Institutional Repository | Satya Wacana Christian University: Implementasi Autentikasi pada Virtual Private Network (VPN) Menggunakan Kerberos
Implementasi Autentikasi pada Virtual Private Network
(VPN) Menggunakan Kerberos
Artikel Ilmiah
Kuncoro Satriyo (672010279)
Irwan Sembiring, S.T., M.Kom.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Mei 2015
Implementasi Autentikasi pada Virtual Private Network
(VPN) Menggunakan Kerberos
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
untuk memperoleh Gelar Sarjana Komputer
Peneliti :
Kuncoro Satriyo (672010279)
Irwan Sembiring, S.T., M.Kom.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Mei 2015
Lembar Persetujuan
Lembar Pengesahan
Lembar Pernyataan Persetujuan Akses
Lembar Tidak Plagiat
Lembar Pernyataan
Lembar Persetujuan Publish Jurnal
Implementasi Autentikasi pada Virtual Private Network (VPN)
Menggunakan Kerberos
1)
Kuncoro Satriyo, 2) Irwan Sembiring
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Jl. Diponegoro 52-60, Salatiga 50711, Indonesia
Email : 1) Kunsatriyo28@gmail.com, 2) Irwan@staff.uksw.edu
Abstract
Virtual Private Network (VPN) is some tool for sharing resource between computer on
network. VPN is some private network by using public network (in this case internet) by
using tunneling technology and safety procedure. Internet consuming as public network
are certain many kind risk on data stealing, because the network is general opened so
confidentiality and authentication problem on sending data is also opened. One of the
safety technique that we can use is kerberos. Kerberos is one of protocol on the
communication network system that guarantee authentication develop by Massachusett
Institute of Technology (MIT). In this research, conducted at the VPN implementation
using Kerberos authentication. Kerberos authentication implemented on a VPN using
library Pluggable Authentication Modules (PAM). Testing does is the testing of VPN
network connectivity and analyze the workings of the VPN authentication process by
using Kerberos.
Keywords: VPN, Authentication, Kerberos, PAM, Network Security
Abstrak
Virtual Private Network (VPN) adalah suatu sarana untuk sharing resource baik antar
komputer maupun jaringan. VPN merupakan suatu jaringan private yang menggunakan
sarana jaringan publik (dalam hal ini internet) dengan memakai teknologi tunneling dan
prosedur pengamanan. Pemakaian internet sebagai jaringan publik banyak mengandung
resiko terhadap pencurian data, karena jaringannya terbuka untuk umum, maka masalah
kerahasiaan dan autentikasi atas data yang dikirim pun juga terbuka. Salah satu teknik
pengamanan yang dapat digunakan untuk keamanan tersebut adalah kerberos. Kerberos
merupakan salah satu protokol dalam sistem jaringan komunikasi yang menjamin
autentikasi yang dikembangkan oleh Massachusets Insitute of Technology (MIT). Dalam
penelitian ini, dilakukan implementasi autentikasi pada VPN menggunakan Kerberos.
Autentikasi kerberos diimplementasikan pada VPN menggunakan library Pluggable
Authentication Modules (PAM). Pengujian yang dilakukan adalah pengujian terhadap
konektivitas jaringan VPN dan melakukan analisa cara kerja dari proses autentikasi pada
VPN dengan menggunakan Kerberos.
Kata Kunci: VPN, Autentikasi, Kerberos, PAM, Keamanan Jaringan
1)
Mahasiswa Fakultas Teknologi Informasi Jurusan Teknik Informatika, Universitas Kristen Satya
Wacana Salatiga.
2)
Staff Pengajar Fakultas Teknologi Infomasi, Universitas Kristen Satya Wacana Salatiga.
1.
Pendahuluan
Virtual Private Network (VPN) adalah suatu jaringan private yang
menggunakan sarana jaringan komunikasi publik (dalam hal ini internet) dengan
memakai teknologi tunneling dan prosedur pengamanan. Internet merupakan
sebuah jaringan global dan terbuka, dimana setiap pengguna dapat saling
berkomunikasi dan bertukar informasi. Pemakaian internet sebagai sarana
jaringan publik banyak mengandung resiko terhadap pencurian data, karena
jaringannya terbuka untuk umum, maka masalah kerahasiaan dan autentikasi atas
data yang dikirim pun juga terbuka. Karena VPN menggunakan jaringan internet,
maka dibutuhkan perhatian yang serius pada keamanan autentikasi atas data yang
dikirim. Oleh karena itu, diperlukan tindakan yang tepat untuk mencegah
terjadinya hal-hal yang tidak diinginkan seperti penyadapan, hacking dan tindakan
cyber crime pada jaringan VPN. Autentikasi merupakan pengesahan identitas user
yang diawali dengan mengirimkan kode unik berupa username dan password
yang bertujuan untuk memastikan bahwa user yang meminta service adalah user
yang sah.
Terdapat beberapa metode yang dapat digunakan untuk pengamanan data
pada teknologi jaringan VPN. Dalam penelitian ini, metode yang akan digunakan
untuk pengamanan data tersebut adalah AAA (Authentication, Authorization,
Accounting). AAA merupakan program server yang bertugas untuk menangani
permintaan akses ke suatu komputer dengan menyediakan proses otentikasi,
otorisasi dan akuntansi. Terdapat tiga protokol AAA yang dapat digunakan antara
lain Remote Authentication Dial In User Service (RADIUS), Terminal Access
Controller Access Control System (TACACS) dan Kerberos.
Dalam penelitian ini, protokol AAA yang digunakan adalah Kerberos yang
bertujuan untuk memungkinkan user/client dan service untuk saling
mengautentikasi satu dengan yang lainnya dan saling menunjukkan identitasnya,
dan juga untuk dapat mengatasi serangan-serangan keamanan yang tidak dapat
diatasi oleh sistem autentikasi konvensional (password based). Protokol kerberos
digunakan untuk melakukan proses autentikasi pada user sebelum terhubung ke
jaringan VPN. Mekanisme autentikasi oleh kerberos dilakukan dengan
menggunakan kunci privat yang dibagi (shared) antara client dan server. Kunci
privat tersebut dikeluarkan oleh pihak ketiga yang dipercayai bersama (trusted
third party). Kerberos merupakan solusi yang diharapkan untuk mengatasi
masalah keamanana pada teknologi jaringan VPN, dimana kerberos
memungkinkan client untuk dapat melakukan koneksi pada server yang dituju
menggunakan sebuah kunci privat.
2.
Kajian Pustaka
Adapun penelitian terdahulu yang berkaitan dalam penelitian ini adalah
penelitian dengan judul Implementasi dan Analisa Keamanan Autentikasi pada
Virtual private Network (VPN) Menggunakan Remote Authenticatian Dial In
User Service (RADIUS) . Penelitian ini menggunakan RADIUS untuk keamanan
autentikasi pada teknologi jaringan VPN. Hasil dari penelitian tersebut, dengan
menggunakan RADIUS keamanan autentikasinya tergantung pada password,
1
karena hal-hal penting lainnya seperti username, IP client RADIUS dan IP client
PPTP dapat ditemukan melalui hasil capture jaringan[1].
Penelitian dengan judul Analisa Autentikasi Kerberos pada Samba LDAP
(Lightweight Directory Access Protocol) juga merupakan salah satu penelitian
yang berkaitan dengan penelitian ini. Dalam penelitian tersebut, dilakukan analisis
cara kerja autentikasi kerberos pada Samba LDAP, dengan melihat apakah dengan
menggunakan kerberos dapat memberikan solusi keamanan pada client untuk
mengakses file sharing samba. Hasil dari penelitian tersebut, kerberos
memberikan solusi keamanan autentikasi pada client saat mengakses file sharing
samba, sehingga terhindar dari serangan keamanan yang tidak diinginkan[2].
Penelitian lain yang berkaitan dengan penelitian ini adalah penelitian
dengan judul Analisis Implementasi Keamanan Jaringan Virtual Private Network
(VPN) pada PT.Layar Sentosa Shipping Corporation . Pada penelitian tersebut,
dilakukan pengujian terhadap konektivitas jaringan dan tingkat keamanan pada
VPN. Hasil dari penelitian tersebut adalah dalam pengujian konektivitas jaringan,
bandwidth merupakan faktor utama yang menentukan baik-buruknya konektivitas
dalam jaringan. Sedangkan pada pengujian tingkat keamanan VPN, penyerang
berhasil menembus akses login client ke server VPN, dengan melakukan hacking
untuk mendapatkan username dan password dengan menggunakan tools yang ada
pada aplikasi linux backtrack[3].
Mengacu pada penelitian terdahulu, maka akan dilakukan penelitian yang
berjudul Implementasi Autentikasi pada Virtual Private Network (VPN)
Menggunakan Kerberos. Dalam penelitian ini, autentikasi kerberos
diimplementasikan pada VPN dengan meggunakan modul yang ada pada library
Pluggable Authentication Modules (PAM) untuk menghubungkan server VPN
dan server Kerberos, sehingga autentikasi kerberos dapat berjalan pada VPN.
Dengan menggunakan kerberos pada VPN diharapkan dapat menjamin keamanan
autentikasi, sehingga user/client dapat mengirim dan mengakses informasi secara
aman dan terlindung dari kemungkinan disusupi oleh pengakses yang tidak
diinginkan.
Virtual Private Network (VPN) adalah suatu jaringan private yang
menggunakan sarana jaringan komunikasi publik (dalam hal ini Internet) dengan
memakai teknologi tunneling dan prosedur pengamanan. VPN dapat mengirim
data antara dua komputer yang melewati jaringan publik sehingga seolah-olah
terhubung secara point to point. Data dienkapsulasi (dibungkus) dengan header
yang berisi informasi routing mendapatkan koneksi point to point sehingga data
dapat melewati jaringan publik dan dapat mencapai akhir tujuan. Proses
enkapsulasi data sering disebut tunneling [1].
Tunneling merupakan sebuah terowongan atau metode yang digunakan
untuk transfer data antar jaringan dengan memanfaatkan jaringan internet secara
terselubung. Sistem kerja tunneling hanya melihat dua point atau ujung, oleh
karenanya paket yang dikirimkan melalui tunnel hanya akan melakukan satu kali
lompatan atau hop. Paket yang dikirimkan melalui protokol tunneling akan
dienkapsulasi (dibungkus) dalam header tambahan terlebih dahulu. Header
tambahan tersebut berisi informasi routing sehingga paket data yang dikirim dapat
melewati jaringan internet, jalur yang akan dilalui data melalui internet itulah
2
yang disebut tunnel. Saat data sudah terkirim sampai ke jaringan tujuan akan
dilakukan proses dekapsulasi dan setelah itu data original akan diteruskan ke
penerima akhir[4].
Teknologi VPN menyediakan tiga fungsi utama untuk penggunaannya.
Fungsi utama tersebut adalah sebagai berikut[1] :
1. Confidentially (Kerahasiaan)
Dengan digunakannya jaringan publik yang rawan pencuriaan data, maka
teknologi VPN menggunakan sistem kerja dengan cara mengenkripsi semua
data yang lewat melaluinya.
2. Data Intergrity (Keutuhan data)
VPN memiliki teknologi yang dapat menjaga keutuhan data yang client
kirim, agar sampai ke tujuannya tanpa cacat, hilang, rusak, ataupun
dimanipulasi oleh orang lain.
3. Origin Authentication (Autentikasi sumber)
Teknologi VPN memiliki kemampuan untuk melakukan autentikasi
terhadap sumber-sumber pengirim data yang akan diterimanya.
OpenVPN merupakan salah satu jenis aplikasi penyedia layanan VPN yang
bersifat gratis dengan menggunakan SSL untuk menangani tunneling. OpenVPN
memiliki dukungan yang luas terhadap berbagai macam produk-produk open
source, terutama untuk aplikasi-aplikasi yang menangani proses enkripsi
SSL/TLS dan otentikasi.
Kerberos merupakan salah satu protokol dalam sistem jaringan komurnikasi
yang menjamin autentikasi yang dikembangkan oleh Massachusets Insitute of
Technology (MIT). Mekanisme autentikasi kerberos dilakukan dengan
menggunakan kunci privat yang dibagi (shared) antara client dan server. Kunci
privat tersebut dikeluarkan oleh pihak ketiga yang dipercayai bersama (trusted
third party), yang nantinya akan memberikan autentikasi dua arah, baik terhadap
client maupun servernya. Kerberos adalah protokol autentikasi yang
menggunakan sistem kriptografi simetrik. Biasanya menggunakan kriptografi
DES ataupun triple DES dan bahkan telah dirancang menggunakan AES.
Protokol kerberos dibangun berdasarkan kriptografi kunci simetris dari
protokol Needham-Schroeder dan dalam penggunaannya membutuhkan layanan
dari pusat distribusi kunci (Key Distribution Center atau KDC). KDC merupakan
pihak ketiga yang terpercaya dan terdiri dari dua bagian yang terpisah, yaitu AS
(Autentication Service) dan TGS (Ticket Granting Service). Agar dapat
melakukan aksinya kerberos memiliki tiga subprotokol, protokol tersebut yaitu
sebagai berikut[5] :
1. Autentication Service (AS) Exchange yang digunakan oleh Key
Distribution Center (KDC) untuk menyediakan Ticket-Granting Ticket
(TGT) kepada pengguna dan membuat kunci sesi logon.
2. Ticket-Granting Service (TGS) Exchange yang digunakan oleh KDC
untuk mendistribusikan kunci sesi layanan dan tiket diasosiasikan
dengannya.
3. Client/Server (CS) Exchange yang digunakan oleh pengguna untuk
mengirimkan sebuah tiket sebagai pendaftaran kepada sebuah layanan.
3
Gambar 1 Sesi Autentikasi Kerberos[5]
Gambar 1 merupakan sesi autentikasi Kerberos yang dilakukan antara client
dan server. Cara kerja dari sesi autentikasi tersebut yaitu sebagai berikut[5]:
1. Komputer pengguna kerberos akan mengirimkan sebuah permintaan
terhadap server KDC untuk mengakses TGS dengan menggunakan protokol
AS Exchange. Dalam permintaan tersebut terdapat bukti identitas pengguna
dalam bentuk terenkripsi menggunakan kunci rahasia pengguna.
2. KDC kemudian menerima permintaan dari pengguna Kerberos, lalu mencari
kunci utama (disebut sebagai Master Key) yang dimiliki oleh pengguna
dalam layanan direktori Active Directory (dalam Windows 2000/Windows
Server 2003 atau layanan direktori lainnya seperti LDAP) untuk selanjutnya
melakukan dekripsi terhadap informasi identitas yang terdapat dalam
permintaan yang dikirimkan. Jika identitas pengguna berhasil diverifikasi,
KDC akan meresponnya dengan memberikan TGT dan sebuah kunci sesi
untuk mengakses TGS dengan penggunaan protokol AS Exchange.
3. Pengguna selanjutnya mengirimkan permintaan yang terenkripsi dengan
kunci sesi kepada KDC, permintaan itu mengandung TGT yang sebelumnya
diterima dari KDC dan identifier akses terhadap layanan aplikasi server
target dengan menggunakan protokol TGS Exchange.
4. KDC selanjutnya menerima permintaan, melakukan otentikasi terhadap
layanan dan meresponnya dengan memberikan sebuah tiket dan kunci sesi
untuk mengakses server target kepada pengguna dengan menggunakan
protokol TGS Exchange.
5. Pengguna selanjutnya mengirimkan permintaan terhadap server target yang
mengandung tiket yang didapatkan sebelumnya dengan menggunakan
protokol CS Exchange. Server target kemudian melakukan otentikasi
terhadap tiket yang bersangkutan, membalasnya dengan sebuah kunci sesi
dan pengguna akhirnya dapat mengakses layanan yang tersedia dalam
server.
Pluggable Authentication Modules (PAM) merupakan suatu library yang
terdapat pada Linux yang dapat membuat seorang administrator mampu
menambahkan autentikasi baru dengan menginstall modul-modul yang ada pada
library PAM. Dengan menggunakan library PAM seorang administrator tidak
perlu mengkonfigurasi fungsi untuk autentikasi yang digunakan pada aplikasi
server. Modul pada library PAM berisi kode program yang fungsinya
4
mengimplementasikan suatu primitives didalam satu atau lebih facilities yang
membentuk satu mekanisme untuk layanan autentikasi seperti UNIX password
database, NIS, LDAP, RADIUS dan sebagainya.
Ada beberapa kelebihan yang dimiliki PAM yaitu sebagai berikut[6] : (1)
PAM menyediakan skema autentikasi umum yang dapat digunakan pada berbagai
macam aplikasi; (2) PAM menyediakan fleksibilitas yang signifikan dan kontrol
atas autentikasi, baik untuk sistem administrator dan pengembang aplikasi; (3)
PAM menyediakan library yang memungkinkan pengembang untuk menulis
program tanpa harus membuat skema autentikasi sendiri.
3.
Metode dan Perancangan Sistem
Metode yang digunakan pada penelitian ini yaitu metode PPDIOO
(Prepare, Plan, Desaign, Implement, Operate and Optimize). Metode PPDIOO
adalah sebuah metode penelitian yang dikembangkan oleh Cisco System. Pada
metode ini ada beberapa tahap dalam membangun sebuah jaringan. Dengan
adanya tahapan-tahapan pada perancangan dan desain sistem, maka akan lebih
mudah dalam pengerjaan serta mempermudah dalam menganalisis sistem. Metode
ini dipilih karena cocok dengan sistem dan pengujian yang akan dilakukan.
Gambar 2 Skema Metodelogi PPDIOO
Gambar 2 merupakan skema metodelogi PPDIOO yang terdiri dari 6 fase
yaitu sebagai berikut[2] :
1. Prepare adalah tahap dimana rencana kerja disusun agar penelitian dapat
terorganisir dengan baik. Pada tahapan ini akan dikumpulkan data-data yang
berkaitan dengan kebutuhan sistem yang sesuai dengan tujuan dari
penelitian ini. Pengumpulan data kebutuhan tersebut antara lain spesifikasi
akan kebutuhan perangkat keras atau lunak yang akan dipakai dalam
penelitian ini.
2. Plan adalah tahap dimana akan dirancang mekanisme autentikasi kerberos
pada VPN dan tahapan yang dijadikan sebagai parameter dan perlu
mendapat perhatian sebelum merancang sebuah jaringan komputer yaitu :
a) Menganalisis kebutuhan alat jaringan yang akan digunakan dalam
perancangan topologi jaringan.
b) Mendesain topologi sesuai dengan kebutuhan penelitian.
c) Implementasi jaringan lokal berdasarkan hasil analisis kebutuhan.
5
3. Design adalah tahapan dimana akan digambarkan desain secara logis dari
perancangan implementasi VPN menggunakan autentikasi kerberos.
Topologi jaringan pada penelitian ini dapat dilihat pada Gambar 5 :
Gambar 3 Topologi Jaringan
Berdasarkan Gambar 3, maka laptop 1 bertindak sebagai client, laptop 2
sebagai VPN server dan Kerberos server, dan laptop 3 sebagai jaringan
LAN yang akan dituju oleh client.
Pada fase design, juga dilakukan perancangan untuk proses autentikasi pada
VPN menggunakan autentikasi kerberos. Perancangan ini diperlukan agar
proses implementasi lebih sistematis dan terarah. Flowchart proses
autentikasi pada VPN menggunakan kerberos dapat dilihat pada Gambar 6.
Gambar 4 Proses Authentikasi pada VPN Menggunakan Kerberos
Proses autentikasi yang terjadi seperti pada Gambar 4 adalah Langkah
pertama client menginputkan username dan password, kemudian diteruskan
ke server VPN, setelah itu PAM menghubungkan server VPN dengan
autentikasi Kerberos, agar server VPN dapat mengirimkan username dan
password yang diinputkan oleh client untuk diautentikasi terlebih dahulu ke
server Kerberos, agar dapat mengetahui benar tidaknya informasi atau
identitas client dengan database Kerberos server, setelah diautentikasi dan
identitasnya benar maka akan dikembalikan ke VPN server dan client akan
mendapatkan IP tunnel. Setelah mendapatkan IP tunnel, client bisa masuk
ke jaringan LAN dan bisa mengakses data dari jaringan LAN tersebut.
4. Implement adalah tahapan dimana perangkat yang telah terintegrasi dalam
desain sistem akan diterapkan pada perangkat fisik. Proses implementasinya
6
akan dilakukan langsung pada server. Server VPN akan dikonfigurasi sesuai
dengan kebutuhan pada penelitian ini.
5. Operate adalah tahapan pengujian sistem yang dilakukan pada waktu nyata
serta melakukan proses monitoring. Pada tahap operate dapat dilakukan
proses perbaikan pada sistem yang sudah dibuat, hal ini akan disesuaikan
dengan analisis yang dilakukan pada sistem yang dibuat. Pada tahap ini
dapat dilakukan pemecahan masalah yang timbul selama proses yang
mengakibatkan tidak berjalannya proses komunikasi secara baik dalam
jaringan.
6. Optimize adalah tahap terakhir dimana setelah melakukan implementasi dan
analisis, sistem dapat diperbaharui sesuai dengan kebutuhan agar sistem
menjadi lebih baik dari sebelumnya, karena mungkin saja sebelumnya
sistem tidak dapat bekerja dengan sempurna. Tahapan ini juga dilakukan
penilaian terhadap sistem yang dibangun apakah sudah sesuai dengan tujuan
awal serta pencapaian yang sudah dilakukan.
4.
Hasil dan Pembahasan
Pada bagian hasil dan pembahasan akan dibahas mengenai tahap
implementasi yang akan dilakukan berdasarkan analisis dan perancangan yang
telah dibuat. Setelah implementasi selesai dilakukan, maka akan dilakukan
pengujian terhadap VPN yang menggunakan autentikasi kerberos yang telah
dibangun.
Dalam konfigurasi jaringan dilakukan pengalamatan IP terhadap server dan
client sesuai dengan topologi jaringan yang telah dibangun. Adapun pengalamatan
IP terhadap VPN server, Kerberos server, client dan client dalam jaringan LAN
dapat dilihat pada Gambar 5 dan Gambar 6.
Gambar 5 Topologi Jaringan VPN
Berdasarkan Gambar 5, VPN dan Kerberos server memiliki IP publik
192.168.0.1 dengan subnet 255.255.255.0 dan IP publik pada client 192.168.0.2
dengan subnet 255.255.255.0.
Gambar 6 Topologi Logik Jaringan VPN
Gambar 6 merupakan topologi logik pada jaringan VPN yang dibangun.
VPN server akan diberikan IP address 10.10.10.1 dengan subnet 255.255.255.0
dan IP address client akan berada pada range 10.10.10.2-10.10.10.254 dengan
subnet 255.255.255.0.
7
Pada server digunakan sistem operasi Linux Fedora 20 dan juga
menggunakan software OpenVPN untuk VPN servernya. Sebelum
mengkonfigurasi VPN server, sangat penting untuk menyalin berbagai script dan
dokumentasi yang dibutuhkan untuk konfigurasi. Script dan dokumentasi yang
dibutuhkan dipindahkan ke folder /etc/openvpn, karena di folder tersebut
merupakan folder untuk inialisasi file konfigurasi dari openvpn.
Gambar 7 Copy Directory
Gambar 7 merupakan perintah untuk copy folder beserta file yang berada
dalam folder tersebut untuk membuat sertifikat pada folder inialisasi file
konfigurasi dari openvpn. Setelah copy folder tersebut, selanjutnya copy file
server.conf dari folder /usr/share/doc/openvpn/sample/sample-config-files/ ke
folder /etc/openvpn/ seperti pada Gambar 8.
Gambar 8 Copy File
Gambar 8 merupakan perintah untuk copy file server.conf ke folder
openvpn. File tersebut digunakan sebagai file eksekusi yang menandakan bahwa
komputer tersebut merupakan VPN server.
Gambar 9 Edit File
Gambar 9 merupakan perintah untuk mengedit file vars. File vars
merupakan konfigurasi yang paling dasar dalam openvpn dan file tersebut
berisikan informasi penting dalam pembuatan VPN yang akan dibuat. Pada file
tersebut konfigurasi yang dilakukan dapat dilihat pada Gambar 10.
Gambar 10 Konfigurasi File Vars
Berdasarkan Gambar 10, maka konfigurasi yang dilakukan pada file vars
adalah mengubah export KEY_SIZE, export KEY_COUNTRY, export
8
KEY_PROVINCE, export KEY_CITY, export KEY_ORG dan export KEY_EMAIL
sesuai dengan kebutuhan. Apabila file vars telah dikonfigurasi, maka file vars
dapat dijalankan untuk menginialisasi pembuatan sertifikat dan kunci yang
dibutuhkan. Perintah yang digunakan untuk menjalankan file vars dan menghapus
semua konfigurasi yang pernah dibuat dapat dilihat pada Gambar 11.
Gambar 11 Menjalankan File Vars
Setelah file vars dijalankan, langkah selanjutnya membuat Certificate
Authority (CA). CA merupakan sertifikat yang digunakan untuk autentikasi yang
menandakan bahwa itu berasal dari server yang sah. CA dapat dibuat seperti pada
Gambar 12.
Gambar 12 Pembuatan CA
Berdasarkan Gambar 12, maka pada proses pembuatan CA akan diminta
konfirmasi terhadap bagian Country Name, State or Province Name, Locality
Name, Organization Name, Organizational Unit Name, Common Name, Name
dan Email Address, bagian tersebut merupakan hal yang diubah pada file vars
sebelumnya. Apabila informasi-informasi pada bagian tersebut telah sesuai, maka
tidak perlu mengisi ulang informasi tersebut. Akan tetapi, apabila informasi
terdapat kesalahan, maka dapat mengisi ulang dengan informasi yang benar dan
sesuai.
Gambar 13 Pembuatan Server Key
9
Gambar 13 merupakan perintah untuk membuat kunci untuk server.
Pembuatan kunci untuk server hanya diperbolehkan mempunyai satu kunci. Kunci
server merupakan kunci private asymmetric encryption yang harus dimiliki oleh
server.
Gambar 14 Proses Pembuatan Server Key
Gambar 14 merupakan proses dari pembuatan kunci untuk server. Pada
proses pembuatan kunci tersebut, akan diminta konfirmasi seperti pembuatan CA
tadi. Apabila informasi-informasi pada bagian yang dikonfirmasi tersebut telah
sesuai, maka tidak perlu mengisi ulang informasi tersebut. Akan tetapi, apabila
informasi terdapat kesalahan, maka dapat mengisi ulang dengan informasi yang
benar dan sesuai.
Gambar 15 Pembuatan Client Key
Gambar 15 merupakan perintah membuat kunci untuk client. Sama halnya
dengan pembuatan kunci pada server, proses pembuatan kunci untuk client akan
mengeneralisasi informasi-informasi yang dibutuhkan seperti pada Gambar 16.
Gambar 16 Proses Pembuatan Client Key
10
Gambar 16 merupakan proses dari pembuatan kunci untuk client. Pada
proses pembuatan kunci tersebut, akan diminta konfirmasi seperti pembuatan
kunci pada server tadi. Apabila informasi-informasi pada bagian yang
dikonfirmasi tersebut telah sesuai, maka tidak perlu mengisi ulang informasi
tersebut. Akan tetapi, apabila informasi terdapat kesalahan, maka dapat mengisi
ulang dengan informasi yang benar dan sesuai.
Pada pembuatan kunci untuk client diperbolehkan mempunyai lebih dari
satu kunci, sedangkan pembuatan kunci untuk server hanya diperbolehkan satu
kunci. Kunci server maupun kunci client merupakan kunci private asymmetric
encryption yang harus dimiliki oleh server maupun client. Kunci pada client
merupakan sinkronisasi dari kunci server yang terdapat pada server VPN dan
menandakan bahwa client tersebut merupakan client dari VPN tersebut.
Gambar 17 Pembuatan DH Key
Gambar 17 merupakan proses dari pembuatan kunci Diffie-Hellman (DH).
Kunci DH merupakan metode enkripsi dengan algoritma kunci publik (public key
distribution system), yang memungkinkan dua belah pihak yang tidak memiliki
koneksi sebelumnya untuk dapat membentuk suatu kunci rahasia untuk
menciptakan komunikasi yang aman.
Setelah semua kunci telah terbentuk, maka selanjutnya server dapat
dikonfigurasi dengan mengedit isi file server.conf yang berada di folder
/etc/openvpn/server.conf sesuai dengan kebutuhan jaringan VPN yang ingin
dibangun. Pada file server.conf yang harus di edit dapat dilihat pada Tabel 1.
Tabel 1 Edit File Server.conf
PARAMETER
Server
Port 1194
Proto tcp
Dev tap
Ca /etc/openvpn/keys/ca.crt
Cert /etc/openvpn/keys/server.crt
Key /etc/openvpn/keys/server.key
Dh /etc/openvpn/keys/dh1024.pem
KETERANGAN
Menunjukkan sebagai server.
Port yang akan dibuka untuk VPN (1194
merupakan port untuk OpenVPN.
Protokol yang digunakan adalah TCP.
Akan menciptakan tunnel.
Sertifikat
dan
kunci-kunci
yang
digunakan server, serta tempat beradanya
sertifikat dan kunci tersebut.
Parameter Diffie-Hellman dan tempat
11
Server 10.10.10.0 255.255.255.0
Ifconfig-pool-persist ipp.txt
Push
route
192.168.1.0
255.255.255.0
Client-to-client
Keepalive 10 120
Comp-lzo
Max-clients 10
User nobody
Group nogroup
Persist-key
Persist-tun
Status /var/log/openvpn-status.log
Verb 4
Mute 10
Plugin /usr/lib/openvpn/openvpnauthpam.so login
beradanya parameter Diffie-Hellman.
Mode konfigurasi server dan suplai dari
subnet VPN.
Record perbaikan dari client.
Melakukan routing ke jaringan intranet
dengan alamat 192.168.1.0/24.
Mengizinkan client untuk dapat melihat
satu sama lain.
Menjaga agar komunikasi dapat terjaga,
dengan asumsi sistem akan ping selama
10 detik apabila pada jangka waktu 120
detik tidak diterima ping.
Menghidupkan kompresi pada jalur
VPN.
Jumlah client yang diizinkan.
Untuk mengurangi hak istimewa daemon
OpenVPN.
Berguna untuk menghindari akses
sumber daya tertentu pada restart yang
mungkin tidak dapat diakses lagi karena
downgrade hak istimewa.
Log dari status koneksi VPN.
Untuk penggunaan umum.
Tidak mengulangi pesan. Maksimal 10
pesan dari kategori pesan yang sama
akan menjadi output untuk log.
Menggunakan plugin untuk autentifikasi
client.
Parameter Plugin /usr/lib/openvpn/openvpn-authpam.so login pada
server.conf merupakan modul pada library PAM yang berfungsi untuk
menghubungkan OpenVPN server dengan Kerberos server agar autentikasi
Kerberos dapat berjalan pada jaringan VPN. Pada saat server VPN mengirimkan
request pada Kerberos, PAM akan menginialisasikan request tersebut dengan
modul yang telah diinstall sesuai request VPN server dan PAM akan menjalankan
file konfigurasi pada modul tersebut, sehingga VPN server dapat menggunakan
layanan pada autentikasi Kerberos.
Setelah konfigurasi pada server selesai, maka akan dilakukan konfigurasi
pada sisi client. Pada client digunakan sistem operasi Windows 7 dan juga
menggunakan software OpenVPN GUI untuk VPN clientnya. Sebelum
melakukan konfigurasi pada client, sangat penting copy sertifikat dan kunci client
yang telah dibuat dari server. Sertifikat dan kunci tersebut yaitu ca.crt, client1.crt
dan client1.key, simpan file tersebut kedalam folder C:/program
files/openvpn/config. Selanjutnya edit file client.ovpn dan sesuaikan dengan
konfigurasi yang ada pada server. Konfigurasi pada file client.ovpn dapat dilihat
pada Tabel 2.
12
Tabel 2 Edit File Client.ovpn
PARAMETER
Client
Proto tcp
Dev tap
Remote 192.168.0.1 1194
Resolve-retry infinite
Ca ca.crt
Cert client1.crt
Key client1.key
Nobind
Persist-key
Persist-tun
Auth-user-pass
Comp-lzo
Verb 4
KETERANGAN
Menunjukkan sebagai client.
Protokol yang digunakan adalah TCP
Akan menciptakan tunnel
Agar client dapat terkoneksi dengan
server
Untuk mencoba menjaga koneksi dengan
server
Sertifikat
dan
kunci-kunci
yang
digunakan client
Client tidak perlu mengingat port
Berguna untuk menghindari akses
sumber daya tertentu pada restart yang
mungkin tidak dapat diakses lagi karena
downgrade hak istimewa.
Menggunakan autentikasi untuk client
yang berupa username dan password.
Menghidupkan kompresi pada jalur
VPN.
Untuk penggunaan umum.
Untuk menjalankan openvpn pada server VPN dapat dilakukan seperti pada
Gambar 18. Pada Gambar tersebut menunjukkan tidak terjadi kesalahan pada saat
openvpn dijalankan, maka konfigurasi yang dilakukan benar, apabila statusnya
menunjukkan kesalahan pada saat openvpn dijalankan, maka pada konfigurasi
masih terdapat kesalahan.
Gambar 18 Start VPN
Gambar 19 Network pada Server
13
Gambar 19 merupakan network yang terbentuk pada server. Pada gambar
tersebut dapat dilihat kalau server memiliki interface tap0 dengan IP address
10.10.10.1. Hal ini menandakan bahwa network VPN telah terbentuk. Untuk
menjalankan OpenVPN pada client dapat dilakukan seperti pada Gambar 20.
Gambar 20 Mengkoneksikan ke Server VPN
Sebelum client terkoneksi dengan server VPN , indikator openvpn akan
menunjukkan warna merah. Berdasarkan Gambar 20, maka untuk mulai koneksi
click kanan pada icon openvpn yang ada pada taskbar menu, setelah itu pilih
connect agar dapat terkoneksi ke server VPN.
Gambar 21 Login ke Server VPN
Gambar 21 merupakan proses koneksi ke server VPN dengan menginputkan
username dan password. Jika client telah terkoneksi, maka secara otomatis akan
mendapatkan IP address, namun sebelum terkoneksi client terlebih dahulu
diautentikasi ke Kerberos server. Apabila username dan password benar, maka
client VPN akan mencoba koneksi ke server VPN sampai berhasil dikoneksikan
seperti pada gambar 22.
Gambar 22 Client Berhasil Terkoneksi
14
Gambar 22 merupakan client yang berhasil melakukan koneksi ke server
VPN. Setelah berhasil terkoneksi indikator akan berubah menjadi warna hijau
seperti terlihat pada Gambar 23.
Gambar 23 Icon OpenVPN
Setelah client berhasil terkoneksi dengan server VPN, maka akan terbentuk
network baru seperti terlihat pada Gambar 24. Gambar tersebut menunjukkan IP
address yang telah didapat oleh client VPN yang terlihat pada adapter local area
connection 2 dengan IP 10.10.10.8 dan subnet mask 255.255.255.0.
Gambar 24 Network Pada Client
Client yang berhasil terkoneksi akan dicatat pada Log dari OpenVPN dan
Kerberos server seperti terlihat pada Gambar 25 dan Gambar 26. Log tersebut
berfungsi untuk mencatat dan menyimpan data client ketika melakukan login pada
VPN. Pada Log tersebut dapat dilihat client yang melakukan login pada VPN
adalah vebri.
Gambar 25 Log Autentikasi Kerberos
15
Gambar 26 Log OpenVPN
Setelah client terkoneksi dengan server VPN dilanjutkan dengan tes koneksi
dari client ke server dan sebaliknya. Tes koneksi yang dilakukan dengan
melakukan perintah ping.
Gambar 27 Tes Koneksi Client ke Server
Gambar 28 Tes Koneksi Server ke Client
Gambar 27 dan Gambar 28 merupakan tes koneksi yang telah berhasil dari
client ke server dan server ke client VPN, dimana pada client dilakukan tes
koneksi ke server dengan ping ke IP address 10.10.10.1, dan pada server
dilakukan tes koneksi ke client dengan ping ke IP address 10.10.10.8.
Dalam pengujian autentikasi kerberos cara mudah untuk melakukan testing
dengan menggunakan kinit, seperti pada Gambar 29. Gambar tersebut
menunjukkan testing kerberos untuk riyo dan testing tersebut bekerja dengan
benar karena tidak menunjukkan kesalahan pada proses testing.
Gambar 29 Testing Kerberos
16
Setelah selesai dapat melihat tiket yang diterima dengan menggunakan
perintah klist, seperti pada Gambar 30. Pada Gambar tersebut dapat dilihat nama
client/principal, waktu valid starting dan waktu expires-nya.
Gambar 30 Tiket Kerberos
Gambar 31 Proses Autentikasi
Gambar 31 merupakan proses autentikasi pada VPN menggunakan
autentikasi Kerberos. Pada proses autentikasi tersebut ada beberapa tahap yaitu :
(1) Login Request; (2) Access Request; (3) AS_REQ; (4) Check Database (DB);
(5) Access Reject or Access Accept (AS_REP); (6) Login Reject or Login Accept;
(7) Memberikan IP Address atau akses ditolak; (8) Akses Jaringan VPN.
Pertama client melakukan proses login request ke VPN server dengan
menginputkan username dan password. Setelah sampai pada VPN server akan
langsung diteruskan ke Kerberos server dengan mengirimkan access request.
PAM akan menginialisasikan request tersebut dengan modul yang telah diinstall
sesuai request VPN server dan PAM akan menjalankan file konfigurasi pada
modul tersebut, sehingga VPN server dapat menggunakan layanan pada
autentikasi Kerberos. Setelah sampai pada Kerberos server, maka AS_REQ akan
melakukan pengecekkan username dan password pada database-nya. Jika
terdaftar dalam database maka AS_REP akan mereplay dan membawa TGT yang
berisi nama client dan session key ke VPN server. Pada proses request dan replay
tersebut akan dikemas dan dienkripsi dengan menggunakan kunci rahasia client
(password) sehingga hanya KDC yang dapat mendeskripsikannya. Setelah
menerima TGT, VPN server akan memberikan IP tunnel pada client untuk dapat
mengakses jaringan VPN, jika nama client dan session key itu benar dan jika tidak
terdaftar atau tidak benar maka akses akan ditolak.
17
5.
Simpulan
Berdasarkan hasil analisa dan implementasi autentikasi pada VPN
menggunakan Kerberos yang telah dilakukan, maka dapat diambil kesimpulan
sebagai berikut : (1) Software OpenVPN mempermudah dalam konfigurasi dan
pembuatan jaringan VPN; (2) Protokol Kerberos digunakan dalam penelitian ini
sebagai autentikasi pada teknologi jaringan VPN; (3) Autentikasi Kerberos dapat
diimplementasikan pada jaringan VPN dengan menggunakan modul pada library
PAM; (4) Berdasarkan hasil pengujian koneksi, autentikasi Kerberos berjalan
dengan baik dan tidak terjadi error, ketika client melakukan koneksi pada jaringan
VPN. Saran pengembangan yang dapat diberikan untuk penelitian lebih lanjut
adalah sebagai berikut : (1) Dapat dikembangkan dengan melakukan pengujian
pada keamanan teknologi jaringan VPN dengan menggunakan autentikasi
Kerberos; (2) Autentikasi pada VPN tidak hanya menggunakan autentikasi
Kerberos yang digunakan, tetapi dapat menggunakan autentikasi lain, misalnya
autentikasi TACACS, LDAP dan sebagainya.
6.
Daftar pustaka
[1]
Patiallo, Tri S., Sembiring, Irwan., Chandra, Dian W., 2010, Implementasi
dan Analisa Keamanan Authentikasi pada Virtual Private Network (VPN)
Menggunakan Remote Authentication Dial In User Service (RADIUS),
Skripsi, Salatiga : Universitas Kristen Satya Wacana.
MS, Lusi Teguh., Sembiring, Irwan., Bayu, Teguh I., 2011, Analisis
Authentikasi Kerberos pada Samba LDAP (Lightweight Directory Access
Protocol), Skripsi, Salatiga : Universitas Kristen Satya Wacana.
Ratmoko, Hari., Nurhadiyono, Bowo., 2014, Analisis Implementasi
Keamanan Jaringan Virtual Private Network (VPN) pada PT.Layar Sentosa
Shipping Corporation, Jurnal, Semarang : Universitas Dian Nuswantoro.
Sugiarto, Suggy J., Falahab., 2014, Pemanfaatan OpenVPN Pada Model
Bisnis AS Service, Skripsi, Bandung : Universitas Widyatama.
Abdurrahman, Luthfi., Soeharwinto., Fahmi., 2012, Implementasi Sistem
Single Singn-On Menggunakan OpenAM Dengan Otentikasi Kerberos dan
OpenLDAP, Skripsi, Medan : Universitas Sumatera Utara.
Redhat, 2015, Chapter 2. Using Pluggable Authentication Modules (PAM),
https://access.redhat.com/documentation/enUS/Red_Hat_Enterprise_Linux/6/html/Managing_Smart_Cards/Pluggable_
Authentication_Modules.html. Diakses tanggal 25 Maret 2015.
[2]
[3]
[4]
[5]
[6]
18
(VPN) Menggunakan Kerberos
Artikel Ilmiah
Kuncoro Satriyo (672010279)
Irwan Sembiring, S.T., M.Kom.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Mei 2015
Implementasi Autentikasi pada Virtual Private Network
(VPN) Menggunakan Kerberos
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
untuk memperoleh Gelar Sarjana Komputer
Peneliti :
Kuncoro Satriyo (672010279)
Irwan Sembiring, S.T., M.Kom.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Mei 2015
Lembar Persetujuan
Lembar Pengesahan
Lembar Pernyataan Persetujuan Akses
Lembar Tidak Plagiat
Lembar Pernyataan
Lembar Persetujuan Publish Jurnal
Implementasi Autentikasi pada Virtual Private Network (VPN)
Menggunakan Kerberos
1)
Kuncoro Satriyo, 2) Irwan Sembiring
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Jl. Diponegoro 52-60, Salatiga 50711, Indonesia
Email : 1) Kunsatriyo28@gmail.com, 2) Irwan@staff.uksw.edu
Abstract
Virtual Private Network (VPN) is some tool for sharing resource between computer on
network. VPN is some private network by using public network (in this case internet) by
using tunneling technology and safety procedure. Internet consuming as public network
are certain many kind risk on data stealing, because the network is general opened so
confidentiality and authentication problem on sending data is also opened. One of the
safety technique that we can use is kerberos. Kerberos is one of protocol on the
communication network system that guarantee authentication develop by Massachusett
Institute of Technology (MIT). In this research, conducted at the VPN implementation
using Kerberos authentication. Kerberos authentication implemented on a VPN using
library Pluggable Authentication Modules (PAM). Testing does is the testing of VPN
network connectivity and analyze the workings of the VPN authentication process by
using Kerberos.
Keywords: VPN, Authentication, Kerberos, PAM, Network Security
Abstrak
Virtual Private Network (VPN) adalah suatu sarana untuk sharing resource baik antar
komputer maupun jaringan. VPN merupakan suatu jaringan private yang menggunakan
sarana jaringan publik (dalam hal ini internet) dengan memakai teknologi tunneling dan
prosedur pengamanan. Pemakaian internet sebagai jaringan publik banyak mengandung
resiko terhadap pencurian data, karena jaringannya terbuka untuk umum, maka masalah
kerahasiaan dan autentikasi atas data yang dikirim pun juga terbuka. Salah satu teknik
pengamanan yang dapat digunakan untuk keamanan tersebut adalah kerberos. Kerberos
merupakan salah satu protokol dalam sistem jaringan komunikasi yang menjamin
autentikasi yang dikembangkan oleh Massachusets Insitute of Technology (MIT). Dalam
penelitian ini, dilakukan implementasi autentikasi pada VPN menggunakan Kerberos.
Autentikasi kerberos diimplementasikan pada VPN menggunakan library Pluggable
Authentication Modules (PAM). Pengujian yang dilakukan adalah pengujian terhadap
konektivitas jaringan VPN dan melakukan analisa cara kerja dari proses autentikasi pada
VPN dengan menggunakan Kerberos.
Kata Kunci: VPN, Autentikasi, Kerberos, PAM, Keamanan Jaringan
1)
Mahasiswa Fakultas Teknologi Informasi Jurusan Teknik Informatika, Universitas Kristen Satya
Wacana Salatiga.
2)
Staff Pengajar Fakultas Teknologi Infomasi, Universitas Kristen Satya Wacana Salatiga.
1.
Pendahuluan
Virtual Private Network (VPN) adalah suatu jaringan private yang
menggunakan sarana jaringan komunikasi publik (dalam hal ini internet) dengan
memakai teknologi tunneling dan prosedur pengamanan. Internet merupakan
sebuah jaringan global dan terbuka, dimana setiap pengguna dapat saling
berkomunikasi dan bertukar informasi. Pemakaian internet sebagai sarana
jaringan publik banyak mengandung resiko terhadap pencurian data, karena
jaringannya terbuka untuk umum, maka masalah kerahasiaan dan autentikasi atas
data yang dikirim pun juga terbuka. Karena VPN menggunakan jaringan internet,
maka dibutuhkan perhatian yang serius pada keamanan autentikasi atas data yang
dikirim. Oleh karena itu, diperlukan tindakan yang tepat untuk mencegah
terjadinya hal-hal yang tidak diinginkan seperti penyadapan, hacking dan tindakan
cyber crime pada jaringan VPN. Autentikasi merupakan pengesahan identitas user
yang diawali dengan mengirimkan kode unik berupa username dan password
yang bertujuan untuk memastikan bahwa user yang meminta service adalah user
yang sah.
Terdapat beberapa metode yang dapat digunakan untuk pengamanan data
pada teknologi jaringan VPN. Dalam penelitian ini, metode yang akan digunakan
untuk pengamanan data tersebut adalah AAA (Authentication, Authorization,
Accounting). AAA merupakan program server yang bertugas untuk menangani
permintaan akses ke suatu komputer dengan menyediakan proses otentikasi,
otorisasi dan akuntansi. Terdapat tiga protokol AAA yang dapat digunakan antara
lain Remote Authentication Dial In User Service (RADIUS), Terminal Access
Controller Access Control System (TACACS) dan Kerberos.
Dalam penelitian ini, protokol AAA yang digunakan adalah Kerberos yang
bertujuan untuk memungkinkan user/client dan service untuk saling
mengautentikasi satu dengan yang lainnya dan saling menunjukkan identitasnya,
dan juga untuk dapat mengatasi serangan-serangan keamanan yang tidak dapat
diatasi oleh sistem autentikasi konvensional (password based). Protokol kerberos
digunakan untuk melakukan proses autentikasi pada user sebelum terhubung ke
jaringan VPN. Mekanisme autentikasi oleh kerberos dilakukan dengan
menggunakan kunci privat yang dibagi (shared) antara client dan server. Kunci
privat tersebut dikeluarkan oleh pihak ketiga yang dipercayai bersama (trusted
third party). Kerberos merupakan solusi yang diharapkan untuk mengatasi
masalah keamanana pada teknologi jaringan VPN, dimana kerberos
memungkinkan client untuk dapat melakukan koneksi pada server yang dituju
menggunakan sebuah kunci privat.
2.
Kajian Pustaka
Adapun penelitian terdahulu yang berkaitan dalam penelitian ini adalah
penelitian dengan judul Implementasi dan Analisa Keamanan Autentikasi pada
Virtual private Network (VPN) Menggunakan Remote Authenticatian Dial In
User Service (RADIUS) . Penelitian ini menggunakan RADIUS untuk keamanan
autentikasi pada teknologi jaringan VPN. Hasil dari penelitian tersebut, dengan
menggunakan RADIUS keamanan autentikasinya tergantung pada password,
1
karena hal-hal penting lainnya seperti username, IP client RADIUS dan IP client
PPTP dapat ditemukan melalui hasil capture jaringan[1].
Penelitian dengan judul Analisa Autentikasi Kerberos pada Samba LDAP
(Lightweight Directory Access Protocol) juga merupakan salah satu penelitian
yang berkaitan dengan penelitian ini. Dalam penelitian tersebut, dilakukan analisis
cara kerja autentikasi kerberos pada Samba LDAP, dengan melihat apakah dengan
menggunakan kerberos dapat memberikan solusi keamanan pada client untuk
mengakses file sharing samba. Hasil dari penelitian tersebut, kerberos
memberikan solusi keamanan autentikasi pada client saat mengakses file sharing
samba, sehingga terhindar dari serangan keamanan yang tidak diinginkan[2].
Penelitian lain yang berkaitan dengan penelitian ini adalah penelitian
dengan judul Analisis Implementasi Keamanan Jaringan Virtual Private Network
(VPN) pada PT.Layar Sentosa Shipping Corporation . Pada penelitian tersebut,
dilakukan pengujian terhadap konektivitas jaringan dan tingkat keamanan pada
VPN. Hasil dari penelitian tersebut adalah dalam pengujian konektivitas jaringan,
bandwidth merupakan faktor utama yang menentukan baik-buruknya konektivitas
dalam jaringan. Sedangkan pada pengujian tingkat keamanan VPN, penyerang
berhasil menembus akses login client ke server VPN, dengan melakukan hacking
untuk mendapatkan username dan password dengan menggunakan tools yang ada
pada aplikasi linux backtrack[3].
Mengacu pada penelitian terdahulu, maka akan dilakukan penelitian yang
berjudul Implementasi Autentikasi pada Virtual Private Network (VPN)
Menggunakan Kerberos. Dalam penelitian ini, autentikasi kerberos
diimplementasikan pada VPN dengan meggunakan modul yang ada pada library
Pluggable Authentication Modules (PAM) untuk menghubungkan server VPN
dan server Kerberos, sehingga autentikasi kerberos dapat berjalan pada VPN.
Dengan menggunakan kerberos pada VPN diharapkan dapat menjamin keamanan
autentikasi, sehingga user/client dapat mengirim dan mengakses informasi secara
aman dan terlindung dari kemungkinan disusupi oleh pengakses yang tidak
diinginkan.
Virtual Private Network (VPN) adalah suatu jaringan private yang
menggunakan sarana jaringan komunikasi publik (dalam hal ini Internet) dengan
memakai teknologi tunneling dan prosedur pengamanan. VPN dapat mengirim
data antara dua komputer yang melewati jaringan publik sehingga seolah-olah
terhubung secara point to point. Data dienkapsulasi (dibungkus) dengan header
yang berisi informasi routing mendapatkan koneksi point to point sehingga data
dapat melewati jaringan publik dan dapat mencapai akhir tujuan. Proses
enkapsulasi data sering disebut tunneling [1].
Tunneling merupakan sebuah terowongan atau metode yang digunakan
untuk transfer data antar jaringan dengan memanfaatkan jaringan internet secara
terselubung. Sistem kerja tunneling hanya melihat dua point atau ujung, oleh
karenanya paket yang dikirimkan melalui tunnel hanya akan melakukan satu kali
lompatan atau hop. Paket yang dikirimkan melalui protokol tunneling akan
dienkapsulasi (dibungkus) dalam header tambahan terlebih dahulu. Header
tambahan tersebut berisi informasi routing sehingga paket data yang dikirim dapat
melewati jaringan internet, jalur yang akan dilalui data melalui internet itulah
2
yang disebut tunnel. Saat data sudah terkirim sampai ke jaringan tujuan akan
dilakukan proses dekapsulasi dan setelah itu data original akan diteruskan ke
penerima akhir[4].
Teknologi VPN menyediakan tiga fungsi utama untuk penggunaannya.
Fungsi utama tersebut adalah sebagai berikut[1] :
1. Confidentially (Kerahasiaan)
Dengan digunakannya jaringan publik yang rawan pencuriaan data, maka
teknologi VPN menggunakan sistem kerja dengan cara mengenkripsi semua
data yang lewat melaluinya.
2. Data Intergrity (Keutuhan data)
VPN memiliki teknologi yang dapat menjaga keutuhan data yang client
kirim, agar sampai ke tujuannya tanpa cacat, hilang, rusak, ataupun
dimanipulasi oleh orang lain.
3. Origin Authentication (Autentikasi sumber)
Teknologi VPN memiliki kemampuan untuk melakukan autentikasi
terhadap sumber-sumber pengirim data yang akan diterimanya.
OpenVPN merupakan salah satu jenis aplikasi penyedia layanan VPN yang
bersifat gratis dengan menggunakan SSL untuk menangani tunneling. OpenVPN
memiliki dukungan yang luas terhadap berbagai macam produk-produk open
source, terutama untuk aplikasi-aplikasi yang menangani proses enkripsi
SSL/TLS dan otentikasi.
Kerberos merupakan salah satu protokol dalam sistem jaringan komurnikasi
yang menjamin autentikasi yang dikembangkan oleh Massachusets Insitute of
Technology (MIT). Mekanisme autentikasi kerberos dilakukan dengan
menggunakan kunci privat yang dibagi (shared) antara client dan server. Kunci
privat tersebut dikeluarkan oleh pihak ketiga yang dipercayai bersama (trusted
third party), yang nantinya akan memberikan autentikasi dua arah, baik terhadap
client maupun servernya. Kerberos adalah protokol autentikasi yang
menggunakan sistem kriptografi simetrik. Biasanya menggunakan kriptografi
DES ataupun triple DES dan bahkan telah dirancang menggunakan AES.
Protokol kerberos dibangun berdasarkan kriptografi kunci simetris dari
protokol Needham-Schroeder dan dalam penggunaannya membutuhkan layanan
dari pusat distribusi kunci (Key Distribution Center atau KDC). KDC merupakan
pihak ketiga yang terpercaya dan terdiri dari dua bagian yang terpisah, yaitu AS
(Autentication Service) dan TGS (Ticket Granting Service). Agar dapat
melakukan aksinya kerberos memiliki tiga subprotokol, protokol tersebut yaitu
sebagai berikut[5] :
1. Autentication Service (AS) Exchange yang digunakan oleh Key
Distribution Center (KDC) untuk menyediakan Ticket-Granting Ticket
(TGT) kepada pengguna dan membuat kunci sesi logon.
2. Ticket-Granting Service (TGS) Exchange yang digunakan oleh KDC
untuk mendistribusikan kunci sesi layanan dan tiket diasosiasikan
dengannya.
3. Client/Server (CS) Exchange yang digunakan oleh pengguna untuk
mengirimkan sebuah tiket sebagai pendaftaran kepada sebuah layanan.
3
Gambar 1 Sesi Autentikasi Kerberos[5]
Gambar 1 merupakan sesi autentikasi Kerberos yang dilakukan antara client
dan server. Cara kerja dari sesi autentikasi tersebut yaitu sebagai berikut[5]:
1. Komputer pengguna kerberos akan mengirimkan sebuah permintaan
terhadap server KDC untuk mengakses TGS dengan menggunakan protokol
AS Exchange. Dalam permintaan tersebut terdapat bukti identitas pengguna
dalam bentuk terenkripsi menggunakan kunci rahasia pengguna.
2. KDC kemudian menerima permintaan dari pengguna Kerberos, lalu mencari
kunci utama (disebut sebagai Master Key) yang dimiliki oleh pengguna
dalam layanan direktori Active Directory (dalam Windows 2000/Windows
Server 2003 atau layanan direktori lainnya seperti LDAP) untuk selanjutnya
melakukan dekripsi terhadap informasi identitas yang terdapat dalam
permintaan yang dikirimkan. Jika identitas pengguna berhasil diverifikasi,
KDC akan meresponnya dengan memberikan TGT dan sebuah kunci sesi
untuk mengakses TGS dengan penggunaan protokol AS Exchange.
3. Pengguna selanjutnya mengirimkan permintaan yang terenkripsi dengan
kunci sesi kepada KDC, permintaan itu mengandung TGT yang sebelumnya
diterima dari KDC dan identifier akses terhadap layanan aplikasi server
target dengan menggunakan protokol TGS Exchange.
4. KDC selanjutnya menerima permintaan, melakukan otentikasi terhadap
layanan dan meresponnya dengan memberikan sebuah tiket dan kunci sesi
untuk mengakses server target kepada pengguna dengan menggunakan
protokol TGS Exchange.
5. Pengguna selanjutnya mengirimkan permintaan terhadap server target yang
mengandung tiket yang didapatkan sebelumnya dengan menggunakan
protokol CS Exchange. Server target kemudian melakukan otentikasi
terhadap tiket yang bersangkutan, membalasnya dengan sebuah kunci sesi
dan pengguna akhirnya dapat mengakses layanan yang tersedia dalam
server.
Pluggable Authentication Modules (PAM) merupakan suatu library yang
terdapat pada Linux yang dapat membuat seorang administrator mampu
menambahkan autentikasi baru dengan menginstall modul-modul yang ada pada
library PAM. Dengan menggunakan library PAM seorang administrator tidak
perlu mengkonfigurasi fungsi untuk autentikasi yang digunakan pada aplikasi
server. Modul pada library PAM berisi kode program yang fungsinya
4
mengimplementasikan suatu primitives didalam satu atau lebih facilities yang
membentuk satu mekanisme untuk layanan autentikasi seperti UNIX password
database, NIS, LDAP, RADIUS dan sebagainya.
Ada beberapa kelebihan yang dimiliki PAM yaitu sebagai berikut[6] : (1)
PAM menyediakan skema autentikasi umum yang dapat digunakan pada berbagai
macam aplikasi; (2) PAM menyediakan fleksibilitas yang signifikan dan kontrol
atas autentikasi, baik untuk sistem administrator dan pengembang aplikasi; (3)
PAM menyediakan library yang memungkinkan pengembang untuk menulis
program tanpa harus membuat skema autentikasi sendiri.
3.
Metode dan Perancangan Sistem
Metode yang digunakan pada penelitian ini yaitu metode PPDIOO
(Prepare, Plan, Desaign, Implement, Operate and Optimize). Metode PPDIOO
adalah sebuah metode penelitian yang dikembangkan oleh Cisco System. Pada
metode ini ada beberapa tahap dalam membangun sebuah jaringan. Dengan
adanya tahapan-tahapan pada perancangan dan desain sistem, maka akan lebih
mudah dalam pengerjaan serta mempermudah dalam menganalisis sistem. Metode
ini dipilih karena cocok dengan sistem dan pengujian yang akan dilakukan.
Gambar 2 Skema Metodelogi PPDIOO
Gambar 2 merupakan skema metodelogi PPDIOO yang terdiri dari 6 fase
yaitu sebagai berikut[2] :
1. Prepare adalah tahap dimana rencana kerja disusun agar penelitian dapat
terorganisir dengan baik. Pada tahapan ini akan dikumpulkan data-data yang
berkaitan dengan kebutuhan sistem yang sesuai dengan tujuan dari
penelitian ini. Pengumpulan data kebutuhan tersebut antara lain spesifikasi
akan kebutuhan perangkat keras atau lunak yang akan dipakai dalam
penelitian ini.
2. Plan adalah tahap dimana akan dirancang mekanisme autentikasi kerberos
pada VPN dan tahapan yang dijadikan sebagai parameter dan perlu
mendapat perhatian sebelum merancang sebuah jaringan komputer yaitu :
a) Menganalisis kebutuhan alat jaringan yang akan digunakan dalam
perancangan topologi jaringan.
b) Mendesain topologi sesuai dengan kebutuhan penelitian.
c) Implementasi jaringan lokal berdasarkan hasil analisis kebutuhan.
5
3. Design adalah tahapan dimana akan digambarkan desain secara logis dari
perancangan implementasi VPN menggunakan autentikasi kerberos.
Topologi jaringan pada penelitian ini dapat dilihat pada Gambar 5 :
Gambar 3 Topologi Jaringan
Berdasarkan Gambar 3, maka laptop 1 bertindak sebagai client, laptop 2
sebagai VPN server dan Kerberos server, dan laptop 3 sebagai jaringan
LAN yang akan dituju oleh client.
Pada fase design, juga dilakukan perancangan untuk proses autentikasi pada
VPN menggunakan autentikasi kerberos. Perancangan ini diperlukan agar
proses implementasi lebih sistematis dan terarah. Flowchart proses
autentikasi pada VPN menggunakan kerberos dapat dilihat pada Gambar 6.
Gambar 4 Proses Authentikasi pada VPN Menggunakan Kerberos
Proses autentikasi yang terjadi seperti pada Gambar 4 adalah Langkah
pertama client menginputkan username dan password, kemudian diteruskan
ke server VPN, setelah itu PAM menghubungkan server VPN dengan
autentikasi Kerberos, agar server VPN dapat mengirimkan username dan
password yang diinputkan oleh client untuk diautentikasi terlebih dahulu ke
server Kerberos, agar dapat mengetahui benar tidaknya informasi atau
identitas client dengan database Kerberos server, setelah diautentikasi dan
identitasnya benar maka akan dikembalikan ke VPN server dan client akan
mendapatkan IP tunnel. Setelah mendapatkan IP tunnel, client bisa masuk
ke jaringan LAN dan bisa mengakses data dari jaringan LAN tersebut.
4. Implement adalah tahapan dimana perangkat yang telah terintegrasi dalam
desain sistem akan diterapkan pada perangkat fisik. Proses implementasinya
6
akan dilakukan langsung pada server. Server VPN akan dikonfigurasi sesuai
dengan kebutuhan pada penelitian ini.
5. Operate adalah tahapan pengujian sistem yang dilakukan pada waktu nyata
serta melakukan proses monitoring. Pada tahap operate dapat dilakukan
proses perbaikan pada sistem yang sudah dibuat, hal ini akan disesuaikan
dengan analisis yang dilakukan pada sistem yang dibuat. Pada tahap ini
dapat dilakukan pemecahan masalah yang timbul selama proses yang
mengakibatkan tidak berjalannya proses komunikasi secara baik dalam
jaringan.
6. Optimize adalah tahap terakhir dimana setelah melakukan implementasi dan
analisis, sistem dapat diperbaharui sesuai dengan kebutuhan agar sistem
menjadi lebih baik dari sebelumnya, karena mungkin saja sebelumnya
sistem tidak dapat bekerja dengan sempurna. Tahapan ini juga dilakukan
penilaian terhadap sistem yang dibangun apakah sudah sesuai dengan tujuan
awal serta pencapaian yang sudah dilakukan.
4.
Hasil dan Pembahasan
Pada bagian hasil dan pembahasan akan dibahas mengenai tahap
implementasi yang akan dilakukan berdasarkan analisis dan perancangan yang
telah dibuat. Setelah implementasi selesai dilakukan, maka akan dilakukan
pengujian terhadap VPN yang menggunakan autentikasi kerberos yang telah
dibangun.
Dalam konfigurasi jaringan dilakukan pengalamatan IP terhadap server dan
client sesuai dengan topologi jaringan yang telah dibangun. Adapun pengalamatan
IP terhadap VPN server, Kerberos server, client dan client dalam jaringan LAN
dapat dilihat pada Gambar 5 dan Gambar 6.
Gambar 5 Topologi Jaringan VPN
Berdasarkan Gambar 5, VPN dan Kerberos server memiliki IP publik
192.168.0.1 dengan subnet 255.255.255.0 dan IP publik pada client 192.168.0.2
dengan subnet 255.255.255.0.
Gambar 6 Topologi Logik Jaringan VPN
Gambar 6 merupakan topologi logik pada jaringan VPN yang dibangun.
VPN server akan diberikan IP address 10.10.10.1 dengan subnet 255.255.255.0
dan IP address client akan berada pada range 10.10.10.2-10.10.10.254 dengan
subnet 255.255.255.0.
7
Pada server digunakan sistem operasi Linux Fedora 20 dan juga
menggunakan software OpenVPN untuk VPN servernya. Sebelum
mengkonfigurasi VPN server, sangat penting untuk menyalin berbagai script dan
dokumentasi yang dibutuhkan untuk konfigurasi. Script dan dokumentasi yang
dibutuhkan dipindahkan ke folder /etc/openvpn, karena di folder tersebut
merupakan folder untuk inialisasi file konfigurasi dari openvpn.
Gambar 7 Copy Directory
Gambar 7 merupakan perintah untuk copy folder beserta file yang berada
dalam folder tersebut untuk membuat sertifikat pada folder inialisasi file
konfigurasi dari openvpn. Setelah copy folder tersebut, selanjutnya copy file
server.conf dari folder /usr/share/doc/openvpn/sample/sample-config-files/ ke
folder /etc/openvpn/ seperti pada Gambar 8.
Gambar 8 Copy File
Gambar 8 merupakan perintah untuk copy file server.conf ke folder
openvpn. File tersebut digunakan sebagai file eksekusi yang menandakan bahwa
komputer tersebut merupakan VPN server.
Gambar 9 Edit File
Gambar 9 merupakan perintah untuk mengedit file vars. File vars
merupakan konfigurasi yang paling dasar dalam openvpn dan file tersebut
berisikan informasi penting dalam pembuatan VPN yang akan dibuat. Pada file
tersebut konfigurasi yang dilakukan dapat dilihat pada Gambar 10.
Gambar 10 Konfigurasi File Vars
Berdasarkan Gambar 10, maka konfigurasi yang dilakukan pada file vars
adalah mengubah export KEY_SIZE, export KEY_COUNTRY, export
8
KEY_PROVINCE, export KEY_CITY, export KEY_ORG dan export KEY_EMAIL
sesuai dengan kebutuhan. Apabila file vars telah dikonfigurasi, maka file vars
dapat dijalankan untuk menginialisasi pembuatan sertifikat dan kunci yang
dibutuhkan. Perintah yang digunakan untuk menjalankan file vars dan menghapus
semua konfigurasi yang pernah dibuat dapat dilihat pada Gambar 11.
Gambar 11 Menjalankan File Vars
Setelah file vars dijalankan, langkah selanjutnya membuat Certificate
Authority (CA). CA merupakan sertifikat yang digunakan untuk autentikasi yang
menandakan bahwa itu berasal dari server yang sah. CA dapat dibuat seperti pada
Gambar 12.
Gambar 12 Pembuatan CA
Berdasarkan Gambar 12, maka pada proses pembuatan CA akan diminta
konfirmasi terhadap bagian Country Name, State or Province Name, Locality
Name, Organization Name, Organizational Unit Name, Common Name, Name
dan Email Address, bagian tersebut merupakan hal yang diubah pada file vars
sebelumnya. Apabila informasi-informasi pada bagian tersebut telah sesuai, maka
tidak perlu mengisi ulang informasi tersebut. Akan tetapi, apabila informasi
terdapat kesalahan, maka dapat mengisi ulang dengan informasi yang benar dan
sesuai.
Gambar 13 Pembuatan Server Key
9
Gambar 13 merupakan perintah untuk membuat kunci untuk server.
Pembuatan kunci untuk server hanya diperbolehkan mempunyai satu kunci. Kunci
server merupakan kunci private asymmetric encryption yang harus dimiliki oleh
server.
Gambar 14 Proses Pembuatan Server Key
Gambar 14 merupakan proses dari pembuatan kunci untuk server. Pada
proses pembuatan kunci tersebut, akan diminta konfirmasi seperti pembuatan CA
tadi. Apabila informasi-informasi pada bagian yang dikonfirmasi tersebut telah
sesuai, maka tidak perlu mengisi ulang informasi tersebut. Akan tetapi, apabila
informasi terdapat kesalahan, maka dapat mengisi ulang dengan informasi yang
benar dan sesuai.
Gambar 15 Pembuatan Client Key
Gambar 15 merupakan perintah membuat kunci untuk client. Sama halnya
dengan pembuatan kunci pada server, proses pembuatan kunci untuk client akan
mengeneralisasi informasi-informasi yang dibutuhkan seperti pada Gambar 16.
Gambar 16 Proses Pembuatan Client Key
10
Gambar 16 merupakan proses dari pembuatan kunci untuk client. Pada
proses pembuatan kunci tersebut, akan diminta konfirmasi seperti pembuatan
kunci pada server tadi. Apabila informasi-informasi pada bagian yang
dikonfirmasi tersebut telah sesuai, maka tidak perlu mengisi ulang informasi
tersebut. Akan tetapi, apabila informasi terdapat kesalahan, maka dapat mengisi
ulang dengan informasi yang benar dan sesuai.
Pada pembuatan kunci untuk client diperbolehkan mempunyai lebih dari
satu kunci, sedangkan pembuatan kunci untuk server hanya diperbolehkan satu
kunci. Kunci server maupun kunci client merupakan kunci private asymmetric
encryption yang harus dimiliki oleh server maupun client. Kunci pada client
merupakan sinkronisasi dari kunci server yang terdapat pada server VPN dan
menandakan bahwa client tersebut merupakan client dari VPN tersebut.
Gambar 17 Pembuatan DH Key
Gambar 17 merupakan proses dari pembuatan kunci Diffie-Hellman (DH).
Kunci DH merupakan metode enkripsi dengan algoritma kunci publik (public key
distribution system), yang memungkinkan dua belah pihak yang tidak memiliki
koneksi sebelumnya untuk dapat membentuk suatu kunci rahasia untuk
menciptakan komunikasi yang aman.
Setelah semua kunci telah terbentuk, maka selanjutnya server dapat
dikonfigurasi dengan mengedit isi file server.conf yang berada di folder
/etc/openvpn/server.conf sesuai dengan kebutuhan jaringan VPN yang ingin
dibangun. Pada file server.conf yang harus di edit dapat dilihat pada Tabel 1.
Tabel 1 Edit File Server.conf
PARAMETER
Server
Port 1194
Proto tcp
Dev tap
Ca /etc/openvpn/keys/ca.crt
Cert /etc/openvpn/keys/server.crt
Key /etc/openvpn/keys/server.key
Dh /etc/openvpn/keys/dh1024.pem
KETERANGAN
Menunjukkan sebagai server.
Port yang akan dibuka untuk VPN (1194
merupakan port untuk OpenVPN.
Protokol yang digunakan adalah TCP.
Akan menciptakan tunnel.
Sertifikat
dan
kunci-kunci
yang
digunakan server, serta tempat beradanya
sertifikat dan kunci tersebut.
Parameter Diffie-Hellman dan tempat
11
Server 10.10.10.0 255.255.255.0
Ifconfig-pool-persist ipp.txt
Push
route
192.168.1.0
255.255.255.0
Client-to-client
Keepalive 10 120
Comp-lzo
Max-clients 10
User nobody
Group nogroup
Persist-key
Persist-tun
Status /var/log/openvpn-status.log
Verb 4
Mute 10
Plugin /usr/lib/openvpn/openvpnauthpam.so login
beradanya parameter Diffie-Hellman.
Mode konfigurasi server dan suplai dari
subnet VPN.
Record perbaikan dari client.
Melakukan routing ke jaringan intranet
dengan alamat 192.168.1.0/24.
Mengizinkan client untuk dapat melihat
satu sama lain.
Menjaga agar komunikasi dapat terjaga,
dengan asumsi sistem akan ping selama
10 detik apabila pada jangka waktu 120
detik tidak diterima ping.
Menghidupkan kompresi pada jalur
VPN.
Jumlah client yang diizinkan.
Untuk mengurangi hak istimewa daemon
OpenVPN.
Berguna untuk menghindari akses
sumber daya tertentu pada restart yang
mungkin tidak dapat diakses lagi karena
downgrade hak istimewa.
Log dari status koneksi VPN.
Untuk penggunaan umum.
Tidak mengulangi pesan. Maksimal 10
pesan dari kategori pesan yang sama
akan menjadi output untuk log.
Menggunakan plugin untuk autentifikasi
client.
Parameter Plugin /usr/lib/openvpn/openvpn-authpam.so login pada
server.conf merupakan modul pada library PAM yang berfungsi untuk
menghubungkan OpenVPN server dengan Kerberos server agar autentikasi
Kerberos dapat berjalan pada jaringan VPN. Pada saat server VPN mengirimkan
request pada Kerberos, PAM akan menginialisasikan request tersebut dengan
modul yang telah diinstall sesuai request VPN server dan PAM akan menjalankan
file konfigurasi pada modul tersebut, sehingga VPN server dapat menggunakan
layanan pada autentikasi Kerberos.
Setelah konfigurasi pada server selesai, maka akan dilakukan konfigurasi
pada sisi client. Pada client digunakan sistem operasi Windows 7 dan juga
menggunakan software OpenVPN GUI untuk VPN clientnya. Sebelum
melakukan konfigurasi pada client, sangat penting copy sertifikat dan kunci client
yang telah dibuat dari server. Sertifikat dan kunci tersebut yaitu ca.crt, client1.crt
dan client1.key, simpan file tersebut kedalam folder C:/program
files/openvpn/config. Selanjutnya edit file client.ovpn dan sesuaikan dengan
konfigurasi yang ada pada server. Konfigurasi pada file client.ovpn dapat dilihat
pada Tabel 2.
12
Tabel 2 Edit File Client.ovpn
PARAMETER
Client
Proto tcp
Dev tap
Remote 192.168.0.1 1194
Resolve-retry infinite
Ca ca.crt
Cert client1.crt
Key client1.key
Nobind
Persist-key
Persist-tun
Auth-user-pass
Comp-lzo
Verb 4
KETERANGAN
Menunjukkan sebagai client.
Protokol yang digunakan adalah TCP
Akan menciptakan tunnel
Agar client dapat terkoneksi dengan
server
Untuk mencoba menjaga koneksi dengan
server
Sertifikat
dan
kunci-kunci
yang
digunakan client
Client tidak perlu mengingat port
Berguna untuk menghindari akses
sumber daya tertentu pada restart yang
mungkin tidak dapat diakses lagi karena
downgrade hak istimewa.
Menggunakan autentikasi untuk client
yang berupa username dan password.
Menghidupkan kompresi pada jalur
VPN.
Untuk penggunaan umum.
Untuk menjalankan openvpn pada server VPN dapat dilakukan seperti pada
Gambar 18. Pada Gambar tersebut menunjukkan tidak terjadi kesalahan pada saat
openvpn dijalankan, maka konfigurasi yang dilakukan benar, apabila statusnya
menunjukkan kesalahan pada saat openvpn dijalankan, maka pada konfigurasi
masih terdapat kesalahan.
Gambar 18 Start VPN
Gambar 19 Network pada Server
13
Gambar 19 merupakan network yang terbentuk pada server. Pada gambar
tersebut dapat dilihat kalau server memiliki interface tap0 dengan IP address
10.10.10.1. Hal ini menandakan bahwa network VPN telah terbentuk. Untuk
menjalankan OpenVPN pada client dapat dilakukan seperti pada Gambar 20.
Gambar 20 Mengkoneksikan ke Server VPN
Sebelum client terkoneksi dengan server VPN , indikator openvpn akan
menunjukkan warna merah. Berdasarkan Gambar 20, maka untuk mulai koneksi
click kanan pada icon openvpn yang ada pada taskbar menu, setelah itu pilih
connect agar dapat terkoneksi ke server VPN.
Gambar 21 Login ke Server VPN
Gambar 21 merupakan proses koneksi ke server VPN dengan menginputkan
username dan password. Jika client telah terkoneksi, maka secara otomatis akan
mendapatkan IP address, namun sebelum terkoneksi client terlebih dahulu
diautentikasi ke Kerberos server. Apabila username dan password benar, maka
client VPN akan mencoba koneksi ke server VPN sampai berhasil dikoneksikan
seperti pada gambar 22.
Gambar 22 Client Berhasil Terkoneksi
14
Gambar 22 merupakan client yang berhasil melakukan koneksi ke server
VPN. Setelah berhasil terkoneksi indikator akan berubah menjadi warna hijau
seperti terlihat pada Gambar 23.
Gambar 23 Icon OpenVPN
Setelah client berhasil terkoneksi dengan server VPN, maka akan terbentuk
network baru seperti terlihat pada Gambar 24. Gambar tersebut menunjukkan IP
address yang telah didapat oleh client VPN yang terlihat pada adapter local area
connection 2 dengan IP 10.10.10.8 dan subnet mask 255.255.255.0.
Gambar 24 Network Pada Client
Client yang berhasil terkoneksi akan dicatat pada Log dari OpenVPN dan
Kerberos server seperti terlihat pada Gambar 25 dan Gambar 26. Log tersebut
berfungsi untuk mencatat dan menyimpan data client ketika melakukan login pada
VPN. Pada Log tersebut dapat dilihat client yang melakukan login pada VPN
adalah vebri.
Gambar 25 Log Autentikasi Kerberos
15
Gambar 26 Log OpenVPN
Setelah client terkoneksi dengan server VPN dilanjutkan dengan tes koneksi
dari client ke server dan sebaliknya. Tes koneksi yang dilakukan dengan
melakukan perintah ping.
Gambar 27 Tes Koneksi Client ke Server
Gambar 28 Tes Koneksi Server ke Client
Gambar 27 dan Gambar 28 merupakan tes koneksi yang telah berhasil dari
client ke server dan server ke client VPN, dimana pada client dilakukan tes
koneksi ke server dengan ping ke IP address 10.10.10.1, dan pada server
dilakukan tes koneksi ke client dengan ping ke IP address 10.10.10.8.
Dalam pengujian autentikasi kerberos cara mudah untuk melakukan testing
dengan menggunakan kinit, seperti pada Gambar 29. Gambar tersebut
menunjukkan testing kerberos untuk riyo dan testing tersebut bekerja dengan
benar karena tidak menunjukkan kesalahan pada proses testing.
Gambar 29 Testing Kerberos
16
Setelah selesai dapat melihat tiket yang diterima dengan menggunakan
perintah klist, seperti pada Gambar 30. Pada Gambar tersebut dapat dilihat nama
client/principal, waktu valid starting dan waktu expires-nya.
Gambar 30 Tiket Kerberos
Gambar 31 Proses Autentikasi
Gambar 31 merupakan proses autentikasi pada VPN menggunakan
autentikasi Kerberos. Pada proses autentikasi tersebut ada beberapa tahap yaitu :
(1) Login Request; (2) Access Request; (3) AS_REQ; (4) Check Database (DB);
(5) Access Reject or Access Accept (AS_REP); (6) Login Reject or Login Accept;
(7) Memberikan IP Address atau akses ditolak; (8) Akses Jaringan VPN.
Pertama client melakukan proses login request ke VPN server dengan
menginputkan username dan password. Setelah sampai pada VPN server akan
langsung diteruskan ke Kerberos server dengan mengirimkan access request.
PAM akan menginialisasikan request tersebut dengan modul yang telah diinstall
sesuai request VPN server dan PAM akan menjalankan file konfigurasi pada
modul tersebut, sehingga VPN server dapat menggunakan layanan pada
autentikasi Kerberos. Setelah sampai pada Kerberos server, maka AS_REQ akan
melakukan pengecekkan username dan password pada database-nya. Jika
terdaftar dalam database maka AS_REP akan mereplay dan membawa TGT yang
berisi nama client dan session key ke VPN server. Pada proses request dan replay
tersebut akan dikemas dan dienkripsi dengan menggunakan kunci rahasia client
(password) sehingga hanya KDC yang dapat mendeskripsikannya. Setelah
menerima TGT, VPN server akan memberikan IP tunnel pada client untuk dapat
mengakses jaringan VPN, jika nama client dan session key itu benar dan jika tidak
terdaftar atau tidak benar maka akses akan ditolak.
17
5.
Simpulan
Berdasarkan hasil analisa dan implementasi autentikasi pada VPN
menggunakan Kerberos yang telah dilakukan, maka dapat diambil kesimpulan
sebagai berikut : (1) Software OpenVPN mempermudah dalam konfigurasi dan
pembuatan jaringan VPN; (2) Protokol Kerberos digunakan dalam penelitian ini
sebagai autentikasi pada teknologi jaringan VPN; (3) Autentikasi Kerberos dapat
diimplementasikan pada jaringan VPN dengan menggunakan modul pada library
PAM; (4) Berdasarkan hasil pengujian koneksi, autentikasi Kerberos berjalan
dengan baik dan tidak terjadi error, ketika client melakukan koneksi pada jaringan
VPN. Saran pengembangan yang dapat diberikan untuk penelitian lebih lanjut
adalah sebagai berikut : (1) Dapat dikembangkan dengan melakukan pengujian
pada keamanan teknologi jaringan VPN dengan menggunakan autentikasi
Kerberos; (2) Autentikasi pada VPN tidak hanya menggunakan autentikasi
Kerberos yang digunakan, tetapi dapat menggunakan autentikasi lain, misalnya
autentikasi TACACS, LDAP dan sebagainya.
6.
Daftar pustaka
[1]
Patiallo, Tri S., Sembiring, Irwan., Chandra, Dian W., 2010, Implementasi
dan Analisa Keamanan Authentikasi pada Virtual Private Network (VPN)
Menggunakan Remote Authentication Dial In User Service (RADIUS),
Skripsi, Salatiga : Universitas Kristen Satya Wacana.
MS, Lusi Teguh., Sembiring, Irwan., Bayu, Teguh I., 2011, Analisis
Authentikasi Kerberos pada Samba LDAP (Lightweight Directory Access
Protocol), Skripsi, Salatiga : Universitas Kristen Satya Wacana.
Ratmoko, Hari., Nurhadiyono, Bowo., 2014, Analisis Implementasi
Keamanan Jaringan Virtual Private Network (VPN) pada PT.Layar Sentosa
Shipping Corporation, Jurnal, Semarang : Universitas Dian Nuswantoro.
Sugiarto, Suggy J., Falahab., 2014, Pemanfaatan OpenVPN Pada Model
Bisnis AS Service, Skripsi, Bandung : Universitas Widyatama.
Abdurrahman, Luthfi., Soeharwinto., Fahmi., 2012, Implementasi Sistem
Single Singn-On Menggunakan OpenAM Dengan Otentikasi Kerberos dan
OpenLDAP, Skripsi, Medan : Universitas Sumatera Utara.
Redhat, 2015, Chapter 2. Using Pluggable Authentication Modules (PAM),
https://access.redhat.com/documentation/enUS/Red_Hat_Enterprise_Linux/6/html/Managing_Smart_Cards/Pluggable_
Authentication_Modules.html. Diakses tanggal 25 Maret 2015.
[2]
[3]
[4]
[5]
[6]
18