2.2 Teori Khusus

2.2.5 Jenis-Jenis VPN

2.2.5.3 Berdasarkan Teknik Implementasi

Mengacu pada pendapat P. Venkateswari dan T. Purusothaman (2009), berdasarkan teknik implementasinya, VPN terbagi menjadi lima jenis, yaitu:

A. GRE

GRE atau generic routing encapsulation adalah

tunneling protocol yang dikembangkan oleh Cisco sebagai

metode enkapsulasi untuk menyampaikan paket dari suatu protokol, mengengkapsulasikannya dalam paket IP, dan mengirimkan paket yang terenkapsulasi tersebut melalui

backbone IP. GRE dapat mengengkapsulasi protokol AppleTalk,

Banyan Vines, Layer-2 bridged traffic, CLNP, DECnet, IP, dan IPX. Pada saat dikirimkan melalui jaringan IP, dalam hal ini internet, paket akan terlihat seperti paket IP pada umumnya. Ketika paket diterima oleh ujung tunnel, paket IP tersebut akan didekapsulasi kembali menjadi bentuk protokol aslinya.

Diantara semua tunnel, GRE memiliki teknik enkapsulasi yang paling rentan terhadap penyadapan karena GRE tidak memiliki proses autentikasi dan pengecekan integritas paket.

B. IPsec

IPSec menyediakan layanan keamanan pengiriman data dengan mengizinkan sistem untuk menentukan protokol keamanan, algoritma, dan kunci kriptografi yang diperlukan untuk menyediakan layanan yang diminta. IPSec menyediakan layanan-layanan keamanan tersebut dengan menggunakan metode pengamanan yang disebut Internet Key Exchange (IKE). Fungsi IKE adalah untuk menangani protokol yang bernegosiasi dan algoritma pengamanan yang diciptakan berdasarkan policy yang diterapkan. Dengan berpatokan pada policy yang ada, IKE akan menghasilkan sistem enkripsi data dan kunci pengamanannya yang selanjutnya akan digunakan untuk proses autentikasi.

C. PPTP

Point to point tunneling protocol (PPTP) adalah tunneling protocol yang dikembangkan oleh Microsoft dan

Cisco yang digunakan untuk pengamanan transfer data dari

remote client ke server perusahaan dengan membuat sebuah

jalur VPN melalui TCP/IP. PPTP merupakan pengembangan dari remote access point to point protocol (PPP) yang mengubah paket PPP menjadi IP datagram agar dapat ditransmisikan melalui internet.

D. L2TP

L2TP atau Layer 2 Tunneling Protocol adalah hasil penggabungan dari kelebihan PPTP dan kelebihan L2F. L2TP memiliki 2 model tunnel yaitu compulsory dan voluntary. Perbedaannya terdapat di endpoint tunnel. Endpoint pada

compulsory terdapat di ISP sedangkan pada voluntary terdapat

di remote client.

E. MPLS

Teknologi penyampaian paket pada jaringan backbone berkecepatan tinggi. Cara Kerja nya menggabungkan beberapa kelebihan dari circuit switched dan packet switched yang membentuk komunikasi data yang lebih baik. MPLS memiliki fitur untuk membentuk tunnel atau virtual circuit yang melintasi jaringannya. Kemampuan inilah yang membuat MPLS dapat berfungsi sebagai platform untuk membangun virtual private

network. VPN yang dibangun oleh MPLS berbeda dengan VPN

yang dibentuk berdasarkan teknologi IP. VPN berdasarkan teknologi IP hanya memanfaatkan enkripsi data, sedangkan VPN dengan MPLS lebih mirip dengan virtual circuit dari frame relay atau ATM, yang dibangun dengan membentuk isolasi trafik. Trafik benar-benar dipisahkan dan tidak dapat dibocorkan keluar lingkup VPN.

F. SSL

SSL (secure socket layer) merupakan protocol kriptografi yang menyediakan komunikasi melalui internet yang aman. Protocol SSL memberikan fitur authentikasi akhir dan privasi komunikasi menggunakan kriptografi. Pada penggunaan umumnya, hanya server yang diauthentikasi, namun authentikasi di kedua sisi (mutual authentication) dapat dilakukan ketika

client memiliki public key. Dengan demikian, public key harus

disebarkan pada client yang akan menggunakan protokol ini. Langkah kerja dasar pada SSL yaitu negosiasi pada ujung client untuk meminta koneksi SSL kepada server, jika client tersebut telah terkonfigurasi dengan benar dan terautentikasi, maka server akan mengirimkan public key kepada client. Selanjutkan client akan membandingkan key tersebut dengan trusted database sebagai bentuk autentikasi.

2.2.6 IPSec (IP Security)

Mengacu pada buku CCENT/CCNA ICND2 Official Exam Certification Guide, Second Edition (2008), Internet Protocol Security atau yang lebih dikenal dengan IPsec merupakan sebuah framework open standard yang dikembangkan oleh Internet Engineering Task Force (IETF) untuk menjamin komunikasi privat melalui jaringan IP (network layer) yang menyediakan perlindungan terhadap data dalam hal confidentiality, integrity, dan authenticity.

Kerangka dari IPSec terbagi menjadi lima bagian yaitu :

1. Protokol IPSec yang terdiri dari Authentication Header (AH) dan

Encapsulating Security Payload (ESP).

2. Jenis kerahasiaan yang digunakan dalam enkripsi seperti DES, 3DES, atau AES. Setiap enkripsi memiliki tingkat keamanan yang berbeda sehingga dapat dipilih sesuai dengan kebutuhan.

- DES (Data Encryption Standard) merupakan sebuah algoritma kriptografi dengan key 56 bit.

- 3DES atau Triple DES merupakan algoritma DES yang diterapkan sebanyak 3 kali sehingga kunci yang digunakan menjadi 168 bit. Karena itu 3DES membutuhkan lebih banyak sumber daya dibandingkan dengan DES, namun sebagai gantinya, akan menciptakan tingkat keamanan yang lebih tinggi dibandingkan dengan DES.

- AES (Advanced Encryption Standard) merupakan algoritma kriptografi dengan beberapa pilihan key yaitu 128 bit, 192 bit, dan 256 bit.

3. Integritas yang akan diimplementasikan bisa berupa MD5 atau SHA. - MD5 (Message Digest version 5) menggunakan algoritma hash 128

bit.

- SHA (Secure Hash Algorithm) menggunakan algoritma hash 160 bit, sehingga lebih aman dibandingkan MD5.

4. Metode shared secret key yang digunakan seperti pre-shared dan digitally

signed (signature) menggunakan RSA.

5. Pengaturan kriptografi public key yang akan digunakan oleh device yang akan dihubungkan. Kriptografi ini umumnya terbagi menjadi beberapa kelompok yang disebut juga kelompok algoritma Diffie-Hellman (DH), dimana setiap kelompok menggunakan jumlah bit yang berbeda untuk menghasilkan key. Semakin banyak jumlah bit yang digunakan, semakin tinggi tingkat keamanan dan beban prosesnya. Berikut merupakan kelompok-kelompok tersebut:

- DH Kelompok 1 menggunakan 756 bit - DH Kelompok 2 menggunakan 1024 bit - DH Kelompok 5 menggunakan 1536 bit - DH Kelompok 7 menggunakan 163 bit

Gambar 2.14 Framework IPSec

IPSsec memiliki fungsi-fungsi keamanan yang mencangkup: 1. Confidentiality

IPSec menjamin kerahasian data dengan menggunakan enkripsi DES, 3DES, atau AES.

2. Integrity

IPSec menjamin data yang dikirim dan diterima tidak berubah. IPSec menggunakan algoritma hash seperti MD5 atau SHA.

3. Authentication

IPSec menggunakan Internet Key Exchange (IKE) untuk melakukan autentikasi pengguna dan perangkat yang ingin saling berkomunikasi untuk menyatakan bahwa komunikasi berasal dari user yang benar. IKE memiliki beberapa jenis autentikasi contohnya

username dan password, one-time password, biometrik, pre-shared key (PSK) dan digital security.

4. Secure Key Exchange

IPSec menggunakan algoritma DH dalam melakukan pertukaran public key. Terdapat dua protokol yang digunakan untuk menyediakan layanan keamanan pertukaran data yaitu AH dan ESP. Implementasi IPSec harus mendukung ESP dan juga AH agar sistemnya dapat berjalan dengan baik.

- AH (Authentication Header)

Menyediakan layanan autentikasi, integritas, dan replay

protection (transaksi hanya dilakukan sekali, kecuali yang

berwenang telah mengizinkan), juga melakukan pengamanan terhadap IP header (header compression). Pengamanan IP header dilakukan dengan menambahkan header baru yang mengandung nilai hash sehingga hanya penerima yang benar yang dapat mengautentifikasinya. Berikut merupakan format paket data AH: 0 8 16 31

Next Header Payload Length Reserved Security Parameter Index (SPI)

Sequence Number Field Authentication Data (variable)

Gambar 2.15 Paket data AH

Dalam pengaplikasiannya, terdapat dua mode AH, yaitu

original akan ditambahkan AH tanpa mengubah bagian lainnya dari paket original. Berikut merupakan ilustrasi paket data sebelum dan setelah menggunakan AH transport mode :

Gambar 2.16 Packet AH transport mode

Sedangkan pada tunnel mode, paket original akan ditambahkan AH dan IP header baru. Hal ini membuat tunnel mode memiliki tingkat keamanan yang lebih tinggi daripada transport mode, namun menambah beban traffic data. Berikut merupakan ilustrasi paket data sebelum dan setelah menggunakan AH tunnel mode :

Berikut merupakan protokol-protokol yang dapat digunakan pada AH:

Gambar 2.18 Protocol AH

- ESP (Encapsulated Security Payload)

Menyediakan layanan authentication, integrity, replay

protection, dan confidentiality terhadap data. ESP melakukan

pengamanan data terhadap segala sesuatu dalam paket data setelah header. Perbedaan yang paling mencolok dari ESP dengan AH adalah ESP memiliki fitur confidentiality sedangkan AH tidak memilikinya. Berikut merupakan format paket data ESP :

Sama seperti pada AH, ESP juga memiliki transport mode dan tunnel mode. Transport mode mengenkripsi bagian data (payload) masing-masing paket tanpa mengubah header paket.

Transport mode dalam mengekripsinya menggunakan algoritma

kriptografi simetris dan menggunkan sub protokol encapsulated

security payload (ESP). Berikut merupakan ilustrasi paket data

sebelum dan setelah menggunakan ESP transport mode :

Gambar 2.20 Paket ESP transport mode

Pada tunnel mode, data dan header paket yang dikirim dikomputasi menggunakan kriptografi checksum dan membentuk

header baru menggunakan hashing yang aman. Yang

membedakan tunnel mode dengan transport mode adalah pada tunnel mode tidak hanya payload data saja yang dienkripsi, namun header IP juga turut terenkripsi, sehingga meningkatkan keamanan data. Berikut merupakan ilustrasi paket data sebelum dan setelah menggunakan ESP tunnel mode :

Gambar 2.21 Paket ESP tunnel mode

Berikut merupakan protokol-protokol yang dapat digunakan pada ESP:

Gambar 2.22 Protocol ESP