BAB IV IMPLEMENTASI DAN PENGUJIAN

Transkripsi

1 BAB IV IMPLEMENTASI DAN PENGUJIAN 4.1 Uji Coba Skenario 1: Analisis Penggunaan NAT, Firewall, dan Nmap Pada skenario pertama yang terdapat di dalam bab perancangan, penulis akan melakukan uji coba dan analisis terhadap aktifitas pengguna yang berada di belakang jaringan inside ASA. Uji coba akan dilakukan pada pengguna dengan Alamat IP yang berada di belakang NAT interface inside. Jenis pengujian yang akan dilakukan yaitu ASA akan memperbolehkan pengguna untuk mengakses salah satu web server dengan IP yang berada di internet. Melalui PAT pada interface outside dengan IP publik , memungkinkan pengguna yang berada di jaringan inside dapat mengakses web server tersebut. Gambar 4.1 Alamat IP pengguna pada interface inside 90

2 91 Dari alamat IP pengguna pada interface inside Gambar 4.1 di atas, terlihat konfigurasi IP dari pengguna yang berada di jaringan inside. Pengguna tersebut berada di dalam network /23, dengan default gateway Gateway yang terdapat pada konfigurasi ini adalah IP dari interface inside pada Cisco ASA. Terdapat dua buah Domain Name System (DNS) yang pertama dan yang kedua , DNS ini berfungsi untuk menterjemahkan sebuah domain ke alamat IP. Setelah konfigurasi alamat IP pengguna telah terbentuk, maka penulis bisa melakukan pengetesan menggukanan utilitas paket internet groper (ping) untuk memeriksa konektifitas apakah pengguna dengan IP dapat terhubung dengan web server dengan IP Gambar 4.2 Hasil Ping web server di internet

3 92 Dari hasil ping web server di internet Gambar 4.2 di atas, terlihat hasil pengetesan menggunakan service ping, dapat terlihat bahwa pengguna mengirimkan protokol internet control massege protokol (icmp) untuk mendapatkan informasi apakah pengguna tersebut mendapatkan konektifitas dari web server tersebut. Pada gambar di atas terlihat bahwa pengguna mendapat reply dari web server, yang artinya pengguna tersebut telah mendapatkan konekfifitas. Pada Gambar 4.2 di atas penulis juga melakukan pengetesan terhadap web server dengan menggunakan traceroute (tracert) yang berfungsi untuk menunjukkan rute yang dilewati paket untuk mencapai tujuan. Pada hasil tracert tersebut di lihat bahwa untuk mendapatkan konektifitas, pengguna membutuhkan 2 hops atau rute agar sampai ke tujuan. Dengan menggunkan NAT memungkinkan pengguna untuk dapat langsung menggunakan IP publik untuk dapat mengakses sebuah web server tanpa melalui rute dari gateway pada interface inside. Cisco ASA dapat melihat semua paket yang datang dan keluar. Dengan memanggil beberapa perintah pada command-line interface (CLI) Cisco ASA, maka penulis dapat memonitor semua paket yang melintasi Cisco ASA dari setiap interface nya. Pada kondisi skenario pertama, dengan menggunakan NAT, pengguna yang berada pada jaringan inside dapat mengakses jaringan internet, maka penulis akan menunjukkan xlate atau di sebut juga translation yang terjadi selama konektifitas yang terjadi.

4 93 Gambar 4.3 Xlate ASA Dari Xlate ASA Gambar 4.2 di atas, terlihat bahwa pengguna yang berada di jaringan inside dengan alamat IP dapat mengakses jaringan internet dengan protokol transmission control protokol (TCP) melalui port address translation (PAT) yang berada pada interface outside dengan IP publik Dengan menggunakan perintah sh xlate detail, maka semua bentuk konektifitas yang menggunakan NAT pada setiap interface yang terdapat dalam Cisco ASA dapat terlihat. Konektifitas yang terjadi pada saat pengguna di jaringan inside meminta akses web server pada IP juga dapat terlihat aktifitasnya pada Cisco ASA. Dengan menggunakan perintah sh conn detail pada CLI maka semua aktifitas yang aktif pada sesi tersebut dapat terlihat.

5 94 Gambar 4.4 Hasil connection detail ASA Dari hasil connection detail Gambar 4.4 di atas, terlihat daftar dari koneksi yang aktif pada sebuah sesi. Terlihat pengguna yang berada pada jaringan inside dengan IP dengan menggunakan protokol TCP mengakses sebuah web server yang terdapat pada jaringan internet melalui interface outside dengan IP dan nomor port 80. Juga terdapat flags atau disebut juga dengan status yaitu up, inbond data, dan outbond data (UIO). Selelah melihat konektifitas yang berlangsung pada sebuah sesi di Cisco ASA, maka penulis dapat menunjukkan data yang di akses pada web server tersebut. Dengan menggunakan web browser firefox penulis berhasil mengakses web server yang berada di internet, melalui pengguna yang berada di dalam interface inside. Seperti terlihat pada gambar di bawah ini :

6 95 Gambar 4.5 Hasil pengaksesan Web server di internet dengan IP Dari hasil pengaksesan web server di interner dengan IP Gambar 4.5 di atas, terlihat penulis berhasil mengakses web tersebut melalui NAT dan menggunakan PAT dari interface outside pada Cisco ASA.

7 Analisa paket yang diijinkan keluar dari interface outside Cisco ASA Dengan menggunakan CLI Cisco ASA, penulis juga dapat memberikan perintah paket tracert untuk melihat detil dari informasi paket yang melewati firewall yang berguna untuk melakukan analisis dan melihat masalah. Paket tracert ini juga di gunakan sebagai paket sniffing dan network fault isolation. Berikut perintah yang di gunakan paket paket tracert : paket-tracer input [src_int] protokol src_addr src_port dest_addr dest_port [detailed] [xml] Gambar 4.6 Hasil dari paket tracert

8 97 Dari hasil paket tracert Gambar 4.6 di atas, terlihat output dari hasil sniffing yang di lakukan pada Cisco ASA. Dari empat jenis laporan tersebut, yang sangat penting adalah menganalisa route dan access-list. Pada route di atas terlihat bahwa pengguna yang berada di jaringan inside di perbolehkan untuk masuk ke jaringan outside. Sedangkan pada access-list dapat dilihat konfigurasi firewall dengan nama INTERNAL memperbolehkan semua pengguna yang berada di jaringan inside dengan protokol TCP untuk mengakses IP dengan port www atau 80.

9 98 Gambar 4.7 (Lanjutan ke-1) Hasil dari paket tracert Dari (Lanjutan) hasil paket tracert Gambar 4.7 di atas, terlihat sambungan dari hasil capture yang diambil oleh Cisco ASA. Pada hasil laporan ke-6 terlihat NAT dalam interface inside dalam kondisi aktif, dan terlihat dynamic translation menuju interface outside dengan menggunakan PAT dengan IP

10 99 Dynamic translate ini juga mentranslasikan alamat IP jaringan inside menjadi dengan netmask Gambar 4.8 (Lanjutan ke-2) hasil paket tracert Dari (Lanjutan ke-2) hasil paket tracert Gambar 4.8 di atas, terlihat hasil secara keseluruhan dari proses paket input yang berasal dari interface inside. Jadi, pengguna

11 100 yang berada pada interface inside dengan IP diperbolehkan untuk mengakses web server dengan IP yang berada pada jaringan internet Analisa paket yang tidak diijinkan keluar dari interface outside Cisco ASA Pada bagian ini penulis akan menganalisa paket yang tidak diijinkan atau telah di deny oleh firewall Cisco. Pengujian ini akan dilakukan pada pengguna yang sama dengan menggunakan paket tracert dari Cisco ASA dan sebuah program open source yaitu network mapper (nmap). Sebelumnya di skenario pertama perancangan, penulis telah membuat aturan di firewall untuk menutup pintu keluar file transfer protokol (ftp). Artinya, pada saat pengguna meminta konektifitas melalui paket ftp, maka firewall akan menghentikan paket tersebut. Pengguna dengan IP akan mencoba untuk mengakses sebuah ftp server dengan IP , untuk membuktikan apakah paket tersebut telah ditutup oleh firewall, maka penulis akan melakukan analisis terhadap paket ftp tersebut. Berikut gambar dari hasil analisis yang pertama dengan menggunakan paket tracert :

12 101 Gambar 4.9 Hasil paket tracert protokol FTP Dari hasil paket tracert protokol FTP Gambar 4.9 di atas, terlihat penulis dapat melihat bahwa permintaan pengguna yang berada pada interface inside, terhadap jenis paket ftp untuk semua tujuan telah di tutup oleh aturan di firewall. Hal ini bisa perhatikan pada hasil laporan bagian ke-3 pada paket tracert di atas. Terlihat bahwa

13 102 access-list dengan nama INTERNAL dengan paket tcp port ftp untuk tujuan any atau kemanapun tidak diijinkan keluar. Ditambah dengan aturan pada access-group dengan nama INTERNAL ditujukan untuk interface inside. Kondisi ini menyebabkan semua pengguna yang berada di belakang interface inside tidak bisa mengakses semua paket ftp keluar dari jaringan inside. Untuk lebih memastikan apakah pintu keluar dan paket data ftp itu telah di tutup, maka penulis akan memeriksa semua pengguna yang berada di dalam jaringan inside, dengan menggunakan sebuah program. Penulis akan menggunakan program nmap untuk memeriksa keamanan jaringan tersebut. Untuk lebih spesifiknya penulis hanya memeriksa layanan ftp terdahap pengguna inside dengan identitas network /24. Dengan menggunakan perintah nmap st p * penulis bisa memeriksa kondisi layanan tersebut, seperti gambar di bawah ini : Gambar 4.10 Hasil dari nmap

14 103 Dari hasil pada nmap Gambar 4.10 di atas, terlihat terdapat dua pengguna yang akfif, pengguna dengan IP adalah gateway dari interface inside. Terlihat bahwa layanan ftp pada IP tersebut telah di filtered oleh firewall, artinya layanan tersebut telah masuk ke dalam firewall di dalam ASA. Di dalam Adaptive Security Device Manager (ASDM) Cisco ASA, penulis juga dapat menunjukkan bahwa permintaan pengguna yang berada di jaringan inside tidak di perbolehkan mengakses layanan ftp. Seperti pada gambar di bawah ini :

15 104 Gambar 4.11 Status ASDM Cisco ASA 4.2 Uji Coba Skenario 2: Analisis akses jaringan lokal dan load balancing. Pada skenario kedua ini, penulis akan melakukan analisa terhadap mekanisme pengguna VPN yang berada pada internet, mencoba terkoneksi pada VPN server Cisco ASA dan menganalisa proses terjadi nya load balancing pada setiap cluster pada ASA. Sesuai dengan bentuk topologi yang sudah penulis buat dalam perancangan, maka penulis akan mencoba terkoneksi dengan VPN server.

16 Analisa optimasi bandwidth VPN load balancing Saat ini penulis berada di media internet, terkoneksi melalui Internet Service Provider (ISP) indosat IM2. Untuk lebih spesifik nya penulis akan menunjukkan alamat IP yang sedang penulis gunakan. Seperti gambar di bawah ini : Gambar 4.12 Alamat IP indosat IM2 Dari alamat IP indosat IM2 Gambar 4.12 di atas, terlihat setelah terkoneksi dengan internet, penulis mendapatkan IP dari IM2. Selajutnya maka penulis akan mencoba untuk tersambung dengan jaringan VPN server dengan menggunakan program Cisco VPN client. Pada bab perancangan, program tersebut sebelumnya telah di konfigurasi IP cluster master, group-authentication dan backup server.

17 106 Setelah terkoneksi dengan jaringan VPN ASA, penulis akan mendapatkan sebuah alamat IP baru yang di berikan oleh ASA. Alamat IP ini, nantinya berguna sebagai protokol yang akan menghubungkan penulis dengan jaringan lokal pada ASA. Gambar 4.13 Alamat IP pengguna VPN client Dari alamat IP pengguna VPN Client Gambar 4.13 di atas, terlihat setelah terkoneksi dengan VPN server, pada Local Area Connection 3 gambar di atas, penulis mendapat IP dengan subnet Alamat IP ini sesuai dengan virtual address-pool yang telah dikonfigurasi pada perancangan VPN. Dapat di perhatikan juga, pada konfigurasi Cisco VPN adapter di atas, tidak terdapat gateway.

18 107 Artinya, apabila seorang pengguna telah terkoneksi dengan VPN ini, maka pengguna tersebut tetap menggunakan bandwith yang terdapat pada jaringan aslinya. Kondisi ini sangatlah penting, apabila VPN server mempunyai bandwidth yang terbatas, maka beban seluruh client tidak bisa di arahkan seluruhnya kedalam tunnel yang terdapat pada koneksi VPN tersebut, karena akan meyebabkan gangguan pada konektifitas. Kondisi ini juga mempunyai kekurangan, karena firewall yang terdapat pada ASA tidak dapat memonitor sepenuhnya aktifitas client yang tidak melaluinya. Oleh sebab itu, semua tergantung pada kondisi masing-masing pengguna ASA. Apabila terdapat bandwidth yang cukup dan aturan baku yang mengharuskan client bekerja sepenuhnya pada jaringan intranet, maka pada saat sesi pengguna terkoneksi dengan VPN, semua gateway selain ASA harus di tutup dan akan diarahkan sepenuhnya kedalam tunnel yang ada. Sedangkan pada kondisi saat ini, penulis sengaja membagi koneksi tersebut kedalam dua jaringan, karena penulis ingin menjalankan program pengintai, untuk melihat proses pada saat client terkoneksi degan VPN dan menganalisa data yang di bawa.

19 108 Gambar 4.14 Statistik pengguna di program Cisco VPN client Dari statistic pengguna di program Cisco VPN client Gambar 4.14 di atas, terlihat statistik Cisco VPN client pada saat terkoneksi dengan jaringan VPN. Di atas dapat di perhatikan terdapat beberapa informasi, seperti address information yang memberikan informasi IP pengguna dan Server, pakets yang menginformasikan paket yang dienkripsi dan didekripsi, crypto yang menginformasikan jenis athentikasi dan enkripsi yang digunakan. Selanjutnya, penulis akan menganalisa proses terjadinya load balancing pada VPN client, analisa akan dilakukan melalui header yang terdapat pada log VPN client.

20 109 Gambar 4.15 Log VPN Dari log VPN Gambar 4.15 di atas, terlihat bagaimana proses pada pertukaran kunci pada protokol Internet Securiy Association and Key Management Protokol (ISAKMP) untuk membuat sebuah authentikasi dalam jaringan Secure Internet

21 110 Protokol (IPsec) VPN. Pengguna yang menggunakan program Cisco VPN client ini, mengirimkan sebuah paket Internet Key Exchange (IKE) kepada cluster master. Paket ini adalah security association dan group authentication yang akan membentuk sebuah trowongan (tunnel) yang mengghubungkan kedua sisi jaringan. Setelah paket tersebut dikirim cluster master dengan IP akan memeriksa group authentication yang terdapat pada pengguna, apabila data tersebut benar maka cluster master akan mengirimkan sebuah konfirmasi yang akan diterima kembali oleh pengguna. Selanjutnya pengguna akan mengirimkan sebuah verifikasi kedua terhadap username dan password yang di miliki oleh pengguna untuk verifikasi kembali oleh VPN server. Setelah proses authentifikasi dan verifikasi data berhasil, cluster master selanjutnya akan mementukan cluster yang akan di peroleh oleh pengguna tersebut. Pada laporan dari nomor empat belas di atas, terlihat virtual cluster master mencoba mengarahkan pengguna pada secondary cluster dengan IP melalui private interface yang telah diberikan oleh cluster master pada load balancing. Namun, permintaan tersebut tidak mendapatkan tanggapan dari secondary cluster. Selanjutnya cluster master akan mencoba mengarahkan pengguna tersebut pada cluster lainnya. Seperti gambar di bawah ini :

22 111 Gambar 4.16 (Lanjutan) Log VPN Dari (Lanjutan) Log VPN Gambar 4.16 di atas, terlihat bahwa cluster master memulai pertukaran kunci kepada secondary cluster dengan IP Terlihat bahwa cluster tersebut menanggapi permintaan dari virtual cluster master. Setelah pertukaran kunci berhasil maka secondary cluster yang terkoneksi dengan

23 112 pengguna tersebut memberikan alamat IP kepada pengguna. IP inilah yang nantinya akan digunakan oleh pengguna untuk melakukan konektifitas pada jarigan VPN ini. Gambar 4.17 Proses Load balancing VPN client. Dari load balancing VPN client Gambar 4.17 di atas, terlihat bahwa mekanisme load balancing pada remote-access VPN ASA sangat ditentukan oleh program Cisco VPN client. Karena program inilah yang sesungguhnya mengatur, memonitor, mengarahkan dan menditeksi terjadinya terjadi nya gangguan pada setiap cluster VPN yang aktif. Selain itu, antara ASA1 dan ASA2 harus mempunyai konfigurasi yang sama dan dalam subnet jaringan yang sama. Sehingga apabila terjadi gangguan pada salah satu cluster, proses perpindahan pengguna dari cluster satu dan lainnya

24 113 dapat berjalan normal. Gambar di bawah ini adalah status load balancing pada salah satu secondary cluster ASA : Gambar 4.18 Status load balancing pada ASA Dari status load balancing pada ASA Gambar 4.18 di atas, terlihat status dalam kondisi aktif pada VPN load balancing ASA. Pada kondisi di atas terdapat role master dengan cluster IP Setiap pengguna yang terkoneksi dengan load balancing ASA akan termonitor melalui status load balancing ini. Begitu juga dengan ASA lainnya yang tergabung dalam cluster tersebut. Untuk melihat lebih rinci informasi pengguna yang terkoneksi melalui ASA. Penulis dapat menggunakan printah sh crypto ipsec sa yang memungkinkan penulis untuk dapat melihat secara rinci informasi yang terdapat pada pengguna. Jenis

25 114 informasi nya seperti penentuan cluster, IP asal, penggunaname, dan alokasi yang di dapat oleh pengguna. Seperti gambar di bawah ini : Gambar 4.19 IPsec status

26 115 Dari IPSec status Gambar 4.19 di atas, terlihat informasi bahwa pengguna dari jaringa internet dengan IP terkoneksi dengan secondary cluster pada IP dengan menggunakan username: aryzulfikar, maka pengguna tersebut mendapatkan akses sedalam Cisco ASA dengan virtual IP Uji Coba pengguna VPN mengakses jaringan inside Setelah koneksi VPN antara pengguna yang berada di internet dan ASA telah terbentuk. Penulis akan menguji coba aturan yang telah di konfigurasi pada bab perancangan. Aturan tersebut memperbolehkan pengguna yang terkoneksi dengan jaringan vpn, diijinkan untuk mengakses jaringan yang berada pada interface inside. Pada pembahasan sebelumnya, penulis telah menampilkan mekanisme dari pengguna yang mencoba untuk mengakses jaringan VPN ASA. Dengan menggunakan komputer yang sama pada pembahasan sebelumnya, penulis akan mencoba langsung untuk mengakses salah satu pengguna yang berada pada jaringan inside dengan IP Dengan menggunakan layanan ping penulis akan melihat apakah paket icmp yang penulis kirim mendapat jawaban dari pengguna tersebut. Hasilnya seperti gambar di bawah ini :

27 116 Gambar 4.20 Test ping jaringan inside ASA Dari ping jaringan inside ASA Gambar 4.20 di atas, pengguna VPN dengan IP mengirimkan paket icmp kepada pengguna yang berada pada jaringan inside ASA dengan IP untuk mengetahui keberadaan pengguna tersebut. Setelah ping di lakukan, pengguna pada jaringan inside memberikan reply atau jawaban yang menandakan pengguna tersebut aktif. Dapat di perhatikan juga, penulis juga melakukan traceroute kepada IP untuk mengetahui apakah aturan yang dikonfigurasi pada perancangan bisa berjalan. Dan hasilnya pengguna ynag terkoneksi dengan jaringan VPN bisa langsung mengakses jaringan inside tanpa melalui route atau arah tambahan.

28 117 Gambar 4.21 Remote Desktop VPN menuju pengguna jaringan inside Dari remote desktop VPN menuju pengguna jaringan inside Gambar 4.21 di atas, terlihat penulis berhasil mengakses pengguna yang berada di dalam jaringan inside melalui pengguna vpn dengan menggunakan load balancing secondary cluster ASA. Remote desktop ini menggunakan program VNC degan menggunakan nomor port TCP 5900.

29 Analisa Grafik Bandwidth Pada Cluster VPN ASA. Selanjutnya penulis akan memperlihatkan pembagian bandwidth pada setiap secondary cluster ASA. Gambar 4.22 di bawah ini adalah grafik dari pemakaian banwidth pada secondary cluster pertama dengan IP yang di lewati user VPN. Gambar 4.22 Grafik Secondary Cluster IP Dari grafik secondary cluster IP Gambar 4.22 di atas, terbukti bahwa trafik user VPN pertama terkoneksi dengan cluster IP Trafik paket data di atas merupakan data penggunaan bandwidth dari pengguna VPN yang

30 119 berada pada internet yang men-download data pada WebServer yang berada di interface DMZ, dan melakukan remote desktop pada user yang berada dijaringan inside. Dari grafik di atas dapat diperhatikan packet rates yang berwarna pink merupakan trafik upload dan yang berwarna hijau merupakan trafik download. Selanjutnya penulis akan memperlihatkan perbedaan trafik secondary cluster kedua dengan IP sebelum dan sesudah dilewati trafik VPN. Gambar 4.23 Grafik cluster IP sebelum dilewati VPN Dari grafik cluster IP sebelum dilewati VPN di atas, terlihat packet rates yang masuk ke dalam cluster masih kosong, karena pada saat user

31 120 pertama mencoba terkoneksi dengan VPN ASA, virtual cluster master mengarahkan paket tersebut kedalam Cluster IP Selanjutnya penulis akan menambahkan user VPN kedua untuk melihat pemakaian pada cluster ini. Pada Gambar 4.24 di bawah ini, merupakan grafik dari pemakaian bandwidth pada secondary cluster kedua dengan IP setelah dilewati oleh user VPN. Gambar 4.24 Grafik cluster IP setelah dilewati VPN

32 121 Dari grafik cluster IP setelah dilewati VPN di atas, terbukti bahwa user kedua yang terkoneksi VPN di arahkan pada cluster IP , pada gambar di atas terlihat trafik paket data download yang berwarna hijau yang artinya pada saat user terkoneksi dengan VPN, user tersebut melakukan remote access pada salah satu client yang berada di jaringan inside dan melakukan download data ke internet di dalam komputer di jaringan inside tersebut. Sedangkan trafik data yang berwarna pink merupakan output paket dari ASA. Artinya user yang telah terkoneksi VPN melakukan download data dari internet menuju pada komputer WebServer (XAMPP) yang terdapat pada interface DMZ, sehingga bandwidth yang digunakan merupakan bandwidth pada IP Dari perbandingan Gambar 4.22 dan Gambar 4.24 di atas, dapat di perhatikan bahwa kedua secondary cluster Cisco ASA siap untuk menerima beban yang di atur oleh virtual cluster master. Jadi dengan kondisi tersebut dapat disimpulkan, telah terbukti bahwa load balancing pada Cisco ASA dapat berfungsi, sehingga akan mengoptimasi penggunaan bandwidth pada setiap Cisco ASA dan pembagian peers yang teratur pada masing-masing cluster ASA.