Cara Mengamankan Jaringan Wireless Dengan Access List Pada Mikrotik - Access List merupakan salah satu wireless management tool pada perangkat mikrotik yang berfungsi sebagai filter autentikasi sebuah AP (mode Access Point) terhadap client yang terkoneksi, dengan adanya fitur access list ini, memungkinkan kita untuk melakukan pembatasan (filtering) terhadap koneksi dari perangkat client.
Dengan access list, kita juga bisa menerapkan kebijakan (policy) terhadap koneksi dari perangkat client baik berdasarkan MAC Address, Signal Strength Range bahkan mengimplementasikan fitur Private Pre-Shared Key seperti yang sudah saya bahas di artikel sebelumnya, kamu bisa membacanya dengan mengklik tautan berikut.
Pada artikel kali ini, kita akan belajar bagaimana cara mengamankan jaringan wireless menggunakan access list pada perangkat mikrotik, fitur access list ini bisa kita gunakan baik pada perangkat radio seperti mikrotik Metal, SXT ataupun pada perangkat routerboard biasa yang sudah dilengkapi dengan interface wireless, seperti mikrotik RB951ui-2HnD misalnya.
Meskipun sama-sama memanfaatkan fitur access list. Namun, tujuan dari artikel ini berbeda dengan artikel sebelumnya yang membahas implementasi Private Pre-Shared Key, fitur Private Pre-Shared Key sendiri digunakan untuk menentukan sebuah device yang memiliki MAC Address tertentu agar hanya bisa terkoneksi ke wifi dengan cara menginput password tertentu saja.
Jadi sederhananya, Private Pre-Shared Key digunakan untuk membuat password yang berbeda dalam satu SSID untuk masing-masing perangkat client / user. Sedangkan, apa yang akan kita bahas pada artikel kali ini tujuannya yaitu untuk menerapkan filtering terhadap koneksi dari perangkat client berdasarkan MAC Address.
Atau istilah sederhananya bisa disebut dengan teknik MAC Address filtering, sebelum menerapkan fitur ini, tentunya kamu harus men-setup interface wireless pada perangkat mikrotik dengan mode access point terlebih dahulu.
Kalau belum disetup, silahkan ikuti langkah-langkah berikut, atau untuk lebih jelasnya kamu bisa membacanya di artikel yang sudah saya sertakan link-nya di atas.
Langkah pertama, yaitu menentukan password yang akan digunakan oleh SSID wifi nya, pengaturan ini bisa kita temukan dengan cara klik menu Wireless ~> Security Profiles kemudian klik tanda (+) untuk membuat profile baru yang akan kita beri nama password.
- Name : password (optional)
- Mode : dynamic keys
- Authentication Types : WPA PSK / WPA2 PSK
- Unicast Ciphers : aes ccm
- Group Ciphers : aes ccm
- WPA Pre-Shared Key : dodiventuraz.net
- WPA2 Pre-Shared Key : dodiventuraz.net
Kemudian jika sudah silahkan klik tombol Apply dan OK untuk menyimpan konfigurasi.
Kalau sudah selesai mengkonfigurasi password pada menu Security Profiles, sekarang saatnya mengkonfigurasi interface wirelessnya menjadi mode access point, klik menu Wireless ~> Interfaces lalu double klik interface wlan1, ubah paramter-paremeter berikut.
- Mode : ap bridge (point to multi point)
- Band : 2GHz-B/G/N
- Channel Width : 20MHz
- Frequency : 2412
- SSID : DODIVENTURAZ.NET
- Security Profile : password (sesuai dengan profile yang sudah dibuat)
- Default Authenticate : hilangkan centang
Klik tombol Apply dan OK kalau sudah selesai, untuk lebih jelasnya silahkan lihat gambar dibawah.
Gambar 1.1 : Setup interface wlan1 sebagai access point |
Tujuan dari teknik ini adalah, kita hanya akan mengijinkan perangkat client yang MAC Addressnya sudah terdaftar saja di menu access list yang bisa terkoneksi, sehingga apabila ada user yang MAC Address perangkatnya belum terdaftar maka akan ditolak (reject).
Dari Gambar 1.1 diatas bisa dilihat bahwa centang pada opsi Default Authenticate dihilangkan, ini bertujuan agar ketika ada perangkat client / user yang hendak terkoneksi ke SSID wifi tersebut, maka router atau access point (mikrotik) tidak akan langsung mengijinkan perangkat tersebut interkoneksi, melainkan router atau access point akan melihat table access list terlebih dahulu untuk mengecek apakah perangkat dengan MAC Address tersebut sudah terdaftar atau belum di access list.
Apabila MAC Addressnya sudah terdaftar maka router atau access point akan mengijinkan client tersebut untuk terkoneksi, sedangkan apabila MAC Addressnya tidak terdaftar maka akan direject oleh router / access point mikrotik.
Sedangkan fungsi dari Default Forward adalah untuk menentukan apakah client wireless yang terkoneksi ke SSID yang sama bisa saling interkoneksi atau tidak. Apabila dicentang, maka semua client yang terkoneksi ke SSID yang sama akan dapat saling terkoneksi, namun kalau tidak dicentang maka tidak akan bisa saling terkoneksi sesama client, ini cukup membantu untuk menangkal netcut.
Selanjutnya kita harus menambahkan MAC Address yang akan kita ijinkan untuk terkoneksi ke wifi pada menu access list, caranya klik menu Wireless ~> Access List kemudian klik tanda (+) untuk menambahkan rule baru.
Kemudian klik Apply dan OK untuk menyimpan.
Dari Gambar 1.1 diatas bisa dilihat bahwa centang pada opsi Default Authenticate dihilangkan, ini bertujuan agar ketika ada perangkat client / user yang hendak terkoneksi ke SSID wifi tersebut, maka router atau access point (mikrotik) tidak akan langsung mengijinkan perangkat tersebut interkoneksi, melainkan router atau access point akan melihat table access list terlebih dahulu untuk mengecek apakah perangkat dengan MAC Address tersebut sudah terdaftar atau belum di access list.
Apabila MAC Addressnya sudah terdaftar maka router atau access point akan mengijinkan client tersebut untuk terkoneksi, sedangkan apabila MAC Addressnya tidak terdaftar maka akan direject oleh router / access point mikrotik.
Sedangkan fungsi dari Default Forward adalah untuk menentukan apakah client wireless yang terkoneksi ke SSID yang sama bisa saling interkoneksi atau tidak. Apabila dicentang, maka semua client yang terkoneksi ke SSID yang sama akan dapat saling terkoneksi, namun kalau tidak dicentang maka tidak akan bisa saling terkoneksi sesama client, ini cukup membantu untuk menangkal netcut.
Selanjutnya kita harus menambahkan MAC Address yang akan kita ijinkan untuk terkoneksi ke wifi pada menu access list, caranya klik menu Wireless ~> Access List kemudian klik tanda (+) untuk menambahkan rule baru.
- MAC Address : isi dengan MAC Address perangkat client
- Interface : wlan1
Kemudian klik Apply dan OK untuk menyimpan.
Gambar 1.2 : Menambahkan MAC Address perangkat client yang diijinkan |
Dari Gambar 1.2 di atas bisa dilihat bahwa opsi Authentication nya dicentang, opsi ini merupakan kebijakan untuk menentukan apakah client diperbolehkan untuk terkoneksi ke wifi atau tidak, dikarenakan setiap perangkat client yang ditambahkan di access list ini akan kita ijinkan, maka opsi Authentication tersebut harus dicentang.
Setiap ada perangkat client baru yang akan kita ijinkan untuk terkoneksi, kita harus menambahkannya di access list dengan mengubah parameter-parameter seperti pada Gambar 1.2 di atas. Selain itu, ada beberapa parameter lain yang bisa kita tentukan.
Setiap ada perangkat client baru yang akan kita ijinkan untuk terkoneksi, kita harus menambahkannya di access list dengan mengubah parameter-parameter seperti pada Gambar 1.2 di atas. Selain itu, ada beberapa parameter lain yang bisa kita tentukan.
- MAC Address : Menentukan MAC Address perangkat client yang akan diterapkan kebijakan pada access list.
- Interface : Menentukan di interface mana rule access list ini berlaku, opsi ini berguna apabila terdapat lebih dari 1 interface wireless yang berfungsi sebagai access point dalam satu router mikrotik, apabila kita memilih all maka rule ini akan berlaku pada semua interface wireless.
- Signal Strength Range : Range signal client yang diperbolehkan untuk terkoneksi ke access point, ini berguna untuk mengantisipasi client yang mendapatkan signal buruk namun tetap bisa terkoneksi, dimana ketika ada client yg terkoneksi namun dengan signal yang buruk tentu saja akan menggangu stabilitas jaringan wifi, pada opsi ini kita bisa menentukan agar hanya client yang mendapatkan signal yang bagus saja yang dapat terkoneksi.
- AP Tx Limit : Berguna untuk membatasi throughput wireless dari access point ke perangkat client, ini bisa berfungsi juga untuk membatasi besaran bandwidth download yang didapat oleh client.
- Client Tx Limit : Berguna untuk membatas throughput dari client ke access point.
- Authentication : Untuk menentukan kebijakan (policy) apakah perangkat client boleh terkoneksi ke access point atau tidak.
- Forwarding : Seperti yang sudah saya jelaskan di atas, fungsi dari Forwarding ini berguna untuk menetukan apakah sesama client yang terkoneksi ke SSID yang sama dapat saling interkoneksi atau tidak.
- Private key, Pre-Shared Key, dan Management Protection Key : Fitur ini berguna untuk menentukan security key atau password yang hanya akan berguna untuk client tersebut, lebih detailnya sudah saya bahas pada artikel implementasi Private Pre-Shared Key yang sudah saya posting.
- Time : Ini digunakan untuk menentukan kapan rule access list ini dapat dijalankan, dengan fitur time ini juga kita bisa menentukan kapan client / user dapat terkoneksi ke access point dan kapan akan diputus dari access point, dengan adanya fitur time kita tidak perlu membuat schedular.
Selesai, untuk pengujian silahkan koneksikan perangkat yang MAC Addressnya belum dimasukkan di access list ke jaringan wifi, pasti tidak akan berhasil terkoneksi, sedangkan perangkat yang MAC Addressnya sudah dimasukkan ke access list pasti berhasil terkoneksi.
Untuk melihat client yang terkoneksi, kamu bisa melihatnya di menu Wireless ~> Registration.
Demikian tutorial cara mengamankan jaringan wireless pada mikrotik. Semoga bermanfaat dan terimakasih.