Upload
truongkhuong
View
231
Download
0
Embed Size (px)
Citation preview
1
PERANCANGAN DAN IMPLEMENTASI CISCO VIRTUAL PRIVATE
NETWORK DENGAN L2TP DI KANTOR PEMERINTAHAN PROVINSI
DAERAH ISTIMEWA YOGYAKARTA
NASKAH PUBLIKASI
diajukan oleh
ADITYA PRAHERZTONI
06.11.1015
kepada
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER
AMIKOM
YOGYAKARTA
2010
2
.
3
DESIGN AND IMPLEMENTATION CISCO VIRTUAL PRIVATE NETWORK WITH L2TP IN PROVINCE GOVERMENT OF DAERAH ISTIMEWA YOGYAKARTA
PERANCANGAN DAN IMPLEMENTASI CISCO VIRTUAL PRIVATE NETWORK DENGAN
L2TP DI KANTOR PEMERINTAHAN PROVINSI DAERAH ISTIMEWA YOGYAKARTA
Aditya Paherztoni1, Sudarmawan2
Keyword: VPN, L2TP, Intranet, Extranet, security, communication
ABSTRACT
DIY provincial government implement a medium of communication networks to
reduce the distance and time constraints. The need for expansion of data networks /
multimedia on the current government agencies is increasingly high, especially the
development of an intranet network for security and private.
Because it involves the development of higher investment, and access availability
will be a crucial problem that needed a private communication service that is safe, easy,
efficient and flexsibel.
Various solutions are offered to form a network security reliable
extranet. Appropriate solution is the establishment of private networks over a public network
that is often known as VPN (Virtual Private Network). L2TP (Layer 2 Tunneling Protocol)
provides a good security solution for the problems above by way of forming tunnel (tunnel)
on the public network that connects remote clients to corporate networks.
1 Jurusan Teknik Informatika, STMIK AMIKOM YOGYAKARTA 2 Jurusan Teknik Informatika , STMIK AMIKOM YOGYAKARTA
4
1. PENDAHULUAN
Pemerintah provinsi DIY menerapkan jaringan sebagai media untuk mengurangi
batasan jarak dan waktu, saat ini perkembangan dunia internet banyak digunakan dari
berbagai kalangan untuk mempermudah laju informasi dengan mengakakses sistem
informasi manajemen pemerintahan. Sehingga sistem informasi bisa diakses darimana saja
dan kapan saja melalui jaringan internet.
Kebutuhan akan perluasan jaringan data/multimedia pada instansi pemerintahan
sekarang ini semakin tinggi. Perluasan dapat berupa pembukaan host remote system
ataupun remote client yang dapat mengakses jaringan korporat, yang menuntut efisiensi
dan keamanan pada jaringan yang lebih tinggi. Berbagai solusi ditawarkan untuk
membentuk keamanan jaringan yang handal, diantaranya adalah membentuk sebuah
jaringan privat dengan leased line (saluran sewa) antara jaringan korporat dengan remote
host atau remote client. Pada saat jaringan privat mempunyai skala jaringan yang kecil atau
menengah, investasi yang ditanam tidaklah terlalu menjadi masalah. Tetapi pada saat skala
jaringan menjadi besar, hal ini akan menjadi masalah. Karena menyangkut pengembangan
investasi yang semakin tinggi, dan ketersediaan akses akan menjadi masalah yang krusial.
Solusi lain yang lebih efisien adalah pembentukan jaringan privat melalui jaringan
publik yang sering dikenal dengan VPN (Virtual Private Network). Bentuk jaringan seperti ini
membutuhkan sebuah sistem keamanan yang baik sehingga jaringan privat tersebut tidak
dapat diakses oleh pengguna yang tidak berwenang. L2TP (Layer 2 Tunneling Protocol)
memberikan solusi keamanan yang baik bagi permasalahan diatas dengan cara membentuk
tunnel (terowongan) pada jaringan publik yang menghubungkan remote client dengan
jaringan korporat. L2TP menyediakan akses dial-up virtual ke jaringan korporat. Oleh karena
itu, judul Skripsi ini adalah ” PERANCANGAN DAN IMPLEMENTASI CISCO VIRTUAL
PRIVATE NETWORK DENGAN L2TP DI KANTOR PEMERINTAHAN PROVINSI DAERAH
ISTIMEWA YOGYAKARTA”.
5
2. DASAR TEORI
2.1 PENGERTIAN VPN
Virtual Private Network (VPN) adalah sebuah teknologi komunikasi yang
memungkinkan untuk dapat terkoneksi ke jaringan publik dan menggunakannya untuk dapat
bergabung dengan jaringan local. Dengan cara tersebut maka akan didapatkan hak dan
pengaturan yang sama seperti halnya berada didalam LAN itu sendiri, walaupaun
sebenarnya menggunakan jaringan milik public. Virtual Private Network mengandalkan
tunneling untuk menyandikan aliran transmisi antara dua host dan menangani data sandi
seperti databiasa yang dikirim dari satu gateway VPN ke gateway VPN lainnya. Gateway
penerima melucuti header IP dan membukanya sandi data yang telah disandikan
sebelumnya.
2.2 Teknologi VPN
Virtual Private Network merupakan perpaduan dari teknologi tunneling dengan
teknologi enkripsi.
• Teknologi Tunneling
Teknologi tunneling merupakan teknologi yang bertugas untuk manangani dan
menyediakan koneksi point-to-point dari sumber ke tujuannya. Disebut tunnel karena
koneksi point-to-point tersebut sebenarnya terbentuk dengan melintasi jaringa umum,
namun koneksi tersbut tidak mempedulikan paket-paket data milik orang lain yang sama-
sama melintasi jaringan umum tersebut, tetapi koneksi tersebut hanya melayani transportasi
data dari pembuatnya.Hal ini sama dengan seperti penggunaan jalur busway yang pada
dasarnya menggunakan jalan raya, tetapi dia membuat jalur sendiri untuk dapat dilalui bus
khusus.
Koneksi point-to-point ini sesungguhnya tidak benar-benar ada, namun data yang
dihantarkannya terlihat seperti benar-benar melewati koneksi pribadi yang bersifat point-to-
point.
• Teknologi Enkripsi
Teknologi enkripsi menjamin data yang berlalu-lalang di dalam tunnel tidak dapat
dibaca dengan mudah oleh orang lain yang bukan merupakan komputer tujuannya. Semakin
banyak data yang lewat di dalam tunnel yang terbuka di jaringan publik, maka teknologi
6
enkripsi ini semakin dibutuhkan. Enkripsi akan mengubah informasi yang ada dalam tunnel
tersebut menjadi sebuah ciphertext atau teks yang dikacaukan dan tidak ada artinya sama
sekali apabila dibaca secara langsung. Untuk dapat membuatnya kembali memiliki arti atau
dapat dibaca, maka dibutuhkan proses dekripsi. Proses dekripsi terjadi pada ujung-ujung
dari hubungan VPN. Pada kedua ujung ini telah menyepakati sebuah algoritma yang aka
digunakan untuk melakukan proses enkripsi dan dekripsinya. Dengan demikian, data yang
dikirim aman sampai tempat tujuan, karena orang lain di luar tunnel tidak memiliki algoritma
untuk membuka data tersebut.
2.3 Protokol pada VPN
Terdapat tiga protokol yang hingga saat ini paling banyak digunakan untuk VPN.
Ketiga protokol tersebut antara lain sebagai berikut.
• Point to Point Tunneling Protocol (PPTP)
• Layer 2 Tunneling Protocol (L2TP)
• IPSec
Protokol-protokol di atas menekankan pada authentikasi dan enkripsi dalam VPN.
Adanya sistem authentikasi akan mengijinkan klien dan server untuk menempatkan identitas
orang yang berbeda di dalam jaringan secara benar. Enkripsi mengijinkan data yang dikirim
dan diterima tersembunyi dari publik saat melewati jaringan publik.
2.4 Layer 2 Tunneling Protocol (L2TP)
L2TP adalah tunneling protocol yang memadukan dua buah tunneling protokol yaitu
L2F (Layer 2 Forwarding) milik cisco dan PPTP milik Microsoft. L2TP biasa digunakan
dalam membuat Virtual Private Dial Network (VPDN) yang dapat bekerja membawa semua
jenis protokol komunikasi didalamnya. Umunnya L2TP menggunakan port 1702 dengan
protocol UDP untuk mengirimkan L2TP encapsulated PPP frames sebagai data yang di
tunnel.
Terdapat dua model tunnel yang dikenal, yaitu compulsory dan voluntary.
Perbedaan utama keduanya terletak pada endpoint tunnel-nya. Pada compulsory tunnel,
ujung tunnel berada pada ISP, sedangkan pada voluntary ujung tunnel berada pada client
remote.
7
3. Perancangan dan Implementasi
Gambar 3.1 Topologi Jaringan pemprov diy
3.1 Gambaran sistem jaringan
• Intranet
Jaringan lokal di pemerintah provinsi DIY menggunakan protokol TCP/IP, untuk
membagi informasi rahasia istitusi kepada karyawan atau bidang bidang dalam suatu
kompleks. Dengan media kabel maupun wireless. Sehingga jika satuan kerja di tempat lain
atau beda komplek perlu mengakses intranet maka jaringan harus terhubung secara
langsung ke server dengan menarik kabel atau menggunakan poin to poin connection.
• Extranet
Untuk memperluas jaringan komputer di kantor Pemprov DIY saat ini terhubung
dengan internet untuk komunikasi antar wilayahnya. Sehingga sistem informasi manajemen
di pemprov menngunakan ip publik agar bisa di akses oleh satuan kerja di luar komplek
kantor pusat.
8
3.2 Analiasis permasalahan
• Intranet
Menurut rekan saya yang bersamaan melakukan penelitian tentang LAN/Intranet di
pemprov menyimpulkan bahawa benggunaan lan kurang efektif, karena bertambahnya user
di dalam jaringan dan bertambahnya frekuensi perpindahan data menjadikan lalu lintas
(traffic) pada sebuah jaringan akan bertambah padat sehingga mengakibatkan kemacetan
(congestion). Oleh karena itu, perlu diterapakan konsep VLAN yang memecah – mecah
broadcast domain menjadi beberapa segmen yang lebih kecil berdasarkan persamaan divisi
/ manajemen. Segmentasi ini dilakukan untuk membatasi penyebarnya pengiriman paket
data, sehingga paket data yang dikirim hanya dapat diterima oleh pengguna yang dituju3
• Extranet
.
Internet berfungsi sama seperti jaringan telepon umu atau Public Swiching
Telephone Network (PSTN). Dan semakin banyak organisasi atau individu terhubung
jaringan tersebut menjadi lebih penting bagi semua orang untuk menggunakannya. Tetapi
masalahnya dalam penggunaan network pulic yang terbuka seperti internet untuk mengirim
informasi pribadi organisasi adalah sifatnya terbuka dan umum ,serta hanya sedikit cara
dimana user bisa mengendalikan data yang user lintasi sehingga rawan dengan keaman
baik itu dari keamanan4
3 Dwi Margo, Analisis dan Perancangan VLAN di pemprov DIY, h.1 4 Peter Loshin, Desain dan Implementasi Extranet,PT Elekmedia Komputindo, Jakarta, 1998,H11
.
Security merupakan prasyarat dasar karena pada dasarnya Internet adalah
sebuah jaringan yang tidak aman. Jutaan komputer membentuk public network Internet
dimana komunikasi dapat di dengarkan di tengah jalan. Pada saat data bergerak dari
pengirim ke penerima, pasti melalui beberapa koneksi (router dll) sebelum mencapai tujuan
akhirnya. Artinya komputer lain di luar dua komputer yang saling berkomunikasi tersebut
sangat mungkin untuk akses data tersebut. Oleh karenanya, security merupakan prasyarat
mutlak jika kita ingin data kita selamat melalui jaringan publik tersebut.
9
3.3 Pemecahan masalah
• Perubahan Topologi
Gambar 3.1 Topologi Jaringan VPN
• Penambahan Hardware
Untuk membangun VPN perlu penambahan alat yaitu router untuk di jadikan server
VPN. Di pemerintah provinsi sendiri sudah tersedia router 2800 series. Dengan spesifikasi
hardware sebagai berikut:
Router cisco 2800 series
• LAN interface (built in) 2-10/100
• Expantion slot : 4 slot, each slot can support HWIC,WIC, or VWIC type
modules.
• DRAM ( default ) 256 MB
• Max DRAM 768 MB
• Flash memory (default) 64 MB
• Max flash memory 256 MB
• Other port : console port (up to 115,2 kbps), auxiliary port (up to 115,2
kbps), 2 fixed usb 1,1 ports.
10
• Deminsion (W x H x D) 438,2 x 44,5 x416,6mm.
• Weight 6,4 kg
• Power source 100 to 240 VAC, autoranging
4. HASIL DAN PEMBAHASAN
Dari hasil analisis kebutuhan dan implementai sistem penerapan akses extranet
dengan menggunakan teknologi VPN yang jalan pada protokol L2TP bahwasannya
Pemerintah Provinsi DIY mempertimbangakan beberapa aspek penting yang harus
dipenuhi dalam komunikasi yaitu diantaranya kemudahan, fleksibilitas, efisien dan
keamanan. Oleh karena itu dalam bab ini membahas mengenai hal-hal yang dibutuhkan
oleh pemerintah provinsi dalam implementasi VPN ini.
4.1 Kemudahan
Membahas mudah atau susahnya suatu sistem itu tergantung tingkat keamanan,
pada kenyataanya keamanan berbanding terbalik dengan kemudahan semakin tinggi tingkat
kemanan maka semakin berkurang tingkat kemudahannya. Dalam implementasi vpn pun
juga begitu karena teknologi ini mempunyai tingkat keamanan tinggi jadi perlu beberapa
authentifikasi atau authentifikasi berlapis.
Keseluruhan VPN dapat diatur dalam server VPN sendiri, dan untuk dapat
digunakan oleh klien. Hal ini tentu lebih mudah apabila dibandingkan dengan menggunakan
leased line yang masih perlu memonitor modem.
Di dalam server vpn sudah mengatur hal-hal yang dibutuhkan untuk koneksi ke
tunneling, jadi user hanya memasukkan username dan password pada konfigurasi vpn
client
VPN client tunnelingnya bisa terhubung dengan vpn server karena konfigurasi yang
di diperlukan client secara otomatis di berikan oleh vpn server saat proses dialing. Berikut
proses pemberian konfigurasi
Gambar 4.1 Proses pengiriman data konfigurasi client
11
Gambar di atas menjelaskan bahawa VPN server memberikan konfigurasi IP untuk
client yaitu 192.168.100.2. Setelah authentification dan data konfigurasi di terima dari server
VPN maka koneksi terjalin. Bila di lihat status slient seperti pada gambar berikut
4.2 Fleksibilitas
Untuk menguji fleksibikitas VPN sistem ini penulis mencoba koneksi vpn dengan
berbagai koneksi atau provider internet dan menggunakan beberapa macam sistem operasi
Dari hasil uji berkesimpulan semakin berkembangnya internet semakin mudahnya
untuk mengakses VPN sehingga setiap user dapat tergabung dalam VPN yang telah
dibangun tanpa terbatas jarak dan waktu.
4.3 Keamanan
Dalam tantangan kepercayaan pada sebuah lingkungan terbuka, kita akan
menyelidiki kebutuhan-kebutuhan keamanan terlebih dahulu. Keamanan untuk sebuah
intranet berdasarkan pada beberapa komponen hardware dan software. Teknologi dan
mekanisme khusus akan bervariasi, tetapi apa yang disebut keamanan harus selalu
memenuhi lima kebutuhan dasar :
4.3.1 Kerahasiaan
Dimana VPN mempunyai kemampuan scramble atau encrypt pesan sepanjang
jaringan yang tidak aman. Karena melalui jalur terowongan sendiri. Bisa di buktikan dengan
menggunakan paket capturing dan traceroute.
Gambar 4.2 Tracer pada ip publik
Perintah tracert ini di digunakan untuk mendeteksi node-node yang dilalui suatu
paket. Pada Gambar 4.2 di atas menjelaskan bahwa untuk suatu data atau paket untuk
mencapai tujuan dalam kasus ini ke ip 202.169.238.59 dari hasil tracer paket data melalui
node node perantara antara lain 202.115.48.209, 202.155.144.137, 202.155.0.130,
218.100.27.153 barulah sampai ke tujuan yaitu 202.169.238.59. berbeda bila menggunakan
tunneling.
12
Gambar 4.3 Tracert pada ip private melaluin vpn
Dengan mengaktifkan koneksi vpn, hasil tracert ke vpn server yang beralamatkan
202.169.238.59 yang di dalamnya juga mempunyai ip loopback 192.168.100.1 sebagai ip
local hasilnya seperti di Gambar 4.3 paket data langsung menuju ke node tujuan. Ini
membuktikan bahwa paket data melalui suatu jalur virtual private walau sebenarnya melalui
publik. Berikut adalah hasil capture data saat menngunakan ip publik.
Gambar 4.4 Capturing data saat menngunakan ip publik
Dari hasil capture paket mengunakan Wireshark saat menggunakan IP publik
hasilnya seperti di atas Gambar 4.6, menjelaskan bahwa paket yang melalui protokol HTTP
atau menggunkan IP Publik dengan ip 222.165.255.244 sebagai webserver dan
114.58.78.143 sebagai client, di dalam gambar yang diberi lingkaran merah terlihat jelas
transaksi/interaksi komunikasi antara webserver dengan client sehingga sistem informasi
menjadi rawan untuk diketahui oleh orang orang yang tidak mempunyai kepentingan atau
hak akases dengan memanfaatkan hasil capturing data tesebut semisal digunakan untuk
serangan Remote File Inclusion (RFI), SQL injection, Cross Site Scripting (XSS),dll.
Berbeda jika sistem informasi melalui tunneling seperti gambar berikut:
13
Gambar 4.5 Capturing data setelah implementasi VPN
Gambar di atas menjelaskan bahwa paket data yang dikirim client dengan IP
114.58.88.127 ke server dengan IP 202.169.238.59 melalui VPN tunneling dengan protokol
L2TP Over IPSec paket data tidak bisa dibaca oleh paket capture sehingga data yang
melalui VPN lebih aman dari pada menggunakan ip publik atau protokol HTTP.
4.3.2 Kendali Akses
VPN mampu menentukan siapa yang diberikan akses ke sebuah sistem atau
jaringan, sebagaimana informasi apa dan seberapa banyak seseorang dapat menerima.
Dengan mengatur user atau bisa juga certificate.
4.3.3 Authentication Salah satu kemampuan vpdn yaitu authentication yaitu menguji identitas dari dua
perusahaan yang mengadakan transaksi. Adapun hasil capture proses authentication l2tp
adalah sebagai berikut:
14
Gambar 4.6 Capturing L2TP Tunnel Negotiation Process
Pada gambar di atas di menjelaskan 2 proses yaitu proses control connection
Setup dan l2tp session setup
Control Connection Setup
• SCCRQ - control message yang digunakan untuk menginisialisasi tunnel antara
VPNSERVER dan LAC/Client untuk proses pembentukan tunnel.
• SCCRP - control message digunakan untuk mengindikasikan bahwa SCCRW telah
diterima dan pembentukan tunnel harus dilanjutkan. Dikirim sebagai balasan dari
message SCCRQ yang dikirim.
• SCCN - control message yang menyelesaikan proses pembentukan tunnel. Dikirim
sebagai jawaban dari SCCRP.
L2TP Session Setup
• LAC atau client berkeinginan untuk membuat sesi tunneling L2TP maka yang
bertindak sebagai client membentuk ICRQ (Incoming-Call-Request) kepada
VPNServer
• VPNServer nenerima ICRQ langung menanggapi dengan ICRP yang berisi informasi
yang dibutuhkan seperti layer 2 spesification dan status sirkuit
• LAC atau Client menerima dan mengatur untuk menjalin sesi tunneling dengan
mengirimkan pesan ICCN untuk statatus konek dan mengakhiri sesi setup.
Control Connection Setup
L2tp Connection Setup
15
Gambar 4.7 Capturing CHAP Authentication Process
Challenge Handshake Authentication Protocol (CHAP) protokol ini digunakan untuk
mengautentifikasi hubungan komunikasi. Dalam gambar di atas dijelaskan ada initator yaitu
VPN SERVER ber IP 202.169.238.59 dan Authenticator (114.58.88.127) dengan user “test”,
dimana kedua pihak tersebut melakukan komunikasi untuk mencocokan data untuk proses
konektifitas. Authenticator menggenerate text dan di kirimkan ke initaor untuk di cocokan
dan hasilnya atau responnya diterima atau di tolak diberitahukan kembali ke Authenticator
4.3.4 Non-repudiation
Yaitu mencegah dua perusahaan dari menyangkal bahwa mereka telah mengirim
atau menerima sebuah file mengakomodasi perubahan. Maka perlu suatu sistem untuk
melakukan kontrol koneksi. di dalam l2tp ada sistem kontrol yang di sebut LCP yang
digunakan untuk mengawasi atau mengkontrol koneksi PPP. Berikut hasil capture proses
LPC.
Gambar 4.8 LPC request and LPC reply
Gambar di atas menjelaskan bahwa vpn client 114.59.25.201 secara periodik
meminta vpn server 202.169.238.59 untuk kontrol status koneksi, VPN server juga
edited
edited
edited
16
memabalas/menguji koneksi dengan mengirimkan control message “hello” ke client. Hal ini
digunakan bertujuan untuk mempertahankan koneksi agar selalu terjalin.
4.4 Efisiensi
Untuk membuktikan efisien atau tidaknya implementasi VPN ini. Maka penulis
mencoba membandingkan sistem lama dengan sistem baru dengan asumsi digunakan
untuk mengakses 5 macam Sistem Informasi Manajemen.
Dengan implementasi VPN Pemerintah Provinsi DIY akan lebih efisien baik itu di
sistemnya maupun di anggaran. Di dalam sistem tingkat efisiennya terletak dalam
penghematan IP publik karena dengan menggunakan VPN cukup satu IP Publik sudah bisa
menjalankan semua Sistem Informasi yang ada. Selain Itu anggaran dikeluarkan juga tidak
begitu besar di banding dengan menggunakan jalur lisedline dimana VPN hanya
membutuhkan router dan koneksi Internet sedangakan kalau lisedline membutuhkan banyak
device diantaranya kabel sepanjang area ke tiap unit kerja di luar komplek dan sebanyak
unit kerja, repeater dan biaya pemasangan mahal dan lama tentunya.
Pada saat jaringan privat mempunyai skala jaringan yang kecil atau menengah,
investasi yang ditanam tidaklah terlalu menjadi masalah. Tetapi pada saat skala jaringan
menjadi besar, hal ini akan menjadi masalah. Karena menyangkut pengembangan investasi
yang semakin tinggi, dan ketersediaan akses akan menjadi masalah yang krusial.
5. Kesimpulan
Dengan implementasi VPN di Pemerintahan Provinsi DIY untuk mengakses sistem
informasi intranet dinseluruh satuan kerja menyimpulkan bahwa:
• Efisien: Dengan penerapan VPN kebutuhan device dan IP lebih sedikit dibanding
dengan teknologi sebelumnya(leased line ).
• Fleksibilitas: Setiap user dapat tergabung dalam VPN yang telah dibangun tanpa
terbatas jarak dan waktu asalkam mempunyai hak akses dan koneksi internet.
• Kemudahan pengaturan dan administrasi : Keseluruhan VPN dapat diatur dalam
server VPN sendiri, dan untuk dapat digunakan oleh klien, client hanya
memasukakan kode authentifikasi.
• Keamanan Tercapai : Aman karena VPN menggukan sistem keamanan berlapis
dan data yang melalui jaringan terenkripsi
17
DAFTAR PUSTAKA
Quigle Adam. 2001. Implementing Cisco VPNs:A Hands-On Guide.California, U.S.A:
Mcgraw-Hill
Lammle Todd. 2007. CCNA Cisco Certified Network Associate Study Guide, Canada: Willy
Publishing,.
Loshin Peter. 1998. Extranet Desgn and Implementation. Jakarta : PT.Elex Media
Komputindo
Aris Wendy, Ahmad SS Ramadhana, 2005. Membangun VPN Linux Secara Cepat, Andi
Yogyakarta.
http://www.cisco.com/warp/public/cc/pd/iosw/tech/l2pro_tc.htm , 2 Desember 2009.
http://www.cisco.com/en/US/docs/ios/12_0t/12_0t1/feature/guide/l2tpT.html, 2 Desember
2009.
http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/l2tp_ips.html 4
Januari 2010
http://wikipedia.org/