Cara Konfigurasi User Manager di Mikrotik

Dalam tutorial ini, kita akan membahas cara konfigurasi User Manager di Mikrotik untuk menyediakan otentikasi EAP-TLS dan EAP-PEAP dengan RouterOS. Kita akan mengatur sistem ini dalam beberapa langkah yang terstruktur dan mudah diikuti. Pastikan Anda memiliki akses penuh ke perangkat Mikrotik Anda dan siap untuk melakukan konfigurasi.

Prasyarat

• Akses ke perangkat Mikrotik dengan RouterOS versi 6 atau 7.
• Pengalaman dasar dalam administrasi jaringan dan penggunaan Mikrotik.
• Memiliki alat untuk mengakses terminal Mikrotik, seperti WinBox atau terminal SSH.
• Memiliki pemahaman dasar tentang sertifikat digital dan EAP.

Langkah Utama

Step 1: Mengaktifkan CRL di RouterOS

Secara default, CRL (Certificate Revocation List) tidak diaktifkan di RouterOS. Untuk dapat mencabut sertifikat dan mencegah klien yang tidak diinginkan terhubung, kita perlu mengaktifkan CRL.

/certificate settings set crl-use=yes

Step 2a: Konfigurasi di RouterOS V6

Membuat CA dan Sertifikat

Kita akan membuat Certificate Authority (CA) dan sertifikat yang diperlukan untuk EAP-TLS.

/certificate add name=RouterCA common-name=Router subject-alt-name=IP:10.0.0.1 key-size=4096 days-valid=3650 key-usage=crl-sign,key-cert-sign
/certificate sign RouterCA ca-crl-host=10.0.0.1 name=RouterCA
/certificate export-certificate RouterCA type=pem

/certificate add name=EAP_AP common-name=EAP_AP subject-alt-name=IP:10.0.0.1 key-size=4096 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server
/certificate sign EAP_AP ca=RouterCA name=EAP_AP
/certificate set EAP_AP trusted=yes

/certificate add name=EAP_Client common-name=EAP_Client key-size=4096 days-valid=3650 key-usage=tls-client
/certificate sign EAP_Client ca=RouterCA name=EAP_Client
/certificate set EAP_Client trusted=yes
/certificate export-certificate EAP_Client type=pkcs12 export-passphrase=

Menyiapkan Wireless AP

Kita akan membuat profil keamanan untuk EAP-TLS dalam konfigurasi CAPsMAN.

/caps-man/security add name="security_eap-tls" authentication-types=wpa2-eap encryption=aes-ccm group-encryption=aes-ccm eap-methods=eap-tls tls-mode=verify-certificate-with-crl tls-certificate=EAP_AP

Step 2b: Konfigurasi di RouterOS V7

Membuat CA dan Sertifikat

Proses pembuatan CA dan sertifikat mirip dengan versi sebelumnya, tetapi dengan beberapa penyesuaian yang sesuai dengan V7.

/certificate add name=RouterCA common-name=Router subject-alt-name=IP:10.0.0.1 key-size=4096 days-valid=3650 key-usage=crl-sign,key-cert-sign
/certificate sign RouterCA ca-crl-host=10.0.0.1 name=RouterCA
/certificate export-certificate RouterCA type=pem

/certificate add name=EAP_AP common-name=EAP_AP subject-alt-name=IP:10.0.0.1 key-size=4096 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server
/certificate sign EAP_AP ca=RouterCA name=EAP_AP
/certificate set EAP_AP trusted=yes

/certificate add name=EAP_Client common-name=EAP_Client key-size=4096 days-valid=3650 key-usage=tls-client
/certificate sign EAP_Client ca=RouterCA name=EAP_Client
/certificate set EAP_Client trusted=yes
/certificate export-certificate EAP_Client type=pkcs12 export-passphrase=

Setup User Manager

Pastikan User Manager di RouterOS V7 sudah diinstal dan diaktifkan. Konfigurasi User Manager di sini mencakup pengaturan profil, pengguna, dan grup.

/tool user-manager profile add name="EAP-PEAP"

Menyiapkan Wireless AP

Konfigurasi Wireless AP dalam ROS7 juga menggunakan profil keamanan yang telah kita buat sebelumnya.

/caps-man/security add name="security_eap-peap" authentication-types=wpa2-eap encryption=aes-ccm group-encryption=aes-ccm eap-methods=eap-peap tls-mode=verify-certificate-with-crl tls-certificate=EAP_AP

KONFIGURASI LANJUTAN

Setelah konfigurasi dasar selesai, Anda mungkin ingin menyesuaikan pengaturan berdasarkan kebutuhan spesifik jaringan Anda. Ini termasuk pengaturan VLAN, QoS, dan pengaturan firewall.

• VLAN: Pisahkan lalu lintas dengan menggunakan VLAN untuk meningkatkan keamanan dan efisiensi.
• QoS: Atur Quality of Service untuk prioritas trafik yang lebih kritis.
• Firewall: Pastikan untuk mengkonfigurasi firewall agar tidak mengganggu lalu lintas EAP.

BEST PRACTICES

Patuhi praktik terbaik dalam pengelolaan dan pengaturan sertifikat untuk meminimalkan risiko keamanan.

• Selalu gunakan sertifikat dengan ukuran kunci yang memadai.
• Perbarui sertifikat secara berkala untuk menjaga keamanan.
• Monitor log untuk mendeteksi potensi masalah atau serangan.
• Jangan simpan sertifikat dan kunci privat di perangkat yang tidak aman.

TROUBLESHOOTING

Jika Anda mengalami masalah saat mengkonfigurasi User Manager dan otentikasi EAP, berikut adalah beberapa langkah pemecahan masalah yang bisa dilakukan.

• Cek koneksi jaringan untuk memastikan bahwa perangkat Mikrotik dapat berkomunikasi dengan klien.
• Periksa konfigurasi sertifikat untuk memastikan bahwa mereka diimpor dan digunakan dengan benar.
• Lihat log sistem untuk mencari pesan kesalahan yang berkaitan dengan otentikasi.
• Pastikan perangkat klien mendukung metode EAP yang digunakan.

KESIMPULAN

Dalam tutorial ini, kita telah membahas langkah demi langkah cara mengkonfigurasi User Manager di Mikrotik untuk otentikasi EAP-TLS dan EAP-PEAP. Dengan mengikuti langkah-langkah ini, Anda dapat memastikan bahwa jaringan Anda aman dan terkelola dengan baik. Pastikan untuk melakukan pengujian menyeluruh setelah konfigurasi dan terapkan praktik terbaik untuk menjaga keamanan jaringan Anda.

Apabila Anda memerlukan bantuan lebih lanjut dalam konfigurasi atau pengaturan, konsultasikan jasa setup sekarang.