BAB V KESIMPULAN DAN SARAN
5.2 Saran
Berikut adalah saran-saran untuk proses penelitian lebih lanjut mengenai sistem Remote Access IPsec berbasis protokol IKEv2 dengan perangkat lunak strongSwan :
1. Melakukan simulasi penerapan sistem autentikasi IPsec Extensible Authentication Protocol (EAP) dalam IKEv2.
2. Melakukan simulasi pengujian interoperabilitas antara Sistem Linux sebagai IPsec server dan klien berbasis sistem operasi Windows dalam kerangka protokol IKEv2. Mengingat bahwa implementasi perangkat lunak IKEv2 pada lingkungan Windows masih terbilang baru, maka topik ini akan sangat menantang.
3. Mengimplementasikan perangkat lunak IKEv2 Strongswan dalam suatu lingkungan sistem jaringan yang menawarkan redundancy seperti misalnya konsep IPsec failover and redundancy atau high cluster IPsec server.
4. Melakukan manajemen terhadap Remote Addres Virtual IP menggunakan suatu database berbasis SQL.
DAFTAR PUSTAKA
A. Huttunen, B. Swander , V. Volpe , L. DiBurro , M. Stenberg , “UDP Encapsulation of IPsec ESP Packets” , RFC 3948, January 2005
B. Aboba, W. Dixon , “IPsec-Network Address Translation (NAT) Compatibility Requirements”, RFC 3715, March 2004
Burnett, Steve, Stephen Paine, RSA Security's Official Guide to Cryptography, California: McGraw-Hill/Osborne, 2004
C. Kaufman, “Internet Key Exchange (IKEv2) Protocol”, RFC 4306, December 2005 Elaine Barker, William Barker, William Burr, William Polk, and Miles Smid, Special Publication 800-57: Recommendation for Key Management , National Institute of Standards and Technology, 2007
Forouzan, Behrouz A., Data Communications and Networking Third Edition, NY: McGraw-Hill, 2003
Harrell, Charles, Biman K Ghosh, Royce O. Bowden Jr., Simulation Using Promodel
Second Edition, NY:McGraw-Hill, 2004
http://en.wikipedia.org/Network_address_translation, diakses 30 Juli 2010 15:25WIB http://en.wikipedia.org/Public_key_cryptography, diakses 30 Juli 2010 15:20WIB http://en.wikipedia.org/Virtual_private_network, diakses 30 Juli 2010 15:23WIB http://en.wikipedia.org/IKEv2, diakses 30 Juli 2010 15:31 WIB
Joel M Snyder, IPsec and SSL VPNs: Solving remote access problems, http://searchsecurity.techtarget.com/searchSecurity/downloads/Snyder.VPN.ORIGINAL. ppt, diakses 30 Juli 2010 15:24WIB
L. Law and J. Solinas, “Suite B Cryptographic Suites for IPsec”, RFC 4869, May 2007. Nasuhi, Hamid, Ropi Ismatu, dkk. Pedoman Penulisan Karya Ilmiah Skripsi, Tesis dan Disertasi. Jakarta: CeQDA, 2007.
P. Erone , “IKEv2 Mobility and Multihoming Protocol (MOBIKE)”, RFC 4555, June 2006. .
Pandia, Henry. Teknologi Informasi dan Komunikasi. Jilid I, II dan III. Jakarta: Erlangga, 2007.
Rawles, Philip T., James E. Goldman, Applied Data Communications: A Business-Oriented Approach, 2001 ISBN 0-471-37161-0
Scott Kelly, IPsec Remote Access Requirements, IPsec Remote Access Working Group 49th IETF, http://www.vpnc.org/ietf-ipsra/ietf49-requirements.ppt, diakses 30 Juli 2010 15:24WIB
Sunyoto, Aris Wendy, VPN Sebuah Konsep, Teori dan Implementasi, BukuWeb Networking, 2008
T. Kivinen , B. Swander , A. Huttunen, V. Volpe , “Negotiation of NAT-Traversal in the IKE” , RFC 3947, January 2005
Tanenbaum, Andrew S., Modern Operating Systems Second Edition, NJ: Prentice-Hall, 2001
Tulloch, Mitch, Microsoft Encyclopedia of Networking eBook, Microsoft Press, 2000 Wheeler, Bob, Suite B: Classified Network Security Goes Commercial, The Linley Group, Inc, Juli 2009.
White Paper: Remote Access VPN and IPSec , NCP Secure Communication, April 2001, http://www.symtrex.com/pdfdocs/wp_ipsec.pdf, diakses 30 Juli 2010 15:24WIB
White Paper: Virtual Private Networks Solutions for Remote Access, Comparison of IPSEC and SSL, 2004 Schlumberger Information Solutions, Houston, Texas.http://www.slb.com/media/services/consulting/infrastructure/whitepaper_vpnsra.pd f, diakses 30 Juli 2010 15:24WIB
Wijaya, Ir. Hendra, Cisco ADSL Router, PIX Firewall, dan VPN, Jakarta:PT Elex Media Komputindo, 2006
Y. Nir, “Repeated Authentication in Internet Key Exchange (IKEv2) Protocol”, RFC 4478, April 2006
Lampiran 1
Skema Jaringan Komputer dan Sertifikat X.509
Skema Jaringan Komputer
Host Private Key Sertifikat X.509
A akey.pem acert.pem B bkey.pem bcert.pem Z zkey.pem zcert.pem GW1 gw1key.pem gw1cert.pem GW2 gw2key.pem gw2cert.pem GW3 gw3key.pem gw3cert.pem
Host komputer dan file sertifikat X.509 10.1.0.0/24 .1 10.2.0.0/24 .10 .1 GW1 GW2 .2 .1 192.168.0.0/24 A B Z .10 GW3 .1 .3 .10 10.1.0.0/24
Lampiran 2
Kode Konfigurasi IKEv2 strongSwan
A, B, Z, adalah host komputer klien sedangkan GW1, GW2, GW3 adalah gateway router. Konfigurasi sistem dilakukan pada file ipsec.conf pada setiap host komputer yang menjalankan sistem IPsec dengan perangkat lunak IKEv2 strongSwan. Konfigurasi berbeda dibuat untuk skenario pengujian yang berbeda.
1. Pengujian Algoritma Suite B
Konfigurasi file ipsec.conf dilakukan terhadap host IPsec GW1 dan GW2.
conn %default left=192.168.0.1 leftcert=gw1cert.pem leftid=gw1@tes.co.id right=192.168.0.2 rightid=gw2@tes.co.id keyexchange=ikev2 mobike=no authby=ecdsa conn suite-b-gcm-128 ike=aes128-sha256-ecp256 esp=aes128gcm16 auto=add conn suite-b-gcm-256 ike=aes256-sha384-ecp384 esp=aes256gcm16 auto=add conn suite-b-gmac-128 ike=aes128-sha256-ecp256 esp=aes128gmac16 keyexchange=ikev2 auto=add conn suite-b-gmac-256 ike=aes256-sha384-ecp384 esp=aes256gmac16 keyexchange=ikev2 auto=add Konfigurasi ipsec.conf GW1 conn %default left=192.168.0.2 leftcert=gw2cert.pem leftid=gw2@tes.co.id right=192.168.0.1 rightid=gw1@tes.co.id authby=ecdsa keyexchange=ikev2
conn suite-b-gcm-128 ike=aes128-sha256-ecp256 esp=aes128gcm16 auto=add conn suite-b-gcm-256 ike=aes256-sha384-ecp384 esp=aes256gcm16 auto=add conn suite-b-gmac-128 ike=aes128-sha256-ecp256 esp=aes128gmac16 keyexchange=ikev2 auto=add conn suite-b-gmac-256 ike=aes256-sha384-ecp384 esp=aes256gmac16 keyexchange=ikev2 auto=add Konfigurasi ipsec.conf GW2
2. Pengujian Repeated Authentication
Konfigurasi file ipsec.conf dilakukan terhadap host IPsec GW1 dan GW2.
conn %default ikelifetime=30s keylife=20m rekeymargin=0s keyingtries=1 conn repeat-auth left=192.168.0.1 leftcert=gw1cert.pem leftid=gw1@tes.co.id right=192.168.0.2 rightid=gw2@tes.co.id keyexchange=ikev2 mobike=no Konfigurasi ipsec.conf GW1 conn %default ikelifetime=60m keylife=20m rekeymargin=5s keyingtries=1 conn repeat-auth left=192.168.0.2 leftcert=gw2cert.pem leftid=gw2@tes.co.id
keyexchange=ikev2 mobike=no
auto=add
Konfigurasi ipsec.conf GW2
3. Pengujian NAT Traversal
Konfigurasi file ipsec.conf dilakukan terhadap host IPsec A dan B.
conn nat-traversal left=10.1.0.10 leftcert=acert.pem leftid=a@tes.co.id right=192.168.0.2 rightid=b@tes.co.id rightsubnet=10.2.0.0/24 keyexchange=ikev2 mobike=no auto=add
Konfigurasi ipsec.conf Host A
conn nat-traversal left=10.2.0.10 leftcert=bcert.pem leftid=b@tes.co.id leftsubnet=10.2.0.0/24 right=%any rightsubnet=10.1.0.0/24 keyexchange=ikev2 mobike=no auto=add
Konfigurasi ipsec.conf Server B
4. Pengujian Virtual IP
Konfigurasi file ipsec.conf pada skenario ini dilakukan terhadap host IPsec A, Z
dan GW2. conn virtual-ip left=10.1.0.10 leftsourceip=%config leftcert=acert.pem leftid=a@tes.co.id right=192.168.0.2 rightid=gw2@tes.co.id rightsubnet=10.2.0.0/24 keyexchange=ikev2 mobike=no auto=add Konfigurasi ipsec.conf A conn virtual-ip left=10.1.0.10 leftsourceip=%config
leftid=z@tes.co.id right=192.168.0.2 rightid=gw2@tes.co.id rightsubnet=10.2.0.0/24 keyexchange=ikev2 mobike=no auto=add Konfigurasi ipsec.conf Z conn virtual-ip left=192.168.0.2 leftcert=gw2cert.pem leftid=gw2@tes.co.id leftsubnet=10.2.0.0/24 right=%any righttsourceip=10.10.0.0/24 keyexchange=ikev2 mobike=no auto=add Konfigurasi ipsec.conf GW2
5. Pengujian Dua Roadwarrior Tunnel Mode
Konfigurasi file ipsec.conf pada skenario A, B dan GW2.
conn duarw-samenat left=10.1.0.10 leftcert=acert.pem leftid=a@tes.co.id right=192.168.0.2 rightid=gw2@tes.co.id keyexchange=ikev2 mobike=no mode=tunnel auto=add Konfigurasi ipsec.conf A conn duarw-samenat left=10.1.0.20 leftcert=bcert.pem leftid=b@tes.co.id right=192.168.0.2 rightid=gw2@tes.co.id keyexchange=ikev2 mobike=no mode=tunnel auto=add Konfigurasi ipsec.conf B
conn duarw-samenat left=192.168.0.2 leftcert=gw2cert.pem leftid=gw2@tes.co.id right=%any rightsubnet=10.1.0.0/24 keyexchange=ikev2 mobike=no mode=tunnel auto=add Konfigurasi ipsec.conf GW2 6. Pengujian MOBIKE
Konfigurasi file ipsec.conf pada skenario ini dilakukan terhadap host IPsec A dan gateway IPsec GW2. conn mobike left=192.168.0.100 leftcert=acert.pem leftid=a@tes.co.id right=192.168.0.2 rightid=gw2@tes.co.id rightsubnet=10.2.0.0/24 keyexchange=ikev2 mobike=yes auto=add Konfigurasi ipsec.conf A conn mobike left=192.168.0.2 leftcert=gw2cert.pem leftid=gw2@tes.co.id leftsubnet=10.2.0.0/24 right=%any rightid@tes.co.id keyexchange=ikev2 mobike=yes auto=add Konfigurasi ipsec.conf GW2
Lampiran 3
Tampilan Hasil Pengujian Sistem
1. Pengujian Algoritma Suite B
a) Pengujian AES-GCM-128
Hasil Output Konsol pada Host GW1
Baris pada security association (SA) ”...ESTABLISHED 76 seconds ago...” menunjukkan bahwa SA IKE antara peer IKE GW1 dan GW2 berhasil dibangun. Baris ”...IKE proposal: AES_CBC_128/ HMAC_SHA2_256_128/ PRF_HMAC_SHA2_256/ ECP_256...” menunjukkan bahwa untuk SA IKE, algoritma yang digunakan adalah enkripsi AES-CBC-128, algoritma HMAC-SHA-256-128, dan elliptic curve 256 bit. Baris ”...INSTALLED, TUNNEL, ESP...” menunjukkan bahwa SA untuk tunnel ESP berhasil dibuat dengan ”ESP SPI=c702a69e” untuk inbound dan”ESP SPI=ca931f42” untuk outbound. Baris ”AES_GCM_16_128” menunjukkan bahwa enkripsi ESP menggunakan AES-GCM-128.
Hasil Capture Wireshark Pada Jaringan 192.168.0.0/24
Hasil capture pada Wireshark menunjukkan bahwa komunikasi data berhasil dienkripsi dengan melihat paket ”ESP (SPI=0xca931f42)” outbound (keluar) dari GW1 dan paket ”ESP (SPI=0x c702a69e)” inbound (masuk) ke GW1.
b) Pengujian AES-GCM-256
Hasil Output Konsol pada Host GW1
Baris pada security association (SA) ”...ESTABLISHED 8 seconds ago...” menunjukkan bahwa SA IKE antara peer IKE GW1 dan GW2 berhasil dibangun. Baris ”...IKE proposal : AES_CBC_256/ HMAC_SHA2_384_192/ PRF_HMAC_SHA2_384/ ECP_384...” menunjukkan bahwa untuk SA IKE, algoritma yang digunakan adalah enkripsi AES-CBC-256, algoritma HMAC-SHA-384-192, dan elliptic curve 384 bit. Baris ”...INSTALLED, TUNNEL, ESP...” menunjukkan bahwa SA untuk tunnel ESP
berhasil dibuat dengan ”ESP SPI=ca09414a” untuk inbound dan”ESP SPI=c407a17b” untuk outbound. Baris ”AES_GCM_16_256” menunjukkan bahwa enkripsi ESP menggunakan AES-GCM-256.
Hasil Capture Wireshark Pada Jaringan 192.168.0.0/24
Hasil capture pada Wireshark menunjukkan komunikasi data berhasil dienkripsi dengan melihat paket ”ESP (SPI=0xc407a17b)” outbound (keluar) dari GW1 dan paket ”ESP (SPI=0xca09414a)” inbound (masuk) ke GW1.
2. Pengujian Repeated Authentication
Hasil Capture Wireshark pada jaringan 192.168.0.0/24 sebelum autentikasi ulang
Hasil capture Wireshark menunjukkan bahwa suatu tunnel IPsec berhasil dibangun dengan adanya pertukaran paket ”IKE_SA_INIT dan IKE_AUTH”. Baris pada
IKE antara peer IKE berhasil dibangun 10 detik lalu. Baris ”IKE SPIs: d1e0a17c1071a9a5_i* aca702d5d7bbf0d9_r*, public key reauthentication in 7 seconds” menunjukkan pengulangan autentikasi akan dilakukan dalam 7 detik.
Hasil Capture Wireshark pada jaringan 192.168.0.0/24 sesudah autentikasi ulang
Hasil capture menunjukkan bahwa terjadi pertukaran pesan ”ISAKMP
INFORMATIONAL” yang berarti bahwa terjadi pengulangan autentikasi. Pengulangan autentikasi ditunjukkan dengan adanya pertukaran pesan ”IKE_SA_INIT dan
IKE_AUTH” baru.
3. Pengujian NAT Traversal
Hasil Capture Wireshark pada jaringan 192.168.0.0/24
Hasil capture menunjukkan bahwa terjadi pertukaran pesan”IKE_SA_INIT dan
menunjukkan paket NAT-keepalive yang menunjukkan bahwa tunnel IPsec dibuat dalam mode NAT Traversal dimana host IPsec berada dibelakang NAT.
Hasil Output Konsol pada Host A
Baris pada security association (SA) ”...ESTABLISHED 71 seconds ago...” menunjukkan bahwa SA IKE antara peer IKE A dan B berhasil dibangun. Baris ”...INSTALLED, TUNNEL, ESP in UDP...” menunjukkan bahwa SA untuk tunnel ESP berhasil dibuat dalam mode NAT Traversal (yaitu dengan mekanisme enkapsulasi UDP) yang berarti bahwa host IPsec berada dibelakang NAT dengan ”ESP SPI=cf03cf23” untuk inbound dan”ESP SPI=c7f05510” untuk outbound. Hasil capture pada Wireshark menunjukkan komunikasi data berhasil dienkripsi dengan melihat paket ”ESP (SPI=0xc7f05510)” outbound (keluar) dari A dan paket ”ESP (SPI=0xcf03cf23)” inbound (masuk) ke A.
4. Pengujian Virtual IP
Hasil Output Konsol pada GW2
Baris”... virtual-ip(4): ESTABLISHED 86 seconds ago...” menunjukkan bahwa SA IKE antara GW2 dan A berhasil dibangun. Baris ”...virtual-ip(4) : 10.2.0.0/24 == 10.10.0.1/32...” menunjukkan bahwa Host A mendapatkan virtual IP 10.10.0.1. Baris”... virtual-ip(5): ESTABLISHED 46 seconds ago...” menunjukkan bahwa SA IKE antara peer IKE GW2 dan Z berhasil dibangun. Baris ”...virtual-ip(5) : 10.2.0.0/24 == 10.10.0.2/32...” menunjukkan bahwa Host Z mendapatkan virtual IP 10.10.0.2.
5. Pengujian Dua Roadwarrior Tunnel Mode
Hasil Capture Wireshark pada jaringan 192.168.0.0/24
Hasil capture pada Wireshark menunjukkan komunikasi data berhasil dienkripsi dengan melihat paket ”ESP (SPI=0xcdc95cc2)” outbound (keluar) dari A dan paket ”ESP
pada Host B dengan melihat paket ”ESP (SPI=0xca01271f)” outbound (keluar) dari B dan paket ”ESP (SPI=0x c1931ce5)” inbound (masuk) ke B.
6. Pengujian MOBIKE
Hasil capture Wireshark sebelum interface 192.169.0.100 down.
Hasil capture pada Wireshark menunjukkan tunnel IPsec yang berhasil dibangun dengan SA IKE ”initiator cookie: 4DE8345848BD7C37 dan responder cookie: 3ADBF9DF3DFEC8A3”.
Hasil output konsol pada A sesudah interface 192.169.0.100 down.
Paket ”ISAKMP INFORMATIONAL” menunjukkan terjadi pertukaran pesan yang melakukan update SA sehingga SA IKE antara peer IKE A dan GW2 masih tetap ada. SA IKE masih tetap sama yaitu ”initiator cookie: 4DE8345848BD7C37 dan
Simulasi Sistem Remote Access IPsec Berbasis
Perangkat Lunak IKEv2 strongSwan
Giri Patmono (103091039599) Program Studi Teknik Informatika
Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Abstrak
VPN (Virtual Private
Networking) merupakan suatu
teknologi untuk membangun jaringan komputer virtual menggunakan media jaringan publik seperti Internet dengan melibatkan teknik tunneling. Salah satu skenario penerapan VPN adalah untuk remote access yang memungkinkan pengguna jarak jauh untuk mengakses sumber daya yang ada di jaringan komputer utama. Saat ini, remote access VPN berbasis protokol IPsec memiliki berbagai masalah dan
kebutuhan yang menghambat
penerapannya secara luas. Skripsi ini akan mencoba menentukan masalah dan kebutuhan dalam penerapan remote access VPN berbasis protokol IPsec. Kemudian akan dibuat suatu kriteria kebutuhan sistem sebagai solusi masalah tersebut dengan dasar penggunaan perangkat lunak IKEv2 strongSwan. Untuk melaksanakan pengujian, sistem akan dibuat dalam suatu lingkungan simulasi jaringan
menggunakan tool virtualisasi
VMware. Metode pengembangan
sistem yang kami gunakan adalah Network Development Life Cycle (NDLC) sampai pada tahapan ketiga yaitu analysis, design, dan simulation prototyping. Secara garis besar, skripsi ini mengajukan sistem remote access IPsec berbasis perangkat lunak IKEv2 strongSwan sebagai solusi masalah kebutuhan remote access VPN berbasis IPsec. Tujuan skripsi ini adalah untuk mendapatkan verifikasi terhadap kemampuan sistem remote access IPsec berbasis perangkat lunak IKEv2 strongSwan tersebut. Kesimpulan yang kami dapatkan dari hasil penelitian skripsi ini adalah bahwa sistem remote access IPsec berbasis perangkat lunak
semua masalah dan kebutuhan dalam penerapan remote access VPN berbasis IPsec. Pengembangan selanjutnya yang dapat dilakukan adalah melakukan simulasi penerapan IPsec Extensible Authentication Protocol (EAP) dan simulasi pengujian interoperabilitas antara Linux IKEv2 strongSwan sebagai server dan klien berbasis Windows.
1. Pendahuluan
VPN (Virtual Private Networking) merupakan suatu teknologi untuk membangun jaringan virtual antara komputer melalui media jaringan publik seperti Internet dengan
melibatkan teknik tunneling.
Penjelasan sederhananya, VPN adalah suatu jaringan komputer private yang dibangun diatas media fisik jaringan publik. Teknik tunneling digunakan untuk melewatkan transmisi data private diatas media jaringan publik sehingga terbentuk suatu jaringan komputer lokal virtual walaupun secara fisik bisa saja terdiri dari komputer dengan lokasi geografis berbeda seperti antar benua. VPN menyediakan solusi dengan biaya lebih murah dibanding pilihan dedicated line
ataupun leased-line bagi pihak yang
ingin memperluas jaringan
infrastruktur komputer.
Terdapat dua skenario umum penggunaan VPN yaitu Site-to-Site dan
Remote Access. Site-to-Site
menghubungkan antar jaringan
komputer LAN sedangkan Remote Access VPN digunakan antara pengguna remote(jarak jauh) seperti telecoworker (bekerja dari rumah) atau mobile worker (pekerja mobile) dengan suatu jaringan komputer LAN utama dari suatu organisasi.
2 VPN adalah Internet Protocol Security
(IPsec) yang bekerja pada level lapisan network. IPsec terdiri dari beberapa protokol yaitu Authentication header
(AH), Encapsulating Security Payload
(ESP), dan Internet Key Exchange
(IKE). AH dan ESP berfungsi untuk memberikan layanan kriptografi, sedangkan IKE bertugas menangani urusan manajemen parameter Security Association (SA).
Penerapan VPN berbasis IPsec dalam skenario Remote Access (disebut pula Remote Access IPsec) memiliki
masalah dan kebutuhan yang
menghambat penerapannya secara luas. Dari hasil studi literatur, kami berhasil menemukan masalah dan kebutuhan yang bersifat mendasar dan opsional
yang berperan penting dalam
penerapan remote access VPN berbasis IPsec.
Secara garis besar, skripsi ini akan mencoba menentukan masalah dan kebutuhan yang bersifat mendasar dan opsional dalam penerapan remote access VPN berbasis protokol IPsec. Kemudian akan dibuat suatu kriteria kebutuhan sistem sebagai solusi. Berdasarkan kriteria itu, skripsi ini akan membuat suatu sistem remote access IPsec berbasis perangkat lunak IKEv2 strongSwan yang memberikan solusi atas setiap masalah dan
kebutuhan. Untuk memudahkan
pengujian, sistem akan dibuat dalam suatu lingkungan simulasi jaringan
menggunakan tool virtualisasi
VMware. Suatu desain skenario
jaringan akan dibuat untuk
mengakomodasi kebutuhan pengujian terhadap sistem Remote Access IPsec berbasis perangkat lunak IKEv2 strongSwan itu. Hasil dari penelitian ini adalah berupa verifikasi terhadap kemampuan sistem Remote Access IPsec berbasis perangkat lunak IKEv2
strongSwan sebagai solusi atas masalah dan kebutuhan remote access IPsec.
2. Remote Access IPsec
Remote access VPN berbasis protokol IPsec atau disebut pula remote access IPsec merupakan salah satu tipe remote access VPN yang bisa digunakan pada jaringan IP. IPsec menyediakan suatu komunikasi remote access VPN yang aman melalui fungsi-fungsi kriptografi. Dalam beberapa skenario tertentu, remote access IPsec memiliki masalah dan kebutuhan yang
menjadi batu sandungan bagi
penerapan IPsec sebagai solusi standar
kebutuhan remote access VPN.
Masalah dan kebutuhan itu
menghambat penerapan remote access IPsec secara luas. Bagian ini akan memberikan penjelasan mengenai konsep remote access IPsec dan mengenai masalah dan kebutuhan yang ada saat ini pada penerapan remote access IPsec.
2.1. Tinjauan Remote
Access IPsec
Remote access VPN memiliki karakteristik utama yaitu berupa adanya pengguna remote(jarak jauh) yang memiliki alamat IP yang dinamis yang mengakses jaringan target (jaringan LAN utama) melalui jaringan publik Internet. Remote access VPN yang menggunakan protokol IPsec sebagai penyedia mekanisme tunneling dan fungsi keamanan disebut pula remote access IPsec.
VPN menggunakan mekanisme tunneling yang merupakan suatu enkapsulasi paket data dari protokol jaringan yang satu ke protokol jaringan lainnya. Dengan tunneling, data yang berasal dari jaringan LAN lokal dapat dikirimkan melewati jaringan Internet
3 menuju jaringan tujuan. Tunnel remote access IPsec diterminasi pada ujung-ujung tunnel endpoint yaitu klien remote access itu sendiri dan suatu gateway keamanan yang pada hal ini adalah gateway IPsec.
IPsec dibentuk oleh tiga protokol utama yaitu IKE, AH, dan
ESP. Fungsi manajemen kunci
kriptografi dan parameter SA lainnya disediakan oleh protokol IKE. Protokol AH dan ESP berfungsi sebagai
penyedia mekanisme tunneling
komunikasi data, layanan
confidentiality, data integrity, dan data source authentication.
Ketersediaan akses broadband secara luas, sejalan dengan keinginan untuk mengurangi biaya akses PSTN,
telah menjadi pendorong
berkembangnya penggunaan remote access berbasis jaringan Internet. Remote access IPsec sebagai salah satu alternatif solusi secure remote access
berbasis Internet pun mengalami peningkatan penggunaan secara luas.
Remote access IPsec yang dibangun menggunakan media jaringan publik Internet memiliki kelebihan finansial dibanding remote access mengguakan media leased line. Fitur keamanan yang disediakan oleh IPsec pun menjadi insentif pertumbuhan remote access berbasis IPsec. Akan tetapi, dalam beberapa hal tertentu, terdapat masalah dan kebutuhan yang memberikan tantangan bagi suksesnya penerapan remote access IPsec sebagai solusi standar untuk kebutuhan remote access VPN.
2.2. Masalah dan
Kebutuhan Remote Access
IPsec
Dari hasil studi literatur, kami berhasil menemukan masalah-masalah dan kebutuhan yang bersifat mendasar
dan opsional pada penerapan remote
access IPsec. Kami kemudian
menetapkan masalah dan kebutuhan remote access IPsec sebagai berikut:
1. Kebutuhan algoritma
kriptografi yang kuat.
2. Kebutuhan pengulangan
autentikasi.
3. Masalah ketidakcocokan NAT dan IPsec.
4. Masalah alamat IP klien-klien IPsec yang overlapping.
5. Masalah NAT Traversal mode transport.
6. Kebutuhan peer IPsec yang mobile dan multihoming.
2.2.1. Kebutuhan algoritma kriptografi yang kuat
Kebutuhan algoritma
kriptografi dalam remote access IPsec
dapat dibagi menjadi kedalam
beberapa bagian yaitu algoritma
endpoint authentication, algoritma pembuatan kunci shared secret, algoritma message integrity, algoritma
enkripsi. Saat ini berbagai vendor penyedia solusi sistem remote access IPsec memiliki suatu set algoritma kriptografi atau algorithm suite sendiri. Pilihan–pilihan algoritma yang
bervariasi itu belum tentu
menyediakan tingkat keamanan yang baik. Contoh dari pemilihan algoritma kriptografi itu adalah seperti pilihan algoritma signature RSA sebagai algoritma autentikasi endpoint, pilihan grup MODP Diffie-Hellman 768bit dan 1024bit sebagai input dalam algoritma pembuatan shared secret,
pilihan HMAC-MD5-96 sebagai
algoritma message integrity, dan pilihan algoritma 3DES atau CAST128 sebagai algoritma enkripsi.
Masalahnya adalah bahwa
pihak-pihak yang ingin menerapkan sistem remote access IPsec dihadapkan pada banyak pilihan algoritma
4 kriptografi dimana pilihan-pilihan tersebut belum tentu menyediakan tingkat keamanan yang baik. Oleh karena itu, dibutuhkan suatu referensi ilmiah yang menyediakan rujukan set pilihan algoritma kriptografi atau
algorithm suite yang memberikan tingkat keamanan yang kuat.
2.2.2. Kebutuhan pengulangan autentikasi
Dalam skenario remote access, terkadang masing-masing peer IPsec