ANALISIS DAN PERANCANGAN REMOTE

ACCESS VIRTUAL PRIVATE

NETWORK DENGAN PROTOKOL IPSEC PADA PT

DAYAMITRA

TELEKOMUNIKASI

Bastian Novanda Wibisono

Jurusan Teknik Informatika, School of Computer Science, Binus University Jl. Kebon Jeruk Raya No. 27, Kebon Jeruk, Jakarta Barat 11530

Telp. +62-21-53696969 bastiannovanda@yahoo.com

Ramadian

Jurusan Teknik Informatika, School of Computer Science, Binus University Jl. Kebon Jeruk Raya No. 27, Kebon Jeruk, Jakarta Barat 11530

Telp. +62-21-53696969 ramadiansusetyo@gmail.com

Nanda Natalio

Jurusan Teknik Informatika, School of Computer Science, Binus University Jl. Kebon Jeruk Raya No. 27, Kebon Jeruk, Jakarta Barat 11530

Telp. +62-21-53696969 nandanatalio@gmail.com

ABSTRAK

Tujuan penelitian adalah menganalisis dan merancang suatu jaringan yang lebih

efisien sebagai media untuk pertukaran data dan menjamin keamanan pertukaran

data antara kantor dengan karyawan setingkat manajer yang mobile. Metode yang

dipilih dan dilakukan adalah menganalisis kebutuhan dan sistem yang sedang

berjalan, merancang VPN dengan menggunakan protokol IPSec, konfigurasi router

pada PT Dayamitra Telekomunikasi dan konfigurasi device yang akan digunakan

user secara mobile, serta melakukan evaluasi dari uji coba simulasi. Hasil yang

diharapkan dari penelitian ini adalah menciptakan sistem yang memudahkan user

untuk mengakses LAN kantor dari mana saja selama terhubung dengan internet

ditambah dengan keamanan transfer data yang menjadi fasilitas yang akan didapat

dengan menggunakan VPN (Virtual Private Network) yang dirancang dan diusulkan.

Simpulan yang didapatkan adalah akses data dari mobile user ke LAN kantor akan

menjadi lebih mudah dan dienkripsi untuk menjamin keamanan data sehingga dapat

meningkatkan kinerja karyawan.

PENDAHULUAN

Perkembangan teknologi informasi kini berkembang dengan sangat cepat, salah satu teknologi yang banyak dipakai saat ini adalah internet. Internet merupakan sebuah jaringan global dan terbuka dimana setiap pengguna dapat saling berkomunikasi dan bertukar informasi / data. Seiring dengan maraknya penggunaan internet banyak yang memanfaatkannya sebagai media komunikasi dan berbagi informasi / data khususnya untuk berbisnis dikalangan perusahaan, banyak perusahaan yang kemudian beralih menggunakan media internet sebagai media berbagi informasi / data salah satu contohnya adalah surat elektronik / email. Namun penggunaan surat elektronik / email sebagai media berbagi informasi / data dinilai kurang efisien dan rentan akan keamanan karena email berada pada jaringan umum. Untuk mengatasi semua masalah tersebut maka lahirlah Virtual Private Network (VPN). Secara umum Virtual Private Network yang selanjutnya disebut VPN merupakan jaringan yang bersifat private atau pribadi (tidak diakses untuk umum) namun tetap memanfaatkan medium umum seperti jaringan internet untuk menghubungkan antar remote-host secara aman dan efisien. Didalam VPN terdapat perpaduan teknologi tunneling dan enkripsi yang membuat VPN menjadi teknologi yang handal untuk mengatasi permasalahan keamanan didalam jaringan.

Rumusan masalah yang terjadi adalah bagaimana membangun sebuah sistem yang menyediakan akses langsung antara karyawan lapangan / mobile worker dengan jaringan lokal perusahaan pada PT. Dayamitra Telekomunikasi. Dengan adanya sistem ini diharapkan mampu meningkatkan kinerja karyawan untuk mengakses jaringan lokal perusahaan dari mana saja selama terhubung dengan internet.

Ruang lingkup penelitian ini akan difokuskan pada hal yang berkaitan dengan analisis dan perancangan VPN yang akan dibatasi pada Analisis dan pemilihan protokol VPN yang akan digunakan dalam simulasi., merancang remote access VPN di PT Dayamitra Telekomunikasi, Melakukan simulasi skala testbed (lab) remote access VPN dengan protokol IPSec yang difokuskan pada kantor pusat PT Dayamitra Telekomunikasi, Uji coba dan evaluasi simulasi. Untuk membantu penelitian ini, maka digunakan beberapa teori yang terkait, yaitu:

Virtual Private Network

Menurut Kevin (2001:14-15) Virtual Private Network (VPN) merupakan suatu koneksi jaringan komputer yang bersifat private atau pribadi antar dua jaringan yang dibuat untuk menghubungkan kantor pusat, kantor cabang, telecommuters, supplier, dan rekan bisnis lainnya, ke dalam suatu jaringan internet dan menggunakan metode enkripsi tertentu sebagai media pengamanannya. Menurut Gupta (2003:4) VPN merupakan perkembangan dari jaringan lokal intranet melalui jaringan publik (internet) yang menjamin konektivitas yang aman dan efektifitas biaya diantara kedua hubungan jaringan. Intranet pribadi diperluas dengan bantuan tunnel. Tunell ini memungkinkan pertukaran data antara dua pihak yang berkomunikasi dengan cara komunikasi yang menyerupai point-to-point.

Internet Protocol Security

Internet Protocol Security (IPSec) beroperasi pada layer 3 pada model OSI (Network Layer). Menurut Gupta (2003:7&35) protokol IPSec adalah teknologi kemanan terbaru di bidang VPN sebagai standar protokol terbuka yang menjamin keamanan transmisi dan otentikasi user melalui jaringan publik (internet) dapat diimplementasikan secara independen dari aplikasi yang berjalan melalui jaringan. IPSec menyediakan enkripsi data dan otentikasi antara unsur unsur yang telibat dari VPN misalnya client to server, client to router, firewall to router, router to router. Security Associations (SA) merupakan konsep fundamental dari protokol IPSec (2003:144). IPSec menggunakan tiga komponen primer untuk menyediakan keamanan lalu lintas data yang dapat dijelaskan sebagai berikut:

o Authentication Header (AH) berfungsi untuk mengotentikasi data dengan cara melakukan fungsi hashing dengan mengaplikasikan pembentukan sebuah key pada sebuah paket data. Dua cara yang dapat dipakai untuk melakukan otentikasi adalah dengan menerapkan Pre Shared Key (PSK) yang dihasilkan tiap peer untuk melakukan otentikasi terhadap suatu peer, untuk melakukan tunneling tiap peer harus mempunyai key yang sama. Cara lainnya adalah dengan menerapkan algoritma Rivest Shamir Adleman (RSA) dengan saling tukar menukar digital certificate yang dihasilkan dari perangkat yang digunakan. Cara sederhana untuk otentikasi dengan menambahkan variabel sederhana berupa username dan password pengguna seperti xauth. Menurut Bollapragada (2005:1) xauth memberikan tingkat tambahan otentikasi dengan memungkinkan gateway IPSec untuk meminta otentikasi diperpanjang dari pengguna remote, sehingga memaksa pengguna remote untuk merespon dengan identitasnya sebelum diizinkan akses ke VPN. Perlu dicatat bahwa fungsi xauth dengan terlebih dahulu membentuk IKE phase 1 SA

menggunakan IKE konvensional, dan kemudian dengan memperluas pertukaran IKE untuk memasukkan tambahan pertukaran otentikasi pengguna.

o Encapsulating Security Payload (ESP) yang berfungsi untuk meng-enkapsulasi data dengan cara melakukan enkripsi menggunakan algoritma seperti Data Encryption Standard (DES), Triple DES (3DES), Advance Encryption Standard (AES). dan dilanjutkan hashing menggunakan algoritma MD5 dengan besaran 128 bit atau SHA-1 dengan besaran 160 bit.

o Internet Key Exchange (IKE) sebagai key management dari IPSec. Protokol ini berfungsi untuk generate kunci, distribusi pertukaran kunci diantara kedua belah pihak yang sedang mentransfer data dan menyimpan kunci. IKE beroperasi dalam dua fase atau phase pada tunnel:

- Phase 1

Pada phase 1 diproses untuk menciptakan Security Association untuk IKE peer sehingga proses negosiasi phase 2 dapat berjalan lebih aman. Prosesnya dengan menentukan mode IKE untuk memverifikasi dan melindungi identitas pihak yang terlibat dalam transaksi data. Ada dua mode IKE yang sering digunakan, mode Main dan mode Aggressive. Mode main digunakan untuk digital certificate. Mode main melakukan verifikasi dan melindungi identitas pihak yang terlibat dalam transaksi. Dalam mode ini, enam pesan dipertukarkan antara pihak yang berkomunikasi. Pesan tersebut antara lain:

Dua pesan pertama digunakan untuk negosiasi security policy untuk pertukaran.

Dua pesan berikutnya melayani pertukaran kunci Diffie-Hellman dan angka acak (nonces). Kunci Diffie-Hellman memainkan peran penting dalam mekanisme enkripsi. Nonces harus ditandatanganioleh pihak yang berlainan untuk tujuan verifikasi.

Dua pesan terakhir digunakan untuk otentikasi pihak yang berkomunikasi dengan bantuan tanda tangan dan hash.

Mode aggresive digunakan untuk Pre Shared Key. Pada dasarnya mode Aggresive sama dengan mode Main. Perbedaannya hanya terletak pada jumlah pesan yang dipertukarkan dalam transaksi, hanya tiga pesan yang dipertukarkan. Sebagai hasilnya, mode aggresive jauh lebih cepat dari mode main. Pesan yang dipertukarkan dalam mode aggresive adalah sebagai berikut:

Pesan pertama digunakan untuk menawarkan security policy, memberikan data untuk materi kunci, dan pertukaran nonces untuk tanda tangan dan kemudian identifikasi.

Pesan berikutnya berperan sebagai respon dari pesan pertama. Pesan ini mengotentikasi penerima dan menyelesaikan security policy beserta kunci.

Pesan terakhir digunakan untuk otentikasi pengirim atau pihak yang memulai sesi. Kedua mode main dan aggresive merupakan bagian dari IKE phase I. 18

- Phase 2

Pada phase 2 diproses untuk menciptakan Security Association untuk protokol IPSec. Prosesnya dengan melakukan enkripsi dengan metode Perfect Forward Secrecy untuk menurunkan kunci tahap kedua dan mendeteksi resiko keamanan yang dilanjutkan dengan fungsi hash dan untuk melindungi paket IPSec

METODE PENELITIAN

Metode yang dilakukan dalam penelitian ini terdiri dari: 1. Metode Pustaka

Metode pustaka dilakukan dengan mencari sumber-sumber teori, pengetahuan, dan informasi lain yang berkaitan dengan judul penelitian, baik berupa buku, jurnal, dan artikel.

2. Metode Analisis

Dalam mencari data dan fakta yang dibutuhkan, penelitian ini menggunakan beberapa teknik metode analisis, yaitu:

Wawancara merupakan teknik umum yang biasa dilakukan untuk mendapatkan informasi yang dibutuhkan. Wawancara adalah teknik mengumpulkan informasi dari individu yang bersangkutan dengan melakukan tatap muka secara langsung kepada narasumber. Penelitian ini melakukan wawancara kepada manager IT di PT Bank Ina Perdana.

b. Teknik Observasi

Observasi adalah teknik pencarian fakta atau informasi dengan melakukan studi, mengamati, dan menganalisis objek secara langsung. Teknik ini digunakan dalam penelitian untuk menganalisis jaringan yang sedang berjalan dan merancang topologi baru yang dibahas dalam penelitian ini.

HASIL DAN PEMBAHASAN

Konfigurasi User pada Server

Diawali dengan pembuatan IP Pool dengan command set ippool “Remote_Pool” 192.168.20.1 192.168.20.10 Hasilnya dapat dilihat kembali dengan command get ippool .

Gambar x Hasil konfigurasi IP Pool

Langkah berikutnya adalah membuat akun user yang akan digunakan oleh client, pada simulasi ini akan dibuat dua tipe user, yang pertama adalah xauth user dan yang kedua ike user.

Pembuatan xauth user dalam simulasi ini menggunakan username “manager1” dengan password “password1” dengan command berikut:

set user “manager1” uid 1 set user “manager1” type xauth

set user “manager1” password ”password1” set user “manager1” “enable”

setelahnya dapat dicek dengan command get user manager1 .

Gambar x Konfigurasi xauth user manager1

Apabila ingin membuat user kedua dan seterusnya dengan tipe xauth dapat mengikuti langkah membuat user manager1 hanya saja untuk username tidak boleh sama.

Untuk membuat ike user caranya hampir sama dengan xauth user hanya saja perlu ditambahkan ID-Type dan identity.

set user “ipsecvpn” uid 3

set user “ipsecvpn” ike-id fqdn “client.mitratel.vpn” share-limit 10 set user “ipsecvpn” type ike

set user “ipsecvpn” “enable”

Gambar x Konfigurasi ike user ipsecvpn

Untuk memudahkan pengaturan user akun dikelompokkan berdasarkan tipenya, untuk user dengan tipe xauth dikelompokkan pada grup xauth_group_manager dengan user id 1 yang berisi akun manager1 dan manager2. Caranya dengan command

set user-group “xauth_group_manager” uid 1

set user-group “xauth_group_manager” user “manager1”

Gambar x Konfigurasi xauth_group_manager

Dapat dilihat pada gambar untuk akun manager1 dan manager2 telah dikelompokkan dalam grup yang sama yaitu grup xauth_group_manager

Selanjutnya alokasikan IPPool yang telah dibuat sebelumnya pada xauth user dengan command set xauth default ippool “Remote_Pool”

Gambar x Konfigurasi IP Pool pada xauth_group_manager

Untuk membuat grup ike user, caranya sama dengan membuat user grup xauth di atas yaitu dengan command set user-group “ipsecgroup” uid 2

set user-group “ipsecgroup” user “ipsecvpn”

Hasilnya dapat dilihat dengan command get user-group “ipsecgroup”

Gambar x Konfigurasi ipsecgroup Pada tahap ini pembuatan akun user telah selesai.

Konfigurasi Phase 1 dan Phase 2

Proses konfigurasi phase 1 adalah pembuatan preshared key line atau interface yang dijadikan penghubung antara internet dan router serta proposal enkripsinya, pada konfigurasi ini phase 1 dinamakan “Dialup_GW”. Caranya dengan command berikut:

set ike gateway "Dialup_GW" dialup "ipsecgroup" aggressive outgoing-interface "ethernet0/0" preshare "12345abcde" proposal "pre-g2-aes128-sha"

set ike gateway "Dialup_GW" nat-traversal

set ike gateway "Dialup_GW" xauth server "Local" user-group "xauth_group_manager" selanjutnya dapat di cek phase 1 yang sudah di konfigurasi dengan command get ike gateway

Gambar x Konfigurasi tunneling IPSec phase 1

Kemudian dilanjutkan dengan phase 2, pada konfigurasi ini phase 2 dinamakan “dialup_vpn” dengan command: set vpn "dialup_vpn" gateway "Dialup_GW" replay tunnel idletime 0 proposal "g2-esp-aes128-sha" selanjutnya dapat di cek phase 2 yang sudah di konfigurasi dengan command get vpn

Gambar x Konfigurasi tunneling IPSec phase 2

Konfigurasi Policy

Tahap terakhir konfigurasi pada router adalah pengaturan policy yaitu aturan khusus yang dibuat pada router juniper ssg20 untuk client yang berasal dari jaringan internet dalam zone Untrust yang ingin masuk ke jaringan LAN perusahaan dalam zone Trust yang diwakilkan oleh “Dial-Up VPN” melalui address network yang sebelumnya dibuat dengan nama “Server_Kantor” . Pada simulasi ini policy yang dibuat untuk mengizinkan client untuk mengakses semua service di server, caranya dengan command:

set policy id 2 from "Untrust" to "Trust" "Dial-Up VPN" "Server_Kantor" "ANY" tunnel vpn "dialup_vpn" log

Gambar x Konfigurasi policy

Konfigurasi Client

Untuk memulai konfigurasi VPN pada sisi client klik menu software VPN Access Manager pada desktop.

Gambar x Shortcut software VPN Access Manager pada desktop

Gambar x Tampilan awal VPN Access Manager Klik menu Add untuk membuat profile VPN client baru.

Gambar x Konfigurasi tab general VPN Access Manager

Pada tab general terbagi menjadi 2 menu utama, pada menu Remote Host masukkan IP publik pada kolom Host Name or IP Address lalu port default nya adalah 500. Pada menu Auto Configuration pilih ike config push karena pada konfigurasi server memakai IP Pool.

Gambar x Konfigurasi tab client VPN Access Manager

Pada tab client, tidak banyak yang berubah dari settingan defaultnya, centang pada kolom checkbox di menu Other Options.

Gambar x Konfigurasi tab name resolution VPN Access Manager

Pada tab Name Resolution sub tab DNS, hapus centang pada kolom checkbox Obtain Automatically, dilanjutkan hapus centang pada kolom checkbox Enable DNS.

Gambar x Konfigurasi tab name resolution VPN Access Manager

Begitupun dengan sub tab WINS, hapus centang pada kolom checkbox Obtain Automatically, dilanjutkan hapus centang pada kolom checkbox Enable WINS.

Gambar x Konfigurasi tab authentication VPN Access Manager

Pada tab Authentication, klik menu combobox pada Authentication Method pilih Mutual PSK + Xauth, kemudian pada sub tab Local Identity klik combobox menu Identification Type pilih Fully Qualified Domain Name lalu ketik “client.mitratel.vpn” pada kolom FQDN String.

Gambar x Konfigurasi tab authentication VPN Access Manager

Masih di tab Authentication, namun pada sub tab Remote Identity klik combobox pada menu Identification Type pilih Any.

Gambar x Konfigurasi tab authentication VPN Access Manager

Selanjutnya pada sub tab Credential masukkan Pre Shared Key yang telah dibuat sebelumnya pada router juniper ssg20 (12345abcde).

Gambar x Konfigurasi tab phase 1 VPN Access Manager

Pada tab Phase 1 pilih kombinasi proposal sesuai dengan yang telah dibuat sebelumnya pada router juniper dengan cara klik pada masing masing combobox di bagian Proposal Parameters dengan kombinasi:

Exchage Type: Aggressive DH Exchange: group 2 Chiper Algorithm: aes Chiper Key Length: 128 Hash Algorithm: sha1.

Gambar x Konfigurasi tab phase 2 VPN Access Manager

Dilanjutkan tab Phase 2 disesuaikan pada kombinasi proposal yang telah dibuat pada router juniper ssg20 sebelumnya dengan kombinasi:

Transform Algorithm: esp-aes Transform Key Lenght: 128 HMAC Algorithm: sha1 PFS Exchange: group 2.

Gambar x Konfigurasi tab policy VPN Access Manager

Tab yang terakhir dalam konfigurasi sisis client adalah tab policy, pada menu IPSEC Policy Configuration klik ComboBox sub menu Policy Generation Level pilih auto, centang ComboBox Maintain Presistent Security Associations, lalu hapus centang pada ComboBox Obtain Topology Automatically or Tunnel All, kemudian klik menu Add.

Gambar x Konfigurasi tab policy VPN Access Manager

Pada menu Topology Entry, pilih Include pada ComboBox menu Type, masukkan IP 192.168.1.0 pada menu Address sesuai Address Network yang telah dibuat saat konfigurasi router juniper ssg20, lalu masukkan Netmask 255.255.255.0 , kemudian klik Ok dan Save.

Setelah simulasi dilakukan, didapatkan fitur-fitur pada perancangan ini yang dapat menghapuskan kekurangan-kekurangan yang didapat pada keadaan jaringan awal.

Tabel x Evaluasi simulasi

Poin Penilaian Sebelum Menerapkan remote

access VPN

Sesudah Menerapkan remote access VPN

Uji Ping

Tidak ada akses untuk melakukan ping ke gateway jaringan lokal ataupun server

yang berada pada jaringan lokal simulasi dari luar kantor.

Dapat melakukan ping ke gateway jaringan lokal ataupun

server yang berada pada jaringan lokal simulasi dari luar

kantor. Akses FTP

Tidak bisa mengakses FTP server yang berada pada jaringan lokal simulasi dari luar

kantor.

Dapat mengakses FTP server yang berada pada jaringan lokal simulasi dari luar kantor.

Akses HTTP

Tidak bisa mengakses HTTP server yang berada pada jaringan lokal simulasi dari luar

kantor.

Dapat mengakses HTTP server yang berada pada jaringan lokal simulasi dari luar kantor. Keberhasilan masuk

ke dalam jaringan lokal server.

Tidak berhasil

Dari 10 kali percobaan masuk ke dalam jaringan lokal server, client berhasil masuk ke dalam jaringan lokal server 10 kali.

SIMPULAN DAN SARAN

Setelah dilakukan analisis, perancangan, simulasi dan evaluasi remote access VPN pada PT Dayamitra Telekomunikasi dapat disimpulkan Pengujian ping dari client ke gateway & client ke server, rancangan remote access VPN telah berhasil melakukan ping ke gateway dan server yang berada jaringan lokal simulasi dari luar

jaringan simulasi. Client mengakses File Transfer Protocol, rancangan remote access VPN telah berhasil mengakses File Transport Protocol server yang berada di jaringan lokal simulasi dari luar jaringan simulasi. Client berhasil masuk ke HTTP server, rancangan remote access VPN telah berhasil mengakses Hypertext Transport Protocol server yang berada di jaringan lokal simulasi dari luar jaringan simulasi.

Berdasarkan evaluasi, remote access VPN dapat memperluas jaringan lokal perusahaan, karena dapat diakses dari mana saja selama terhubung internet.

REFERENSI

Tanenbaum, A., Wetherall, D. J. (2010). Computer Networks (5th edition). Prentice Hall. Gupta, Meeta. (2003). Building a Virtual Private Network. Ohio : Premiere Press.

Feilner, Markus. (2006). OpenVPN – Building and Intergrating Virtual Private Networks. Birmingham : Packt Publishing.

Javvin. (2004). Network Protocols Handbook (2nd edition). Saragota. Kevin, Archer. (2001). Voice and Data Security. Sams Publising. Bollapragada, Vijay (2005). IPSec VPN Design. Cisco Press

Chandrika, I. L. V., Balusupati, V. V, & Krishna, A. R., (2012). Point-To-Point Protocol (PPTP). International Journal of Innovative Technology and Exploring Engineering, 1 (6), 79.

Sridevi (2013). L2TP/IPsec Interworking. International Journal of Scientific Research. 2 (8), 89.

Parmar, M. S., Meniya, A. D., (2013). Imperatives and Issues of IPSEC Based VPN. International Journal of Science and Modern Engineering. 1 (2), 38.

Kajal, R., Saini, D., Grewal, K., (2012). Virtual Private Network. International Journal of Advanced Research in Computer Science and Software Engineering. 2 (10), 428-430.

Singh, G., Supriya (2013). A Study of Encryption Algorithms (RSA, DES, 3DES and AES) for Information Security. International Journal of Computer Applications. 67 (19), 37.

Hamri, M., Mikram, J., Zinoun, F,. (2010). Chaotic hash function based on MD5 and SHA-1 hash algorithms. International Journal of Computer Science and Information Security, 8 (9), 2.

RIWAYAT PENULIS

Bastian Novanda Wibisono lahir di Jakarta pada 8 November 1992. Dia menamatkan pendidikan S1 di Binus University dalam bidang Teknik Informatika peminatan jaringan komputer.

Ramadian lahir di Jakarta pada 20 Maret 1992. Dia menamatkan pendidikan S1 di Binus University dalam bidang Teknik Informatika peminatan jaringan komputer. Sebelumnya dia berhasil lulus dalam mengambil sertifikasi CCENT (Cisco Certified Entry Networking Technician) pada bulan September 2013.

Nanda Natalio lahir di Jakarta pada 8 Desember 1991. Dia menamatkan pendidikan S1 di Binus University dalam bidang Teknik Informatika peminatan jaringan komputer. Sebelumnya dia berhasil lulus dalam mengambil sertifikasi MTCNA (MikroTik Certified Network Associate) pada bulan Februari 2014.