PEMBANGUNAN SISTEM MONITORING JARINGAN DAN SERVER REAL-TIME
BAB I — PERSIAPAN DAN PERENCANAAN SISTEM
1.1 Latar Belakang
Seiring meningkatnya kebutuhan keamanan dan kinerja jaringan, dibutuhkan segmentasi jaringan berbasis VLAN, kebijakan kontrol akses antar segmen, serta sistem monitoring real-time. Penerapan pengamanan brute force login pada router dan hardening layanan server diperlukan untuk meningkatkan keandalan layanan.
1.2 Tujuan
- Menerapkan segmentasi jaringan menggunakan VLAN.
- Mengamankan komunikasi antar segmen (isolasi akses VLAN).
- Menyediakan monitoring real-time terhadap router dan server.
- Mendokumentasikan kebijakan keamanan informasi dan SOP penanganan insiden.
1.3 Infrastruktur dan Topologi
- Virtualisasi: Oracle VirtualBox
- Adapter jaringan: Internal Network
- Promiscuous Mode: Allow All
- Perangkat: 2 VM MikroTik RouterOS (Gateway + Switch Manageable) dan 1 VM Ubuntu Server 24.04
1.4 Skema VLAN dan IP Address
| VLAN | Nama | Network | Gateway | Keterangan Port Access (Switch) |
|---|---|---|---|---|
| 10 | Guru | 192.168.10.0/24 | 192.168.10.1 | Ether2 (Untagged) |
| 20 | Siswa | 192.168.20.0/24 | 192.168.20.1 | Ether3 (Untagged) |
| 30 | Server | 192.168.30.0/24 | 192.168.30.1 | Ether4 (Untagged) |
1.5 IP Server Linux
- IP Address: 192.168.30.10/24
- Gateway: 192.168.30.1
- DNS: 192.168.30.10 (Bind9 lokal)
BAB II — KONFIGURASI MIKROTIK 1 (ROUTER GATEWAY)
2.1 Penamaan Interface
Fungsi: mempermudah identifikasi interface WAN dan trunk ke switch.
/interface ethernet
set ether1 name=WAN
set ether2 name=TRUNK-SWITCH2.2 DHCP Client (Internet/WAN)
Fungsi: router memperoleh IP dari ISP secara otomatis.
/ip dhcp-client
add interface=WAN disabled=no2.3 Pembuatan Interface VLAN (Trunk pada ether2)
Fungsi: membuat interface logis VLAN 10/20/30 pada jalur trunk.
/interface vlan
add interface=TRUNK-SWITCH name=VLAN10-GURU vlan-id=10
add interface=TRUNK-SWITCH name=VLAN20-SISWA vlan-id=20
add interface=TRUNK-SWITCH name=VLAN30-SERVER vlan-id=302.4 IP Address VLAN
Fungsi: sebagai gateway masing-masing VLAN dan enable inter-VLAN routing.
/ip address
add address=192.168.10.1/24 interface=VLAN10-GURU
add address=192.168.20.1/24 interface=VLAN20-SISWA
add address=192.168.30.1/24 interface=VLAN30-SERVER2.5 DHCP Server VLAN 10 dan VLAN 20
Fungsi: memberikan IP otomatis untuk client Guru dan Siswa, DNS diarahkan ke server lokal.
/ip pool
add name=POOL-GURU ranges=192.168.10.10-192.168.10.100
add name=POOL-SISWA ranges=192.168.20.10-192.168.20.100
/ip dhcp-server
add name=DHCP-GURU interface=VLAN10-GURU address-pool=POOL-GURU disabled=no
add name=DHCP-SISWA interface=VLAN20-SISWA address-pool=POOL-SISWA disabled=no
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1 dns-server=192.168.30.10
add address=192.168.20.0/24 gateway=192.168.20.1 dns-server=192.168.30.102.6 NAT Masquerade
Fungsi: mengizinkan jaringan lokal (VLAN) mengakses internet melalui WAN.
/ip firewall nat
add chain=srcnat out-interface=WAN action=masquerade comment="NAT Internet"2.7 Kebijakan Akses Antar VLAN (Keamanan)
Wajib: VLAN 20 (Siswa) diblokir menuju VLAN 10 (Guru).
/ip firewall filter
add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 \
action=drop comment="Blok Siswa (VLAN20) ke Guru (VLAN10)"2.8 Proteksi Brute Force (SSH & Winbox)
Fungsi: mitigasi brute force login. Skema 3 tahap dalam 1 menit, lalu masukkan ke Address List blacklist selama 10 hari, kemudian drop semua trafik dari blacklist.
/ip firewall filter
add chain=input protocol=tcp dst-port=22,8291 connection-state=new \
src-address-list=!blacklist action=add-src-to-address-list \
address-list=bf_stage1 address-list-timeout=1m comment="BF Stage1"
add chain=input protocol=tcp dst-port=22,8291 src-address-list=bf_stage1 \
action=add-src-to-address-list address-list=bf_stage2 address-list-timeout=1m \
comment="BF Stage2"
add chain=input protocol=tcp dst-port=22,8291 src-address-list=bf_stage2 \
action=add-src-to-address-list address-list=blacklist address-list-timeout=10d \
comment="BF Blacklist 10d"
add chain=input src-address-list=blacklist action=drop comment="Drop Blacklist"2.9 (Opsional Disarankan) Pembatasan Akses Manajemen Router
Fungsi: membatasi akses SSH/Winbox hanya dari VLAN 10 dan VLAN 30 (admin & server).
/ip firewall filter
add chain=input protocol=tcp dst-port=22,8291 src-address=192.168.10.0/24 action=accept \
comment="Allow Admin VLAN10 to manage"
add chain=input protocol=tcp dst-port=22,8291 src-address=192.168.30.0/24 action=accept \
comment="Allow Server VLAN30 to manage"
add chain=input protocol=tcp dst-port=22,8291 action=drop comment="Drop others manage ports"BAB III — KONFIGURASI MIKROTIK 2 (SWITCH MANAGEABLE - BRIDGE VLAN FILTERING)
3.1 Membuat Bridge dengan VLAN Filtering
Fungsi: mengaktifkan metode modern VLAN pada RouterOS (Bridge VLAN Filtering).
/interface bridge
add name=BRIDGE vlan-filtering=yes3.2 Menambahkan Port ke Bridge
Fungsi: Ether1 sebagai trunk tagged, Ether2–Ether4 sebagai access (untagged) sesuai pvid masing-masing VLAN.
/interface bridge port
add bridge=BRIDGE interface=ether1 frame-types=admit-only-vlan-tagged comment="TRUNK"
add bridge=BRIDGE interface=ether2 pvid=10 comment="ACCESS VLAN10 (Guru)"
add bridge=BRIDGE interface=ether3 pvid=20 comment="ACCESS VLAN20 (Siswa)"
add bridge=BRIDGE interface=ether4 pvid=30 comment="ACCESS VLAN30 (Server)"3.3 Tabel VLAN (Tagged/Untagged)
Fungsi: memetakan VLAN ID pada port trunk dan access port.
/interface bridge vlan
add bridge=BRIDGE vlan-ids=10 tagged=ether1 untagged=ether2
add bridge=BRIDGE vlan-ids=20 tagged=ether1 untagged=ether3
add bridge=BRIDGE vlan-ids=30 tagged=ether1 untagged=ether4BAB IV — KONFIGURASI LINUX SERVER (UBUNTU 24.04)
4.1 Konfigurasi IP Static (Netplan)
Fungsi: menetapkan IP server statis pada VLAN 30 serta mengarahkannya ke gateway router.
sudo nano /etc/netplan/01-lab.yamlnetwork:
version: 2
ethernets:
enp0s3:
addresses:
- 192.168.30.10/24
gateway4: 192.168.30.1
nameservers:
addresses: [192.168.30.10]sudo netplan apply4.2 Instalasi Apache2 dan MariaDB
Fungsi: menyediakan layanan web dan database untuk aplikasi monitoring (Cacti).
sudo apt update
sudo apt install -y apache2 mariadb-server php php-mysql4.3 Instalasi dan Konfigurasi Bind9 (DNS Server)
Fungsi: menyediakan DNS internal untuk domain lab-smk.xyz. Recursion publik dimatikan untuk mencegah open resolver.
sudo apt install -y bind9Konfigurasi opsi Bind9:
sudo nano /etc/bind/named.conf.optionsoptions {
directory "/var/cache/bind";
recursion no;
allow-query { 192.168.30.0/24; 192.168.10.0/24; };
listen-on { any; };
dnssec-validation auto;
};Tambahkan zone lab-smk.xyz:
sudo nano /etc/bind/named.conf.localzone "lab-smk.xyz" {
type master;
file "/etc/bind/db.lab-smk.xyz";
};Buat file zone:
sudo nano /etc/bind/db.lab-smk.xyz$TTL 86400
@ IN SOA ns1.lab-smk.xyz. admin.lab-smk.xyz. (
2026010101
3600
1800
604800
86400 )
@ IN NS ns1.lab-smk.xyz.
ns1 IN A 192.168.30.10
@ IN A 192.168.30.10
www IN A 192.168.30.10
monitor IN A 192.168.30.10sudo named-checkconf
sudo named-checkzone lab-smk.xyz /etc/bind/db.lab-smk.xyz
sudo systemctl restart bind9
sudo systemctl enable bind94.4 Instalasi Cacti (Monitoring) + SNMP
Fungsi: Cacti untuk monitoring berbasis SNMP (grafik CPU/memory/traffic).
sudo apt install -y snmp snmpd cactiAktifkan SNMP pada MikroTik (RouterOS):
/snmp set enabled=yes
/snmp community add name=public addresses=192.168.30.10/32Catatan: Untuk keamanan, batasi community SNMP hanya ke IP server monitoring.
4.5 Aktivasi HTTPS (Self-Signed SSL) pada Apache
Fungsi: mengaktifkan akses HTTPS agar web monitoring dapat diakses secara terenkripsi.
sudo a2enmod ssl
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout /etc/ssl/private/lab.key \
-out /etc/ssl/certs/lab.crtsudo a2ensite default-ssl
sudo systemctl restart apache2BAB V — SOP DAN KEBIJAKAN KEAMANAN
5.1 Kebijakan Keamanan Informasi
- Password Policy: minimal 8 karakter, kombinasi huruf besar, huruf kecil, angka, dan simbol.
- Pembagian akses VLAN: VLAN 20 dilarang mengakses VLAN 10; VLAN 30 diperbolehkan sesuai kebutuhan layanan.
- Kebijakan penggunaan internet: akses internet melalui NAT; aktivitas penting dicatat (logging).
- Kebijakan backup konfigurasi: backup konfigurasi router dan server dilakukan berkala dan disimpan aman.
5.2 SOP Penanganan Insiden — Brute Force Login
- Sistem firewall router akan menandai percobaan login berulang dan memasukkan IP penyerang ke blacklist.
- Administrator memeriksa log router dan melakukan verifikasi sumber serangan.
- Jika diperlukan, lakukan penggantian password dan pembatasan akses manajemen hanya dari VLAN 10/30.
- Dokumentasikan kejadian untuk laporan insiden.
5.3 SOP Penanganan Insiden — Server Down
- Monitoring mendeteksi gangguan dan menampilkan status host/service bermasalah.
- Administrator melakukan pengecekan layanan (Apache/MariaDB/Bind9/Cacti) dan resource sistem.
- Lakukan restart layanan terkait dan evaluasi penyebab (log sistem, kapasitas, jaringan).
- Eskalasi kepada penanggung jawab jika gangguan berulang atau berdampak besar.
5.4 Checklist Pengujian (Untuk Screenshot UKK)
- VLAN berfungsi: client Guru memperoleh IP dari DHCP VLAN10, client Siswa memperoleh IP dari DHCP VLAN20.
- Isolasi: client VLAN20 tidak bisa ping/akses jaringan VLAN10.
- Server: 192.168.30.10 dapat diakses dari VLAN10 sesuai kebutuhan.
- DNS: domain lab-smk.xyz, www.lab-smk.xyz, monitor.lab-smk.xyz resolve ke 192.168.30.10.
- HTTPS: halaman web/monitoring dapat dibuka via HTTPS (self-signed).
- Monitoring: Router dan Server tampil pada dashboard Cacti, ada grafik CPU/memory/traffic.
- Security: brute force mitigation bekerja (IP masuk blacklist dan ter-drop).