BAB IV IMPLEMENTASI DAN PENGUJIAN 4.1. Implementasi GETVPN 4.1.1. Konfigurasi Key Server Saat pertama kali melakukan instalasi router untuk menjadi key server perlu dilakukan global config yang menjadi standar perusahaan tersebut. Seperti konfigurasi hostname, password, dan SSH. Gambar 4.0.1 general config Sebelum konfigurasi GETVPN, generate RSA key nya agar bisa dipakai selama proses rekey. Masukan command crypto key generate rsa label GETVPN_REKEY-RSA modulus 2048 exportable, command ini akan meng-generate RSA key di Key Server, command exportable akan membuat key diijinkan untuk di export dan dimasukan ke Secondary Key Server untuk proses verifikasi Gambar 4.0.2 membuat crypto 37 1
2 Masukan command crypto key export rsa GETVPN-REKEY-RSA pem terminal 3des meruya123. Command ini digunakan untuk mengexport RSA key dari Primary Key Server ke format PEM(Privacy- Enhanced Mail). Disarankan untuk meng-copy paste melalui console Key Server dan menyimpan file tersebut di directory yang aman. Public dan Private key ini digunakan untuk membuat Secondary Key Server baru atau jika diperlukan, bisa digunakan untuk membuat ulang Primary Key Server. Gambar 4.0.3 export RSA key
3 Konfigurasi Key Server Policies ISAKMP policy yang digunakan untuk GET VPN sebagai berikut: Advanced Encryption Standard (AES) Secure Hash Standard (SHA) Diffie-Hellman Group: 5 (untuk KS) Diffie-Hellman Group: 2 (untuk GM) IKE lifetime: 86400 (default - used for KS) IKE lifetime: 1200 (used for GM) Step 1: Membuat policy ISAKMP untuk COOP Key Server, parameter yang diinput harus sama di Key Server maupun Group Member. Define ISAKMP policy untuk COOP KS. crypto isakmp policy 10 encryption aes group 5 authentication pre-share Gambar 4.0.4 Membuat Policy ISAKMP Step 2: Membuat policy ISAKMP untuk Group member. crypto isakmp policy 15 encryption aes group 2 lifetime 1200 authentication pre-share
4 Gambar 4.0.5 membuat ISAKMP GM Step 3: Konfigurasi PSK key. Agar proses authentikasi IKE(Internet Key Exchange) bisa berjalan maka remote peer PSK harus sama dengan local peer PSK Gambar 4.0.6 Konfigurasi PSK key Step 4: Membuat Profile GETVPN dengan memasangkan transform set ke profil GETVPN Gambar 4.0.7 Profil GETVPN Step 5: Membuat Group dengan konfigurasi parameter GETVPN GDOI. Masingmasing group yang dikonfigurasi di Key Server membutuhkan Group id yang unik Gambar 4.0.8 membuat parameter konfigurasi
5 Step 6: Menbuat server local dengan menentukan perangkat sebagai GDOI Key Server dan menentukan parameter yang akan digunakan untuk proses rekey. Gambar 4.0.9 menentukan GDOI Step 7: Membuat IPsec SA dengan konfigurasi IP Sec profile dan aturan keamanan. Gambar 4.0.10 Membuat IPsec SA Step 8: Konfigurasi prioritas untuk redudansi dan alamat peer pada Key Server, nilai prioritas yang lebih tinggi akan membuat router bertindak sebagai primary Key Server. Gambar 4.0.11 Konfigurasi Prioritas
6 4.1.2. Konfigurasi COOP server Sebelum konfigurasi Secondary Key Server, diharuskan untuk konfigurasi RSA key dengan menginput command crypto key import rsa GETVPN_key exportable terminal meruya123. Langkah ini membutuhkan public key dan private key yang telah digenerate di primary Key Server sebelumnya, caranya dengan meng-copy-paste key ke space yang telah disediakan. Apabila proses import key yang telah berhasil, maka akan muncul notifikasi Key pair import succeded
7 Gambar 4.0.12 import RSA key Step 1: Membuat policy ISAKMP untuk COOP Key Server, parameter yang diinput harus sama baik dari Key Server maupun Group Member. Define ISAKMP policy untuk COOP KS. crypto isakmp policy 10 encryption aes group 5 authentication pre-share
8 Gambar 4.0.13 membuat ISAKMP Policy Step 2: Membuat policy ISAKMP untuk Group member. Gambar 4.0.14 Membuat policy ISAKMP GM Step 3: Konfigurasi PSK key. Agar proses authentikasi IKE(Internet Key Exchange) bisa berjalan maka remote peer PSK harus sama dengan local peer PSK Gambar 4.0.15 membuat PSK Key Step 4: Membuat Profile GETVPN dengan memasangkan transform set ke profil GETVPN Gambar 4.0.16 Membuat Profile GETVPN
9 Step 5: Membuat Group dengan konfigurasi parameter GETVPN GDOI. Masingmasing group yang dikonfigurasi di Key Server membutuhkan Group id yang unik Gambar 4.0.17 membuat parameter GDOI Step 6: Menbuat server local dengan menentukan perangkat sebagai GDOI Key Server dan menentukan parameter yang akan digunakan untuk proses rekey. Gambar 4.0.18 membuat GDOI server Step 7: Membuat IPsec SA dengan konfigurasi IP Sec profile dan aturan keamanan. Gambar 4.0.19 membuat IPsec SA Step 8: Konfigurasi prioritas untuk redudansi dan alamat peer pada Key Server, nilai prioritas yang lebih tinggi akan membuat router bertindak sebagai primary Key Server.
10 Gambar 4.0.20 menentukan priority secondary server 4.1.3. Konfigurasi Group Member (GM) GM disini adalah beberapa Router cabang yang dikelompokkan. GM bergabung dengan KS untuk mendapatkan IPSec SA dan kunci enkripsi yang diperlukan untuk mengenkripsi lalu lintas. Selama pendaftaran, GM memberikan ID group ke KS untuk mendapatkan policy dan keys untuk grup. Karena sebagian besar pengaturan ada pada KS, konfigurasi pada GM relatif sederhana dan hampir identik di semua GM. Prosedur ini mengasumsikan bahwa semua konfigurasi konektivitas dasar (seperti rute default, protokol routing, dll) yang sudah diatur. Step 1: Membuat Policy pada router cabang Gambar 4.0.21 membuat policy router cabang Step 2: Membuat PSK untuk redundancy dengan menambahkan address ke IP Primary dan Secondary Key Server untuk redundancy Key Server. Gambar 4.0.22 membuat PSK key
11 Step 3: Membuat GETVPN group dengan redundancy dengan menambahkan server address ke IP Secondary Key Server. IPSec transformasi-set dan konfigurasi profil tidak perlu lagi diatur di GM. Parameter ini di-download dari KS ketika GM berhasil terdaftar dengan KS. Sebuah GM perlu mendefinisikan hanya identitas kelompok GDOI dan alamat KS. Gambar 4.0.23 membuat GETVPN group Step 4: Membuat GETVPN map dan memasangkan profile GETVPN yang telah dibentuk sebelumnya Gambar 4.0.24 memasang GETVPN map
12 4.2. PENGUJIAN 4.2.1. Uji Coba Authentikasi GETVPN show crypto isakmp sa merupakan sebuah cara untuk melihat keberhasilan IKE phase 1. Dengan melihat state yang terbentuk pada router di setiap cabang yang ada, kita bisa melakukan verifikasi apakah proses authentikasi sudah berjalan dengan baik atau belum Gambar 4.0.25 ISAKMP Key Server Pada router KS-UMB-01 yang berfungsi sebagai Key Server primary, terlihat bahwa primary Key Server sudah berhasil membentuk koneksi VPN seluruh IP yang ada di kolom src yang mewakili IP jaringan LAN di setiap cabang yang ada. Ada 2 jenis state yang bisa terlihat pada show crypto isakmp sa yaitu MM_NO_STATE dan GDOI_IDLE. GDOI_IDLE menandakan proses authentikasi antar setiap IP yang terlibat sudah berjalan dengan baik. Dari gambar di atas terlihat bahwa semua state yang terbentuk dari primary Key Server ke semua cabang yang ada adalah GDOI_IDLE. Berarti proses authentikasi atau IKE phase 1 antara primary Key Server, secondary Key Server, dan seluruh router cabang sudah berjalan dengan sempurna. Proses verifikasi IKE phase 1 atau authentikasi tidak hanya dilakukan di kantor pusat, tetapi juga di seluruh cabang yang ada. Pada show crypto isakmp sa di kantor cabang. dapat terlihat bahwa semua sudah berhasil membentuk authentikasi ke 10.10.10.1 yang mewakili IP primary Key Server
13 Gambar 4.0.26 ISAKMP Cabang bandung Gambar 4.0.27 ISAKMP cabang Medan Gambar 4.0.28 ISAKMP Cabang Menado
14 4.2.2. Uji Coba IKE Phase 2 GETVPN Capture GDOI GETVPN Gambar 4.0.29 GDOI Key Server Jakarta
15 Gambar 4.0.30 GDOI Group member Bandung
16 Gambar 4.0.31 GDOI Group member Medan
17 Gambar 4.0.32 GDOI Group member Menado Dari hasil show crypto GDOI di semua router cabang, terlihat bahwa semuanya sudah berhasil membaca 10.10.10.1 dan 20.20.20.1 di dalam server list. Dimana kedua IP tersebut adalah IP primary dan secondary Key Server di kantor pusat. Disamping itu dari show crypto GDOI mereka juga sudah berhasil melakukan download terhadap policy yang dibentuk dari Key Server. Dengan melihat hasil tersebut dapat dipastikan bahwa IKE phase 2 sudah berhasil terbentuk dan semua data yang lewat di jalur tersebut sudah terjamin keamanannya.
18 4.2.3. Uji Coba Failover Gambar 4.0.33 GDOI Key Server 1 Pada saat semua peralatan berfungsi dengan baik, router KS-UMB-01 berfungsi sebagai Key Server primary. Hal ini dibuktikan dengan Local KS Role pada show crypto GDOI adalah primary. Dengan fungsinya sebagai primary Key
19 Server, router KS-UMB-01 berhasil membentuk IKE phase 1 dengan kantorkantor cabang. Gambar 4.0.34 GDOI Secondary Server Ketika primary Key Server masih berfungsi dengan baik, router KS-UMB- 02 hanya berfungsi sebagai backup. Hal ini dibuktikan dengan Local KS Role pada show crypto GDOI adalah secondary. Router tersebut hanya akan mengganti Local KS Role menjadi Primary ketika konektivitas dengan router KS-UMB-01 tidak dapat dicapai. Dengan fungsinya sebagai secondary Key Server, router ini
20 hanya membentuk IKE phase 1 antara 10.10.10.1 dengan 20.20.20.1 yang merupakan IP di primary Key Server.. Pada primary dan secondary Key Server sama-sama terdapat access list GETVPN-POLICY-ACL yang nantinya akan di distribusikan kepada seluruh Group Member yang berhasil mendaftarkan diri ke dalam GETVPN_group. Gambar 4.0.35 ACL yang telah di download
21 Bandung merupakan salah satu cabang dari perusahaan PT. XYZ yang harus terdaftar sebagai Group Member. Untuk memastikan apakah router dengan hostname Bandung berhasil mendaftarkan diri mereka sebagai Group Member dalam GETVPN_group maka ada 2 hal yang perlu diperhatikan : 1. Pada show crypto isakmp sa harus dipastikan terbentuknya koneksi antara 30.30.30.1 yang mewakili LAN di kota Bandung dengan 10.10.10.1 yang merupakan IP Key Server untuk router dengan saat ini berfungsi sebagai primary Key Server. Ketika koneksi berhasil state yang terbentuk harus GDOI_IDLE. Pada show crypto GDOI harus dipastikan bahwa router Bandung harus berhasil men-download ACL GETVPN-POLICY-ACL yang dikirimkan oleh primary Key Server 10.10.10.1 Ketika terjadi masalah dengan primary Key Server, Router KS-UMB-02 yang berfungsi sebagai secondary langsung mengambil alih fungsi dan tugas dari primary Key Server. Hal ini dapat dilihat melalui beberapa indikator. 1. Pada show crypto GDOI dapat dilihat Local KS Role dari router tersebut berubah dari secondary menjadi primary. Pada show crypto isakmp sa router ini menghapus konektivitas dengan primary Key Server yang lama yaitu 10.10.10.1 dengan mengubah state menjadi MM_NO_STATE. Router KS-UMB-02 mengambil alih tugas dan tanggung jawab sebagai primary Key Server dengan membentuk konektivitas dengan cabangcabang.
22 Gambar 4.0.36 secondary key server berubah menjadi primary Melalui percobaan di atas membuktikan bahwa sistem telah memenuhi aspek redundansi yang merupakan salah satu komponen penting dalam design.