BAB 4 IMPLEMENTASI DAN UJI COBA
advertisement
BAB 4 IMPLEMENTASI DAN UJI COBA 4.1 Pengenalan Software Sebelum Simulasi 4.1.1 Packet Tracer Uji coba dan simulasi dilakukan dengan menggunakan Packet Tracer v5.3.3. Berikut ini merupakan tampilan awal halaman kerja dari software yang digunakan. Gambar 4.1 Halaman utama Packet Tracer Format data yang digunakan adalah .pkt dan setelah instalasi awal akan tersimpan pada file Cisco Packet Tracer 5.3.3/saves. Untuk memulai simulasi, perangkat yang ingin digunakan dapat dilihat pada sisi kiri bawah dari software. Menggunakannya ada dua cara, dengan menekan pada jenis spesifik perangkat kemudian menekan pada halaman kerja atau dengan drag pilihan gambar yang ada di sisi kiri bawah ke halaman kerja. 69 70 Gambar 4.2 Menu perangkat Pilihan perangkat dalam kotak biru merupakan alat yang dipilih dengan cara drag, sementara perangkat dalam kotak merah digunakan dengan menekan gambar alat yang dibutuhkan. 4.1.2 LOIC (Low Orbit Ion Cannon) Adalah sebuah aplikasi bebas (open source) yang digunakan untuk menguji tekanan jaringan dan serangan DoS (denial-of-service), yang disusun dalam bahasa C#. LOIC ini melancarkan serangan DoS / DDoS kepada situs target dengan membanjiri server merekan dengan paket TCP atau UDP dengan intensitas mengganggu servis dari host tertentu. Kekuatan atau tingkat ancaman dari serangan ini berbanding lurus dengan besar kecilnya bandwidth yang dimiliki oleh penyerang, dengan kata lain serangan ini tidak akan berarti apa-apa jika penyerang tidak memiliki kapasitas bandwidth dalam jumlah yang besar. 4.2 Uji Coba Watchguard 4.2.1 Uji Serangan Salah satu uji coba yang pernah dilakukan terhadap UTM (Unified Threat Management) yang telah terpasang pada jaringan perusahaan guna mengetahui kinerja sistem keamanan dari teknologi tersebut adalah dengan 71 mencoba melakukan penyerangan menggunakan Ddos (sebelum melakukan penyerangan telah dilakukan konfirmasi dengan pihak perusahaan agar jenis serangan yang dilakukan tidak membahayakan jaringan dari perusahaan tersebut). • Ddos (denial-of-service attacks) Merupakan jenis serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang tersebut. Uji coba penyerangan yang kami lakukan menggunakan salah satu program portable yang dapat digunakan untuk melakukan penyerangan terhadap sebuah site dengan HTTP, TCP dan UDP. Status penyerangan juga dapat diatur kapasitasnya, dan berhasil atau tidaknya penyerangan akan terlihat secara langsung pada layar aplikasi. Berikut langkah-langkah yang dilakukan dalam uji coba : 1. Jalankan program yang telah dipasang pada komputer penyerang dengan double click pada shortcut aplikasi. 2. Setelah muncul jendela aplikasi LOIC, isi kolom URL dengan memasukkan nama situs yang ingin diserang. Contoh : coba.rekayasa.co.id 72 Bisa juga dengan memasukkan langsung IP address dari situs yang akan diserang. Gambar 4.3 LOIC awal 3. Setelah itu, tekan tombol lock on yang berada di sebelah kanan dari kolom URL atau IP address (tergantung dari data apa yang digunakan). Setelah menekan tombol tersebut, akan muncul tulisan pada kolom Selected target, berawal dari N O N E ! menjadi alamat IP dari situs yang akan diserang. Gambar 4.4 LOIC IP 73 4. Kemudian pilih metode atau jenis serangan yang ingin dilakukan dalam uji coba. Kolom Attack options merupakan pengaturan yang dapat dilakukan terhadap serangan yang akan dilakukan, seperti port maupun ancaman yang akan dilakukan. Gambar 4.5 LOIC attack options 5. Bisa juga mengisi kolom TCP / UDP message jika ingin mengirimkan pesan berupa kalimat ke situs yang ingin diserang. Pada aplikasi ini juga terdapat kolom yang mampu mengatur kadar flooding terhadap situs yang akan diserang, dimana semakin kekiri makan intensitas serangan semakin tinggi dan semakin kekanan serangan akan semakin berkurang atau melemah. 74 Gambar 4.6 LOIC strength of attacks 6. Setelah melengkapi jenis penyerangan yang akan dilakukan, klik tombol IMMA CHARGIN MAH LAZER yang berada pada sisi kanan atas dari aplikasi untuk mulai melakukan serangan. Gambar 4.7 LOIC ready 7. Proses dan hasil dari serangan tersebut dapat dilihat pada tampilan antarmuka aplikasi yang sama, pada kolom attack status yang berada paling bawah dari antarmuka tersebut. 75 ’ Gambar 4.8 LOIC status penyerangan Serangan Ddos yang dilakukan guna mencoba ketahanan serta bagaimana sistem kerja dari Firebox X Edge dengan menggunakan aplikasi LOIC berhasil dilakukan. Agar serangan tersebut berhasil, source penyerang seharusnya lebih besar dari yang diserang. Namun karena kapasitas bandwidth yang digunakan terbatas, serangan tersebut tidak terdeteksi di antivirus Firebox dan hanya terlihat sampai di lock list. 4.2.2 Konfigurasi Policy Manager WatchGuard Pemasangan Watchguard dilakukan cukup dengan memasang alamat IP pada komputer yang akan digunakan sebagai perangkat yang terhubung langsung dengan Watchguard. Salah satu fitur yang dimiliki oleh Watchguard adalah Policy Manager. Policy Manager sendiri adalah sebuah fitur yang sangat mirip dengan access-list, sehingga jika sebelumnya sudah terdapat firewall pada jaringan yang menggunakan Watchguard, Watchguard dapat mengenali rules apa 76 saja yang sebelumnya sudah ada dan memasukkannya kedalam list policy manager. Policy Manager dapat dibuka menekan shortcut policy manager yang menyerupai tanda tambah pada halaman Watchguard ataupun dengan memilih Tools > Policy Manager Berikut ini merupakan sebuah tampilan dari policy manager yang telah berhasil diinstal : Gambar 4.9 Watchguard home Setelah itu akan muncul tiga buah pilihan untuk membuat policy yang diinginkan, yakni Packet Filters, Proxies dan Custom. Pilih salah satu paket yang ingin diatur aksesnya melalui policy manager. 77 Gambar 4.10 Watchguard penambahan paket Pilih lagi detail dari packet detail yang dibutuhkan. Disini, terdapat di Packet Filters yakni HTTP. Setelah itu klik add untuk melanjutkan. Gambar 4.11 Watchguard Penambahan paket 2 78 Atur source dan destination yang diinginkan. Remove any trusted yang berada di konfigurasi umum Watchguard, kemudian klik add yang terdapat pada sisi bawah list source untuk menambahkan alamat IP yang ingin diatur aksesnya. G a m b a r 4 . 1 2 Gambar 4.12 Watchguard Add packet Masukkan host IP yang dibutuhkan sebagai source yang akan diatur. Disini, alamat yang akan diatur adalah alamat IP 192.168.0.207 kemudian tekan Ok. 79 Gambar 4.13 Watchguard Add member Atur juga destinasi dari host IP yang telah diatur. Disini, policy akan diatur destinasinya menjadi any-external dan kemudian klik Ok. 80 Gambar 4.14 Watchguard New Policy Setelah itu, Simpan rule baru yang telah dibuat dengan membuka File > Save untuk menyimpan konfigurasi ke dalam firebox. Maka rule baru dalam policy manager telah berhasil dibuat dan terinstalasi. 81 Gambar 4.15 Watchguard save rules 4.3 User Interface IPS Berikut ini akan dijabarkan contoh dari tampilan dari konfigurasi aksi IPS (Intrusion Prevention System) yang terdapat pada Watchguard UTM untuk proxy action. 1. Pilih menu Subscription Services > IPS. Setelah itu, interface dari IPS akan muncul di layar. Gambar 4.16 Subscription services 82 2. Pilih menu dari proxy action yang ingin diatur kemudian klik Configure. Sementara untuk proxy yang sudah ditetapkan sebelumnya, pengaturan IPS tidak dapat dilakukan. Tampilan dari konfigurasi IPS akan muncul pada layar. Gambar 4.17 Edit IPS 3. Untuk mengizinkan IPS pada proxy tersebut, centang kotak Enable Intrusion Prevention yang ada. 4. Khusus untuk proxy TCP dan UDP, tipe proteksi dapat diubah menjadi client atau server. 5. Untuk melihat subscrition services pilih menu dashboard > subscrition services. Pada interface ini kita dapat mengawasi statistik dari kinerja antivirus dan IPS dalam satuan waktu. 83 Gambar 4.18 Pengawasan IPS 4.4 Uji Coba Konektivitas ( Menggunakan Packet Tracer ) Topologi yang telah dibuat dilakukan uji coba konektivitas dengan menggunakan Packet Tracer. Dilakukan beberapa macam uji konektivitas yang dilakukan terhadap topologi yang telah dibuat guna memastikan konvergensi yang ada pada jaringan tersebut, diantaranya uji coba konektivitas diantara router yang menggunakan OSPF, uji coba konvergensi penggunaan VLAN dalam jaringan perusahaan, serta penggunaan Access-list yang telah dibuat dalam firewall jaringan. 4.4.1 Uji Konvergensi VLAN Salah satu uji coba yang dilakukan guna mengetahui konvergensi dalam jaringan adalah dengan mencoba mengirimkan paket antara dua divisi, yang dipisahkan antara dua VLAN yang berbeda. Berikut ini merupakan tampilan dari list VLAN yang terbagi dalam Core Switch : 84 yang dipisahkan antara dua VLAN yang berbeda. Berikut ini merupakan tampilan dari list VLAN yang terbagi dalam Core Switch : Gambar 4.19 Core Switch Uji coba dilakukan dengan mencoba melakukan ping antara dua PC dari divisi HRD dan Finance, dengan alamat IP dari salah satu PC pada divisi HRD adalah 192.163.100.4 sementara alamat IP dari salah satu PC pada divisi Finance adalah 192.163.100.70. 85 Gambar 4.20 Uji ping antar divisi Berdasarkan gambar diatas, paket yang dikirim dari salah satu PC dari divisi HRD berhasil diterima seluruhnya tanpa ada data yang lost atau hilang oleh PC dari divisi Finance. Hal ini menjadi salah satu contoh bahwa VLAN yang ada pada topologi yang telah dibuat sudah konvergen dan dapat berfungsi dengan baik. 4.4.2 Uji Coba Telnet Uji telnet dilakukan melalui salah satu user pada divisi IT dengan alamat IP 192.163.100.97 mencoba melakukan uji telnet menghubungi RouterX dengan alamat IP 202.100.100.1. Saat user melakukan telnet ke router tersebut, diperlukan otentifikasi agar hanya orang–orang tertentu yang dapat mengakses router. Otentifikasi yang dibutuhkan untuk mengatur router 86 hanya dimiliki oleh network administrator. Hal ini dilakukan agar akses menuju router terbatas dan tidak sembarang orang dapat melakukan perubahan terhadap konfigurasi yang telah dibuat pada router. Gambar 4.21 Uji telnet 4.4.3 Uji Konektivitas OSPF Pengujian protokol OSPF (Open Shortest Path First) yang dibuat untuk menghubungkan router-router yang tidak langsung saling berhubungan dilakukan dengan mencoba mengirimkan PDU (Protocol Data Unit) pada kedua router. Berikut ini merupakan tampilan hasil dari konfigurasi yang telah dilakukan. 87 Gambar 4.22 Show run OSPF Gambar diatas menjelaskan jaringan apa saja yang telah terhubung dengan RouterBGP dengan menggunakan protokol OSPF. Sementara berikut akan ditampilkan gambar hasil uji pengiriman PDU untuk mengetahui konektivitas yang ada. 88 Gambar 4.23 Pengiriman PDU uji OSPF Tampilan pada kotak biru menunjukkan bahwa PDU yang dikirim dari router Firewall dan RouterBGP berhasil terkirim, dan hal ini menunjukkan bahwa kedua router dapat saling berhubungan dengan baik. 4.4.4 Uji Konvergensi BGP BGP (Border Gateway Protocol) yang telah dibuat guna mengkonvergensi jaringan yang ada di Kalibata dengan Cyber Building yang berada di luar lingkup wilayah Kalibata juga diuji keabsahan konektivitas. Berikut ini merupakan tampilan dari RouteBGP yang telah di konfigurasi. 89 Gambar 4.24 RouterBGP show Network yang ada pada list merupakan network yang terhubung dan ada pada RouterBGP. Sementara berikut ini akan dipaparkan alamat IP yang terhubung dengan BGP pada router AS50000. Gambar 4.25 AS50000 show 90 Dari kedua gambar tersebut, dapat dilihat bahwa alamat IP yang ada telah sesuai. Dan berikut ini merupakan tampilan dari uji coba yang dilakukan, yakni uji pengiriman PDU (Protocol Data Unit) yang dilakukan dari router Firewall yang terhubung ke Server yang terhubung dengan AS50000. Gambar 4.26 PDU uji BGP Uji coba pengiriman PDU antara router Firewall dengan Server yang berada diluar wilayah dengan menggunakan aplikasi Packet Tracer telah berhasil dilakukan. 4.4.5 Uji Konvergensi NAT Konfigurasi NAT diletakkan di router Firewall agar alamat IP private yang digunakan didalam gedung terbaca menjadi alamat IP publik ketika sedang mengakses internet. Berikut ini merupakan tampilan dari router Firewall dengan mengetikkan show ip nat translations pada router. 91 Gambar 4.27 Tampilan NAT 4.4.6 Uji Kinerja Access-list Access-list yang terpasang pada router Firewall digunakan untuk mengatur akses dari divisi Marketing (network address 192.163.100.32) dengan dan Humas (network address 192.163.100.128) agar tidak dapat mengakses port 80. Berikut ini tampilan dari access-list yang berhasil terpasang. 92 Gambar 4.28 Show access-list 4.5 Evaluasi Evaluasi yang dilakukan pada tahapan ini evaluasi berdasarkan spesifikasi hardware dan evaluasi terhadap perancangan topologi dan sistem yang baru. 4.5.1 Spesifikasi Hardware Berikut ini merupakan perbandingan spesifikasi antara WatchGuard seri X550e dengan X5500e yang direkomendasikan : 93 Tabel 4.1 Spesifikasi Watchguard 4.5.2 Perancangan Topologi dan Sistem Baru A. VLAN & Access List Kedua konfigurasi saling berkaitan karena dengan membagi jaringan internal perusahaan dari 2 buah VLAN menjadi 5 membuat penerapan access-list menjadi lebih mudah. Hal ini dikarenakan keinginan perusahaan yang ingin menutup akses port 80 pada beberapa bagian divisinya (Humas & Marketing). Gambar 4.29 Topologi VLAN 94 Berdasarkan access-list yang telah dipasang, uji coba akses port 80 dilakukan pada salah satu user dari salah satu divisi yang telah diatur aksesnya dengan yang tidak diberikan access-list. Berikut ini uji coba akses situs dari divisi Marketing. Gambar 4.30 Uji access - list marketing Berdasarkan gambar diatas, terlihat bahwa akses port 80 sudah berhasil memblokir akses divisi Marketing. Sementara berikut ini akan ditampilkan uji coba dari user divisi HRD ketika mencoba mengakses alamat IP 110.100.1.1. 95 Gambar 4.28 Uji access-list HRD B. Routing Protocol Perubahan routing protocol dari EIGRP (Encanced Interior Gateway Routing Protocol) menjadi OSPF (Open Shortest Path First) yang diterapkan pada jaringan kalibata & IDC Cyber Building dikarenakan OSPF merupakan routing protocol yang open source yang berarti perusahaan tidak diharuskan untuk memiliki keterikatan dengan produk CISCO dalam penambahan perangkat jaringannya. OSPF ini juga mendukung teori jaringan yang hirarki yang sudah dilampirkan pada landasan teori.