HANDOUT C3.9. KERJA PROYEK KELAS XII TKJ SMK DARUT TAQWA

NAMA

:………………………………………………………….

KELAS .

: …………………………………………………………

A.REMOTE LOGIN ............................................................................................................ 2 1.TELNET ................................................................................................................. 2 a. Teori............................................................................................................. 2 b. Praktikum..................................................................................................... 3 2.SSH......................................................................................................................... 5 a. Teori............................................................................................................. 5 b. Praktikum..................................................................................................... 6 3.PERBEDAAN TELNET DAN SSH ....................................................................... 7 B.INTERNET CONNECTION SHARING (ICS) ................................................................ 7 a. Teori....................................................................................................................... 7 b. Praktikum............................................................................................................... 8 C.PROXY SERVER ............................................................................................................ 11 a. Teori....................................................................................................................... 11 b. Praktikum............................................................................................................... 12 D.MANAGEMENT BANDWIDTH .................................................................................... 19 a. Teori....................................................................................................................... 15 b. Praktikum............................................................................................................... 16

www.sirodjudin.com 2017

1

A. REMOTE LOGIN Layanan remote login adalah layanan yang mengacu pada program atau protokol yang menyediakan fungsi yang memungkinkan seorang pengguna internet untuk mengakses (login) ke sebuah terminal (remote host) dalam lingkungan jaringan internet. Dengan memanfaatkan remote login, seorang pengguna internet dapat mengoperasikan sebuah host dari jarak jauh tanpa harus secara fisik berhadapan dengan host bersangkutan. Dari sana ia dapat melakukan pemeliharaan (maintenance), menjalankan sebuah program atau malahan menginstall program baru di remote host. Protokol yang umum digunakan untuk keperluan remote login adalah Telnet. Namun demikian, penggunaan remote login Telnet, sebenarnya mengandung resiko, terutama dari tangan-tangan jahil yang banyak berkeliaran di internet. Untuk memperkecil resiko ini, maka telah dikembangkan protocol SSH (secure shell) untuk menggantikan Telnet dalam melakukan remote login. 1. TELNET Telnet adalah aplikasi remote login Internet. Telnet digunakan untuk login ke computer lain di Internet dan mengakses berbagai macam pelayanan umum, termasuk katalog perpustakaan dan berbagai macam database. Telnet memungkinkan pengguna untuk duduk didepan computer yang terkoneksi ke internet dan mengakses komputer lain yang juga terkoneksi ke internet. Dengan kata lain koneksi dapat terjadi ke mesin lain di satu ruangan, satu kampus, bahkan setiap computer di seluruh dunia. Setelah terkoneksi, input yang diberikan pada keyboard akan mengontrol langsung ke remote computer tadi. Akan dapat diakses pelayanan apapun yang disediakan oleh remote machine dan hasilnya ditampilkan pada terminal lokal. Dapat dijalankan session interaktif normal (login, eksekusi command), atau dapat diakses berbagai service seperti: melihat catalog dari sebuah perpustakaan, akses ke teks dari USA today, dan masih banyak lagi service yang disediakan oleh masing-masing host pada di network. Telnet menggunakan 2 program, yang satu adalah client (telnet) dan server (telnetd). Yang terjadi adalah ada dua program yang berjalan, yaitu software client yang dijalankan pada computer yang meminta pelayanan tersebut dan software server yang dijalankan oleh computer yang menghasilkan pelayanan tadi.

Interaksi TELNET (Parker, 1994:117)

Koneksi mesin ketika terjadi TELNER (Parker, 1994:118) Tugas dari client adalah:  Membuat koneksi network TCP (Transfer Control Protocol) dengan server.  Menerima inputan dari user  Menformat kembali inputan dari user kemudian mengubah dalam bentuk format standard dan dikirim ke server.  Menerima output dari server dalam format standard.  Mengubah format output tadi untuk ditampilkan pada layar. Sedangkan tugas dari server adalah:  Menginformasikan software jaringan bahwa komputer itu siap menerima koneksi.  Menunggu permintaan dalam bentuk format standard.  Melaksanakan permintaan tersebut.  Mengirim kembali hasil ke client dalam bentuk format standard.  Menunggu permintaan selanjutnya. 2

Penggunaan Port untuk Server yang dituju oleh banyak pengguna (Parker, 1994:98) Ketika terjadi koneksi A-B Pada mesin A Port yang digunakan adalah Source=350 Destination=23 Pada mesin B Port yang digunakan Source=23 Destination=350 Ketika terjadi koneksi B-C Pada mesin B Porty yang digunakan Source=400 Destination=23 Pada Mesin C Port yang digunakan Source=23 D estination=351 Ketika terjadi koneksi C-A Pada mesin C Source=351 Destination=23 Pada mesin A Source=23 Destination=400 Telnet adalah program yang memungkinkan komputer host Internet anda menjadi terminal dari komputer host lain di Internet. Dengan ftp anda dapat membuka koneksi hanya untuk mentransfer file. Telnet memungkinkan anda untuk login sebagai pemakai pada komputer jarak jauh dan menjalankan program layanan Internet yang disediakan oleh komputer tersebut. Telnet menyediakan akses langsung ke beragam layanan di Internet. Komputer host anda memang menyediakan beragam layanan, namun jika layanan tersebut tidak ada, anda bisa menggunakannya melalui Telnet. Misalnya ketika masyarakat Internet menulis interface untuk membantu pengguna lain, Telnet memungkinkan anda mengakses host mereka dan menggunakan interface yang mereka buat. Demikian juga ketika seorang membuat layanan yang bermanfaat, Telnet memungkinkan anda mengakses sumber daya informasi yang berharga ini.Maintaining the Integrity of the Specifications Praktikum pada server Linux Debian 8 dan client Windows 7: 1. Install paket telnet  apt-get install telnetd

3

2. Jalankan aplikasi putty dari client 3. Masukkan ip address server, port dan jenis layanan (telnet)  klik open

4. Jika sudah terkoneksi dengan server, masukkan user dan password 5. PC server sudah bisa diremote menggunakan telnet

6. Cara lain meremote dengan telnet adalah dengan command prompt (cmd) 7. Aktifkan service telnet melalui  control panel  programs and features  turn windows features on or off  aktifkan telnet client

4

8. Buka cmd dan install telnet  pkgmgr/iu:”TelnetClient” 9. Aktifitas remote telnet bisa dimulai

2. SSH Pada awalnya SSH dikembangkan oleh Tatu Yl nen di Helsinki University of Technology. SSH memberikan alternatif yang secure terhadap remote session tradisional dan file transfer protocol seperti telnet dan relogin.Protokol SSH mendukung otentikasi terhadap remote host, yang dengan demikian meminimalkan ancaman pemalsuan identitas client lewat IP address spoofing maupun manipulasi DNS. Selain itu SSH mendukung beberapa protocol enkripsi secret key untuk membantu memastikan privacy dari keseluruhan komunikasi, yang dimulai dengan username/password awal. Algoritma enkripsi yang didukung oleh SSH di antaranya TripleDES(Pengembangan dari DES oleh IBM), BlowFish (BRUCE SCHNEIER), IDEA (The International Data Encryption Algorithm), dan RSA (The Rivest-Shamir-Adelman). Dengan berbagai metode enkripsi yang didukung oleh SSH, Algoritma yang digunakan dapat diganti secara cepat jika salah satu algoritma yang diterapkan mengalami gangguan. SSH menyediakan suatu virtual private connection pada application layer, mencakup interactive logon protocol (ssh dan sshd) serta fasilitas untuk secure transfer file (scd). Setelah meng-instal SSH, sangat dianjurkan untuk mendisable telnet dan rlogin. Implementasi SSH pada linux diantaranya adalah OpenSSH. SSH merupakan paket program yang digunakan sebagai pengganti yang aman untuk rlogin, rsh dan rcp. SSH dirancang untuk menggantikan protokol telnet dan FTP. SSH merupakan produk serbaguna yang dirancang untuk melakukan banyak hal, yang kebanyakan berupa penciptaan tunnel antar host. Dua hal penting SSH adalah console login (menggantikan telnet) dan secure filetransfer (menggantikan FTP), tetapi dengan SSH anda juga memperoleh kemampuan membentuk source tunnel untuk melewatkan HTTP,FTP,POP3, dan apapun lainnya melalui SSH tunel. SSH menggunakan metode public-key cryptography untuk mengenkripsi komunikasi antara dua host, demikian pula untuk autentikasi pemakai. Dengan metode ini, kita akan memerlukan 2 buah kunci berbeda yang digunakan baik untuk melakukan enkripsi dan dekripsi. Dua buah kunci tersebut masing-masing disebut public key (dipublikasikan ke publik/orang lain) dan private key (dirahasiakan/hanya pemiliknya yang tahu). Masing-masing kunci di atas dapat digunakan untuk melakukan enkripsi dan dekripsi. SSH dapat digunakan untuk login secara aman ke remote host atau menyalin data antar host, sementara mencegah man-in-themiddle attacks (pembajakan sesi) dan DNS spoofing atau dapat dikatakan Secure Shell adalah program yang melakukan loging terhadap komputer lain dalam jaringan, mengeksekusi perintah lewat mesin secara remote, dan memindahkan file dari satu mesin ke mesin lainnya. SSH merupakan produk serbaguna yang dirancang untuk melakukan banyak hal, yang kebanyakan berupa penciptaan tunnel antar host. Cara Kerja SSH Saat suatu client mencoba mengakses suatu linux server melalui SSH. SH daemon yang berjalan baik pada linux server maupun SSH client telah mempunyai pasangan public/private key yang masing-masing menjadi identitas SSH bagi keduanya. Langkah-langkah koneksinya adalah sebagai berikut : Langkah 1. Client bind pada local port nomor besar dan melakukan koneksi ke port 22 pada server. Langkah 2. Client dan server setuju untuk menggunakan sesi SSH tertentu. Hal ini penting karena SSH v.1 dan v.2 tidak kompatibel. Langkah 3. Client meminta public key dan host key milik server. Langkah 4. Client dan server menyetujui algoritma enkripsi yang akan dipakai (misalnya TripleDES atau IDEA). Langkah 5. Client membentuk suatu session key yang didapat dari client dan mengenkripsinya menggunakan public key milik server. Langkah 6. Server men-decrypt session ky yang didapat dari client, meng-re-encrypt-nya dengan public key milik client, dan mengirimkannya kembali ke client untuk verifikasi. Langkah 7. Pemakai mengotentikasi dirinya ke server di dalam aliran data terenkripsi dalam session key tersebut. Sampai disini koneksi telah terbentuk, dan client dapat selanjutnya bekerja secara interaktif pada server atau mentransfer file ke atau dari server. Langkah ketujuh diatas dapat dilaksanakan dengan berbagai cara (username/password, kerberos, RSA dan lain-lain). 5

Praktikum pada server Linux Debian 8 dan client Windows 7: 1. Install paket ssh  apt-get install openssh-server

2. Jalankan aplikasi putty dari client 3. Masukkan ip address server, port dan jenis layanan (ssh)  klik open

4. Client akan meminta public key kepada server

5. Jika sudah terkoneksi dengan server, masukkan user dan password 6. PC server sudah bisa diremote menggunakan ssh

6

3. PERBEDAAN TELNET DAN SSH

Cara kerja TELNET dan SSH

Disini dapat kita lihat SSH memberikan alternatif yang secure terhadap remote session tradisional dan file transfer protocol seperti telnet dan relogin.Protokol SSH mendukung otentikasi terhadap remote host, yang dengan demikian meminimalkan ancaman pemalsuan identitas client lewat IP address spoofing maupun manipulasi DNS. Aplikasi seperti Telnet tidak menggunakan enkripsi sedangkan SSH dilengkapi dengan enkripsi. Sebab itulah SSH (Secure Shell) dapat memberi keamanan yang lebih daripada Telnet atau rlogin. Banyak orang menggunakan Telnet sebagai aplikasi jaringan mereka. Sebenarnya hal tersebut kurang begitu aman sebab dalam proses mengirim atau menerima data memungkinkan sesion kita terlihat dalam bentuk text. Sehingga orang yang jahil yang masuk ke network kita dapat mengetahui username, password, atau perintah-perintah yang kita baca

B. INTERNET CONNECTION SHARING (ICS)

ICS merupakan metode yang digunakan untuk membagi koneksi internet dari perangkat satu (server) dengan perangkat yang lainnya (client). Dalam ICS, perangkat server minimal harus memiliki 2 buah lancard, dimana lancard pertama yang menghubungkan server dengan penyedia jasa internet (ISP), sedangkan lancard yang lain yang menghubungkan serve ICS dengan client. Server ICS biasanya juga disebut sebagai server gateway, router gateway dan lain sebagainya. Dalam pelaksanaannya, server ICS akan menggunakan beberapa fitur agar koneksi internet nya bisa di bagikan kepada client. Fitur tersebut adalah: 1. ip forwading; merupakan fitur untuk meneruskan paket data antar lancard yang ada pada server ICS 2. NAT; merupakan fitur untuk merubah asal/tujuan suatu paket data 3. masquerade; merupakan fitur untuk menjembatani agar ip private/local bisa terkoneksi dengan ip public/internet Cara kerja internet connection sharing adalah sebagai berikut: 1. client melakukan request koneksi ke lancard pertama 2. kemudian paket data akan diteruskan oleh ip forward ke lancard kedua 3. alamat asal dan tujuan paket kemudian di ubah oleh NAT 7

4. agar koneksi ip local dan ip public bisa terjadi, maka ip yang keluar dari server melalui masquerade Praktikum ICS pada Linux Debian. 1. Aktifkan ip forward  nano /etc/sysctl.conf 2. Hapus tanda # pada net.ipv4.ip_forward=1

3. Aktifkan NAT dan masquerade  nano /etc/rc.local 4. Tambahkan aturan baru dalam iptables  iptables –t nat -A POSTROUTING –o eth0 -j MASQUEADE Keteangan: -t : tables nat : salah satu jenis table dalam iptables (filter, nat, mangle) -A : append; tambahkan aturan baru -o eth0 : output interface yang digunakan adalah eth0 -j MASQUEADE : paket data yang keluar dari server akan di ubah dari ip lokal ke ip public

5. Kemudian restart service networking dan rc.local  /etc/init.d/networking restart  /etc/init.d/rc.local restart

8

6. Kemudian aturlah konfigurasi ip address pada client sebagai berikut:

ip address client subnetmask client ip address eth1 dari server

ip address eth0 dari server ip address ISP

7. Kemudian lakukan pengecekan konkesi, dari sisi server, pastikan sudah terkoneksi semua a. Ping ip address ISP b. Ping ip address google c. Ping alamat google.com

9

8. Kemudian lakukan pengecekan konkesi, dari sisi client, pastikan sudah terkoneksi semua a. Ping ip address eth1 server ICS b. Ping ip address ISP c. Ping ip address dan alamat google.com

9. Kemudian lakukan browsing, dari sisi server dan client, pastikan sudah terkoneksi semua a. Ketik melalui terminal server  w3m www.smk-daruttaqwa.sch.id b. Ketik melalui browser client  www.smk-daruttaqwa.sch.id

10

C. PROXY SERVER

Proxy server adalah sebuah komputer server atau program komputer yang dapat bertindak sebagai komputer lainya untuk melakukan request terhadap content dari internet dan intranet. Proxy server bertindak sebagai gateway terhadap dunia internet untuk setiap komputer client. Dalam menjalankan tugasnya proxy server tidak terlihat oleh komputer client sebagai contoh saat seorang pengguna yang berinteraksi dengan Internet melalui sebuah proxy server tidak akan mengetahui bahwa sebuah proxy server sedang menangani request yang dilakukannya. Web server yang menerima request dari Proxy server akan menginterpresentasikan request-request tersebut seolah-olah datang secara langsung dari komputer client, bukan dari proxy server. Proxy server dalam suatu jaringan memiliki tiga fungsi utama yaitu sebagai Connection sharing, filtering, dan caching. a. Connection Sharing; Dalam suatu jaringan lokal yang terhubung ke jaringan lain atau internet, pengguna tidak langsung berhubungan dengan jaringan luar atau internet, tetapi harus melewati suatu gateway, yang bertindak sebagai batas antara jaringan lokal (privat) dan jaringan luar (publik). Gateway ini sangat penting, karena jaringan lokal harus dapat dilindungi dengan baik dari bahaya yang mungkin berasal dari internet, dan hal tersebut akan sulit dilakukan bila tidak ada garis batas yang jelas antara jaringan lokal dan internet. Gateway juga bertindak sebagai titik dimana sejumlah koneksi dari pengguna lokal akan terhubung kepadanya, dan suatu koneksi ke jaringan luar juga terhubung kepadanya. Dengan demikian, koneksi dari jaringan lokal ke internet akan menggunakan sambungan yang dimiliki oleh gateway secara bersama-sama (connection sharing). Dalam hal ini, gateway adalah juga sebagai proxy server, karena menyediakan layanan sebagai perantara antara jaringan lokal dan jaringan luar atau internet. singkatnya : 1 IP public dapat digunakan oleh banyak user, selain itu juga untuk melindungi jaringan dalam dari serangan luar. b. Filtering; merupakan sebuah usaha pengamanan atau pembatasan sehingga dengan adanya filtering sebuah proxy server dapat mengamankan dan membatasi hak akses client pada jaringan privat. Jadi meskipun mula-mula dibuat sebagai cache nonsekuriti, tujuan utama proxy server sekarang menjadi firewalling. 11

Proxy server memperbarui request layanan pada jaringan eksternal atas nama client mereka pada jaringan private. Ini secara otomatis menyembunyikan identitas dan jumlah client pada jaringan internal dari jaringan eksternal. Karena posisi mereka di antara client internal dan server publik, proxy juga dapat menyimpan content yang sering diakses dari jaringan publik untuk mengurangi akses ke jaringan publik tersebut. Kebanyakan implementasi nyata proxy sekuriti meliputi pemfilteran paket dan Network Address Translation untuk membangun firewall yang utuh. Teknologi tersebut dapat digabungkan dengan proxy untuk menghilangkan serangan terhadap proxy yang rentan. c. Caching (Internet Object caching); adalah suatu cara untuk menyimpan hasil permintaan internet-object. (seperti: data yang ada dari HTTP, FTP, dan ghoper protokol) untuk membuat sistem dekat dengan permintaan daripada ke sumber aslinya. Web browser dapat menggunakan lokal squid cache sebagai proxy HTTP server, ini akan mengurangi waktu akses seperti halnya penghematan bandwidth. Dengan kata lain sebuah client tidak harus melakukan kontak dengan server untuk meminta layanan akan tetapi client dapat mendapatkan layanan (data) yang sudah tersimpan pada proxy server, dengan hal ini maka akses akan semakin cepat. Sedangkan Squid adalah sebuah aplikasi server yang stabil dengan performance yang tinggi, selain juga free alias gratis karena open source software, dan juga merupakan aplikasi web proxy yang fleksibel untuk digunakan sebagai web cache. Secara umum fungsi atau kegunaan Squid dapat dibagi ke dalam dua fungsi penting, yaitu: a. Pertama, Squid server menerima permintaan-permintaan halaman (object) web dari client dan mengambilkan halaman (object) web untuk diberikan kepada client. Oleh karena itulah Squid berlaku sebagai Proxy. b. Kedua, Squid server menyimpan dan memberikan halaman-halaman (objects) web yang diminta client dari media penyimpanan lokal (local disc) setelah suatu permintaan yang pertama kali terhadap halaman (object) web terpenuhi, sehingga permintaan yang sama terhadap halaman web tersebut berikutnya tidak perlu diambil secara langsung ke website server melainkan dapat diambil dari halaman (object) web yang telah tersimpan di local disk. Hal inilah yang sering disebut dengan fungsi “caching” dan disebut web cache. Jadi…Proxy adalah sebuah fungsi, sedangkan squid adalah software yang menjalankan fungsi proxy. Praktikum Squid Proxy Server pada Linux Debian. 1. Install paket squid versi 3  apt-get install squid3

Edit file konfigurasi squid3



nano /etc/squid3/squid.conf

2. Tekan ctrl w  cari #http_port 3128 Hapus tanda # dan tambahkan kata transparent setelah 3128  Transparent proxy merupakan metode dimana kita menempatkan proxy server diantara jaringan LAN dan jaringan internet kemudian semua koneksi web dari jaringan LAN yang menuju inernet akan secara otomatis di belokkan untuk dipaksa melalui proxy server kita, metode ini akan mempermudah kita dalam melakukan pengaturanya, karena dengan menggunakn metode ini kita tidak harus mensetting client satu12

persatu untuk menggunkan proxy server, dan metode ini sangat cocok untuk penerapan kebijakan keamanan karena client mau atau tidak mau harus melewati proxy untuk mengakses internet. 3. Tekan ctrl w  cari # cache_mem Hapus tanda # dan sesuaikan besar memori yang akan digunakan oleh proxy  Menghitung Kebutuhan Memori pada Squid Memori besar adalah kebutuhan dasar sebuah mesin yang menjalankan service proxy, karena akan sangat erat sekali dengan performa dan pengambilan object pada mesin proxy. Memori pada mesin proxy digunakan sebagai in-transit object, hot object dan negative-cached yang di letakkan di memori agar mempercepat respon time ketika ada permintaan dari client. a. in-transit memori adalah object dari internet yang baru masuk ke mesin proxy dengan prioritas tertinggi b. hot object adalah object yang paling banyak di ambil di dalam disk cache c. negative-cached adalah error objects. Pada squid , pendifinisian penggunakan memori ada pada tag "cache_mem" defaultnya bernilai 256 MB. Tapi ingat !!, cache_mem bukanlah jumlah maksimal penggunaan memori dalam sebuah proses squid, tapi cache_mem digunakan sebagai in-transit object, hot object dan negative-cached. tag cache_mem akan berhubungan langsung dengan tag lain seperti "maximum_object_size_in_memory" dan "memory_replacement_policy". Lalu bagaimana dengan kebutuhan memori sesungguhnya dalam proses squid?, berikut adalah penjelasannya. a. Setiap 1 GByte cache disk memerlukan 10 MB Memori. besarnya cache disk mengacu tag cache_dir pada squid.conf. b. Jumlah cache_mem yang di definisikan di squid.conf c. Plus 20 Mb additional overhead Jadi misalakan cache_disk 20 GB, cache_mem 256 MB plus 20 MB additional overhead, makakebutukan memori untuk proses squid adalah 200 MB + 256 MB + 20 MB = 476 MB. Itu baru untuk proses squid belum kebutuhan sistem operasi dan service yang lain seperti snmp, named dan lain-lain. Tentunya membutuhkan memori yang besar bila sebuah mesin dengan service proxy. 4. Tekan ctrl w  cari cache_mgr webmaster Ubah webmaster menjadi alamat email admin/kita  5. Tekan ctrl w  cari acl CONNECT Tambahkan  acl lokal src 192.168.0.0/24  sesuaikan dengan network address pada eth1 Tambahkan  acl blok dtsdomain .detik.com  sesuaikan dengan nama domain yang ingin di blok

 Mengenal acl (ACESS CONTROL LIST) Access control list adalah pengelompokan paket berdasarkan kategori. acl bisa sangat membantu ketika membutuhkan pengontrolan dalam lalu lintas network. acl menjadi tool pilihan untuk pengambilan keputusan pada situasi ini. Penggunaan acl yang paling umum dan paling mudah untuk dimengerti adalah penyaringan paket yang tidak diinginkan ketika mengimplementasikan kebijakan keamanan. Sebagai contoh kita dapat mengatur acl untuk membuat keputusan yang sangat spesifik tentang peraturan pola lalu lintas sehingga acl hanya memperbolehkan host tertentu mengakses sumber daya WWW sementara yang lainnya ditolak. Dengan kombinasi acl yang benar, network manajer mempunyai kekuasaan untuk memaksa hamper semua kebijakan keamananyang bisa mereka ciptakan. Acl juga bisa digunakan pada situasi lain yang tidak harus meliputi penolakan paket. Sebagai contoh acl digunakan untuk mengontrol network mana yang akan atau tidak dinyatakan oleh protocol dynamic routing. Konfigurasikan acl dengan cara yang sama. Perbedaannya disibni hanyalah bagaimana menerapkannya ke protocol routing dan bukan ke interface. Kita juga bisa menggunakan acl untuk 13

mngkategorikan pakt atau antrian /layanan QOS, dan mengontrol tipe lalu lintas data nama yang akan mengaktifkan link ISDN. ACL yang paling umum digunakan Dari sekian banyak tipe acl yang bisa digunakan, menurut pengalaman saya hanya beberapa saja yang umum digunakan. Tentunya memang semua itu tergantung kebutuhannya. Walau tidak umum digunakan, tapi kalau memerlkukannya, mungkin saja digunakan dan sebaliknya. Biasanya yang paling umum diguanakan adalah, src, dst, dstdomain, port. ACL lainnya yang mungkin sering ditemui adalah url_regex, proxy_auth, maxconn, max_user_ip, time. Untuk lebih memahami cara penggunaan acl ini, saya akan coba berikan beberapa contoh penggunaan acl. a. Contoh 1: Membatasi akses internet dari IP tertentu Misal, dalam satu jaringan kantor, semua diperbolehkan mengakses internet via proxy. Kecuali beberapa komputer di meja penerima tamu atau front office. acl jaringan_kantor src 192.168.1.0/24 acl front_office src 192.168.1.21 # komputer1 di front office acl front_office src 192.168.1.22 # komputer2 di front office http_access deny front_office http_access allow jaringan_kantor Contoh 2: Membatasi akses ke situs tertentu Anda ingin memblock beberapa situs porno yang paling sering dikunjungi oleh user Anda. Tentu saja ini cara paling sederhana, dan mungkin tidak cocok untuk memblock situs porno secara keseluruhan. Tapi ini hanya sekedar contoh saja. Pastikan rules untuk membatasi akses ke situs porno itu muncul lebih dahulu, dibandingkan rules lain yang membolehkan akses internet. Lihat contoh dibawah ini. Kita akan menggunakan tipe acl dstdomain, yang bisa digunakan untuk menandai domain tujuan yang akan diakses. acl situs_porno dstdomain .playboy.com acl situs_porno dstdomain .porno.com http_access deny situs_porno acl jaringan_kantor 192.168.1.0/24 http_access allow jaringan_kantor b. Contoh 3: Membatasi akses internet di jam kerja Kali ini kita akan menggunakan tipe acl time. Langsung saja ke contoh. acl jam_kerja time MTWH 08:00-12:00 # Senin s.d Kamis jam 08:00 s.d Jam 12:00 acl jam_kerja time F 08:00-11:30 # Jumat 08:00-11:30 WIB acl jam_kerja time MTWHF 13:00-16:00 # Senin s.d Jumat jam 13:00 s.d 16:00 acl jaringan_kantor src 192.168.1.0/24 # Buka akses internet, diluar jam kerja http_access allow jaringan_kantor !jam_kerja Lihat tanda seru (!) di depan acl. Yang berarti tanda negasi, atau NOT (bukan). Jadi artinya kita hanya membuka akses internet untuk jaringan_kantor dan waktunya bukan di jam kerja. 6. Tekan ctrl w  cari INSERT Tambahkan  http_access deny blok Tambahkan http_access allow lokal

 sesuaikan dengan network address pada eth1  sesuaikan dengan nama domain yang ingin di blok

 7. Tekan ctrl w  cari cache_dir ufs Hapus tanda #

14



Menghitung Disk Cache Cache disk adalah bagian dari partisi sebuah mesin yang khusus dialokasikan untuk menyimpan cache. biasanya untuk kebutuhannya adalah hardisk dengan ukuran sekitar 20GByte dengan rpm yang besar. performa mesin akan lebih baik menggunakan 3 buah hardisk dengan ukuran kecil daripada 1 hardisk dengan ukuran yang besar. Pada squid, cache disk di definisikan dengan tag "cache_dir". Adapun format defaultnya adalah : "cache_dir Type Directory-Name Mbyte L1 L2 [options]" Keterangan: a. cache_dir adalah tag yang mendefinisikan directory cache. b. Type adalah jenis penyimpanan sistem, defaultnya adalah ufs. jika akan menggunakan sistem penyimpanan jenis lain seperti diskd atau aufs maka perlu menambah options --enable-storeio="diskd, aufs" ketika mengkompile squid. c. Directory-Name adalah menunjukkan letak directory akan di buat cache misalkan /cache. ingat, owner dan group directory ini harus sesuai dengan user yang menjalankan squid. adalah sebuah larangan squid di jalankan dengan user root. d. Mbyte (numeric) adalah pendifinisian besarnya media penyimpanan yang akan di gunakan cache, misalkan yang akan di gunakan adalah 20GB maka pada Mbyte harus tertulis 20000, MByte ini akan berhubungan dengan tag lain yaitu "cache_swap_low 90" dan "cache_swap_high 95". e. L1 (numeric) adalah jumlah directory yang akan di buat di dalam directory /cache ketika perintah squid3 -z di eksekusi. f. L2 (numeric) adalah jumlah directory yang akan di buat di dalam masing-masing directory L1 ketika perintah squid3 -z di eksekusi. Lalu bagaimana menentukan L1 ?, berikut adalah rumus yang di pakai. ((( x / y ) / 256 ) / 256 ) * 2 = L1 x = besarnya disk cache yang akan di gunakan, satuannya adalah Kb (20 GB = 20.000.000 KB) y = jumlah rata-rata object biasanya bernilai 13Kb misalkan besarnya cache disk adalah 20 GB maka: (((20.000.000/13)/256)/256)*2 = 46 Maka nilai L1 adalah 46. biar kinerja cache lebih bagus maka lebih baik gunakan 80% dari cache disk jadi bila cache disk 20GB maka scrip squidnya adalah sebagai berikut:  cache_dir ufs /cache 20000 46 256 8. Tekan ctrl w  cari access.log Hapus tanda #

  File access.log merupakan file yang digunakan untuk mencatat aktifitas proxy server 9. Merubah pesan error jika situs yang kita blokir di akses oleh client  cd /usr/share/squid3/errors/English

15

 nano ERR_ACCESS_DENIED

 tekan ctrl w, cari Access Denied, kemudian ganti dengan pesan yang lain



10. Install paket ccze sebagai alat bantu monitoring pewarnaan report squid secara real-time  apt-get install ccze

11. Aktifkan REDIRECT paket data  nano /etc/rc.local  Tambahkan iptables di bawah iptables sebelumnya iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128  Simpan dan keluar 12. Restart service squid dan rc.local 

/etc/init.d/squid3 restart



/etc/init.d/rc.local restart

13. Jalankan perintah monitoring squid secara real time  tail -f /var/log/squid3/access.log | ccze

 tampilan monitoring squid secara realtime melalui server

16

 tampilan pesan error default (belum di edit)

 tampilan pesan error setelah di edit

14. Monitoring proxy squid melalui client berbasis web menggunakan squidanalyzer a. Berpindah ke directory  cd /var/www Download paket squidanalyzer melalui  wget github/squidanalyzer/archive/master.zip

b. Pastikan file yang kita download sudah tersimpan Ekstrak dengan cara  unzip master.zip

c. Pastikan file yang kita ekstrak sudah ada Ubah nama directory  mv squidanalyzer-master

d. Install paket pendukung 

squidreport

apt-get install apache2 php5 perl make

17

e. Kompile installer squidanalyzer  cd /var/www/squidreport  perl Makefile.PL  make && make install

f. Edit file konfigurasi  nano /etc/squidanalyzer/squidanalyzer.conf





Pastikan output, weburl dan logfile sudah benar/sesuai  Output /var/www/squidreport  WebUrl /  LogFile /var/log/squid3/access.log Simpan dan keluar

g. Agar squidanalyzer bisa berjalan secara otomatis, maka perlu mengedit file 

 isi asli file crontab

 tambahkan di akhir 

0 2 * * * /usr/local/bin/squid-analyzer > /dev/null

 jalankan dan pastikan tidak ada pesan error



squid-analyzer

18

2>&1

crontab -e

h. Membuat file konfigurasi virtual host untuk squidanalyzer berbasis web  cd /etc/apache2/sites-available  cp 000-default.conf squidreport.conf

i. Edit file squidreport.conf  Kemudian ubah DocumentRoot nya

nano squidreport.conf



j. Aktifkan dan restart web server  a2ensite squidreport.conf  /etc/init.d/apache2 restart

k. Tampilan squidanalyzer melalui browser client  http://ip-eth1/squidreport  http://192.168.0.200/squidreport

D. MANAGEMENT BANDWIDTH Bandwidth adalah kapasitas atau daya tamping kabel ethernet agar dapat dilewati trafik paket datadalam jumlah tertentu. Bandwidth juga bisa berartijumlah konsumsi paket data per satuan waktudinyatakan dengan satuan bit per second (bps).Bandwidth internet di sediakan oleh providerinternet dengan jumlah tertentu tergantung sewapelanggan. Bandwidth adalah banyaknya ukuransuatu data atau informasi yang dapat mengalir darisuatu tempat ke tempat lain dalam sebuah network diwaktu tertentu. Bandwidth dapat dipakai untukmengukur baik aliran data analog maupun datadigital.Sekarang sudah menjadi umum jika katabandwidth lebih banyak dipakai untuk mengukuraliran data digital. Bandwidth dapatdidefinisikan sebagai kapasitas atau daya tamping suatu channel komunikasi (medium komunikasi)untuk dapat dilewati sejumlah traffic informasi ataudata dalam satuan waktu tertentu bandwidth. Bandwidth Management adalah suatu cara yangdapat digunakan untuk management danmengoptimalkan berbagai jenis jaringan denganmenerapkan layanan Quality Of Service (QoS) untukmenetapkan tipe-tipe lalu lintas jaringan. SedangkanQoS adalah kemampuan untuk menggambarkansuatu tingkatan pencapaian didalam suatu system komunikasi data.

19

Quality of Service(QoS) adalah suatu pengukuran tentang seberapa baik jaringan dan merupakan suatu usaha untuk mendefinisikan karakteristik dan sifat dari suatu servis. 1. HTB (Hierarchical Token Bucket ) Hierarchical Token Bucket (HTB) merupakan teknik penjadwalan paket yang baru-baru ini diperkenalkan bagi router berbasis Linux, dikembangkan pertama kali oleh Martin Devera pada akhir 2001 untuk diproyeksikan sebagai pilihan (atau pengganti) mekanisme penjadwalan yang saat ini masih banyak dipakai yaitu CBQ. HTB diklaim menawarkan kemudahan pemakaian dengan teknik peminjaman dan implementasi pembagian trafik yang lebih akurat. Pada HTB terdapat parameter ceil sehingga kelas akan selalu mendapatkan bandwidth diantara base link dan nilai ceil link nya. Parameter ini dapat dianggap sebagai Estimator kedua, sehingga setiap kelas dapat meminjam bandwidth selama bandwidth total yang diperoleh memiliki nilai di bawah nilai ceil. Hal ini mudah diimplementasikan dengan cara tidak mengijinkan proses peminjaman bandwidth pada saat kelas telah melampaui link ini (keduanya leaves dan interior dapat memiliki ceil ). Sebagai catatan, apabila nilai ceil sama dengan nilai base link, maka akan memiliki fungsi yang sama seperti parameter bounded pada CBQ, di mana kelas-kelas tidak diijinkan untuk meminjam bandwidth. Sedangkan jika nilai ceil diset tak terbatas atau dengan nilai yang lebih tinggi seperti kecepatan link yang dimiliki, maka akan didapat fungsi yang sama seperti kelas non-bounded. 2. CBQ (Class Based Queuing ) Class Based Queuing dapat menerapkan pembagian kelas dan men-share link bandwidtdh melalui struktur kelas-kelas secara hirarki. Setiap kelas memiliki antriannya masing-masing dan diberikan jatah bandwidthnya. CBQ bekerja sebagai berikut: classifier akan mengarahkan paket-paket yang datang kekelas-kelas yang bersesuaian. Estimator akan mengestimasi bandwidth yang sedang digunakan oleh sebuah kelas. Jika sebuah kelas telah melampaui limit yang telah ditentukannya, maka estimator akan menandai kelas tersebut sebagai kelas yang overlimit. Schedueler menentukan paket selanjutnya yang akan dikirim dari kelas-kelas yang berbeda-beda, berdasarkan pada prioritas dan keadaan dari kelas-kelas. 3. RED ( Random Early Detection ) Adalah mekanisme dropper yang menurut ke rata-rata panjang antrian. RED menghindari sikronisasi trafik dimana paket hilang TCP dalam satu waktu. RED juga membuat TCP menyimpan antrian pendek. RED dapat berlaku adil dalam arti paket tersebut di drop dari aliran-aliran dengan probabilitas yang proporsional ke buffer mereka. RED tidak memerlukan status per-aliran, bersifat skala dan cocok untuk backbone routers. Random Early Detection atau bisa disebut Random Early Drop biasanya dipergunakan untuk gateway / router backbone dengan tingkat trafik yang sangat tinggi. RED mengendalikan trafik jaringan sehingga terhindar dari kemacetan pada saat trafik tinggi berdasarkan pemantauan perubahan nilai antrian minimum dan maksimum. Jika isi antrian dibawah nilai minimum maka mode „drop‟ tidak berlaku, saat antrian mulai terisi hingga melebihi nilai maksimum maka RED akan membuang (drop) paket data secara acak sehingga kemacetan pada jaringan dapat dihindari. HTB (Hierarchical Token Bucket) adalah aplikasi yang berfungsi untukmengatur pembagian bandwidth, pembagiandilakukan secara hirarki yang dibagi-bagikedalam kelas sehingga mempermudah pengaturanbandwidth. HTB diklaim menawarkan kemudahanpemakaian dengan teknik peminjaman danimplementasi pembagian trafik yang lebih akurat.Teknik antrian HTB memberikan fasilitaspembatasan traffic pada setiap level maupunklasifikasi, bandwidth yang tidak terpakai bisadigunakan oleh klasifikasi yang lebih rendah.Ada tiga tipe kelas dalam HTB, yaitu : root, inner,dan leaf. Root class berada paling atas, dan semuatrafik harus melewati kelas ini. Inner class memilikiparent class dan child classes. Sedangkan leaf classadalah terminal class yang mempunyai parent classtetapi tidak mempunyai child class. Pada leaf class,trafik dari layer yang lebih tinggi disuntikkanmelalui klasifikasi yang harus digunakan melaluifilter, sehingga memungkinkan untuk membedakanjenis trafik dan prioritas. Sehingga, sebelum trafikmemasuki leaf class harus diklasifikasikan melaluifilter dengan berbagai rules yang berbeda. Parameter yang digunakan HTB untuk menentukan jenis queue adalah : a) Rate; Parameter rate menentukan bandwidth maksimum yang bisa dipakai oleh setiap class, jika bandwidth melebihi nilai “rate” maka paket data akan dipotong atau di jatuhkan (drop). b) Ceil; parameter ceil di set untuk menentukan peminjaman bandwidth antar class (kelas), peminjaman bandwith dilakukan class paling bawah ke kelas di atasnya, teknik ini disebut link sharing

20

HTB dapat digambarkan sebagai berikut :

Praktikum HTB di Linux Debian 8 menggunakan tool Webmin dan HTB-modul. 1. Ubah software repository  nano /etc/apt/source.list Tambahkan 2 baris  deb http://download.webmin.com/download/repository sarge contrib  deb-src http://download.webmin.com/download/repository sarge contrib Update software repository  apt-get update

2. Install paket webmin



apt-get install webmin

3. Download paket init htb  cd /etc/init.d  wget nchc.dl.sourceforge.net/project/htbinit/HTB.init/0.8.5/htb.init-v0.85  ubah nama init htb  mv htb.init-v0.85 htb.init  ubah hak akses htb.init agar bisa di eksekusi  chmod 755 htb.init

4. Buat struktur / hirarki untuk HTB  cpan -i Tree::DAG_Node  cd /sbin  cp tc.orig tc

21

5. Konfigurasi webmin  Melalui browser client, ketikkan http://ip-eth1:port-webmin 

http://192.168.0.200:10000

6. Install modul untuk HTB pada webmin melalui : menu  webmin  webmin configuration  webmin modules

 pilih install from  from ftp or http url  isikan alamatnya  http://sehier.fr/webmin-htb/webmin-htb.tar.gz

22

 klik install module

7. Konfigurasi modul HTB a. refresh halaman webmin  F5 b. pilih menu  networking  Hierarchy Token Bucket Queuing c. Aktifkan eth1  click here to enable interface eth1  save changes

d. Untuk membuat aturan pada eth1, klik tanda >

e. Untuk menambahkan pengaturan bandwidth,  Klik EDIT_ME

23

f. Isikan name (http), rate (400Kbit), ceil (512Kbit), priority (1), port (80, 443, 3128), ip (network address eth1) dan /mask (24) Untuk menambah baris, klik save changes

g. Untuk membuat hierarchy yang lain, klik tanda >

h. Dua hirarki sudah terbuat http  rate (400Kbit) ftp  rate (80Kbit)

 ceil (512Kbit)  ceil (112Kbit)

24

i. Testing download (http) melalui client sebelum HTB di aktifkan

j. Aktifkan HTB



 rate hingga 1.518 MB

klik tombol start di bawah menu konfigurasi HTB

k. Testing download (http) melalui client setelah HTB di aktifkan

25

 rate turun hingga 48.176 KB