NAT dan Enkripsi - Pengamanan Data - Teknik Keamanan Voice Over WLANs 802.11

Bab 3 Pengamanan Data

3.8 NAT dan Enkripsi

Seperti IPSec VPN menjadi populer, Network Address Translation (NAT) menjadi suatu rintangan penyebarluasan awal implementasinya. Model IPSec dipergunakan untuk membangun deskripsi interaksi diantara NAT dan enkripsi sehingga menjadi sistem enkripsi internet yang lebih populer dan mempunyai potensi dalam jaringan VoIP. IPSec protokol telah didefenisikan oleh Internet Engineering Task Force (IETF) untuk menyediakan keamanan kepada jaringan IP. IPSec adalah protokol yang besar dimana telah dibuat sesuai untuk memberikan keamanan pada jaringan IP yaitu integriti data, otentikasi, kerahasiaan, dan keamanan Application-transparent. IPSec mengamankan aliran paket dan transmisi kunci.

Protokol AH dan ESP dapat beroperasi pada dua mode : yakni Mode Transport (Transport Mode) dan bisa dilihat secara simpel sebagai yang mengamankan diantara dua buah host yang berhubungan. Pada mode kanal (Tunnel Mode), lebih “seperti VPN”, dimana IPSec secara sempurna mengkapsulkan diagram IP yang asli, termasuk juga IP header yang asli, diikuti dengan datagram IP kedua. ESP dan AH biasanya

terimplementasi independen, walaupun mungkin (tetapi tidak biasanya) untuk menggunakannya secara bersamaan.

Authentication Header (AH) dan Encapsulating Security Payload (ESP) adalah dua buah protokol jaringan utama yang digunakan oleh IPSec. AH menyediakan otentikasi data asli, integriti pesan, dan keamanan terhadap replay attacks, tetapi tidak ada ketetapan untuk kebebasan pribadi, karena data tidak di enkripsi. Kunci dari otentikasi AH memproses inclusion pada AH header dari Integrity Check Value (ICV), berbasis hash dari kunci rahasia yang diperhitungkan dari subset IP header asli, termasuk sumber dan alamat IP tujuan. AH menjamin (bila implementasinya tepat) bahwa data yang diterima identik dengan data yang dikirim, dan menegaskan identitas pengirim sebenarnya. AH menyediakan otentikasi sebanyak mungkin kapasiti IP header, seperti juga untuk data protokol tingkat yang lebih tinggi.

Pada gambar 3.7, bagian A dan B menunjukan lokasi dari AH header dalam model transport. Bagian C dan D menunjukan dimana lokasi AH header dalam model kanal. Data field dalam semua paket tidak mempunyai skala (ditunjukkan oleh dua garis miring). Kita dapat melihat dari gambar tersebut bahwa AH model kanal menambah panjang setiap paket 20 byte. Tidak satupun field dalam gambar ini dienkripsi.

Catatan : Kunci yang tidak cocok pada NAT dan IPSec AH dengan adanya ICV,

yang nilainya tegantung sebagian pada nilai sumber dan tujuan alamat IP, IP header checksum dan salah satu dari TCP atau UDP header checksum. Perhitungan AH ICV harus mempertimbangkan field header yang dapat berubah dan dapat diprediksi bahwa perubahan pergerakan paket dari hop ke hop melalui jaringan, tetapi oleh karena peralatan intermediat tidak berbagi kunci rahasia, mereka tidak dapat menghitung ulang ICV dengan tepat setelah NAT merubah field header asli yang telah disebutkan diatas.

ESP, dilain pihak, biasanya digunakan untuk mengenkripsi, dimana fungsi dari otentikasi telah ditambahkan. ESP header ditambahkan setelah IP header dan sebelum protocol header layer atas (mode transport) atau sebelum mengkapsulasikan IP header (model kanal).

Gambar 3.8 menunjukan lokasi dari ESP header di kedua mode transport (bagian A dan B) dan mode kanal (bagian C dan D) untuk TCP (bagian A dan C) dan UDP (bagian B dan D). Dalam mode transport, IP header asli diikuti oleh ESP header. Field bagian paling kanan mengandung ESP trailer dan optional, field otorisasi ESP. Hanya protokol header layer atas, data, dan ESP trailer (juga, sebagai tambahan, field otorisasi ESP) yang dienkripsi. IP header tidak dienkripsi.

Gambar 3.8 ESP Header : Mode Transport dan Mode Kanal

Pada mode transport, ESP mengenkripsi seluruh paket. Ini berarti semua datagram IP asli, termasuk IP asli dan protokol header, terenkripsi. Dalam mode ini, ketika IP trafik yang bergerak diantara gateway, yang di luar, IP header yang tidak terenkripsi mengandung alamat IP dari sumber kedua dari belakang dan gateway tujuan, dan sebelah dalam, IP header yang terenkripsi mengandung sumber IP dan alamat tujuan dari titik akhir yang sebenarnya. Bagaimanapun, walaupun ESP mengenkrip kebanyakan datagram IP dalam salah satu mode transport atau kanal, ESP relatif sesuai dengan NAT, oleh karena ESP tidak bergabung dengan sumber IP dan alamat tujuan dalam daftar cek integriti message yang penting. Tetap, ESP mempunyai ketergantungan pada TCP dan UDP checksum integriti melalui memasukan pseudo-header dalam perhitungan. Hasilnya, bila checksum dihitung, mereka akan membuat cacat dengan adanya jalan pintas melalui peralatan NAT (kecuali dalam beberapa kasus dimana UDP checksum disetel zero).

NAT menyediakan fungsi keamanan dengan cara memisahkan host private dari Internet route publik. Tergantung dari keperluan alamtnya, NAT dapat diisolasi, sampai seberapa luas, ruang jaringan IP VoIP dari keseimbangan ruang jaringan IP internal. Dalam jumlah besar private RFC1918 IP addres membolehkan arsitektur sistem ke alamat host secara intelijen dan elemen jaringan lainnya berdasarkan lokasi, fungsi, atau kriteria lain sewaktu fase desain jaringan VoIP.

Host external tidak dapat mengakses secara langsung khususnya host internal jika NAT menghalangi oleh karena host external tidak mempunyai jalan untuk menargetkan isi dari muatan dari alamat IP yang terpilih. Tentu saja, ketika alamatnya telah ditandai secara dinamik, itu menjadikan problematika untuk si penyerang ke titik dimana host khusus di dalam domain NAT. Ini dapat membantu melindungi host internal dari isi yang berbahaya dari luar. Keburukannya, NAT adalah tambahan dari layer kontrol keamanan yang diimplementasi sebagai bagian dari seluruh arsitektur keamanan.

Dalam dokumen Teknik Keamanan Voice Over WLANs 802.11 (Halaman 56-60)