Fundamental Of Network Security - Chapter 11 (VIRTUAL PRIVATE NETWORKS)
Chapter 11:
Virtual Private Networks
Enkripsi Jaringan
Pada Bab 5 membahas cara dimana enkripsi digunakan pada www,
khususnya bagaimana kerahasiaan,
integritas, dan otentikasi yang dicapai dengan SSL ketika digunakan bersama dengan kriptografi public key dan sertifikat digital.
SSL adalah salah satu contoh bagaimana enkripsi dapat digunakan untuk mengamankan koneksi jaringan yang tidak
terpercaya. Contoh lainnya adalah VPN.
Sebelum masuk ke diskusi rinci VPN, kita perlu
menutupi beberapa konsep dasar berkaitan dengan enkripsi sambungan jaringan.
Untuk memulai, ketika menggunakan enkripsi untuk mengamankan koneksi antara dua atau lebih sistem,
umumnya dapat ditangani dengan cara :
Node-to-Node Encryption.
Node-to-Node
Encryption
Node-to-Node Encryption juga disebut sebagai Link-to-Link Encryption. Merujuk kepada
model OSI, data link layer
yang bersangkutan dengan Node-to-Node
Encryption atau Link-to-Link
Encryption.
Sebagai hasil, jika Anda mengenkripsi paket pada data link layer, itu harus didekripsi oleh penerima data link layer sebelum melewati network layer untuk menentukan bagaimana
meneruskan paket.
Ketika enkripsi pada data link layer, paket harus didekripsi dan kembali
dienkripsi untuk masing-masing node-to-node hop sepanjang rute. Node-to-Node Encryption yang beroperasi pada data link layer memerlukan perangkat kompatibel,
berbagi sebuah protokol, dan proses manajemen kunci untuk setiap perangkat jaringan.
Gambar 11.1 konsep Node-to-Node Encryption
Jika perangkat jaringan tidak kompatibel, mereka tidak akan mampu merelay paket-paket. Ini adalah masalah yang harus dipertimbangkan,
karena jika jaringan besar, Manajemen persyaratan akan signifikan.
End-to-End
Encryption
Sebagai alternatif, end-to-end encryption beroperasi pada lapisan atas model OSI dan dapat merangkum data ke
dalam standar protokol jaringan.
Sebagai hasilnya, ada pertimbangan khusus diperlukan untuk hop menengah sepanjang jaringan.
Enkripsi dan dekripsi dari data dienkapsulasi dilakukan di kedua ujung sambungan
Gambar 11.2 konsep dibalik End-to-End Encryption pada jaringan.
Namun, pertimbangan dengan end-to-end encryption
adalah bahwa protokol stack up memindahkan enkripsi, informasi lebih lanjut dapat menyediakan potensi eavesdropper.
Where to
Encrypt
Tingkat keamanan yang dicapai berbeda tergantung pada dimana enkripsi berlangsung. Tingkat keamanan yang diperlukan harus menentukan dimana enkripsi Anda dilakukan. Merujuk lagi pada model OSI (Gambar 11.3),
jika Anda mengenkripsi network layer (layer 3), informasi mengidentifikasi perangkat atau mesin dapat disadap.
Misalnya, informasi tentang sumber alamat
IP dan tujuan dapat dipantau. Informasi ini dapat digunakan untuk analisis lalu lintas jaringan.
Gambar 11.3 Model OSI
Jika enkripsi mengambil tempat lebih
lanjut protokol stack pada transport layer (layer 4) kemudian seseorang menguping komunikasi dapat memberitahu port Anda berkomunikasi dengan sistem penerima.
Dari informasi tersebut, eavesdroppers
dapat menduga protokol apa yang Anda
gunakan.
Misalnya, jika Anda berkomunikasi dengan port 161, maka
kemungkinan besar Anda menggunakan SNMP manajemen jaringan.
Jika Anda berkomunikasi dengan port 25 maka kemungkinan Anda menggunakan SMTP untuk e-mail.
Mengetahui protokol yang berjalan di perangkat atau sistem dapat digunakan untuk merencanakan serangan.
TCP/IP port
adalah koneksi ke server logis yang biasanya menangani layanan/protokol tertentu. Jaringan TCP/IP
sering menyediakan berbagai layanan atau protokol seperti SNMP,
HTTP, atau SMTP. Masing-masing layanan tersedia "listens" untuk sambungan luar pada nomor port tertentu atau menggunakan beberapa port tertentu.
Contoh Tabel 11.1 Daftar Well-Known (nomor port dan layanan terkait mereka)
Nomor port range 1-65.535, dengan port istimewa yang berakhir pada 1.024. Port non privileged
berkisar 1.025-65.535. Kadang-kadang nomor port ditampilkan diakhir
URL. Sebagai contoh : http://www.someurl.com:81.
Dalam contoh ini server menggunakan port 81 untuk alamat URL tertentu.
Ini menunjukkan koneksi nomor port yang TCP/IP gunakan pada Web
Server. Pada application layer
(layer 7) tersedia lebih banyak informasi. Jika e-mail yang dienkripsi dan dikirim pada tingkat ini
mungkin akan aman dari pengungkapan dan modifikasi, tetapi siapapun pemantauan transmisi akan tahu Anda mengirim email, kepada
siapa yang dikirim, dan di mana.
Sebagai hasilnya, ketika mengimplementasikan enkripsi jaringan
Anda harus menentukan mana yang dibutuhkan enkripsi untuk mengambil tempat dan apa yang memadai keamanan
berdasarkan sensitivitas
data.
Virtual
Private Networks (VPNs)
VPN adalah sarana transportasi lalu
lintas secara aman melalui jaringan tanpa jaminan.
VPN
biasanya mencapai dengan menggunakan beberapa kombinasi dari enkripsi, otentikasi, dan tunneling.
"Tunneling" (kadang-kadang disebut enkapsulasi) merujuk kepada proses encapsulating
atau melekatkan satu protocol jaringan yang akan dilaksanakan dalam paket kedua
jaringan.
Ada beberapa implementasi yang berbeda dari protokol VPN.
Ada juga beberapa produk eksklusif yang tersedia di pasar.
Empat kasus protocol yang umum digunakan adalah sebagai berikut :
·
Point-to-Point Tunneling Protokol (PPTP)
·
Layer 2 Tunneling Protokol (L2TP)
·
Internet Protokol Security (IPSec)
·
SOCKS
PPTP
PPTP
adalah protocol tunneling didukung
oleh Microsoft untuk menghubungkan clien Windows
NT dan Server atas Remote Access Services (RASs). PPTP
adalah salah satu implementasi protocol
VPN. PPTP beroperasi pada data link layer
(layer 2) dari model OSI dan dapat digunakan untuk membuat sebuah VPN antarkomputer dalam menjalankan sistem operasi Windows.
PPTP pada dasarnya adalah perpanjangan dari Point-to
Point Protocol (PPP), standar untuk Internet transmisi jaringan lapisan datagram (yaitu, IP paket) atas serial point-to
point link dan digunakan oleh TCP/IP router dan PC untuk mengirimkan paket koneksi dial up dan jaringan leased line. PPP dikembangkan sebagai pengganti
untuk garis Serial Internet Protocol
(SLIP).
PPTP tidak menyediakan enkripsi sebenarnya.
Sebaliknya enkripsi untuk terowongan PPTP disediakan melalui Microsoft Point-to-Point enkripsi.
L2TP (Layer
2 Tunneling Protocol)
L2TP adalah
standar Internet Engineering Task Force
(IETF) untuk masalah protokol tunneling
yang digunakan untuk melakukan enkapsulasi terhadap frame-frame protokol Point-to-Point
Protocol (PPP) untuk ditransmisikan melalui jaringan TCP/IP, X.25, frame relay
atau jaringan Asynchronous Transfer Mode
(ATM).
L2TP
menggabungkan fitur dari Cisco's Layer-Two
Forwarding (L2F) protokol dan Microsoft
PPTP. Karena basis L2TP adalah PPTP, hal itu tersebut merupakan
perpanjangan PPP. Sesuai namanya, L2TP beroperasi pada data link layer (layer 2). L2TP sering
digunakan untuk membuat sebuah Virtual
Private Network (VPN) yang terdapat di dalam sebuah jaringan publik,
seperti Internet. Karena merupakan standar IETF, protokol ini menawarkan
interoperabilitas yang sangat tinggi antar vendor komputer dan jaringan
komputer yang bahkan tidak dimiliki oleh protokol tunneling lainnya. Dengan
demikian, L2TP digunakan untuk komunikasi simpul-ke-simpul. Untuk memfungsikan
jaringan dari end-to-end, semua jaringan perangkat atau node harus sesuai
dengan L2TP.
IPSec (IP
Security)
IPSec adalah
sebuah protokol yang digunakan untuk mengamankan transmisi datagram dalam
sebuah internetwork berbasis TCP/IP.
IPSec mendefiniskan beberapa standar untuk melakukan enkripsi data dan juga
integritas data pada lapisan kedua dalam DARPA Reference Model (network layer).
IPSec melakukan enkripsi terhadap data pada lapisan yang sama dengan protokol
IP dan menggunakan teknik tunneling untuk mengirimkan informasi melalui
jaringan Internet atau dalam jaringan Intranet secara aman.
IPSec, satu set protokol yang sedang dikembangkan oleh IETF dan diimplementasikan di dalam
banyak sistem operasi. Windows 2000 adalah sistem operasi pertama dari
Microsoft yang mendukung IPSec. IPSec digunakan untuk mengimplementasikan VPN
di Internet dan intranet. IPSec beroperasi pada lapisan jaringan (layer 3) dan
mendukung dua mode, mode transport dan mode terowongan.
Security
architecture
IPSec bekerja pada lapisan network, memproteksi dan
mengotentifikasi komunikasi paket IP antara host dan berfungsi baik pada lalu
lintas IPv6 maupun IPv4. IPSec ini sebenarnya adalah fitur yang dimiliki oleh
IPv6 namun oleh beberapa developer diaplikasikan kedalam IPv4.
IPSec mempunyai 4 buah elemen, yaitu :
1.
AH
(authentication header ) menawarkan autentikasi pengguna
dan perlindungan dari beberapa serangan (umumnya serangan man in the middle),
dan juga menyediakan fungsi autentikasi terhadap data serta integritas terhadap
data. Protokol ini mengizinkan penerima untuk merasa yakin bahwa identitas si
pengirim adalah benar adanya, dan data pun tidak dimodifikasi selama transmisi.
Namun demikian, protokol AH tidak menawarkan fungsi enkripsi terhadap data yang
ditransmisikannya. Informasi AH dimasukkan ke dalam header paket IP yang
dikirimkan dan dapat digunakan secara sendirian atau bersamaan dengan protokol
Encapsulating Security Payload.
2.
ESP
(encasulapting security payload) Protokol ini melakukan
enkapsulasi serta enkripsi terhadap data pengguna untuk meningkatkan
kerahasiaan data. ESP juga dapat memiliki skema autentikasi dan perlindungan
dari beberapa serangan dan dapat digunakan secara sendirian atau bersamaan
dengan Authentication Header. Sama seperti halnya AH, informasi mengenai ESP
juga dimasukkan ke dalam header paket IP yang dikirimkan.
3.
IPcomp
(IP payload compression)
4.
IKE
(internet key exchange) protokol Internet Key Exchange
(IKE) didefinisikan untuk membuat dan mengelola asosiasi keamanan.
Cara Kerja
IP Security
·
Protokol AH menyediakan integritas
hubungan, otentifikasi data asal dan layanan anti jawaban.
·
Protokol ESP menyediakan kerahasiaan
(enkripsi), dan pembatasan aliran lalulintas kerahasiaan.
·
ESP Juga menyediakan layanan
integritas hubungan, otentifikasi data asal dan layanan anti jawaban.
·
Kedua protokol ini merupakan
pembawa kontrol akses berbasis distribusi kunci kriptografi dan manajemen
aliran lalulintas relatif terhadap protokol keamanan.
Kelebihan
IPSec
1.
IPSec dapat melindungi protokol
apapun tyang berjalan di atas IP dan pada semua medium yang digunakan IP
sehingga IPSec merupakan metode keamanan komunikasi melalui jaringan komputer.
2.
IPSec menyediakan keamanan secara
transparan.
3.
IPsec dirancang untuk memenuhi
standar baru IPv6 tanpa melupakan IPv4 yang sekarang digunakan.
Kekurangan IPSec
1.
IPSec terlalu kompleks karena
menyediakan bebrapa fitur tambahan yang tidak perlu.
2.
Beberapa dokumnetsinya masih sering
terjadi kesalahan dan ambigu.
IPSec
Transport Mode
Mode transport hanya mengenkripsi data atau bagian informasi
(payload) dari setiap paket IP. Mode transport menyediakan enkripsi end-to-end
sejak header informasi tidak tersentuh. Akibatnya, tidak ada pengaturan khusus
yang diperlukan untuk perangkat jaringan. Modus transportasi biasanya digunakan
untuk komunikasi yang aman antar host. Dengan transportasi mode, seseorang yang
mengendus jaringan tidak akan bisa menguraikan muatan terenkripsi. Namun,
karena informasi header tidak dienkripsi, sniffer akan bisa menganalisa trafik
pola.
IPSec
Tunnel Mode
Mode terowongan mengenkripsi seluruh paket, baik header dan
muatannya. Menerima perangkat
harus sesuai dengan IPSec untuk dapat mendekripsi setiap paket, menafsirkannya,
dan kemudian melakukan reencrypt sebelum meneruskannya ke tujuan yang sesuai.
Dengan demikian, ini adalah node-to-node protokol enkripsi. Namun, pengamanan
mode terowongan terhadap analisis lalu lintas sejak seseorang mengendus
jaringan hanya bisa menentukan titik akhir terowongan dan bukan sumber
sebenarnya dan tujuan dari paket terowongan. Perangkat pengirim dan penerima
saling menukar informasi kunci publik dengan menggunakan protokol yang dikenal
sebagai Internet Security Association dan Key Management Protocol / Oakley
(ISAKMP / Oakley). Protokol ini memungkinkan penerima memperoleh kunci publik
dan mengotentikasi pengirim dengan menggunakan sertifikat digital pengirim
Modus terowongan dianggap lebih aman daripada mode transport, karena
menyembunyikan atau mengenkapsulasi informasi kontrol IP.
Socks
SOCKS adalah standar protokol IETF yang diterima yang
dirancang untuk menangani lalu lintas TCP melalui server proxy. Saat ini, ada
dua implementasi protokol SOCKS yang digunakan di Indonesia, SOCKS versi 4
(SOCKS4) dan SOCKS versi 5 (SOCKS5). Seperti yang diharapkan, SOCKS5 adalah
versi terbaru. Perbedaan utama antara dua versi adalah SOCKS5 memberikan
keamanan tambahan melalui otentikasi. NEC adalah pendukung utama SOCKS5 dan
menjadi salah satu SOCKS5 yang paling banyak diimplementasikan pada produk.
SOCKS5 kompatibel dengan kebanyakan aplikasi TCP. Hal ini
juga menyediakan firewall yang belum sempurna kemampuannya, karena
mengotentikasi paket masuk dan keluar dan bisa menyediakan jaringan terjemahan
alamat (NAT). NAT adalah proses yang menyembunyikan alamat IP dari sistem di
jaringan internal dari jaringan eksternal.
Implementation
Ada berbagai pendekatan yang bisa dilakukan seseorang
saat menerapkan solusi VPN di
Internet. Konfigurasinya bisa router-to-router, server-to-server,
server-to-router, workstation-to-server, atau workstation-to-router. Salah satu
pendekatan berbiaya rendah mungkin bisa digunakan Server Windows NT menggunakan
PPTP dengan xDSL, frame relay, atau pecahan T1.
Gambar 11.4
menggambarkan pendekatan ini menggunakan xDSL dengan
konfigurasi perangkat keras minimum. Router tambahan, firewall dan IDS
diharuskan melindungi individu tersebut
sehingga dapat mencegah akses yang tidak sah ke
jaringan.
Kemudian kami menggunakan paket Cisco yang dibahas
pada chpater 10 untuk menghubungkan kantor cabang ke kantor pusat. Sebagai
contoh, kantor kantor cabang berada berapa ribu mil dari kantor pusat dan
terhubung menggunakan Cisco VPN.
Gambar 11.5
Mengilustrasikan konfigurasi yang terpasang untuk
menghubungkan kantor cabang dengan kantor pusat.
Pada workstation klien di kantor diinstal peramgkat
lunak VPN. Perangkat lunak menggunakan 3DES untuk mengenkripsi bagian data dari
paket IP. Antar muka pada klien menggunakan perangkat lunak VPN di router
Cisco. Karena hanya bagian pada data IP yang dienkripsi. VPN adalah koneksi
end-to-end, seperti gambar yang diilustrasikan pada gambar 11.5. Dalam instalasi
aktual, modem xDSL, yang sebenarnya adalah router, melakukan penyaringan IP, seperti
halnya router Cisco. Router Cisco juga menjalankan fungsi firewall lainnya,
seperti penyaringan protokol Router juga memiliki IDS yang terinstal dan melakukan
NAT untuk menutupi IP alamat jaringan internal. Selain itu, gateway pada server
jaringan internal melkaukan penyaringan dan menjalankan perangkat lunak IDS.
Akhirnya, workstation klien menjalankan perangkat lunak firewall. IDS pribadi. Penting
untuk diketahui bahwa ada kerentanan dalam konfigurasi ini.
Contohnya, bisa dikenai spoofing IP. Namun, untuk
menjadi sukses, spoofing akan membutuhkan pengetahuan tentang skema
pengalamatan jaringan internal dan pemantauan dan IDS yang diwaspadai mendeteksi
usaha dari awal. Alasan utama untuk menerapkan jenis konfigurasi ini adalah
biaya. Biaya untuk menyebarkan Internet VPN menggunakan xDSL mungkin sepertiga
biaya menggunakan frame relay. Jika dibandingkan ke sirkuit T1 point-to-point,
penghematannya lebih besar lagi. Pada contoh di atas, mayor biaya tambahan
adalah paket router dan perangkat lunak Cisco. Kita bisa saja dengan mudah Pasang
router lain di kantor cabang. Sebenarnya, ini akan memberikan keamanan tambahan
dan fitur administrasi. Namun, kami memilih untuk tidak melakukannya karena
biayanya.
Nama kelompok :
1. CLARITA
DWIYANTI/14
15472/XII TKJ A
15479/XII TKJ A
Sumber referensi :
Komentar
Posting Komentar