanya hacker yang menyusup lewat port-port tersebut. Routing selain secara directly connected ke kedua kaki router, ditambahkan static route yaitu untuk menuju internet (0.0.0.0 dengan subnet mask 0.0.0.0) langsung menuju router milik Lintasarta. Ditambahkan lagi routing untuk menuju ke Plant 1, Plant 2, dan Plant 3 pada

Gambar 4.3 Topologi jaringan setelah implementasi mikrotik pada email server

Berikut adalah proses bagaimana melakukan setting terhadap router

firewall mikrotik (beserta print screen) menggunakan program winbox dari

tampilan awal sampai router siap digunakan.

Program winbox dipakai untuk melakukan setting terhadap router mikrotik ini. Tampilan program ini adalah GUI, lebih mudah digunakan dibanding setting melalui telnet (port 23). Kekurangannya adalah jika di-remote dari luar, setting menggunakan winbox akan mengalami banyak delay apabila menggunakan internet dengan bandwidth yang pas-pasan. Delay tersebut dikarenakan program winbox melakukan pengiriman data lengkap dari layer 1 sampai layer 7. Berbeda dengan telnet yang langsung masuk layer 4 (port 23) ke bawah sampai layer 1. winbox mengirim data dari layer 7 karena data yang dikirim ada yang berupa aplikasi (winbox menggunakan GUI).

Untuk dapat masuk ke layar utama, pada layar login pilih MAC address

router mikrotik yang akan di setting. Biasanya IP address router mikrotik yang

belum dipakai atau yang masih baru adalah 0.0.0.0, seperti tampak pada gambar di bawah.

Kemudian, ketikkan “admin” pada kolom password, sebagai default

password untuk router yang masih baru. Password dapat diganti setelah login.

Klik connect untuk masuk ke layar utama.

Gambar 4.6 Pengisian password

Di bawah adalah tampilan utama program winbox. Tidak terlalu rumit, karena berbasis GUI. Berbeda dengan telnet, dimana kita harus mengerti

command-command tertentu untuk melakukan setting, pada winbox kita hanya

melakukan “klik” dan memilih fitur-fitur yang ingin kita jalankan pada kolom sebelah kiri.

Gambar 4.7 Tampilan awal winbox

Klik “interface” pada kolom sebelah kiri, maka akan terlihat bahwa router memiliki 5 port yang dapat di-set IP masing-masing. Untuk keperluan perlindungan terhadap email server, hanya akan digunakan 2 port, yaitu port

ether1-public dan port ether 2. Port ether1 akan terhubung ke router CISCO

1841XM milik Lintasarta untuk tersambung ke internet (melalui switch). Port

ether2 akan terhubung ke router CISCO 1841XM milik Indosat melalui switch

untuk tersambung ke jaringan dalam HO, Plant 1, Plant 2, dan Plant 3. Untuk melakukan setting terhadap masing-masing port secara spesifik, double klik pada port yang akan di-setting. Berikut disertakan print screen yang akan memperjelas keterangan.

Gambar 4.8 Tampilan interface yang ada pada router

Ketika port tertentu di-double klik, akan muncul setting advanced yang terdiri dari 4 tabs yaitu general, Ethernet, status, dan traffic. Settingan default bawaan dari router untuk kelima Ethernet tidak diubah karena sudah benar. Berikut print screen ketika dilakukan klik pada ether1-public.

Gambar 4.9 Tampilan konfigurasi port secara spesifik untuk ether1-public

Lalu langkah selanjutnya, ketika telah dipastikan bahwa kelima port yang ada pada router berjalan dengan baik, maka port yang tidak perlu harus di-non aktifkan. Port-port tersebut yakni ether3, ether4, dan ether5. Caranya, klik satu kali pada port yang akan ditutup atau di-non aktifkan, lalu klik tanda X berwarna merah di baris atas. Berikut tampilan halaman interface setelah port interface yang tidak digunakan di blok.

Gambar 4.10 Port ether3, ether4, ether5 telah di blok

Interface tidak akan berjalan jika tidak memiliki IP address. Oleh karena

itu, kedua port interface (ether1 dan ether2) harus diberi IP address. Caranya klik IP pada kolom sebelah kiri, kemudian klik Addresses, seperti pada print

Gambar 4.11 Langkah awal untuk melakukan setting IP address

Berikut adalah tampilan Address List. Masih kosong karena belum dilakukan setting IP address.

Gambar 4.12 Tampilan awal Address List

Akan ada 2 IP address yang di-assigned ke dua port. Langkah pertama, klik tanda + berwarna merah di baris atas. Setelah muncul tampilan new address

box, settingan IP dapat dilakukan. Untuk yang pertama akan di assigned IP address public untuk terhubung ke internet. IP addressnya adalah

202.152.30.194 /29. Untuk yang kedua akan di-assigned IP address private untuk terhubung ke email server. IP addressnya adalah 192.168.112.1 /30. Berikut adalah print screennya.

Gambar 4.13 Meng-assign IP publik

Gambar 4.14 Meng-assign IP private

Langkah selanjutnya adalah melakukan setting DNS. Caranya adalah klik IP pada kolom sebelah kanan, lalu klik DNS, seperti pada print screen di bawah.

Gambar 4.15 Setting DNS

Lalu klik tanda + berwarna merah, masukkan primary DNS beserta IP nya seperti print screen di bawah.

Kemudian masukkan DNS secondary seperti di bawah, caranya sama dengan melakukan klik pada tanda + yang berwarna merah.

Gambar 4.17 Entry DNS

Tidak hanya sampai disitu, settingan selanjutnya adalah NAT, dimana IP

private dari email server akan dikonversi menjadi IP public sebelum keluar ke internet. IP public yang digunakan adalah 202.152.30.194. Berikut cara setting

NAT.

Gambar 4.19 Setting NAT

Klik IP, kemudian pilih firewall. Klik tab NAT pada baris bagian atas.

Add new rule dengan melakukan klik pada tanda “+” berwarna merah. Akan

Gambar 4.20 Penambahan NAT

Pada tab general, ubah chain menjadi scrnat, kemudian out interface menjadi ether1(public).

Klik tab action, pilih masquerade. Dengan demikian, selesailah pengaturan NAT pada router mikrotik ini. Email server sudah dapat berkomunikasi dengan internet.

Langkah selanjutnya adalah mengisi routing table pada router. Pada

router ini, tidak diperlukan banyak routing table. Salah satu Ethernet card pada email server sudah termasuk dalam jaringan internal perusahaan dengan network ID 192.168.111.0, jadi jaringan internal perusahaan, termasuk Plant 1, Plant 2, dan Plant 3, sudah bisa mengakses email server tanpa masalah melalui

PC-Gateway. Oleh karena itu, routing table hanya untuk memastikan akses ke

internet berjalan lancar.

Gambar 4.21 IP Route

Klik IP lalu routes. Klik tanda “+” berwarna merah untuk menambah

route list baru. Atur gateway nya. Hanya dua faktor yang penting dalam routing,

yaitu destination network address dan next hop device (dalam IP address) yang ditunjukkan pada gambar berikut.

Gambar 4.22 Setting IP route

Total ada tiga route list yang terdaftar. Dua lagi merupakan route yang sudah ada saat kita meng-assign IP address private dan IP address public. Dua

route ini otomatis terbentuk.

Dengan demikian, router sudah dapat digunakan. Proses implementasi dilakukan dengan cepat agar akses ke email server tetap terjaga availabilitynya. Waktu yang dibutuhkan untuk pemasangan seminimal mungkin, sehingga koneksi ke email server tetap terjaga, sekitar 5 menit.

Setelah router terpasang, saatnya mengaktifkan fitur firewall. Dalam implementasi firewall ini, dilakukan penutupan port yang tidak perlu.

Gambar 4.23 Port yang dibuka

Protokol default yang dibuka adalah port 80 untuk browsing dari email

server, port 25 untuk SMTP, port 110 untuk POP3, 23 untuk telnet, port 443

untuk SSH, port 21 untuk FTP. Sementara port lain yang tidak diperlukan, ditutup sama sekali. Jadi tidak ada celah untuk masuk lewat port yang terbuka bagi para hacker.

Berikut command yang ditambahkan melalui telnet untuk mencegah ping

flood, DoS dan port scanning.

/ ip firewall filter

add chain=input protocol=tcp dst-port=1337 action= add-src-to-address-list address-add-src-to-address-list=knock address-add-src-to-address-list-timeout=15s comment=”” disabled=no add chain=input protocol=tcp dst-port=7331 src-address-list=knock action= add-src-to-address-list address-list=safe address-list-timeout=15m comment=”” disabled=no

add chain=input connection-state=established action=accept comment=”accept established connection packets” disabled=no

add chain=input connection-state=related action=accept comment=”accept related connection packets” disabled=no

add chain=input connection-state=invalid action=drop comment=”drop invalid packets” disabled=no

add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment=”detect and drop port scan connections” disabled=no

add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpit comment=”suppress DoS attack” disabled=no

add chain=input protocol=tcp connection-limit=10,32 action= add-src-to-address-list add-src-to-address-list=black_list add-src-to-address-list-timeout=1d comment=”detect DoS attack” disabled=no

add chain=input protocol=icmp action=jump jump-target=ICMP comment=”jump to chain ICMP” disabled=no

add chain=input action=jump jump-target=services comment=”jump to chain services” disabled=no

add chain=input dst-address-type=broadcast action=accept comment=”Allow Broadcast Traffic” disabled=no

add chain=input action=log log-prefix=”Filter:” comment=”” disabled=no add chain=input src-address=192.168.110.0/24 action=accept

add chain=input src-address=192.168.111.0/26 action=accept add chain=input src-address=192.168.115.0/24 action=accept add chain=input src-address=192.168.0.0/24 action=accept add chain=input src-address=192.168.1.0/24 action=accept add chain=input src-address=192.168.2.0/24 action=accept add chain=input src-address=192.168.3.0/24 action=accept add chain=input src-address=192.168.120.0/24 action=accept add chain=input src-address=192.168.130.0/24 action=accept add chain=input src-address=192.168.140.0/24 action=accept add chain=input src-address=192.168.121.0/24 action=accept add chain=input src-address=192.168.131.0/24 action=accept add chain=input src-address=192.168.141.0/24 action=accept add chain=input src-address=192.168.145.0/24 action=accept add chain=input src-address=192.168.112.0/24 action=accept add chain=input src-address=202.152.30.192/29 action=accept

add chain=input action=drop comment=”drop everything else” disabled=no add chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept comment=”0:0 and limit for 5pac/s” disabled=no

comment=”3:3 and limit for 5pac/s” disabled=no

add chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5 action=accept comment=”3:4 and limit for 5pac/s” disabled=no

add chain=ICMP protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept comment=”8:0 and limit for 5pac/s” disabled=no

add chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept comment=”11:0 and limit for 5pac/s” disabled=no

add chain=ICMP protocol=icmp action=drop comment=”Drop everything else” disabled=no

add chain=services src-address-list=127.0.0.1 dst-address=127.0.0.1 action=accept comment=”accept localhost” disabled=no

add chain=services protocol=udp dst-port=20561 action=accept comment=”allow MACwinbox ” disabled=no

add chain=services protocol=tcp dst-port=2000 action=accept comment=”Bandwidth server” disabled=yes

add chain=services protocol=udp dst-port=5678 action=accept comment=” MT Discovery Protocol” disabled=no

add chain=services protocol=tcp dst-port=161 action=accept comment=”allow SNMP” disabled=no

add chain=services protocol=tcp dst-port=179 action=accept comment=”Allow BGP” disabled=yes

add chain=services protocol=udp dst-port=5000-5100 action=accept comment=”allow BGP” disabled=yes

add chain=services protocol=udp dst-port=123 action=accept comment=”Allow NTP” disabled=yes

add chain=services protocol=tcp dst-port=1723 action=accept comment=”Allow PPTP” disabled=yes

add chain=services protocol=gre action=accept comment=”allow PPTP and EoIP” disabled=yes

add chain=services protocol=tcp dst-port=53 action=accept comment=”allow DNS request” disabled=no

add chain=services protocol=udp dst-port=53 action=accept comment=”Allow DNS request” disabled=no

add chain=services protocol=udp dst-port=1900 action=accept comment=”UPnP” disabled=yes

add chain=services protocol=tcp dst-port=2828 action=accept comment=”UPnP” disabled=yes

add chain=services protocol=udp dst-port=67-68 action=accept comment=”allow DHCP” disabled=yes

add chain=services protocol=tcp dst-port=8080 action=accept comment=”allow Web Proxy” disabled=yes

add chain=services protocol=ipencap action=accept comment=”allow IPIP” disabled=yes

add chain=services protocol=tcp dst-port=443 action=accept comment=”allow https for Hotspot” disabled=yes

add chain=services protocol=tcp dst-port=1080 action=accept comment=”allow Socks for Hotspot” disabled=yes

add chain=services protocol=udp dst-port=500 action=accept comment=”allow IPSec connections” disabled=yes

add chain=services protocol=ipsec-esp action=accept comment=”allow IPSec” disabled=yes

add chain=services protocol=ipsec-ah action=accept comment=”allow IPSec” disabled=yes

add chain=services protocol=udp dst-port=520-521 action=accept comment=”allow RIP” disabled=yes

add chain=services protocol=ospf action=accept comment=”allow OSPF” disabled=yes

add chain=services action=return comment=”” disabled=no

add chain=forward connection-state=established comment=”allow established connections”

add chain=forward connection-state=related comment=”allow related connections”

add chain=forward connection-state=invalid action=drop comment=”drop invalid connections”

add chain=virus protocol=tcp dst-port=135-139 action=drop comment=”Drop Blaster Worm”

add chain=virus protocol=udp dst-port=135-139 action=drop comment=”Drop Messenger Worm”

add chain=virus protocol=tcp dst-port=445 action=drop comment=”Drop Blaster Worm”

add chain=virus protocol=udp dst-port=445 action=drop comment=”Drop Blaster Worm”

add chain=virus protocol=tcp dst-port=593 action=drop comment=”________” add chain=virus protocol=tcp dst-port=1024-1030 action=drop

comment=”________”

add chain=virus protocol=tcp dst-port=1080 action=drop comment=”Drop MyDoom”

add chain=virus protocol=tcp dst-port=1214 action=drop comment=”________” add chain=virus protocol=tcp dst-port=1363 action=drop comment=”ndm requester”

add chain=virus protocol=tcp dst-port=1364 action=drop comment=”ndm server”

add chain=virus protocol=tcp dst-port=1368 action=drop comment=”screen cast”

add chain=virus protocol=tcp dst-port=1373 action=drop comment=”hromgrafx”

add chain=virus protocol=tcp dst-port=1377 action=drop comment=”cichlid” add chain=virus protocol=tcp dst-port=1433-1434 action=drop

add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Bagle Virus”

add chain=virus protocol=tcp dst-port=2283 action=drop comment=”Drop Dumaru.Y”

add chain=virus protocol=tcp dst-port=2535 action=drop comment=”Drop Beagle”

add chain=virus protocol=tcp dst-port=2745 action=drop comment=”Drop Beagle.C-K”

add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment=”Drop MyDoom”

add chain=virus protocol=tcp dst-port=3410 action=drop comment=”Drop Backdoor OptixPro”

add chain=virus protocol=tcp dst-port=4444 action=drop comment=”Worm” add chain=virus protocol=udp dst-port=4444 action=drop comment=”Worm” add chain=virus protocol=tcp dst-port=5554 action=drop comment=”Drop Sasser”

add chain=virus protocol=tcp dst-port=6881-6889 action=drop comment=”________”

add chain=virus protocol=tcp dst-port=8866 action=drop comment=”Drop Beagle.B”

add chain=virus protocol=tcp dst-port=9898 action=drop comment=”Drop Dabber.A-B”

add chain=virus protocol=tcp dst-port=10000 action=drop comment=”Drop Dumaru.Y”

add chain=virus protocol=tcp dst-port=10080 action=drop comment=”Drop MyDoom.B”

add chain=virus protocol=tcp dst-port=12345 action=drop comment=”Drop NetBus”

add chain=virus protocol=tcp dst-port=17300 action=drop comment=”Drop Kuang2″

add chain=virus protocol=tcp dst-port=27374 action=drop comment=”Drop SubSeven”

add chain=virus protocol=tcp dst-port=65506 action=drop comment=”Drop PhatBot, Agobot, Gaobot”

add chain=forward action=jump jump-target=virus comment=”jump to the virus chain”

add chain=forward protocol=icmp comment=”allow ping” add chain=forward protocol=udp comment=”allow udp”

add chain=forward src-address=63.219.6.0/24 action=accept comment=”Allow access to internet from known network”

add chain=forward src-address=192.168.0.0/26 action=accept add chain=forward src-address=192.168.1.0/24 action=accept add chain=forward src-address=192.168.2.0/24 action=accept add chain=forward src-address=192.168.3.0/24 action=accept

add chain=forward src-address=192.168.110.0/24 action=accept add chain=forward src-address=192.168.111.0/24 action=accept add chain=forward src-address=192.168.115.0/24 action=accept add chain=forward src-address=192.168.120.0/24 action=accept add chain=forward src-address=192.168.121.0/24 action=accept add chain=forward src-address=192.168.130.0/24 action=accept add chain=forward src-address=192.168.131.0/24 action=accept add chain=forward src-address=192.168.141.0/24 action=accept add chain=forward src-address=192.168.140.0/24 action=accept add chain=forward src-address=192.168.145.0/24 action=accept add chain=forward src-address=192.168.112.0/24 action=accept add chain=forward src-address=202.152.30.192/29 action=accept add chain=forward action=drop comment=”drop everything else”

4.1.3 Router Mikrotik sebagai pengganti PC Gateway

Implementasi router mikrotik pada PC Gateway dilakukan dengan mengganti gateway yang sebelumnya menggunakan PC, dengan router mikrotik sehingga kecepatan di dalam jaringan dapat lebih meningkat. PC Gateway ini diganti juga dikarenakan seringnya PC Gateway ini down.

Router mikrotik yang akan dipakai sama dengan router firewall yang

dipakai pada email server, yaitu tipe RB-450G

Gambar 4.24 Topologi jaringan setelah implementasi mikrotik pada gateway

Untuk pengaturan router mikrotik pengganti PC Gateway ini, urutan pengaturannya sama seperti pengaturan router mikrotik sebagai firewall pada

email server, hanya parameter-parameternya saja yang berbeda.

Pertama, interface yang dibuka ada lima port, dengan masing-masing port adalah seperti gambar di bawah. Tidak digunakan sub IP disini dikarenakan fitur yang tidak memadai pada router mikrotik ini.

Gambar 4.25 Interfaces mikrotik gateway

Setelah interface dibuka, IP address di-assign pada masing-masing

interface seperti pada gambar di bawah. IP address yang di assign adalah

192.168.111.244, 192.168.110.244, 192.168.115.244, dan IP publicnya yaitu 202.152.30.195

Gambar 4.26 Assigned IP

Berikut cara meng-assign IP address pada tiap interface.

Pada DNS, yang digunakan adalah sebagai berikut

Gambar 4.28 DNS interface

Setelah melakukan pengaturan DNS hal berikutnya yang dilakukan ialah melakukan konfigurasi pada NAT, yang dilakukan pada gateway ini sama persis dengan konfigurasi pada router firewall sebelumnya.

Pada tampilan routing table, untuk menambahkan rule dan pengaturan lainnya sama caranya dengan pengaturan sebelumnya, yaitu dengan mengklik tanda ‘+’ berwarna merah yang tampak seperti gambar berikut.

Gambar 4.29 Assigned routing table

Pada router mikrotik yang berperan sebagai gateway ini juga diberikan pengaturan firewall yang akan memberikan keamanan pada jaringan. Pengaturan

firewall yang dilakukan sama dengan pengaturan firewall yang dilakukan pada router mikrotik firewall email server.

4.2 Backup Router

4.2.1 Spesifikasi Backup Router

Gambar 4.30 Router Huawei yang digunakan Sumber :

(kiri) www.huawei.com/cn/products/datacomm/datacomm/zhcn/detailitem/1259_img/Eudemon100.JPG

(kanan) www.aslanasia.net/data/ar28_9.gif

• Spesifikasi Router Huawei AR 28-09

Item Description

Fixed interface

1 console port 1 AUX port

1 synchronous/asynchronous serial interface 1 x 10/100 Mbps Ethernet interface

Slot 1 MIM slot

2 SIC slots Boot ROM 512 KB SDRAM 128 MB Flash 32 MB Weight 2.5 kg (5.5 lb) Dimensions (H x W x D) 79.4 x 376.2 x 287.9 mm (3.1 x 14.8 x 11.3 in)

Power supply Input

Rated voltage: 100 VAC to 240 VAC; 50/60 Hz

Maximum tolerance: 90 VAC to 264 VAC; 47/63 Hz

Input current: 1 A to 0.5 A

Output Output voltage: 12 VDC

Output current: 4 A

System power consumption 50 W

Operating temperature 0°C to 40°C (32°F to 104°F) Storage temperature –40°C to 70°C (–40°F to 158°F) Relative humidity

(non-condensing) 5% to 90%

Tabel 4.2 Spesifikasi huawei AR 28-09

• Spesifikasi Router Huawei AR 28-11

Item AR 28-10 AR 28-11

Slot 2 SIC slots

1 MIM slot

Fixed interface 1 x 10/100 Mbps Ethernet interface 1 synchronous / asynchronous serial interface (DB-50) 1 AUX port 1 console port 2 x 10/100 Mbps Ethernet interfaces 1 synchronous / asynchronous serial interface (DB-50 connector for AR 28-11) 1 AUX port 1 console port Boot ROM 512 KB SDRAM Default: 128 MB Max: 256 MB Flash Memory 32 MB Input voltage

AC Rated voltage:100 VAC to 240 VAC; 50/60 Hz Maximum tolerance: 85 VAC to 264 VAC; 47/63 Hz

DC Rated voltage: –48 VDC to –60 VDC Maximum tolerance: –40 VDC to –75 VDC Maximum power 60 W

Dimensions (H x W x D) 44.4 x 442 x 315 mm (1.8 x 17.4 x 12.4 in) Operating temperature 0°C to 40°C (32°F to 104°F)

Storage temperature –40°C to 70°C (–40°F to 158°F) Relative humidity

(non-condensing)

5% to 90%

Tabel 4.3 Spesifikasi Huawei AR 28-11

4.2.2 Implementasi Backup Router

Untuk mendukung availability jika sewaktu-waktu router mengalami masalah maka disiapkan router untuk menggantikan router yang bermasalah, hal ini juga merupakan permintaan dari manager IT PT.Arwana Citramulia sekaligus untuk memnfaatkan 2 router yang belum dipakai, yaitu router Huawei AR 28-09 dan Huawei AR28-11. Router backup akan ditempatkan pada

router-router mikrotik yang diimplementasikan, baik router-router mikrotik pada email server, maupun pada mikrotik yang menjadi gateway. Untuk merealisasikan hal

diatas maka konfigurasi dari router backup akan disamakan dengan router yang sedang berjalan, tentu saja fitur-fitur yang ada pada router backup tidak sebaik

Gambar 4.31 Topologi jaringan setelah implementasi backup router

4.3 Implementasi Software Network Monitoring

Seperti yang telah ditentukan pada bab sebelumnya, software yang digunakan sebagai aplikasi yang dapat memonitor jaringan yang ada pada PT. Arwana Citramulia ialah spiceworks. System requirements yang dibutuhkan untuk menginstal software ini ialah sebagai berikut :

• Windows XP Pro SP2, Windows 2003 Server • 700 MHz Pentium class processor

Sedangkan browser requirements yang dibutuhkan ialah : • Firefox 1.5 - 2.0

• Internet Explorer 6.0 - 7.0

4.3.1. Installasi Spiceworks

Untuk menginstal spiceworks, download software spiceworks di

www.spiceworks.com lalu jalankan file .exe tersebut.

Gambar 4.32 Logo Spiceworks

Gambar 4.34 Lokasi penyimpanan file spiceworks

Gambar 4.35 Proses instalasi

Setelah selesai melakukan proses instalasi, jalankan spiceworks dengan mengklik icon spicework pada desktop yang nantinya akan secara otomatis membuka web melalui internet explorer atau mozilla firefox. Maka akan muncul halaman login sebagai berikut.

Gambar 4.36 Halaman login

4.3.2. Pengaturan Spiceworks

Hal pertama yang dilakukan setelah login ke dalam spiceworks, melihat menu network scan pada menu setting. Pada awal tampilan, Scan Entries hanya terdapat range IP 192.168.111.1-254 saja sehingga spiceworks tidak dapat memonitoring keseluruhan jaringan PT. Arwana karena PT. Arwana juga memiliki range IP 192.168.110.1-254 dan 192.168.115.1-254. pada menu ini ditambahkan range IP tersebut sehingga spiceworks dapat memonitoring seluruh jaringan PT. Arwana. Selain mengatur IP range yang discan, dilakukan juga beberapa pengaturan seperti yang ditampilkan pada gambar. Berikut tampilan pengaturan network scan.

Selain melakukan pengaturan pada network scan, dilakukan juga pengaturan pada menu monitors & alerts yang juga terdapat pada menu

setting.

Gambar 4.38 Halaman monitors & alerts pada menu setting

4.3.3. Tampilan Spiceworks

Pada spiceworks terdapat 4 menu utama, yaitu dashboard, inventory,

1. Dashboard

Pada dashboard terdapat beberapa tampilan yang berisi informasi-informasi seperti :

Gambar 4.39 Halaman dashboard ƒ Environment charts

Pada gambar dapat dilihat informasi mengenai warnings ataupun errors yang terjadi pada jaringan berdasarkan event history yang dibagi sesuai tanggal ƒ Alerts

Pada bagian ini ditampilkan hal-hal yang dapat membahayakan atau mengganggu jalannya jaringan dalam PT. Arwana sehingga melalui tampilan ini, staff IT dapat segera mengatasi permasalahan yang terjadi didalam alerts

tersebut. Salah satu alerts yang dapat dilihat ialah “G: was < 25% free on file

server” yang menunjukkan memory harddisk yang sudah hampir penuh.

ƒ Security Center

Tampilan ini menunjukkan status antivirus yang terdapat dalam jaringan sehingga dapat diketahui antivirus apa yang terpasang di jaringan, antivirus yang belum diupdate, dan device mana yang belum ada antivirus.

ƒ Spiceworks News

Berisi informasi-informasi terbaru yang disediakan spiceworks ƒ Timeline

Berisi aktivitas-aktivitas yang terjadi didalam jaringan seperti device baru yang terdeteksi, memory free didalam device, update yang dilakukan, dan lain-lain

2. Inventory

Pada menu Inventory, terdapat tampilan icon-icon yang terbagi berdasarkan jenis device, antara lain router, server, workstation, dan semuanya itu tergabung didalam icon device yang berisi seluruh device yang ada di jaringan PT. Arwana. Semua device terdeteksi melalui setiap IP yang ada di dalam jaringan sehingga device router terdeteksi berdasarkan port yang aktif. Pada gambar berikut dapat terlihat device-device yang ada dengan total terdapat 77 device.

Berikut adalah tampilan router yang terdeteksi berdasarkan IPnya.

Berikut adalah tampilan server yang ada.

Gambar 4.42 Tampilan server

Berikut adalah tampilan workstation yang sebagian besar dalam bentuk PC yang dipakai oleh para staff dan karyawan di PT. Arwana yang dapat dimonitoring berdasarkan IP.

Gambar 4.43 Tampilan workstation

Untuk melihat informasi device yang ingin dilihat, cukup dengan mengarahkan pointer mouse ke icon yang ingin dilihat, maka akan muncul informasi berupa MAC address, Vendor, OS yang dipakai, Memory, dan

Gambar 4.44 Tampilan informasi device

Jika icon tersebur diklik, maka spiceworks akan menampilkan general info dari device tersebut. Gambar di bawah ini merupakan contoh general info dari

Gambar 4.45 Tampilan general info device

General info yang ada dapat di update atau di edit dengan mgklik icon

seperti gambar pensil yang ada dibagian kanan didekat informasi IP. Maka setiap informasi yang ada dapat diganti sesuai kebutuhan. Jika sudah selesai, tekan save pada bagian bawah.

Gambar 4.46 Tampilan edit general info

3. Help Desk

Pada menu help desk berisi tutorial-tutorial dan informasi mengenai spicework yang dikirimkan secara berkala oleh pihak spiceworks. Selain itu didalam menu help desk juga dapat melakukan design untuk user portal.

4. Community

Menu ini berupa forum sehingga dapat melakukan diskusi mengenai topik

yang ada, maupun membuka topik baru mengenai spiceworks. Dalam

Community terdapat menu Ask a Question, Discussion Group, Ratings & Reviews, Extensions Center, How-tos, Whitepapers.

4.3.4. Analisis Cara Kerja Spiceworks

Spiceworks melakukan scan seluruh jaringan dengan menggunakan

remote management protocols, sehingga hanya perlu menginstalnya di satu

komputer.

Langkah Spiceworks melakukan scan jaringan secara otomatis : • Active Directory diakses

Jika digunakan, dan Spiceworks memiliki akses, Spiceworks akan memeriksa Active Directory untuk mendapatkan inventarisasi aset pada jaringan. Spiceworks menggunakan info ini (alamat IP, sistem operasi, tingkat service pack, nama mesin) untuk mengisi informasi perangkat, bila perangkat ditemukan.

• NetBIOS diakses

NetBIOS diakses untuk memperoleh informasi sebanyak mungkin. • Alamat IP dalam jangkauan jaringan dilakukan ping

Spiceworks menentukan alamat IP yang memiliki mesin online dan yang kosong.

• Mesin diidentifikasi

Mesin yang merespon ping diidentifikasi berdasarkan port yang dapat terhubung. Spiceworks akan mencoba untuk terhubung menggunakan SNMP, WMI, SSH, SIP, MAC address, kemudian HTTP. Jika semua hal tersebut gagal, Spiceworks akan menggunakan informasi terbatas yang diterima dari NetBIOS dan ping untuk mengidentifikasi perangkat

menggunakan Active Directory. Perangkat ini hanya akan memiliki informasi yang terbatas (sistem operasi, service pack level, serial number) yang terdapat dalam Active Directory.

• Informasi dikumpulkan

Menggunakan protokol yang tepat dan kredensial, Spiceworks akan mengumpulkan informasi tergantung pada jenis mesin.

• Mesin diklasifikasikan

Berdasarkan informasi yang diperoleh, Spiceworks akan mengkategorikan mesin yang dimiliki.

• Device dikelompokkan

Setelah scan, Spiceworks akan menempatkan perangkat ke dalam kelompok-kelompok seperti Workstation, Server, atau Printer. Selain itu juga dapat membuat grup kustom berdasarkan kriteria sendiri.

Ports yang Digunakan Untuk Mengidentifikasi Devices :

Spiceworks terhubung ke port untuk mengidentifikasi mesin yang merespon ping.

• 135 (WMI) : untuk mendeteksi Windows. • 22 (SSH) : untuk mendeteksi Unix / Linux.

• 16992 (Intel AMT SOAP / HTTP) : untuk mendeteksi status vPro. Hal ini dilakukan dengan memeriksa respon HTTP pada port tersebut.

• 9100 (Jet Direct) : untuk mendeteksi printer. • 5060 (SIP) : untuk mendeteksi IP phones.

• 80 (HTTP) : untuk mendeteksi server, VMware, dan perangkat NAS. • 161 (SNMP) : untuk mendeteksi perangkat jaringan seperti printer,

switch, dan lain-lain.

• 5800 (VNC HTTP) : untuk mendeteksi jika perangkat mendukung akses

remote menggunakan VNC.

Kriteria Klasifikasi Devices :

• Network Devices: Mesin yang merespon SNMP, seperti router, hub, dan

switch. Banyak router baru menggunakan SSH, tetapi Spiceworks belum

mampu mengumpulkan informasi dengan cara ini.

• Printer: Printer yang merespon SNMP, HTTP, atau Jet protokol langsung.

• VOIP: Mesin yang merespon ke port SIP

• Laptop: Mesin yang merespon port WMI atau SSH dan ditemukan memiliki baterai terpasang.

• Desktop: Mesin yang merespon port WMI atau SSH, tetapi tidak memiliki baterai terpasang dan tidak menjalankan sistem operasi server. • Server: Mesin yang merespon port WMI, SSH, atau HTTP dan ditemukan

akan menjalankan sistem operasi server, seperti Linux, Windows Server, atau VMware.

• Unknowns: Mesin yang tidak memiliki port terbuka, dan tidak dapat diidentifikasi dengan Active Directory.

4.4 Testing

Untuk menilai seberapa efisien hasil implementasi dari pemasangan router mikrotik sebagai gateway dan juga sebagai firewall pada email server, maka dilakukan

testing yang sederhana sebagai berikut :

ƒ Pada Gateway

Untuk melihat pengaruh implementasi router mikrotik pada gateway, dilakukan

testing berupa pengukuran speedtest yang dapat dilihat hasilnya sebagai berikut.

Gambar 4.47 Gateway sebelum implementasi

Dapat dilihat bahwa dari hasil speedtest tersebut, terdapat peningkatan kecepatan dari Writing (mengirim data) sebesar 3.5% dan Reading (menerima data) sebesar 69.7%, sehingga rata-rata penigkatan kecepatannya adalah 36.6%.

ƒ Pada Firewall Email Server

Untuk dapat mengetahui tingkat keamanan setelah implementasi firewall, dilakukan telnet ke IP 192.168.111.244 melalui command prompt. Sebelum implementasi, telnet tersebut dapat dilakukan untuk masuk ke konfigurasi, tetapi setelah dilakukan implementasi, telnet tidak dapat dilakukan kembali karena port 23 dan port-port lain yang tidak dipakai telah ditutup.

Gambar 4.49 Telnet untuk testing firewall 4.5 Training

Setelah melakukan implementasi jaringan seperti yang telah dibahas, dilakukan juga training yang pesertanya ialah seluruh department IT. Training ini bertujuan untuk menjelaskan beberapa hal yang dilakukan. Berikut adalah hal-hal yang dipresentasikan :

ƒ Topologi jaringan yang ada di PT. Arwanan Citramulia ƒ Routing table dan IP route pada router yang digunakan

ƒ Gateway

ƒ Fitur firewall dan cara pengaturan

ƒ Cara implementasi dan perancangan router baru di dalam jaringan ƒ Subnet dan IP Addressing

ƒ Network troubleshooting

ƒ Cara mengkonfigurasi router mikrotik ƒ Pengetahuan umum Networking

Training ini diikuti dan mendapatkan respon positif dari para peserta yang datang,

terlihat dari banyaknya pertanyaan yang diajukan oleh peserta, serta kehadiran dan pengarahan yang dilakukan oleh Corporate IT Manager PT. Arwana Citramulia pada akhir training. Berikut adalah beberapa dokumentasi yang dilakukan pada training tersebut :

Gambar 4.51 Presentasi melalui whiteboard

Gambar 4.52 Sesi sharing (tanya jawab)

4.6 Evaluasi

Setelah melakukan implementasi router mikrotik sebagai firewall, implementasi mikrotik pada gateway, implementasi backup router dan spiceworks sebagai software

• Traffic yang keluar dan masuk ke jaringan external (internet) harus melewati router mikrotik yang sudah dipasang fitur filtering seperti access list control, penutupan

port yang tidak dipakai, dan NAT. Oleh karena itu, resiko ancaman terhadap data

yang keluar dan masuk seperti virus, ip-spoofing, dan sebagainya antara email

server ke internet dapat diminimalkan.

• Setelah penggantian pc gateway oleh router mikrotik kinerja jaringan dalam mengakses internet meningkat karena performa routing yang lebih baik.

• Dengan implementasi router backup maka apabila terjadi error pada router

gateway ataupun router firewall dapat segera diatasi tanpa harus menunggu lama

untuk perbaikan router yang error

• Manager IT sudah dapat melihat traffic yang berjalan di jaringan HO pada PT. Arwana, komputer-komputer yang aktif beserta info tentang komputer tersebut.