Write Up IPSec Cisco
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
PROOF OF CONCEPT<br />
IMPLEMENTASI IPSEC OVER GRE TUNNEL PADA<br />
CISCO ROUTER<br />
SMAKADUTA<br />
NETWORKERS<br />
Disusun Oleh :<br />
Andreas Abi Permana<br />
03<br />
XI TKJ A<br />
SMK N 2 Surakarta
KONSEP DASAR<br />
Tunnel<br />
Tunnel adalah sebuah metode penyelubungan (encapsulation) paket data di<br />
jaringan.Paket data mengalami sedikit pengubahan atau modifikasi, yaitu<br />
penambahan header dari tunnel. Ketika data sudah melewati tunnel dan sampai di<br />
tujuan (ujung) tunnel, maka header dari paket data akan dikembalikan seperti semula<br />
(header tunnel dilepas).<br />
GRE Tunnel<br />
GRE (Generic Routing Encapsulation) atau IP tunneling (IP encapsulation)<br />
adalah teknik enkapsulasi packet IP di dalam packet IP. Lebih mudahnya, dengan<br />
GRE kita bisa menciptakan “terowongan” sebagai jalur data khusus untuk<br />
meneruskan sebuah packet melalui jaringan komputer, baik itu jaringan komputer<br />
pribadi ataupun publik. Jadi, walaupun “terowongan” tadi melewati banyak hop,<br />
namun oleh packet dianggap sebagai 1 hop saja, yaitu pintu masuk tunnel dan pintu<br />
keluar tunnel.
VPN<br />
VPN (Virtual Private Network) dalam arti yang sederhana ialah koneksi secara<br />
logical yang menghubungkan dua node melalui public network. Koneksi logical<br />
tersebut bisa merupakan layer 2 ataupun layer 3 dalam basis OSI Layer. Begitu juga<br />
dengan teknologi VPN yang dapat diklasifikasikan atas Layer 2 VPN atau Layer 3<br />
VPN.<br />
Secara konsep, baik Layer 2 VPN ataupun Layer 3 VPN ialah sama, yaitu<br />
menambahkan “delivery header” dalam paket data yang menuju ke site tujuan. Untuk<br />
Layer 2 VPN, delivery header-nya berada di Layer 2. Sedangkan untuk Layer 3,<br />
delivery header-nya berada di Layer 3. ATM dan Frame Relay adalah contoh dari<br />
Layer 2 VPN. GRE, L2TP, MPLS, dan <strong>IPSec</strong> adalah contoh dari Layer 3 VPN.<br />
<strong>IPSec</strong> VPN<br />
<strong>IPSec</strong> protocol diciptakan oleh kelompok kerja <strong>IPSec</strong> dibawah naungan IETF.<br />
Arsitektur dan komponen fundamental dari <strong>IPSec</strong> VPN seperti yang didefinisikan<br />
oleh RFC2401 adalah:<br />
• Security protocols => Authentication Header (AH) dan encapsulation security<br />
payload (ESP)<br />
• Key management => ISA KMP, IKE, SKEME<br />
• Algorithms => enkripsi dan authentikasi<br />
Enkripsi ialah proses transformasi dari plain text/data asli ke dalam data<br />
terenkripsi yang menyembunyikan data asli. Untuk melihat (dekripsi) data asli,<br />
penerima data yang terenkripsi harus mempunyai kunci/key yang cocok dengan yang<br />
telah didefinisikan oleh pengirim. Dekripsi ialah kebalikan dari enkripsi, yaitu proses<br />
transformasi dari data yang terenkripsi ke bentuk data asli.
Algoritma Kriptografi atau yang biasa disebut cipher adalah fungsi/perhitungan<br />
matematis yang digunakan untuk enkripsi dan dekripsi.<br />
Algoritma Kriptografi terbagi dua jenis:<br />
• Symmetric<br />
Pada metode ini, pengirim maupun penerima menggunakan kunci rahasia yang<br />
sama untuk melakukan enkripsi dan dekripsi data. DES, 3DES, dan AES<br />
adalah beberapa algoritma yang popular<br />
• Asymmetric<br />
Metode ini sedikit lebih rumit. Kunci untuk melakukan enkripsi dan dekripsi<br />
berbeda, kunci untuk melakukan enkripsi disebut public key sedangkan untuk<br />
dekripsi disebut private key.<br />
Proses generate, distribusi, dan penyimpanan key disebut key management.<br />
Key management default dari <strong>IPSec</strong> ialah Internet Key Exchange Protocol (IKE).<br />
Security Association adalah blok basic dari <strong>IPSec</strong> yang juga merupakan input dari<br />
SA database (SADB) yang mengandung informasi tentang security yang telah<br />
disepakati untuk IKE atau <strong>IPSec</strong>. SA terdiri dari dua tipe:<br />
• IKE atau ISAKMP SA<br />
• <strong>IPSec</strong> SA<br />
Untuk menuju IKE atau ISAKMP SA, IKE beroperasi dalam dua fase:<br />
• Fase 1<br />
Fase ini menciptakan ISAKMP SA (atau sering juga disebut IKE SA) yang<br />
bertujuan menciptakan secure channel diantara IKE peers sehingga proses<br />
negoisasi fase 2 dapat berjalan lebih secure.<br />
• Fase 2<br />
Fase ini menyediakan proses negotiation dan establishment dari <strong>IPSec</strong> SA<br />
dengan menggunakan ESP atau AH untuk memproteksi lalu lintas data.<br />
IKE fase 1 membutuhkan authentication method. Authentication method sendiri ada<br />
dua tipe, yaitu pre-shared key dan digital signatures.<br />
Pre-shared key authentication<br />
Pada metode ini, baik pengirim atau penerima harus mempunyai pre-shared<br />
key yang sama. Bila pre- shared key tidak sama, maka IKE Tunnel tidak akan<br />
terbentuk.
IMPLEMENTASI<br />
Studi Kasus<br />
Solusi<br />
Konfigurasi IP pada interface<br />
R1<br />
R1#configure terminal<br />
Interface Fa0<br />
R1(config)#interface fa0<br />
R1(config-if)#ip address 202.162.97.1 255.255.255.252<br />
R1(config-if)#no shutdown<br />
Interface Loopback<br />
R1(config)#int lo0<br />
R1(config-if)#ip address 1.1.1.1 255.255.255.255<br />
R2<br />
R2#configure terminal<br />
Interface Fa0<br />
R2(config)#interface fa0<br />
R2(config-if)#ip address 202.162.97.2 255.255.255.252<br />
R2(config-if)#no shutdown<br />
Interface Loopback<br />
R2(config)#int lo0<br />
R2(config)#ip address 2.2.2.2 255.255.255.255
Konfigurasi Tunnel pada masing-masing router<br />
R1<br />
R1#conf t<br />
R1(config)#interface tunnel0<br />
R1(config-if)#ip add 172.16.0.1 255.255.255.0<br />
R1(config-if)#tunnel source 202.162.97.1<br />
R1(config-if)#tunnel destination 202.162.97.2<br />
R2<br />
R2#conf t<br />
R2(config)#interface tunnel0<br />
R2(config-if)#ip add 172.16.0.2 255.255.255.0<br />
R2(config-if)#tunnel source 202.162.97.2<br />
R2(config-if)#tunnel destination 202.162.97.1<br />
• Tunnel source adalah parameter untuk IP local router yang digunakan untuk<br />
membangun koneksi Tunnel<br />
• Tunnel destination adalah parameter dari IP address router lawan.<br />
Konfigurasikan Static Routing Agar antar loopback pada R1 & R2 bisa saling<br />
terkoneksi<br />
R1<br />
R1(config)#ip route 1.1.1.1 255.255.255.255 172.16.0.2<br />
R2<br />
R2(config)#ip route 2.2.2.2 255.255.255.255 172.16.0.1<br />
Konfigurasi ISAKMP – Phase 1<br />
R1<br />
R1(config)# crypto isakmp policy 1<br />
R1(config-isakmp)# encr 3des<br />
R1(config-isakmp)# hash md5<br />
R1(config-isakmp)# authentication pre-share<br />
R1(config-isakmp)# group 2
R2<br />
R2(config)# crypto isakmp policy 1<br />
R2(config-isakmp)# encr 3des<br />
R2(config-isakmp)# hash md5<br />
R2(config-isakmp)# authentication pre-share<br />
R2(config-isakmp)# group 2<br />
• 3DES = Metode enkripsi yang digunakan pada phase 1.<br />
• MD5 = Algoritma hash yang digunakan.<br />
• Pre-Share = Methode Authentikasi Pre-Share.<br />
• Group 2 = Menggunakan group Diffie-Hellman.<br />
Konfigurasi Pre-Shared key untuk authentikasi Router kepada peernya.<br />
R1<br />
R1(config)# crypto isakmp key cobavpn address 202.162.97.2<br />
R2<br />
R2(config)# crypto isakmp key cobavpn address 202.162.97.1<br />
Konfigurasi <strong>IPSec</strong> Transform – Phase 2 Policy<br />
R1<br />
R1(config)# crypto ipsec transform-set VPN esp-3des esp-md5-hmac<br />
R1(cfg-crypto-trans)# mode transport<br />
R2<br />
R2(config)# crypto ipsec transform-set VPN esp-3des esp-md5-hmac<br />
R2(cfg-crypto-trans)# mode transport<br />
• ESP-3DES - Methode Enkripsi.<br />
• MD5 – Algoritma Hashing.<br />
• Mode transport – Mengubah <strong>IPSec</strong> ke mode transport<br />
Membuat Profile dan menghubungkannya dengan ISKMP dan <strong>IPSec</strong> yang<br />
dibuat tadi.<br />
R1<br />
R1(config)# crypto ipsec profile GRE<br />
R1(ipsec-profile)# set security-association lifetime seconds 86400<br />
R1(ipsec-profile)# set transform-set VPN
R2<br />
R2(config)# crypto ipsec profile GRE<br />
R2(ipsec-profile)# set security-association lifetime seconds 86400<br />
R2(ipsec-profile)# set transform-set VPN<br />
Terapkan Konfigurasi Enkripsi <strong>IPSec</strong> pada Interface Tunnel.<br />
R1<br />
R1(config)# interface Tunnel 0<br />
R1(config-if)# tunnel protection ipsec profile GRE<br />
R2<br />
R2(config)# interface Tunnel 0<br />
R2(config-if)# tunnel protection ipsec profile GRE<br />
Untuk memastikan <strong>IPSec</strong> Bejalan lakukan dulu aktifitas pada jaringan yang di<br />
enkripsi, Contoh Melakukan ping<br />
R1<br />
R1#ping 1.1.1.1<br />
Test <strong>IPSec</strong> apakah sudah berjalan<br />
R1<br />
#sh crypto ipsec sa
#sh crypto session<br />
R2<br />
#sh crypto ipsec sa<br />
#sh crypto session