BAB 4 IMPLEMENTASI DAN UJI COBA

advertisement
BAB 4
IMPLEMENTASI DAN UJI COBA
4.1
Pengenalan Software Sebelum Simulasi
4.1.1 Packet Tracer
Uji coba dan simulasi dilakukan dengan menggunakan Packet Tracer
v5.3.3. Berikut ini merupakan tampilan awal halaman kerja dari software
yang digunakan.
Gambar 4.1 Halaman utama Packet Tracer
Format data yang digunakan adalah .pkt dan setelah instalasi awal akan
tersimpan pada file Cisco Packet Tracer 5.3.3/saves.
Untuk memulai simulasi, perangkat yang ingin digunakan dapat
dilihat pada sisi kiri bawah dari software. Menggunakannya ada dua cara,
dengan menekan pada jenis spesifik perangkat kemudian menekan pada
halaman kerja atau dengan drag pilihan gambar yang ada di sisi kiri bawah ke
halaman kerja.
69
70
Gambar 4.2 Menu perangkat
Pilihan perangkat dalam kotak biru merupakan alat yang dipilih dengan cara
drag, sementara perangkat dalam kotak merah digunakan dengan menekan
gambar alat yang dibutuhkan.
4.1.2
LOIC (Low Orbit Ion Cannon)
Adalah sebuah aplikasi bebas (open source) yang digunakan untuk
menguji tekanan jaringan dan serangan DoS (denial-of-service), yang disusun
dalam bahasa C#. LOIC ini melancarkan serangan DoS / DDoS kepada situs
target dengan membanjiri server merekan dengan paket TCP atau UDP
dengan intensitas mengganggu servis dari host tertentu. Kekuatan atau tingkat
ancaman dari serangan ini berbanding lurus dengan besar kecilnya bandwidth
yang dimiliki oleh penyerang, dengan kata lain serangan ini tidak akan berarti
apa-apa jika penyerang tidak memiliki kapasitas bandwidth dalam jumlah
yang besar.
4.2
Uji Coba Watchguard
4.2.1
Uji Serangan
Salah satu uji coba yang pernah dilakukan terhadap UTM (Unified
Threat Management) yang telah terpasang pada jaringan perusahaan guna
mengetahui kinerja sistem keamanan dari teknologi tersebut adalah dengan
71
mencoba melakukan penyerangan menggunakan Ddos (sebelum melakukan
penyerangan telah dilakukan konfirmasi dengan pihak perusahaan agar jenis
serangan yang dilakukan tidak membahayakan jaringan dari perusahaan
tersebut).
•
Ddos (denial-of-service attacks)
Merupakan jenis serangan terhadap sebuah komputer atau
server di dalam jaringan internet dengan cara menghabiskan
sumber (resource) yang dimiliki oleh komputer tersebut
sampai komputer tersebut tidak dapat menjalankan fungsinya
dengan benar sehingga secara tidak langsung mencegah
pengguna lain untuk memperoleh akses layanan dari komputer
yang diserang tersebut.
Uji coba penyerangan yang kami lakukan menggunakan salah satu
program portable yang dapat digunakan untuk melakukan penyerangan
terhadap sebuah site dengan HTTP, TCP dan UDP. Status penyerangan juga
dapat diatur kapasitasnya, dan berhasil atau tidaknya penyerangan akan
terlihat secara langsung pada layar aplikasi.
Berikut langkah-langkah yang dilakukan dalam uji coba :
1. Jalankan program yang telah dipasang pada komputer penyerang
dengan double click pada shortcut aplikasi.
2. Setelah muncul jendela aplikasi LOIC, isi kolom URL dengan
memasukkan nama situs yang ingin diserang. Contoh :
coba.rekayasa.co.id
72
Bisa juga dengan memasukkan langsung IP address dari situs
yang akan diserang.
Gambar 4.3 LOIC awal
3.
Setelah itu, tekan tombol lock on yang berada di sebelah kanan
dari kolom URL atau IP address (tergantung dari data apa yang
digunakan). Setelah menekan tombol tersebut, akan muncul
tulisan pada kolom Selected target, berawal dari N O N E !
menjadi alamat IP dari situs yang akan diserang.
Gambar 4.4 LOIC IP
73
4. Kemudian pilih metode atau jenis serangan yang ingin dilakukan
dalam uji coba. Kolom Attack options merupakan pengaturan yang
dapat dilakukan terhadap serangan yang akan dilakukan, seperti
port maupun ancaman yang akan dilakukan.
Gambar 4.5 LOIC attack options
5. Bisa juga mengisi kolom TCP / UDP message jika ingin
mengirimkan pesan berupa kalimat ke situs yang ingin diserang.
Pada aplikasi ini juga terdapat kolom yang mampu mengatur
kadar flooding terhadap situs yang akan diserang, dimana semakin
kekiri makan intensitas serangan semakin tinggi dan semakin
kekanan serangan akan semakin berkurang atau melemah.
74
Gambar 4.6 LOIC strength of attacks
6. Setelah melengkapi jenis penyerangan yang akan dilakukan, klik
tombol IMMA CHARGIN MAH LAZER yang berada pada sisi
kanan atas dari aplikasi untuk mulai melakukan serangan.
Gambar 4.7 LOIC ready
7. Proses dan hasil dari serangan tersebut dapat dilihat pada tampilan
antarmuka aplikasi yang sama, pada kolom attack status yang
berada paling bawah dari antarmuka tersebut.
75
’
Gambar 4.8 LOIC status penyerangan
Serangan Ddos yang dilakukan guna mencoba ketahanan serta
bagaimana sistem kerja dari Firebox X Edge dengan menggunakan aplikasi
LOIC berhasil dilakukan. Agar serangan tersebut berhasil, source penyerang
seharusnya lebih besar dari yang diserang. Namun karena kapasitas
bandwidth yang digunakan terbatas, serangan tersebut tidak terdeteksi di
antivirus Firebox dan hanya terlihat sampai di lock list.
4.2.2
Konfigurasi Policy Manager WatchGuard
Pemasangan Watchguard dilakukan cukup dengan memasang
alamat IP pada komputer yang akan digunakan sebagai perangkat
yang terhubung langsung dengan Watchguard. Salah satu fitur yang
dimiliki oleh Watchguard adalah Policy Manager. Policy Manager
sendiri adalah sebuah fitur yang sangat mirip dengan access-list,
sehingga jika sebelumnya sudah terdapat firewall pada jaringan yang
menggunakan Watchguard, Watchguard dapat mengenali rules apa
76
saja yang sebelumnya sudah ada dan memasukkannya kedalam list
policy manager.
Policy Manager dapat dibuka menekan shortcut policy
manager yang menyerupai tanda tambah pada halaman Watchguard
ataupun dengan memilih Tools > Policy Manager Berikut ini
merupakan sebuah tampilan dari policy manager yang telah berhasil
diinstal :
Gambar 4.9 Watchguard home
Setelah itu akan muncul tiga buah pilihan untuk membuat
policy yang diinginkan, yakni Packet Filters, Proxies dan Custom.
Pilih salah satu paket yang ingin diatur aksesnya melalui policy
manager.
77
Gambar 4.10 Watchguard penambahan paket
Pilih lagi detail dari packet detail yang dibutuhkan. Disini,
terdapat di Packet Filters yakni HTTP. Setelah itu klik add untuk
melanjutkan.
Gambar 4.11 Watchguard Penambahan paket 2
78
Atur source dan destination yang diinginkan. Remove any
trusted yang berada di konfigurasi umum Watchguard, kemudian klik
add yang terdapat pada sisi bawah list source untuk menambahkan
alamat IP yang ingin diatur aksesnya.
G
a
m
b
a
r
4
.
1
2
Gambar 4.12 Watchguard Add packet
Masukkan host IP yang dibutuhkan sebagai source yang akan
diatur. Disini, alamat yang akan diatur adalah alamat IP 192.168.0.207
kemudian tekan Ok.
79
Gambar 4.13 Watchguard Add member
Atur juga destinasi dari host IP yang telah diatur. Disini,
policy akan diatur destinasinya menjadi any-external dan kemudian
klik Ok.
80
Gambar 4.14 Watchguard New Policy
Setelah itu,
Simpan rule baru yang telah dibuat dengan
membuka File > Save untuk menyimpan konfigurasi ke dalam
firebox. Maka rule baru dalam policy manager telah berhasil dibuat
dan terinstalasi.
81
Gambar 4.15 Watchguard save rules
4.3
User Interface IPS
Berikut ini akan dijabarkan contoh dari tampilan dari konfigurasi
aksi IPS (Intrusion Prevention System) yang terdapat pada Watchguard
UTM untuk proxy action.
1. Pilih menu Subscription Services > IPS. Setelah itu, interface dari IPS
akan muncul di layar.
Gambar 4.16 Subscription services
82
2. Pilih menu dari proxy action yang ingin diatur kemudian klik Configure.
Sementara untuk proxy yang sudah ditetapkan sebelumnya, pengaturan IPS
tidak dapat dilakukan. Tampilan dari konfigurasi IPS akan muncul pada
layar.
Gambar 4.17 Edit IPS
3. Untuk mengizinkan IPS pada proxy tersebut, centang kotak Enable
Intrusion Prevention yang ada.
4. Khusus untuk proxy TCP dan UDP, tipe proteksi dapat diubah menjadi
client atau server.
5. Untuk melihat subscrition services pilih menu dashboard > subscrition
services. Pada interface ini kita dapat mengawasi statistik dari kinerja
antivirus dan IPS dalam satuan waktu.
83
Gambar 4.18 Pengawasan IPS
4.4
Uji Coba Konektivitas ( Menggunakan Packet Tracer )
Topologi yang telah dibuat dilakukan uji coba konektivitas dengan
menggunakan Packet Tracer. Dilakukan beberapa macam uji konektivitas
yang dilakukan terhadap topologi yang telah dibuat guna memastikan
konvergensi yang ada pada jaringan tersebut, diantaranya uji coba
konektivitas diantara router yang menggunakan OSPF, uji coba konvergensi
penggunaan VLAN dalam jaringan perusahaan, serta penggunaan Access-list
yang telah dibuat dalam firewall jaringan.
4.4.1
Uji Konvergensi VLAN
Salah satu uji coba yang dilakukan guna mengetahui konvergensi
dalam jaringan adalah dengan mencoba mengirimkan paket antara dua divisi,
yang dipisahkan antara dua VLAN yang berbeda. Berikut ini merupakan
tampilan dari list VLAN yang terbagi dalam Core Switch :
84
yang dipisahkan antara dua VLAN yang berbeda. Berikut ini merupakan
tampilan dari list VLAN yang terbagi dalam Core Switch :
Gambar 4.19 Core Switch
Uji coba dilakukan dengan mencoba melakukan ping antara dua PC
dari divisi HRD dan Finance, dengan alamat IP dari salah satu PC pada divisi
HRD adalah 192.163.100.4 sementara alamat IP dari salah satu PC pada
divisi Finance adalah 192.163.100.70.
85
Gambar 4.20 Uji ping antar divisi
Berdasarkan gambar diatas, paket yang dikirim dari salah satu PC dari
divisi HRD berhasil diterima seluruhnya tanpa ada data yang lost atau hilang
oleh PC dari divisi Finance. Hal ini menjadi salah satu contoh bahwa VLAN
yang ada pada topologi yang telah dibuat sudah konvergen dan dapat
berfungsi dengan baik.
4.4.2
Uji Coba Telnet
Uji telnet dilakukan melalui salah satu user pada divisi IT dengan
alamat IP 192.163.100.97 mencoba melakukan uji telnet menghubungi
RouterX dengan alamat IP 202.100.100.1. Saat user melakukan telnet ke
router tersebut, diperlukan otentifikasi agar hanya orang–orang tertentu yang
dapat mengakses router. Otentifikasi yang dibutuhkan untuk mengatur router
86
hanya dimiliki oleh network administrator. Hal ini dilakukan agar akses
menuju router terbatas dan tidak sembarang orang dapat melakukan
perubahan terhadap konfigurasi yang telah dibuat pada router.
Gambar 4.21 Uji telnet
4.4.3
Uji Konektivitas OSPF
Pengujian protokol OSPF (Open Shortest Path First) yang dibuat
untuk menghubungkan router-router yang tidak langsung saling berhubungan
dilakukan dengan mencoba mengirimkan PDU (Protocol Data Unit) pada
kedua router. Berikut ini merupakan tampilan hasil dari konfigurasi yang
telah dilakukan.
87
Gambar 4.22 Show run OSPF
Gambar diatas menjelaskan jaringan apa saja yang telah terhubung
dengan RouterBGP dengan menggunakan protokol OSPF. Sementara berikut
akan ditampilkan gambar hasil uji pengiriman PDU untuk mengetahui
konektivitas yang ada.
88
Gambar 4.23 Pengiriman PDU uji OSPF
Tampilan pada kotak biru menunjukkan bahwa PDU yang dikirim dari
router Firewall dan RouterBGP berhasil terkirim, dan hal ini menunjukkan
bahwa kedua router dapat saling berhubungan dengan baik.
4.4.4
Uji Konvergensi BGP
BGP
(Border
Gateway
Protocol)
yang
telah
dibuat
guna
mengkonvergensi jaringan yang ada di Kalibata dengan Cyber Building yang
berada di luar lingkup wilayah Kalibata juga diuji keabsahan konektivitas.
Berikut ini merupakan tampilan dari RouteBGP yang telah di konfigurasi.
89
Gambar 4.24 RouterBGP show
Network yang ada pada list merupakan network yang terhubung dan
ada pada RouterBGP. Sementara berikut ini akan dipaparkan alamat IP yang
terhubung dengan BGP pada router AS50000.
Gambar 4.25 AS50000 show
90
Dari kedua gambar tersebut, dapat dilihat bahwa alamat IP yang ada
telah sesuai. Dan berikut ini merupakan tampilan dari uji coba yang
dilakukan, yakni uji pengiriman PDU (Protocol Data Unit) yang dilakukan
dari router Firewall yang terhubung ke Server yang terhubung dengan
AS50000.
Gambar 4.26 PDU uji BGP
Uji coba pengiriman PDU antara router Firewall dengan Server yang
berada diluar wilayah dengan menggunakan aplikasi Packet Tracer telah
berhasil dilakukan.
4.4.5
Uji Konvergensi NAT
Konfigurasi NAT diletakkan di router Firewall agar alamat IP private
yang digunakan didalam gedung terbaca menjadi alamat IP publik ketika
sedang mengakses internet. Berikut ini merupakan tampilan dari router
Firewall dengan mengetikkan show ip nat translations pada router.
91
Gambar 4.27 Tampilan NAT
4.4.6
Uji Kinerja Access-list
Access-list yang terpasang pada router Firewall digunakan untuk
mengatur akses dari divisi Marketing (network address 192.163.100.32)
dengan
dan Humas (network address 192.163.100.128) agar tidak dapat
mengakses port 80. Berikut ini tampilan dari access-list yang berhasil
terpasang.
92
Gambar 4.28 Show access-list
4.5
Evaluasi
Evaluasi yang dilakukan pada tahapan ini evaluasi berdasarkan
spesifikasi hardware dan evaluasi terhadap perancangan topologi dan sistem
yang baru.
4.5.1
Spesifikasi Hardware
Berikut ini merupakan perbandingan spesifikasi antara WatchGuard
seri X550e dengan X5500e yang direkomendasikan :
93
Tabel 4.1 Spesifikasi Watchguard
4.5.2
Perancangan Topologi dan Sistem Baru
A.
VLAN & Access List
Kedua konfigurasi saling berkaitan karena dengan membagi
jaringan internal perusahaan dari 2 buah VLAN menjadi 5 membuat
penerapan access-list menjadi lebih mudah. Hal ini dikarenakan
keinginan perusahaan yang ingin menutup akses port 80 pada
beberapa bagian divisinya (Humas & Marketing).
Gambar 4.29 Topologi VLAN
94
Berdasarkan access-list yang telah dipasang, uji coba akses
port 80 dilakukan pada salah satu user dari salah satu divisi yang telah
diatur aksesnya dengan yang tidak diberikan access-list. Berikut ini uji
coba akses situs dari divisi Marketing.
Gambar 4.30 Uji access - list marketing
Berdasarkan gambar diatas, terlihat bahwa akses port 80 sudah
berhasil memblokir akses divisi Marketing. Sementara berikut ini
akan ditampilkan uji coba dari user divisi HRD ketika mencoba
mengakses alamat IP 110.100.1.1.
95
Gambar 4.28 Uji access-list HRD
B.
Routing Protocol
Perubahan routing protocol dari EIGRP (Encanced Interior
Gateway Routing Protocol) menjadi OSPF (Open Shortest Path First)
yang diterapkan pada jaringan kalibata & IDC Cyber Building
dikarenakan OSPF merupakan routing protocol yang open source
yang berarti perusahaan tidak diharuskan untuk memiliki keterikatan
dengan produk CISCO dalam penambahan perangkat jaringannya.
OSPF ini juga mendukung teori jaringan yang hirarki yang sudah
dilampirkan pada landasan teori.
Download