Cara Memasang SSL Gratis Cloudflare di WordPress Site

08.09 Unknown 0 Comments


  Hai Sobat Linexia!!

  Ga kerasa ya rupanya Postingan Linexia sudah mencapai 25 postingan :) sebenernya sih bagi gua berasa juga capeknya tapi gapapa lah. Sorry ya kalo sekarang Linexia lebih banyak memberikan Tutorial/Cara-cara bukan pengertian lagi. Nah, di postingan yang ke 25 ini gua pengen ngasih tau Cara Memasang SSL Gratis Cloudflare di WordPress Site. Yuk langsung aja baca Artikelnya :)

Apa itu SSL (HTTPS)?

SSL (Secure Socket Layer) adalah sebuah standar teknologi yang digunakan untuk membangun koneksi terenkripsi antara webserver (website) dengan client (Browser) atau antara mail server dengan mail client.
Lebih tepatnya SSL adalah protokol keamanan yang mengatur bagaimana algoritma harus digunakan dan diterapkan agar koneksi terenkripsi terjalin.

SSL memungkinkan informasi sensitif seperti data kartu kredit,username,password dan informasi penting ditransmisikan cari server ke client atau sebaliknya dengan aman karena data yang dikirim akan diaca (dienkripsi)
pembahasan  tentang SSL,cara kerja dan cara mendapatkan certificate yang telah ditandatangi oleh CA dibahas lengkap  dalam  artikel Pengertian SSL TLS HTTPS dan Fungsinya

Kenapa kamu harus beralih dari HTTP ke HTTPS (SSL)?

Ada beberapa hal yang menjadi pertimbangan kenapa kamu harus beralih dari HTTP ke HTTPS,selain menyangkut performa dan keamanan https juga mempunyai imbas yang lumayan terhadap SEO dan kepercayaan pembaca /client terhadap website yang kamu kelola.
  1. Performa dan HTTP/2
    Kenapa menggunakan google chrome jauh lebih cepat ketika kita mengakses website terutama website milik google seperti youtube,gmail,blogger dll, jawaban nya karena browser milik google mendukung protocol penyempurnaan dari HTTP 1 yang dilakukan oleh 2 engineer google yang  diberinama SPDY dan digunakan sejak tahun 2009.SPDY tidak menggantikan protocol lama hanya saja memanfaatkan protokol lama (HTTP 1) sebagai media tunnel untuk SPDY .HTTP/2 dibangun berdasar kesuksesan SPDY dan menggantikan HTTP versi sebelum nya dan SPDY, mayoritas browser sekarang telah mendukung protocol HTTP/2 sebagai dukungan migrasi menggunakan protocol HTTP/2 yang telah disempurnakan dan lebih cepat.
    berdasarkan informasi, kecepatan HTTP/2 jauh lebih cepat hingga 60% dibanding HTTP 1 . Jika kamu ingin menggunakan HTTP/2 maka syarat utama nya adalah kamu harus menggunakan TLS/SSL .
  2. Keamanan
    ketika menggunakan TLS/SSL (Https) maka data yang dikirim dari server ke client dan sebaliknya dienkripsi sehingga jika ada penyadapan data yang kamu kirim lewat halaman website aman  (tidak bisa dibaca hacker). jika kamu seorang blogger yang menggunakan CMS & Hosting sendiri dan sering sekali menggunakan public hotspot maka kamu wajib megaktifkan SSL di blog/website yang kamu kelola, karena tidak menutup kemungkinan ketika kamu login ke website mu menggunakan jaringan public wifi/hotspot ada orang yang sedang menyadap (listen/monitor mode) maka hacker tadi akan mendapatkan account blog mu ketika kamu login ke web mu yang belum dipasang SSL (https)Website yang menggunakan HTTPS juga tidak bisa diinject malware (bentuk java script malware untuk hook) ketika website mu diakses melalui proxy, dengan kata lain website mu kebal terhadap serangan MITM (man in the midle attack).
    Aman disini tidak aman 100% karena tetap memerlukan kejelian dari penggunanya , karena diluar sana ada aplikasi MITM untuk mengubah website https menjadi http biasa agar bisa disadap (SSL strip)
  3. SEO dan Ranking
    menggunakan SSL (https) di website /blog yang kamu kelola memberikan nilai positif dimata mesin pencari google, ini berdasar pernyataan resminya dalam artikel yang berjudul “HTTPS as a ranking signal
  4. Referal Data
    Google analytic akan meng block referal dari website https ke website non https . Sebagai contoh  jika ada website yang telah menggunakan SSL (https) dan mereferensikan website mu dengan meletakan link di artikelnya sedangkan website mu belum menggunakan SSL (https) maka oleh google analytic tidak akan dianggap ðŸ˜›
  5. SSL membangun kepercayaan
    jika website yang kamu kelola memerlukan interaksi user untuk mengisi dara pribadi maka HTTPS menjadi tolak ukur yang mutlak untuk membangun kepercayaan terhadap website yang kamu kelola. karena dengan SSL/HTTPS maka dijamin data pribadi yang akan dikirim user/client ke server di enkripsi (acak) terlebih dahulu dan hanya server yang bisa membacanya.

” TIPS:
-Ketika kamu memasang ssl (https) kamu protocol http tetap bisa diakses dan tidak bisa dimatikan, jika ingin menggunakan ful https maka harus di redirect.”

Mengenal jenis SSL mode pada Cloudflare

Ada beberapa pilihan ssl mode pada clodflare yang dapat disesuaikan dengan kondisi website mu, diantaranya :
  1. Tanpa SSL
    arti cloudflare ssl off
    koneksi dari server kita ke cloudflare CDN  dan dari CDN ke user semuanya tidak menggunakan SSL, dan semua data dikirim dalam bentuk plain http (tanpa dienkripsi)
  2. Flexible SSL
    arti cloudflare flexible ssl
    koneksi dari server kita ke cloudflare tidak menggunakan SSL tetapi koneksi dari cloudflare ke user/visitor menggunakan SSL. Dengan kata lain webhosting kita tidak menggunakan SSL (https) tetapi ketika user mengakses web kita melalui CDN akan menggunakan SSL yang dipasang di Cloudflare  ,SSL ini telah disediakan Cloudflare secara gratis dan berbayar. SSL certificate yang gratis ditujukan untuk beberapa domain (Shared Certificate) sedangkan SSL certificate yang berbayar dibuat khusus untuk kamu (dedicated certificate)
  3. Full SSL
    arti cloudflare full ssl
    koneksi dari client/visitor ke web kita yang melalui cloudflare menggunakan HTTPS dan  koneksi dari server kita ke cloudflare juga menggunakan HTTPS, hanya saja cloudflare tidak mengecek validasi dari certificate yang kita gunakan untuk server yang kita kelola. Dengan kata lain jika kamu ingin menggunakan SSL certificate yang ditandatangani sendiri (self signed) maka kamu harus memilih opsi Full SSL
  4. Full SSL (Strict)
    arti cloudflare full ssl strict
    sama hanya dengan full SSL , koneksi dari cloudflare ke user/visitor dan koneksi dari cloudflare ke website yang kita kelola (yang dituju visitor melalui cloudflare) semuanya menggunakan HTTPS hanya saja pihak cloudflare mengecek keabsahan certificate yang kita gunakan di web yang kita kelola. dengan kata lain SSL certificate yang kita gunakan harus ditandatangin oleh pihak CA.

Cara memasang flexible SSL Cloudflare (CDN) pada wordpress

Dianggap bahwa kamu sudah menggunakan cloudflare CDN untuk website mu jika belum silakan ikuti panduan cara memasang cloudflare pada wordpress.
Kita akan memilih opsi flexible SSL karena webserver yang kita kelola tidak menggunakan SSL, jika menggunakan SSL dengan self sign silakan pilih full SSL dan jika web kita menggunakan certificate SSL yang ditandatangani CA silakan pilih opsi full SSL strict

  1. Login ke wordpress mu dan install plugin Really simple SSL
    cara menginstall plugin really simple SSL wordpress
    Ingat hanya install saja, jangan dulu diaktifkan sebelum mengaktifkan SSL di cloudflare,karena plugin ini harus diaktifkan lewat koneksi SSL.
  2. Login ke Cloudflare , klik pada menu Crypto dan aktifkan /pilih seperti gambar berikut.
    cara mengaktifkan Flexible SSL pada Cloudflare
    Jangan kuatir website mu error ,walau kamu mengaktifkan SSL ,website mu masih tetap bisa diakses kok lewat http://namawebsitemu.domain
  3. Setelah SSL diaktifkan harusnya kamu sudah bisa mengakses websitemu melalui https, walau ada beberapa error /content yang gak muncul bahkan berantakan.
    akses website dengan mengetikan https://websitemu.domain/wp-admin contoh https://linexia.blogspot.co.id/wp-admin .
    Login lah dengan akun wordpress mu dan aktifkan plugin “Really simple SSL”
    cara mengaktifkan plugin really simple SSL pada wordpress
    setelah diaktifkan maka akan tampak seperti gambar diatas dan pada menu setting akan muncul menu SSL
  4. Terkadang ada masalah /error ketika mengaktifkan plugin ini dan harus ditangani secara manual. error ini biasanya “.htaccess not writable” atau “redirect rule could not be verified”
    memperbaiki error pada pengaktifan plugin really simple SSL
    error ini bisa diatasi dengan cara mengedit file.htaccess melalui Cpanel dan menambahkan baris script  yang mucul ketika error , sebelum mengedit /menambahkan baris script secara manual ke file .htaccess baiknya atur parameter pada menusetting seperti gambar dibawah ini:
    merubah parameter pada menu setting really simple ssl dan mengedit .htaccess
    Script diatas hanya contoh, silakan contek pada peringatan error, script seperti apa yang perlu ditambahkan tinggal diikuti saja.“Ingat ya ubah parameternya dulu lalu save baru edit file .htaccess nya , kalo langkah nya kebalik biasanya baris yang kita tambahkan akan hilang.
    File .htaccess berada di root directory file wordpress mu berada, attribut defaultnya adalah hidden jadi untuk melihatnya kamu harus mengaktifkan opsi view hidden file pada file explorer di cpanel mu
  5. Setelah kamu menambahkan script kedalam file .htaccess sesuai dengan petunjuk (script yang ditampilkan dalam error)  silakan klik lagi dibagian configuration untuk merefresh hasil nya
    Jika tampak seperti dibawah ini maka selesai sudah ðŸ™‚
    cek hasil really simple SSL plugin

Redirect semua trafik ke SSL (HTTPS)

Agar pengguna http biasa secara otomatis pindah ke https maka kita harus melakukan redirect , redirect ini bisa kita setting pada cloudflare di menu page rule.
Jika kamu menggunakan WWW dan mempunyai subdomain maka minimal kamu harus membuat 3 page rule

  1. Redirect semua visitor yang menggunakan http:// ke https://www
    forward visitor yang menggunakan http ke https dan www
  2. visitor yang mengakses http://www akan diarahkan ke https
    page rule mengarahkan trafic http www biasa ke ke https wwwcloudflare
  3. visitor yang mengakses subdomain dengan http akan diarahkan ke https
    page rule mengarahkan trafic http yang menuju subdomain agar menggunakan https cloudflare

Update sitemap pada webmaster tool

JIka kamu telah mensubmit website mu ke mesin pencari baiknya kamu membuat /submit sitemap yang telah menggunakan https agar mensin pencari tau kalau website mu sekarang telah berubah menjadi HTTPS.
Untuk awal setelah perubahan dari http ke https mungkin akan mengalami penurunan trafic, karena website mu seperti website baru di mata mesin pencari jadi harus merangkak dari awal lagi
Sumber : www.tembolok.id (Di tambahkan dan di edit lagi oleh Linexia)

0 komentar:

Cara install dan setting openvpn di Debian dan Ubuntu

07.50 Unknown 1 Comments


 Halo sobat Linexia!!

 Kali ini gua pengen ngasih tau cara install dan setting openvpn di Debian dan ubuntu. yuk langsung baca artikelnya

Cara Install dan OpenVPN di Debian dan Ubuntu
cara install dan setting openvpn di ubuntu dan debian
Karena Debian dan Ubuntu masih satu keluarga,perintah nya juga sama jadi tutorial ini bisa digunakan sebagai panndung jika kamu menggunakan ubuntu atau debian dan ingin tau cara install dan setting openvpn secara lengkap. perlu diperhatikan di tutorial ini saya login sebagai root # karena saya menggunakan VPS, jika kamu login sebagai user biasa $ maka kamu tambahkan awalan sudo pada setiap perintah yang kamu ketik  yang ada di tutorial ini agar dijalankan sebagai root.

A. Cek kebutuhan sistem

Sebagai langkah awal sebelum mempraktekan tutorial ini baiknya kamu cek dulu apakah TUN/TAP di server /VPS kamu sudah aktif /enable,karena tanpa ini VPN gak bakal jalan.kamu bisa menggunakan perintah cat /dev/net/tun pastikan outputnya adalah cat: /dev/net/tun: File descriptor in bad state kalau outputnya beda berarti TUN/TAP belum aktif silakan aktifkan terlebih dahulu melalui panel VPS atau hubungi support tempat kamu membeli VPS.
cara cek tun/tap sudah ter enable apa belum

B. Install OpenVPN dan Easy-RSA

aplikasi utama kita adalah openvpn namun kita perlu easy-rsa untuk membuat ROOT CERTIFICATE AUTHORITY (CA) CERTIFICATE/KEY yang digunakan oleh openvpn untuk keamanan.
  • Sebelum install baiknya kita mengupdate repository menggunakan perintah apt-get update agar list repository di mesin kita diperbaharui dengan versi ter anyar.
    pembaruan repository ubuntu menggunakan apt-get update
  • Setelah pembaruan selesai kemudian kita install openvpn dengan perintah apt-get install openvpn
    cara install openvpn di ubuntu dan debian
  • Setelah openvpn terinstall selanjutnya kita akan menginstall easy-rsa dengan perintah apt-get install easy-rsa
    cara install easy-rsa openvpn
untuk memastian kalau easyrsa sudah terpasang coba kamu  ke directory easy-rsa seperti di gambar atau bisa list langsung dengan perintah ls /usr/share/easy-rsaKopi directory easy-rsa ke /etc/openvpn ini hanya untuk memudahkan pas kamu nyeting biar gampang diingat kalau setingan yang berkaitan dengan openvpn ada di folder /etc/openvpn gunakan perintah ini untuk mengcopy directory easy-rsa dan isinya cp -a /usr/share/easy-rsa /etc/openvpn
untuk mengecek apa sudah berhasil, kita pindah ke directory /etc/openvpn dengan perintah cd /etc/openvpn/easy-rsa
Setelah masuk ke directory /etc/openvpn/easy-rsa berikan perintah chmod +x * agar semua file di dalam folder easy-rsa bisa dieksekusi
navigasi-ke-folder-easy-rsa

1. Menbuat ROOT CERTIFICATE AUTHORITY (CA) CERTIFICATE/KEY dengan Easy-RSA

Jalankan perintah dibawah ini secara ber urutan !! kalo pengin liat manual lengkap bisa dilihat di panduan menggunakan easy-rsasource ./vars
./vars
./clean-all
./build-ca   Masukan data ke formulir seperti Country name,emal dll seperti gambar dibawah ini ketika kamu membuat root certificate
cara membuat ROOT CERTIFICATE AUTHORITY (CA) CERTIFICATE/KEY untuk openvpn

2. Membuat Server Key

Buat Key Server dengan perintah ./build-key-server namafilekeymuBebas kamu bisa menggunakan nama ap aja serah2 kmu aja ðŸ˜€
cara membuat server key certificate untuk openvpn

3. Build Diffie Hellman

untuk membuatnya cukup ketikan perintah ./build-dh tunggu sampai kelar. biasnaya ini agak lama
build diffie Helman untuk openvpn
Semua file yang kita buat tadi berada di folder /etc/openvpn/easy-rsa/keys
isi-keys-folder

C. Setting OpenVPN dan Firewall

4. Membuat Server config File

ketikan perintah pico /etc/openvpn/namaFileConfigServerMu     kamu bisa memberi nama suka-suka kamu untuk nama file config
Masukan dan sesuaikan config dibawah ini dengan servermu, tekan CTRL+X lalu tekan Y dan enter untuk menyimpan
Setelah Tanda pagar adalah komen gak ngefek apa2 kok hanya sebagai keterangan saja.
local 103.252.101.170  #ganti dengan IP VPS atau domain anda
port 995  #Sesuaikan dengan port yang anda inginkan
proto tcp #ptocol bisa tcp atau  udp sesuaikan dengan kebutuhan
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt  #lokasi file ca yang kita buat dengan easy-rsa
cert /etc/openvpn/easy-rsa/keys/serverVPNTembolokID.crt #lokasi file server crt yang kita buat dengan easy-rsa
key /etc/openvpn/easy-rsa/keys/serverVPNTembolokID.key #lokasi file key server yang kita buat dengan easy-rsa
dh /etc/openvpn/easy-rsa/keys/dh2048.pem #lokasi file dh yang kita buat dengan easy-rsa
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so /etc/pam.d/login
management localhost 8443 #console untuk memonitor user VPN
client-cert-not-required
username-as-common-name
server 10.9.8.0 255.255.255.0   # ip yang akan dipakai client
ifconfig-pool-persist ipp.txt
push “redirect-gateway def1”
push “dhcp-option DNS 8.8.8.8”
push “dhcp-option DNS 8.8.4.4”
keepalive 5 30
comp-lzo
persist-key
persist-tun
status server-tcp.log
verb 3
cara membuat openvpn config file

5. Menjalankan Service OpenVPN

Setelah semua dirasa cukup dan benar saatnya kita jalankan openvpn server kita dengan perintah service openvpn start  dan cek dengan perintah service openvpn status pastikan statusnya running kalo tidak berarti ada yang salah silakan trouble shoot seperti dibawah ini
menjalankan openvpn service
kalo statusnya uda running coba kamu cek dengan perintah netstat -tulpn kalau hasilnya seperti diatas berarti da sukses kita membuat server VPN menggunakan openvpn.

6. Mengaktifkan IP Forwarding NAT

kita harus mengaktifkan IP forwarding dan NAT agar user yang terkonek ke VPN server kita bisa mengakses internet lewat server kita.
pico /etc/sysctl.conf  lalu hilangkan tanda pagar pada net.ipv4.ip_forward=1 ,jangan lupa save perubahan dengan CTRL+X  lalu Y .
enable-net-ip-forwarding
kemudian jalankan perintah sysctl -p /etc/sysctl.conf

Kemudian kita setting NAT dengan IPTABLES jalankan perintah ini secara berurutan
iptables ‐t nat ‐I POSTROUTING ‐s 10.9.8.0/24 ‐o venet0 ‐j MASQUERADE   # ip bisa disesuaikan dengna ip yg dipakai pada openvpnconfig
iptables‐save > /etc/iptables.cfg
simpan-iptables
pico /etc/rc.local # tambahkan baris  iptables-restore < /etc/iptables.conf  lalu simpan dengan CTRL+X lalu Y
ini dilakukna agar setiap kali kamu restart server kamu gak perlu lagi setting iptables,jadi settingan iptables kita  menjadi permanent.

membuat iptables permanent di linux
terakhir jalankan perintah /etc/init.d/openvpn restart untuk merestart openvpn service

7. Troubleshooting OpenVPN Server

kadang walau sudah pempraktekan sesuai tutorial ada saja yang error,nah error ini biasanya karena typo atau kesalahan ketik atau perbedaan directory pas kita install karena tutorial dan server kamu berbeda,jadi kamu disini harus teliti ,dan untuk membantu melihat error yang terjadi kita bisa membuka error log dengan perintah grep ovpn /var/log/syslog
mengatasi error pada openvpnContoh diatas adalah openvpn gak mau jalan walau sudah di start dan tidak menampilkan error ketika di start menggunakan perintah service openvpn start,setelah ditelusuri lewat log ternyata ada file yang tidak ditemukan ,nah ternyata nama file plugin nya ini berbeda dengan yang dulu pak bikin catatan. jadi intinya kamu harus cek config file apa sudah betul apa belum.

8. Membuat File Config OpenVPN untuk  Client

File config client ini yang nantinya akan dipegang client untuk bisa masuk ke server VPN kita menggunakan akun SSH yang kita buat di server kita. untuk membuatnya kita hanya perlu notepad dan bisa dibuat di komputer local kita. masukan config dibawah ini dan sesuaikan dengan server mu (IP port dll)
Simpan file dengan extensi *.ovpn
untuk melihat isi file ca.crt kamu bisa menggunakan perintah cat /etc/openvpn/easy-rsa/keys/ca.crt
client
dev tun
proto tcp 
remote 103.252.101.170 995  #Ip Server kamu dan port
route-method exe
resolv-retry infinite
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
auth-user-pass
comp-lzo
verb 3
<ca>
—–BEGIN CERTIFICATE—–
isi bagian ini dengan isi file ca.crt    #
—–END CERTIFICATE—–
</ca>
contoh client certificate openvpn

D. Membuat,mengatur dan memonitor User  SSH /VPN

Kita bisa membuat user dan membatasi masa aktif serta memonitor user yang sedang aktif di server VPN kita, hal ini kita lakukan untuk membatasi akun ketika kita akan menjual akun VPN kita, kita dengna mudah bisa mematikan atau memperpanjang masa aktif dari akun VPN atau SSH milik pelanggan kita.

1. Membuat User dan membatasi masa aktif akun SSH /VPN

akun yang kita buat bisa digunakan untuk mengakses VPN atau membuat SSH tunnel ke Server kita. untuk mempermudah mengelola akun penlanggan yang jumlah nya banyak (jika dipakai jualan) kita akan membutuhkan sedikit script untuk membuat user dan membuat masa aktif dan random password.
Posisikan dirimu di home caranya ketik cd ~ lalu buat file dengan perintah pico buatuser.sh lalu masukan script dibawah ini tekan CTRL+X lalu Y dan enter untuk menyimpan
#!/bin/bash
#Script auto create trial user SSH
#yg akan expired setelah 5 Bulan
# ./ini.sh username jumlah-hari
Login=$1-`</dev/urandom tr -dc X-Z0-9 | head -c4`
Pass=`</dev/urandom tr -dc a-f0-9 | head -c9`
IP=`ifconfig eth0:0| awk ‘NR==2 {print $2}’| awk -F: ‘{print $2}’`
useradd -e `date -d “$2 days” +”%Y-%m-%d”` -s /bin/false -M $Login
echo “____________________________________________________________”
echo -e “$Pass\n$Pass\n”|passwd $Login &> /dev/null
echo -e “Username: $Login\nPassword: $Pass”
echo “_____________________________________________________________”
echo -e |chage -l $Login
Setelah disave jalankan perintah chmod +x buatuser.sh agar file bisa dieksekusi
Cara menggunakanya dengan ekseskusi file secara langsung dan masukan parameter dengan format ./buatuser.sh namaUser masaAktifHari contoh ./buatuser.sh dodit 60
buat-user-otomatis-dengan-masa-akktif-ssh
username dan password akan dibuat random oleh sistem,jadi kamu pas buat gak usa mikir soal bikin password.

2. Mengatur dan mengelola UserVPN dan SSH

Kita bisa melihat semua user yang terdaftar dan masa aktifnya,ini sangat berguna jika kamu menggunakan VPS dengan banyak user seperti untuk jualan VPN atau SSH tunnel.
pastikan kamu ada di home directory (supaya mudah aja) dan buat file dengan perintah pico lihatuser.sh lalu masukan script dibawah ini sinpan dengan tombol CTRL+X lalu Y dan Enter
Berikan atribut executable dengan perintah chmod +x lihatuser.sh
jelankan dengan perintah ./lihatuser.sh
#!/bin/bash
# melihat semua user dan expired date
echo “—————————————————-“
echo “USERNAME          CREATE DATE          EXP DATE     “
echo “—————————————————-“
while read penghuni
do
        AKUN=”$(echo $penghuni | cut -d: -f1)”
        ID=”$(echo $penghuni | grep -v nobody | cut -d: -f3)”
        exp=”$(chage -l $AKUN | grep “Account expires” | awk -F”: ” ‘{print $2}’)”
        create=”$(chage -l $AKUN | grep “Last password change” | awk -F”: ” ‘{print $2}’)”
        if [[ $ID -ge 1000 ]]; then
        printf “%-17s %2s %18s\n” “$AKUN” “$create” “$exp”
        fi
done < /etc/passwd
JUMLAH=”$(awk -F: ‘$3 >= 1000 && $1 != “nobody” {print $1}’ /etc/passwd | wc -l)”
echo “—————————————————–“
echo “Jumlah akun: $JUMLAH user”
echo “—————————————————–“
lihat-user-akun-ssh-linux
nah kalo ingin merubah masa aktif bisa dengan perintah chage -E `date -d “30 days” +”%Y-%m-%d”` dodit-4120 ini untuk merubah masa aktif bukan menambah loh ya. dihitung dari sekarang bukan ditambahkan masa aktifnya.

3. Blokir user menggunakan ssh tunnel

Jika kamu membuat server VPN dengan settingan yang ketat (misal server vpn hanya bisa mengakses server game online tertentu agar bandwidth irit) maka kamu perlu memblokir user untuk menggunakan ssh tunnel,karena walau tanpa shell user linux masih bisa login lewat protocol shh dan menggunakan tunnel,kalau sampai terjadi sama aja server VPN kita kecolongan.
Cara memblokir user linux menggunakan ssh protocol :
Jalankan perintah pico /etc/ssh/sshd_config
lalu tambahkan baris DenyUsers user1 user2 user3 user4 userdst   # kamu bisa memasukan user kesini dengan pemisah spasi sebanyak yang kamu mau dalam satu baris
Simpan dengan tombol CTRL+X lalu Y
Restart ssh service dengan perintah service ssh restart
block-user-menggunakan-ssh
Dengan begini user hanya bisa menggunakan protocol VPN saja sesuai dengan yang kita inginkan.

4. Memonitor user VPN yang aktif

ini berguna untuk ngecek ada berapa user yang sedang aktif biar gak kecolongan kalau ada user yang uda abis masa aktif tapi msh bisa login karena kesalahan mesin atau kita.
jalankan perintah telnet 127.0.0.1 8443 (8443 adalah port yang ada di file config openvpn,pada baris management localhost 8443 kamu bisa merubah nya sesuka hati ) untuk menampilkan daftar perintah yang ada ketik help dan u ntuk keluar ketik exit
openvpn-management-interface

1 komentar:

Membuat dan setting Public Hotspot aman dengan VLAN Mikrotik

07.20 Unknown 0 Comments


 Hai teman-teman Linexia

sekarang gua pengen ngasih tau cara Membuat dan setting Public Hotspot aman dengan VLAN Mikrotik. yuk langsung aja

Membuat dan setting Public Hotspot aman dengan VLAN Mikrotik


Kenapa pakai VLAN?

Jika kamu mengelola jaringan untuk kantor atau perusahaan dan kamu ada tugas untuk memasang hotspot gratis untuk public,pasti kamu gk mau dong sebagai IT admin memberi kesempatan kepada pengguna public wifi yang gak jelas identitasnya masuk ke jaringan kamu,ini sangat beresiko akan serangan hacker dengan memanfaatkan wifi hotspot yang kamu buat sebagai jalan masuk.
Dengan VLAN kita tidak perlu membuat jaringan baru/narik kabel panjang-panjang dari router ke tempat mau dipasang hotspot,karena kita bisa memanfaatkan jaringan ada untuk ditumpangi VLAN,jangan kuatir walau menggunakan jaringan fisik yang sama,nantinya jaringan VLAN akan benar-benar terpisah dengan jaringan Fisik Local.
Dengan VLAN kamu bisa membuat jaringan terpisah antara jaringan kantor kamu dengan jaringan wifi hotspot,wifi hotspot akan berjalan menggunakan VLAN yang terpisah dengan jaringan kantor mu(jaringan local). orang yang masuk lewat jaringan VLAN tidak akan bisa mengakses ke jaringan kantor(Local) yang kamu kelola dan sebaliknya, sehingga kedua jaringan ini akan berjalan secara tepisah.
Kamu mungkin perlu menambahkan sedikit rule firewall di router kamu untuk membuat jaringan public wifi benar-benar terpisah dari jaringan local kantor mu.

Tutorial ini saya buat dengan detail agar yang ingin belajar tau kenapa begini dan kenapa begitu,jadi maklum rada panjang
Pada pembahasan setting di mikrotik router tidak saya sertakan command,supaya kamu yang ingin belajar mengerti dan familiar dengan menu dan opsi yang ada di mikrotik, karena jika cuman kopas command kamu gak bakal ngerti.

Membuat  dan setting HOTSPOT  dengan VLAN  Mikrotik 
ilustrasi hotspot dengan vlan

Walau kita secara fisik menggunakan jaringan yang ada dan secara fisik terkonek ke jaringan local /private kita,tetapi dengan VLAN kita bisa  membuat jaringan di dalam jaringan yang ada dengan benar-benar terpisah secara logical(perangkat di jaringan VLAN tidak bisa berkomunikasi dengan komputer di jaringan Private/LAN). dan untuk membuat benar-benar terpisah kita perlu menambahkan beberapa baris firewall rule agar berjalan sempurna ðŸ˜€
Goal HOTSPOT  kita :
  • pengguna hotspot hanya bisa mengakses internet dan tidak bisa scan/konek ke jaringan private/local dan sebaliknya
  • Hanya IP yang diberikan oleh DHCP server lah yang bisa terkoneksi ke network,selain IP yang telah ditentukan akan diabaikan oleh router (arp-reply only)
  • Mengatur dan membatasi bandwidth Hotspot
Perangkat yang dibtuhkan :
  • Mikrotik router ,Tipe apa aja bole asal bisa VLAN
  • Radio Wireless dengan opsi VLAN, untuk merek bebas aja asal ada opsi VLAN nya .Disini saya menggunakan UNIFI dari UBNT

Mengamankan Hotspot dengan ARP-Table dan VLAN

Untuk melindungi pengguna hotspot kita dari tangan jahil seperti penggunaan NETCUT untuk mencuri bandwidth,kita akan mengeset ARP interface hotspot kita menjadi reply-only.Dimana Router hanya berkomunikasi dengan mac address yang terdaftar di arp-table.Dibagian hotspot nantinya kita akan set otomatis mac perangkat pengguna hotspot akan dimasukan ke arp-table.
Penggunaan opsi reply-only pada interface juga berguna untuk memastikan client yang masuk ke jaringan hotspot diatur oleh DHCP server sepenuhnya,sehingga IP diluar yang telah ditentukan oleh DHCP server tidak bisa masuk ke jaringan hotspot.
Karena sangat bahaya jika ada orang yang tau IP private nework kita dan menggunakan nya dan masuk lewat jaringan hotspot dan menscann perangkat yang ada di local private network.walau kita sudah menerapan firewall untuk memblock trafic alangkah baiknya kita berhati-hati dari celah sekecil lobang semut ðŸ˜€

  1. Buat VLAN Interface
    Interface> klik pada tanda + lalu pilih VLAN
    isi Name dengan namaVlan kamu misal : HOTSPOT
    isi VLAN ID dengan IDVLAN yang akan kamu buat bebas aja ini ngisinya pake angka misal :756
    Pilih Interface dengan intrface mana yang akan kamu pakai buat VLAN Misal:1.keLAN
    cara membuat vlan dan mengamankan hotspot mikrotik cara membuat vlan di mikrotik
  2. Berikan Nama untuk setiap lobang ethernet di routermu dengan nama yang mudah dipahami agar gampang pada saat perbaikan.Pada dasarnya Vlan ini nginduk di LAN tetapi tidak bisa langsung digunakan(Konek) jika kita tidak  memasukan IDVLAN yang sama dengan IDVLAN di mikrotik kita.Jadi perangkat yang akan menggunakan VLAN harus berada di interface yang sama dengan interface VLAN dibuat. dalam contoh diatas, perangkat yang akan menggunakan VLAN harus berada di interface 1.KeLAN

Setting hotspot DHCP server dan IP pool mikrotik

  1. Membuat IP untuk Hotspot
    Untuk IP disini bebas mau kamu kasih IP berapa dan subnet berapa,subnet dipakai untuk membatasi jumlah IP yang akan kita pakai ,Ip Router dipakai sebagai Gateway perangkat yang terkonek ke hotspot via DHCP server.
    IP >Address> klik tanda + > masukan IP Address dan subnet serta Interface hotspot kamu.
    cara membuat ip hotspot mikrotik
  2. Membuat DHCP Pool IP Hotspot
    IP>Pool> klik pada tanda + > masukan range ip yang akan dipakai misal: 192.168.56.2-192.168.56.25
    Ip disini disesuaikan dengan alokasi IP utnuk hotspot yang kita buat pada step sebelum nya.
    cara membuat ip pool hotspot mikrotik
  3. Membuat DHCP Server untuk Hotspot
    IP >DHCP Server > klik 
    Beri nama Bebas pada kotak Name , benar-benar pilih VLAN interface dengan nama yang telah kamu tentukan,Address pool pilih dengan nama pool yang kamu buat sebelum nya,Centang pada Add ARP for Leases agar mac address perangkat yang mendapat ip dari dhcp otomatis ditambahkan ke arp-table.
    Lease Time adalah waktu yang kita berikan kepada client untuk memakai ip dari DHCP server,jika dalam waktu tersebut client masih online maka waktu akan diperpanjang,dan jika dalam waktu yang ditentukan client nya uda gak pake/diskonek maka IP tersebut bisa digunakan oleh client lain
    cara setting dhcp server mikrotik untuk vlan hotspot

Memisahkan Jaringan VLAN dan jaringan Local dengan Firewall mikrotik

Walau menggunakan VLAN tetapi secara default pengguna hotspot bisa berkomunikasi dengan komputer yang ada di jaringan local,ini karena fungsi default router adalah untuk menghubungkan 2 atau lebih jaringan yang berbeda. kita akan membatasi akses ini agar user hotspot tidak bisa berkomunikasi dengan user jaringan private LAN.
Aturan FIrewall:
Rule oleh sistem runtut dibaca dari atas kebawah bukan sebaliknya, jadi penempatan rule bisa berpengaruh ke hasil filter yang kita lakukan jadi hati-hati ya
Contoh:

  • -Chain:forward - src.address List:Local-Dst.Address List:Local -Action:Accept
  • -Chain:forward -Action:Drop
Baris pertama  Artinya :mengizinkan  koneksi dari dan ke ip yang ada dalam address list dengan nama Local
Baris ke2 Artinya : Memblock semua paket forwarding dari semua IP network yang terdaftar di router
Karena rule dibaca dari atas ke bawah jika kamu kebalik maka akan beda arti , Jika kamu membalik atau menempatkan-Chain:forward -Action:Drop dipaling atas,maka rule dibawah nya gak bakal jalan. karena -Chain:forward -Action:Drop dibaca pertama dan dijalankan perintah nya.
  1. Membuat address list dan memasukan IP ke address List
    Rencananya kita akan memasukan IP yang akan kita atur lewat Firewall kesini,biar lebih mudah ketika kita menggunakan Firewall
    IP >Firewall >pilih tab Address List
    Kamu bisa memasukan ip tunggal atau bisa memasukan IP network (memasukan range IP dalam 1 subnet)
    untuk memasukan ip dari 192.168.56.1 -192.168.56.30 kamu cukup mengetikan nya dengan 192.168.56.0/27Kamu bisa menambahkan IP lain dengan nama yang sama.misal jika kamu punya network local lain untuk dimasukan kesini  tinggal seperti tadi caranya,gak usa diketik pada bagian Name,tinggal kamu klik menu drop down nya saja dan pilih.
  2. Membuat Firewall Rule
    Kita akan memblok komunikasi dari ip hotspot ke ip local atau sebaliknya,jika kamu punya lebih dari 1 ip network di jaringan mu,kamu bisa menambahkan di address list dengan nama yang sudah kamu tentukan misalnya “LOCAL”
    chain :Forward -Src Address List: LOCAL -Dst Address List: HOTSPOT -Action:Drop
    HOTSPOT dan LOCAL adalah nama address list yang telah kita buat tadi,sesuaikan dengan nam ayang kamu buat ya.
    Tempatkan rule ini disesuaikan dengan rule yang telah ada di routermu,usahakan berada di palinga tas rule untuk hotspot.
    cara membuat address list mikrotik
  3. Pengujian HOTSPOT
    Untuk memastikan hotspot kita berjalan sesuai dengan yang kita inginkan,coba kamu pakai hotspot mu dan coba juga untuk ping ke komputer jaringan private local.
    Jika tidak berjalan sesuai keinginan coba bersabar dan teliti dari awal lagi, namanya belajaar harus sabar ya ^_^

Membuat Hotspot Bandwidth management Sederhana dengan Queue Tree

Kita akan mengatur dan membatasi bandwidth untuk user hotspot kita menggunakan queue tree mikrotik
  1. Membuat Mangle 
    IP >Firewall >Mangle >ikuti gambar dibawah ini secara urut.
    Menandai Koneksi hotspot (Mark Connection)
    cara membuat mangle untuk bandwidth management mikrotik hotspot
    Menandai Paket Koneksi Hotspot
    cara membuat mangle hotspot untuk bandwidth management
  2. Membuat Queue Tree
    Untuk membuat queue trafik download,parent nya harus interface dimana komputer berada. dan untuk membuat upload queue parent nya harus interface yang terkoneksi ke internet.
    tentukan juga jenis pcq nya,jika upload ya upload.kalo down ya pilih download.
    Kita tidak fix limit tapi diberi toleransi agar flexible dan hotspot kita terkesan kenceng kalau dipake browsing. karena kecepatan akan max hanya beberapa detik saja dan kembali ke kcepatan  normal,3 detik sudah cukup untuk meload seluruh halamn website agar hotspot kita terkesan kenceng buat browsing.
    cara Membuat Queue tree mikrotik bandwidth management

Setting Unifi Wifi Hotspot menggunakan VLAN 

Setelah kita mengkonfigurasi router untuk keperluan hotspot kita,kini saatnya untuk mensetting perangkat wifi hotspot kita.
Disini saya menggunakan Unifi sebagai perangkat hotspot nya,kalau kamu menggunakan perangkat lain tidak masalah kok,tinggal cari aja bagian untuk naruh VLAN ID

  1. Login ke perangkat Wifi Hotspotmu.
  2. Buat SSID untuk nama hotspot mu dan masukan VLAN ID
    cara setting vlan hotspot unifi
  3. Tinggal kamu setting untuk kekuatan signal nya disesuaikan dengan jangkauan wifi spot yang kamu inginkan
Jika ada kesalahan penulisan /kurang dari tutorial ini /tutorial tidak bekerja /ada kendala,,silakan bisa ditulis di komen 

0 komentar: