1. Home
  2. Lainnya

Pengujian Sistem Fase Simulation Prototyping

StrongSwan akan diinstall pada default direktori usrlocal. Lakukan pengecekan apakah strongSwan telah terinstal dengan benar atau tidak dengan perintah berikut. Dan jika tidak ada error yang muncul maka strongSwan sudah bisa digunakan. ipsec version Konfigurasi terhadap strongSwan terutama dilakukan melalui file etcipsec.conf, file secret key etcipsec.secrets. File ipsec.conf digunakan sebagai konfigurasi koneksi tunnel VPN IPsec Security Association Database dan konfigurasi policy pengamanan traffic Security Policy Database. File ipsec.secrets berisi data rahasia data credential private key yang nantinya digunakan dalam proses autentikasi peer IPsec. Proses autentikasi yang digunakan adalah sertifikat x.509 berbasis signature ECDSA.

4.3.3 Pengujian Sistem

Pengujian sistem dilakukan terhadap setiap skenario pengujian yang telah dibuat pada tahapan desain. Konfigurasi sistem IPsec adalah berbeda pada setiap skenario pengujian. Ada pengujian yang membutuhkan konfigurasi routing, dan atau juga firewall NAT. Untuk kode konfigurasi sistem remote access IPsec berbasis perangkat lunak IKEv2 strongswan dapat dilihat pada Lampiran 2. Kode Konfigurasi IKEv2 strongSwan. 4.3.3.1 Pengujian Algoritma Suite B Gateway GW1 akan membangun suatu tunnel IPsec kepada Gateway GW2. Gambar 4.25 Pengujian Algoritma Kriptografi .1 GW1 GW2 .2 192.168.0.024 80 Pembangunan dan pengujian tunnel IPsec dilakukan dengan perintah di konsol linux sebagai berikut. Untuk membangun tunnel IPsec dengan algoritma Suite B GCM-256 digunakan perintah berikut. gw1 ipsec up suite-b-gcm-256 Untuk memverifikasi apakah tunnel IPsec berhasil dibangun digunakan perintah ipsec statusall pada GW1. gw1 ipsec statusall | less Gambar 4.26 Hasil output konsol uji Algoritma Suite B pada GW1 Baris pada security association SA ”...ESTABLISHED 74 seconds ago...” menunjukkan bahwa SA IKE antara peer IKE GW1 dan GW2 berhasil dibangun. Baris ”...IKE proposal: AES_CBC_256HMAC_SHA2_384_192 PRF_HMAC_SHA2_384ECP_384...” menunjukkan bahwa untuk SA IKE, algoritma yang digunakan adalah enkripsi AES-CBC-256, algoritma HMAC- SHA-384-192, dan elliptic curve 384 bit. Baris ”...INSTALLED, TUNNEL, ESP...” menunjukkan bahwa SA untuk tunnel ESP berhasil dibuat dengan ”ESP SPI=ca09414a” untuk inbound dan”ESP SPI=c407a17b” untuk outbound. Baris ”...AES_GCM_16_256...” menunjukkan bahwa enkripsi ESP menggunakan AES- GCM-256. 4.3.3.2 Pengujian Repeated Authentication Gateway GW1 akan membangun suatu tunnel IPsec kepada Gateway GW2 dengan pengulangan autentikasi setiap 30 detik. 81 Gambar 4.27 Pengujian Repeated Authentication Pembangunan dan pengujian tunnel IPsec dilakukan dengan perintah di konsol linux sebagai berikut. gw1 ipsec up repeat-auth Untuk memverifikasi apakah tunnel IPsec berhasil dibangun digunakan perintah ipsec statusall pada GW1. gw1 ipsec statusall | less Gambar 4.28 Hasil output konsol uji Repeated Authentication pada GW1 Baris ”...scheduling reauthentication in 30s...” SA menunjukkan bahwa akan dilakukan pengulangan autentikasi secara otomatis dalam 30 detik antara peer IKE GW1 dan GW2. 4.3.3.3 Pengujian NAT Traversal A, yang berada dibelakang router NAT GW1 akan membangun suatu tunnel IPsec mode tunnel kepada B yang ada dibelakang NAT GW2. GW1 akan menerapkan fungsi Source NAT terhadap paket IPsec dari A 10.1.0.024. Sedangkan GW2 akan menerapkan fungsi Destination NAT ke B sehingga seluruh lalu-lintas paket IKE dan ESP yang ditujukan ke router GW2 akan diteruskan ke B. A bertindak sebagai klien sedangkan B bertindak sebagai server IPsec bagi .1 GW1 GW2 .2 192.168.0.024 82 subnet 10.2.0.024. NAT-Traversal enkapsulasi UDP digunakan untuk melewatkan traffic IPsec melalui NAT. Gambar 4.29 Pengujian NAT Traversal Untuk membuat aturan source NAT pada GW1 terhadap subnet 10.1.0.024 ke alamat source GW1, sehingga paket IPsec yang terenkapsulasi UDPNAT Traversal dapat lewat, digunakan perintah iptables berikut. gw1 echo 1 procsysnetipv4ip_forward gw1 iptables -t nat -A POSTROUTING -o eth0 -s 10.1.0.024 -p udp -j SNAT --to- source 192.168.0.1:2000-2100 Untuk membuat aturan destination NAT pada GW2 terhadap paket IPsec ke alamat IP B, digunakan perintah iptables berikut. gw2 echo 1 procsysnetipv4ip_forward gw2 iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.1 -p udp -j DNAT --to- destination 10.2.0.10 gw2 ip route add 10.1.0.024 via 10.2.0.10 Pembangunan dan pengujian tunnel IPsec dilakukan dengan perintah di konsol linux sebagai berikut. a ipsec up nat-traversal Untuk memverifikasi apakah tunnel IPsec berhasil dibangun digunakan perintah ipsec statusall pada host A. a ipsec statusall | less 10.1.0.024 .1 10.2.0.024 .10 .1 GW1 GW2 .2 .1 192.168.0.024 A B NAT VPN NAT .10 83 Gambar 4.30 Hasil output konsol uji NAT Traversal pada Host A Baris pada security association SA ”...ESTABLISHED 71 seconds ago...” menunjukkan bahwa SA IKE antara peer IKE A dan B berhasil dibangun. Baris ”...INSTALLED, TUNNEL, ESP in UDP...” menunjukkan bahwa SA untuk tunnel ESP berhasil dibuat dalam mode NAT Traversal yaitu dengan mekanisme enkapsulasi UDP yang berarti bahwa host IPsec berada dibelakang NAT dengan ”ESP SPI=cf03cf23” untuk inbound dan”ESP SPI=c7f05510” untuk outbound. Baris ”...AES_CBC_128HMAC_SHA1_96...” menunjukkan bahwa tunnel ESP dilindungi dengan enkripsi AES-CBC-128. 4.3.3.4 Pengujian Virtual IP A dan Z berperan sebagai roadwarrior remote client yang masing- masing berada di belakang Router NAT GW1 dan GW3. Suatu tunnel IPsec mode tunnel akan dibangun antara A - GW2 dan Z - GW2. A dan Z akan memiliki alamat IP address private yang sama yaitu 10.0.1.1024. Masing-masing roadwarrior tersebut meminta sebuah virtual IP melalui configuration payload IKEv2. Gatewayserver IPsec GW2 kemudian memberikan alamat virtual IP yang unik. 84 Gambar 4.31 Pengujian Virtual IP Untuk membuat aturan source NAT pada GW1 dan GW3 terhadap subnet masing-masing, sehingga paket IPsec yang terenkapsulasi UDPNAT Traversal dapat lewat, digunakan perintah iptables berikut. gw1 echo 1 procsysnetipv4ip_forward gw1 iptables -t nat -A POSTROUTING -o eth0 -s 10.1.0.024 -p udp -j SNAT --to- source 192.168.0.1:2000-2100 gw3 echo 1 procsysnetipv4ip_forward gw3 iptables -t nat -A POSTROUTING -o eth0 -s 10.1.0.024 -p udp -j SNAT --to- source 192.168.0.3:2000-2100 Pembangunan dan pengujian tunnel IPsec dilakukan dengan perintah di konsol linux sebagai berikut. a ipsec up virtual-ip z ipsec up virtual-ip Untuk memverifikasi apakah tunnel IPsec berhasil dibangun digunakan perintah ipsec statusall pada A dan Z. a ipsec statusall | less z ipsec statusall | less Gambar 4.32 Hasil output konsol uji Virtual IP pada A Baris pada security association SA ”...ESTABLISHED 2 minutes ago...” menunjukkan bahwa SA IKE antara peer IKE A dan GW2 berhasil dibangun. 10.1.0.024 .1 10.2.0.024 .10 .1 GW1 GW2 .2 .1 192.168.0.024 A B NAT VPN server Z .10 GW3 NAT .1 .3 .10 10.1.0.024 85 Baris ”...INSTALLED, TUNNEL, ESP in UDP...” menunjukkan bahwa SA untuk tunnel ESP berhasil dibuat dalam mode NAT Traversal yaitu dengan mekanisme enkapsulasi UDP yang berarti bahwa host IPsec A berada dibelakang NAT dengan ”ESP SPI=ce51c3a8” untuk inbound dan”ESP SPI=c90d7e99” untuk outbound. Baris ”...AES_CBC_128HMAC_SHA1_96...” menunjukkan bahwa tunnel ESP dilindungi dengan enkripsi AES-CBC-128. Baris ”...virtual-ip2 : 10.10.0.132 == 10.2.0.024...” menunjukkan bahwa Host A mendapatkan virtual IP 10.10.0.1, dan trafic selector dibuat antara alamat virtual A 10.10.0.132 dengan subnet 10.2.0.024. Gambar 4.33 Hasil output konsol uji Virtual IP pada Host Z Baris pada security association SA ”...ESTABLISHED 10 minutes ago...” menunjukkan bahwa SA IKE antara peer IKE Z dan GW2 berhasil dibangun. Baris ”...INSTALLED, TUNNEL, ESP in UDP...” menunjukkan bahwa SA untuk tunnel ESP berhasil dibuat dalam mode NAT Traversal yaitu dengan mekanisme enkapsulasi UDP yang berarti bahwa host IPsec Z berada dibelakang NAT dengan ”ESP SPI=c9518939” untuk inbound dan”ESP SPI=ce5b481e” untuk outbound. Baris ”...AES_CBC_128HMAC_SHA1_96...” menunjukkan bahwa tunnel ESP dilindungi dengan enkripsi AES-CBC-128. Baris ”...virtual- ip2 : 10.10.0.232 == 10.2.0.024...” menunjukkan bahwa Host Z mendapatkan virtual IP 10.10.0.2, dan trafic selector dibuat antara alamat virtual Z 10.10.0.132 dengan subnet 10.2.0.024. 86 4.3.3.5 Pengujian Dua Roadwarrior Tunnel Mode A dan B berperan sebagai roadwarrior remote user yang berada di belakang Router NAT GW1. Suatu tunnel IPsec akan dibangun antara A - GW2 dan B - GW2. GW2 akan bertindak sebagai gatewayserver IPsec. NAT-Traversal enkapsulasi UDP digunakan untuk melewatkan traffic IPsec melalui NAT. Gambar 4.34 Pengujian Dua Roadwarrior Tunnel Mode Untuk membuat aturan source NAT pada GW1 terhadap subnet 10.1.0.024 ke alamat source GW1, sehingga paket IPsec yang terenkapsulasi UDPNAT Traversal dapat lewat, digunakan perintah iptables berikut. gw1 echo 1 procsysnetipv4ip_forward gw1 iptables -t nat -A POSTROUTING -o eth0 -s 10.1.0.024 -p udp -j SNAT --to- source 202.0.0.1:2000-2100 Policy atau kebijakan mode tunnel dibuat dengan melakukan konfigurasi “mode=tunnel” pada perangkat lunak IKEv2 strongSwan seperti bisa dilihat pada Lampiran 2. Kode Konfigurasi IKEv2 strongSwan pada nomor 5.Pengujian Dua Roadwarrior Tunnel Mode. Pembangunan dan pengujian tunnel IPsec dilakukan dengan perintah di konsol linux sebagai berikut. a ipsec up duarw-samenat b ipsec up duarw-samenat Untuk memverifikasi apakah tunnel IPsec berhasil dibangun digunakan perintah ipsec statusall pada A dan B. a ipsec statusall | less b ipsec statusall | less 10.1.0.024 .1 .10 GW1 GW2 .2 .1 192.168.0.024 A NAT VPN server B .20 87 Gambar 4.35 Hasil output konsol uji Dua Roadwarrior Tunnel Mode A Baris”...ESTABLISHED 21 seconds ago...” menunjukkan bahwa SA IKE antara peer IKE A dan GW2 berhasil dibangun. Baris ”...INSTALLED, TUNNEL, ESP in UDP...” menunjukkan bahwa SA untuk tunnel ESP berhasil dibuat dalam mode NAT Traversal yaitu dengan mekanisme enkapsulasi UDP yang berarti bahwa host IPsec A berada dibelakang NAT dengan ”ESP SPI=c313c374” untuk inbound dan”ESP SPI=cdc95cc2” untuk outbound. Baris ”...AES_CBC_128HMAC_SHA1_96...” menunjukkan bahwa tunnel ESP dilindungi dengan enkripsi AES-CBC-128. Gambar 4.36 Hasil output konsol uji Dua Roadwarrior Tunnel Mode B Baris pada security association SA ”...ESTABLISHED 36 seconds ago...” menunjukkan bahwa SA IKE antara peer IKE B dan GW2 berhasil dibangun. Baris ”...INSTALLED, TUNNEL, ESP in UDP...” menunjukkan bahwa SA untuk tunnel ESP berhasil dibuat dalam mode NAT Traversal yaitu dengan 88 mekanisme enkapsulasi UDP yang berarti bahwa host IPsec B berada dibelakang NAT dengan ”ESP SPI=c1931ce5” untuk inbound dan”ESP SPI=ca01271f” untuk outbound. Baris ”...AES_CBC_128HMAC_SHA1_96...” menunjukkan bahwa tunnel ESP dilindungi dengan enkripsi AES-CBC-128. 4.3.3.6 Pengujian MOBIKE A berperan sebagai roadwarrior remote user yang terhubung pada jaringan 192.168.0.024 dan jaringan 10.1.0.024. Suatu tunnel IPsec mode tunnel host-to-network akan dibangun antara A - GW2 melalui IP 192.168.0.100. Interface dengan alamat IP 192.168.0.100 itu kemudian down sehingga A hanya terhubung pada jaringan 10.1.0.024 dengan alamat IP 10.1.0.10. A kemudian akan mengirimkan pesan notifikasi IKE kepada server GW2 untuk memberitahukan perubahan alamat IP SA sehingga SA yang lama tetap dapat dipertahankan tanpa adanya pembuatan ulang tunnel. Gambar 4.37 Pengujian MOBIKE Untuk membuat aturan source NAT pada GW1 terhadap subnet dibelakangnya, sehingga paket IPsec yang terenkapsulasi UDPNAT Traversal dapat lewat, digunakan perintah iptables berikut. gw1 echo 1 procsysnetipv4ip_forward gw1 iptables -t nat -A POSTROUTING -o eth0 -s 10.1.0.024 -p udp -j SNAT --to- source 202.0.0.1:2000-2100 Pembangunan dan pengujian tunnel IPsec dilakukan dengan perintah di konsol linux sebagai berikut. a ipsec up mobike .100 10.2.0.024 .1 GW2 .2 .10 192.168.0.024 A B VPN server GW1 NAT .1 .1 .10 10.1.0.024 89 Gambar 4.38 Output awal pada A dengan IP 192.169.0.100 Baris pada security association SA ”...IKE_SA mobike4 established between 192.168.0.100...” menunjukkan bahwa SA IKE antara A dan GW2 berhasil dibangun antara alamat IP 192.168.0.100ates.co.id... 192.168.0.2gw2tes.co.id. Untuk membuat interface 192.168.0.100 mati dan untuk memverifikasi jika tunnel IPsec masih tetap ada dapat digunakan perintah berikut pada A. interface jaringan 192.168.0.100 disimulasikan mati a ifconfig eth1 192.168.0.10024 down a ipsec statusall | less Gambar 4.39 Output pada A setelah interface 192.169.0.100 down. Baris pada security association SA ”...ESTABLISHED 103 seconds ago, 10.1.0.10ates.co.id...” menunjukkan bahwa SA IKE antara peer IKE A dan GW2 masih tetap ada. Perubahan terjadi pada data alamat SA IKE dimana sebelumnya yaitu antara alamat IP 192.168.0.100 ates.co.id dengan 90 192.168.0.2 gw2tes.co.id, menjadi alamat IP 10.1.0.10 ates.co.id dengan 192.168.0.2 gw2tes.co.id.

4.3.4 Evaluasi

Dokumen yang terkait

Perangkat Lunak Capture Plat Nomor Polisi Mobil dengan Algoritma Jaringan Syaraf Tiruan Learning Vector Quantization dan Back Propagation Berbasis IP Camera

1 87 99

Perancangan Elevator dan Pembuatan Prototipe Pengendali Otomatis Elevator Berbasis Mikrokontroler ATmega 8535

17 132 144

Perancangan Perangkat Lunak Simulasi Palang Pintu Otomatis Jalan Raya

10 100 99

Perancangan Perangkat Lunak Sistem Pakar Untuk Deteksi Gonore (GO), Sifilis Dan Herpes Genitalis

4 75 119

Perancangan Perangkat Lunak Simulasi Anjungan Tunai Mandiri (Atm)

7 74 75

Perancangan Peralatan Penjawab Telepon Otomatis Berbasis Mikrokontroler

2 64 34

SIMULASI JARINGAN WIRELESS CDMA MULTIPOINT BERBASIS PERANGKAT LUNAK.

0 0 6

PENGEMBANGAN PERANGKAT LUNAK REMOTE PROC

0 0 8

PENGEMBANGAN SISTEM REMOTE ACCESS JARING (1)

0 0 9

Analisis Performansi Remote Access VPN Berbasis IPSec dan Berbasis SSL pada Jaringan IPv6

0 0 5