Cara Amankan Router WiFi / ONT Indihome

Tak bisa dipungkiri bahwa telkom rajanya isp di indonesia, semua orang (mayoritas) mulai dari kota metropolitan hingga ke pelosok desa pakai produk telkom. Salah satu produk unggulannya adalah Indihome Triple Play. Biasanya jika suatu produk laris manis maka disini lain ada 'orang jahat' yang senagaja mencari kelemahan, dan mengeksplorasi kelemahan itu untuk tujuan yg tdk baik dan maksud tertentu. Untuk itulah kita sebagai pengelola jaringan baik di warnet, di kantor, di rumah kita sendiri perlu memasang sistem keamanan untuk melindungi router kita agar aman dari gangguan pihak ketiga, Dannn kali ini, saya akan berbagi trik dan tips cara mengamankan Router WiFi / ONT Indihome Anda.

Ada beberapa langkah yang dapat kita lakukan untuk membuat modem indihome kita aman dari gangguan yang tidak kita harapkan. Tutotial ini akan menginformasikan kepada anda agar modem indihome anda aman dari 2 sisi, baik secara internal di lokal jaringan anda misalnya pencuri akses wifi maupun secara eksternal juga agar aman dari gangguan diluar jaringan lokal anda seperti gangguan DDoS, Brute-Force, dan sebagainya:

1. Mode Bridge
Untuk saat ini modem / router yang dipasang di rumah-rumah pelanggan indihome tidak bisa kita ubah sendiri ke mode bridge karena tidak tersedia fitur bridging pada ont, maka untuk keperluan ini kita harus pergi ke plasa telkom agar dibantu teknisi resmi, selanjutnya kita tunggu proses bidging sampai selesai, yah... cara ini memang tidak cukup cepat karena proses bridge tidak bisa dilakukan pada saat itu juga, ada jeda tunggu rata-rata 1x24 jam, bisa juga lebih biasanya kita akan diberitahu via telpon apabila bridge mode udah dilakukan teknisi telkom.

Keunggulan Mode Bridge ini kita bisa dial up PPPoE ke jaringan telkom langsung dari MikroTik kita, dan IP Public langsung tertanam di dalam interface mikrotik kita.

2. DMZ HOST
Cara ini lebih praktis daripada mode bridge karena ini tidak perlu bantuan teknisi telkom untuk melakukan setup DMZ HOST [klo bridge mode butuh orang telkom, klo dmz kita bisa set sendiri]. DMZ adalah metode redirect keseluruhan port yang ada di interface WAN pada router indihome ke MikroTik kita. Cara kerjanya hampir sama seperti hal nya port forwarding, bedanya klo port forwarding itu kita harus memetakan port service tertentu satu per satu ke host / node tujuan dan port tertentu.

Letak menu setting DMZ pada setiap router berbeda-beda tergantung tipe dan mereknya, namun pada dasarnya sama saja:

• ZTE F660, Setting DMZ Host terletak pada menu Security
• ZTE F609, Setting DMZ Host terletak pada menu Application
• Huawei HG8245A, Setting DMZ Host terletak pada menu Forward Rules

Setting DMZ pada ONT merek/tipe lain yang tidak saya sebut disini bisa anda cari sendiri, gak jauh dari menu-menu diatas, gampang kok!

Kedua cara diatas akan membuat aman Router Indihome Anda dari sisi WAN (dari luar jaringan lokal anda), semua permintaan service ssh, telnet, ftp, web yang berasal dari WAN menuju router Indihome Anda akan langsung lari ke MikroTik

Setelah aman dari sisi WAN, selanjutkan kita buat keamanan dari sisi LAN untuk mencegah ganguan dari internal jaringan kita baik melalui kabel maupun dari WiFi.

3. Matikan WiFi
Fitur keamanan wireless di modem/ont indihome saat ini hanya tersdia protokol wpa dan wpa 2, tidak belum tersedia pengaturan otenkasi via RADIUS, dan kelemahan dari wpa/wpa2 sangat mudah dibobol dengan tools wpa-scanner, maka... kalau ingin aman dari gangguan user wifi ya kita matikan wifi di modem/ont indihome. Pasti anda pada protes kan? loh..., kita kan masih butuh akses wifi untuk internet pribadi di smartphone atau laptop kita? Nah.. saya jawab: jika ingin mendapatkan akses internet dari wifi maka belilah wifi dan pasang dibawah kontrol mikrotik seperti pada gambar topologi dibawah ini.

4. Drop akses SSH, telnet, ftp, dan web config kepada modem/ont indihome menggunakan mikrotik

(bersambung)............

Free Template Voucher Userman MikroTik (simple1)

<table style="color: #000; text-align: left; width: 250px; height: 110px; border: 1px solid #999999; margin-bottom: 5px; margin-right: 5px; float: left;" border="0" cellspacing="2" cellpadding="2">

<tbody>

<tr align="left" valign="top">

<td style="border-bottom: 1px solid black; text-align: center;" colspan="2" rowspan="1" valign="undefined"><big><span style="font-weight: bold;">VOUCHER HOTSPOT</span></big><br /><strong><small>Unlimited </small></strong></td>

</tr>

<tr>

<td style="text-align: center;"><small><strong>Paket</strong><br />%u_actualProfileName%</small></td>

<td style="text-align: center;"><small><strong>Harga</strong><br />%u_moneyPaid%</small></td>

</tr>

<tr>

<td style="text-align: center;"><small><strong>Login</strong></small><br />%u_username%</td>

<td style="text-align: center;"><small><strong>Password</strong></small><br />%u_password%</td>

</tr>

<tr align="left">

<td style="border-top: 1px solid black; text-align: center;" colspan="2" rowspan="1" valign="top"><span style="font-size: 11.6667px;"><strong>^</strong></span></td>

</tr>

<tr align="right">

<td style="text-align: center;" colspan="2" rowspan="1"><small style="font-weight: bold;">&copy;2018 JAWARA HOTSPOT&trade;</small></td>

</tr>

</tbody>

</table>

Cara Install RouterOS MikroTik di VirtualBOX

Langkah meng-install RouterOS MikroTik di VirtualBox cukup mudah. Pertama, Buka VirtualBOX dan klik New Virtual Machine, Beri Nama: Mirkotik, Operating System : Linux, Version: Other Linux (32 bit). Tutorial selengkapnya unduh di bawah ini:

Download Tutorial Cara Install RouterOS MikroTik di VirtualBOX

Perangkat Untuk Membangun Hotspot dan RTRW NET

Setiap hari selalu ada saja inbox di fb saya yang menanyakan bagaimana cara membangun jaringan rtrw net, alat apa saja yg diperlukan untuk membuat hotspot rtrw net, berapa biaya yg dibutuhkan untuk memulai bisnis rtrw net, dan masih banyak lagi pertanyaan seputar rtrw net yang masuk di pesan pribadi pada akun facebook saya maupun via whats app. Capek juga menjawab pertanyaan yg sama tiap hari, hehehe :) makanya, mending sy tulis disini supaya semua bisa membaca dan semua bisa mengetahui informasi mengenai rtrw net ini.

Sebelum memilih / membeli perangkat jaringan yang dibutuhkan, terlebih dahulu kita harus menentukan total trafik atau benwit yang akan didistribusikan dan berapa jumlah klien. Memilih perangkat tidak sembarangan, ini harus di ukur sesuai kebutuhan jaringan dan topologi kita. Jangan sampai ujug2 beli perangkat, namun begitu diterapkan pada jaringan... eh, suka macet dia, karena spesifikasi alat diluar kemampuan teknisnya. Jika anda masih awam mengenai jaringan komputer sebaiknya konsultasilah dulu pada ahlinya, karena setiap perangkat memiliki spesifikasi yang berbeda tentunya juga memiliki kemampuan berbeda.

Berikut ini contoh peralatan yang yang bisa kamu jadikan referensi untuk membuat RTRW net:

1. Internet 10Mbps sampai 20Mbps, 
alat yg sesuai kemampuannya adalah:

• Router utama : Mikrotik RB951Ui-2HND
• AP : RB MetalG 52SHPacn
• Antena Tp link TL ANT2415D
• Kabel Listrik dan Kabel LAN Secukupnya

2. Internet 30Mbps sampai 40Mbps

• Router utama : Mikrotik RB450G
• AP: MikroTik RB MetalG 52SHPanN
• Antena Tp link TL ANT2415D
• Kabel Listrik dan Kabel LAN Secukupnya

3. Internet 50Mbps sampai 75Mbps

• Router utama : Mikrotik RB850Gx2
• AP: 3 unit MikroTik RB MetalG 52SHPanN
• 1 antena Tp link TL ANT2415D
• 2 unit antena Air Grid M2
• Kabel Listrik dan Kabel LAN Secukupnya

4. Internet 100Mbps sampai 150Mbps

• Router utama : Mikrotik RB3011UiAS-RM
• AP : Mikrotik RB433AH
• 3 buah Mini PCI R52H
• 3 Buah antenna sectoral waveguide 19 Dbi 120°
• Kabel Listrik dan Kabel LAN Secukupnya

5. Internet 175Mbps sampai 500Mbps

• Router: Mikrotik RB 1100dx4 atau CCR Series
• AP : Mikrotik RB MetalG 52SHPacN (5 buah)
• Antena Omni Tp Link TL Ant2415d (1 buah)
• Antena Grid Kenbotong 30dbi 5.8 ghz (4buah)

jika jaringan anda berkembang, banyak user anda tinggal tambah AP, saya rekomendasikan pakai AP sebanyak yang anda butuhkan.

.

Mengenal Fresnel Zone dan LOS

Fresnel Zone dan LOS (Line Off Sight) sangat berkaitan dengan transmisi data.

Apa itu transmisi?
Transmisi adalah teknik untuk mengirimkan data dari satu node ke node yang lain. Dalam hal ini media yang sering digunakan transmisi biasanya kabel tembaga, coaxial, fiber optic dan gelombang radio WiFi.

WiFi (baca: Wai Fai) adalah teknologi jaringan LAN yang memanfaatkan gelombang radio untuk transmisi data tanpa kabel atau nirkabel (Wireless LAN / WLAN).

Sinyal wireless dipengaruhi oleh beberapa kondisi dan posisi. Salah satu metode untuk menentukan pengaruh kekuatan sinyal wireless adalah Fresnel zone. Fresenel zone merupakan besaran tak terhingga dari pola radiasi yang terpancar keluar dari circular aperture. Zona Fresnel ini adalah hasil pola difraksi dari circular aperture.

 Fresnel zone ini digunakan sebagai media rambat frekuensi dari gelombang elektromagnetik yang nantinya menghasilkan sebuah jaringan nirkabel.


Fresnel zone adalah suatu daerah pada suatu lintasan transmisi gelombang mikro yang digambarkan berbentuk elips yang menunjukkan interferensi gelombang RF jika terdapat blocking. Untuk lebih jelasnya dapat dilihat pada gambar 1 dibawah ini.

Fresnel Zone, dapat dihitung dengan rumus berikut:

 r =  72.6 X sqrt (d/4f)

di mana           r : fresnel zone (feet)  
            d : Jarak (miles)
                        f : Frekuensi (GHz)

atau jika d dalam Km maka dan r dalam meter,dapat dirumuskan sebagai berikut:

r = 17.32 X sqrt(d/4f).

Pada fresnel zone, tidak boleh adanya gangguan sinyal transmisi karena ini akan mengakibatkan refraksi, difraksi dan refleksi yang pada akhirnya akan melemahkan sinyal yang diterima oleh Rx. Fresnel zone dibuat beberapa tingkat, yang mana untuk tingkat 1, benar-benar tidak boleh adanya obstacle.

Suatu sinyal transmisi secara consensus dikatakan baik jika 60%+3m dari fresnel zone tidak ada penghalang.

Contoh perhitungan fresnel zone sebagai berikut:

Misal Suatu Tx dengan frekuensi transmisi 15 GHz dan Jarak Tx-Rx 2 Km, maka fresnel zone dapat dihitung sebagai berikut.

 r = 17.32 * sqrt(d/4f)
   = 17.32 * sqrt(2/4*15)
   = 3.1632 m
dan transmisi akan baik jika 60% * 3.1632 + 3 (4.89792) m fresnel zone bebas dari halangan.

Figure 1: Fresnel Zone

Figure 2: Fresnel Zone

Lanjut ke  Line Off Sight (LOS) >>>

LOS ( Line Off Sight)
Dalam transmisi gelombang mikro kita mengenal istilah LOS. Apa itu sebenarnya LOS? LOS ( Line Off Sight) adalah suatu kondisi dimana antara pengirim (Tx) dengan penerima (Rx) dapat saling melihat tanpa ada penghalang.

LOS dipengaruhi oleh faktor-faktor berikut ini:

1. Panjang lintasan
Adalah panjang lintasan antara Tx dan Rx

2. Faktor K
Faktor pengali jari-jari bumi. Untuk indonesia k: 1.33 atau 4/3

3. Kontur bumi
Adalah kondisi permukaan dari bumi yang bisa berupa bukit, lembah dan lainnya.

4. Daerah fresnel
Adalah daerah berupa lintasan elips dalam lintasan propagasi gelombang radio dimana daerah             tersebut dibatasi oleh gelombang tak langsung (indirect signal) dan mempunyai beda panjang             lintasan dengan sinyal langsung sebesar kelipatan ½λ atau 2 kali ½λ.
5. Tinggi penghalang
Tinggi penghalang atau obstacle, yang bisa berupa pohon, gedung atau bangunan lainnya.

LOS, figure 1

LOS, figure 3

LOS, figure 3

Cara Blokir Situs Sebagian Client di Mikrotik

Aktifitas remote ke beberapa customer membuat kami jarang menulis artikel :)
biar blog ini selalu ada update, maka kami mencoba membuat artikel yang praktis dan sederhana agar dapat dimengerti oleh kawan-kawan yang baru belajar konfigurasi mikrotik, kali ini kami sengaja mengambil topik tentang "cara blokir sebuah / beberapa situs di mikrotik" karena seringkali pertanyaan ini muncul di beberapa group networking di media-sosial.

Kasusnya adalah : 

Pada sebuah lembaga kursus/sekolah ingin menerapkan filter situs tertentu utk sebagian client, tapi sebagian client lainnya tidak ingin ikut di blokir. IP address Client bersifat dinamis (dhcp)

Solusi:

Pertama, kita harus tau apa nama situs yang ingin di blokir, dalam lab kali saya umpamakan situs detik.com dan situs kompas.com yang ingin kita blokir.

Untuk mengatasi kasus seperti diatas ini kita perlu membuat layer7 dulu;

cara membuat layer7:

Silahkan masuk dulu ke dalam winbox
Kemudian klik menu ip > firewall > layer7
kemudian klik tombol plus +
name: block
regexp: ^.*(detik|kompas).*\$
kemudian klik Apply dan klik OK

Cara blokir situs pada client tertentu

setelah membuat layer7, barulah kita buat rule blokirnya dengan menggunakan fitur filter yg ada di mikrotik:

IP > Firewall >> Filter
dan klik tombol plus +

pada tab-menu General
chain: forward

padatab-menu Advanced
Layer7 protocol : block (sesuai dgn nama regexp yg sudah kita buat di layer7)
src. Mac Address : isi kode mac address client yg ingin di block (AA:BB:CC:DD:EE:FF)

pada tab menu Action
action : drop

setelah itu klik Apply dan OK. nah... sekarang client yg devicenya memiliki mac address AA:BB:CC:DD:EE:FF tidak bisa mengakses situs detik / kompas.com lagi deh.
client yang lain tetap tidak di block

Q: bagaimana jika ingin menambahkan lagi device client yg akan di block
A: ya, tambah lagi filter nya

Q: bagaimana klo ingin tambah situs block?
A: ya tambahin lagi regexp nya di layer7

Q: bagaimana klo banyak sekali client yg ingin di block
A: pakai address-list, bukan filter by mac-address lagi

Q: bagaimana klo situs yg ingin di blokir banyak sekali hingga ratusan situs, misalnya situs bokep dan konten2 negatif kan banyak tuh kan..
A: Pakai DNS Filtering (hubungi saya, ada biaya Rp. 150,000 per bulan)
informasinya klik [[[ DISINI ]]]

Demikian sedikit dasar filtering di mikrotik. dan nantikan artikel selanjutnya

Melindungi ARP List dan DHCP Server Menggunakan Userman

Sebuah pertanyaan datang dari grup fb "Mikrotik Indonesia" seorang pengusaha hotspot ingin user yang sudah konek / hanya user yang sudah mendapat otentikasi ini akan mendapatkan mac ip address dan otomatis mac address client muncul di arp list, dan bagi client liar yang belum terotentikasi maka dia tidak akan mendapat ip address, tidak muncul di arp lis, dan tentu saja tidak akan koneksi ke hotspot. Berikut ini screenshot pertanyaan dari kawan kita :)

disini saya tidak akan membuat script yang rumit :)
tapi saya akan menggunakan pendekatan logika yang simple, tapi tepat sasar sesuai keinginan kawan yg bertanya tersebut.

Sistem Keamanan yang ingin saya share kali ini adalah sebagai berikut:
-saat client mencoba untuk menghubungkan perangkatnya ke sinyal AP Hotspot, maka AP akan mengirim informasi ke DHCP Server apakah mac-address client ini sudah memenuhi syarat untuk mendapatkan ip address? jika ya maka ia akan mendapat ip address dan muncul di ARP List, jika tidak maka client tersebut tidak akan diberikan ip address dan juga tidak akan muncul di ARP List.

-client yang mana yang dianggap memenuhi syarat oleh system? yaitu: client yang mac addressnya sudah ada di database.

-database apa yang digunakan? tidak jauh2 dari mikrotik, yaitu user manager, nah... bagaimana caranya? yuk kita simak penjelasan berikut ini.

User Manager Sebagai Otorisasi DHCP Server

Pertama. Anda harus mengatur radius-client dengan mencentang service dhcp seperti pada gambar berikut ini :

Pengaturan RADIUS-client

Pada lab kali ini, saya gunakan IP address 127.0.0.1 karena server radius User Manager dan service DHCP/Hotspot masih berada di dalam satu router yang sama. Apabila pada implementasi real, ketika router UserManager terpisah dengan router DHCP/Wireless, IP address Anda isi dengan IP Address router yang menjalankan service UserManager.

Jangan lupa di setting DHCP Server, centang opsi "Use Radius". Masuk ke menu IP →> DHCP Server →> di Tab "Server, double klik untuk setting properties DHCP Server.

Buat anda yg menggunakan hotspot, Aktifkan juga server profile dengan perintah berikut di terminal:

/ip hotspot profile set hsprof1 login-by=mac use-radius=yes

Setting di-sisi Radius Client sudah selesai. Selanjutnya kita akan mulai setting disisi Radius Server / UserManager. Tambahkan router radius client (Router DHCP & Wireless) pada UserManager. Masuk ke web-base user manager dengan alamat http://ip-router/userman

Akan muncul halaman login web-base UserManager, by default kita bisa login dengan user admin password kosong. Di halaman itulah kita akan setting UserManager. Untuk menambahkan router radius client, masuk ke menu "Router", kemudian klik "Add".

Setelah menambahkan router, kemudian buat profile dan limitation untuk user DHCP dan Wireless. Misalkan kita akan limitasi client DHCP/Wireless dengan bandwidth 256kbps untuk upload dan download, maka kita bisa buat limitation seperti berikut :

Jika limitation sudah dibuat, selanjutnya buat profile dan tambahkan limitation yang sudah dibuat ke dalam profile tersebut.

Terakhir, buat User di UserManager dengan mac-address client DHCP atau Wireless sebagai username. Masuk ke menu "User" --> klik "Add". Isikan mac-address perangkat client sebagai username.

Jika DHCP Client atau wireless berhasil connect, maka limitasi yang sudah dibuat di UserManager akan berlaku. Pada setting limitasi UserManager, kita batasi bandwidth 256kbps. Maka otomatis router akan membuat dynamic queue yang akan melimit client DHCP/Wireless yang berhasil terkoneksi.

Selesai!