belajar dan tambahan

nama : lahmudin
nobp : 06-861
kelas : SI-8

Simple Queue, Memisah Bandwidth Lokal dan Internasional

Kategori: Fitur & Penggunaan

Selama mengelola Mikrotik Indonesia, banyak sekali muncul pertanyaan bagaimana cara melakukan pemisahan queue untuk trafik internet internasional dan trafik ke internet Indonesia (OpenIXP dan IIX). Di internet sebetulnya sudah ada beberapa website yang menampilkan cara pemisahan ini, tapi kami akan coba menampilkan kembali sesederhana mungkin supaya mudah diikuti.
Pada artikel ini, kami mengasumsikan bahwa:

1. Router Mikrotik melakukan Masquerading / src-nat untuk client. Client menggunakan IP privat.
2. Gateway yang digunakan hanya satu, baik untuk trafik internasional maupun IIX.
3. Anda bisa menggunakan web-proxy internal ataupun tanpa web-proxy. Jika Anda menggunakan web-proxy, maka ada beberapa tambahan rule yang perlu dilakukan. Perhatikan bagian NAT dan MANGLE pada contoh di bawah ini.

Jika ada parameter di atas yang berbeda dengan kondisi Anda di lapangan, maka konfigurasi yang ada di artikel ini harus Anda modifikasi sesuai dengan konfigurasi network Anda.

Pengaturan Dasar

Berikut ini adalah diagram network dan asumsi IP Address yang akan digunakan dalam contoh ini.

Untuk mempermudah pemberian contoh, kami mengupdate nama masing-masing interface sesuai dengan tugasnya masing-masing.
 

[admin@MikroTik] > /interface pr Flags: X - disabled, D - dynamic, R - running #    NAME            TYPE   RX-RATE  TX-RATE  MTU 0  R ether-public     ether  0        0       1500 1  R ether-local      ether  0        0       1500

Untuk klien, akan menggunakan blok IP 192.168.0.0/24, dan IP Address 192.168.0.1 difungsikan sebagai gateway dan dipasang pada router, interface ether-local. Klien dapat menggunakan IP Address 192.168.0-2 hingga 192.168.0.254 dengan subnet mask 255.255.255.0.
 

[admin@MikroTik] > /ip ad pr Flags: X - disabled, I - invalid, D - dynamic # ADDRESS         NETWORK     BROADCAST     INTERFACE 0 202.0.0.1/24    202.0.0.0   202.0.0.255   ether-public   1 192.168.0.1/24  192.168.0.0 192.168.0.255 ether-local

Jangan lupa melakukan konfigurasi DNS server pada router, dan mengaktifkan fitur "allow remote request".
Karena klien menggunakan IP private, maka kita harus melakukan fungsi src-nat seperti contoh berikut.
 

[admin@MikroTik] > /ip fi nat pr Flags: X - disabled, I - invalid, D - dynamic 0   chain=srcnat out-interface=ether-public      action=masquerade

Jika Anda menggunakan web-proxy transparan, Anda perlu menambahkan rule nat redirect, seperti terlihat pada contoh di bawah ini (rule tambahan yang tercetak tebal).
 

[admin@MikroTik] > /ip fi nat pr Flags: X - disabled, I - invalid, D - dynamic 0  chain=srcnat out-interface=ether-public    action=masquerade 1  chain=dstnat in-interface=ether-local protocol=tcp    dst-port=80 action=redirect to-ports=8080

Jangan lupa mengaktifkan fitur web-proxy, dan men-set port layanan web-proxynya, dan disesuaikan dengan port redirect pada contoh di atas.
CEK: Pastikan semua konfigurasi telah berfungsi baik. Lakukanlah ping (baik dari router maupun dari klien) ke luar network Anda secara bergantian.

Pengaturan IP Address List
Mulai Mikrotik RouterOS versi 2.9, dikenal dengan fitur yang disebut IP Address List. Fitur ini adalah pengelompokan IP Address tertentu dan setiap IP Address tersebut bisa kita namai. Kelompok ini bisa digunakan sebagai parameter dalam mangle, firewall filter, nat, ataupun queue.
Mikrotik Indonesia telah menyediakan daftar IP Address yang diadvertise di OpenIXP dan IIX, yang bisa didownload dengan bebas di URL: http://www.mikrotik.co.id/getfile.php?nf=nice.rsc
File nice.rsc ini dibuat secara otomatis di server Mikrotik Indonesia setiap jam, dan merupakan data yang telah dioptimalkan untuk menghilangkan duplikasi entri dan tumpang tindih subnet. Saat ini jumlah baris pada script tersebut berkisar 7000 baris.
Contoh isi file nice.rsc :
 

# Script created by: Valens Riyadi @ www.mikrotik.co.id # Generated at 26 April 2007 05:30:02 WIB ... 431 lines /ip firewall address-list add list=nice address="1.2.3.4" rem [find list=nice] add list=nice address="125.162.0.0/16" add list=nice address="125.163.0.0/16" add list=nice address="152.118.0.0/16" add list=nice address="125.160.0.0/16" add list=nice address="125.161.0.0/16" add list=nice address="125.164.0.0/16" . . dst...

Proses pengambilan file nice.rsc bisa dilakukan langsung dari terminal di RouterOS dengan perintah:
 

/tool fetch address=ixp.mikrotik.co.id src-path=/download/nice.rsc;

Kemudian, import-lah file tersebut.
 

[admin@MikroTik] > import nice.rsc   Opening script file nice.rsc Script file loaded and executed successfully

Pastikan bahwa proses import telah berlangsung dengan sukses, dengan mengecek Address-List pada Menu IP - Firewall


Proses upload ini dapat juga dilakukan secara otomatis jika Anda memiliki pengetahuan scripting. Misalnya Anda membuat shell script pada Linux untuk melakukan download secara otomatis dan mengupload file secara otomatis setiap pk 06.00 pagi. Kemudian Anda tinggal membuat scheduler pada router untuk melakukan import file.
Jika Anda menggunakan RouterOS versi 3.x, proses update juga dapat dilakukan secara otomatis.
Perintah yang perlu dibuat adalah :
 

/system sched add comment=”update-nice” disabled=no interval=1d name=”update-nice-rsc” on-event=”:if ([:len [/file find name=nice.rsc]] > 0) do={/file remove nice.rsc }; /tool fetch address=ixp.mikrotik.co.id src-path=/download/nice.rsc;/import nice.rsc” start-date=jan/01/1970 start-time=06:00:00

Hati-hati! : Setelah copy paste, pastikan hasil copy paste sama persis. Proses copy paste kadang-kadang menghilangkan beberapa karakter tertentu.

Pengaturan Mangle
Langkah selanjutnya adalah membuat mangle. Kita perlu membuat 1 buah connection mark dan 2 buah packet mark, masing-masing untuk trafik internasional dan lokal.
 

[admin@MikroTik] > /ip firewall mangle pr Flags: X - disabled, I - invalid, D - dynamic   0 chain=prerouting in-interface=ether-local   dst-address-list=nice   action=mark-connection new-connection-mark=conn-iix   passthrough=yes   1 chain=prerouting connection-mark=conn-iix   action=mark-packet new-packet-mark=packet-iix   passthrough=no   2 chain=prerouting action=mark-packet   new-packet-mark=packet-intl passthrough=no

Untuk rule #0, pastikanlah bahwa Anda memilih interface yang mengarah ke client. Untuk chain, kita menggunakan prerouting, dan untuk kedua packet-mark, kita menggunakan passthrough=no.
Jika Anda menggunakan web-proxy internal dan melakukan redirecting trafic, maka Anda membuat 2 buah rule tambahan seperti contoh di bawah ini (rule tambahan yang tercetak tebal).
 

[admin@MikroTik] > /ip firewall mangle pr Flags: X - disabled, I - invalid, D - dynamic   0 chain=prerouting in-interface=ether-local   dst-address-list=nice   action=mark-connection new-connection-mark=conn-iix   passthrough=yes   1 chain=prerouting connection-mark=conn-iix   action=mark-packet new-packet-mark=packet-iix   passthrough=no   2 chain=output connection-mark=conn-iix   action=mark-packet new-packet-mark=packet-iix   passthrough=no   3 chain=prerouting action=mark-packet   new-packet-mark=packet-intl passthrough=no   4 chain=output action=mark-packet   new-packet-mark=packet-intl passthrough=no

Pengaturan Simple Queue
Untuk setiap client, kita harus membuat 2 buah rule simple queue. Pada contoh berikut ini, kita akan melakukan limitasi untuk IP client 192.168.0.2/32, dan kita akan memberikan limitasi iix (up/down) sebesar 64k/256k, dan untuk internasional sebesar (up/down) 32k/128k.
 

[admin@MikroTik]> /queue simple pr Flags: X - disabled, I - invalid, D - dynamic 0 name="client02-iix" target-addresses=192.168.0.2/32   dst-address=0.0.0.0/0 interface=all parent=none   packet-marks=packet-iix direction=both priority=8   queue=default-small/default-small limit-at=0/0   max-limit=64000/256000 total-queue=default-small   1 name="client02-intl" target-addresses=192.168.0.2/32   dst-address=0.0.0.0/0 interface=all parent=none   packet-marks=packet-intl direction=both priority=8   queue=default-small/default-small limit-at=0/0   max-limit=32000/128000 total-queue=default-small

Pengecekan Akhir
Setelah selesai, lakukanlah pengecekan dengan melakukan akses ke situs lokal maupun ke situs internasional, dan perhatikanlah counter baik pada firewall mangle maupun pada simple queue.
Anda juga dapat mengembangkan queue type menggunakan pcq sehingga trafik pada setiap client dapat tersebar secara merata.

trik bikin peringatan sebelum masuk windows

Jika mungkin computer Anda sering dipakai oleh orang lain tanpa sepengetahuan Anda, kini Anda bisa membuat satu kreasi asyik untuk memberikan peringatan kepada orang lain yang mencoba memakai komputer tanpa izin. Anda bisa mengutak-atik bagian registry computer Anda, dengan langkah sebagai berikut :

* Jalankan regedit dengan cara klik [Start]>>[Run] kemudian ketikkan “regedit” (tanpa tanda kutip), tekan ENTER atau OK sehingga akan muncul jendela Registry Editor.
* Pilih HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ WindowsNT\ CurrentVersion\ WinLogon
* Pada panel sebelah kanan, double klik pada “LegalNoticeCaption”, dan akan muncul kotak edit string
* Pada kotak tersebut, tuliskan pesan atau peringatan yang Anda inginkan lalu klik OK
* Restart computer untuk melihat hasilnya

hati-hati trojan masuk ke file firefox untuk mencuri pasword

Vendor keamanan dan peneliti Antivirus, Webroot telah mengidentifikasikan bahwa terdapat trojan yang akan mencuri informasi melalui file yang telah dimodifikasi di Firefox. Trojan ini akan memaksa browser untuk menyimpan password secara otomatis. Ancaman tersebut terdeteksi oleh Webroot sebagai Trojan-PWS-Nslogm dan mampu mencuri username dan password disimpan di Internet Explorer dan browser Firefox. Secara umum, Firefox mendeteksi setiap kali pengguna login akan diserahkan kepada web dengan disimpan atau tidak. Ketika ini terjadi, pengguna disajikan dengan beberapa pilhan seperti "Remember", "Never for This Site" atau "Not Now". Jika pengguna memilih remember< class="longtext">, browser menyimpan username dan password dalam database lokal.

Karena itu sangat mudah untuk mencuri perintah dari database ini melalui proses browser dan meraih password serta username pengguna. Pembuat Trojan kemudian membuat alternatif untuk menghilangkan peringatan dari Firefox melalui program jahat yang dibuat. Untuk mencapai ini tercipta sebuah patch file di nsLoginManagerPrompter.js pada instalasi Firefox. “Trojan kemudian menggali informasi dari registry dan dari penyimpanan password Firefox, kemudian dirinya mencoba untuk melewati informasi yang akan dicuri dalam hitungan per menit,” ujar Andrew Brandt, seorang malware peneliti di Webroot melalui laman resemi mereka.

Para pencuri password akan menginstal di c: windows system32 folder sebagai file Kernel.exe. Data yang diambil akan mengirim ke server utama melalui kontrol ActiveX msinet.ocx yang disebut deprecated. Munculnya Trojan ini akan dibuat dengan generator keylogger yang tersedia secara gratis di Internet. Para peneliti mengetahui ini setelah pembuat Trojan meninggalkan nama dan alamat emailnya. Untuk mengantisipasi hal tersebut diharapkan para pengguna menginstal ulang firefox milik mereka.

md5 cheksum

4.13:
 CHANGELOG_4 20556a21b3a4014b6fc4c68bad844b80
 mikrotik-4.13.iso 9b2b0957cc6cf8a3655eac671ecdbe89
 netinstall-4.13.zip e97a90cb93055325d4038f4b92cae1ff
 routeros-x86-4.13.npk 5e8f15971e5f14e7e1a47ad91dba0a9d
 all_packages-x86-4.13.zip 3fc359c74adf40ca370fd0a742c5a17c
4.13-mipsbe:
 routeros-mipsbe-4.13.npk d6993af1f3b3e86c6d81fa283ce01e89
 all_packages-mipsbe-4.13.zip c3fd4f789cfd43e27783868f8b8466f5
4.13-ppc:
 routeros-powerpc-4.13.npk d7a411f7982233f27c67b4a4bb21c962
 all_packages-ppc-4.13.zip 1c3662f7e5a52571f0696a34897bfd4b
4.13-mipsle:
 routeros-mipsle-4.13.npk c14f6d235660155344ab62d904f00dc5
 all_packages-mipsle-4.13.zip 67e6d8b5c06393beb0c3e65b05fc95ed
Torrent files:
 routeros-ALL-4.13.torrent 47f851d00ed2d54101a5ea2498d6e38a
 routeros-x86-4.13.torrent 78db6ba87a9c1b9e123b40e20e25e335
 routeros-mipsbe-4.13.torrent 9bb4ee342427a7e8ed33950609e8a1fb
 routeros-ppc-4.13.torrent 3c0d066bdb194562ce44d2c11189f7f2
 routeros-mipsle-4.13.torrent 891f6941da4765609e5360c49a279207

MD5 checker for Windows: http://www.mikrotik.com/download/md5sums-1.2.zip

KEAMANAN JARINGAN WIRELESS

KEAMANAN JARINGAN WIRELESS

TUJUAN:

1. Mahasiswa dapat memahami konsep dasar pengamanan dalam jaringan wireless.

2. Mahasiswa dapat mengetahui dan mengimplementasikan langkah-langakah pengaman dalam jaringan wireless.

A. PENDAHULUAN

Karakteristik wireless LAN yang mengirimkan datanya melalui udara bebas maka sangat memungkinkan dapat diakses di luar batas fisik dari sebuah kelompok jaringan yang berhak. Untuk itu diperlukan langkah preventif untuk menanggulangi penyusupan dari orang yang tidak berhak.

Ada tiga hal yang dapat membuat lingkungan lebih aman, yaitu dengan control akses, privasi dan authentikasi paket data.

1. Kontrol Akses

Membatasi user yang dapat menggunakan jaringan. Kontrol akses merupakan metode desain authentikasi user, sehingga dapat melakukan verifikasi mengenai user mana yang berhak menggunakan sumber daya jaringan dan mana yang tidak boleh.

2. Privasi

Melakukan penyembunyian informasi dari orang-orang yang tidak berhak. Transmisi jaringan wireless sangat rentan dengan kemudahan browsing data paket apabila tidak melalui proses enkripsi. Enkripsi adalah proses penyandian (encode) data, sehingga tidak akan dimengerti oleh penyadap atau orang yang tidak memahami dan berhak terhadap kunci pembacaan data.

3. Authentikasi Paket Data

Proses pemerikasaan peralatan user yang sah, sehingga paket yang dikirimkan benar-benar brada di tangan user yang berhak.

B. KEAMANAN JARINGAN

Teknologi jaringan wireless memberikan beberapa fitur yang dapat digunakan untuk mengamankan system dari gangguan luar, selain itu diperlukan pula suatu pembatasan user sebagai langkah preventif agar tidak mengganggu system.

Fitur-fitur standar untuk enkripsi kemanan jaringan wireless dikenal dua macam, yaitu: WEP (wired equivalent privacy) dan WPA (wifi protected access), yang digunakan untuk mengenkripsi kunci yang saling dikirimkan antara mobile station dengan access point.

1. WEP (wired equivalent privacy)

WEP pada standar 802.11 merupakan enkripsi optional dan standar autentikasi yang ditrapkan pada layer MAC pada beberapa NIC radio dan didukung oleh beberapa vendor access point. Saat WEP diaktifkan, WEP akan menyediakan transmisi system rahasia dengan cara melakukan enkripsi pesan yang saling ditukarkan antara mobile station dengan access point melalui link jaringan wireless.

3. WPA (wifi protected access)

Standar WPA melakukan upgrade WEP dan menawarkan enkripsi kunci yang dinamis dan autentikasi secara mutual. WPA dapat dianggap sebagai subset dari 802.11i, yang menyediakan pengaturan dan implementasi yag cukup mudah tanpa memerlukan perubahan yang berarti pada desain hardware 802.11. Fitur-fitur keamana yang lebih kuat sangat berhubungan dengan kekuatan pada metode enkripsinya.

C. ADMINISTRASI KEAMANAN JARINGAN

1. Kontrol Akses

Beri batasan kepada user yang ikut menggunakan jaringan WLAN dengan cara:

a. Masuk ke dalam site survey client dan scan broadcast komputer-komputer client.

b. Masuk ke menu LAN dan masukkan konfiguarasi IP yang akan masuk ke dalam jangkauan kerja router, dengan mengkonfigurasinya dalam submenu IP Address Pool.

c. Setelah selesai mengkonfigurasi pilih button apply changes.

2. WEP

a. Masuk ke dalam menu wireless dan pilih submenu security, dan untuk mengaktifkan WEP, maka pilih tipe enkripsi dari WEP.

b. Tipe enkripsi 40/64bit memberikan 5 pasangan heksadesimal yang digunakan untuk masing-masing kuncinya, sedangkan enkripsi 128 bit menawarkan 13 pasangan heksadesimal yang harus diberikan untuk tiap kuncinya.

c. Radiobox active transmite key merupakan settingan default key yang digunakan untuk masuk kedalam jaringan WLAN, setelah konfiguasri router telah cukup maka pilih apply changes.

3. WPA

a. Masuk ke dalam menu wireless dan pilih submenu security, dan untuk mengaktifkan WPA, maka pilih tipe enkripsi dari WPA.

b. Manual pre-shared key mampu menampung sampai 64 karakter heksa, pre shared passphrase mampu menampung sampai 8 s/d 63 karakter heksa dan mode 802.1x memberikan pengamanan dengan skala enterprise.

c. Setelah konfigurasi router cukup maka aplly changes.

metode-metode enkripsi medern

1. data encryption standard (DES), standar bagi USA Goverment, dukung ANSI dan IEFT, popular untuk metode secret key, terdiri dari 40-bit, 56-bit dan 3x56-bit (triple DES)
2. advanced encryption standard (AES) : untuk menggantikan DES (launching akhir 2001), menggunakan variable length block chipper, key length : 128-bit, 192-bit, 256-bit, dapat diterapkan untuk smart card.
3. digital certificate server (DCS) : verifikasi untuk digital signature, autentikasi user, menggunakan public dan private key, contoh : Netscape Certificate Server
4. ip security (IPSec) : enkripsi public/private key , dirancang oleh CISCO System, menggunakan DES 40-bit dan authentication, built-in pada produk CISCO, solusi tepat untuk Virtual Private Network (VPN) dan Remote Network Access
5. Kerberos : solusi untuk user authentication, dapat menangani multiple platform/system, free charge (open source), IBM menyediakan versi komersial : Global Sign On (GSO)
6. point to point tunneling protocol(PPTP) : Layer Two Tunneling Protocol (L2TP), dirancang oleh Microsoft, autentication berdasarkan PPP(Point to point protocol), enkripsi berdasarkan algoritm Microsoft (tidak terbuka), terintegrasi dengan NOS Microsoft (NT, 2000, XP)
7. Remote Access Dial-in User Service (RADIUS), multiple remote access device menggunakan 1 database untuk authentication, didukung oleh 3com, CISCO, Ascend, tidak menggunakan encryption
8. rsa encryption : dirancang oleh Rivest, Shamir, Adleman tahun 1977, standar de facto dalam enkripsi public/private key , didukung oleh Microsoft, apple, novell, sun, lotus, mendukung proses authentication, multi platform
9. Secure Hash Algoritm (SHA), dirancang oleh National Institute of Standard and Technology (NIST) USA., bagian dari standar DSS(Decision Support System) USA dan bekerja sama dengan DES untuk digital signature., SHA-1 menyediakan 160-bit message digest, Versi : SHA-256, SHA-384, SHA-512 (terintegrasi dengan AES)
10. MD5 : dirancang oleh Prof. Robert Rivest (RSA, MIT) tahun 1991, menghasilkan 128-bit digest., cepat tapi kurang aman
11. Secure Shell (SSH) : digunakan untuk client side authentication antara 2 sistem, mendukung UNIX, windows, OS/2, melindungi telnet dan ftp (file transfer protocol
12. Secure Socket Layer (SSL) : dirancang oleh Netscape, menyediakan enkripsi RSA pada layes session dari model OSI., independen terhadap servise yang digunakan., melindungi system secure web e-commerce, metode public/private key dan dapat melakukan authentication, terintegrasi dalam produk browser dan web server Netscape.
13. Security Token, aplikasi penyimpanan password dan data user di smart card
14. Simple Key Management for Internet Protocol : seperti SSL bekerja pada level session model OSI., menghasilkan key yang static, mudah bobol.

pengguanaan simetris dan a simetris

simetris adalah sebuah kunci yang digunakan untuk mengamankan sebuah data yang dikirim dari komputer A ke komputer B....
a simetris adalah sebuah kunci yang diguanakan untuk membuka kunci dari data yang dikirim dari komputer A ke komputer b..
pengguana simetris dan a simetris adalah dengan metode enkripsi dan metode deenkripsi yaitu untuk menyandikan data dan membuka sandi data..
ex:
1. sebuah data dikirim dari komputer A haya untuk komputer B yaitu dengan cara komputer A harus memiliki public key komputer B (public key B) sedangkan komputer B harus memiliki kunci pembukanya yaitu Private B (private key B)..

2. jika komputer A mengirim data ke banyak komputer yaitu dengan cara komputer A harus mengirimkan private key A ke komputer B, C, D, E dan komputer B, C, D, E harus memiliki public key B untuk membuka data yang dikirim oleh komputer A tadi...

jika data tersebut terkirim ke tempat lain yang tidak memiliki Public key A maka komputer tersebut tidak akan bisah membuka data yang diterimanya....

cara membuat encripsi file pada windows xp

saya akan membagi ilmu yang saya dapatkan dari kuliah keamanan komputer...
cara membuat encripsy pada windows xp profesional yaiut:
1. klik star>>
2. ambil control panel>>
3. pilih user akun>>
4. klik kiri create a new accunt
5. pada kolom type a name for the new account isikan nama akun yang akan anda buat
ex: lahmudin
6. klik next
7. klik create account
8. klik nama akun yang telah anda buat tadi dan pilih create a pasword dan isikan paswor yang anda inginkan
9. klik create pasword
10. klik lagi menu star dan pilih menu log off administrator
11. masuk ke folder D atau E dan buat sebuah folder dan isikan data yang anda akan letakkan di folder tersebut
11. klik kanan folder yang ada data anda tadi dan pilih propertis pilih general> advanced>> dan disana terdapat 4 pilihan dan kita pilih Encrypt contents to secure data >> kemudian klik OK
dan jadih deh encrypt data,, dan data anda akan aman dan tidak ada seorangpun yang bisa membukanya kecuali anda sendiri....
thanks.... moga informasi ini bermanfaat bagi kita semua pertama sekali bagi diri penulis....