Pembahasan Soal UKK TKJ 2026
Keamanan Jaringan - Lab Jaringan Aman & Tersegmentasi
3
VLAN Segments
5
Network Services
10+
Security Rules
⚠️
Permasalahan Awal
Jaringan sekolah mengalami berbagai masalah keamanan:
- ✗ Belum ada segmentasi VLAN
- ✗ Tidak ada pengamanan antar segmen jaringan
- ✗ Sistem monitoring tidak tersedia
- ✗ Kebijakan keamanan informasi belum tertulis
- ✗ Pencatatan aset TI tidak ada
🔥
Insiden yang Terjadi
🔓
Brute Force Attack
Upaya brute force login pada router MikroTik terdeteksi dari jaringan internal
🐌
Akses Lambat
Website sekolah mengalami akses lambat karena traffic tidak terfilter
📉
Tidak Ada Monitoring
Gangguan server tidak terdeteksi dini, menyebabkan downtime lama
🎯
Tujuan Proyek
⚙️
Konfigurasi
Router, Switch, Server
🔒
Pengamanan
Perangkat & Layanan
📄
Dokumentasi
Kebijakan Keamanan
📊
Monitoring
Real-time System
📌
Informasi Proyek
IP Server
192.168.200.201
Domain DNS
ujang-ciksel.sch
Monitoring
monitor.ujang-ciksel.sch
🌐
Topologi Jaringan
📋 Tabel Alokasi VLAN & IP
| VLAN ID | Nama | Network | Gateway | DHCP Range | Port Switch |
|---|---|---|---|---|---|
| 10 | Guru | 192.168.10.0/24 | 192.168.10.1 | 192.168.10.2-254 | Port 2 |
| 20 | Siswa | 192.168.20.0/24 | 192.168.20.1 | 192.168.20.2-254 | Port 3, 4 |
| 30 | Server | 192.168.200.0/24 | 192.168.200.1 | Static: .201 | Port 5 |
🔀
Konsep VLAN (Virtual LAN)
Apa itu VLAN?
VLAN adalah metode untuk membagi satu jaringan fisik menjadi beberapa jaringan logis yang terpisah. Setiap VLAN berfungsi sebagai jaringan independen.
Keuntungan VLAN:
- ✓ Meningkatkan keamanan jaringan
- ✓ Mengurangi broadcast domain
- ✓ Memudahkan manajemen jaringan
- ✓ Mengoptimalkan performa jaringan
- ✓ Fleksibilitas penempatan perangkat
Jenis Port VLAN:
Access Port
Port yang hanya membawa satu VLAN. Digunakan untuk menghubungkan end device (PC, printer).
Trunk Port
Port yang membawa multiple VLAN. Digunakan untuk menghubungkan switch ke switch atau switch ke router.
🔐 Segmentasi Keamanan VLAN
👨🏫
VLAN 10 - Guru
- • Akses internet penuh
- • DIBLOKIR ke VLAN Server
- • DNS recursion disabled
💻
VLAN 20 - Siswa
- • Akses internet terbatas
- • Tidak bisa akses VLAN Server
- • Isolasi dari jaringan guru
🖥️
VLAN 30 - Server
- • Akses ke semua VLAN
- • Hosting DNS, Web, Cacti
- • Manajemen SSH/Winbox
📡
Konfigurasi Router MikroTik RB951
1. Membuat Interface VLAN
Buat VLAN interface pada ether2 untuk setiap segmen jaringan:
MikroTik RouterOS CLI
# Membuat VLAN 10 untuk Guru /interface vlan add name=vlan10-guru vlan-id=10 interface=ether2 # Membuat VLAN 20 untuk Siswa /interface vlan add name=vlan20-siswa vlan-id=20 interface=ether2 # Membuat VLAN 30 untuk Server /interface vlan add name=vlan30-server vlan-id=30 interface=ether2 # Verifikasi VLAN yang dibuat /interface vlan print
🔌
Konfigurasi Switch Manageable Ruijie
💡
Catatan Penting
Konfigurasi ini dilakukan melalui Web GUI atau CLI switch Ruijie. Pastikan sudah login ke switch sebelum melakukan konfigurasi.
1. Membuat VLAN pada Switch
Ruijie Switch CLI
enable configure terminal # Membuat VLAN untuk Guru (192.168.10.0/24) vlan 10 name Guru exit # Membuat VLAN untuk Siswa (192.168.20.0/24) vlan 20 name Siswa exit # Membuat VLAN untuk Server (192.168.200.0/24) vlan 30 name Server exit # Verifikasi VLAN yang dibuat show vlan
2. Konfigurasi Trunk Port (ke Router)
Ruijie Switch CLI - Port 1 (Trunk)
interface GigabitEthernet 0/1 switchport mode trunk switchport trunk allowed vlan 10,20,30 exit
3. Konfigurasi Access Port
Port 2 → VLAN 10 (Guru)
interface GigabitEthernet 0/2 switchport mode access switchport access vlan 10 description Guru-Access exit
Port 3-4 → VLAN 20 (Siswa)
interface range GigabitEthernet 0/3-4 switchport mode access switchport access vlan 20 description Siswa-Access exit
Port 5 → VLAN 30 (Server)
interface GigabitEthernet 0/5 switchport mode access switchport access vlan 30 description Server-Access exit
4. Simpan Konfigurasi
Simpan ke NVRAM
end write memory # atau copy running-config startup-config
🌍
Konfigurasi DNS Server - Debian 12
📌
Informasi DNS
Domain: ujang-ciksel.sch | IP Server: 192.168.200.201
1. Install BIND9 DNS Server
Terminal Debian 12 (root)
# Update repository apt update # Install BIND9 apt install bind9 bind9utils bind9-doc -y # Cek status BIND9 systemctl status named
2. Konfigurasi named.conf.local
/etc/bind/named.conf.local
// File: /etc/bind/named.conf.local
// Edit dengan: nano /etc/bind/named.conf.local
// Zone Forward untuk ujang-ciksel.sch
zone "ujang-ciksel.sch" {
type master;
file "/etc/bind/db.ujang-ciksel";
};
// Zone Reverse untuk 192.168.200.x
zone "200.168.192.in-addr.arpa" {
type master;
file "/etc/bind/db.192";
};
3. File Zone Forward (db.ujang-ciksel)
/etc/bind/db.ujang-ciksel
; File: /etc/bind/db.ujang-ciksel
; Buat dengan: nano /etc/bind/db.ujang-ciksel
$TTL 604800
@ IN SOA ujang-ciksel.sch. root.ujang-ciksel.sch. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
; Name Server
@ IN NS ns.ujang-ciksel.sch.
; A Records
@ IN A 192.168.200.201
ns IN A 192.168.200.201
www IN A 192.168.200.201
monitor IN A 192.168.200.201
4. File Zone Reverse (db.192)
/etc/bind/db.192
; File: /etc/bind/db.192
; Buat dengan: nano /etc/bind/db.192
$TTL 604800
@ IN SOA ujang-ciksel.sch. root.ujang-ciksel.sch. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
; Name Server
@ IN NS ns.ujang-ciksel.sch.
; PTR Records
201 IN PTR ujang-ciksel.sch.
201 IN PTR www.ujang-ciksel.sch.
201 IN PTR monitor.ujang-ciksel.sch.
5. Restart & Verifikasi DNS
Terminal Debian 12 (root)
# Cek konfigurasi named-checkconf named-checkzone ujang-ciksel.sch /etc/bind/db.ujang-ciksel named-checkzone 200.168.192.in-addr.arpa /etc/bind/db.192 # Restart BIND9 systemctl restart named systemctl enable named # Test DNS nslookup ujang-ciksel.sch 127.0.0.1 nslookup www.ujang-ciksel.sch 127.0.0.1 nslookup monitor.ujang-ciksel.sch 127.0.0.1
️
Konfigurasi Web Server Apache2 - Debian 12
1. Install Apache2
Terminal Debian 12 (root)
# Install Apache2 apt install apache2 -y # Cek status Apache2 systemctl status apache2 # Enable Apache2 saat boot systemctl enable apache2
2. Konfigurasi Virtual Host
Edit file konfigurasi default Apache2:
/etc/apache2/sites-available/000-default.conf
# Edit dengan: nano /etc/apache2/sites-available/000-default.conf
<VirtualHost *:80>
ServerAdmin webmaster@ujang-ciksel.sch
ServerName ujang-ciksel.sch
ServerAlias www.ujang-ciksel.sch
DocumentRoot /var/www/html
<Directory /var/www/html>
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
3. Buat Halaman Web
/var/www/html/index.html
<!-- Edit dengan: nano /var/www/html/index.html -->
<!DOCTYPE html>
<html lang="id">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Web Server Debian 12 - SMK XYZ</title>
<style>
body {
font-family: Arial, sans-serif;
background: linear-gradient(135deg, #667eea 0%, #764ba2 100%);
min-height: 100vh;
display: flex;
align-items: center;
justify-content: center;
margin: 0;
}
.container {
background: white;
padding: 40px;
border-radius: 15px;
box-shadow: 0 10px 40px rgba(0,0,0,0.2);
text-align: center;
}
h1 { color: #333; }
p { color: #666; }
.server-info {
background: #f5f5f5;
padding: 15px;
border-radius: 8px;
margin-top: 20px;
}
</style>
</head>
<body>
<div class="container">
<h1>🖥️ Web Server Debian 12</h1>
<p>Selamat datang di ujang-ciksel.sch</p>
<div class="server-info">
<p><strong>Server:</strong> Apache2 on Debian 12</p>
<p><strong>IP:</strong> 192.168.200.201</p>
</div>
</div>
</body>
</html>
4. Restart Apache2
Terminal Debian 12 (root)
# Aktifkan site a2ensite 000-default.conf # Restart Apache2 systemctl restart apache2 # Test akses web curl http://ujang-ciksel.sch
📊
SNMP & Cacti Monitoring - Debian 12
1. Install SNMPD (Simple Network Management Protocol Daemon)
⚠️ Penting: SNMPD harus diinstall dan dikonfigurasi SEBELUM menginstall Cacti!
Terminal Debian 12 (root)
# Update repository apt update # Install SNMP dan SNMPD apt install snmp snmpd -y # Cek status SNMPD systemctl status snmpd
🛡️
Hardening Sistem
1. Firewall Router MikroTik
MikroTik Firewall Rules
# Blokir VLAN 10 (Guru) ke VLAN 30 (Server) /ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.200.0/24 action=drop comment="Block Guru to Server" # Izinkan VLAN 30 (Server) ke VLAN 20 (Siswa) /ip firewall filter add chain=forward src-address=192.168.200.0/24 dst-address=192.168.20.0/24 action=accept comment="Allow Server to Siswa" # Batasi akses SSH/Winbox hanya dari VLAN 20 & 30 /ip firewall filter add chain=input src-address=192.168.20.0/24 dst-port=22,8291 protocol=tcp action=accept comment="Allow SSH/Winbox from Siswa" /ip firewall filter add chain=input src-address=192.168.200.0/24 dst-port=22,8291 protocol=tcp action=accept comment="Allow SSH/Winbox from Server" /ip firewall filter add chain=input dst-port=22,8291 protocol=tcp action=drop comment="Drop SSH/Winbox from others" # Logging aktivitas penting /ip firewall filter add chain=forward action=log log-prefix="FW-Forward:" comment="Log Forward Traffic" # Verifikasi rules /ip firewall filter print
2. Hardening DNS Server
Nonaktifkan recursion untuk VLAN 20 (Guru):
/etc/bind/named.conf.options
# Edit: nano /etc/bind/named.conf.options
options {
directory "/var/cache/bind";
// Disable recursion untuk keamanan
recursion yes;
allow-recursion {
192.168.20.0/24; // VLAN 20 - Siswa
192.168.200.0/24; // VLAN 30 - Server
127.0.0.1; // Localhost
// VLAN 10 (Guru) TIDAK diizinkan recursion
};
// Query hanya dari jaringan internal
allow-query {
192.168.20.0/24;
192.168.10.0/24;
192.168.200.0/24;
127.0.0.1;
};
dnssec-validation auto;
listen-on-v6 { any; };
};
3. Aktifkan HTTPS (Self-Signed Certificate)
Terminal Debian 12 (root)
# Enable SSL module a2enmod ssl # Generate Self-Signed Certificate openssl req -x509 -nodes -days 365 -newkey rsa:2048 \ -keyout /etc/ssl/private/ujang-ciksel.key \ -out /etc/ssl/certs/ujang-ciksel.crt \ -subj "/C=ID/ST=Jawa Barat/L=Cianjur/O=SMK XYZ/CN=ujang-ciksel.sch" # Edit SSL Virtual Host nano /etc/apache2/sites-available/default-ssl.conf # Tambahkan/ubah: # SSLCertificateFile /etc/ssl/certs/ujang-ciksel.crt # SSLCertificateKeyFile /etc/ssl/private/ujang-ciksel.key # Enable SSL site a2ensite default-ssl.conf # Restart Apache systemctl restart apache2 # Test HTTPS curl -k https://ujang-ciksel.sch
📜
Kebijakan Keamanan Informasi
🔐
Password Policy
- • Minimum 8 karakter dengan kombinasi huruf besar, kecil, angka, dan simbol
- • Wajib ganti password setiap 90 hari
- • Tidak boleh menggunakan password yang sama dengan 5 password sebelumnya
- • Account lockout setelah 5 kali gagal login
🔀
Pembagian Akses VLAN
- • VLAN 10 (Guru): Akses internet penuh, DIBLOKIR dari VLAN server
- • VLAN 20 (Siswa): Akses internet terbatas, tidak dapat mengakses server
- • VLAN 30 (Server): Hanya admin TI yang dapat mengakses
- • Perpindahan VLAN harus melalui persetujuan admin
🌐
Kebijakan Penggunaan Internet
- • Penggunaan internet hanya untuk keperluan akademik
- • Dilarang mengakses situs yang mengandung konten negatif
- • Dilarang mengunduh file ilegal atau bajakan
- • Aktivitas internet akan dimonitor dan dicatat
💾
Kebijakan Backup Konfigurasi
- • Backup konfigurasi router dilakukan setiap minggu
- • Backup konfigurasi switch dilakukan setiap minggu
- • Backup database server dilakukan setiap hari
- • File backup disimpan di lokasi terpisah (offsite)
📋 Dokumentasi Aset TI
| Nama Perangkat | Tipe | IP Address | Lokasi | PIC |
|---|---|---|---|---|
| Router Utama | MikroTik RB951 | 192.168.200.1 | Ruang Server | Admin TI |
| Switch Utama | Ruijie Manageable | 192.168.200.2 | Ruang Server | Admin TI |
| Server Debian | Debian 12 | 192.168.200.201 | Ruang Server | Admin TI |
❓
Quiz Interaktif
Skor
0/10