fbpx
 

Archive

Apa itu DDOS Blackhole Routing?

DDoS Blackhole Routing (terkadang disebut dengan Blackholing), adalah tindakan pencegahan untuk mengurangi serangan DDoS di mana lalu lintas jaringan dialihkan ke “Blackhole / Lubang hitam”, dan hilang. Ketika pemfilteran Blackhole diterapkan tanpa kriteria batasan khusus, lalu lintas jaringan yang baik dan berbahaya diarahkan ke Null-Route atau lubang hitam dan dikeluarkan dari jaringan. Tapi mengapa menggunakan Blackhole Routing? Lalu lintas yang tidak diinginkan yang membanjiri aliran Network dan Mesin dari media transmisi yang berbeda, sengaja dihasilkan oleh serangan DDoS.

Maksud utama dari serangan DDoS adalah untuk menguras ketersediaan sumber daya komputasi seperti bandwidth, CPU, RAM, dan lain-lain ke target jarak jauh sehingga layanan di luar batas untuk pengguna yang sah. Pengguna mungkin mengalami penggunaan bandwidth yang berlebihan, atau penggunaan CPU yang berlebihan adalah beberapa gejala khas yang terkait dengan serangan ini. Ini menciptakan kebutuhan untuk menghentikan traffic DDoS yang ditujukan ke lubang hitam sebagai tindakan balasan yang sangat baik untuk mencegah serangan semacam ini. Perutean internet blackhole didasarkan pada alamat IP sumber dan tujuan, di mana teknik yang paling umum digunakan adalah menggunakan penyaringan rute jarak jauh, memanfaatkan IP tujuan.

Bagaimana Blackhole Routing Bekerja?

Lalu lintas DDoS harus dialihkan dan dijatuhkan di dekat sumber serangan. Blackhole routing melibatkan penggunaan alamat IP sumber dan tujuan dan, seperti yang disebutkan di atas, teknik yang paling umum digunakan, menggunakan pemfilteran rute jarak jauh. Misalnya, serangan DDoS dimulai pada server web yang menyimpan alamat IP 172.12.0.2.

Saat pelanggan meminta ISP untuk memfilter DDoS yang sedang berjalan, rute statis ke alamat IP target 172.12.0.1/32 akan dibuat, yang mengarah ke interface null atau tidak ada. Rute statis didistribusikan ke sesi iBGP dari mesin pemicu ke border router tetapi dengan alamat IP hop yang diperbarui ke 192.0.2.1. Akibatnya, semua lalu lintas jaringan diarahkan ke alamat IP ini, sehingga dihilangkan dengan null-route di border router. Saat serangan DDoS selesai, rute statis 172.12.0.2 dihapus dari mesin yang dipicu dan ditarik dari sesi IBGP.

Bagaimana Blackhole Routing dapat membantu Anda?

Tidak diragukan lagi, Anda dapat mengarahkan semua lalu lintas yang tidak diinginkan ke lubang hitam untuk membuangnya melalui lubang hitam di mana tidak ada titik kembali.

Jika Anda mengingat, pada tahun 2008 YouTube turun selama berjam-jam pada suatu hari berkat penggunaan Blackhole Routing oleh Telkom Pakistan. Ini terjadi setelah Kementerian Komunikasi Pakistan mengirimkan perintah agar YouTube diblokir secara nasional sebagai tanggapan atas video YouTube yang berisi kartun Belanda yang menggambarkan Nabi Muhammad. Layanan telekomunikasi milik pemerintah Pakistan menanggapi perintah ini dengan solusi perutean lubang hitam, tetapi solusi mereka menciptakan efek samping yang tidak terduga.

Blackhole Routing dapat membantu menghentikan semua lalu lintas berbahaya jika terjadi serangan, misalnya, DDoS atau serangan worm di mana Blackhole Routing berimprovisasi sebagai solusi terbaik untuk mengurangi waktu henti. Selain itu, berbeda dengan ACL (Access Control List), Anda dapat menggunakan solusi alternatif ini karena routing bekerja dengan cara penerusan dari router, Anda dapat menggunakan Blackhole Routing yang menenggelamkan lalu lintas yang sama dengan keuntungan untuk mengurangi dampak kinerja pada router itu sendiri.

Mengapa menggunakan Blackhole Routing sebagai biaya peluang untuk ACL terutama karena ACL membutuhkan daya pemrosesan yang lebih tinggi pada urutan operasi cisco IOS, ACL akan melayani cara yang sama seperti perutean lubang hitam tetapi akan membutuhkan lebih banyak fitur untuk melakukannya.

Bagaimana Herza.ID mengurangi resiko DDoS dengan Blackhole Routing?

Pada sistem Network Herza.ID, kami telah mengimplementasikan Auto-Trigger Blackhole Routing atas setiap aktivitas yang mencurigakan. Dari Border Router kami mengirimkan Traffic Flow ke Server FastNetMon kami yang akan memproses seluruh aktivitas di jaringan kami. Dan ketiga suatu aktivitas mencurigakan men-trigger alarm, maka Server FastNetMon akan mengirimkan proses iBGP untuk melakukan Blackhole menggunakan Community Blackhole system.

Salah satu contoh, Anda bisa melihat di graphic dibawah ini, dimana garis merah mengindikasikan terjadi trigger alarm atas suatu aktivitas yang mencurigakan, dan server FNM kami dengan sigap mengirimkan instruksi ke Border Router untuk melakukan Blackhole.

Datacenter Tier 4 Pertama di Indonesia – Uptime 99,999%

Uptime dan Keamanan data adalah salah satu fokus utama dari PT Herza Digital Indonesia dalam meningkatkan pelayanan kepada para pelanggan kami. Dengan memberikan jaminan SLA (Service Level Agreement) dengan Uptime yang tinggi, dan didukung dengan keamanan data yang disupport oleh salah satu Infrastruktur Datacenter terbaik di Indonesia, maka itulah hal yang selalu harus kami raih.

Oleh karena itu, PT Herza Digital Indonesia memutuskan untuk bergabung menjadi Partner dari PT DCI Indonesia. DCI Indonesia adalah Datacenter Tier 4 pertama di Indonesia yang berlokasi di Cikarang, Bekasi, Jawa Barat. Datacenter bersertifikat TIer 4 ini, mampu memberikan jaminan Uptime sebesar 99,999%.

Selain dari jaminan Uptime, DCI Indonesia juga telah dilengkapi dengan berbagai sertifikasi diantara lain adalah ISO 27001, ISO 14001, ISO 45001, SOC 1 Type II, SOC 2 Type II, PCI DSS Compliant, dan Tier IV Design & Facility dari Uptime Institute.

DCI Indonesia Certified

Belum Pernah Blackout Sejak Awal Operasional

DCI Indonesia adalah Datacenter Provider terkemuka di Indonesia. Didirikan sebagai enabler untuk komunitas bisnis, Menjadi pusat data Tier-IV pertama di Indonesia, DCI hadir untuk menyediakan layanan Datacenter kelas dunia, yang memberi Anda ketenangan.

Dibangun dengan total lahan 8.5ha. Sebagai Datacenter yang berkembang, DCI terus meningkatkan layanan kami dan juga menambah lebih banyak gedung dengan total daya 200 MW. Kami mengamankan dan menjaga aset berharga Anda tersedia setiap saat.

Didukung oleh 2 pembangkit listrik yang berbeda, yang membuat DCI aman dari gangguan listrik. Untuk memastikan semua skenario keamanan berjalan baik, maka DCI juga sering melakukan simulasi sistem. Dimulai dari simulasi keamanan, simulasi pemadaman api, simulasi sistem pendingin dll. Bahkan, sejak awal beroperasi hingga hari ini, DCI Indonesia belum pernah mengalami Blackout sama sekali.

Apasih Klasifikasi Datacenter Tier 4?

Untuk didefinisikan sebagai Tingkat 4, pusat data harus mematuhi yang berikut:

  • Zero single points of failure. Penyedia Tier IV memiliki redundansi untuk setiap proses dan aliran perlindungan data. Tidak ada pemadaman atau kesalahan tunggal yang dapat mematikan sistem.
  • 99,999% Pptime per tahun. Ini adalah level dengan uptime jaminan tertinggi. Itu harus dipertahankan untuk sebuah Datacenter untuk mempertahankan peringkat Tier 4.
  • Infrastruktur 2N + 1 (Power backup dua kali lipat jumlah yang diperlukan untuk pengoperasian ditambah cadangan). 2N + 1 adalah cara lain untuk mengatakan “redundansi penuh”.
  • Tidak lebih dari 26,3 menit downtime per tahun sebagai angka maksimum. Penyedia harus memberikan waktu henti untuk operasi mekanis yang dioptimalkan; namun, waktu henti tahunan ini tidak memengaruhi operasi yang dihadapi pelanggan.
  • Perlindungan pemadaman listrik selama 96 jam. Infrastruktur Tier 4 harus memiliki setidaknya 96 jam daya independen untuk memenuhi syarat di tingkat ini. Daya ini tidak boleh terhubung ke sumber luar dan sepenuhnya merupakan hak milik. Beberapa pusat mungkin memiliki lebih banyak.

Herza.ID adalah bagian dari DCI Indonesia

Sejak akhir tahun 2020, PT Herza Digital Indonesia sudah bergabung dan membuka POP (Point of Precense) di DCI Indonesia. Hal ini dapat Anda cek pada halaman website DCI Indonesia https://www.dci-indonesia.com/ecosystems. Logo Herza.ID sudah terpampang sebagai salah satu Client resmi dari DCI Indonesia.

Jadi jika Anda memiliki kebutuhan untuk Rack Colocation di Datacenter Tier 4 Indonesia, silahkan menghubungi Divisi Sales kami. Kami menyediakan kebutuhan untuk Full Rack dan Half Rack Colocation di Datacenter Tier 4 pertama Indonesia.

Cara Setting VPN di iPhone

Tingginya minat penggunakan VPN Murah dari Herza yang membuatkan kami membuat Artikel ini mengenai cata setting VPN di Iphone Anda. Jika Anda memiliki Akun VPN dari Herza, Anda bisa langsung mengkoneksikan Akun VPN Murah tersebut langsung dari Device iPhone / iPad Anda tanpa melalui sebuah perangkat router.

Mari kita langsung simak Tahapannya…

1. Memesan Akun VPN Murah di Herza.ID

Tentunya Hal yang pertama kita butuhkan adalah Akun VPN itu sendiri, Anda dapat memesannya melalui halaman Order Form VPN Murah di Website kami. Pastikan Anda memilih kecepatan sesuai dengan kebutuhan Anda, tidak berlebihan. Sebuah koneksi VPN adalah bukan untuk meningkatkan kecepatan Akses Internet Anda.

Untuk informasi lebih jelas mengenai Akun VPN itu sendiri, silahkan membaca Artikel kami mengenai

2. Konfigurasi VPN di iPhone / iPad Anda

Setelah Anda mendapatkan Informasi Akun VPN Anda seperti Server IP, Username dan Password, maka kita bisa langsung masuk pada Tahapan konfigurasi seperti dibawah ini.

Langkah pertama di iPhone / iPad Anda, masuk ke bagian SETTINGS (dengan Icon Gear pada Device iPhone / iPad) > GENERAL > VPN, seperti pada tampilan dibawah ini.

Cara Setting VPN di iPhone

Ketika Anda telah masuk ke bagian konfigurasi VPN, maka tampilan yang akan terlihat adalah seperti ini Lanjutkan dengan mengklik ADD VPN CONFIGURATION.

Setelah itu, dibagian VPN CONFIGURATION (sebelah kanan), klik Type. Karena kita akan merubah Type VPN ini menjadi L2PT. Setelah itu, kembali ke bagian Add Configuration.

Pilih VPN Type L2TP

Dan kita melanjutkan dengan mengisi data-data Akun VPN yang kita dapatkan dari Herza.ID seperti dibawah ini.

Konfigurasi Akun VPN di iPhone

Description: Herza (Bisa diganti dengan nama apa saja yang gampang Anda ingat)
Server: vpn1.herza.id / 103.160.62.102 (Isikan HANYA salah satunya, bisa menggunakan Hostname ataupun IP)
Account: Username yang Anda dapatkan dari Herza.ID
Password: Password yang Anda dapatkan dari Herza.ID
Secret: herza (Ini jangan dirubah)
Send All Traffic: WAJIB DIAKTIFKAN

Setelah itu klik DONE.

Dan sekarang tinggal Anda mengkoneksi. Ketika Akun VPN Anda berhasil konek, Anda akan melihat status CONNECTED dengan BAR HIJAU, dan juga logo VPN disebelah kiri Jam iPhone Anda sesuai dengan gambar kanan atas.

Selamat… Sekarang Anda telah bisa menggunakan VPN Anda langsung di iPhone Anda. Berikutnya kita akan mencoba melakukan Speedtest. Dalam hal ini, kita menggunakan Akun VPN-3 yang Speednya Upto 100 Mbps, dan kebetulan saya menggunakan Biznet dengan kapasitas 75 Mbps (Dapat Promo Upgrade ke 100 Mbps selama beberapa bulan, lupa tepatnya. Jadi kemungkinan, hasil ini masih berdasarkan dengan koneksi 100 Mbps) Berikut adalah hasilnya…

Link Speedtest: https://www.speedtest.net/my-result/i/4502856006

Apa itu Internet Exchange Point?

Internet Exchange Point (IXP) adalah lokasi fisik tempat perusahaan infrastruktur Internet seperti Penyedia Layanan Internet (ISP) dan CDN (Content Delivery Network) terhubung satu sama lain. Lokasi ini berada di sisi pada jaringan yang berbeda, dan memungkinkan penyedia jaringan untuk berbagi transit di luar jaringan mereka sendiri. Dengan hadir di dalam satu lokasi IXP, perusahaan dapat mempersingkat jalur mereka ke transit yang datang dari jaringan lain yang berpartisipasi pada IXP tersebut, sehingga mengurangi latensi, meningkatkan waktu lalu lintas data, dan berpotensi mengurangi biaya.

Bagaimana cara kerja Internet Exchange Point?

Pada intinya, IXP adalah satu atau lebih lokasi fisik yang berisi switch jaringan yang merutekan lalu lintas antara jaringan anggota yang berbeda. Melalui berbagai metode, jaringan ini berbagi biaya pemeliharaan infrastruktur fisik dan layanan terkait. Mirip dengan bagaimana biaya timbul ketika pengiriman kargo melalui lokasi pihak ketiga seperti melalui Terusan Panama, ketika lalu lintas ditransfer melalui jaringan yang berbeda, terkadang jaringan tersebut mengenakan biaya untuk pengiriman tersebut. Untuk menghindari biaya ini dan kekurangan lainnya yang terkait dengan pengiriman lalu lintas mereka melalui jaringan pihak ketiga, perusahaan anggota terhubung satu sama lain melalui IXP untuk mengurangi biaya dan mengurangi latensi.

Apa itu IXP

IXP adalah Layer 2 LAN yang besar besar (dari model jaringan OSI) yang dibangun dengan satu atau banyak switch Ethernet yang saling terhubung bersama di satu atau lebih bangunan fisik. Sebuah IXP tidak berbeda dalam konsep dasar dengan jaringan rumah, dengan satu-satunya perbedaan nyata adalah switchnya. IXP dapat berkisar dari 100s Megabit / detik hingga banyak Terabit / detik untuk lalu lintas yang dipertukarkan. Terlepas dari ukurannya, tujuan utamanya adalah memastikan bahwa banyak router jaringan terhubung bersama dengan bersih dan efisien. Sebagai perbandingan, di rumah seseorang biasanya hanya memiliki satu router dan banyak komputer atau perangkat seluler.

Selama dua puluh tahun terakhir, telah terjadi perluasan besar-besaran dalam interkoneksi jaringan, yang sejalan dengan perluasan besar-besaran Internet global. Perluasan ini mencakup fasilitas pusat data baru yang sedang dikembangkan untuk peralatan jaringan rumah. Beberapa dari pusat data tersebut telah menarik sejumlah besar jaringan, sebagian besar karena titik pertukaran Internet yang berkembang pesat yang beroperasi di dalamnya.

Mengapa Internet Exchange Point penting?

Tanpa IXP, lalu lintas dari satu jaringan ke jaringan lain berpotensi bergantung pada jaringan perantara untuk membawa lalu lintas dari sumber ke tujuan. Ini disebut penyedia transit. Dalam beberapa situasi, tidak ada masalah untuk melakukan hal ini: ini adalah seberapa besar arus lalu lintas internet internasional, karena biaya yang mahal untuk mempertahankan koneksi langsung ke setiap-dan-setiap ISP di dunia. Namun, mengandalkan ISP tulang punggung untuk membawa lalu lintas lokal dapat merugikan kinerja, terkadang karena operator tulang punggung mengirimkan data ke jaringan lain di kota yang sama sekali berbeda. Situasi ini dapat mengarah pada apa yang dikenal sebagai tromboning, di mana dalam kasus terburuk, lalu lintas dari satu kota yang ditujukan ke ISP lain di kota yang sama dapat menempuh jarak yang sangat jauh untuk dipertukarkan dan kemudian kembali lagi. CDN dengan kehadiran IXP memiliki keuntungan dalam mengoptimalkan jalur yang dilalui data mengalir di dalam jaringannya, mengurangi jalur yang tidak efisien.

BGP, protokol tulang punggung Internet

Jaringan berbicara satu sama lain menggunakan BGP (Border Gateway Protocol). Protokol ini memungkinkan jaringan untuk dengan rapi memisahkan antara persyaratan internal dan konfigurasi tepi jaringannya. Semua peering di IXP menggunakan BGP.

Baca juga Artikel kami yang membahas tentang Apa itu Peering

Bagaimana penyedia berbagi lalu lintas di berbagai jaringan?

Transit

Perjanjian antara pelanggan dan penyedia upstreamnya. Penyedia transit menyediakan konektivitas penuh kepada pelanggannya ke seluruh Internet. Transit adalah layanan berbayar. Protokol BGP digunakan untuk memungkinkan alamat IP pelanggan diumumkan ke penyedia transit dan selanjutnya ke seluruh Internet global.

Peering

Pengaturan di balik bagaimana jaringan berbagi alamat IP tanpa perantara di antara mereka. Di Internet Exchange Point, sebagian besar tidak ada biaya yang terkait dengan transfer data antar jaringan anggota. Ketika lalu lintas ditransfer secara gratis dari satu jaringan ke jaringan berikutnya, hubungan tersebut disebut peering bebas penyelesaian.

Peering VS Transit Berbayar

Sayangnya untuk beberapa jaringan, mentransfer data tidak selalu tanpa biaya. Misalnya, jaringan besar dengan pangsa pasar yang relatif sama lebih cenderung melakukan peer dengan jaringan besar lainnya tetapi mungkin mengenakan biaya jaringan yang lebih kecil untuk layanan peering. Dalam satu IXP, perusahaan anggota dapat memiliki pengaturan yang berbeda dengan beberapa anggota yang berbeda. Dalam kasus seperti ini, perusahaan dapat mengonfigurasi protokol perutean mereka untuk memastikan bahwa mereka mengoptimalkan untuk mengurangi biaya atau mengurangi latensi menggunakan protokol BGP.

Deepering

Seiring waktu, hubungan dapat berubah, dan terkadang jaringan tidak lagi ingin berbagi interkoneksi gratis. Ketika sebuah jaringan memutuskan untuk mengakhiri pengaturan peering mereka, mereka melalui proses yang disebut deepering. Deepering dapat terjadi karena berbagai alasan seperti ketika satu pihak diuntungkan lebih dari yang lain karena rasio lalu lintas yang buruk, atau ketika jaringan memutuskan untuk mulai menagih uang pihak lain. Proses ini bisa sangat emosional, dan jaringan yang ditolak dapat dengan sengaja mengganggu lalu lintas pihak lain setelah hubungan peering diakhiri.

Pentingnya Peran IXP dalam Lalu Lintas Internet

Lingkungan Datacenter berhasil beroperasi dengan memiliki throughput tinggi, kecepatan tinggi, dan harga rendah. Tanpa peran Internet Exchange Point, kokentivitas Internet pasti akan jauh lebih mahal harganya. Herza.ID bisa memberikan layanan Colocation Murah, VPS Murah dan Dedicated Server Murah dengan Bandwidth yang murah dikarenakan Jaringan Herza.ID sudah terhubung ke banyak Internet Exchange Point di Indonesia. Antara lain adalah IIX, OpenIXP, JKT-IX, CDIX, DCI-IX. BatamIX, dan CloudXchange. Disamping itu, Herza.ID juga mempunya lebih dari 10 mitra peering di seluruh Indonesia & dunia, termasuk Google, Microsoft, Facebook, Akamai, Cloudflare, SEA Group (Shopee & Garena) dan Zenlayer, dan titik kehadiran (PoP) kami dapat mentransfer gabungan lebih dari 100 Gigabyte per detik dan tentunya ini akan terus berkembang seiring perkembangan Datacenter Herza.

Bagaimana IXP menggunakan BGP?

Di seluruh jaringan lokal IXP, berbagai penyedia dapat membuat koneksi satu-ke-satu menggunakan protokol BGP. Protokol ini dibuat untuk memungkinkan jaringan yang berbeda mengumumkan alamat IP mereka satu sama lain ditambah alamat IP yang telah mereka sediakan konektivitas ke hilir (yaitu pelanggan mereka). Setelah dua jaringan menyiapkan sesi BGP, rute masing-masing akan dipertukarkan dan lalu lintas dapat mengalir langsung di antara keduanya.

IXP atau PNI

Dua jaringan mungkin menganggap lalu lintas mereka cukup penting sehingga mereka ingin berpindah dari infrastruktur bersama dari sebuah IXP dan ke interkoneksi khusus antara dua jaringan. PNI (Private Network Interconnect) hanyalah koneksi dark fiber (biasanya dalam satu pusat data, atau gedung) yang secara langsung menghubungkan port di jaringan A dengan port di jaringan B. Pengaturan BGP hampir identik dengan pengaturan peering IXP bersama.

Apa itu Peering?

Kami sering mendapatkan pertanyaan tentang Apa itu Peering. Peering adalah metode yang memungkinkan dua jaringan untuk menghubungkan dan bertukar lalu lintas data secara langsung tanpa harus membayar pihak ketiga untuk membawa lalu lintas di Internet.

Gambaran Umum Tentang Peering

Internet terdiri dari lebih dari 25.000 sistem otonom (ASN) yang merutekan lalu lintas secara independen. Peering sering digunakan sebagai metode di mana sistem ini dapat berinteraksi dan bertukar lalu lintas, memungkinkannya mengalir dari satu pengguna akhir, melalui Internet, ke pengguna akhir lainnya.

Metode ini diperlukan untuk perusahaan yang saling berhubungan, penyedia layanan Internet (ISP), jaringan pengiriman konten (CDN), dan penyedia layanan backbone. Membentuk perjanjian peering dengan jaringan lain dan menghindari keterlibatan pihak ketiga memungkinkan perusahaan untuk:

  1. Biaya transit yang lebih rendah
  2. Mempertahankan kontrol jalur perutean yang lebih besar
  3. Meningkatkan kinerja jaringan secara keseluruhan
  4. Meningkatkanredundansi dengan menggunakan beberapa lokasi
  5. Meningkatkankapasitas bandwidth
  6. Memiliki akses ke dukungan tambahan yang disediakan oleh mitra peering

Jenis Jenis Koneksi Peering

Peering menunjukkan bahwa dua jaringan terhubung, tetapi tidak menunjukkan bagaimana mereka terhubung. Prosesnya dapat dimulai dengan menjalankan sirkuit dari satu fasilitas ke fasilitas lainnya, tetapi metode itu menjadi tidak efisien ketika jaringan membutuhkan banyak peer. Dua jenis peering yang lebih umum dan efisien disebut peering publik dan peering privat.

Public Peering

Public Peering atau Peering publik umumnya dilakukan melalui Internet Exchange Point (IXP). IXP di Indonesia yang kita kenal antara lain adalah IIX, OpenIXP, CDIX, JKT-IX dan lainnya. Di lokasi ini, satu jaringan dapat melakukan peer dengan beberapa jaringan lain. Pengaturan peering perlu dinegosiasikan dengan setiap peer, tetapi tidak ada kabel baru yang perlu dilakukan.

Private Peering

Private Peering atau sering juga disebut sebagai PNI (Private Network Interconnection) terjadi di fasilitas Datacenter di mana dua entitas dengan jaringan terpisah menempatkan router dan menjalankan kabel langsung di antara mereka, jadi metode ini tidak menggunakan penengah Internet Exchange Point seperti pada Public Peering. Metode ini berguna ketika jaringan perlu bertukar lalu lintas dalam jumlah besar yang tidak dapat dapat dilakukan pada koneksi bersama melalui Internet Exchange Point.

Bagaimana Peering Bekerja?

Internet Exchange Point menyediakan satu lokasi untuk semua perangkat keras yang diperlukan untuk menghubungkan beberapa jaringan. Internet Exchange Point memiliki formulir keanggotaan di situs web mereka yang dapat Anda isi untuk mengajukan permohonan tempat di colocation mereka. Jika Anda disetujui, mereka akan menghubungi Anda secara langsung untuk memfasilitasi koneksi fisik Anda ke colocation mereka.

Memiliki koneksi fisik ke IXP tidak berarti Anda secara otomatis memiliki perjanjian peering dengan jaringan lain di sana. Setiap jaringan yang ingin mengadakan perjanjian peering di lokasi ini biasanya memiliki persyaratan operasional dan teknis yang harus Anda penuhi sebelum dapat terhubung dengannya. Sebagian besar perjanjian peering ISP mengharuskan Anda memiliki yang berikut ini:

  1. ASN yang diarahkan secara publik
  2. Memiliki Blok IP Sendiri
  3. Border Router yang mampu menjalankan BGP Session

Setelah Anda disetujui untuk melakukan peer dengan jaringan, Anda harus mengonfigurasi setelan peering router Anda secara manual untuk berbicara dengan ASN tertentu menggunakan Border Gateway Protocol (BGP).

Pentingnya Peering dalam Internet

Lingkungan Datacenter berhasil beroperasi dengan memiliki throughput tinggi, kecepatan tinggi, dan harga rendah. Tanpa peering, Edge Computing dalam lingkup Datacenter mungkin tidak mungkin dilakukan. Lebih banyak mitra peering berarti Edge Computing lebih cepat dan pengiriman konten lebih cepat. Herza.ID, misalnya, memiliki lebih dari 10 mitra peering di seluruh Indonesia & dunia, termasuk Google, Microsoft, Facebook, Akamai, Cloudflare, SEA Group (Shopee & Garena) dan Zenlayer, dan titik kehadiran (PoP) kami dapat mentransfer gabungan lebih dari 100 Gigabyte per detik dan tentunya ini akan terus berkembang seiring perkembangan Datacenter Herza.

Contoh Peering

OpenIXP adalah salah satu IXP (Internet Exchange Point) terbesar di Indonesia. Mereka memiliki lebih dari 1,000 ASN yang terhubung dan dapat memindahkan hampir 1 Terabyte lalu lintas per detik melalui 2 lokasi mereka (Gedung Cyber dan IDC 3D).

Peering ke OpenIXP

Baca juga Artikel kami yang membahas tentang Apa itu IIX dan OpenIXP

Salah satu keuntungan bekerja dengan bursa internet seperti OpenIXP adalah bahwa mereka sering kali memiliki perjanjian multilateral, yang berarti bahwa persyaratan mereka untuk menjadi anggota sesuai dengan sebagian besar persyaratan pelanggan mereka untuk sesama. Ketika Anda disetujui untuk koneksi ke salah satu colocations OpenIXP, Anda terhubung ke server rute yang memberi Anda akses instan ke 80% jaringan yang terhubung.

Apa itu vCPU pada VPS?

Merujuk ke halaman paket VPS Murah kami, calon pelanggan kami sering kali menghubungi kami melalui Online Chat. Dalam 80% kasus, pertanyaan pertama yang sering ditanyakan adalah… Apa itu vCPU? Itu mendorong saya untuk menulis artikel tentang topik ini. Meskipun, matematika vCPU sedikit rumit untuk dipahami, namun kami mencoba mengumpulkan semua informasi yang mungkin dan mencoba menjelaskannya kepada Anda dengan kata-kata yang paling sederhana. Di HyperVisor, CPU fisik sepenuhnya dikontrol oleh Hypervisor itu sendiri. CPU Fisik atau Dedicated ini dibagi menjadi inti CPU Core. Setiap Core dengan sangat aman mendukung 8 virtual prosesor (vCPU). Sekarang, mari kita bahas beberapa istilah teknis terlebih dahulu:

SOKET CPU

Soket mewakili perangkat keras. Mereka disebut sebagai jumlah soket prosesor yang dimiliki motherboard Anda. Soket hanya kapasitas motherboard. Soket bisa kosong. Kekuatan sebenarnya adalah jumlah prosesor yang sebenarnya dipasang pada motherboard.

CPU FISIK / DEDICATED

CPU fisik adalah unit perangkat keras sebenarnya yang dipasang pada soket motherboard Anda.

CORE DEDICATED

Ini adalah prosesor / core fisik aktual dalam chipset CPU fisik Anda (prosesor multi-core). Setiap core fisik bertindak sebagai prosesor terpisah karena memiliki sirkuit dan L1, cache L2 sendiri.

Virtual Processor / vCPU

vCPU adalah entitas yang bergantung pada waktu. Prosesor Virtual bisa dibahasakan sebagai kemungkinan jumlah waktu pemrosesan yang dihabiskan pada CPU. Jika kita menggunakan terminologi teknis; Prosesor Virtual dipetakan ke Logical Processor yang tersedia di komputer fisik dan dijadwalkan oleh perangkat lunak Hypervisor untuk memungkinkan Anda memiliki lebih banyak prosesor virtual daripada Logical Processor Anda. Orang mungkin memiliki kesalahpahaman bahwa 1 vCPU sama dengan 1 Core. Tetapi tidak ada hubungan satu dengan lainnya antara vCPU dan Core dalam perangkat lunak virtualisasi apa pun.

Mari kita coba memahami istilah-istilah ini dengan sebuah Contoh. Di sini, kami mempertimbangkan bahwa satu Core fisik dapat dengan aman mendukung 8 prosesor virtual. Mari kita lihat bagaimana perencanaan ini berjalan:

CPU yang kami perhitungkan adalah Intel Xeon CPU E5-2650 v2

  • Intel Xeon CPU E5-2650 v2 memiliki 8 Core x8 = 64 vCPU.
  • 4 vCPU untuk setiap VM… 64 vCPU / 4 vCPU per VM = 16 VM
  • 2 vCPU untuk setiap VM… 64 vCPU / 2 vCPU per VM = 32 VM
  • 1 vCPU untuk setiap VM… 64 vCPU / 1 vCPU per VM = 64 VM

Sebuah VM bisa menggunakan hingga 4 vCPU menurut lisensi standar ESX host VMware dan bisa sampai 8 vCPU pada edisi Enterprise. Jumlah dari vCPU yang dapat dipakai dalam server kita tergantung pada jumlah beban yang akan ditanggung VM. Jumlah virtual Core yang dapat ditetapkan ke VM dibatasi. Jika Anda pengguna VPS Windows Murah, Windows Server 2008 R2 membatasi jumlah vCPU sebanyak 4 per VM yang diperluas menjadi 64 di Windows Server 2012.

Mudah-mudahan Artikel ini dapat memberikan kita wawasan tambahan mengenai pengertian dari Apa itu vCPU atau Virtual CPU. Jangan lupa bagikan Artikel ini untuk membantu teman teman yang lainnya.

Konfigurasi Dasar Mengamankan Router Mikrotik Anda

Bagi para pengguna Mikrotik RouterOS baik itu Seri RouterBoard, CCR, x86 ataupun VPS Mikrotik CHR, sangat penting bagi Anda untuk mengetahui cara pengamanan dasar bagi Router Mikrotik Anda.

Pada kesempatan ini, kami ingin membagi kepada para Pelanggan setia Herza.ID, cara atau langkah dasar yang harus kita lakukan untuk Mengamankan Router Mikrotik Anda.

Silahkan baca juga Artikel kami tentang Cara Melindungi Router Mikrotik Anda dari Ransomware

Pengamanan Dasar Mikrotik RouterOS

1. Merubah User Default Mikrotik

Hal dasar yang harus kita lakukan dalam mengamankan Router Mikrotik adalah dengan mengubah User default Mikrotik yaitu admin. Kita tidak pernah menyarankan kepada siapapun untuk tetap menggunakan user admin tersebut, karena ini adalah hal paling mudah untuk meretas Router Mikrotik Anda.

Mengamankan Router Mikrotik Anda

Langkah awal adalah, pada menu di sebelah kiri Mikrotik RouterOS Anda, silahkan klik SYSTEM > USERS.

Setelah Window User List terbuka, klik Icon + untuk membuat user baru pada Router Anda.

Tahapan dalam mengamankan Router Mikrotik Anda

Masukkan Username yang ingin Anda gunakan pada kolom Name, dan pilih FULL pada Group User jika Anda ingin membuat user Administrator. Kemudian masukkan password yang susah ditebak pada kolom Password dibawah. Kemudian klik OK.

Catatan: Jangan lupa untuk DISABLE User default admin agar tidak bisa digunakan.

2. Disable Service / Layanan Yang Tidak di gunakan

Sekarang kita lanjutkan dengan mendisable Layanan atau Service yang kita tidak gunakan pada Mikrotik kita. Pade menu sebelah kiri klik IP > SERVICES.

Disable Service Mikrotik Yang tidak digunakan

Pilih Layanan-Layanan yang tidak Anda gunakan, kemudian klik icon X untuk mendisable layanan tersebut. Ketika layanan dalam disable status, maka warna nya akan berubah menjadi abu-abu.

Dalam hal ini, kami akan mendisable seluruh layanan kecuali Winbox. Karena kami hanya menggunakan Winbox untuk mengakses Mikrotik tersebut.

Rubah Port Winbox Mikrotik Anda

Setekah itu, silahkan ganti Port Winbox dari 8291 menjadi port custom yang Anda ingin gunakan. Dalam hal ini, kami menggantinya dengan Port 9876. Ingat jangan gunakan port 0 sd 1024 karena port tersebut sudah digunakan oleh layanan yang sudah di definisikan secara baku, pakailah port di atas 1024 misalnya menjadi 18291 jangan gunakan port diatas 65535 https://en.wikipedia.org/wiki/Port_(computer_networking)

3. Buat Firewall Rules untuk Mengamankan Router dan Jaringan Anda

Sekarang saatnya membuat beberapa Firewall Rules & RAW untuk mengamankan Router dan Jaringan Anda dari beberapa aksi yang berbahaya dari Internet seperti Port Scanning, Brute Force serta melakukan Blokir Port yang biasa digunakan sebagai Trojan atau Malware.

/ip firewall filter
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="PORT SCANNER" protocol=tcp \
    psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp \
    tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp \
    tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" \
    protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \
    tcp-flags=fin,syn,rst,psh,ack,urg
add action=accept chain=output comment="FTP BLAACKLIST" content=\
    "530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=3h chain=output content="530 Login incorrect" \
    protocol=tcp
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input comment="SSH BLACKLIST" \
    connection-state=new dst-port=22 protocol=tcp src-address-list=\
    ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp
add action=add-src-to-address-list address-list=proxy-socks-exploit \
    address-list-timeout=5m chain=forward comment="PROXY SOCKS EXPLOIT" \
    dst-port=8000,3128,1080,4145 in-interface=ether1 log-prefix=\
    "PROXY SOCKS EXPLOIT : " protocol=tcp
/ip firewall raw
add action=drop chain=prerouting comment="DROP ACTIVE DIRECTORY" dst-port=\
    445 log-prefix="drop 445 : " protocol=tcp
add action=drop chain=prerouting comment="DROP TCPMUX" dst-port=1 \
    log-prefix="drop 445 : " protocol=tcp
add action=drop chain=prerouting comment="SSH BLACKLIST" in-interface=\
    ether1 src-address-list=ssh_blacklist
add action=drop chain=prerouting comment="DROP WINBOX" dst-port=8291 \
    in-interface=ether1 log-prefix="DROP WINBOX EXPLOIT : " \
    protocol=tcp src-address-list=winbox-exploit
add action=drop chain=prerouting comment="DROP PORT SCANNER" \
    in-interface=ether1 log-prefix="DROP PORT SCANER : " \
    src-address-list="port scanners"
add action=drop chain=prerouting comment="DROP PROXY SOCKS" \
    in-interface=ether1 log-prefix="DROP PROXY SOCKS : " \
    src-address-list=proxy-socks-exploit
add action=drop chain=prerouting comment="DROP NETBIOS" dst-port=137-139 \
    log-prefix="drop 445 : " protocol=tcp
add action=drop chain=prerouting comment="DROP NETBIOS" dst-port=137-139 \
    log-prefix="drop 445 : " protocol=udp

Pada Firewall Rules dan RAW yang telah konfigurasikan diatas, perlu Anda ketahui fungsi masing masing Rules dan Raw tersebut.

  • Firewall Rules nomor 0 – 5 adalah mengcapture IP yang melakukan Port Scanning ke Mikrotik Anda kemudian dimasukkan ke dalam Address-List yang bernama Port_Scanning yang mana Filter Raw kami gunakan untuk memblokir Akses dari IP pada Address-List tersebut dilevel Pre-Routing.
  • Firewall Rules nomor 6 & 7 adalah mengcaptured IP yang mencoba melakukan brute force ke FTP Server Anda secara berulang-ulang dengan username atau password yang salah, mengirimkan IP ke Address-List bernama ftp_blacklist. Kemudian Filter Raw akan memblokir Akses dari IP yang terdaftar pada Address-List tersebut pada level Pre-Routing.
  • Sedangkan pada Firewall Rules nomor 8-11, berfungsi untuk memblokir Brute Force pada sisi Port SSH dengan tahapan-tahapan yang kita telah buat. Ketika masuk pada stage3, dan visitor tersebut tetap melakukan Brute Force, maka IP visitor tersebut akan diforward ke Address-List bernama ssh_blacklist. Dan Filter Raw akan melakukan blokir atas source IP tersebut pada Level Pre-Routing.
  • Pada Firewall Raw sendiri, ada beberapa Rules yang kita peruntukkan untuk memblokir akses ke beberapa Port yang sering digunakan para hacker untuk melakukan penetrasi ke jaringan kita. Diantara lain adalah:
    • Rules 0: Port TCP 445 untuk akses Active Directory
    • Rules 1: Port TCP 1 untuk akses TCPMux
    • Rules 6: Port TCP 137-139 untuk akses Netbios
    • Rules 7: Port UDP 137-139 untuk akses Netbios
    • Rules 8: Port TCP 27374 untuk akses Trojan Sub7
    • Rules 9: Port UDP 27374 untuk akses Trojan Sub7
    • Rules 10: Port UDP 4444 untuk akses dari beberapa Trojan berbahaya. Selengkapnya silahkan baca https://www.speedguide.net/port.php?port=4444.

Baca Artikel kami tentang Cara Penggunaan CLI Dasar pada Mikrotik RouterOS.

Penutup

Seluruh Firewall Rules dan Raw diatas adalah bukan bentuk baku yang harus Anda ikuti. Anda harus mengikuti sesuai dengan kebutuhan dan Topologi jaringan Anda. Kemungkinan ada beberapa Rules yang butuh adjustment ataupun revisi untuk disesuaikan dengan kebutuhan jaringan Anda.

Melindungi Router Mikrotik dari Ransomware

Akhir akhir ini marak kejadian Router Mikrotik di Hack oleh orang-orang yang tidak bertanggung jawab dengan mengunci Boot Loader di Mikrotik Router tersebut sehingga tidak dapat dilakukan reset ataupun netinstall dan melakukan permintaan imbalan untuk membuka kunci Boot Loader Mikrotik tersebut. Hal ini kita sebutkan sebagai Ransomware.

Apa itu Ransomware? Ransomware adalah jenis perangkat lunak berbahaya yang dirancang untuk memblokir akses ke sistem komputer, router atau perangkat dalam sebuah jaringan dan bahkan sebuah file di komputer Anda hingga sejumlah uang dibayarkan. Dalam hal Router Mikrotik, pelaku mengunci Boot Loader Router yang terpengaruh, membuatnya tidak dapat diakses, dan meminta pembayaran tebusan untuk memulihkan akses perangkat tersebut.

Apakah Anda membutuhkan IP Publik untuk Mikrotik atau Server lokal Anda? Atau mungkin Anda mencari solusi Tunneling untuk mengganti nama ISP di Speedtest Anda. VPS Mikrotik CHR Murah dari Herza.ID adalah solusinya.

Nah, maka dari itu, mari kita menyimak beberapa tahapan yang dapat membantu Anda dalam melindungi Router Mikrotik Anda dari Ransomware.

Cara Melindungi Router Mikrotik dari Ransomware

Lakukan Daily Backup

Lakukan backup secara berkala atas konfigurasi router mikrotik Anda untuk menghindari lamanya downtime ketika Router Anda bermasalah. Dengan melakukan backup secara berkala, ketika Router Anda bermasalah, Anda dengan mudah dapat mengganti Router Anda dengan Router cadangan dengan mengimport file konfigurasi yang telah terbackup sebelumnya. Hal ini dapat kita lakukan menggunakan scheduler script untuk membackup ke email.

/system script
add dont-require-permissions=yes name=EmailBackup source=":\
    log info \"Starting Backup Script...\"\r\
    \n:global backupfile ([/system identity get name] . \".backup\")\r\
    \n:if ([/file find name=\$backupfile] != \"\") do={/file rem \$backu\
    pfile}\r\
    \n:delay 2s\r\
    \n/system backup save name=\$backupfile\r\
    \n:log info \"Waiting 7s for backup to complete...\"\r\
    \n:delay 7s\r\
    \n:log info \"Backup being emailed...\"\r\
    \n/tool e-mail send to=\"[email protected]\" subject=([/system ide\
    ntity get name] . \" Backup\") [email protected] user=\"[email protected]\" password=\"passwordemailku\" file=\$backupfile server=smtp.emailku.com\r\
    \n:log info \"Finished Backup Script!\""
/system scheduler
add interval=1d name=EmailBackup on-event=ebackup start-date=\
    mar/04/2019 start-time=01:00:00

Jangan lupa untuk mengganti domain @emailku.com dengan domain ISP atau perusahaan anda, ganti passwordemailku dengan password email anda yang digunakan untuk mengirim email, ganti smtp.emailku.com dengan smtp ISP atau perusahaan anda.

Silahkan baca Panduan Dasar Mikrotik CLI (Command Line Interface), mungkin bermanfaat buat Anda.

Pengamanan Dasar Mikrotik

Selanjutnya, untuk mengamankan Router Mikrotik Anda, sangat disarankan bagi seluruh User Mikrotik untuk melakukan beberapa langkah dasar berikut untuk pengamanan di Router Anda.

Jangan Pernah Menggunakan Port Default Winbox

Selalu untuk merubah port standar winbox dari 8291 menjadi port lainnya, ingat jangan gunakan port 0 sd 1024 karena port tersebut sudah digunakan oleh layanan yang sudah di definisikan secara baku, pakailah port di atas 1024 misalnya menjadi 18291 jangan gunakan port diatas 65535 https://en.wikipedia.org/wiki/Port_(computer_networking)

Caranya, di RouterOS Anda klik IP > SERVICE kemudian akan muncul window IP SERVICE LIST seperti dibawah ini. Double Klik Winbox, kemudian ganti Port sesuai dengan yang Anda inginkan.

Kemudian, layanan-layanan yang Anda tidak butuhkan seperti API, FTP, SSH, Telnet, WWW jika tidak butuhkan sebaiknya di Non Aktifkan dengan cara memilih layanan tersebut kemudian mngklik tombok X pada window IP SERVICE LIST tersebut.

Grouping Interface ke Interface-List

Membuat grouping interface ke dalam interface-list untuk memudahkan dalam pembuatan rule firewall yang akan kita buat.

Pada script berikut saya membuat interface list dengan nama “Upstream” dengan memasukkan interface VLAN dengan nama OpenIXP, CDIX dan ether4 kedalam list Upstream tersebut. Kita bisa memasukan beberapa interface fisik ataupun VLAN ke sebuah list interface.

/interface list
add comment="Interface Upstream" name=Upstream
/interface list member
add interface=ether4 list=Upstream
add interface=OpenIXP list=Upstream
add interface=CDIX list=Upstream
Grouping IP Address sebagai ournetwork

Sekarang kita akan membuat grouping IP Address dan/atau Network Address “ournetwork” yang akan berisi seluruh prefix IP yang Anda gunakan serta IP PTP Upstream Anda.

/ip firewall address-list
add address=103.152.XXX.XXX/23 list=ournetwork
add address=192.168.XXX.XXX/24 list=ournetwork
add address=202.78.XXX.XXX/27 comment=DTP-IIX list=PTP-Upstream
add address=218.100.XXX.XXX/24 comment=OpenIXP list=PTP-Upstream
add address=103.30.XXX.XXX/23 comment=CDIX list=PTP-Upstream
add address=103.225.XXX.XXX/25 comment=CXC list=PTP-Upstream
Buat Firewall Rules & Raw untuk Mengamankan Router Anda

Setelah Interface List dan IP Address telah kita grouping, sekarang kita bisa dengan mudah menggunakan list tersebut kedalam Firewall Rules & Raw yang akan kita gunakan.

/ip firewall filter
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="PORT SCANNER" protocol=tcp \
    psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp \
    tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp \
    tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" \
    protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \
    tcp-flags=fin,syn,rst,psh,ack,urg
add action=accept chain=output comment="FTP BLAACKLIST" content=\
    "530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=3h chain=output content="530 Login incorrect" \
    protocol=tcp
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input comment="SSH BLACKLIST" \
    connection-state=new dst-port=22 protocol=tcp src-address-list=\
    ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp
add action=accept chain=input comment="ACCEPT BGP DARI Upstream" \
    in-interface-list=Upstream log-prefix="bgp  : " protocol=tcp \
    src-address-list=PTP-Upstream
add action=accept chain=input comment="ACCEPT BGP DARI Upstream" \
    dst-address-list=PTP-Upstream in-interface-list=Upstream log-prefix=\
    "bgp  : " protocol=tcp
add action=accept chain=input comment="ACCEPT ICMP" log-prefix="icmp  : " \
    protocol=icmp src-address-list=ournetwork
add action=accept chain=input comment="ACCEPT ICMP" log-prefix="icmp  : " \
    protocol=icmp src-address-list=PTP-Upstream
add action=accept chain=input comment="ACCEPT ALL DARI ROUTER DISTRIBUSI" \
    in-interface-list=!Upstream log-prefix="not Upstream : " \
    src-address-list=ournetwork
add action=accept chain=input comment="ACCEPT ALL DARI ROUTER DISTRIBUSI" \
    dst-address-list=ournetwork in-interface-list=!Upstream log-prefix=\
    "not Upstream : "
add action=add-src-to-address-list address-list=winbox-exploit \
    address-list-timeout=5m chain=forward comment="WINBOX EXPLOIT" \
    dst-port=8291 in-interface-list=Upstream log-prefix="WINBOX EXPLOIT : " \
    protocol=tcp
add action=add-src-to-address-list address-list=proxy-socks-exploit \
    address-list-timeout=5m chain=forward comment="PROXY SOCKS EXPLOIT" \
    dst-port=8000,3128,1080,4145 in-interface-list=Upstream log-prefix=\
    "PROXY SOCKS EXPLOIT : " protocol=tcp

Dari script firewall rules diatas bisa kami jelaskan adalah mengenai akss yang dibolehkan ke Mikrotik RouterOS hanya dari address-list=ournetwork dan PTP-Upstream sedangkan akses dari interface distribusi atau “!Upstream” = bukan Upstream di ALLOW. Serta koneksi BGP via TCP di ALLOW dari dan ke interface “Upstream”

Sedangkan pada IP > FIREWALL > RAW, saya manDROP seluruh aktivitas yang telah ditangkap oleh Firewall Rules yang kami buat diatas seperti SSH BLACKLIST (Percobaan bruteforce ke SSH Router Mikrotik), DROP WINBOX (Seluruh Akses ke Port Winbox Default 8291 akan ditolak demi keamanan) dan juga DROP PORT SCANNER (Seluruh aktivitas Scanning akan diblok oleh Filter Raw ini. Disamping itu, saya juga menangkap dan DROP semua traffic ke yang mengarah ke Port 8000,3128,1080,4145 yang masuk via interface Upstream menuju ke jaringan distribusi yang dikawatirkan digunakan hacker untuk menyerang Mikrotik RouterOS distribusi dan pelanggan di melalui IP->Firewall->Raw

/ip firewall raw
add action=drop chain=prerouting comment="DROP ACTIVE DIRECTORY" dst-port=\
    445 log-prefix="drop 445 : " protocol=tcp
add action=drop chain=prerouting comment="DROP TCPMUX" dst-port=1 \
    log-prefix="drop 445 : " protocol=tcp
add action=drop chain=prerouting comment="SSH BLACKLIST" in-interface-list=\
    Upstream src-address-list=ssh_blacklist
add action=drop chain=prerouting comment="DROP WINBOX" dst-port=8291 \
    in-interface-list=Upstream log-prefix="DROP WINBOX EXPLOIT : " \
    protocol=tcp src-address-list=winbox-exploit
add action=drop chain=prerouting comment="DROP PORT SCANNER" \
    in-interface-list=Upstream log-prefix="DROP PORT SCANER : " \
    src-address-list="port scanners"
add action=drop chain=prerouting comment="DROP PROXY SOCKS" \
    in-interface-list=Upstream log-prefix="DROP PROXY SOCKS : " \
    src-address-list=proxy-socks-exploit
add action=drop chain=prerouting comment="DROP NETBIOS" dst-port=137-139 \
    log-prefix="drop 445 : " protocol=tcp
add action=drop chain=prerouting comment="DROP NETBIOS" dst-port=137-139 \
    log-prefix="drop 445 : " protocol=udp

Penutup

Seluruh Firewall Rules dan Raw diatas adalah bukan bentuk baku yang harus Anda ikuti. Anda harus mengikuti sesuai dengan kebutuhan dan Topologi jaringan Anda. Kemungkinan ada beberapa Rules yang butuh adjustment ataupun revisi untuk disesuaikan dengan kebutuhan jaringan Anda.

Cara Buat VPN All Traffic Di VPS Mikrotik CHR

Dikarenakan banyaknya permintaan Tutorial untuk pembuatan VPN All Traffic pada VPS Mikrotik CHR, maka pada artikel kali ini, kami akan membahas hal tersebut secara tahap demi tahap. Silahkan diperhatikan tahapannya berikut ini.

Mikrotik Cloud Hosted Router atau lebih dikenal dengan nama Mikrotik CHR adalah sebuah router Mikrotik yang dapat di install pada Virtualisasi seperti KVM, VirtualBox, VMware dan lainnya. Fungsinya kurang lebih sama dengan RouterOS pada umumnya. Tetapi lisensi Mikrotik CHR bisa dipindahkan, dan tidak permanen pada suatu storage seperti pada lisensi RouterOS yang biasa. Untuk informasi lengkap mengenai Mikrotik CHR, silahkan membaca Artikel kami tentang Apa itu Mikrotik CHR.

Jika Anda membutuhkan panduan mengenai Mikrotik Command Line Interface, maka silahkan membaca Artikel kami mengenai Panduan Dasar Mikrotik CLI (Command Line Interface).

Konfigurasi Server VPN pada VPS Mikrotik CHR

Pertama-tama, login pada Winbox menggunakan IP / MAC Address Mikrotik CHR Anda dengan username dan password Anda, kemudian pada menu Winbox sebelah kiri, klik INTERFACE.

Pada menu INTERFACE, klik PPTP / L2TP Server (Disesuaikan dengan kebutuhan) untuk Enable service vpn nya di Mikrotik CHR Anda.

Kemudian dilanjutkan dengan membuat IP Pool. Pada menu Winbox pilih IP > POOL

Sekarang kita akan mengkonfigurasi profil VPN. Pada menu utama Winbox Anda, klik PPP > PROFILES > + (Icon Plus untuk menambahkan Profile Baru). Kemudian pilih Local Address sebagai main IP Anda dan Remote Address dari IP Pool yang anda buat sebelumnya.

Sekarang dilanjutkan dengan membuat User dan Password untuk Koneksi VPN Tersebut. Pada menu PPP, pilih tab SECRETS, kemudian masukkan Name dan Password sesuai dengan yang Anda inginkan seperti pada contoh dibawah ini.

Sekarang kita sudah selesai mengkonfigurasi VPN Server pada VPS Mikrotik CHR dan kita akan melanjutkan konfigurasi untuk Client VPS nya.

Konfigurasi Client VPN

Client VPN ini akan dikonfigurasikan pada Router Mikrotik di Rumah atau Kantor Anda yang ingin di koneksikan melalui VPS Mikrotik CHR di Herza.ID.

Pada Winbox Anda, klik INTERFACES pada menu utama. Kemudian buat new interface dengan mengklik Icon Plus (+), lalu pilih vpn client. Pada percobaan kali ini saya memilih L2TP Client.

Pada tab DIAL-OUT, connect to di isi menggunakan IP VPS Mikrotik Anda, user dan password di isi sesuai dengan konfigurasi yang Anda lakukan pada VPN Server sebelumnya, Kemudian klik OK.

Kembali ke Menu Utama Winbox, klik IP > ROUTE dan buat 1 route dengan gateway vpn, dan gunakan VPN pada Routing Mark nya sesuai dengan contoh dibawah.

Lalu kita akan melanjutkan dengan membuat 1 NAT dengan out interface VPN yang sudah kita buat sebelumnya. Pada menu Utama Winbox, klik IP > FIREWALL > NAT kemudian klik Icon Plus (+).

Pada tab ACTION di NAT pilih masquerade. Lalu klik OK.

Konfigurasi Mangle

Setelah mengkonfigurasi VPN Client, kita membutuhkan sebuah rules MANGLE yang akan digunakan untuk menangkap traffic yang ada kemudian dikirimkan ke VPS Mikrotik Anda. Sebelum membuat Rules Mangle, terlebih dahulu kita buat address listnya. Silahkan copy paste perintah berikut pada NEW TERMINAL di Winbox Anda.

/ ip fi ad
add address=10.0.0.0/8 disabled=no list=support
add address=172.16.0.0/12 disabled=no list=support\
add address=192.168.0.0/16 disabled=no list=support

Setelah itu, kemudian buat mangel baru di IP > FIREWALL > MANGLE

Pada Tab ADVANCE

Pada tab ACTION

Sekarang, kita telah selesai membuat VPN All Traffic yang dapat digunakan untuk memforward All Traffic Router Mikrotik Anda ke VPS Mikrotik yang Anda sewa di Herza.ID. Selamat mencoba!

10 Perintah Linux Untuk Memeriksa Jaringan

Sulit untuk menemukan komputer Linux yang tidak terhubung ke jaringan Internet di jaman ini, baik itu server atau workstation. Dari waktu ke waktu menjadi perlu untuk mendiagnosa kesalahan, latency tinggi atau kelambatan dalam jaringan. Pada artikel ini, kami akan membahas 10 perintah Linux yang paling banyak digunakan untuk memeriksa jaringan pada Server Linux Anda. Artikel ini akan sangat berguna bagi Anda para pengguna VPS Murah dan Dedicated Server dari Herza.ID.

Jika Anda masih bingung dalam memilih antara Apa itu VPS Hosting dan Kenapa Memilih Dedicated Server, mungkin Anda dapat membaca Artikel kami tentang Pengertian, Fungsi dan Bahan Pertimbangan Dalam Memilih VPS Murah.

Memeriksa Jaringan Di Linux Dengan Perintah-Perintah Ini

1. ping

Salah satu perintah pertama, yang paling dikenal banyak orang, ketika memeriksa kegagalan jaringan atau terputus-putus. Alat ping akan membantu kami menentukan apakah ada koneksi di jaringan, apakah itu lokal atau Internet.

[[email protected] ~]# ping www.herza.id
PING herza.id (149.129.225.111) 56(84) bytes of data.
64 bytes from 111.225.129.149.herza.id (149.129.225.111): icmp_seq=1 ttl=57 time=2.00 ms
64 bytes from 111.225.129.149.herza.id (149.129.225.111): icmp_seq=2 ttl=57 time=1.74 ms
64 bytes from 111.225.129.149.herza.id (149.129.225.111): icmp_seq=3 ttl=57 time=1.78 ms
64 bytes from 111.225.129.149.herza.id (149.129.225.111): icmp_seq=4 ttl=57 time=1.93 ms
64 bytes from 111.225.129.149.herza.id (149.129.225.111): icmp_seq=5 ttl=57 time=1.80 ms
64 bytes from 111.225.129.149.herza.id (149.129.225.111): icmp_seq=6 ttl=57 time=2.05 ms

2. traceroute

Perintah ini memungkinkan kita untuk melihat lompatan atao hoop yang diperlukan untuk mencapai jaringan tujuan. Dalam hal ini, kita akan melakukan pengecekan traceroute untuk melihat lompatan yang diperlukan untuk mencapai situs web kami. Tes ini dilakukan dari Server intranet kami dengan Linux. Dalam contoh ini, kami membuat traceroute ke situs web kami, www.herza.id.

[[email protected] ~]# traceroute www.herza.id

Tracing route to herza.id [149.129.225.111]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  router.lan [192.168.111.1]
  2     2 ms     2 ms     2 ms  148.subnet125-160-9.speedy.telkom.net.id [125.160.9.148]
  3     1 ms     1 ms     2 ms  157.0.252.180.in-addr.arpa [180.252.0.157]
  4     2 ms     5 ms     2 ms  36.91.230.183
  5     3 ms     2 ms     3 ms  36.67.254.70
  6     3 ms     3 ms     2 ms  189.80.251.116.in-addr.arpa [116.251.80.189]
  7    23 ms    46 ms    54 ms  113.250.16.11.in-addr.arpa [11.16.250.113]
  8     6 ms     3 ms     3 ms  166.202.60.11.in-addr.arpa [11.60.202.166]
  9     2 ms     2 ms     2 ms  111.225.129.149.herza.id [149.129.225.111]

Trace complete.

3. route

Perintah ini memungkinkan kita untuk melihat rute yang digunakan Server Linux kita untuk terhubung ke jaringan, dalam hal ini. Peralatan kami berangkat melalui router 192.168.1.1.

[[email protected] ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.111.1   0.0.0.0         UG    425    0        0 viifbr0
192.168.111.0   0.0.0.0         255.255.255.0   U     425    0        0 viifbr0

4. dig

Perintah ini memungkinkan kita untuk memverifikasi apakah DNS berfungsi dengan benar, sebelum itu, kita harus memverifikasi DNS yang kita miliki dalam konfigurasi jaringan. Dalam contoh ini, kami ingin melihat alamat IP situs web kami, www.herza.id yang mengembalikan kami ke 149.129.225.111.

[[email protected] ~]# dig www.herza.id

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.6 <<>> www.herza.id
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40374
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.herza.id.                  IN      A

;; ANSWER SECTION:
www.herza.id.           300     IN      CNAME   herza.id.
herza.id.               300     IN      A       149.129.225.111

;; Query time: 19 msec
;; SERVER: 100.100.2.136#53(100.100.2.136)
;; WHEN: Sun Jun 21 15:41:13 WIB 2020
;; MSG SIZE  rcvd: 71

5. ethtool

Alat ini adalah pengganti mii-tools. Itu berasal dari CentOS6 dan seterusnya dan memungkinkan untuk melihat apakah kartu jaringan secara fisik terhubung ke jaringan, yaitu. Kita dapat mendiagnosis jika kabel jaringan benar-benar terhubung ke switch.

[[email protected] ~]# ethtool em1
Settings for em1:
        Supported ports: [ TP ]
        Supported link modes:   10baseT/Half 10baseT/Full
                                100baseT/Half 100baseT/Full
                                1000baseT/Full
        Supported pause frame use: Symmetric
        Supports auto-negotiation: Yes
        Supported FEC modes: Not reported
        Advertised link modes:  10baseT/Half 10baseT/Full
                                100baseT/Half 100baseT/Full
                                1000baseT/Full
        Advertised pause frame use: Symmetric
        Advertised auto-negotiation: Yes
        Advertised FEC modes: Not reported
        Speed: 1000Mb/s
        Duplex: Full
        Port: Twisted Pair
        PHYAD: 1
        Transceiver: internal
        Auto-negotiation: on
        MDI-X: on (auto)
        Supports Wake-on: pumbg
        Wake-on: d
        Current message level: 0x00000007 (7)
                               drv probe link
        Link detected: yes

6. IP ADDR LS

Perintah khusus Linux lainnya yang memungkinkan kami untuk membuat daftar kartu jaringan dan alamat IP masing-masing. Alat ini sangat berguna ketika Anda memiliki beberapa alamat IP yang dikonfigurasi.

[[email protected] ~]# ip addr ls
1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eno1: mtu 1500 qdisc mq master bond0 state UP group default qlen 1000
link/ether 2c:44:fd:7a:14:90 brd ff:ff:ff:ff:ff:ff
3: eno2: mtu 1500 qdisc mq master bond0 state UP group default qlen 1000
link/ether 2c:44:fd:7a:14:90 brd ff:ff:ff:ff:ff:ff
4: eno3: mtu 1500 qdisc mq state DOWN group default qlen 1000
link/ether 2c:44:fd:7a:14:92 brd ff:ff:ff:ff:ff:ff
5: eno4: mtu 1500 qdisc mq state DOWN group default qlen 1000
link/ether 2c:44:fd:7a:14:93 brd ff:ff:ff:ff:ff:ff
6: bond0: mtu 1500 qdisc noqueue master viifbr0 state UP group default qlen 1000
link/ether 2c:44:fd:7a:14:90 brd ff:ff:ff:ff:ff:ff

7. ifconfig

Sama pentingnya dengan yang sebelumnya, ifconfig memungkinkan kita untuk melihat konfigurasi jaringan kartu yang dipasang di server kami. Dalam kasus ini, kami menggunakan Network Bonding untuk menyatukan 2 NIC (eno1 dan eno2) untuk berfungsi sebagai round-robin atau load balancing. Jadi ketika salah satu network tidak berfungsi, jaringan masih tetap terhubung ke switch kami.kartu jaringan lokal atau localhost lo dan kartu jaringan nirkabel yang akan terhubung ke jaringan ditampilkan. Kami sengaja menyoroti kartu yang dipasang dan alamat IP yang ditetapkan.

[[email protected] ~]# ifconfig
bond0: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST>  mtu 1500
        ether 2c:44:fd:7a:14:90  txqueuelen 1000  (Ethernet)
        RX packets 14951  bytes 11554342 (11.0 MiB)
        RX errors 0  dropped 200  overruns 0  frame 0
        TX packets 8254  bytes 631723 (616.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eno1: flags=6211<UP,BROADCAST,RUNNING,SLAVE,MULTICAST>  mtu 1500
        ether 2c:44:fd:7a:14:90  txqueuelen 1000  (Ethernet)
        RX packets 7488  bytes 5785199 (5.5 MiB)
        RX errors 0  dropped 50  overruns 0  frame 0
        TX packets 4127  bytes 314948 (307.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 61

eno2: flags=6211<UP,BROADCAST,RUNNING,SLAVE,MULTICAST>  mtu 1500
        ether 2c:44:fd:7a:14:90  txqueuelen 1000  (Ethernet)
        RX packets 7463  bytes 5769143 (5.5 MiB)
        RX errors 0  dropped 50  overruns 0  frame 0
        TX packets 4127  bytes 316775 (309.3 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 62

eno3: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ether 2c:44:fd:7a:14:92  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 61

eno4: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ether 2c:44:fd:7a:14:93  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 62

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 13  bytes 1489 (1.4 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 13  bytes 1489 (1.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

8. mtr

Salah satu alat favorit kami adalah MTR atau My Traceroute memungkinkan kami melihat lompatan / hoop seperti pada traceroute dan melakukan ping pada masing-masing hoop tersebut. Ini sangat berguna untuk menentukan hoop mana yang memiliki keterlambatan dalam lalu lintas jaringan. Dalam contoh kali ini, kita akan menggunakan opsi “mtr -n -r -c 100” yang berarti sebagai berikut:

  • -n atau –no-dns
    Gunakan opsi ini untuk memaksa mtr untuk menampilkan nomor IP saja dan tidak mencoba untuk menampilkan hostname.
  • -r atau –report
    Opsi ini menempatkan mtr ke mode laporan. Ketika dalam mode ini, mtr akan berjalan untuk jumlah siklus yang ditentukan oleh opsi -c, dan kemudian mencetak statistik dan keluar. Mode ini berguna untuk menghasilkan statistik tentang kualitas jaringan.
  • -c COUNT
    Gunakan opsi ini untuk mengatur jumlah ping yang dikirim untuk menentukan mesin pada jaringan dan keandalan mesin tersebut. Setiap siklus berlangsung satu detik.
[[email protected] ~]# mtr -n -r -c 100 www.herza.id
Start: Sun Jun 21 15:54:39 2020
HOST: faeyza.herza.id             Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 192.168.111.1              0.0%   100    0.2   0.2   0.2   0.2   0.0
  2.|-- 125.160.9.148              0.0%   100    2.0   3.0   1.2  14.9   2.3
  3.|-- 180.252.0.157              0.0%   100    1.8   3.2   1.4  37.6   5.3
  4.|-- 36.91.230.183              0.0%   100    2.0   2.4   1.5  18.8   1.8
  5.|-- 36.67.254.70               0.0%   100    3.0   3.2   2.2   9.8   1.0
  6.|-- 116.251.80.189             0.0%   100    2.8   2.8   2.0   8.0   0.6
  7.|-- 11.16.250.113              0.0%   100   53.9  34.9   4.4  57.5  18.2
  8.|-- 11.60.202.166              0.0%   100    5.6   4.2   3.2   7.6   0.5
  9.|-- 149.129.225.111            0.0%   100    2.6   2.8   2.3   9.3   0.9

9. nslookup

Alat lain untuk mengetahui alamat IP dari host yang ingin kita jangkau. Dalam hal ini, kami ingin mengetahui IP situs web kami, www.herza.id.

[[email protected] ~]# nslookup herza.id
Server:         1.1.1.1
Address:        1.1.1.1#53

Non-authoritative answer:
Name:   herza.id
Address: 149.129.225.111

10. nmtui

Network Manager Text User Interface (nmtui atau Network Manager berdasarkan pada command line). Ia menggunakan ncurses dan memungkinkan kami untuk dengan mudah mengkonfigurasi dari terminal dan tanpa ketergantungan tambahan. Ini menawarkan User Interface, berdasarkan teks, sehingga pengguna membuat modifikasi tersebut dengan mudah.

Dengan seluruh perintah jaringan yang telah kami bahas diatas, kita akan memiliki kesempatan untuk melakukan manajemen yang jauh lebih mudah dan tepat pada berbagai parameter jaringan di lingkungan Linux. Juga Dengan perintah mtr seperti yang kami sebutkan di atas, kami dapat memiliki kontrol yang lebih sederhana atas keadaan jaringan kami dan memeriksa dengan cara yang jauh lebih sentral dengan aspek-aspek berbeda yang berfokus pada pengoptimalannya.