141
BAB 4 PERANCANGAN DAN IMPLEMENTAS I
4.1
Topologi jaringan yang Teroptimasi Seperti yang telah dibahas pada bab sebelumnya, PT. Dinar M akmur memiliki
jaringan yang terpisah baik secara logikal maupun fisikal dan sebagai solusi maka dibangun jaringan VPN yang menggabungkan semuanya menjadi 1 jaringan secara logikal.
Berikut
gambar
topologi
yang
Gambar 4.1 Topologi yang dirancang
dirancang:
142
Gambar 4.2 Topologi Bogor
Gambar 4.3 Topologi Palmerah
143
Gambar 4.4 Topologi Cikarang Pada gambar yang pertama menunjukkan ketiga jaringan di 3 lokasi yang berbeda terhubung secara logikal melalui internet membentuk 1 jaringan VPN. M elalui VPN semua komputer seolah-olah berada dalam 1 jaringan yang sama sehingga dapat saling berhubungan dan bertukar data sesuai dengan aturan yang telah ditetapkan oleh bagian IT. Selain itu dengan adanya VPN, user lain yang tidak berada pada kantor maupun pabrik dapat mengakses komputer dalam jaringan ini secara remote dengan syarat memiliki koneksi internet. Kemudian pada gambar selanjutnya diperlihatkan secara spesifik gambaran topologi jaringan pada masing-masing lokasi kerja. M emang secara fisik tidak akan terlihat jelas perbedaannya karena optimasi jaringan dari PT. Dinar M akmur dilakukan secara logikal sehingga akan terlihat dari konfigurasi yang dilakukan dan ditunjukkan hasilnya melalui rangkaian test.
144
4.2
Perancangan dan Implementasi VPN Untuk langkah awal dipilih teknologi VPN yang digunakan dan setelah
menganalisa dari kebutuhan serta efektivitas jaringan maka dipilih OpenVPN. OpenVPN termasuk generasi baru VPN. Ketika solusi VPN yang lain sering menggunakan proprietary atau mekanisme non-standard, OpenVPN mempunyai konsep modular baik underlying security maupun networking. OpenVPN menggunakan keamanan, kestabilan, dan mekanisme SSL/TLS untuk autentikasi dan enkripsi. OpenVPN sangat komplek yang tidak terdapat pada implementasi VPN lainnya seperti IPSec. Pada saat yang bersamaan, OpenVPN menawarkan kemungkinan untuk keluar dari lingkup implementasi VPN lainnya: 1. Layer 2 dan Layer 3 VPN : OpenVPN menawarkan 2 mode dasar yang bekerja baik pada layer 2 ataupun layer 3 VPN. Kemudian tunnel OpenVPN mengirim Ethernet Frames, IPX paket, dan Windows Networking Browsing pakets (NETBIOS). 2. M enjaga dengan menggunakan internal firewall: Field worker dikoneksikan dengan sentral cabang dari perusahaan dengan tunnel VPN yang dapat mengubah setup network pada laptopnya, jadi jalur jaringannya dikirim melalui tunnel. Sekali OpenVPN dibangun dengan sebuah tunnel, sentral firewall pada cabang sentral perusahaannya dapat menjaga laptop, walaupun bukan mesin lokal. Hanya satu port jaringan harus dibuka untuk jaringan lokal (missal, pelanggan) oleh field worker. Pengusaha dijaga oleh sentral firewall ketika dia dikoneksikan ke VPN. 3. Koneksi OpenVPN di tunnel melalui hampir setiap firewall: jika mempunyai akses internet dan dapat mengakses website HTTP, tunnel OpenVPN seharusnya bekerja. 4. Konfigurasi proxy dan pendukungnya: OpenVPN mempunyai proxy pendukung dan dapat dikonfigurasikan untuk bekerja sebagai TCP atau UDP, dan sebagai server atau
145
klien. Sebagai server, OpenVPN menunggu hingga koneksi permintaan klien. Sebagai klien, OpenVPN mencoba untuk mendirikan sebuah koneksi meliputi konfigurasinya. 5. Satu port pada firewall harus dibuka mengikuti koneksi yang datang. Sejak openVPN 2.0, mode server yang spesial mengikuti koneksi multiple incoming pada port TCP atau UDP, yang mana masih menggunakan konfigurasi yang berbeda untuk setiap koneksi single. 6. Interface virtual mengikuti jaringan specific dan rules firewall: semua rules, restriction, mekanisme forwarding dan konsep seperti NAT dapat digunakan dengan tunnel OpenVPN. 7. Flexibility tinggi dengan posibility catatan extensive: OpenVPN menawarkan jumlah point selama koneksi set up untuk memulai script individual. Script ini dapat digunakan untuk varietas dengan tujuan dari autentifikasi untuk fail over dan lebih. 8. Transparent, mendukung performance tinggi untuk Ip
dynamic: Dengan
menggunakan OpenVPN, di sana tidak membutuhkan apapun untuk menggunakan IP statistic pada sisi lainnya pada tunnel. Antara tunnel endpoint dapat mempunyai akses DSL yang murah dengan IP dynamic dan penggunaan mencatat dengan jarang perubahan pada IP di sisi lain. Antara terminal server session windows dan session Secure Shell (SSH) hanya akan kelihatan untuk hang untuk beberapa detik, tetapi tidak akan diakhiri dan akan membawa permintaan aksi setelah pause short. 9. Tidak masalah dengan NAT: antara server OpenVPN dan klien di dalam jaringan menggunakan alamat IP private. Setiap firewall dapat digunakan untuk mengirim traffic tunnel untuk tunnel endpoint lainnya.
146
10. Instalasi simple pada tiap platform: antara instalasi dan penggunaan incredibly simple. Untuk spesialnya, jika telah diset up koneksi IPsec dengan implementasi yang berbeda, akan menemukan OpenVPN yang menarik. 11. Design M odular: Design modular dengan antara high degree pada simplicity antara disecurity dan networking adalah outstanding. Tidak ada solusi openVPNdapat menerima range yang sama pada possibility pada level security.
4.2.1
Instalasi OpenVPN
Kebutuhan perangkat keras untuk melakukan instalasi OpenVPN pada komputer server maupun klien adalah: -
700MHz Pentium 3
-
384M B of System M emory (RAM )
-
20M B of disk space
-
Koneksi internet
-
IP public untuk setiap cabang
Kebutuhan perangkat lunak untuk melakukan instalasi OpenVPN adalah sistem operasi Linux, Windows 2000/XP/Vista/7 (Seven) atau yang lebih tinggi, OpenBSD, FreeBSD, NetBSD, M ac OS X, dan Solaris. Sebelum melakukan instalasi OpenVPN di Ubuntu Server 9.0.4, dengan menggunakan tampilan GUI Gnome dengan perintah (sudah harus terkoneksi dengan internet): # apt-get install gnome
147
Untuk melakukan instalasi OpenVPN di Ubuntu Server 9.0.4 masukkan perintah di terminal: # apt-get install openvpn # cp –Rf /usr/share/doc/openvpn/examples/easy-rsa/* /etc/openvpn Tampilan standar dari Ubuntu Server 9.0.4 tidak menggunakan layar antarmuka dan berupa command console sehingga diputuskan untuk melakukan instalasi Gnome supaya lebih mudah dalam melakukan konfigurasi karena tampilannya sudah berupa layar antarmuka. Catatan: Disarankan menjalankan perintah dari root, dapat dilakukan dari terminal dengan perintah: # sudo su Dan masukkan password yang telah diatur sebelumnya, sebagai contoh ‘admin’. Alasan mengapa digunakannya OpenVPN versi 2.0, antara lain: 1. OpenVPN
merupakan
freeware,
sehingga
dengan
legal
dapat
menggunakannya tanpa harus mengeluarkan biaya. 2. Versi 2.0 merupakan versi terbaru dari OpenVPN, dan sampai saat ini merupakan produk terbaik. 3. OpenVPN sudah terkenal sebagai salah satu program yang user friendly, sehingga orang awam pun dapat dengan mudah menggunakannya. OpenVPN 2.0 dapat diinstall di Ubuntu Server 8 maupun 9, versi yang diggunakan saat ini adalah Ubuntu versi 9.04.
148
4.2.2
Konfigurasi OpenVPN
Edit file vars di /etc/openvpn/2.0: # cd /etc/openvpn/2.0/ # nano vars Bisa disunting isinya di bagian: #this is to ensure secure data Export KEY_SIZE = 1024 # These are the default values for fields # which will be placed in the certificate. # Don’t leave any of these fields blank. Export KEY_COUNTRY=ID Export KEY_PROVINCE=Jawa Export KEY_CITY=Jakarta Export KEY_ORG=”DinarM akmur” Export KEY_EM AIL=”
[email protected]” Untuk keluar dan simpan dengan perintah: ctrl+x, kemudian y untuk yes, dan enter. Buat Certificate Authority (CA) dengan perintah: # cd /etc/openvpn/2.0/ # ../vars # ./clean-all #./build-ca Akan ditanya konfigurasi, dapat dilanjutkan dengan menekan tombol enter saja: Country Name (2 letter code) [ID]:
149
State or Province Name (full name) [Jawa]: Locality Name (eg, city) [Jakarta]: Organization Name (eg, company) [DinarM akmur]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server’s hostname) []: Email Address [
[email protected]]:
Lihat keys yang sudah di-generate dengan command: # ls –l /etc/openvpn/2.0/ # ls –l /etc/openvpn/2.0/keys
Jika berhasil, akan ada file berikut: Ca.crt Ca.key Index.t xt Serial
M embuat Server Key dengan command: # cd /etc/openvpn/2.0/ # ./build-key-server server Akan keluar tampilan sebagai berikut, dapat diedit seperti contoh di bawah ini: Country Name (2 letter code) [ID]: State or Province Name (full name) [Jawa]: Locality Name (eg, city) [Jakarta]:
150
Organization Name (eg, company) [DinarM akmur]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server’s hostname) []: Email Address [
[email protected]]:
Please enter the following ‘extra’ attributes To be sent with your certificate request A challenge password []: An optional company name []: Using configuration from /etc/openvpn/openssl.cnf Check that the request matches the signature Signature ok The Subject’s Distinguished Name is as follows countryName: PRINTABLE: ‘ID’ stateOrProvinceName: PRINTABLE: ‘Jawa’ localityName: PRINTABLE: ‘Jakarta’ organizationName: PRINTABLE: ‘DinarM akmur’ organizationalUnitName: PRINTABLE: ‘DinarM akmur’ commonName: PRINTABLE: ‘server.lynx.net’ emailAddress: IA5STRING: ‘
[email protected]’ certificate is to be certified until Nov 10 02:07:59 2019 GM T (3650 days) sign the certificate? [y/n]: y
151
1 out of 1 certificate requests certified, commit? [y/n]: y Write out database with 1 new entries Data Base Updated
M embuat key untuk user admin jika diperlukan: # ./build-key admin Write out database with 1 new entries Data Base Updated
M embuat key untuk user lain jika diperlukan: # ./build-key-pass username # ./build-key username
Build Diffie-Hellman (akan memakan waktu yang cukup lama): # ./build-dh # openvpn --genkey --secret keys/ta.key
# openvpn --genkey --secret keys/ca.key # openvpn --genkey --secret keys/ta.key
Untuk melakukan pengetesan key: # openvpn --genkey --secret key # openvpn --test-crypto --secret key
152
Jika berhasil, akan ada pesan sukses di akhir seperti berikut: Sun Dec 6 21:05:12 2009 OpenVPN crypto self-test mode SUCCEEDED.
4.2.3
Konfigurasi VPN Gateway
Lakukan perintah: # cd keys # cp ca.crt ca.key dh1024.pem server.crt server.key ../.. # cd ../.. # cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz # gunzip server.conf.gz # mv server.conf openvpn.conf
Atur konfigurasi openvpn.conf-nya: # nano /etc/openvpn/openvpn.conf Sunting di bagian: proto tcp ;proto udp dev tap ;dev tun server 192.168.5.0 255.255.255.0 #sesuaikan dengan keperluan ip jaringan
Setelah selesai disunting, simpan dan keluar dengan menekan tombol ctrl+ x, y, kemudian enter.
153
Restart openvpn-nya: # /etc/init.d/openvpn restart
Sebagai tambahan, dapat dilihat aktifitasnya (apakah ada error atau tidak, errornya apa, dan sebagainya) dengan cara: # tail –f /var/log/daemon.log
Selanjutnya pembuatan file sertifikat untuk masing – masing VPN klien: # cd /etc/openvpn/easy-rsa # source ./vars # ./build-key dinar1
File ca.crt, dinar1.crt, dan dinar1.key disalin ke klien. File tersebut ada di /etc/openvpn/easy-rsa/keys/ Apabila kliennya lebih dari 1, tinggal dibuat lagi sertifikatnya: # cd /etc/openvpn/easy-rsa # source ./vars # ./build-key dinar2
File ca.crt, dinar2.crt, dan dinar2.key disalin ke klien. File tersebut ada di /etc/openvpn/easy-rsa/keys/, dan seterusnya sesuai kebutuhan ada berapa klien.
Jika di klien sudah terinstall openvpn, dapat dilanjutkan ke bab 4.2.5. Tapi jika belum, lakukan instalasi openvpn di klien terlebih dahulu.
154
4.2.4
Instalasi OpenVPN di Klien Karena dari PT. Dinar M akmur menggunakan system operasi Windows XP,
maka perlu menginstall openvpn untuk Windows. Dapat diunduh secara gratis dari: http://openvpn.net/index.php/open-source/downloads.html Langkah – langkah instalasi openvpn di windows:
Gambar 4.5 Instalasi OpenVPN Client-Requirement Windows OpenVPN dapat diinstall di Windows 2000, XP, Vista, 7 (Seven), atau versi yang lebih tinggi. Klik next.
155
Gambar 4.6 Instalasi OpenVPN Client-License A greement Untuk dapat melanjutkan instalasi, pilih “I Agree”.
156
Gambar 4.7 Instalasi OpenVPN Client-M emilih Komponen untuk diinstal pilih komponen untuk diinstal, misalnya menambah Shortcuts ke Start M enu, dan pilihan lainnya. Disarankan memilih semuanya, sebagai default. Klik next.
157
Gambar 4.8 Instalasi OpenVPN Client-M emilih folder untuk diinstal pilih direktori untuk menginstal OpenVPN, standardnya adalah di C:\Program Files\OpenVPN. Klik install.
158
Gambar 4.9 Instalasi OpenVPN Client-Proses instalasi dan pesan sukses Jika sudah selesai, klik next.
Gambar 4.10 Instalasi OpenVPN Client-Pilihan untuk membaca Readme atau tidak Hilangkan checkbox jika tidak ingin membaca readme, klik finish.
159
4.2.5
Konfigurasi di Klien
File ca.crt, dinar1.crt, dan dinar1.key dimasukkan ke direktori C:\Program Files\OpenVPN\sample-config Kemudian sunting file client.ovpn dengan menggunakan text editor, contohnya notepad, di bagian (tampilan lengkapnya dapat dilihat di lampiran): dev tap ;dev tun proto tcp ;proto udp remote 192.168.10.5 1194 # my-server berarti ip server, sesuaikan dengan ip server ;remote my-server-2 1194 ca ca.crt cert dinar1.crt # sesuaikan dengan nama sertifikat key dinar1.key # sesuaikan dengan nama key
Setelah selesai dikonfigurasi, jalankan openvpn client dengan klik kanan pada client.ovpn kemudian pilih “Start OpenVPN on this config file”.
Jika sudah terkoneksi, maka di bagian kanan bawah (system tray) akan terlihat icon openvpn dengan lampu berwarna hijau. Jika lampu berwarna kuning, berarti koneksi sudah terhubung namun ada yang putus atau disconnect.
160
Jika lampu berwarna merah, berarti openvpn client belum terhubung dengan openvpn server. Apabila sudah berhasil, seharusnya sekarang sudah bisa melakukan ping ke server. Dalam percobaan ini, telah dilakukan ping ke 192.168.5.1
Gambar 4.11 Hasil ping dari Client ke VPN Gateway/Server Dapat juga dilihat dengan traceroute dengan perintah tracert 192.168.5.1 di command prompt.
161
Gambar 4.12 Hasil traceroute dari Client ke VPN Gateway/Server Sebaliknya, dapat melakukan ping dari server ke client. Client dalam percobaan ini menggunakan IP 192.168.5.2
Gambar 4.13 Hasil ping dari VPN Gateway/Server ke Client
162
Dapat juga dilihat dengan traceroute dari server ke client dengan perintah traceroute 192.168.5.2 atau tracert 192.168.5.2 di terminal. Catatan: Jika paket traceroute belum terinstall, dapat melakukan instalasi dengan perintah apt-get install traceroute di terminal.
Gambar 4.14 Hasil traceroute dari VPN Gateway/Server ke Client
163
Gambar 4.15 Hasil Pengamatan OpenVPN dengan Wireshark - 1
Gambar 4.16 Hasil Pengamatan OpenVPN dengan Wireshark - 2
Dari kedua gambar di atas, dilakukan uji coba dengan menggunakan software Wireshark untuk memperlihatkan kondisi paket yang dikirimkan dalam jaringan yang
164
diimplementasikan OpenVPN. Pada gambar 4.15, paket yang dikirim memiliki info OpenVPN dan dalam keterangan dari Ethernet terlihat bahwa tujuan paket adalah unicast yang berarti hanya kepada 1 klien sehingga bersifat aman karena tidak disebarkan kepada orang lain dan transfer paket hanya dapat terjadi jika klien memiliki sertifikat yang sah. Kemudian pada gambar 4.16 dalam keterangan dari Transmission Control Protocol, source portnya berasal dari port 1194 yang telah dikonfigurasi untuk OpenVPN sehingga paket yang keluar akan dienkripsi dengan teknologi SSL/TLS. Dengan ini menunjukkan bahwa komunikasi dalam jaringan yang menerapkan OpenVPN dapat mengoptimasi keamanannnya karena semua data yang keluar masuk selalu melalui jalur logika yang dibuat oleh OpenVPN ketika komunikasi telah tersambung pada layanan internet dan jalur ini menjamin keamanan serta integritas data dengan menggunakan autentikasi, sertifikat dan enkripsi.
4.2.6
Evaluasi Hasil Optimasi OpenVPN
SSL/TLS menggunakan salah satu teknologi enkripsi terbaik yang disebut enkripsi asimetric untuk memastikan identitas dari mitra OpenVPN. Kedua mitra enkripsi memiliki dua kunci masing-masing: satu publik dan yang lain, pribadi. Kunci publik itu diserahkan kepada mitra komunikasi, untuk meningkatkan datanya. Oleh karena algoritma mathematical yang terpilih digunakan untuk menciptakan pasangan kunci public/private, hanya kunci pribadi penerima itu yang dapat mengurangi data yang disandikan oleh kunci publiknya. Kunci pribadi harus dirahasiakan dan untuk kunci public harus ditukarkan. Sertifikat SSL/TLS bekerja sama dengan sertifikat otorisasi OpenVPN digambarkan atau yang diciptakan dan semua sertifikat yang valid yang dikeluarkan oleh
165
otoritas ini diterima untuk OpenVPN. Setiap klien harus mempunyai suatu sertifikat yang valid yang dikeluarkan oleh CA ini dan kemudian diizinkan untuk menetapkan suatu koneksi kepada VPN. Suatu Penarikan Certificate Return List (CRL) dapat digunakan untuk menarik kembali sertifikat-sertifikat klien. bahwa harus diizinkan untuk disambungkan ke OpenVPN lebih lama lagi. Hal ini bisa dilakukan tanpa bentuk pada setiap klien, dengan hanya menciptakan satu penarikan kembali yang sesuai mendaftar di server. Suatu organisasi yang menggunakan kunci yang dibagi bersama harus menaruh kunci ini di setiap sistem untuk disambungkan ke server OpenVPN. Kunci yang harus diubah di semua sistem jika satu sistem tunggal atau kunci lenyap. Koneksi-koneksi akan ditolak jika: 1. Tidak ada sertifikat yang diperkenalkan 2. Suatu sertifikat dari suatu CA yang salah diperkenalkan 3. Suatu sertifikat yang ditarik kembali diperkenalkan Hasil optimasi VPN dapat dilihat pada tabel 4.1 di bawah ini: Tabel 4.1 Hasil Optimasi VPN Jaringan tanpa VPN
Jaringan yang menggunakan VPN
Untuk melakukan pertukaran data harus
Bisa
melakukan
pertukaran
data
mendatangi lokasi kantor / tempat kerja.
secara mobile, selama terkoneksi dengan internet dan seluruh jaringan tergabung secara logika
Tidak bisa melakukan akses global ke Akses global ke jaringan melalui jaringan melewati internet.
internet sehingga bisa melakukan
166
pengontrolan secara terpusat. Sulit untuk melakukan akses ke resource M udah untuk melakukan akses ke yang berada di dalam jaringan PT. Dinar resource yang berada di dalam M akmur yang tidak dapat diakses dari luar jaringan PT. Dinar M akmur yang tidak dapat diakses dari luar secara
secara langsung.
langsung. Kurang aman karena hanya melalui jalur Keamanan lebih teroptimasi karena internet biasa.
data melalui tunnel yang di-enkripsi terlebih dahulu sehingga hanya orang yang berhak yang bisa mengaksesnya.
Harus membangun leased line berupa WAN M elaui VPN, efisien dan efektivitas sebagai jalur komunikasi datanya.
kerja akan meningkat karena tidak harus membangun leased line berupa WAN sebagai jalur komunikasi data.
Penggunaan
leased
line
sebagai
cara VPN
dapat
mereduksi
biaya
tradisional untuk mengimplementasi WAN operasional yang lebih murah bila lebih mahal.
dibandingkan
dengan
penggunaan
leased line sebagai cara tradisional untuk mengimplementasikan WAN.
167
4.3
Perancangan dan Implementasi VLAN 4.3.1
Konfigurasi VLAN
Setelah mengoptimasi jaringan dengan mengimplementasikan OpenVPN, maka selanjutnya menerapkan teknologi VLAN untuk mengoptimalkan jaringan internal di setiap lokasi kerja PT. Dinar M akmur. Untuk menerapkan teknologi VLAN dibutuhkan perangkat yang mendukung yaitu berupa switch manageable. Switch manageable berbeda dengan switch biasa karena memiliki sebuah port console sehingga dapat dikonfigurasi secara lebih spesifik seperti pengaturan port, access list, VLAN dan lebih mudah dalam pengontrolan jaringan. Tipe dari switch yang direkomendasikan untuk mengimplementasi adalah sebagai berikut: CISCO SRW224G4 Spesifikasi Ports 24-port 10/100 4-Port Gigabit Switch Gambar 4.17 Switch Cisco SRW22G4 Switching features Optimized for growing businesses with 4 expandable Gig ports Secure management via SSH/SSL and secure user control via 802.1x & M AC filtering IGM P snooping, L2/L3 COS, queuing & scheduling makes solution ideal for Voice/Video
168
Intelligent traffic management with Rate Limiting, Policing, Shaping, and Storm control Alasan utama dipilih switch ini karena produk Cisco, sehingga sudah pasti mendukung VLAN dan memiliki fitur-fitur yang terintegrasi dengan teknologi cisco sehingga dari segi kebutuhan dan kualitas sangat sesuai dengan perangkat fisik yang dibutuhkan. Untuk software sendiri tidak memerlukan tambahan karena dengan menghubungkan kabel dari port console pada switch manageable tersebut ke komputer maka switch sudah terintegrasi sendiri dan dapat diatur oleh bagian IT sesuai dengan kebutuhan. Setiap komputer yang ada di masing-masing kantor dan pabrik diberikan IP address baru untuk menyesuaikan dengan VLAN yang akan dibentuk. Berikut skema IP addressing PT. Dinar M akmur : Tabel 4.2 Skema IP Addressing Jaringan Palmerah Bagian
Network Address
IT
192.168.10.0
Purchasing
192.168.20.0
M arketing
192.168.30.0
Finance
192.168.40.0
Accounting
192.168.50.0
169
Tabel 4.3 VLAN tiap Bagian di Jaringan Palmerah Bagian
No VLAN
Gateway
IT
10
192.168.10.1
Purchasing
20
192.168.20.1
M arketing
30
192.168.30.1
Finance
40
192.168.40.1
Accounting
50
192.168.50.1
Tabel 4.4 Skema IP Addressing Jaringan Cikarang Bagian
Network Address
IT
192.168.10.0
M arketing
192.168.20.0
Accounting
192.168.30.0
Delivery
192.168.40.0
HRD
192.168.50.0
Produksi & Gudang
192.168.60.0
Tabel 4.5 VLAN tiap Bagian di Jaringan Cikarang Bagian
No VLAN
Gateway
IT
10
192.168.10.1
M arketing
20
192.168.20.1
Accounting
30
192.168.30.1
Delivery
40
192.168.40.1
HRD
50
192.168.50.1
Produksi & Gudang
60
192.168.60.1
170
Tabel 4.6 Skema IP Addressing Jaringan Bogor Bagian
Network Address
IT
192.168.10.0
DO
192.168.20.0
Accounting
192.168.30.0
Finance
192.168.40.0
Produksi
192.168.50.0
Log & S.Part
192.168.60.0
Tabel 4.7 VLAN tiap Bagian di Jaringan Bogor Bagian
No VLAN
Gateway
IT
10
192.168.10.1
DO
20
192.168.20.1
Accounting
30
192.168.30.1
Finance
40
192.168.40.1
Produksi
50
192.168.50.1
Log & S.Part
60
192.168.60.1
Setiap komputer yang ada di masing-masing bagian akan mendapat IP address yang berada dalam range subnet tersebut. Semisal karyawan bagian marketing pada jaringan palmerah akan mendapat IP dimulai dari 192.168.30.2, komputer selanjutnya 192.168.30.3 dan seterusnya. Untuk IP address pertama yang dapat digunakan pada setiap subnetnya digunakan untuk IP gateway dari setiap VLAN. IP address tersebut dimasukkan pada sub-interface dari router. Sub-interface sendiri merupakan virtual
171
interface yang berada pada router. Dalam setiap jaringan, komputer akan saling terhubung dan bertukar data. Perangkat yang bertugas untuk melakukan routing atau menentukan jalur pengiriman data adalah router. Pada jaringan LAN biasa, switch yang terhubung pada komputer di jaringan hanya memerlukan 1 port fast Ethernet pada router supaya komunikasi dan lalu lintas data dapat berjalan. Namun dengan menggunakan teknologi VLAN maka jaringan terpisah menjadi beberapa bagian dan setiap bagian memerlukan 1 port fast Ethernet sendiri pada router sebagai tempat keluar masuk data dari masing-masing VLAN dan selanjutnya router yang mengkomunikasikannya satu sama lain. Router pada umumnya memiliki keterbatasan interface secara fisik sedangkan VLAN yang dibentuk melebihi jumlah interface yang terdapat pada router. Untuk menghemat biaya maka dibuat virtual interface pada router sesuai jumlah VLAN yang dibentuk pada jaringan sehingga antar komputer yang berbeda VLAN dapat berkomunikasi melalui router. Penerapan VLAN pada setiap kantor dan pabrik pada dasarnya adalah sama, hanya berbeda banyak VLAN yang dipakai dan IP address dari komputer karyawan karena menyesuaikan bagian yang ada di masing-masing tempat serta jumlah karyawan ada. Pembagian subnet yang ada juga menggunakan range IP address yang sesuai dengan VLAN, semisal VLAN 10 maka oktet ketiga dari IP address juga 10 (192.168.10.0). Hal ini dilakukan agar mudah diingat oleh bagian IT dalam pengontrolan jaringan. Selain itu kapasitas IP address yang dapat digunakan pada setiap subnet jumlahnya cukup banyak yaitu 254 sehingga pengembangan jaringan sewaktuwaktu dapat dilakukan dengan cukup mudah. Tahap selanjutnya setelah mengatur IP Address pada setiap komputer maka dilakukan konfigurasi di masing-masing switch. Hal ini yang menjadi kendala karena VLAN hanya dapat diimplementasikan pada manageable switch sedangkan PT. Dinar
172
M akmur saat ini hanya menggunakan switch biasa. Dikarenakan kebijakan perusahaan yang menyangkut kepentingan bisnis dan keuangan maka VLAN tidak dapat diimplementasikan
secara nyata.
Namun
rancangan
penerapan
VLAN
tetap
diimplementasikan secara virtual untuk membuktikan bahwa rancangan topologi ini layak untuk dilaksanakan dengan menggunakan software Packet Tracer 5.2. Dalam software ini dapat dibuat topologi yang sesuai dengan realita serta melakukan tes dan uji coba yang memperlihatkan perbedaan topologi yang menggunakan VLAN dan menunjukkan keuntungan dari penerapan VLAN pada jaringan Konfigurasi. Berikut langkah-langkah instalasi Packet Tracer 5.2 :
Gambar 4.18 Instalasi Packet Tracer 5.2 – M elakukan eksekusi software
173
Gambar 4.19 Instalasi Packet Tracer 5.2 – M emulai instalasi
Gambar 4.20 Instalasi Packet Tracer 5.2 – M enyetujui perjanjian lisensi
174
Gambar 4.21 Instalasi Packet Tracer 5.2 – M emilih direktori untuk instalasi
Gambar 4.22 Instalasi Packet Tracer 5.2 – M elanjutkan instalasi
175
Gambar 4.23 Instalasi Packet Tracer 5.2 – M emilih pembuatan shortcut
Gambar 4.24 Instalasi Packet Tracer 5.2 – M emilih instalasi di direktori tujuan
176
Gambar 4.25 Instalasi Packet Tracer 5.2 – Proses instalasi yang berlangsung
Gambar 4.26 Instalasi Packet Tracer 5.2 – Software telah selesai diinstal
177
Gambar 4.27 Instalasi Packet Tracer 5.2 – Halaman utama dari Packet Tracer 5.2
Teknologi VLAN hanya dapat diimplementasikan pada switch model baru terutama produk Cisco. Kelebihan dari
software Packet Tracer 5.2 dapat
menggambarkan kondisi jaringan yang serupa dengan aslinya karena software ini khusus dikeluarkan oleh Cisco sendiri untuk mensimulasikan jaringan yang menggunakan perangkat Cisco. Oleh karena itu telah dilakukan implementasi virtual dengan menggunakan Packet Tracer karena Cisco Systems merupakan standarisasi jaringan yang umum baik di Indonesia maupun di negara lain dan perangkat switch cisco telah teruji dengan efektif untuk teknologi VLAN. Berikut konfigurasi yang dilakukan pada switch maupun router untuk mengimplementasikan VLAN.
178
Switch : Switch>enable Switch#configure terminal Enter configuration commands, one per line. End with CTRL+Z. Switch(config)# Perintah enable untuk masuk ke line console dari switch yang akan dikonfigurasi sedangkan configure terminal untuk berpindah ke mode global agar dapat memasukkan perintah konfigurasi lainnya. Untuk memudahkan pengaturan seluruh VLAN yang ada nantinya dalam hal pembuatan, penghapusan dan pengubahan konfigurasi dari VLAN itu sendiri maka salah satu switch akan bertindak sebagai server dan switch lain bertindak sebagai klien. Hal ini dilakukan dengan mengatur VTP (Virtual Trunking Protocol) mode dari masing-masing switch. Standar awal dari setiap switch adalah server. Berikut perbandingan fungsi dari server dan client mode: Server Mode z 1 Switch beroperasi sebagai server z Pembuatan VLAN dilakukan pada switch ini z Informasi disimpan pada vlan.dat. z Server mengirim informasi VLAN ke switch-switch klien melalui link trunk z Penambahan, penghapusan dan penamaan VLANs pada server. Client Mode z Klien menerima informasi VLAN dari server. z Switch-switch klien kemudian memilikiVLAN yang sama dengan server.
179
z Klien tidak menyimpan informasi VLAN, hanya disimpan sementara pada RAM dan menghilang jika switch dimatikan
Konfigurasi yang dilakukan pada masing-masing switch berupa : Switch Server Switch(config)#vtp domain cisco1 Switch(config)#vtp password cisco (Nama domain dan Password bebas) Server mode adalah standar awal, tapi jika berubah : Switch(config)#vtp mode server Version 1 adalah standar awal, tapi perintahnya berupa : Switch(config)#vtp version 1
Switch Client Switch(config)#vtp mode client Setelah konfigurasi ini selesai maka langkah selanjutnya adalah membuat VLAN pada switch server. Konfigurasinya sebagai berikut : Switch(config)#vlan 10 Switch(config-vlan)#name IT
Untuk membuat VLAN hanya perlu memasukkan perintah VLAN disertai nomor ID dari VLAN antara 2 sampai dengan 1001. Kemudian perintah name untuk menamai VLAN tersebut. Jumlah VLAN yang dibuat berdasarkan kepada banyaknya divisi yang ada dan tergantung kebutuhan dari masing-masing kantor. Setelah selesai membuat
180
VLAN maka langkah selanjutnya adalah mengatur komputer yang terhubung ke switch agar berada di dalam VLAN yang telah ditentukan. M isalnya port 6 sampai dengan 10 ditentukan berada pada vlan 20. Konfigurasinya sebagai berikut : Switch (config)#int range fa 0/6 - 10 Switch (config-if)#switchport mode access Switch (config-if)#switchport access vlan 20 Switch (config-if)#end Jika hanya 1 port saja yang ingin dimasukkan : Switch(config)#int fa 0/11 Switch (config-if)#switchport mode access Switch (config-if)#switchport access vlan 30 Switch (config-if)#end Konfigurasi ini menunjukkan bahwa keanggotaan dari setiap VLAN didasarkan pada port yang ada di switch. M ekanisme ini disebut dengan port-based. Alasan dari penggunaan mekanisme ini karena lebih mudah dikonfigurasi dibandingkan mekanisme lainnya.
M isalnya
saja
mekanisme
mac-address-based
mengharuskan
untuk
memasukkan alamat mac-address dari masing-masing NIC Card di setiap komputer ke dalam VLAN. M ekanisme port-based sangat cocok diterapkan dalam jaringan yang memiliki komputer puluhan maupun ratusan karena proses konfigurasinya hanya memerlukan pengalokasian port di switch ke VLAN yang diinginkan. Dengan melaksanakan langkah-langkah konfigurasi di atas maka teknologi VLAN telah diimplementasikan di dalam jaringan. Untuk dapat menghubungkan antar switch yang satu dengan lain maupun ke perangkat router maka diperlukan jalur trunking. Jalur trunking diperlukan untuk menyalurkan dan menerima data dari masing-
181
masing komputer pada setiap VLAN yang sama serta memungkinkan traffic antar VLAN dapat berjalan lancar. Selain itu menghemat port pada switch karena hanya memerlukan 1 port untuk setiap jalur trunking ke switch lain. Pada router sendiri perlu diterapkan InterVLAN routing agar komputer yang terletak pada VLAN berbeda dapat terhubung. Umummnya port Fast Ethernet pada router jumlahnya terbatas sehingga untuk dapat melakukan hubungan antar VLAN harus dibuat sub-interface yaitu interface virtual pada router sehingga setiap sub-interfacenya dapat digunakan untuk 1 VLAN dan masing-masing sub-interface memiliki IP address sesuai dengan VLAN yang ada.
4.3.2
Uji dan Hasil Konektivitas VLAN
Setelah selesai melakukan konfigurasi pada switch maupun router maka selanjutnya dilakukan perbandingan antara jaringan LAN biasa dengan jaringan yang menggunakan VLAN. Ada 2 uji coba yang dilaksanakan, yang pertama dengan Packet Tracer untuk menunjukkan koneksi antar komputer dan yang kedua dengan Wireshark untuk memperlihat paket yang lewat dalam jaringan. Berikut ini proses dari kedua uji coba :
182
Gambar 4.28 Proses Uji coba Packet Tracer 5.2 - 1
Gambar 4.29 Proses Uji coba Packet Tracer 5.2 – 2
183
Gambar 4.30 Proses Uji coba Packet Tracer 5.2 – 3
Gambar 4.31 Proses Uji coba Packet Tracer 5.2 – 4
184
Gambar 4.32 Proses Uji coba Packet Tracer 5.2 – 5
Gambar 4.33 Proses Uji coba Packet Tracer 5.2 – 6
185
Pada gambar 4.28 dari Komputer A dengan IP 192.168.30.4 akan mengirimkan paket ke komputer B dengan IP 192.168.30.7, keduanya berada dalam VLAN yang sama yaitu 30. Kemudian pada gambar 4.29 dan 4.30 komputer dan switch akan saling bertukar paket dengan tipe ARP untuk mencari alamat dari komputer tujuan. Terlihat di layar hanya komputer yang berada di VLAN 30 akan menerima paket tersebut, ditandai dengan gambar amplop berwarna hijau. Setelah memperoleh alamat tujuan, komputer akan mengirim paket ICM P yang ditandai dengan gambar amplop biru seperti yang terlihat pada gambar 4.31. Paket akan diterima oleh komputer B dan mengirim paket balasan ke komputer A sebagai tanda bahwa pengiriman paket telah sampai dengan sempurna seperti yang diperlihatkan pada gambar 4.32& 4.33. M elalui uji coba ini terlihat jelas bahwa dengan adanya pembagian VLAN maka switch dapat bekerja lebih efektif karena penyebaran paket hanya dilakukan untuk komputer yang berada dalam VLAN yang sama. Waktu pengiriman paket dapat berjalan lebih cepat dibanding jaringan LAN biasa karena switch tidak akan menyebarkan ke semua komputer. Selain itu jika terjadi gangguan keamanan seperti virus maupun spyware, tidak akan menyebar ke seluruh jaringan sehingga mengurangi masalah yang dapat terjadi serta mempermudah dalam perbaikan jaringan. Komputer dalam jaringan hanya dapat berhubungan dengan komputer dalam VLAN yang sama sehingga menjaga kerahasiaan data agar tidak menyebar ke bagian yang tidak berwenang dan mencegah kemungkinan terjadinya tindakan dari user yang berpotensi menganggu kinerja komputer dalam VLAN yang berbeda. Berikut uji coba koneksi antara komputer yang berada dalam VLAN yang sama maupun berbeda:
186
Gambar 4.34 Uji Koneksi komputer dalam VLAN yang sama
Gambar 4.35 Uji Koneksi komputer dalam VLAN yang berbeda
187
Jadi sangat jelas bahwa koneksi antar komputer hanya dapat dilakukan ke komputer lain yang berada dalam 1 VLAN yang sama sedangkan jika mencoba melakukan hubungan ke komputer yang berbeda VLAN akan mengalami kegagalan. Paket yang dikirimkan dalam jaringan LAN biasa dengan jaringan yang menggunakan VLAN juga berbeda. Paket VLAN memiliki informasi tambahan yang berisi tag VLAN sebagai identitas supaya terkirim sesuai tujuan. Saat paket dari 1 komputer diterima switch hanya berupa paket biasa kemudian switch tersebut akan memberikan tag VLAN dan meneruskannya ke switch lain. Kemudian paket yang diterima switch selanjutnya akan dilepas tag VLAN tersebut dan dikirimkan ke komputer tujuan. Dengan adanya tag VLAN, switch memperoleh informasi yang tepat sehingga paket dapat dikirimkan kepada komputer tujuan yang benar. Berikut contoh paket yang dikirimkan antar VLAN melalui switch:
Gambar 4.36 Paket VLAN dalam Switch - 1
188
Gambar 4.37 Paket VLAN dalam Switch - 2
Gambar 4.38 Paket VLAN dalam Switch - 3
189
Gambar 4.39 Paket VLAN dalam Switch – 4
Pada gambar 4.39 diperlihatkan contoh paket yang dilewatkan pada switch memiliki informasi VLAN 10. M elalui software Wireshark paket yang dikirimkan antar komputer dalam VLAN yang sama melalui switch memang memiliki informasi tambahan. Dalam gambar tersebut melalui CDP (Cisco Discovery Protocol) yang dimiliki switch, paket tersebut berasal dan ditujukan untuk komputer yang berada pada VLAN 10. Berdasarkan analisis dari uji coba terhadap jaringan baru yang menerapkan VLAN diperoleh perbandingan seperti yang tertera dalam tabel 4.8 pada halaman 190.
190
4.3.3
Evaluasi Hasil Optimasi VLAN
Hasil optimasi VLAN dapat dilihat di tabel 4.8 berikut: Tabel 4.8 Hasil Optimasi VLAN Poin Perbandingan
Jaringan LAN biasa
Performa
Terjadinya
broadcast
Jaringan dengan VLAN storm M engurangi kemungkinan
mengakibatkan terjadinya broadcast storm
yang pemborosan
bandwith
dan karena terdapat segmentasi yang
menyebabkan terjadinya delay membatasi jalur broadcast. serta
link
berkemungkinan M engurangi broadcast secara
down
keseluruhan dengan membatasi jumlah
port
switch
yang
digunakan dan jumlah klien dalam suatu VLAN. Penempatan virtual
Harus memindahkan perangkat
M emberikan kebebasan
jaringan dalam
fisik seperti
terhadap batasan lokasi fisik
sebuah workgroup
komputer,printer,dll dalam
dengan mengijinkan workgroup
ruang lingkup yang
yang terpisah lokasinya dapat
berdekatan.
terhubung secara logika ke jaringan sehingga lebih fleksibel jika terjadi perubahan jaringan.
Penyederhanaan
Setiap kali adanya
M engurangi biaya perawatan
proses administrasi
penambahan atau perubahan
jaringan dan jika terjadi
user pada LAN perlu mengatur
perubahan user, cukup
191
ulang kabel, IP address dan
melakukan konfigurasi pada
konfigurasi manual.
switch VTP server. Pengontrolan administrasi dilakukan secara terpusat artinya aplikasi darimanajemen VLAN dapat dikonfigurasikan, diatur dan diawasi secara terpusat.
Reduced Cost
Security
M emerlukan lebih dari 1 router M enghilangkan biaya untuk untuk menghubungkan subnet
penambahan router yang lebih
yang berbeda
mahal
Jika salah satu klien terkena
VLAN dapat dimanfaatkan
virua maka akan menyebar ke
untuk mengatur broadcast
seluruh jaringan.
domain.
M udah diserang terhadap
Dapat digunakan untuk
serangan seperti man in the
mengatur firewall
middle attack, DOS, dll.
M emberikan batasan akses
Tidak ada pengaturan batasan
terhadap klien
akses.
Adanya pemberitahuan kepada
Semua klien dapat saling
network manager jika terjadi
terhubung satu sama lain.
gangguan. Klien hanya dapat berhubungan dengan klien lain yang berada
192
dalam 1 VLAN dan hanya dapat terhubung ke VLAN lain dengan bantuan router sehingga lebih mudah dalam pengontrolan dan keamanan jaringan lebih teroptimasi
4.4
Perancangan dan Implementasi VNC VNC adalah singkatan dari Virtual Network Computing. Perangkat lunak ini
digunakan oleh network administrator untuk melakukan administrasi pada komputer klien secara remote tanpa perlu harus ke tempat klien satu per satu. Dengan adanya perangkat lunak ini, pekerjaan akan menjadi mudah karena telah mendapatkan hak akses terhadap klien langsung dan real time, seperti keyboard, mouse, monitor, menjalankan program dan hal lainnya. M elalui software ini keamanan jaringan internal dapat lebih ditingkatkan karena dapat memonitor tindakan klien yang berpotensi menganggu kinerja jaringan sehingga dapat dicegah terlebih dahulu. Selain itu efektivitas kinerja karyawan menjadi lebih tinggi juga karena user tidak dapat bermain-main maupun menggunakan aplikasi yang tidak berhubungan dengan pekerjaan kantor. Apabila user mencoba melakukan tindakan tersebut akan dapat diketahui oleh network administrator dan dapat ditindak sesuai peraturan yang berlaku di kantor.
193
Alasan dipilih Ultra VNC karena memiliki keunggulan sebagai berikut: ‐
Instalasi yang relatif lebih mudah bagi kaum awam sekalipun
‐
Terdapat pilihan kostumisasi
‐
Client dapat dijalankan di setiap sistem operasi
‐
Gratis atau berupa freeware
Kebutuhan perangkat keras untuk melakukan instalasi UltraVNC adalah: -
Pentium 2 233MHz
-
64M B of System M emory (RAM )
-
20M B of disk space
-
Jaringan LAN
Kebutuhan perangkat lunak untuk melakukan instalasi UltraVNC adalah sistem operasi Windows XP/2000/Vista/7 (Seven). Pertama-tama denganmelakukan adalah melakukan instalasi vnc server di sistem operasi windows agar dapat mengambil sumber tools dari instalasi tersebut dan mempaketkan untuk bisa dijadikan aplikasi backdoor. Terlebih dahulu lakukan instalasi dengan beberapa ketentuan sebagai berikut: ‐
Install package untuk client dan server
‐
Ketika melakukan instalasi, pastikan hanya menginstall component vnc server dan vnc client saja, untuk tools lainnya tidak akan membuat lebih baik, bahkan bisa bermasalah
194
Gambar 4.40 Instalasi VNC-M emilih komponen untuk diinstal
‐
Klik next, lalu pada additional task, pilih register VNC pada system service karena registry yang ada akan diduplikasi untuk dimasukkkan kedalam registry client
‐
Centang “Clean old VNC registry keys” untuk menghapus registry keys yang sudah ada
195
Gambar 4.41 Instalasi VNC-M emilih task Setelah proses instalasi selesai, buka vnc server, lalu konfigurasi: ‐
Ganti port yang digunakan yang membingungkan administrator, misalnya port 8081
‐
Centang enable loopback jika ingin mengetes koneksi langsung dari server
‐
Setting password
‐
Pada mics menu, disable tray icon untuk menutupi icon vnc pada komputer client
‐
Centang “forbid user to close down vnc”, agar client tidak bisa mematikan aplikasi tersebut
196
Gambar 4.42 Konfigurasi VNC Klik apply dan OK ketika konfigurasi tersebut selesai. Untuk memastikan konfigurasi sudah terupdate, buka vnc server dengan option default configuration pada start menu -> vnc server - > vnc server default configuration. Lalu konfigurasi lagi seperti diatas untuk kedua kalinya dengan konfigurasi yang sama. Setelah melakukan instalasi dan konfigurasi, saatnya mengumpulkan file yang diperlukan untuk dikirimkan ke komputer klien, untuk itu akan dibuat satu folder dengan nama backdoor. Pastikan semua file tadi tersimpan dapat folder c:\ agar lebih cepat diakses. Dalam lab ini saya meletakkan file master vnc server didalam folder c:\vnc lalu menginstall program vnc tersebut bukan didalam program files melainkan di c:\vnc.
197
Setelah membuat folder baru dengan nama backdoor pada c:\vnc, duplikasikan 2 file yang diperlukan untuk membuat backdoor (pada c:\vnc) yaitu winvnc.exe dan vnchooks.dll kedalam folder backdoor. Ambil konfigurasi yang ada di registry file untuk dikirimkan ke komputer client agar mempunyai konfigurasi yang sama seperti configurasi pada komputer server. M isalnya password dan system konfigurasi yang lain. Untuk mengambil registry setting dari VNC yaitu dengan mengetikkan command pada command shell C:\vnc\backdoor>regedit /E vnc.reg “HKEY_LOCAL_M ACHINE\SOFTWARE\ORL\WinVNC3” Setelah terambil, coba edit beberapa kostumisasi dengan membuka file tersebut didalam notepad. Lalu pada baris pertama yang ada tulisan windows registry 5.0 diganti dengan REGEDIT4 agar semua system windows dapat dimasukkan backdoor tersebut, misalnya windows 98,M E, 2000 dan lainnya, kecuali windows vista karena menggunakan penempatan regedit yang berbeda (informasi ini ada di forum remote expoit). Tambahkan beberapa command pada akhir line regedit tersebut
dengan
informasi dibawah ini agar tidak terdengar suara apapun ketika terjadi koneksi atau pemutusan koneksi. “BeepConnect”=dword:00000000 “BeepDisconnect”=dword:00000000 Setelah itu save file registry tersebut.
198
Untuk menginstallkan vnc server, menginstallkan registry dan menjalankan vncserver, diperlukan bat file untuk otomatisasi pekerjaan pada komputer klien. Untuk itu buka notepad dan menyimpannya dengan nama file install dengan berextention bat sehingga menjadi install.bat Pada file tersebut tambahkan command berikut ini: Regedit /S vnc.reg Winvnc –reinstall Net start winvnc Jadi totalnya didalam folder backdoor yang dibuat akan muncul seperti dibawah ini:
Gambar 4.43 Isi folder backdoor
Sebenarnya 4 file ini yang akan dikirimkan ke komputer klien, tapi jika penasaran dan ingin mencoba, bisa mengklik ganda install.bat agar vnc server terinstall dikomputer.
199
Tapi akan menjadi susah apabila proses menstranfer file tersebut satu persatu dengan meterpreter hasil exploit menggunakan metasploit, maka dari itu diperlukan semacam file pembungkus agar 4 file tersebut dapat dibungkus dan dieksekusi sekali saja. M etasploit itu sediri adalah sebuah software yang di gunakan mengeksploit suatu sistem dan meterpreter adalah salah satu fitur dari metasploit yang digunakan dalam penelitian ini. Fungsi yang dikatakan di atas dapat diwakilkan dengan menggunakan tools dengan nama elitewrap. File ini dapat didownload dan diextract langsung kedalam folder backdoor yang pernah dibuat.
Gambar 4.44 File elitewrap Selain untuk membungkus, juga dapat dimanipulasi untuk otomatisasi menginstallkan install.bat ketika file tersebut tereksekusi, tetapi diperlukan command shell sebelumnya, buat dahulu command shell dengan cara: C:\vnc\backdoor>echo > cmd.exe
200
Setelah terbuat, lakukan pembungkusan, commandnya adalah sebagai berikut:
Gambar 4.45
Hasil dari eksekusi file elitewrap
Hasilnya didapat adalah test3.exe. File ini akan dimasukkankedalam c:\ lalu jalankan proses exploit lagi dengan menggunakan metasploit.
201
Dengan payload meterpreter/bind_tcp, jika sudah terexploit maka akan muncul seperti ini:
Gambar 4.46 Hasil proses exploit Lalu unggah file test3.exe yang telah dibuat dengan mengetikan command: ( running ) upload c:\\test3.exe c:\\test3.exe Tunggu sampai ada informasi file tersebut terunggah. Ketika file tersebut sudah terunggah, diperlukan command shell agar file tersebut dapat dijalankan secara remote. Langkahnya adalah dengan mengetikkan command: ( running ) execute -f cmd.exe -c -H –i Dengan contoh seperti dibawah ini:
Gambar 4.47 Command Shell
202
Lalu ketikkan command file test3.exe dan tunggu beberapa saat. Untuk memastikan apakah komputer client telah berhasil dipasang backdoor, maka bisa dilihat dengan port scanning via nmap atau menggunakan akses langsung ke komputer local atau menggunakan exploit tadi dengan mengetikkan command netstat –a. Berikut adalah tampilan ketika backdoor yang telah‘ditanamkan’ dikomputer klien telah berhasil:
Gambar 4.48 Tampilan ketika backdoor telah berhasil ‘ditanamkan’ ke komputer klien
203
Untuk lebih memastikan lagi, gunakan VNCViewer dari komputer server dengan melakukan konfigurasi sebagai berikut:
Gambar 4.49 Tampilan VNC Viewer Pastikan port tersebut diketik dengan benar dibelakang IP address komputer klien, karena jika tidak maka port-nya akan menggunakan port default, sehingga tidak akan terkoneksi. Lalu setelah terkoneksi, akan diminta password. Ketikkan password yang telah diatur sebelumnya. Jika berhasil, komputer klien telah siap untuk di-remote.
204
Gambar 4.50 Komputer klien telah siap untuk diremote Untuk memasukkan backdoor sudah diketahui bersama bahwa essensialnya backdoor tersebut adalah berfungsi membuka akses port number atau dalam bentuk aplikasi agar dapat dengan mudah masuk tanpa diketahui pemiliknya.
4.4.1
Evaluasi Hasil Optimasi Ultra VNC
Hasil optimasi Ultra VNC dapat dilihat di tabel 4.9 berikut: Tabel 4.9 Hasil Optimasi Ultra VNC Jaringan tanpa Ultra VNC
Jaringan dengan Ultra VNC
Penambahan maupun
Dengan adanya Ultra VNC dapat
penghapusan software harus
melakukan fungsi remote sehingga
dilakukan dengan mendatangi
tidak perlu mendatangi lokasi satu
lokasi fisik dari komputer
per satu
205
Pengontrolan karyawan kurang
M emonitor perilaku karyawan dalam
optimal karena pengawasan hanya
penggunaan komputer secara utuh
dapat dilakukan dengan
dan real time sehingga memberikan
berkeliling di lokasi kerja
efektifitas kinerja
Keamanan jaringan internal tidak
M engoptimasi jaringan internal
memiliki mekanisme yang
dengan memberikan kualitas
spesifik sehingga rentan terhadap
keamanan yang lebih baik dan
gangguan dari dalam
memiliki mekanisme yang terstruktur rapi
Dengan melakukan implementasi dan penerapan teknologi OpenVPN, VLAN serta VNC pada jaringan PT. Dinar M akmur melalui proses yang telah dijelaskan pada bab 4 ini, memberikan bukti nyata bahwa penerapan ketiga teknologi ini mengoptimasi keamanan jaringan baik secara internal maupun eksternal. M elalui wawancara ulang kepada IT M anager dan karyawan lain yang bersangkutan untuk mendapatkan evaluasi dari PT. Dinar M akmur juga menunjukkan bahwa optimasi keamanan jaringan yang lebih baik telah didapatkan dan hasilnya dapat dilihat pada bagian lampiran.