• Tidak ada hasil yang ditemukan

Saran

BAB V KESIMPULAN DAN SARAN

5.2 Saran

Berikut adalah saran-saran untuk proses penelitian lebih lanjut mengenai sistem Remote Access IPsec berbasis protokol IKEv2 dengan perangkat lunak strongSwan :

1. Melakukan simulasi penerapan sistem autentikasi IPsec Extensible Authentication Protocol (EAP) dalam IKEv2.

2. Melakukan simulasi pengujian interoperabilitas antara Sistem Linux sebagai IPsec server dan klien berbasis sistem operasi Windows dalam kerangka protokol IKEv2. Mengingat bahwa implementasi perangkat lunak IKEv2 pada lingkungan Windows masih terbilang baru, maka topik ini akan sangat menantang.

3. Mengimplementasikan perangkat lunak IKEv2 Strongswan dalam suatu lingkungan sistem jaringan yang menawarkan redundancy seperti misalnya konsep IPsec failover and redundancy atau high cluster IPsec server.

4. Melakukan manajemen terhadap Remote Addres Virtual IP menggunakan suatu database berbasis SQL.

DAFTAR PUSTAKA

A. Huttunen, B. Swander , V. Volpe , L. DiBurro , M. Stenberg , “UDP Encapsulation of IPsec ESP Packets” , RFC 3948, January 2005

B. Aboba, W. Dixon , “IPsec-Network Address Translation (NAT) Compatibility Requirements”, RFC 3715, March 2004

Burnett, Steve, Stephen Paine, RSA Security's Official Guide to Cryptography, California: McGraw-Hill/Osborne, 2004

C. Kaufman, “Internet Key Exchange (IKEv2) Protocol”, RFC 4306, December 2005 Elaine Barker, William Barker, William Burr, William Polk, and Miles Smid, Special Publication 800-57: Recommendation for Key Management , National Institute of Standards and Technology, 2007

Forouzan, Behrouz A., Data Communications and Networking Third Edition, NY: McGraw-Hill, 2003

Harrell, Charles, Biman K Ghosh, Royce O. Bowden Jr., Simulation Using Promodel

Second Edition, NY:McGraw-Hill, 2004

http://en.wikipedia.org/Network_address_translation, diakses 30 Juli 2010 15:25WIB http://en.wikipedia.org/Public_key_cryptography, diakses 30 Juli 2010 15:20WIB http://en.wikipedia.org/Virtual_private_network, diakses 30 Juli 2010 15:23WIB http://en.wikipedia.org/IKEv2, diakses 30 Juli 2010 15:31 WIB

Joel M Snyder, IPsec and SSL VPNs: Solving remote access problems, http://searchsecurity.techtarget.com/searchSecurity/downloads/Snyder.VPN.ORIGINAL. ppt, diakses 30 Juli 2010 15:24WIB

L. Law and J. Solinas, “Suite B Cryptographic Suites for IPsec”, RFC 4869, May 2007. Nasuhi, Hamid, Ropi Ismatu, dkk. Pedoman Penulisan Karya Ilmiah Skripsi, Tesis dan Disertasi. Jakarta: CeQDA, 2007.

P. Erone , “IKEv2 Mobility and Multihoming Protocol (MOBIKE)”, RFC 4555, June 2006. .

Pandia, Henry. Teknologi Informasi dan Komunikasi. Jilid I, II dan III. Jakarta: Erlangga, 2007.

Rawles, Philip T., James E. Goldman, Applied Data Communications: A Business-Oriented Approach, 2001 ISBN 0-471-37161-0

Scott Kelly, IPsec Remote Access Requirements, IPsec Remote Access Working Group 49th IETF, http://www.vpnc.org/ietf-ipsra/ietf49-requirements.ppt, diakses 30 Juli 2010 15:24WIB

Sunyoto, Aris Wendy, VPN Sebuah Konsep, Teori dan Implementasi, BukuWeb Networking, 2008

T. Kivinen , B. Swander , A. Huttunen, V. Volpe , “Negotiation of NAT-Traversal in the IKE” , RFC 3947, January 2005

Tanenbaum, Andrew S., Modern Operating Systems Second Edition, NJ: Prentice-Hall, 2001

Tulloch, Mitch, Microsoft Encyclopedia of Networking eBook, Microsoft Press, 2000 Wheeler, Bob, Suite B: Classified Network Security Goes Commercial, The Linley Group, Inc, Juli 2009.

White Paper: Remote Access VPN and IPSec , NCP Secure Communication, April 2001, http://www.symtrex.com/pdfdocs/wp_ipsec.pdf, diakses 30 Juli 2010 15:24WIB

White Paper: Virtual Private Networks Solutions for Remote Access, Comparison of IPSEC and SSL, 2004 Schlumberger Information Solutions, Houston, Texas.http://www.slb.com/media/services/consulting/infrastructure/whitepaper_vpnsra.pd f, diakses 30 Juli 2010 15:24WIB

Wijaya, Ir. Hendra, Cisco ADSL Router, PIX Firewall, dan VPN, Jakarta:PT Elex Media Komputindo, 2006

Y. Nir, “Repeated Authentication in Internet Key Exchange (IKEv2) Protocol”, RFC 4478, April 2006

Lampiran 1

Skema Jaringan Komputer dan Sertifikat X.509

Skema Jaringan Komputer

Host Private Key Sertifikat X.509

A akey.pem acert.pem B bkey.pem bcert.pem Z zkey.pem zcert.pem GW1 gw1key.pem gw1cert.pem GW2 gw2key.pem gw2cert.pem GW3 gw3key.pem gw3cert.pem

Host komputer dan file sertifikat X.509 10.1.0.0/24 .1 10.2.0.0/24 .10 .1 GW1 GW2 .2 .1 192.168.0.0/24 A B Z .10 GW3 .1 .3 .10 10.1.0.0/24

Lampiran 2

Kode Konfigurasi IKEv2 strongSwan

A, B, Z, adalah host komputer klien sedangkan GW1, GW2, GW3 adalah gateway router. Konfigurasi sistem dilakukan pada file ipsec.conf pada setiap host komputer yang menjalankan sistem IPsec dengan perangkat lunak IKEv2 strongSwan. Konfigurasi berbeda dibuat untuk skenario pengujian yang berbeda.

1. Pengujian Algoritma Suite B

Konfigurasi file ipsec.conf dilakukan terhadap host IPsec GW1 dan GW2.

conn %default left=192.168.0.1 leftcert=gw1cert.pem leftid=gw1@tes.co.id right=192.168.0.2 rightid=gw2@tes.co.id keyexchange=ikev2 mobike=no authby=ecdsa conn suite-b-gcm-128 ike=aes128-sha256-ecp256 esp=aes128gcm16 auto=add conn suite-b-gcm-256 ike=aes256-sha384-ecp384 esp=aes256gcm16 auto=add conn suite-b-gmac-128 ike=aes128-sha256-ecp256 esp=aes128gmac16 keyexchange=ikev2 auto=add conn suite-b-gmac-256 ike=aes256-sha384-ecp384 esp=aes256gmac16 keyexchange=ikev2 auto=add Konfigurasi ipsec.conf GW1 conn %default left=192.168.0.2 leftcert=gw2cert.pem leftid=gw2@tes.co.id right=192.168.0.1 rightid=gw1@tes.co.id authby=ecdsa keyexchange=ikev2

conn suite-b-gcm-128 ike=aes128-sha256-ecp256 esp=aes128gcm16 auto=add conn suite-b-gcm-256 ike=aes256-sha384-ecp384 esp=aes256gcm16 auto=add conn suite-b-gmac-128 ike=aes128-sha256-ecp256 esp=aes128gmac16 keyexchange=ikev2 auto=add conn suite-b-gmac-256 ike=aes256-sha384-ecp384 esp=aes256gmac16 keyexchange=ikev2 auto=add Konfigurasi ipsec.conf GW2

2. Pengujian Repeated Authentication

Konfigurasi file ipsec.conf dilakukan terhadap host IPsec GW1 dan GW2.

conn %default ikelifetime=30s keylife=20m rekeymargin=0s keyingtries=1 conn repeat-auth left=192.168.0.1 leftcert=gw1cert.pem leftid=gw1@tes.co.id right=192.168.0.2 rightid=gw2@tes.co.id keyexchange=ikev2 mobike=no Konfigurasi ipsec.conf GW1 conn %default ikelifetime=60m keylife=20m rekeymargin=5s keyingtries=1 conn repeat-auth left=192.168.0.2 leftcert=gw2cert.pem leftid=gw2@tes.co.id

keyexchange=ikev2 mobike=no

auto=add

Konfigurasi ipsec.conf GW2

3. Pengujian NAT Traversal

Konfigurasi file ipsec.conf dilakukan terhadap host IPsec A dan B.

conn nat-traversal left=10.1.0.10 leftcert=acert.pem leftid=a@tes.co.id right=192.168.0.2 rightid=b@tes.co.id rightsubnet=10.2.0.0/24 keyexchange=ikev2 mobike=no auto=add

Konfigurasi ipsec.conf Host A

conn nat-traversal left=10.2.0.10 leftcert=bcert.pem leftid=b@tes.co.id leftsubnet=10.2.0.0/24 right=%any rightsubnet=10.1.0.0/24 keyexchange=ikev2 mobike=no auto=add

Konfigurasi ipsec.conf Server B

4. Pengujian Virtual IP

Konfigurasi file ipsec.conf pada skenario ini dilakukan terhadap host IPsec A, Z

dan GW2. conn virtual-ip left=10.1.0.10 leftsourceip=%config leftcert=acert.pem leftid=a@tes.co.id right=192.168.0.2 rightid=gw2@tes.co.id rightsubnet=10.2.0.0/24 keyexchange=ikev2 mobike=no auto=add Konfigurasi ipsec.conf A conn virtual-ip left=10.1.0.10 leftsourceip=%config

leftid=z@tes.co.id right=192.168.0.2 rightid=gw2@tes.co.id rightsubnet=10.2.0.0/24 keyexchange=ikev2 mobike=no auto=add Konfigurasi ipsec.conf Z conn virtual-ip left=192.168.0.2 leftcert=gw2cert.pem leftid=gw2@tes.co.id leftsubnet=10.2.0.0/24 right=%any righttsourceip=10.10.0.0/24 keyexchange=ikev2 mobike=no auto=add Konfigurasi ipsec.conf GW2

5. Pengujian Dua Roadwarrior Tunnel Mode

Konfigurasi file ipsec.conf pada skenario A, B dan GW2.

conn duarw-samenat left=10.1.0.10 leftcert=acert.pem leftid=a@tes.co.id right=192.168.0.2 rightid=gw2@tes.co.id keyexchange=ikev2 mobike=no mode=tunnel auto=add Konfigurasi ipsec.conf A conn duarw-samenat left=10.1.0.20 leftcert=bcert.pem leftid=b@tes.co.id right=192.168.0.2 rightid=gw2@tes.co.id keyexchange=ikev2 mobike=no mode=tunnel auto=add Konfigurasi ipsec.conf B

conn duarw-samenat left=192.168.0.2 leftcert=gw2cert.pem leftid=gw2@tes.co.id right=%any rightsubnet=10.1.0.0/24 keyexchange=ikev2 mobike=no mode=tunnel auto=add Konfigurasi ipsec.conf GW2 6. Pengujian MOBIKE

Konfigurasi file ipsec.conf pada skenario ini dilakukan terhadap host IPsec A dan gateway IPsec GW2. conn mobike left=192.168.0.100 leftcert=acert.pem leftid=a@tes.co.id right=192.168.0.2 rightid=gw2@tes.co.id rightsubnet=10.2.0.0/24 keyexchange=ikev2 mobike=yes auto=add Konfigurasi ipsec.conf A conn mobike left=192.168.0.2 leftcert=gw2cert.pem leftid=gw2@tes.co.id leftsubnet=10.2.0.0/24 right=%any rightid@tes.co.id keyexchange=ikev2 mobike=yes auto=add Konfigurasi ipsec.conf GW2

Lampiran 3

Tampilan Hasil Pengujian Sistem

1. Pengujian Algoritma Suite B

a) Pengujian AES-GCM-128

Hasil Output Konsol pada Host GW1

Baris pada security association (SA) ”...ESTABLISHED 76 seconds ago...” menunjukkan bahwa SA IKE antara peer IKE GW1 dan GW2 berhasil dibangun. Baris ”...IKE proposal: AES_CBC_128/ HMAC_SHA2_256_128/ PRF_HMAC_SHA2_256/ ECP_256...” menunjukkan bahwa untuk SA IKE, algoritma yang digunakan adalah enkripsi AES-CBC-128, algoritma HMAC-SHA-256-128, dan elliptic curve 256 bit. Baris ”...INSTALLED, TUNNEL, ESP...” menunjukkan bahwa SA untuk tunnel ESP berhasil dibuat dengan ”ESP SPI=c702a69e” untuk inbound dan”ESP SPI=ca931f42” untuk outbound. Baris ”AES_GCM_16_128” menunjukkan bahwa enkripsi ESP menggunakan AES-GCM-128.

Hasil Capture Wireshark Pada Jaringan 192.168.0.0/24

Hasil capture pada Wireshark menunjukkan bahwa komunikasi data berhasil dienkripsi dengan melihat paket ”ESP (SPI=0xca931f42)” outbound (keluar) dari GW1 dan paket ”ESP (SPI=0x c702a69e)” inbound (masuk) ke GW1.

b) Pengujian AES-GCM-256

Hasil Output Konsol pada Host GW1

Baris pada security association (SA) ”...ESTABLISHED 8 seconds ago...” menunjukkan bahwa SA IKE antara peer IKE GW1 dan GW2 berhasil dibangun. Baris ”...IKE proposal : AES_CBC_256/ HMAC_SHA2_384_192/ PRF_HMAC_SHA2_384/ ECP_384...” menunjukkan bahwa untuk SA IKE, algoritma yang digunakan adalah enkripsi AES-CBC-256, algoritma HMAC-SHA-384-192, dan elliptic curve 384 bit. Baris ”...INSTALLED, TUNNEL, ESP...” menunjukkan bahwa SA untuk tunnel ESP

berhasil dibuat dengan ”ESP SPI=ca09414a” untuk inbound dan”ESP SPI=c407a17b” untuk outbound. Baris ”AES_GCM_16_256” menunjukkan bahwa enkripsi ESP menggunakan AES-GCM-256.

Hasil Capture Wireshark Pada Jaringan 192.168.0.0/24

Hasil capture pada Wireshark menunjukkan komunikasi data berhasil dienkripsi dengan melihat paket ”ESP (SPI=0xc407a17b)” outbound (keluar) dari GW1 dan paket ”ESP (SPI=0xca09414a)” inbound (masuk) ke GW1.

2. Pengujian Repeated Authentication

Hasil Capture Wireshark pada jaringan 192.168.0.0/24 sebelum autentikasi ulang

Hasil capture Wireshark menunjukkan bahwa suatu tunnel IPsec berhasil dibangun dengan adanya pertukaran paket ”IKE_SA_INIT dan IKE_AUTH”. Baris pada

IKE antara peer IKE berhasil dibangun 10 detik lalu. Baris ”IKE SPIs: d1e0a17c1071a9a5_i* aca702d5d7bbf0d9_r*, public key reauthentication in 7 seconds” menunjukkan pengulangan autentikasi akan dilakukan dalam 7 detik.

Hasil Capture Wireshark pada jaringan 192.168.0.0/24 sesudah autentikasi ulang

Hasil capture menunjukkan bahwa terjadi pertukaran pesan ”ISAKMP

INFORMATIONAL” yang berarti bahwa terjadi pengulangan autentikasi. Pengulangan autentikasi ditunjukkan dengan adanya pertukaran pesan ”IKE_SA_INIT dan

IKE_AUTH” baru.

3. Pengujian NAT Traversal

Hasil Capture Wireshark pada jaringan 192.168.0.0/24

Hasil capture menunjukkan bahwa terjadi pertukaran pesan”IKE_SA_INIT dan

menunjukkan paket NAT-keepalive yang menunjukkan bahwa tunnel IPsec dibuat dalam mode NAT Traversal dimana host IPsec berada dibelakang NAT.

Hasil Output Konsol pada Host A

Baris pada security association (SA) ”...ESTABLISHED 71 seconds ago...” menunjukkan bahwa SA IKE antara peer IKE A dan B berhasil dibangun. Baris ”...INSTALLED, TUNNEL, ESP in UDP...” menunjukkan bahwa SA untuk tunnel ESP berhasil dibuat dalam mode NAT Traversal (yaitu dengan mekanisme enkapsulasi UDP) yang berarti bahwa host IPsec berada dibelakang NAT dengan ”ESP SPI=cf03cf23” untuk inbound dan”ESP SPI=c7f05510” untuk outbound. Hasil capture pada Wireshark menunjukkan komunikasi data berhasil dienkripsi dengan melihat paket ”ESP (SPI=0xc7f05510)” outbound (keluar) dari A dan paket ”ESP (SPI=0xcf03cf23)” inbound (masuk) ke A.

4. Pengujian Virtual IP

Hasil Output Konsol pada GW2

Baris”... virtual-ip(4): ESTABLISHED 86 seconds ago...” menunjukkan bahwa SA IKE antara GW2 dan A berhasil dibangun. Baris ”...virtual-ip(4) : 10.2.0.0/24 == 10.10.0.1/32...” menunjukkan bahwa Host A mendapatkan virtual IP 10.10.0.1. Baris”... virtual-ip(5): ESTABLISHED 46 seconds ago...” menunjukkan bahwa SA IKE antara peer IKE GW2 dan Z berhasil dibangun. Baris ”...virtual-ip(5) : 10.2.0.0/24 == 10.10.0.2/32...” menunjukkan bahwa Host Z mendapatkan virtual IP 10.10.0.2.

5. Pengujian Dua Roadwarrior Tunnel Mode

Hasil Capture Wireshark pada jaringan 192.168.0.0/24

Hasil capture pada Wireshark menunjukkan komunikasi data berhasil dienkripsi dengan melihat paket ”ESP (SPI=0xcdc95cc2)” outbound (keluar) dari A dan paket ”ESP

pada Host B dengan melihat paket ”ESP (SPI=0xca01271f)” outbound (keluar) dari B dan paket ”ESP (SPI=0x c1931ce5)” inbound (masuk) ke B.

6. Pengujian MOBIKE

Hasil capture Wireshark sebelum interface 192.169.0.100 down.

Hasil capture pada Wireshark menunjukkan tunnel IPsec yang berhasil dibangun dengan SA IKE ”initiator cookie: 4DE8345848BD7C37 dan responder cookie: 3ADBF9DF3DFEC8A3”.

Hasil output konsol pada A sesudah interface 192.169.0.100 down.

Paket ”ISAKMP INFORMATIONAL” menunjukkan terjadi pertukaran pesan yang melakukan update SA sehingga SA IKE antara peer IKE A dan GW2 masih tetap ada. SA IKE masih tetap sama yaitu ”initiator cookie: 4DE8345848BD7C37 dan

Simulasi Sistem Remote Access IPsec Berbasis

Perangkat Lunak IKEv2 strongSwan

Giri Patmono (103091039599) Program Studi Teknik Informatika

Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

Abstrak

VPN (Virtual Private

Networking) merupakan suatu

teknologi untuk membangun jaringan komputer virtual menggunakan media jaringan publik seperti Internet dengan melibatkan teknik tunneling. Salah satu skenario penerapan VPN adalah untuk remote access yang memungkinkan pengguna jarak jauh untuk mengakses sumber daya yang ada di jaringan komputer utama. Saat ini, remote access VPN berbasis protokol IPsec memiliki berbagai masalah dan

kebutuhan yang menghambat

penerapannya secara luas. Skripsi ini akan mencoba menentukan masalah dan kebutuhan dalam penerapan remote access VPN berbasis protokol IPsec. Kemudian akan dibuat suatu kriteria kebutuhan sistem sebagai solusi masalah tersebut dengan dasar penggunaan perangkat lunak IKEv2 strongSwan. Untuk melaksanakan pengujian, sistem akan dibuat dalam suatu lingkungan simulasi jaringan

menggunakan tool virtualisasi

VMware. Metode pengembangan

sistem yang kami gunakan adalah Network Development Life Cycle (NDLC) sampai pada tahapan ketiga yaitu analysis, design, dan simulation prototyping. Secara garis besar, skripsi ini mengajukan sistem remote access IPsec berbasis perangkat lunak IKEv2 strongSwan sebagai solusi masalah kebutuhan remote access VPN berbasis IPsec. Tujuan skripsi ini adalah untuk mendapatkan verifikasi terhadap kemampuan sistem remote access IPsec berbasis perangkat lunak IKEv2 strongSwan tersebut. Kesimpulan yang kami dapatkan dari hasil penelitian skripsi ini adalah bahwa sistem remote access IPsec berbasis perangkat lunak

semua masalah dan kebutuhan dalam penerapan remote access VPN berbasis IPsec. Pengembangan selanjutnya yang dapat dilakukan adalah melakukan simulasi penerapan IPsec Extensible Authentication Protocol (EAP) dan simulasi pengujian interoperabilitas antara Linux IKEv2 strongSwan sebagai server dan klien berbasis Windows.

1. Pendahuluan

VPN (Virtual Private Networking) merupakan suatu teknologi untuk membangun jaringan virtual antara komputer melalui media jaringan publik seperti Internet dengan

melibatkan teknik tunneling.

Penjelasan sederhananya, VPN adalah suatu jaringan komputer private yang dibangun diatas media fisik jaringan publik. Teknik tunneling digunakan untuk melewatkan transmisi data private diatas media jaringan publik sehingga terbentuk suatu jaringan komputer lokal virtual walaupun secara fisik bisa saja terdiri dari komputer dengan lokasi geografis berbeda seperti antar benua. VPN menyediakan solusi dengan biaya lebih murah dibanding pilihan dedicated line

ataupun leased-line bagi pihak yang

ingin memperluas jaringan

infrastruktur komputer.

Terdapat dua skenario umum penggunaan VPN yaitu Site-to-Site dan

Remote Access. Site-to-Site

menghubungkan antar jaringan

komputer LAN sedangkan Remote Access VPN digunakan antara pengguna remote(jarak jauh) seperti telecoworker (bekerja dari rumah) atau mobile worker (pekerja mobile) dengan suatu jaringan komputer LAN utama dari suatu organisasi.

2 VPN adalah Internet Protocol Security

(IPsec) yang bekerja pada level lapisan network. IPsec terdiri dari beberapa protokol yaitu Authentication header

(AH), Encapsulating Security Payload

(ESP), dan Internet Key Exchange

(IKE). AH dan ESP berfungsi untuk memberikan layanan kriptografi, sedangkan IKE bertugas menangani urusan manajemen parameter Security Association (SA).

Penerapan VPN berbasis IPsec dalam skenario Remote Access (disebut pula Remote Access IPsec) memiliki

masalah dan kebutuhan yang

menghambat penerapannya secara luas. Dari hasil studi literatur, kami berhasil menemukan masalah dan kebutuhan yang bersifat mendasar dan opsional

yang berperan penting dalam

penerapan remote access VPN berbasis IPsec.

Secara garis besar, skripsi ini akan mencoba menentukan masalah dan kebutuhan yang bersifat mendasar dan opsional dalam penerapan remote access VPN berbasis protokol IPsec. Kemudian akan dibuat suatu kriteria kebutuhan sistem sebagai solusi. Berdasarkan kriteria itu, skripsi ini akan membuat suatu sistem remote access IPsec berbasis perangkat lunak IKEv2 strongSwan yang memberikan solusi atas setiap masalah dan

kebutuhan. Untuk memudahkan

pengujian, sistem akan dibuat dalam suatu lingkungan simulasi jaringan

menggunakan tool virtualisasi

VMware. Suatu desain skenario

jaringan akan dibuat untuk

mengakomodasi kebutuhan pengujian terhadap sistem Remote Access IPsec berbasis perangkat lunak IKEv2 strongSwan itu. Hasil dari penelitian ini adalah berupa verifikasi terhadap kemampuan sistem Remote Access IPsec berbasis perangkat lunak IKEv2

strongSwan sebagai solusi atas masalah dan kebutuhan remote access IPsec.

2. Remote Access IPsec

Remote access VPN berbasis protokol IPsec atau disebut pula remote access IPsec merupakan salah satu tipe remote access VPN yang bisa digunakan pada jaringan IP. IPsec menyediakan suatu komunikasi remote access VPN yang aman melalui fungsi-fungsi kriptografi. Dalam beberapa skenario tertentu, remote access IPsec memiliki masalah dan kebutuhan yang

menjadi batu sandungan bagi

penerapan IPsec sebagai solusi standar

kebutuhan remote access VPN.

Masalah dan kebutuhan itu

menghambat penerapan remote access IPsec secara luas. Bagian ini akan memberikan penjelasan mengenai konsep remote access IPsec dan mengenai masalah dan kebutuhan yang ada saat ini pada penerapan remote access IPsec.

2.1. Tinjauan Remote

Access IPsec

Remote access VPN memiliki karakteristik utama yaitu berupa adanya pengguna remote(jarak jauh) yang memiliki alamat IP yang dinamis yang mengakses jaringan target (jaringan LAN utama) melalui jaringan publik Internet. Remote access VPN yang menggunakan protokol IPsec sebagai penyedia mekanisme tunneling dan fungsi keamanan disebut pula remote access IPsec.

VPN menggunakan mekanisme tunneling yang merupakan suatu enkapsulasi paket data dari protokol jaringan yang satu ke protokol jaringan lainnya. Dengan tunneling, data yang berasal dari jaringan LAN lokal dapat dikirimkan melewati jaringan Internet

3 menuju jaringan tujuan. Tunnel remote access IPsec diterminasi pada ujung-ujung tunnel endpoint yaitu klien remote access itu sendiri dan suatu gateway keamanan yang pada hal ini adalah gateway IPsec.

IPsec dibentuk oleh tiga protokol utama yaitu IKE, AH, dan

ESP. Fungsi manajemen kunci

kriptografi dan parameter SA lainnya disediakan oleh protokol IKE. Protokol AH dan ESP berfungsi sebagai

penyedia mekanisme tunneling

komunikasi data, layanan

confidentiality, data integrity, dan data source authentication.

Ketersediaan akses broadband secara luas, sejalan dengan keinginan untuk mengurangi biaya akses PSTN,

telah menjadi pendorong

berkembangnya penggunaan remote access berbasis jaringan Internet. Remote access IPsec sebagai salah satu alternatif solusi secure remote access

berbasis Internet pun mengalami peningkatan penggunaan secara luas.

Remote access IPsec yang dibangun menggunakan media jaringan publik Internet memiliki kelebihan finansial dibanding remote access mengguakan media leased line. Fitur keamanan yang disediakan oleh IPsec pun menjadi insentif pertumbuhan remote access berbasis IPsec. Akan tetapi, dalam beberapa hal tertentu, terdapat masalah dan kebutuhan yang memberikan tantangan bagi suksesnya penerapan remote access IPsec sebagai solusi standar untuk kebutuhan remote access VPN.

2.2. Masalah dan

Kebutuhan Remote Access

IPsec

Dari hasil studi literatur, kami berhasil menemukan masalah-masalah dan kebutuhan yang bersifat mendasar

dan opsional pada penerapan remote

access IPsec. Kami kemudian

menetapkan masalah dan kebutuhan remote access IPsec sebagai berikut:

1. Kebutuhan algoritma

kriptografi yang kuat.

2. Kebutuhan pengulangan

autentikasi.

3. Masalah ketidakcocokan NAT dan IPsec.

4. Masalah alamat IP klien-klien IPsec yang overlapping.

5. Masalah NAT Traversal mode transport.

6. Kebutuhan peer IPsec yang mobile dan multihoming.

2.2.1. Kebutuhan algoritma kriptografi yang kuat

Kebutuhan algoritma

kriptografi dalam remote access IPsec

dapat dibagi menjadi kedalam

beberapa bagian yaitu algoritma

endpoint authentication, algoritma pembuatan kunci shared secret, algoritma message integrity, algoritma

enkripsi. Saat ini berbagai vendor penyedia solusi sistem remote access IPsec memiliki suatu set algoritma kriptografi atau algorithm suite sendiri. Pilihan–pilihan algoritma yang

bervariasi itu belum tentu

menyediakan tingkat keamanan yang baik. Contoh dari pemilihan algoritma kriptografi itu adalah seperti pilihan algoritma signature RSA sebagai algoritma autentikasi endpoint, pilihan grup MODP Diffie-Hellman 768bit dan 1024bit sebagai input dalam algoritma pembuatan shared secret,

pilihan HMAC-MD5-96 sebagai

algoritma message integrity, dan pilihan algoritma 3DES atau CAST128 sebagai algoritma enkripsi.

Masalahnya adalah bahwa

pihak-pihak yang ingin menerapkan sistem remote access IPsec dihadapkan pada banyak pilihan algoritma

4 kriptografi dimana pilihan-pilihan tersebut belum tentu menyediakan tingkat keamanan yang baik. Oleh karena itu, dibutuhkan suatu referensi ilmiah yang menyediakan rujukan set pilihan algoritma kriptografi atau

algorithm suite yang memberikan tingkat keamanan yang kuat.

2.2.2. Kebutuhan pengulangan autentikasi

Dalam skenario remote access, terkadang masing-masing peer IPsec

Unduh sekarang "Simulasi sistem remote..."

Garis besar

Dokumen terkait