BAB 4 USULAN SOLUSI RANCANGAN DAN KONFIGURASI. 4.1 Usulan Rancangan Koneksi Kantor Cabang

Transkripsi

1 BAB 4 USULAN SOLUSI RANCANGAN DAN KONFIGURASI 4.1 Usulan Rancangan Koneksi Kantor Cabang Untuk koneksi dari jaringan kantor - kantor cabang ke jaringan kantor pusat Angkasa Pura II, penulis mengusulkan untuk menggunakan dedicated internet yang sudah tersedia di kantor-kantor Angkasa Pura II. Alasan digunakannya dedicated internet adalah karena dedicated internet memiliki downtime yang jauh lebih rendah daripada dial-up privat dan jaringan dedicated internet sudah berjalan pada masing-masing cabang dengan pemakaian bandwidth yang masih belum maksimal. Dengan dedicated internet, jaringan kantor cabang dan kantor pusat dapat terhubung terus selama 24 jam. Dari segi biaya, pengimplementasian koneksi kantor pusat dengan kantor cabang pada jaringan dedicated internet yang sudah ada akan jauh lebih murah dibandingkan dengan penggunaan dial-up. Dedicated internet juga memiliki kecepatan yang lebih cepat, sistem berjalan untuk pusat 256 Kbps dan cabang 128 Kbps, daripada dial-up privat yang kecepatannya hanya sampai 56 Kbps. Kecepatan dedicated internet yang akan digunakan pada usulan koneksi untuk kantor cabang adalah masih tetap menggunakan 128 Kbps dan untuk kantor pusat dinaikkan dari 256 Kbps menjadi 512 Kbps. Alasan pertimbangan untuk memilih jumlah bandwidth untuk kantor cabang masih menggunakan 128 Kbps adalah karena penggunaan bandwidth di 75

2 76 cabang masih belum maksimal. Sedangkan usulan untuk kantor pusat perlu dinaikkan menjadi 512 Kbps karena sudah maksimalnya penggunaan bandwidth yang sekarang ini dan juga agar tidak terjadi bottleneck pada jaringan kantor pusat apabila ke sembilan kantor cabang telah terkoneksi ke kantor pusat lewat internet dengan VPN. Keuntungan lainnya jika dibandingkan dengan dial-up privat adalah dedicated internet lebih mudah dikembangkan dan di-manage untuk perluasan bandwidth dan koneksi kantor cabang. Gambar 4.1 Usulan solusi koneksi kantor cabang dan mobile user

3 77 Gambar 4.1 merupakan usulan rancangan untuk koneksi berbagai kantor cabang dan mobile user dengan kantor pusat Angkasa Pura II. Untuk sistem usulan, kantor cabang yang terhubung dengan dedicated internet melalui ISP untuk terkoneksi ke jaringan kantor pusat pada sistem usulan ini berjumlah sembilan kantor cabang. Satu kantor cabang lainnya, yaitu bandara Soekarno Hatta terkoneksi dengan kantor pusat tidak melalui dedicated internet karena koneksi yang sedang berjalan saat ini sudah menggunakan jaringan privat dengan kabel null. Perbandingan biaya antara sistem yang sekarang ini berjalan dengan menggunakan dial-up dibandingkan dedicated internet yang menjadi sistem usulan dapat dilihat pada bagian Pada bagian 4.2.1, akan dianalisis mengenai biaya koneksi yaitu koneksi sekarang yang menggunakan dial up privat dengan penggunaan internet untuk koneksi kantor cabang seperti yang diusulkan Analisis Perbandingan Transfer Rate Analisis transfer rate berfungsi untuk membandingkan performa kecepatan antara sistem berjalan yang masih menggunakan dial-up dan sistem baru yang menggunakan dedicated internet sebagai media koneksi. Analisis transfer rate ini dilakukan dengan pengambilan file sebesar 3.12 MB dari web misalnya dengan ip menggunakan dial-up dan dedicated internet 256 Kbps.

4 78 Pada gambar 4.2 menunjukkan transfer rate sebesar 1.58 KB/Sec untuk file sebesar 3.12 MB yang dilakukan dengan menggunakan dial-up. Waktu yang diperlukan untuk selesainya transfer dilakukan diperkirakan sekitar 45 menit 50 detik. Gambar 4.2 Download data dengan dial-up Gambar 4.3 Download data dengan dedicated internet

5 79 Pada Gambar 4.3 menunjukkan transfer rate sebesar 7.52 KB/Sec untuk file sebesar 3.12MB yang dilakukan dengan menggunakan dedicated internet. Waktu yang diperlukan untuk selesainya transfer dilakukan adalah diperkirakan sekitar 7 menit 3 detik. Dari kedua analisis di atas menunjukkan transfer rate pada dedicated internet jauh lebih tinggi dibandingkan dial-up, sehingga waktu transfer dengan dedicated internet jauh lebih rendah Analisis Perbandingan Biaya Koneksi Kantor Cabang Analisis Biaya Sistem Berjalan Berikut ini adalah tabel 4.1 yang menunjukan biaya yang rata-rata dikeluarkan oleh perusahaan Angkasa Pura II setiap hari dan setiap bulannya dengan perkiraan pemakaian rata-rata empat jam seharinya pada sistem yang sedang berjalan saat ini, yaitu dial-up privat. Khusus untuk Bandara Soekarno Hatta, tidak dikenakan biaya komunikasi karena menggunakan kabel null untuk lalu lintas pertukaran data. Untuk sumber tarif telepon telkom, penulis mendapatkannya dari Daftar tarif juga dapat dilihat pada bagian lampiran dibagian belakang. Tabel 4.2 adalah biaya bulanan yang dikeluarkan untuk biaya internet seluruh kantor Angkasa Pura II sedangkan tabel 4.3 adalah biaya total sistem berjalan, yaitu sistem dial-up kantor cabang dan koneksi internet setiap kantor Angkasa Pura II. Biaya total yang dikeluarkan untuk sistem berjalan saat ini

6 80 adalah Rp ,-. Biaya ini nantinya yang akan dibandingkan dengan biaya dari sistem yang diusulkan.

7 81 Tabel 4.2 Biaya Koneksi Internet Kantor AP II Kecepatan Biaya Bulanan (Kbps) Dedicated Internet Kantor Pusat 256 Rp13,000, Soekarno-Hatta* - Rp0.00 Halim Perdanakusuma 128 Rp7,000, Husein Sastranegara 128 Rp7,000, Sultan Iskandarmuda 128 Rp7,000, Polonia 128 Rp7,000, Tabing 128 Rp7,000, Kijang 128 Rp7,000, Sultan Syarif Kasim II 128 Rp7,000, Sultan Mahmud Badaruddin II 128 Rp7,000, Supadio 128 Rp7,000, Total Biaya per Bulan Rp76,000, >> Sumber : << * Soekarno Hatta menggunakan internet sharing dari pusat Tabel 4.3 Total Biaya Sistem Berjalan Sistem Berjalan Dial-up Koneksi Kantor Cabang ke Kantor Pusat Internet Kantor Cabang dan Kantor Pusat Total Biaya Sistem Berjalan per Bulan Biaya Bulanan Rp104,082, Rp76,000, Rp180,082, Analisis Biaya Sistem Usulan Pada tabel 4.4 terdapat analisis biaya pada sistem yang diusulkan. Biaya yang diusulkan meliputi penambahan bandwidth menjadi sebesar 512 Kbps pada kantor pusat sedangkan pada kantor cabang tetap menggunakan bandwidth sebesar 128 Kbps. Untuk kantor cabang Soekarno Hatta, biaya komunikasi tidak dikenakan karena koneksi dengan pusat menggunakan kabel null.

8 82 Tabel 4.4 Total Biaya Sistem Usulan Kantor Angkasa Pura II Kecepatan Biaya Bulanan (Kbps) Dedicated Internet Kantor Pusat 512 Rp24,000, Soekarno-Hatta* - Rp0.00 Halim Perdanakusuma 128 Rp7,000, Husein Sastranegara 128 Rp7,000, Sultan Iskandarmuda 128 Rp7,000, Polonia 128 Rp7,000, Tabing 128 Rp7,000, Kijang 128 Rp7,000, Sultan Syarif Kasim II 128 Rp7,000, Sultan Mahmud Badaruddin II 128 Rp7,000, Supadio 128 Rp7,000, Total Biaya Sistem Usulan per Bulan Rp87,000, >> Sumber : << * Soekarno Hatta menggunakan internet sharing dari pusat Total biaya bulanan dari sistem yang diusulkan ini sekarang ini menjadi Rp ,- karena sudah tidak ada biaya bulanan untuk koneksi dial-up kantor cabang ke kantor pusat. Biaya bulanan untuk sistem yang diusulkan menjadi lebih murah / hemat Rp ,- 4.2 Usulan Koneksi Mobile User Untuk koneksi mobile user ke jaringan kantor pusat Angkasa Pura II, penulis mengusulkan untuk menggunakan dial-up ISP. Alasan digunakannya dial-up ISP adalah karena dial-up ISP memiliki biaya yang jauh lebih rendah dibandingkan dengan dial-up privat mengingat posisi mobile user bisa berada sangat jauh dari kantor pusat. Koneksi mobile user ke jaringan kantor pusat pada usulan koneksi ini mempunyai langkah langkah yang sama dengan sistem dial-

9 83 up. Perbedaannya yaitu untuk sistem dial-up yang lama, mobile user harus dial ke RAS melalui PSTN sedangkan di sistem usulan ini, mobile user dial ke ISP lokal untuk mendapat koneksi internet. Gambar 4.4 di bawah ini adalah usulan rancangan untuk koneksi mobile user dengan kantor pusat Angkasa Pura II Gambar 4.4 Usulan solusi koneksi mobile user Analisis Perbandingan Biaya Koneksi Mobile User Pada tabel 4.5 terdapat perbandingan antara biaya koneksi dial-up privat dan dial-up ISP lokal di manapun posisi mobile user berada. Posisi mobile user tidak menentu dan dapat berada dimana saja maka penulis mengambil sampel kota-kota yang menunjukkan di mana posisi user berada, yaitu: Bogor, Bali,

10 84 Bandung, Yogyakarta, Medan dengan waktu perkiraan pemakaian 30 menit untuk perhitungan analisis biaya koneksi mobile user. 4.3 Pemilihan Software dan Hardware yang Akan Digunakan Dalam perencanaan perancangan untuk implementasi VPN antara kantor cabang dengan kantor pusat Angkasa Pura II, perlu adanya pemilihan perangkat yang akan digunakan. Peralatan itu dapat peralatan yang baru atau bisa juga menggunakan peralatan jaringan yang sudah ada / tersedia. Software dan hardware yang digunakan oleh penulis adalah sebagai berikut: - Sepuluh Router Cisco Sepuluh modem dedicated internet - Remote Access Server - Cisco VPN Client software - RADIUS software

11 85 Router Cisco 2621 digunakan untuk terminate VPN pada koneksi kantor cabang dan mobile user dengan kantor pusat. IOS Cisco yang digunakan adalah Cisco IOS versi Semua hardware dan software yang akan digunakan sudah tersedia di kantor-kantor Angkasa Pura II. 4.4 Usulan Solusi Perancangan VPN Setelah usulan koneksi, baik itu kantor cabang dan mobile user, dan juga pemilihan peralatan untuk merancang koneksi VPN, sekarang perlu melakukan pemilihan komponen komponen IPSec untuk membuat suatu VPN. VPN yang diusulkan untuk mengamankan transfer data antara kantor cabang / mobile user dengan kantor pusat adalah menggunakan IPSec. Dalam hal ini terdapat berbagai komponen IPSec yang perlu dipilih, yaitu : metode authentikasi, algoritma enkripsi, algoritma hash, dan group Diffie-Hellman. Untuk koneksi VPN antara kantor - kantor cabang / mobile user dengan kantor pusat, digunakan router 2621 yang sudah ada pada kantor - kantor Angkasa Pura II. Perlu ditentukan IP address untuk setiap LAN kantor kantor cabang dan kantor pusat Angkasa Pura II. Selain itu, IP address yang merupakan koneksi internet akan diberikan oleh Internet Service Provider (ISP). Pada rancangan yang diusulkan ini, IP address yang digunakan adalah pemisalan bahwa ISP telah memberikan IP address seperti itu. Tabel 4.6 dibawah ini merupakan tabel yang berisi rancangan koneksi router kantor pusat. Rancangan tersebut akan digunakan untuk menghubungkan koneksi internet yang akan digunakan untuk jalur VPN dan jalur akses internet

12 86 seperti yang sekarang sudah berjalan. Pada tabel 4.6 ditentukan hostname yang merupakan nama router tersebut, lalu IP address interface router ethernet 0 yang merupakan IP address jaringan lokal dalam hal ini adalah beserta subnet mask-nya dan IP address interface router serial 0 yang terhubung ke ISP juga beserta subnet mask-nya. Tabel 4.6 Rancangan Koneksi Router Kantor Pusat Konfigurasi Router Kantor Pusat Host Name HQ Network ID S IP Address S Subnet Mask S Network ID E IP Address E Subnet Mask E Setiap router perlu adanya suatu access list destination yang nantinya diperuntukan untuk perancangan jalur VPN yang dituju. Dalam langkah langkah pengimplementasian IPSec access list tersebut diperlukan untuk memperbolehkan pengiriman data dari LAN kantor cabang ke kantor pusat dan sebaliknya. Untuk langkah langkah apa saja yang perlu dalam pengimplementasian IPSec, dapat dilihat pada sub bab selanjutnya. Tabel 4.7 memberikan rancangan access list router kantor pusat. Terdapat 10 access list yang dimulai dari nomor 101 untuk kantor cabang Halim Perdanakusuma yang dirancang agar jaringan lokalnya menggunakan IP address Terakhir adalah access list nomor 110 yang ditujukan untuk mobile user dengan menggunakan IP address Masing masing kantor

13 87 cabang tersebut harus menggunakan IP address yang berbeda network-nya. Ini dimaksudkan agar dalam routing VPN-nya tidak membingungkan. Tabel 4.7 Rancangan Access List Router Kantor Pusat Access List Number Access List Destination (Halim PK) (Husein Sastranegara) (Polonia) (Sultan Iskandarmuda) (SM Badaruddin II) (Supadio) (Sultan Syarif Kasim II) (Tabing) (Kijang) (Mobile User) Pada tabel 4.8 terdapat rancangan router kantor cabang yang masing masing terhubung ke internet melalui ISP. Dalam rancangan terserbut terdapat hostname yang merupakan nama router masing masing kantor cabang, interface serial 0 nya yang terhubung ke ISP, interface ethernet 0 nya yang merupakan jaringan lokal beserta subnet mask-nya masing masing dan access list yang digunakan agar jalur data ke kantor pusat dienkripsi melalui VPN. Jadi access list destination dari router kantor cabang adalah jaringan lokal kantor pusat, yaitu karena setiap kantor cabang VPN nya ditujukan ke kantor pusat makan semua access list kantor cabang adalah IP address LAN kantor pusat.

14 88 Tabel Rancangan Koneksi Router Kantor Cabang Konfigurasi Router Halim PK Husein Sastranegara Polonia Host Name HPK HS PL Network ID S IP Address S Subnet Mask S Network ID E IP Address E Subnet Mask E Access List Number Access List Destination Konfigurasi Router Sultan SM Iskandarmuda Badaruddin II Supadio Host Name SI SMB2 SP Network ID S IP Address S Subnet Mask S Network ID E IP Address E Subnet Mask E Access List Number Access List Destination Konfigurasi Router Sultan Syarif Kasim II Tabing Kijang Host Name SSK2 TB KJ Network ID S IP Address S Subnet Mask S Network ID E IP Address E Subnet Mask E Access List Number Access List Destination Site-to-Site VPN Perancangan VPN kantor cabang dengan kantor pusat Angkasa Pura II merupakan VPN tipe site-to-site karena hanya menghubungkan kedua tempat tersebut saja. VPN yang akan dirancang adalah menggunakan IPSec dengan GRE tunneling. Untuk pengimplementasian IPSec dengan GRE tunneling dalam pembuatan VPN terdapat 5 langkah, yaitu

15 89 1. Konfigurasi tunnel GRE Tunnel merupakan virtual interface yang digunakan untuk menciptakan jalur langsung ke suatu jaringan, merupakan dasar dari VPN. 2. Konfigurasi access-list Mendefinisikan traffic apa yang perlu diproteksi antara dua remote IPSec peer dengan mengkonfigurasi access-list. 3. Konfigurasi transform set Transform set merepresentasikan suatu kombinasi tertentu dari protokol dan algoritma security. Selama negosiasi IPSec security association, kedua peer menyetujui untuk menggunakan suatu transform set tertentu untuk melindungi suatu aliran data tertentu. 4. Konfigurasi crypto map entries Tipe crypto map yang akan digunakan adalah dengan IKE (Internet Key Exchange) menggunakan Internet Security Association and Key Management Protocol (ISAKMP). Pada ISAKMP akan digunakan metode pre-shared yaitu dengan memasukan key secara manual. Ada 3 langkah lagi yang perlu dilakukan dalam membuat crypto map ini, yaitu : a. Konfigurasi crypto isakmp policy Pada isakmp policy ini perlu ditentukan metode authentikasi, algoritma hash, algoritma enkripsi, Diffie-Hellman group dan security association lifetime yang akan dipergunakan.

16 90 b. Konfigurasi crypto isakmp key Pada langkah ini, hanya perlu memasukan key yang akan digunakan beserta alamat yang dituju untuk VPN-nya. c. Konfigurasi crypto map Dalam pembuatan crypto map diperlukan penentuan nama map, urutan, nama access list yang sudah di-setting sebelumnya, ip address tujuan, nama transform set, security association lifetime dan group pfs-nya 5. Implementasi crypto map pada interface router Langkah terakhir dalam pengimplementasian IPSec adalah meletakkan crypto map yang telah dibuat pada salah satu interface yang akan digunakan untuk VPN. Berikut dibawah ini salah satu contoh rancangan IPSec untuk membangun sebuah VPN antara kantor pusat dengan kantor cabang Angkasa Pura II. Penulis hanya mengambil satu contoh karena hampir semua rancangannya sama untuk semua kantor cabang, hanya isakmp key, access list, crypto map serta IP address-nya saja yang berbeda. Untuk perancangan IPSec lengkapnya dapat dilihat pada lampiran dibagian belakang. Untuk langkah pertama dalam pembuatan IPSec VPN, yaitu perlu membuat tunnel. Untuk membuat tunnel perlu IP address tersendiri yang berbeda dari jaringan lokal baik kantor pusat maupun kantor cabang dan tunneling yang lainnya. Untuk itulah diperlukan IP address dengan subnet mask

17 untuk tunnel IP address kantor pusat dan Halim Perdanakusuma. Untuk kantor pusat dengan Husein Sastranegara digunakan network dengan subnet mask dan seterusnya hingga kantor cabang ke sembilan. Untuk tunnel key-nya ditentukan menggunakan Grekey. Kedua konfigurasi key harus sama untuk kantor cabang dan pusat agar tunnel-nya bisa terbentuk. Berikut pada tabel 4.9 terdapat perancangan GRE tunnel. Untuk perancangan lengkapnya terdapat pada lampiran D. Tabel 4.9 Perancangan GRE tunnel GRE Tunnel Kantor Pusat Halim Perdanakusuma Tunnel Name tunnel0 tunnel0 Tunnel IP Address Tunnel Source s0 s0 Tunnel Destination Tunnel Key Grekey grekey Setelah pembuatan tunnel, maka perlu membuat access list. Pembuatan access list telah dilakukan pada tabel perancangan koneksi router di tabel 4.7 untuk kantor pusat dan tabel 4.8 untuk kantor cabang. Untuk dapat terhubung antara kedua kantor, perlu ada routing terhadap paket paket data. Untuk itu perlu adanya perancangan routing. Berikut pada tabel 4.10 terdapat routing routing yang diperlukan untuk koneksi kantor cabang ke kantor pusat dengan menggunakan GRE tunnel serta routing lainnya yang diperlukan untuk koneksi VPN.

18 92 Tabel 4.10 Tabel routing Kantor Destination Source Kantor Pusat / / / / / / / / / / Halim Perdanakusuma / / Husein Sastranegara / / Polonia / / Sultan Iskandarmuda / / SM Badaruddin II / / Supadio / / Sultan Syarif Kasim II / / Tabing / / Kijang / / Selanjutnya adalah membuat transform set, isakmp policy, isakmp key dan crypto map. Tabel 4.11 merupakan rancangan isakmp policy yang menunjukkan bagaimana kebijakan dari kedua peer VPN untuk saling mengauthentikasi satu sama lain. Untuk kantor cabang dan pusat digunakan isakmp policy yang sama.

19 93 Tabel Rancangan ISAKMP Policy ISAKMP Policy Kantor Pusat Kantor Cabang ISAKMP Policy Priority 1 1 ISAKMP Policy Authentication pre-share pre-share ISAKMP Policy Encryption 3des 3des ISAKMP Policy Group 2 2 ISAKMP Policy Hash SHA SHA ISAKMP Policy Lifetime Dalam isakmp policy di tabel 4.11 terdapat priority yang digunakan untuk memberikan prioritas apabila terdapat banyak policy / kebijakan yang digunakan. Authentikasi yang digunakan adalah pre-share dimana isakmp key-nya ditentukan secara manual. Pemilihan metode pre-share dikarenakan penggunaan metode lain selain pre-share seperti RSA server sangatlah mahal. Enkripsi yang akan digunakan adalah 3des dikarenakan 3des sudah sangat aman dalam pengenkripsian dibandingkan dengan des. 3des menggunakan kunci 168 bit sehingga menciptakan enkripsi yang lebih kompleks. Yang dimaksudkan group dalam policy / kebijakan ini adalah Diffie- Hellman group yang merupakan metode pertukaran kunci dalam pengauthentikasian. Pada rancangan ini akan digunakan group 2, yaitu 1024-bit Diffie-Hellman group identifier karena lebih baik jika dibandingkan dengan group 1, yaitu 768-bit Diffie-Hellman group identifier. Lifetime merupakan lama waktu untuk security association agar kembali bernegosiasi kembali antara dua peer. Lifetime yang digunakan idealnya untuk model site-to-site ini adalah 24 jam sehingga setiap 24 jam (86400 detik) sekali terjadi pertukaran kunci untuk saling mengauthentikasi kembali. Negosiasi yang terjadi bila lifetime habis hanya untuk menjaga integritas koneksi.

20 94 Untuk komponen IPSec yang lainnya selain isakmp policy, perlu ditentukan transform set, isakmp key dan crypto map. Tabel 4.12 merupakan rancangan salah satu kantor cabang yang diambil mewakili kantor cabang lainnya untuk mengaplikasikan VPN dari kantor cabang ke kantor pusat. Dalam hal ini akan dijelaskan mengenai rancangan IPSec VPN untuk bandara Halim Perdanakusuma ke kantor pusat. Rancangan untuk kantor cabang lainnya dapat dilihat secara lengkap pada lampiran A. Tabel Perancangan VPN Kantor Pusat dengan Halim Perdanakusuma Komponen Perancangan IPSec Kantor Pusat Halim PK Transform Set Transform Set Name HQset HQset Transform Set Protocol esp-3des esp-3des Transform Set Algorithm esp-sha-hmac esp-sha-hmac ISAKMP Key ISAKMP Keystring vpnhqhpk2 vpnhqhpk2 ISAKMP Peer Address Crypto Map Crypto Map Name HQmap HQmap Crypto Map Sequence Number 1 1 Crypto Map Access List Crypto Map Peer IP Crypto Map Transform Set HQset HQset Crypto Map Life Time Crypto Map pfs 2 2 Pada tabel 4.12 ditentukan nama transform set dari kantor pusat dan Halim Perdanakusuma. Keduanya menggunakan protokol dan algoritma yang sama untuk transform set-nya. Untuk protokol digunakan esp-3des. ESP jika dibandingkan dengan AH memiliki kelebihan yaitu terdapat fitur enkripsi. Untuk itu digunakan enkripsi yang handal, yaitu 3des. Untuk algoritma transform set

21 95 digunakan esp-sha-hmac, yaitu transform set ESP yang menggunakan authentikasi sha-hmac Remote Access VPN Untuk VPN bagi mobile user, maka tipe VPN -nya adalah remote access VPN dengan IPSec. Pada remote access VPN ini akan digunakan Cisco VPN Client software untuk membuka sesi VPN pada komputer mobile user dan akan di-terminate pada router 2621 pada kantor pusat. Di kantor pusat perlu adanya settingan untuk RADIUS server yang akan mengauthentikasi mobile user. Untuk mengimplementasikan remote acces VPN ini perlu 6 langkah yang harus dilakukan dalam perancangannya untuk menciptakan secure tunnel VPN. Langkah langkahnya yaitu : 1. Konfigurasi Authentication, Authorization, and Accounting (AAA) Konfigurasi ini diperlukan untuk mengkonfigurasikan penggunaan RADIUS server untuk authentikasi. Perlu ditentukan nama authentikasi, authorization dan accounting. Selain itu IP address untuk host RADIUS server dan key juga perlu diketahui untuk mengauthentikasi mobile user. 2. Konfigurasi transform set Transform set yang dibuat ini sama dengan transform set yang dibuat pada site-to-site VPN diatas. 3. Konfigurasi crypto map entries a. Konfigurasi crypto isakmp policy b. Konfigurasi crypto isakmp group configuration

22 96 c. Konfigurasi crypto dynamic map d. Konfigurasi crypto map 4. Implementasikan crypto map pada interface router 5. Konfigurasi RADIUS 6. Konfigurasi Cisco VPN Client Langkah langkah yang mobile user harus lakukan pada sistem usulan ini adalah pertama tama mobile user harus dial-up / terkoneksi ke ISP lokal atau internet. Lalu setelah itu, mobile user akan mengakses jaringan kantor pusat dan akan ada authentikasi pada RADIUS server untuk memastikan bahwa user dapat mengaksesnya, lalu terjadi sesi VPN antara komputer mobile user dan jaringan kantor pusat sehingga transfer data dapat berlangsung aman. Konfigurasi access-list perlu dibuat untuk mendefinisikan traffic apa yang perlu diproteksi antara kantor pusat dengan mobile user. Pada tabel 4.13 terdapat Pool, yaitu range IP address yang akan diberikan ketika mobile user terkoneksi ke kantor pusat. Jadi ketika terkoneksi dengan kantor pusat, mobile user diberikan IP address LAN kantor pusat. Pemberian IP address untuk mobile user ini mirip dengan DHCP. Tabel 4.13 merupakan rancangan VPN untuk mobile user yang menggunakan software Cicso VPN client. Terdapat sedikit perbedaan antara rancangan VPN kantor cabang dengan mobile user. Untuk authentikasi, mobile user akan menggunakan RADIUS Server. Konfigurasi RADIUS Sever akan dibahas pada sub bab Untuk rancangan VPN bagi mobile user perlu ada

23 97 AAA (Authentication, Authorization, Accounting). Itu diperlukan untuk koneksi ke RADIUS Server. Untuk AAA hanya diperlukan nama authentikasi, authorisasi, dan accounting. Pada remote access VPN perlu dibuat suatu pool yaitu IP address yang akan dipakai mobile user ketika terkoneksi ke kantor pusat. Pool ini harus merupakan network yang berbeda dari jaringan yang ada di kantor pusat maupun kantor cabang lainnya. Untuk pool akan diberikan range IP address mulai dari sampai dengan dengan subnet mask yang digunakan adalah Pool ini dinamai dengan pool1. Penamaan yang digunakan untuk pool adalah bebas. Transform set pada rancangan mobile user ini sama dengan transform set yang digunakan pada rancangan VPN kantor cabang, hanya nama transform setnya saja yang berbeda. Untuk isakmp policy, dibuat suatu policy baru sehingga nantinya dapat dibedakan antara remote access VPN dengan VPN kantor cabang. Lifetime yang ideal untuk remote access VPN adalah 1800 detik (30 menit) sehingga setiap 30 menit sekali security association kembali bernegosiasi untuk menjaga integritas koneksi. Karena mobile user dikelompokan berdasarkan pool maka terdapat isakmp group. Dalam isakmp group ini perlu ditentukan nama group, key yang akan digunakan, nama pool dan access list. Setelah itu perbedaan lainnya adalah pada rancangan VPN mobile user, terdapat crypto dynamic map. Pada crypto dynamic map hanya diperlukan nama dynamic mapnya, sequence, dan nama transform set yang telah dibuat. Untuk crypto map-nya perlu nama authentikasi dan authorisasi serta nama dynamic map yang telah

24 98 dibuat. Untuk sequence hanya diperlukan untuk memberikan urutan jika terdapat lebih dari satu crypto map. Tabel 4.13 Perancangan VPN untuk Mobile User Komponen Perancangan IPSec untuk Mobile User AAA Authentication Name Authorization Name Pool Pool Name IP Range Kantor Pusat authen author pool ISAKMP Policy ISAKMP Policy Priority 2 ISAKMP Policy Authentication pre-share ISAKMP Policy Encryption 3des ISAKMP Policy Group 2 ISAKMP Policy Hash SHA ISAKMP Policy Lifetime 1800 ISAKMP Client ISAKMP Group group1 Key remote Pool Name pool1 Access List 110 Crypto Dynamic Map Crypto Dynamic Map Name dynmap Crypto Dynamic Map Sequence 1 Transform Set Name HQSet Crypto Map Crypto Map Name HQMap Authentication Name authen Authorization Name author Crypto Map Sequence 10 Crypto Dynamic Map Name dynmap Interface S0 Crypto Map Name HQMap

25 Konfigurasi RADIUS RADIUS akan digunakan untuk authentikasi mobile user yang akan mengakses jaringan kantor pusat melalui sinternet. Pada tabel 4.14 merupakan rancangan konfigurasi untuk RADIUS yaitu diperlukan IP address RADIUS server dan key-nya. Key ini digunakan untuk koneksi RADIUS ke router. Tabel Perancangan Koneksi RADIUS Koneksi RADIUS IP Host Radius Server Radius Server Key Kunci Di RADIUS ada beberapa yang harus di-setting, yaitu harus membuat username dan password untuk masing masing mobile user pada bagian user setup. Langkah langkah yang dilakukan pertama tama adalah memasukan nama user seperti yang terlihat pada gambar 4.5. Lalu perlu ditentukan password untuk mobile user tersebut seperti yang diperlihatkan pada gambar 4.6. Setelah membuat nama user dan password, maka perlu menghubungkan router ke RADIUS di bagian network configuration. Pilih add AAA Client seperti yang terlihat pada gambar 4.7. Pada bagian ini isi AAA Client Hostname dengan hostname router yang digunakan, dalam hal ini adalah HQ. AAA Client IP address diisi dengan IP interface router ethernet 0, yaitu Lalu bagian Key perlu diisi sama dengan key yang dikonfigurasikan pada router. Pada bagian Authentication Using pilih RADIUS (CISCO IOS/PIX) karena dalam pembuatan remote access VPN ini digunakan RADIUS dan IOS Cisco yang merupakan sistem operasi router. Agar router terhubung ke RADIUS maka perlu

26 100 restart RADIUS-nya terlebih dahulu dan setelah itu akan nampak seperti pada gambar 4.8. untuk AAA server adalah komputer yang menjadi sever RADIUS ini. Pada RADIUS juga terdapat log yang digunakan untuk pencatatan user mobile yang mengakses jaringan kantor pusat. Gambar 4.9 menunjukan setting konfigurasi log file pada RADIUS. Log file tersebut dapat dipilih akan digenerate setiap hari, setiap minggu, setiap bulan atau ketika file-nya lebih besar dari yang ditentukan. Gambar 4.5 Membuat user pada RADIUS

27 101 Gambar 4.6 Penentuan password untuk user pada RADIUS Gambar 4.7 Setting AAA Client pada RADIUS

28 102 Gambar 4.8 Konfigurasi network pada RADIUS Gambar 4.9 Setting Log pada RADIUS

29 Konfigurasi Cisco VPN Client Cisco VPN Client adalah software yang akan digunakan oleh mobile user untuk terkoneksi ke jaringan kantor pusat melalui VPN. Dengan menggunakan Cisco VPN Client maka data data yang ditransfer ke mobile user dari jaringan kantor pusat atau sebaliknya akan melalui proses enkripsi. Gambar 4.10 adalah tampilan awal dari software Cisco VPN Client. Gambar 4.10 Cisco VPN Client Langkah awal yang harus dilakukan oleh user untuk dapat terkoneksi ke kantor pusat dengan menggunakan software ini adalah mobile user harus membuat koneksi baru dengan memilih menu yang terdapat pada tombol Options. Setelah itu, akan muncul tampilan seperti pada gambar 4.11 di bawah ini dan harus diisi nama baru dari koneksi yang dibuat dan tekan tombol next. Lalu muncul tampilan seperti gambar 4.12, disini perlu dimasukkan hostname

30 104 atau IP address yang dituju, dalam hal ini adalah IP address kantor pusat dan tekan tombol next lalu akan tampil seperti pada gambar Pada gambar 4.13 pilih group access information dan isi nama group, dalam hal ini adalah group1. Nama group ini harus sesuai dengan konfigurasi isakmp group yang terdapat pada router lalu tekan next dan selesailah pembuatan koneksi baru pada Cisco VPN Client. Gambar 4.11 Penentuan nama koneksi pada Cisco VPN Client Gambar 4.12 Penentuan IP address pada Cisco VPN Client

31 105 Gambar 4.13 Penentuan group pada Cisco VPN Client Setelah membuat koneksi baru, mobile user tinggal melakukan koneksi ke kantor pusat dengan mengklik tombol connect seperti yang terlihat pada gambar 4.14 dibawah ini. Lalu akan muncul inisialisasi koneksi seperti yang terlihat pada gambar Gambar 4.14 Melakukan koneksi pada Cisco VPN Client

32 106 Gambar 4.15 Inisialisasi koneksi Cisco VPN Client Setelah inisialisasi selesai, user perlu memasukan username dan password yang sudah didaftar pada RADIUS. Gambar 4.16 adalah tampilan ketika user memasukan username dan password. Setelah itu tekan ok dan akan dilakukan authentikasi pada RADIUS. Gambar 4.16 Authentikasi pada Cisco VPN Client

33 107 Gambar 4.17 Status koneksi Cisco VPN Client Setelah authentikasi berhasil, user dapat mengakses jaringan kantor pusat. User dapat melihat status koneksi Cisco VPN Client seperti yang terlihat pada gambar 4.17 dan Gambar 4.18 Statistik koneksi Cisco VPN Client

34 Usulan Konfigurasi VPN Rancangan yang telah dibuat dapat langsung dikonfigurasikan pada masing masing router kantor Angkasa Pura II. Berikut ini adalah usulan konfigurasi baik itu untuk koneksi VPN kantor cabang dan juga koneksi VPN mobile user dengan mengikuti masing masing langkah pembuatan VPN dengan IPSec seperti yang telah dibahas diatas Konfigurasi Site-to-Site VPN Karena terdapat satu kantor pusat dan sembilan kantor cabang Angkasa Pura II, maka konfigurasi dibagi bagi menurut masing masing kantor. Berikut adalah usulan konfigurasi untuk membuat VPN beserta penjelasannya untuk kantor pusat dan salah satu kantor cabang PT. Angkasa Pura II Konfigurasi VPN Kantor Pusat AP II // Konfigurasi dasar untuk memulai konfigurasi router dan mengubah nama router. Router> enable Router# configure terminal Router(config)# hostname HQ -- Router Interface -- // Konfigurasi ip address publik dan ip address LAN. HQ(config)# interface e0 HQ(config-if)# ip address HQ(config-if)# no shutdown HQ(config-if)# exit HQ(config)# interface s0 HQ(config-if)# ip address HQ(config-if)# no shutdown HQ(config-if)# exit

35 Static Routing -- // Konfigurasi ip route agar terkoneksi ke internet HQ(config)# ip route GRE Routing -- // Konfigurasi ip route agar ip privat kantor cabang dapat terhubung dengan ip privat kantor pusat HQ(config)# ip route HQ(config)# ip route HQ(config)# ip route HQ(config)# ip route HQ(config)# ip route HQ(config)# ip route HQ(config)# ip route HQ(config)# ip route HQ(config)# ip route GRE Tunnel -- // Konfigurasi GRE tunnel untuk membuat jalur virtual yang menghubungkan peer kantor pusat dan kantor cabang. GRE tunnel yang dibuat ada sembilan tunnel yang menghubungkan sembilan kantor cabang dengan kantor pusat. HQ (config)#interface tunnel0 HQ (config-if)#ip address HQ (config-if)#tunnel source s0 HQ (config-if)#tunnel destination HQ (config-if)#tunnel key grekey HQ (config-if)#tunnel sequence-datagrams HQ (config-if)#tunnel checksum HQ (config)#interface tunnel1 HQ (config-if)#ip address HQ (config-if)#tunnel source s0 HQ (config-if)#tunnel destination HQ (config-if)#tunnel key grekey HQ (config-if)#tunnel sequence-datagrams HQ (config-if)#tunnel checksum HQ (config)#interface tunnel2 HQ (config-if)#ip address HQ (config-if)#tunnel source s0 HQ (config-if)#tunnel destination HQ (config-if)#tunnel key grekey HQ (config-if)#tunnel sequence-datagrams HQ (config-if)#tunnel checksum HQ (config)#interface tunnel3 HQ (config-if)#ip address HQ (config-if)#tunnel source s0

36 110 HQ (config-if)#tunnel destination HQ (config-if)#tunnel key grekey HQ (config-if)#tunnel sequence-datagrams HQ (config-if)#tunnel checksum HQ (config)#interface tunnel4 HQ (config-if)#ip address HQ (config-if)#tunnel source s0 HQ (config-if)#tunnel destination HQ (config-if)#tunnel key grekey HQ (config-if)#tunnel sequence-datagrams HQ (config-if)#tunnel checksum HQ (config)#interface tunnel5 HQ (config-if)#ip address HQ (config-if)#tunnel source s0 HQ (config-if)#tunnel destination HQ (config-if)#tunnel key grekey HQ (config-if)#tunnel sequence-datagrams HQ (config-if)#tunnel checksum HQ (config)#interface tunnel6 HQ (config-if)#ip address HQ (config-if)#tunnel source s0 HQ (config-if)#tunnel destination HQ (config-if)#tunnel key grekey HQ (config-if)#tunnel sequence-datagrams HQ (config-if)#tunnel checksum HQ (config)#interface tunnel7 HQ (config-if)#ip address HQ (config-if)#tunnel source s0 HQ (config-if)#tunnel destination HQ (config-if)#tunnel key grekey HQ (config-if)#tunnel sequence-datagrams HQ (config-if)#tunnel checksum HQ (config)#interface tunnel8 HQ (config-if)#ip address HQ (config-if)#tunnel source s0 HQ (config-if)#tunnel destination HQ (config-if)#tunnel key grekey HQ (config-if)#tunnel sequence-datagrams HQ (config-if)#tunnel checksum -- Access List -- // Konfigurasi access list untuk menentukan traffic yang perlu diproteksi antara ke dua peer. Disini dibuat sepuluh access list, yaitu sembilan access list untuk koneksi kantor pusat dengan sembilan kantor cabang dan satu access list untuk mobile user. HQ (config)#access-list 101 permit ip HQ (config)#access-list 102 permit ip HQ (config)#access-list 103 permit ip HQ (config)#access-list 104 permit ip

37 111 HQ (config)#access-list 105 permit ip HQ (config)#access-list 106 permit ip HQ (config)#access-list 107 permit ip HQ (config)#access-list 108 permit ip HQ (config)#access-list 109 permit ip HQ (config)#access-list 110 permit ip Transform Set -- // Konfigurasi transform set untuk menentukan nama transform set, protokol dan algoritma security. Protokol yang digunakan adalah protokol 3des (esp-3des) sedangkan algoritma yang digunakan adalah algoritma sha-hmac (esp-sha-hmac). HQ(config)# crypto ipsec transform-set HQset esp-3des esp-sha-hmac -- Isakmp Policy -- // Konfigurasi isakmp digunakan untuk menentukan metode authentikasi, algoritma hash, dan algoritma enkripsi. Metode autentifikasi yang digunakan adalah preshare, algoritma enkripsi yang digunakan adalah md5, dan algoritma enkripsi yang digunakan adalah 3des. HQ(cfg-crypto-trans)# crypto isakmp policy 1 HQ(config-isakmp)# authentication pre-share HQ(config-isakmp)# encryption 3-des HQ(config-isakmp)# group 2 HQ(config-isakmp)# hash SHA HQ(config-isakmp)# lifetime HQ(config-isakmp)# exit -- Isakmp Key -- Konfigurasi isakmp key digunakan untuk menset password yang akan digunakan untuk konfigurasi isakmp HQ(config)# crypto isakmp key vpnhqhpk1 address HQ(config)# crypto isakmp key vpnhqhs2 address HQ(config)# crypto isakmp key vpnhqpl3 address HQ(config)# crypto isakmp key vpnhqsi4 address HQ(config)# crypto isakmp key vpnhqsmb5 address HQ(config)# crypto isakmp key vpnhqsp6 address HQ(config)# crypto isakmp key vpnhqssk7 address HQ(config)# crypto isakmp key vpnhqtb8 address HQ(config)# crypto isakmp key vpnhqkj9 address Crypto Map -- // Konfigurasi crypto map untuk menggabungkan access list, set peer, dan transform set yang telah dibuat sebelumnya HQ(config)# crypto map HQmap 1 ipsec-isakmp HQ(config-crypto-map)# match address 101

38 112 HQ(config-crypto-map)# set peer HQ(config-crypto-map)# set transform-set HQset HQ(config-crypto-map)# set security-association lifetime seconds HQ(config-crypto-map)# set pfs group2 HQ(config-crypto-map)# exit HQ(config)# crypto map HQmap 2 ipsec-isakmp HQ(config-crypto-map)# match address 102 HQ(config-crypto-map)# set peer HQ(config-crypto-map)# set transform-set HQset HQ(config-crypto-map)# set security-association lifetime seconds HQ(config-crypto-map)# set pfs group2 HQ(config-crypto-map)# exit HQ(config)# crypto map HQmap 3 ipsec-isakmp HQ(config-crypto-map)# match address 103 HQ(config-crypto-map)# set peer HQ(config-crypto-map)# set transform-set HQset HQ(config-crypto-map)# set security-association lifetime seconds HQ(config-crypto-map)# set pfs group2 HQ(config-crypto-map)# exit HQ(config)# crypto map HQmap 4 ipsec-isakmp HQ(config-crypto-map)# match address 104 HQ(config-crypto-map)# set peer HQ(config-crypto-map)# set transform-set HQset HQ(config-crypto-map)# set security-association lifetime seconds HQ(config-crypto-map)# set pfs group2 HQ(config-crypto-map)# exit HQ(config)# crypto map HQmap 5 ipsec-isakmp HQ(config-crypto-map)# match address 105 HQ(config-crypto-map)# set peer HQ(config-crypto-map)# set transform-set HQset HQ(config-crypto-map)# set security-association lifetime seconds HQ(config-crypto-map)# set pfs group2 HQ(config-crypto-map)# exit HQ(config)# crypto map HQmap 6 ipsec-isakmp HQ(config-crypto-map)# match address 106 HQ(config-crypto-map)# set peer HQ(config-crypto-map)# set transform-set HQset HQ(config-crypto-map)# set security-association lifetime seconds HQ(config-crypto-map)# set pfs group2 HQ(config-crypto-map)# exit HQ(config)# crypto map HQmap 7 ipsec-isakmp HQ(config-crypto-map)# match address 107 HQ(config-crypto-map)# set peer HQ(config-crypto-map)# set transform-set HQset HQ(config-crypto-map)# set security-association lifetime seconds HQ(config-crypto-map)# set pfs group2 HQ(config-crypto-map)# exit HQ(config)# crypto map HQmap 8 ipsec-isakmp HQ(config-crypto-map)# match address 109

39 113 HQ(config-crypto-map)# set peer HQ(config-crypto-map)# set transform-set HQset HQ(config-crypto-map)# set security-association lifetime seconds HQ(config-crypto-map)# set pfs group2 HQ(config-crypto-map)# exit HQ(config)# crypto map HQmap 9 ipsec-isakmp HQ(config-crypto-map)# match address 109 HQ(config-crypto-map)# set peer HQ(config-crypto-map)# set transform-set HQset HQ(config-crypto-map)# set security-association lifetime seconds HQ(config-crypto-map)# set pfs group2 HQ(config-crypto-map)# exit -- Implementasi Crypto Map pada Interface Serial -- // Crypto map yang telah dibuat diimplementasikan di interface s0 router HQ (config)#interface s0 HQ (config-if)#crypto map HQmap HQ (config-if)#exit -- Implementasi Crypto Map pada Interface Tunnel -- // Crypto map yang telah dibuat diimplementasikan di interface tunnel HQ (config)#interface tunnel0 HQ (config-if)#crypto map HQmap HQ (config-if)#exit HQ (config)#exit Konfigurasi VPN Kantor Cabang AP II // Konfigurasi dasar untuk memulai konfigurasi router dan mengubah nama router. Router> enable Router# configure terminal Router(config)# hostname HPK -- Router Interface -- // Konfigurasi ip address publik dan ip address LAN. HPK (config)# interface e0 HPK (config-if)# ip address HPK (config-if)# no shutdown HPK (config-if)# exit HPK (config)# interface s0 HPK (config-if)# ip address HPK (config-if)# no shutdown HPK (config-if)# exit

40 Static Routing -- // Konfigurasi ip route untuk menentukan ip address router kantor pusat yang terhubung dengan router kantor cabang. HPK (config)# ip route GRE Routing -- // Konfigurasi ip route agar ip privat kantor cabang dapat terhubung dengan ip privat kantor pusat HPK (config)# ip route GRE Tunnel -- // Konfigurasi GRE tunnel untuk membuat jalur virtual yang menghubungkan peer kantor pusat dan kantor cabang. HPK (config)#interface tunnel0 HPK (config-if)#ip address HPK (config-if)#tunnel source s0 HPK (config-if)#tunnel destination HPK (config-if)#tunnel key grekey HPK (config-if)#tunnel sequence-datagrams HPK (config-if)#tunnel checksum -- Access List -- // Konfigurasi access list untuk menentukan traffic yang perlu diproteksi antara dua peer, yaitu kantor cabang dan kantor pusat. HPK(config)# access-list 100 permit ip Transform Set -- // Konfigurasi transform set untuk menentukan nama transform set, protokol dan algoritma security. Protokol yang digunakan adalah protokol 3des (esp-3des) sedangkan algoritma yang digunakan adalah algoritma sha-hmac (esp-sha-hmac). HPK (config)# crypto ipsec transform-set HQset esp-3des esp-sha-hmac -- Isakmp Policy -- // Konfigurasi isakmp digunakan untuk menentukan metode authentikasi, algoritma hash, dan algoritma enkripsi. Metode autentifikasi yang digunakan adalah preshare, algoritma enkripsi yang digunakan adalah md5, dan algoritma enkripsi yang digunakan adalah 3des. HPK (cfg-crypto-trans)# crypto isakmp policy 1

41 115 HPK (config-isakmp)# authentication pre-share HPK (config-isakmp)# encryption 3-des HPK (config-isakmp)# group 2 HPK (config-isakmp)# hash SHA HPK (config-isakmp)# lifetime HPK (config-isakmp)# exit -- Isakmp Key -- Konfigurasi isakmp key digunakan untuk menset password yang akan digunakan untuk konfigurasi isakmp HPK (config)# crypto isakmp key vpnhqhpk1 address Crypto Map -- // Konfigurasi crypto map untuk menggabungkan access list, set peer, dan transform set yang telah dibuat sebelumnya HPK (config)# crypto map HQmap 1 ipsec-isakmp HPK (config-crypto-map)# match address 100 HPK config-crypto-map)# set peer HPK (config-crypto-map)# set transform-set HQset HPK (config-crypto-map)# set security-association lifetime seconds HPK (config-crypto-map)# set pfs group2 HPK (config-crypto-map)# exit -- Implementasi Crypto Map pada Interface Serial -- // Crypto map yang telah dibuat diimplementasikan di interface s0 router HPK (config)# interface s0 HPK (config-if)# crypto map HQmap HPK (config-if)# exit -- Implementasi Crypto Map pada Interface Tunnel -- // Crypto map yang telah dibuat diimplementasikan di interface tunnel HPK (config)#interface tunnel0 HPK (config-if)#crypto map HQmap HPK (config-if)#exit HPK (config)#exit Konfigurasi Remote Access VPN // Konfigurasi dasar untuk memulai konfigurasi router. HQ> enable HQ# configure terminal

42 Access List --- // Konfigurasi access list untuk menentukan traffic yang perlu diproteksi antara dua peer, yaitu kantor cabang dan mobile user. HQ (config)# access-list 100 permit ip Konfigurasi AAA --- // Konfigurasi untuk keamanan autentifikasi dan autorisasi untuk memberikan user akses kontrol. HQ # configure terminal HQ (config)# aaa new-model HQ (config)# aaa authentication login authen group radius HQ (config)# aaa authorization network author if-authenticated HQ (config)# radius-server host auth-port 1645 acct-port 1646 HQ (config)# radius-server key kunci --- Transform Set --- // Konfigurasi transform set untuk menentukan nama transform set, protokol dan algoritma security. Protokol yang digunakan adalah protokol 3des (esp-3des) sedangkan algoritma yang digunakan adalah algoritma sha-hmac (esp-sha-hmac). HQ (config)# crypto ipsec transform-set RemoteSet esp-3des esp-sha-hmac --- Isakmp Policy --- // Konfigurasi isakmp digunakan untuk menentukan metode authentikasi, algoritma hash, dan algoritma enkripsi. Metode autentifikasi yang digunakan adalah preshare, algoritma enkripsi yang digunakan adalah md5, dan algoritma enkripsi yang digunakan adalah 3des. HQ (cfg-crypto-trans)# crypto isakmp policy 2 HQ (config-isakmp)# authentication pre-share HQ (config-isakmp)# encryption 3des HQ (config-isakmp)# group 2 HQ (config-isakmp)# hash SHA HQ (config-isakmp)# lifetime 1800 HQ (config-isakmp)# exit --- Pool --- // Konfigurasi pool untuk menentukan range ip address yang akan diberikan ke mobile user HQ (config)# ip local pool pool

43 Isakmp Group --- // Konfigurasi isakmp untuk koneksi mobile user HQ (config)# crypto isakmp client configuration group group1 HQ (config-isakmp-group)# key remote HQ (config-isakmp-group)# pool pool1 HQ (config-isakmp-group)# acl 100 HQ (config-isakmp-group)# exit --- Crypto Dynamic Map --- // Konfigurasi untuk dynamic mapping mobile user. HQ (config)# crypto dynamic-map dynmap 1 HQ (config-crypto-map)# set transform-set RemoteSet HQ (config-crypto-map)# exit --- Crypto Map --- // Konfigurasi crypto map untuk menggabungkan autentifikasi, autorisasi, dan dynamic map yang telah dibuat sebelumnya HQ (config)# crypto map HQmap client authentication list authen HQ (config)# crypto map HQmap isakmp authorization list author HQ (config)# crypto map HQmap client configuration address respond HQ (config)# crypto map HQmap 10 ipsec-isakmp dynamic dynmap --- Implementasi pada Interface --- // Crypto map yang telah dibuat diimplementasikan di interface s0 router HQ (config)# interface s0 HQ (config-if)# crypto map HQmap HQ (config-if)# exit HQ (config)# exit 4.6 Evaluasi VPN Testing VPN Untuk memastikan bahwa VPN berjalan dengan baik adalah dengan melakukan testing. Testing ini dilakukan dengan menggunakan software sniffer Ethereal. Software Ethereal ini nantinya akan menangkap paket paket yang lewat ketika transfer data terjadi. Dengan melakukan sniff menggunakan software

44 118 ini, maka dapat dilihat bahwa paket paket tersebut dienkripsi atau tidak. Apabila paket tersebut dienkripsi maka dapat disimpulkan bahwa VPN tersebut sudah berjalan dengan baik. Namun jika sistem VPN sudah dijalankan, tetapi paket paket yang ditangkap oleh software Ethereal tidak terenkripsi maka VPN tersebut belum berhasil diimplementasikan. Untuk memastikan bahwa usulan solusi rancangan dan konfigurasi yang dibuat oleh penulis berjalan dengan baik, maka dilakukan testing dengan melakukan sniff melalui Ethereal. Testing dilakukan dengan melakukan login ftp dari komputer kantor cabang ke server ftp di kantor pusat. Dengan melihat pada software Ethereal dapat dilihat bahwa paket yang tertangkap dapat dilihat username dan password untuk login ftp dari kantor cabang pada ftp server di kantor pusat. Gambar 4.17 adalah hasil yang terlihat ketika software Ethereal melakukan sniff terhadap paket paket yang dikirimkan ke suatu tujuan tertentu. Ketika melakukan sniff terhadap paket paket ini belum diimplementasikan sistem VPN-nya sehingga semua paket yang lewat dapat dilihat data data yang terdapat pada paket tersebut. Pada gambar 4.19 dibawah, terlihat bahwa suatu user melakukan ftp ke IP address yang merupakan jaringan lokal kantor pusat. Pada software ethereal terlihat bahwa username yang digunakan adalah ted dan password yang digunakan adalah Apabila diimplementasikan sistem VPN, maka paket paket yang ditangkap oleh ethereal tidak akan terlihat. Gambar 4.20 memperlihatkan paket yang dienkripsi dengan melakukan ftp seperti yang dilakukan sebelumnya.

45 119 Gambar 4.19 Sniff paket data tanpa VPN Gambar 4.20 Sniff paket data dengan VPN