Setup Radius Server Pada Mikrotik

Melanjutkan posting saya sebelumnya tentang setup captive portal di mikrotik, kali ini saya akan coba share cara membuat RADIUS server nya. Pada postingan sebelum itu kita sudah berhasil membuat portal login untuk user mengakses internet. Akan tetapi disana masih menggunakan local authentication belum radius, dan harus dimasukkan satu persatu user nya secara manual. Ini akan merepotkan jika user kita puluhan bahkan ratusan, jika menggunakan radius kita bisa setup user dengan batch. Kelebihan lain dari Radius, kita bisa membuat tingkatan user profile, misalnya profile mahasiswa (limit speed/download/upload) dan profile dosen (unlimited bandwith) dan banyak lagi.

Oke sekarang kita masuk ketahap pembuatan radius authentication, skemanya saya menggunakan RADIUS pada host yang sama dengan MikroTik OS. Sebaiknya radius ditempatkan pada server/host khusus, tapi karena keterbatasan alat dan server jadi saya akan bahas jika Captive Portal dan RADIUS pada host yang sama. Jika memiliki resource lain, tinggal sesuaikan IP 127.0.0.1 nya dengan IP server Radius nya. Spesifikasi saya masih menggunakan MikroTik versi 5.1.9, Asumsi nya routing dan captive portal sudah terkonfigurasi dengan baik. berikut langkah langkahnya:

Pertama tama kita setup MikroTik Kita Sebagai Radius Server:

[plain]
[admin@MikroTik] > radius add service=hotspot address=127.0.0.1 secret=pass1234
[/plain]

Set profile hotspot kita agar menggunakan radius authentication:

[plain]
[admin@MikroTik] > ip hotspot profile set hsprof1 use-radius=yes
[/plain]

Aktifkan tools user manager agar nantinya kita bisa gampang menambah dan mengedit user dengan browser. Secara default sejak MikroTik v.4 pada user-manager sudah ada user default (username:"admin" pass:"") karena ini agak beresiko sebaiknya kita edit user dan password nya:

[plain]
[admin@MikroTik] > tool user-manager customer print
[admin@MikroTik] > tool user-manager customer edit 0 login
[admin@MikroTik] > tool user-manager customer edit 0 password
[/plain]

Perintah pertama akan menampilkan user list, harusnya ada user admin nomor 0. Perintah kedua dan ketiga akan memunculkan teks editor, tinggal ganti username dan password nya disana. Untuk simpan dan keluar dari teks editor tekan tombol Ctrl+O di keyboard. Selanjutnya kita tambahkan router kita di user manager agar bisa dipakai sebagai RADIUS.

[plain]
[admin@MikroTik] > tool user-manager router add customer=fadhly ip-address=127.0.0.1 shared-secret=pass1234
[/plain]

Perintah Customer=fadhly <-- merupakan username yang tadi sudah diganti dari username standar admin. :) Selanjutnya kita tinggal menambahkan profile dan pengguna portal kita melalui browser di alamat http://alamat-portal/userman tamplannya kira kira sebagai berikut:

Happy MikroTik Networking.. \m/

Categories: Mikrotik, Networking

Setup Http Transparent Proxy di Mikrotik

Pada udah tau Proxy kan? Proxy merupakan sebuah aplikasi atau servis yang berfungsi untuk menyaring permintaan pada suatu server di jaringan kita. Karena itu proxy bisa melakukan blocking terhadap permintaan tertentu, dan juga proxy bisa menyimpan cache sehingga request yang sama pada suatu server akan diambil dari cache, sehingga performa jaringan akan lebih tinggi. Oke langsung aja ya, berikut langkah langkah untuk setup http proxy (saya menggunakan MikroTik versi 5.1.9) terdapat sedikit perbedaan syntax pada versi yang lain:

Login ke mikrotik anda (seperti biasa saya akan menggunakan terminal), kita enable service proxy dan settingan nya:

[plain]
[admin@MikroTik] > ip proxy set enabled=yes
[admin@MikroTik] > ip proxy set parent-proxy-port=8080
[admin@MikroTik] > ip proxy set cache-administrator=email@admin.com
[admin@MikroTik] > ip proxy set always-from-cache=yes
[admin@MikroTik] > ip proxy set cache-on-disk=yes
[admin@MikroTik] > ip proxy set max-cache-size=unlimited
[/plain]

Langkah selanjutnya kita harus mengkonfigurasi firewall nat agar setiap request ke port 80 akan di redirect ke port proxy kita yaitu 8080

[plain]
[admin@MikroTik] > ip firewall nat add chain=dstnat dst-port 80 protocol=tcp src-address=192.168.1.0/24 to-port=8080 action=redirect disabled=no
[/plain]

Sebagai tambahan, jika kita ingin menyaring situs tertentu atau kata kunci tertentu bisa menambahkan perintah berikut

[plain]
[admin@MikroTik] > ip proxy access action=deny disabled=no path=*porn*
[admin@MikroTik] > ip proxy access action=deny disabled=no dst-host=*.facebook.com
[/plain]

Setting diatas akan memblok semua request dengan kata kunci --porn-- dan memblok semua request ke situs facebook.com. Semoga bermanfaat ;) Selamat mencoba \m/

Categories: Mikrotik, Networking

Setup Captive Portal di Mikrotik

Apa itu mikrotik? MikroTik RouterOS™ merupakan sistem operasi yang diperuntukkan sebagai network router.Mikrotik adalah perusahaan kecil berkantor pusat di Latvia, bersebelahan dengan Rusia, pembentukannya diprakarsai oleh John Trully dan Arnis Riekstins. Saya begitu kenal mikrotik langsung dioprek, tapi karena udah lama banget saya udah lupa lagi, kemarin terinspirasi dengan pelatihan mikrotik yang diadakan dari lab jarkom. Jadi saya penasaran buat ngoprek-ngoprek lagi.

Oke langsung aja ya, kita akan mencoba untuk membuat sebuah router mikrotik dengan captive portal, saya menggunakan command (bukan winbox) Mikrotik v.5.1.9 . Perintah-perintah mikrotiknya saya tulis mulai dari konfigurasi ip address dan routing nya:

Setting Interface Mikrotik (asumsi nya mikrotik sudah terinstall di PC router) login default admin dan password kosong.

[plain]
[admin@MikroTik] > interface print
[admin@MikroTik] > interface set name=internet ether1
[admin@MikroTik] > interface set name=local ether2
[admin@MikroTik] > interface print
[/plain]

Sekarang ehternet/lancard sudah memiliki nama untuk memudahkan setting. Selanjutnya setting IP internet, IP local, gateway, DNS server dan firewall nat:

[plain]
[admin@MikroTik] > ip address add address=192.168.70.68/24 interface=internet
[admin@MikroTik] > ip address add address=192.169.1.1/24 interface=local
[admin@MikroTik] > ip route add gateway=192.168.70.1
[admin@MikroTik] > ip dns set servers=192.168.7.2 allow-remote-request=yes
[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=internet src-address=192.169.1.0/24 action=masquerade
[/plain]

 Setting DHCP Server untuk client di local

[plain]
[admin@MikroTik] > ip pool add name=dhcp-pool ranges=192.169.1.2-192.169.1.100
[admin@MikroTik] > ip dhcp-server network add address=192.169.1.0/24 gateway=192.169.1.1
[admin@MikroTik] > ip dhcp-server add interface=local address-pool=dhcp-pool
[admin@MikroTik] > ip dhcp-server print
[admin@MikroTik] > ip dhcp-server enable 0
[/plain]

Setting Captive Portal:

[plain]
[admin@MikroTik] > ip hotspot setup
hotspot interface: local
local address of network: 192.169.1.1/24
masquerade network: yes
address pool of network: 192.169.1.2-192.169.100
select certificate: none
ip address of smtp server: 0.0.0.0
dns server: 192.168.7.2
dns name: portal.cs
name of local hotspot user: admin
password for the user: password
[/plain]

Terakhir tinggal di coba dari client, maka akan muncul Portal Login di Browser seperti gambar dibawah ini :)

Bisa di test login menggunakan user admin yang dibuat dengan wizzard diatas, selanjutnya untuk menambah user bisa mengunakan perintah berikut:

[plain]
[admin@MikroTik] > ip hotspot user add name=namauser password=passworduser
[/plain]

Selesai membuat captive portal, supaya lebih menarik sebaiknya form login nya di customisasi lagi. Bisa edit di file hotspot/login.html selamat mencoba dan happy networking ;)

Categories: Mikrotik, Networking

Install Custom ROM [Galaxy ACE]

Apa itu Custom ROM? Custom rom merupakan suatu sistem operasi Android yang sudah mengalami kostumisasi oleh developer pihak ketiga, karena Android bersifat terbuka, maka pihak ketiga dimungkinkan untuk melakukan kostumisasi pada suatu stock rom. Apa itu stock rom? Stock rom merupakan rom / sistem operasi bawaan dari perangkat android yang kita beli. Perlu diketahui saya melakukan installasi custom ROM untuk SGA (Samsung Galaxy ACE) yang sudah di root. Setelah mencoba beberapa Custom ROM, saya bertahan di Custom ROM milik Cyanogen Mod 7 ( Apocalypse).

Sebelum langsung masuk ke cara cara, perlu di ketahui bahwa Rooting dan Custom ROM akan menghilangkan garansi, memiliki resiko tinggi jika gagal ( bisa brick hape anda alias hape jadi bata). Do on Your Own Risk..!!! Oke berikut persiapan nya:

• Download Tools Untuk Install nya yaitu Clockwork Recovery di sini.


• Download File ROM (agak besar file nya) yang akan di pakai, kalau saya pakai Apocalypse Cyanogen Mod


• Download File Patch Rom (jika menggunakan apocalypse) di sini, kalau Custom ROM yang lain tidak perlu.


• Download File Patch Undo (jika menggunakan apocalypse) di sini, kalau Custom ROM yang lain tidak perlu.

Oke, langsung ke step-step installasi nya. Ikuti Langkah-langkah berikut:

1. Pastikan SGA sudah di Root, kalau belum ini tutorialnya 


2. Copy semua file hasil download ke dalam SD Card (Clockwork , ROM, Patch, Undo).


3. Matikan (Power Off) SGA


4. Masuk Ke Recovery Mode (Tekan dan tahan tombol power dan tombol home Bersamaan) sampai muncul logo samsung


5. Pilih menuapply update from sdcard. Pilih file Clockwork yang sudah di download dan tunggu sampai selesai


6. Reboot dan kembali masuk ke Recovery mode (harusnya tampilan recovery mode nya sudah beda)


7.  Pilih Wipe data/Factory Reset, Pilih Wipe Cache, Pilih Advance --> Wipe Dalvik


8. Format cache, Format data, Format system, Format sd-ext


9. Mount data


10. Kembali dan Pilih Insall zip from sdcard. (pilih file ROM nya)


11. Reboot SGA dan masuk ke system

(khusus untuk ROM apocalypse yang diatas masih ada dua file yang harus di install) ROM selain link diatas tidak perlu:

1.  Reboot lagi SGA ke Recovery Mode


2. Mount System, Install zip from sdcard (pilih yang apocalypse patch)


3. Reboot SGA dan Masuk ke system


4. Reboot lagi SGA ke Recovery Mode


5. Mount System, Install zip from sdcard (pilih yang apocalypse undo)


6. Reboot SGA dan Masuk ke system


7. Reboot lagi SGA ke Recovery Mode


8. Mount System, Install zip from sdcard (pilih yang apocalypse patch) lagi


9. Reboot dan masuk ke system

Selesai ;) selamat menikmati custom ROM. Samsung Galaxy ACE , Cyanogen Mod 7 Apocalypse ;) \m/

Categories: Android

Meningkatkan Sistem Keamanan Wordpress

Baru baru ini saya mendapatkan dua serangan web phising, yang pertama terjadi pada web fakultas dan yang kedua terjadi pada blog saya ini. Entah apa yang motivasi nya, padahal web fakultas hanya berisi berita dan web saya hanya lah share tutorial (saya rasa ga ada untung nya diserang) kecuali cuma pengen eksis. Yah, oke by the way kedua web tersebut menggunakan CMS yang sama dan memang CMS yang paling umum digunakan dan paling gampang, yaitu wordpress. Saya dapat tips ini dari pihak hosting, karena sangat bermanfaat saya akan share disini mudah mudahan bisa diterapkan oleh teman-teman pengguna wordpress yang lain.

Ada banyak tips yang saya gabungkan disini semua, jadi harap sabar membaca nya karena memang agak panjang :D

•  Jangan Menggunakan Username admin, karena username ini sangat umum dan gampang di serang. Sebenarnya bukan hanya untuk worpress, untuk sistem mana pun biasakan jangan menggunakan username admin. karena sudah sangat umum dan username tersebut yang selalu dijadikan sasaran untuk bruteforce attack, dsb.


• Selalu update wordpress kita ke versi yang terbaru, karena developer selalu meningkatkan versi nya karena salah satunya adalah celah keamanan. Sama seperti antivirus, tidak ada gunanya antivirus paling mahal sekalipun kalau tidak pernah di update. Jadi stay up to date untuk meminimalisir celah dan bugs keamanan. Tidak hanya core wordpress yang harus dijaga up to date tapi semua plugin dan tema juga harus dijaga update nya.


• Hapus file readme.htmlyang ada pada wordpress kita, kenapa? karena file tersebut berisi tentang versi wordpress kita. Ketika attacker mengetahui versi wordpress kita, maka dia akan tau dimana celah keamanan nya.


• Hapus file install.phpyang ada di folder wp-admin, file ini sudah tidak diperlukan lagi jika wordpress kita sudah terinstall dan sudah berjalan dengan baik.


• Hapus dan jangan menggunakan Theme standar/Default Wordpress, Seperti twentyten, twentyeleven dan classic. themes-themes ini sudah sangat umum dan strukturnya sudah diketahui orang banyak. jadi kalau kita menggunakan themes tersebut akan lebih gampang bagi attacker.


• Gunakan password yang kuat, mengandung karakter, simbol dan angka. jika perlu di alay-alay kan karena memang itu lebih aman dan lebih sulit ditebak.


• Lindungi file wp-config.php, karena file ini berisi semua konfigurasi dan koneksi database kita. bisa menggunakan .htaccess dan tambahkan baris berikut:
  [plain]
  <Files wp-config.php>
  Order Allow,Deny
  Deny From All
  </Files>
  [/plain]


• Blokir Folder wp-xxx, folder ini merupakan folder system wordpress. Jangan sampai ada yang bisa menjelajahi isi folder2 ini. Kita bisa melindungi nya dengan menambahkan entri berikut pada robot.txt
  [plain]
  Disallow: /wp-
  [/plain]


• Hilangkan informasi versi wordpress, versi bisa menjadi celah jika pada versi yang kita pakai terdapat banyak bugs. hilangkan dengan menambahkan script berikut pada file function.php pada tema kita
  [plain]
  function no_generator() { return ''; }
  add_filter( 'the_generator', 'no_generator' );
  
  [/plain]


• Ubah tabel prefix. Secara default wordpress akan membuat prefix table kita dengan wp_ , jadi sebagian besar pengguna wordpress prefix tabel nya itu. usahakan di ganti karena dengan begitu attacker tidak akan tau nama tabel mysql kita.


• Perhatikan Permission file dan folder, Usahakan Permission untuk Folder 755 dan permission File 644 agar tidak bisa di ubah ubah dan di otak atik orang lain sembarangan


• Lakukan Backup Secara Berkala, agar jika terjadi insiden setidaknya kita tidak kehilangan semua data kita dan masih bisa di restore dengan cepat.


• Ganti password secara berkala (ini memang bikin malas, termasuk saya juga malas ganti2 password)


• Ganti Secret key default wordpress, untuk secret key yang baru dapat anda dapatkan dari situs resmi wordpress https://api.wordpress.org/secret-key/1.1/salt/setelah seorang hacker berhasil login di wordpress kita, maka cookies dari record akan disimpan agar hacker bisa tetap masuk ke dashboard walaupun password sudah kita ganti dengan yang baru, untuk mengantisipasinya silakan ganti secret key di “wp-config.php” dengan yang anda dapat di link diatas.contoh secret key:define(‘AUTH_KEY’, ‘h4VSBp#[])*6K5;vV&fR0]GccHyziEPbs)3>EhK.$P~hW]W4v!Q:47s2GRrq@!K&’);

Semoga bermanfaat ;)

Categories: Security

Setting Cisco Access Point 1140

Baru baru ini FPMIPA upi beli access point AP 1140 sebanyak 10 buah, tapi masalahnya AP yang dibeli mode lightweight bukan autonomous. Harus di firmware ulang, caranya seperti AP 1242 AG hanya saja firmware nya yang beda. Access Point 1140 ini bentuk nya lebih bagus daripada 1242, kesannya lebih mewah.

Setelah  di flash ulang firmware nya, cisco 1140 nya sudah bisa kita config karena sudah menjadi autonomous access point, berikut langkah langkah untuk setting AP 1140 :

1. Hubungkan kabel konsole ke komputer

2. Hidupkan access point

3.  Buka aplikasi putty atau hyperterminal pilih type koneksi nya seriall, dan sesuaikan dengan port COM yang ada di komputer (saya biasanya menggunakan putty)

 4. Tekan enter agar keluar konsole cisco

ap>

Masuk ke mode administrator dengan perintah berikut (password defaultnya : Cisco)

[plain]
ap> enable
Password:
ap#
[/plain]

Masuk ke konfigurasi terminal dan setting hostname dan domain (sesuaikan dengan kebutuhan)

[plain]
ap# configure terminal
ap (config)# hostname ILKOM-AP
ILKOM-AP(config)#ip domain name upi.edu
[/plain]

Setting Radio dan SSID nya (sesuaikan dengan kebutuhan)

[plain]
ILKOM-AP(config)# dot11 ssid Hotspot-ILKOM
ILKOM-AP(config-ssid)# authentication open
ILKOM-AP(config-ssid)# guest-mode
ILKOM-AP(config-ssid)# exit
ILKOM-AP(config)# interface Dot11Radio 0
ILKOM-AP(config-if)# no ip address
ILKOM-AP(config-if)# no ip route-cache
ILKOM-AP(config-if)# no shutdown
ILKOM-AP(config-if)# ssid Hotspot-ILKOM
ILKOM-AP(config-if)# exit
ILKOM-AP(config)#
[/plain]

Setting IP interface LAN nya (sesuaikan IP dan Mask nya):

[plain]
ILKOM-AP(config)# interface BVI 1
ILKOM-AP(config-if)# ip address 192.168.70.2 255.255.255.0
ILKOM-AP(config-if)# no ip route-cache
ILKOM-AP(config-if)# exit
ILKOM-AP(config)#
[/plain]

Setting Default Gateway nya (sesuaikan dengan jaringan)

[plain]
ILKOM-AP(config)# ip default-gateway 192.168.70.1
[/plain]

Setting passowrd dan telnet

[plain]
ILKOM-AP(config)# enable secret 0 passwordnya
ILKOM-AP(config)# line vty 0 5
ILKOM-AP(config-line)# password passwordnya
ILKOM-AP(config-line)#login
ILKOM-AP(config-line)#exit
ILKOM-AP(config)#
[/plain]

Terakhir sekali tinggal simpan konfigurasi dan reload AP 1140 nya

[plain]
ILKOM-AP(config)#exit
ILKOM-AP# write
ILKOM-AP# reload
[/plain]

Selesai, Access Poing 1140 siap dipakai. Jika perlu enable DHCP server cara nya ada di sini :D

Categories: About IT, Cisco, Networking

Setting SSH agar Passwordless

SSH alias secure shell selalu kita gunakan untuk remote access ke sebuah node pada jaringan baik server, pc ataupun device lainnya. Kalau saya pribadi paling sering SSH untuk remote server.  Tidak jarang ketika ssh ke satu server, akan ssh lagi ke server lain dan sering direpotkan karena harus selalu enter ulang password. Nah, menggunakan public key, kita bisa membuat ssh passwordless untuk memudahkan pekerjaan (toh komunikasi antar server yang saya anggap trusted). Berikut langkah langkahnya:

Langkah pertama adalah kita generate SSH key nya:

[plain]
[fadhly@serverA ~]$ cd .ssh/
[fadhly@serverA ~]$ ssh-keygen -t rsa
[/plain]

Apabila ditanyakan passphrase, kosongkan saja dan langsung enter sampai kembali ke shell. Selanjutnya akan menghasilkan dua buah file, yaitu public key dan private key (id_rsa dan id_rsa.pub) copy file id_rsa.pub nya ke .ssh host tujuan.

[plain]
[fadhly@serverA ~]$ scp id_rsa.pub fadhly@serverB:./ssh
[/plain]

selanjutnya dari public key tersebut di server B buat authorized key nya:

[plain]
[fadhly@serverB ~]$ cd .ssh/
[fadhly@serverB ~]$ cat id_rsa.pub >> authorized_keys
[fadhly@serverB ~]$ chmod 700 *
[/plain]

kembali ke serverA dan coba lakukan ssh, makassh fadhly@serverBsudah tidak menggunakan password lagi :D lumayan supaya ga capek ngisi2 password terus. ;)

Categories: Linux, Networking

Backup data dengan Rsync

Rsync merupakan sebuah tools untuk copy data yang sangat sering dipergunakan untuk melakukan backup. rsync bekerja pada command line, untuk versi yang menggunakan GUI bisa install Grsync. Kenapa saya otak atik ini? karena pengalaman ketika hardisk 1TerraByte di server kampus crash dan belum dibikin backupnya, akibatnya semua data user hilang, hanya beberapa yang selamat karena masih tersimpan di hardisk lama. Tak ingin kejadian ini terulang lagi, maka saya akan mencoba share cara untuk backup data dengan rsync ini.

Backup ada dua jenis, yaitu local bakup dan remote backup, rsync bisa melakukan dua hal tersebut. Local backup adalah backup sebuah folder tertentu yang isinya di duplikasi ke server lain pada mesin yang sama (bisa hardisk yang berbeda, atau hardisk yang sama) Untuk backup pada local perintah rsync nya sebagai berikut:

[plain]
sudo rsync -azvv /home/path/folder1/ /home/path/folder2
[/plain]

Sedangkan untuk remote backup adalah backup sebuah folder pada satu mesin ke folder tertentu di mesin lain. ini bermanfaat jika suatu saat server A rusak data nya bisa langsung Up dengan server B. Perintah rsync nya sebagia berikut:

[plain]
sudo rsync --dry-run --delete -azvv -e ssh /home/path/folder1/ remoteuser@remotehost.remotedomain:/home/path/folder2
[/plain]

demikian cara untuk backup data menggunakan rsync, jika ingin dilakukan otomatis setiap jam/setiap hari/setiap minggu/ dst bisa menggunakan crontab. semoga berhasil :)

Categories: Linux