PERANCANGAN DAN IMPLEMENTASI CISCO VIRTUAL PRIVATE NETWORK DENGAN L2TP DI KANTOR PEMERINTAHAN PROVINSI DAERAH ISTIMEWA YOGYAKARTA
NASKAH PUBLIKASI
diajukan oleh ADITYA PRAHERZTONI 06.11.1015
kepada SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER AMIKOM YOGYAKARTA 2010
1
.
2
DESIGN AND IMPLEMENTATION CISCO VIRTUAL PRIVATE NETWORK WITH L2TP IN PROVINCE GOVERMENT OF DAERAH ISTIMEWA YOGYAKARTA
PERANCANGAN DAN IMPLEMENTASI CISCO VIRTUAL PRIVATE NETWORK DENGAN L2TP DI KANTOR PEMERINTAHAN PROVINSI DAERAH ISTIMEWA YOGYAKARTA
Aditya Paherztoni 1, Sudarmawan2
ABSTRACT
DIY provincial government implement a medium of communication networks to reduce the distance and time constraints. The need for expansion of data networks / multimedia on the current government agencies is increasingly high, especially the development of an intranet network for security and private. Because it involves the development of higher investment, and access availability will be a crucial problem that needed a private communication service that is safe, easy, efficient and flexsibel. Various
solutions
are
offered
to
form
a
network
security
reliable
extranet. Appropriate solution is the establishment of private networks over a public network that is often known as VPN (Virtual Private Network). L2TP (Layer 2 Tunneling Protocol) provides a good security solution for the problems above by way of forming tunnel (tunnel) on the public network that connects remote clients to corporate networks.
Keyword: VPN, L2TP, Intranet, Extranet, security, communication 1 2
Jurusan Teknik Informatika, STMIK AMIKOM YOGYAKARTA Jurusan Teknik Informatika , STMIK AMIKOM YOGYAKARTA
3
1. PENDAHULUAN
Pemerintah provinsi DIY menerapkan jaringan sebagai media untuk mengurangi batasan jarak dan waktu, saat ini perkembangan dunia internet banyak digunakan dari berbagai kalangan untuk mempermudah laju informasi dengan mengakakses sistem informasi manajemen pemerintahan. Sehingga sistem informasi bisa diakses darimana saja dan kapan saja melalui jaringan internet. Kebutuhan akan perluasan jaringan data/multimedia pada instansi pemerintahan sekarang ini semakin tinggi. Perluasan dapat berupa pembukaan host remote system ataupun remote client yang dapat mengakses jaringan korporat, yang menuntut efisiensi dan keamanan pada jaringan yang lebih tinggi. Berbagai solusi ditawarkan untuk membentuk keamanan jaringan yang handal, diantaranya adalah membentuk sebuah jaringan privat dengan leased line (saluran sewa) antara jaringan korporat dengan remote host atau remote client. Pada saat jaringan privat mempunyai skala jaringan yang kecil atau menengah, investasi yang ditanam tidaklah terlalu menjadi masalah. Tetapi pada saat skala jaringan menjadi besar, hal ini akan menjadi masalah. Karena menyangkut pengembangan investasi yang semakin tinggi, dan ketersediaan akses akan menjadi masalah yang krusial.
Solusi lain yang lebih efisien adalah pembentukan jaringan privat melalui jaringan publik yang sering dikenal dengan VPN (Virtual Private Network). Bentuk jaringan seperti ini membutuhkan sebuah sistem keamanan yang baik sehingga jaringan privat tersebut tidak dapat diakses oleh pengguna yang tidak berwenang. L2TP (Layer 2 Tunneling Protocol) memberikan solusi keamanan yang baik bagi permasalahan diatas dengan cara membentuk tunnel (terowongan) pada jaringan publik yang menghubungkan remote client dengan jaringan korporat. L2TP menyediakan akses dial-up virtual ke jaringan korporat. Oleh karena itu,
judul Skripsi ini adalah ” PERANCANGAN DAN IMPLEMENTASI CISCO VIRTUAL
PRIVATE NETWORK DENGAN L2TP DI KANTOR PEMERINTAHAN PROVINSI DAERAH ISTIMEWA YOGYAKARTA”.
4
2. DASAR TEORI
2.1
PENGERTIAN VPN
Virtual Private Network (VPN) adalah sebuah teknologi komunikasi yang memungkinkan untuk dapat terkoneksi ke jaringan publik dan menggunakannya untuk dapat bergabung dengan jaringan local. Dengan cara tersebut maka akan didapatkan hak dan pengaturan yang sama seperti halnya berada didalam LAN itu sendiri, walaupaun sebenarnya menggunakan jaringan milik public. Virtual Private Network mengandalkan tunneling untuk menyandikan aliran transmisi antara dua host dan menangani data sandi seperti databiasa yang dikirim dari satu gateway VPN ke gateway VPN lainnya. Gateway penerima melucuti header IP dan membukanya sandi data yang telah disandikan sebelumnya. 2.2
Teknologi VPN
Virtual Private Network merupakan perpaduan dari teknologi tunneling dengan teknologi enkripsi. •
Teknologi Tunneling Teknologi tunneling merupakan teknologi yang bertugas untuk manangani dan
menyediakan koneksi point-to-point dari sumber ke tujuannya. Disebut tunnel karena koneksi point-to-point tersebut sebenarnya terbentuk dengan melintasi jaringa umum, namun koneksi tersbut tidak mempedulikan paket-paket data milik orang lain yang samasama melintasi jaringan umum tersebut, tetapi koneksi tersebut hanya melayani transportasi data dari pembuatnya.Hal ini sama dengan seperti penggunaan jalur busway yang pada dasarnya menggunakan jalan raya, tetapi dia membuat jalur sendiri untuk dapat dilalui bus khusus. Koneksi point-to-point ini sesungguhnya tidak benar-benar ada, namun data yang dihantarkannya terlihat seperti benar-benar melewati koneksi pribadi yang bersifat point-topoint. •
Teknologi Enkripsi Teknologi enkripsi menjamin data yang berlalu-lalang di dalam tunnel tidak dapat
dibaca dengan mudah oleh orang lain yang bukan merupakan komputer tujuannya. Semakin banyak data yang lewat di dalam tunnel yang terbuka di jaringan publik, maka teknologi
5
enkripsi ini semakin dibutuhkan. Enkripsi akan mengubah informasi yang ada dalam tunnel tersebut menjadi sebuah ciphertext atau teks yang dikacaukan dan tidak ada artinya sama sekali apabila dibaca secara langsung. Untuk dapat membuatnya kembali memiliki arti atau dapat dibaca, maka dibutuhkan proses dekripsi. Proses dekripsi terjadi pada ujung-ujung dari hubungan VPN. Pada kedua ujung ini telah menyepakati sebuah algoritma yang aka digunakan untuk melakukan proses enkripsi dan dekripsinya. Dengan demikian, data yang dikirim aman sampai tempat tujuan, karena orang lain di luar tunnel tidak memiliki algoritma untuk membuka data tersebut.
2.3
Protokol pada VPN
Terdapat tiga protokol yang hingga saat ini paling banyak digunakan untuk VPN. Ketiga protokol tersebut antara lain sebagai berikut. • Point to Point Tunneling Protocol (PPTP) • Layer 2 Tunneling Protocol (L2TP) • IPSec
Protokol-protokol di atas menekankan pada authentikasi dan enkripsi dalam VPN. Adanya sistem authentikasi akan mengijinkan klien dan server untuk menempatkan identitas orang yang berbeda di dalam jaringan secara benar. Enkripsi mengijinkan data yang dikirim dan diterima tersembunyi dari publik saat melewati jaringan publik.
2.4
Layer 2 Tunneling Protocol (L2TP)
L2TP adalah tunneling protocol yang memadukan dua buah tunneling protokol yaitu L2F (Layer 2 Forwarding) milik cisco dan PPTP milik Microsoft. L2TP biasa digunakan dalam membuat Virtual Private Dial Network (VPDN) yang dapat bekerja membawa semua jenis protokol komunikasi didalamnya. Umunnya L2TP menggunakan port 1702 dengan protocol UDP untuk mengirimkan L2TP encapsulated PPP frames sebagai data yang di tunnel. Terdapat dua model tunnel yang dikenal, yaitu compulsory dan voluntary. Perbedaan utama keduanya terletak pada endpoint tunnel-nya. Pada compulsory tunnel, ujung tunnel berada pada ISP, sedangkan pada voluntary ujung tunnel berada pada client remote.
6
3. Perancangan dan Implementasi
Gambar 3.1 Topologi Jaringan pemprov diy
3.1
Gambaran sistem jaringan •
Intranet Jaringan lokal di pemerintah provinsi DIY menggunakan protokol TCP/IP, untuk
membagi informasi rahasia istitusi kepada karyawan atau bidang
bidang dalam suatu
kompleks. Dengan media kabel maupun wireless. Sehingga jika satuan kerja di tempat lain atau
beda komplek perlu mengakses intranet maka jaringan harus terhubung secara
langsung ke server dengan menarik kabel atau menggunakan poin to poin connection. •
Extranet Untuk memperluas jaringan komputer di kantor Pemprov DIY saat ini terhubung
dengan internet untuk komunikasi antar wilayahnya. Sehingga sistem informasi manajemen di pemprov menngunakan ip publik agar bisa di akses oleh satuan kerja di luar komplek kantor pusat.
7
3.2 •
Analiasis permasalahan Intranet Menurut rekan saya yang bersamaan melakukan penelitian tentang LAN/Intranet di
pemprov menyimpulkan bahawa benggunaan lan kurang efektif, karena bertambahnya user di dalam jaringan dan bertambahnya frekuensi perpindahan data menjadikan lalu lintas (traffic) pada sebuah jaringan akan bertambah padat sehingga mengakibatkan kemacetan (congestion). Oleh karena itu, perlu diterapakan konsep VLAN yang memecah – mecah broadcast domain menjadi beberapa segmen yang lebih kecil berdasarkan persamaan divisi / manajemen. Segmentasi ini dilakukan untuk membatasi penyebarnya pengiriman paket data, sehingga paket data yang dikirim hanya dapat diterima oleh pengguna yang dituju 3.
•
Extranet Internet berfungsi sama seperti jaringan telepon umu atau Public Swiching
Telephone Network (PSTN). Dan semakin banyak organisasi atau individu terhubung jaringan tersebut menjadi lebih penting bagi semua orang untuk menggunakannya. Tetapi masalahnya dalam penggunaan network pulic yang terbuka seperti internet untuk mengirim informasi pribadi organisasi adalah sifatnya terbuka dan umum ,serta hanya sedikit cara dimana user bisa mengendalikan data yang user lintasi sehingga rawan dengan keaman 4 baik itu dari keamanan .
Security merupakan prasyarat dasar karena pada dasarnya Internet adalah sebuah jaringan yang tidak aman. Jutaan komputer membentuk public network Internet dimana komunikasi dapat di dengarkan di tengah jalan. Pada saat data bergerak dari pengirim ke penerima, pasti melalui beberapa koneksi (router dll) sebelum mencapai tujuan akhirnya. Artinya komputer lain di luar dua komputer yang saling berkomunikasi tersebut sangat mungkin untuk akses data tersebut. Oleh karenanya, security merupakan prasyarat mutlak jika kita ingin data kita selamat melalui jaringan publik tersebut.
3 4
Dwi Margo, Analisis dan Perancangan VLAN di pemprov DIY, h.1 Peter Loshin, Desain dan Implementasi Extranet,PT Elekmedia Komputindo, Jakarta, 1998,H11
8
3.3 •
Pemecahan masalah Perubahan Topologi
Gambar 3.1 Topologi Jaringan VPN •
Penambahan Hardware Untuk membangun VPN perlu penambahan alat yaitu router untuk di jadikan server
VPN. Di pemerintah provinsi sendiri sudah tersedia router 2800 series. Dengan spesifikasi hardware sebagai berikut: Router cisco 2800 series •
LAN interface (built in) 2-10/100
•
Expantion slot : 4 slot, each slot can support HWIC,WIC, or VWIC type modules.
•
DRAM ( default ) 256 MB
•
Max DRAM 768 MB
•
Flash memory (default) 64 MB
•
Max flash memory 256 MB
•
Other port : console port (up to 115,2 kbps), auxiliary port (up to 115,2 kbps), 2 fixed usb 1,1 ports.
9
•
Deminsion (W x H x D) 438,2 x 44,5 x416,6mm.
•
Weight 6,4 kg
•
Power source 100 to 240 VAC, autoranging
4. HASIL DAN PEMBAHASAN Dari hasil analisis kebutuhan dan implementai sistem penerapan akses extranet dengan menggunakan teknologi VPN yang jalan pada protokol L2TP bahwasannya Pemerintah Provinsi DIY mempertimbangakan beberapa aspek penting dipenuhi dalam
komunikasi
yang harus
yaitu diantaranya kemudahan, fleksibilitas, efisien dan
keamanan. Oleh karena itu dalam bab ini membahas mengenai hal-hal yang dibutuhkan oleh pemerintah provinsi dalam implementasi VPN ini. 4.1 Kemudahan Membahas mudah atau susahnya suatu sistem itu tergantung tingkat keamanan, pada kenyataanya keamanan berbanding terbalik dengan kemudahan semakin tinggi tingkat kemanan maka semakin berkurang tingkat kemudahannya. Dalam implementasi vpn pun juga begitu karena teknologi ini mempunyai tingkat keamanan tinggi jadi perlu beberapa authentifikasi atau authentifikasi berlapis. Keseluruhan VPN dapat diatur dalam server VPN sendiri, dan untuk dapat digunakan oleh klien. Hal ini tentu lebih mudah apabila dibandingkan dengan menggunakan leased line yang masih perlu memonitor modem. Di dalam server vpn sudah mengatur hal-hal yang dibutuhkan untuk koneksi ke tunneling, jadi user hanya memasukkan username dan password pada konfigurasi vpn client VPN client tunnelingnya bisa terhubung dengan vpn server karena konfigurasi yang di diperlukan client secara otomatis di berikan oleh vpn server saat proses dialing. Berikut proses pemberian konfigurasi
Gambar 4.1 Proses pengiriman data konfigurasi client
10
Gambar di atas menjelaskan bahawa VPN server memberikan konfigurasi IP untuk client yaitu 192.168.100.2. Setelah authentification dan data konfigurasi di terima dari server VPN maka koneksi terjalin. Bila di lihat status slient seperti pada gambar berikut
4.2 Fleksibilitas Untuk menguji fleksibikitas VPN sistem ini penulis mencoba koneksi vpn dengan berbagai koneksi atau provider internet dan menggunakan beberapa macam sistem operasi Dari hasil uji berkesimpulan semakin berkembangnya internet semakin mudahnya untuk mengakses VPN sehingga setiap user dapat tergabung dalam VPN yang telah dibangun tanpa terbatas jarak dan waktu.
4.3 Keamanan Dalam tantangan kepercayaan pada sebuah lingkungan terbuka,
kita akan
menyelidiki kebutuhan-kebutuhan keamanan terlebih dahulu. Keamanan untuk sebuah intranet berdasarkan pada beberapa komponen hardware dan software. Teknologi dan mekanisme khusus akan bervariasi, tetapi apa yang disebut keamanan harus selalu memenuhi lima kebutuhan dasar : 4.3.1
Kerahasiaan Dimana VPN mempunyai kemampuan scramble atau encrypt pesan sepanjang
jaringan yang tidak aman. Karena melalui jalur terowongan sendiri. Bisa di buktikan dengan menggunakan paket capturing dan traceroute.
Gambar 4.2 Tracer pada ip publik Perintah tracert ini di digunakan untuk mendeteksi node-node yang dilalui suatu paket. Pada Gambar 4.2 di atas menjelaskan bahwa untuk suatu data atau paket untuk mencapai tujuan dalam kasus ini ke ip 202.169.238.59 dari hasil tracer paket data melalui node node perantara antara lain 202.115.48.209, 202.155.144.137, 202.155.0.130, 218.100.27.153 barulah sampai ke tujuan yaitu 202.169.238.59. berbeda bila menggunakan tunneling.
11
Gambar 4.3 Tracert pada ip private melaluin vpn
Dengan mengaktifkan koneksi vpn, hasil tracert ke vpn server yang beralamatkan 202.169.238.59 yang di dalamnya juga mempunyai ip loopback 192.168.100.1 sebagai ip local hasilnya seperti di Gambar 4.3 paket data langsung menuju ke node tujuan. Ini membuktikan bahwa paket data melalui suatu jalur virtual private walau sebenarnya melalui publik. Berikut adalah hasil capture data saat menngunakan ip publik.
Gambar 4.4 Capturing data saat menngunakan ip publik
Dari hasil capture paket mengunakan Wireshark saat menggunakan IP publik hasilnya seperti di atas Gambar 4.6, menjelaskan bahwa paket yang melalui protokol HTTP atau menggunkan IP Publik dengan ip 222.165.255.244 sebagai webserver dan 114.58.78.143 sebagai client, di dalam gambar yang diberi lingkaran merah terlihat jelas transaksi/interaksi komunikasi antara webserver dengan client sehingga sistem informasi menjadi rawan untuk diketahui oleh orang orang yang tidak mempunyai kepentingan atau hak akases dengan memanfaatkan hasil capturing data tesebut semisal digunakan untuk serangan Remote File Inclusion (RFI), SQL injection, Cross Site Scripting (XSS),dll. Berbeda jika sistem informasi melalui tunneling seperti gambar berikut:
12
Gambar 4.5 Capturing data setelah implementasi VPN
Gambar di atas menjelaskan bahwa paket data yang dikirim client dengan IP 114.58.88.127 ke server dengan IP 202.169.238.59 melalui VPN tunneling dengan protokol L2TP Over IPSec paket data tidak bisa dibaca oleh paket capture sehingga data yang melalui VPN lebih aman dari pada menggunakan ip publik atau protokol HTTP. 4.3.2
Kendali Akses VPN mampu menentukan siapa yang diberikan akses ke sebuah sistem atau
jaringan, sebagaimana informasi apa dan seberapa banyak seseorang dapat menerima. Dengan mengatur user atau bisa juga certificate.
4.3.3
Authentication Salah satu kemampuan vpdn yaitu authentication yaitu menguji identitas dari dua
perusahaan yang mengadakan transaksi. Adapun hasil capture proses authentication l2tp adalah sebagai berikut:
13
Control Connection Setup
L2tp Connection Setup
Gambar 4.6 Capturing L2TP Tunnel Negotiation Process
Pada gambar di atas di menjelaskan 2 proses yaitu proses control connection Setup dan l2tp session setup Control Connection Setup •
SCCRQ - control message yang digunakan untuk menginisialisasi tunnel antara VPNSERVER dan LAC/Client untuk proses pembentukan tunnel.
•
SCCRP - control message digunakan untuk mengindikasikan bahwa SCCRW telah diterima dan pembentukan tunnel harus dilanjutkan. Dikirim sebagai balasan dari message SCCRQ yang dikirim.
•
SCCN - control message yang menyelesaikan proses pembentukan tunnel. Dikirim sebagai jawaban dari SCCRP. L2TP Session Setup
•
LAC atau client berkeinginan untuk membuat sesi tunneling L2TP maka yang bertindak sebagai client membentuk ICRQ (Incoming-Call-Request) kepada VPNServer
•
VPNServer nenerima ICRQ langung menanggapi dengan ICRP yang berisi informasi yang dibutuhkan seperti layer 2 spesification dan status sirkuit
•
LAC atau Client menerima dan mengatur untuk menjalin sesi tunneling dengan mengirimkan pesan ICCN untuk statatus konek dan mengakhiri sesi setup.
14
Gambar 4.7 Capturing CHAP Authentication Process Challenge Handshake Authentication Protocol (CHAP) protokol ini digunakan untuk mengautentifikasi hubungan komunikasi. Dalam gambar di atas dijelaskan ada initator yaitu VPN SERVER ber IP 202.169.238.59 dan Authenticator (114.58.88.127) dengan user “test”, dimana kedua pihak tersebut melakukan komunikasi untuk mencocokan data untuk proses konektifitas. Authenticator menggenerate text dan di kirimkan ke initaor untuk di cocokan dan hasilnya atau responnya diterima atau di tolak diberitahukan kembali ke Authenticator
4.3.4
Non-repudiation Yaitu mencegah dua perusahaan dari menyangkal bahwa mereka telah mengirim
atau menerima sebuah file mengakomodasi perubahan. Maka perlu suatu sistem untuk melakukan kontrol koneksi. di dalam l2tp ada sistem kontrol yang di sebut LCP yang digunakan untuk mengawasi atau mengkontrol koneksi PPP. Berikut hasil capture proses LPC.
edited edited edited
Gambar 4.8 LPC request and LPC reply
Gambar di atas menjelaskan bahwa vpn client 114.59.25.201 secara periodik meminta vpn server 202.169.238.59 untuk kontrol status koneksi, VPN server juga
15
memabalas/menguji koneksi dengan mengirimkan control message “hello” ke client. Hal ini digunakan bertujuan untuk mempertahankan koneksi agar selalu terjalin.
4.4 Efisiensi Untuk membuktikan efisien atau tidaknya implementasi VPN ini. Maka penulis mencoba membandingkan
sistem lama dengan sistem baru dengan asumsi digunakan
untuk mengakses 5 macam Sistem Informasi Manajemen.
Dengan implementasi VPN Pemerintah Provinsi DIY akan lebih efisien baik itu di sistemnya maupun di anggaran. Di dalam sistem tingkat efisiennya terletak dalam penghematan IP publik karena dengan menggunakan VPN cukup satu IP Publik sudah bisa menjalankan semua Sistem Informasi yang ada. Selain Itu anggaran dikeluarkan juga tidak begitu besar di banding dengan menggunakan jalur lisedline dimana VPN hanya membutuhkan router dan koneksi Internet sedangakan kalau lisedline membutuhkan banyak device diantaranya kabel sepanjang area ke tiap unit kerja di luar komplek dan sebanyak unit kerja, repeater dan biaya pemasangan mahal dan lama tentunya.
Pada saat jaringan privat mempunyai skala jaringan yang kecil atau menengah, investasi yang ditanam tidaklah terlalu menjadi masalah. Tetapi pada saat skala jaringan menjadi besar, hal ini akan menjadi masalah. Karena menyangkut pengembangan investasi yang semakin tinggi, dan ketersediaan akses akan menjadi masalah yang krusial. 5. Kesimpulan Dengan implementasi VPN di Pemerintahan Provinsi DIY untuk mengakses sistem informasi intranet dinseluruh satuan kerja menyimpulkan bahwa: •
Efisien: Dengan penerapan VPN kebutuhan device dan IP lebih sedikit dibanding dengan teknologi sebelumnya(leased line ).
•
Fleksibilitas: Setiap user dapat tergabung dalam VPN yang telah dibangun tanpa terbatas jarak dan waktu asalkam mempunyai hak akses dan koneksi internet.
•
Kemudahan pengaturan dan administrasi : Keseluruhan VPN dapat diatur dalam server VPN sendiri, dan untuk dapat digunakan oleh klien, client hanya memasukakan kode authentifikasi.
•
Keamanan Tercapai : Aman karena VPN menggukan sistem keamanan berlapis dan data yang melalui jaringan terenkripsi
16
DAFTAR PUSTAKA
Quigle Adam. 2001. Implementing Cisco VPNs:A Hands-On Guide.California, U.S.A: Mcgraw-Hill Lammle Todd. 2007. CCNA Cisco Certified Network Associate Study Guide, Canada: Willy Publishing,. Loshin Peter. 1998. Extranet Desgn and Implementation. Jakarta : PT.Elex Media Komputindo Aris Wendy, Ahmad SS Ramadhana, 2005. Membangun VPN Linux Secara Cepat, Andi Yogyakarta. http://www.cisco.com/warp/public/cc/pd/iosw/tech/l2pro_tc.htm , 2 Desember 2009. http://www.cisco.com/en/US/docs/ios/12_0t/12_0t1/feature/guide/l2tpT.html,
2
Desember
2009. http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/l2tp_ips.html
4
Januari 2010 http://wikipedia.org/
17