BAB IV IMPLEMENTASI DAN PENGUJIAN
4.1. Implementasi GETVPN 4.1.1. Konfigurasi Key Server Saat pertama kali melakukan instalasi router untuk menjadi key server perlu dilakukan global config yang menjadi standar perusahaan tersebut. Seperti konfigurasi hostname, password, dan SSH.
Gambar 4.0.1 general config
Sebelum konfigurasi GETVPN, generate RSA key nya agar bisa dipakai selama proses rekey. Masukan command crypto key generate rsa label GETVPN_REKEY-RSA modulus 2048 exportable, command ini akan meng-generate RSA key di Key Server, command ‘exportable’ akan membuat key diijinkan untuk di export dan dimasukan ke Secondary Key Server untuk proses verifikasi
Gambar 4.0.2 membuat crypto
37 1
http://digilib.mercubuana.ac.id/
2
Masukan command crypto key export rsa GETVPN-REKEY-RSA pem terminal 3des meruya123. Command ini digunakan untuk mengexport RSA key dari Primary Key Server ke format PEM(PrivacyEnhanced Mail). Disarankan untuk meng-copy paste melalui console Key Server dan menyimpan file tersebut di directory yang aman. Public dan Private key ini digunakan untuk membuat Secondary Key Server baru atau jika diperlukan, bisa digunakan untuk membuat ulang Primary Key Server.
Gambar 4.0.3 export RSA key
http://digilib.mercubuana.ac.id/
3
Konfigurasi Key Server Policies ISAKMP policy yang digunakan untuk GET VPN sebagai berikut: •
Advanced Encryption Standard (AES)
•
Secure Hash Standard (SHA)
•
Diffie-Hellman Group: 5 (untuk KS)
•
Diffie-Hellman Group: 2 (untuk GM)
•
IKE lifetime: 86400 (default - used for KS)
•
IKE lifetime: 1200 (used for GM)
Step 1: Membuat policy ISAKMP untuk COOP Key Server, parameter yang diinput harus sama di Key Server maupun Group Member. Define ISAKMP policy untuk COOP KS. crypto isakmp policy 10 encryption aes group 5 authentication pre-share
Gambar 4.0.4 Membuat Policy ISAKMP
Step 2: Membuat policy ISAKMP untuk Group member. crypto isakmp policy 15 encryption aes group 2 lifetime 1200 authentication pre-share
http://digilib.mercubuana.ac.id/
4
Gambar 4.0.5 membuat ISAKMP GM
Step 3: Konfigurasi PSK key. Agar proses authentikasi IKE(Internet Key Exchange) bisa berjalan maka remote peer PSK harus sama dengan local peer PSK
Gambar 4.0.6 Konfigurasi PSK key
Step 4: Membuat Profile GETVPN dengan memasangkan transform set ke profil GETVPN
Gambar 4.0.7 Profil GETVPN
Step 5: Membuat Group dengan konfigurasi parameter GETVPN GDOI. Masingmasing group yang dikonfigurasi di Key Server membutuhkan Group id yang unik
Gambar 4.0.8 membuat parameter konfigurasi
http://digilib.mercubuana.ac.id/
5
Step 6: Menbuat server local dengan menentukan perangkat sebagai GDOI Key Server dan menentukan parameter yang akan digunakan untuk proses rekey.
Gambar 4.0.9 menentukan GDOI
Step 7: Membuat IPsec SA dengan konfigurasi IP Sec profile dan aturan keamanan.
Gambar 4.0.10 Membuat IPsec SA
Step 8: Konfigurasi prioritas untuk redudansi dan alamat peer pada Key Server, nilai prioritas yang lebih tinggi akan membuat router bertindak sebagai primary Key Server.
Gambar 4.0.11 Konfigurasi Prioritas
http://digilib.mercubuana.ac.id/
6
4.1.2.
Konfigurasi COOP server
Sebelum konfigurasi Secondary Key Server, diharuskan untuk konfigurasi RSA key dengan menginput command ‘crypto key import rsa GETVPN_key
exportable
terminal
meruya123’.
Langkah
ini
membutuhkan public key dan private key yang telah digenerate di primary Key Server sebelumnya, caranya dengan meng-copy-paste key ke space yang telah disediakan. Apabila proses import key yang telah berhasil, maka akan muncul notifikasi ‘Key pair import succeded’
http://digilib.mercubuana.ac.id/
7
Gambar 4.0.12 import RSA key
Step 1: Membuat policy ISAKMP untuk COOP Key Server, parameter yang diinput harus sama baik dari Key Server maupun Group Member. Define ISAKMP policy untuk COOP KS. crypto isakmp policy 10 encryption aes group 5 authentication pre-share
http://digilib.mercubuana.ac.id/
8
Gambar 4.0.13 membuat ISAKMP Policy
Step 2: Membuat policy ISAKMP untuk Group member.
Gambar 4.0.14 Membuat policy ISAKMP GM
Step 3: Konfigurasi PSK key. Agar proses authentikasi IKE(Internet Key Exchange) bisa berjalan maka remote peer PSK harus sama dengan local peer PSK
Gambar 4.0.15 membuat PSK Key
Step 4: Membuat Profile GETVPN dengan memasangkan transform set ke profil GETVPN
Gambar 4.0.16 Membuat Profile GETVPN
http://digilib.mercubuana.ac.id/
9
Step 5: Membuat Group dengan konfigurasi parameter GETVPN GDOI. Masingmasing group yang dikonfigurasi di Key Server membutuhkan Group id yang unik
Gambar 4.0.17 membuat parameter GDOI
Step 6: Menbuat server local dengan menentukan perangkat sebagai GDOI Key Server dan menentukan parameter yang akan digunakan untuk proses rekey.
Gambar 4.0.18 membuat GDOI server
Step 7: Membuat IPsec SA dengan konfigurasi IP Sec profile dan aturan keamanan.
Gambar 4.0.19 membuat IPsec SA
Step 8: Konfigurasi prioritas untuk redudansi dan alamat peer pada Key Server, nilai prioritas yang lebih tinggi akan membuat router bertindak sebagai primary Key Server.
http://digilib.mercubuana.ac.id/
10
Gambar 4.0.20 menentukan priority secondary server
4.1.3.
Konfigurasi Group Member (GM)
GM disini adalah beberapa Router cabang yang dikelompokkan. GM bergabung dengan KS untuk mendapatkan IPSec SA dan kunci enkripsi yang diperlukan untuk mengenkripsi lalu lintas. Selama pendaftaran, GM memberikan ID group ke KS untuk mendapatkan policy dan keys untuk grup. Karena sebagian besar pengaturan ada pada KS, konfigurasi pada GM relatif sederhana dan hampir identik di semua GM. Prosedur ini mengasumsikan bahwa semua konfigurasi konektivitas dasar (seperti rute default, protokol routing, dll) yang sudah diatur. Step 1: Membuat Policy pada router cabang
Gambar 4.0.21 membuat policy router cabang
Step 2: Membuat PSK untuk redundancy dengan menambahkan address ke IP Primary dan Secondary Key Server untuk redundancy Key Server.
Gambar 4.0.22 membuat PSK key
http://digilib.mercubuana.ac.id/
11
Step 3: Membuat GETVPN group dengan redundancy dengan menambahkan server address ke IP Secondary Key Server. IPSec transformasi-set dan konfigurasi profil tidak perlu lagi diatur di GM. Parameter ini di-download dari KS ketika GM berhasil terdaftar dengan KS. Sebuah GM perlu mendefinisikan hanya identitas kelompok GDOI dan alamat KS.
Gambar 4.0.23 membuat GETVPN group
Step 4: Membuat GETVPN map dan memasangkan profile GETVPN yang telah dibentuk sebelumnya
Gambar 4.0.24 memasang GETVPN map
http://digilib.mercubuana.ac.id/
12
4.2. PENGUJIAN 4.2.1. Uji Coba Authentikasi GETVPN “show crypto isakmp sa” merupakan sebuah cara untuk melihat keberhasilan IKE phase 1. Dengan melihat state yang terbentuk pada router di setiap cabang yang ada, kita bisa melakukan verifikasi apakah proses authentikasi sudah berjalan dengan baik atau belum
Gambar 4.0.25 ISAKMP Key Server
Pada router KS-UMB-01 yang berfungsi sebagai Key Server primary, terlihat bahwa primary Key Server sudah berhasil membentuk koneksi VPN seluruh IP yang ada di kolom “src” yang mewakili IP jaringan LAN di setiap cabang yang ada. Ada 2 jenis state yang bisa terlihat pada “show crypto isakmp sa” yaitu MM_NO_STATE
dan
GDOI_IDLE.
GDOI_IDLE
menandakan
proses
authentikasi antar setiap IP yang terlibat sudah berjalan dengan baik. Dari gambar di atas terlihat bahwa semua state yang terbentuk dari primary Key Server ke semua cabang yang ada adalah GDOI_IDLE. Berarti proses authentikasi atau IKE phase 1 antara primary Key Server, secondary Key Server, dan seluruh router cabang sudah berjalan dengan sempurna. Proses verifikasi IKE phase 1 atau authentikasi tidak hanya dilakukan di kantor pusat, tetapi juga di seluruh cabang yang ada. Pada “show crypto isakmp sa” di kantor cabang. dapat terlihat bahwa semua sudah berhasil membentuk authentikasi ke 10.10.10.1 yang mewakili IP primary Key Server
http://digilib.mercubuana.ac.id/
13
Gambar 4.0.26 ISAKMP Cabang bandung
Gambar 4.0.27 ISAKMP cabang Medan
Gambar 4.0.28 ISAKMP Cabang Menado
http://digilib.mercubuana.ac.id/
14
4.2.2. Uji Coba IKE Phase 2 GETVPN Capture GDOI – GETVPN
Gambar 4.0.29 GDOI Key Server Jakarta
http://digilib.mercubuana.ac.id/
15
Gambar 4.0.30 GDOI Group member Bandung
http://digilib.mercubuana.ac.id/
16
Gambar 4.0.31 GDOI Group member Medan
http://digilib.mercubuana.ac.id/
17
Gambar 4.0.32 GDOI Group member Menado
Dari hasil ’show crypto GDOI’ di semua router cabang, terlihat bahwa semuanya sudah berhasil membaca 10.10.10.1 dan 20.20.20.1 di dalam server list. Dimana kedua IP tersebut adalah IP primary dan secondary Key Server di kantor pusat. Disamping itu dari show crypto GDOI mereka juga sudah berhasil melakukan download terhadap policy yang dibentuk dari Key Server. Dengan melihat hasil tersebut dapat dipastikan bahwa IKE phase 2 sudah berhasil terbentuk dan semua data yang lewat di jalur tersebut sudah terjamin keamanannya.
http://digilib.mercubuana.ac.id/
18
4.2.3. Uji Coba Failover
Gambar 4.0.33 GDOI Key Server 1
Pada saat semua peralatan berfungsi dengan baik, router KS-UMB-01 berfungsi sebagai Key Server primary. Hal ini dibuktikan dengan Local KS Role pada show crypto GDOI adalah primary. Dengan fungsinya sebagai primary Key
http://digilib.mercubuana.ac.id/
19
Server, router KS-UMB-01 berhasil membentuk IKE phase 1 dengan kantorkantor cabang.
Gambar 4.0.34 GDOI Secondary Server
Ketika primary Key Server masih berfungsi dengan baik, router KS-UMB02 hanya berfungsi sebagai backup. Hal ini dibuktikan dengan Local KS Role pada show crypto GDOI adalah secondary. Router tersebut hanya akan mengganti Local KS Role menjadi Primary ketika konektivitas dengan router KS-UMB-01 tidak dapat dicapai. Dengan fungsinya sebagai secondary Key Server, router ini
http://digilib.mercubuana.ac.id/
20
hanya membentuk IKE phase 1 antara 10.10.10.1 dengan 20.20.20.1 yang merupakan IP di primary Key Server.. Pada primary dan secondary Key Server sama-sama terdapat access list GETVPN-POLICY-ACL yang nantinya akan di distribusikan kepada seluruh Group Member yang berhasil mendaftarkan diri ke dalam GETVPN_group.
Gambar 4.0.35 ACL yang telah di download
http://digilib.mercubuana.ac.id/
21
Bandung merupakan salah satu cabang dari perusahaan PT. XYZ yang harus terdaftar sebagai Group Member. Untuk memastikan apakah router dengan hostname Bandung berhasil mendaftarkan diri mereka sebagai Group Member dalam GETVPN_group maka ada 2 hal yang perlu diperhatikan : 1. Pada show crypto isakmp sa harus dipastikan terbentuknya koneksi antara 30.30.30.1 yang mewakili LAN di kota Bandung dengan 10.10.10.1 yang merupakan IP Key Server untuk router dengan saat ini berfungsi sebagai primary Key Server. Ketika koneksi berhasil state yang terbentuk harus GDOI_IDLE.
Pada show crypto GDOI harus dipastikan bahwa router Bandung harus berhasil men-download ACL GETVPN-POLICY-ACL yang dikirimkan oleh primary Key Server 10.10.10.1 Ketika terjadi masalah dengan primary Key Server, Router KS-UMB-02 yang berfungsi sebagai secondary langsung mengambil alih fungsi dan tugas dari primary Key Server. Hal ini dapat dilihat melalui beberapa indikator. 1. Pada show crypto GDOI dapat dilihat Local KS Role dari router tersebut berubah dari secondary menjadi primary. Pada show crypto isakmp sa router ini menghapus konektivitas dengan primary Key Server yang lama yaitu 10.10.10.1 dengan mengubah state menjadi MM_NO_STATE. Router KS-UMB-02 mengambil alih tugas dan tanggung jawab sebagai primary Key Server dengan membentuk konektivitas dengan cabangcabang.
http://digilib.mercubuana.ac.id/
22
Gambar 4.0.36 secondary key server berubah menjadi primary
Melalui percobaan di atas membuktikan bahwa sistem telah memenuhi aspek redundansi yang merupakan salah satu komponen penting dalam design.
http://digilib.mercubuana.ac.id/
