Senin, 12 Februari 2018

Melindungi ARP List dan DHCP Server Menggunakan Userman

Sebuah pertanyaan datang dari grup fb "Mikrotik Indonesia" seorang pengusaha hotspot ingin user yang sudah konek / hanya user yang sudah mendapat otentikasi ini akan mendapatkan mac ip address dan otomatis mac address client muncul di arp list, dan bagi client liar yang belum terotentikasi maka dia tidak akan mendapat ip address, tidak muncul di arp lis, dan tentu saja tidak akan koneksi ke hotspot. Berikut ini screenshot pertanyaan dari kawan kita :)
Keamanan Total Pada Hotspot Mikrotik


disini saya tidak akan membuat script yang rumit :)
tapi saya akan menggunakan pendekatan logika yang simple, tapi tepat sasar sesuai keinginan kawan yg bertanya tersebut.

Sistem Keamanan yang ingin saya share kali ini adalah sebagai berikut:
-saat client mencoba untuk menghubungkan perangkatnya ke sinyal AP Hotspot, maka AP akan mengirim informasi ke DHCP Server apakah mac-address client ini sudah memenuhi syarat untuk mendapatkan ip address? jika ya maka ia akan mendapat ip address dan muncul di ARP List, jika tidak maka client tersebut tidak akan diberikan ip address dan juga tidak akan muncul di ARP List.

-client yang mana yang dianggap memenuhi syarat oleh system? yaitu: client yang mac addressnya sudah ada di database.

-database apa yang digunakan? tidak jauh2 dari mikrotik, yaitu user manager, nah... bagaimana caranya? yuk kita simak penjelasan berikut ini.

User Manager Sebagai Otorisasi DHCP Server

Pertama. Anda harus mengatur radius-client dengan mencentang service dhcp seperti pada gambar berikut ini :
Pengaturan RADIUS-client

Pada lab kali ini, saya gunakan IP address 127.0.0.1 karena server radius User Manager dan service DHCP/Hotspot masih berada di dalam satu router yang sama. Apabila pada implementasi real, ketika router UserManager terpisah dengan router DHCP/Wireless, IP address Anda isi dengan IP Address router yang menjalankan service UserManager.

Jangan lupa di setting DHCP Server, centang opsi "Use Radius". Masuk ke menu IP →> DHCP Server →> di Tab "Server, double klik untuk setting properties DHCP Server.


Buat anda yg menggunakan hotspot, Aktifkan juga server profile dengan perintah berikut di terminal:

/ip hotspot profile set hsprof1 login-by=mac use-radius=yes

Setting di-sisi Radius Client sudah selesai. Selanjutnya kita akan mulai setting disisi Radius Server / UserManager. Tambahkan router radius client (Router DHCP & Wireless) pada UserManager. Masuk ke web-base user manager dengan alamat http://ip-router/userman

Akan muncul halaman login web-base UserManager, by default kita bisa login dengan user admin password kosong. Di halaman itulah kita akan setting UserManager. Untuk menambahkan router radius client, masuk ke menu "Router", kemudian klik "Add".

Setelah menambahkan router, kemudian buat profile dan limitation untuk user DHCP dan Wireless. Misalkan kita akan limitasi client DHCP/Wireless dengan bandwidth 256kbps untuk upload dan download, maka kita bisa buat limitation seperti berikut :

Jika limitation sudah dibuat, selanjutnya buat profile dan tambahkan limitation yang sudah dibuat ke dalam profile tersebut.

Terakhir, buat User di UserManager dengan mac-address client DHCP atau Wireless sebagai username. Masuk ke menu "User" --> klik "Add". Isikan mac-address perangkat client sebagai username.

Jika DHCP Client atau wireless berhasil connect, maka limitasi yang sudah dibuat di UserManager akan berlaku. Pada setting limitasi UserManager, kita batasi bandwidth 256kbps. Maka otomatis router akan membuat dynamic queue yang akan melimit client DHCP/Wireless yang berhasil terkoneksi.
Selesai!

Tidak ada komentar:

Posting Komentar