VIRTUAL PRIVATE

VIRTUAL PRIVATE

NETWORKS (VPN)

NETWORKS (VPN)

Traditional Connectivity

Traditional Connectivity

[From Gartner Consulting] [From Gartner Consulting]

What is VPN?

What is VPN?

¾

¾Virtual Private Network is a type of private Virtual Private Network is a type of private network that uses public telecommunication,

network that uses public telecommunication,

such as the Internet, instead of leased lines to

such as the Internet, instead of leased lines to

communicate.

communicate. ¾

¾Became popular as more employees worked in Became popular as more employees worked in remote locations.

remote locations. ¾

What is a VPN

What is a VPN

Public networks are used to move information between trusted network segments using shared facilities like frame relay or atm

A VIRTUAL Private Network replaces all of the above utilizing the public Internet Performance and availability depend on your ISP and the

Private Networks

Private Networks

vs.

vs.

Virtual Private Networks

Virtual Private Networks

’

’Employees can access the network (Intranet) Employees can access the network (Intranet) from remote locations.

from remote locations. ’

’Secured networks.Secured networks.

’

’The Internet is used as the backbone for VPNsThe Internet is used as the backbone for VPNs

’

’Saves cost tremendously from reduction of Saves cost tremendously from reduction of equipment and maintenance costs.

equipment and maintenance costs. ’

Why?

Why?

ƒ

ƒ T1 is a 1.544 Mbps point-to-point dedicated, digital circuit provided T1 is a 1.544 Mbps point-to-point dedicated, digital circuit provided by the telephone companies

Remote Access Virtual Private

Remote Access Virtual Private

Network

Network

Brief Overview of How it Works

Brief Overview of How it Works

9

9

Two connections Two connections – one is made to the – one is made to the Internet and the second is made to the Internet and the second is made to the VPN.

VPN.

9

9

Datagrams –Datagrams – contains data, destination contains data, destination and source information.

and source information.

9

9

Firewalls Firewalls –– VPNs allow authorized users VPNs allow authorized users to pass through the firewalls.

to pass through the firewalls.

9

9

Protocols –Protocols – protocols create the VPN protocols create the VPN tunnels.

Four Critical Functions

Four Critical Functions

‰

‰

Authentication Authentication –– validates that the data was validates that the data was sent from the sender.

sent from the sender.

‰

‰

Access controlAccess control –– limiting unauthorized users limiting unauthorized users from accessing the network.

from accessing the network.

‰

‰

Confidentiality Confidentiality – preventing the data to be – preventing the data to be read or copied as the data is being

read or copied as the data is being transported.

transported.

‰

‰

Data Integrity Data Integrity – ensuring that the data has – ensuring that the data has not been altered

Encryption

Encryption

™

™

Encryption -- is a method of Encryption -- is a method of “scrambling“scrambling” ” data before transmitting it onto the Internet. data before transmitting it onto the Internet.

™

™

Public Key Encryption TechniquePublic Key Encryption Technique

™

Tunneling

Tunneling

A virtual point-to-point connection A virtual point-to-point connection

made through a public network. It transports made through a public network. It transports encapsulated datagrams.

encapsulated datagrams.

Encrypted Inner Datagram Datagram Header Outer Datagram Data Area

Original Datagram

Data Encapsulation [From Comer]

Two types of end points:

‰ Remote Access

Four Protocols used in VPN

Four Protocols used in VPN

¾

¾

PPTP -- Point-to-Point Tunneling ProtocolPPTP -- Point-to-Point Tunneling Protocol

¾

¾

L2TP -- Layer 2 Tunneling ProtocolL2TP -- Layer 2 Tunneling Protocol

¾

¾

IPsec -- Internet Protocol SecurityIPsec -- Internet Protocol Security

¾

¾

SOCKS SOCKS –– is not used as much as the is not used as much as the ones above

VPN Encapsulation of Packets

VPN Encapsulation of Packets

Types of Implementations

Types of Implementations

‰

‰

What does What does ““implementationimplementation”” mean in mean in VPNs?

VPNs?

‰

‰

3 types3 types

‰

‰Intranet Intranet –– Within an organization Within an organization

‰

‰Extranet Extranet –– Outside an organization Outside an organization

‰

Virtual Private Networks (VPN)

Basic Architecture

VPN Topology: Types of VPNs

VPN Topology: Types of VPNs

ƒ

ƒ

Remote access VPNRemote access VPN

ƒ

ƒ

Intranet VPNIntranet VPN

ƒ

VPN Topology: Remote Access

VPN Topology: Remote Access

VPN

VPN Topology: Intranet VPN

VPN Topology: Extranet VPN

VPN Component

VPN Component

ƒ

ƒ

TunnelingTunneling

ƒ

ƒ

EncryptionEncryption

ƒ

ƒ

Authentication,Identity Authentication,Identity

ƒ

Tunneling

Tunneling

ƒ

ƒ Tunnel dalam VPN sebenarnya hanya logical Tunnel dalam VPN sebenarnya hanya logical point-to-point connection dengan otentikasi

point-to-point connection dengan otentikasi

dan enkripsi

dan enkripsi ƒ

ƒ Paket lama dibungkus dalam paket baru. Paket lama dibungkus dalam paket baru. Alamat ujung tujuan terowongan (

Alamat ujung tujuan terowongan (tunnel tunnel endpoints)

endpoints) diletakkan di destination address diletakkan di destination address paket baru, yang disebut dengan

paket baru, yang disebut dengan

encapsulation header.

encapsulation header. Tujuan akhir tetap ada Tujuan akhir tetap ada pada header paket lama yang dibungkus

pada header paket lama yang dibungkus

(encapsulated). Saat sampai di endpoint,

(encapsulated). Saat sampai di endpoint,

kapsul dibuka, dan paket lama dikirimkan ke

kapsul dibuka, dan paket lama dikirimkan ke

tujuan akhirnya

Teknologi Tunneling

Teknologi Tunneling

ƒ

ƒ Protokol Protokol tunneling layer tunneling layer 2 (Data Link Layer) dan 2 (Data Link Layer) dan

layer

layer 3 (Network Layer) model OSI layer : 3 (Network Layer) model OSI layer :

ƒ

ƒ Tunneling Layer Tunneling Layer 2 (Data Link Layer) : 2 (Data Link Layer) :

ƒ

ƒ PPTP (Point to Point Tunneling Protocol) PPTP (Point to Point Tunneling Protocol)

ƒ

ƒ L2TP (Layer 2 Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol)

ƒ

ƒ L2F (Layer 2 Forwarding) L2F (Layer 2 Forwarding)

ƒ

ƒ Tunnelling Layer Tunnelling Layer 3 (Network Layer): 3 (Network Layer):

ƒ

ƒ IPSec (IP Security) IPSec (IP Security)

ƒ

ƒ VTP (Virtual Tunneling Protocol) VTP (Virtual Tunneling Protocol)

ƒ

Point-to-Point Tunneling

Point-to-Point Tunneling

Protocol (PPTP)

Protocol (PPTP)

ƒ

ƒ PPTP merupakan protokol jaringan yang PPTP merupakan protokol jaringan yang memungkinkan pengamanan transfer data dari

memungkinkan pengamanan transfer data dari

remote client ke server pribadi perusahaan

remote client ke server pribadi perusahaan

dengan membuat sebuah VPN melalui TCP/IP.

dengan membuat sebuah VPN melalui TCP/IP. ƒ

ƒ Umumnya terdapat tiga komputer yang Umumnya terdapat tiga komputer yang diperlukan untuk membangun PPTP, yaitu

diperlukan untuk membangun PPTP, yaitu

sebagai berikut :

sebagai berikut :

Klien PPTP, Network access server (NAS),

Klien PPTP, Network access server (NAS),

Server PPTP

Layer 2 Tunneling Protocol

Layer 2 Tunneling Protocol

(L2TP)

(L2TP)

ƒ

ƒ

L2TP adalah tunneling protocol yang L2TP adalah tunneling protocol yang

memadukan dua buah tunneling protokol memadukan dua buah tunneling protokol yaitu L2F (Layer 2 Forwarding) milik cisco yaitu L2F (Layer 2 Forwarding) milik cisco dan PPTP milik Microsoft.

dan PPTP milik Microsoft.

ƒ

ƒ

Umumnya L2TP menggunakan port 1702 Umumnya L2TP menggunakan port 1702 dengan protocol UDP untuk mengirimkan dengan protocol UDP untuk mengirimkan L2TP encapsulated PPP frames sebagai L2TP encapsulated PPP frames sebagai data yang di tunnel.

Seperti gambar di bawah ini :

Seperti gambar di bawah ini :

Perangkat dasar L2TP :

Perangkat dasar L2TP :

ƒ

ƒ Remote Client Remote Client

Suatu

Suatu end system end system atau atau router router pada jaringan pada jaringan remote access remote access

(mis. :

(mis. : dial-up clientdial-up client).).

ƒ

ƒ L2TP L2TP Access Concentrator Access Concentrator (LAC)(LAC)

Sistem yang berada disalah satu ujung

Sistem yang berada disalah satu ujung tunnel tunnel L2TP dan L2TP dan merupakan

merupakan peer peer ke LNS. Berada pada sisi ke LNS. Berada pada sisi remote clientremote client/ ISP. / ISP. Sebagai pemrakarsa

Sebagai pemrakarsa incoming call incoming call dan penerima dan penerima outgoing outgoing call

call..

ƒ

ƒ L2TP L2TP Network Server Network Server (LNS)(LNS)

Sistem yang berada disalah satu ujung

Sistem yang berada disalah satu ujung tunnel tunnel L2TP dan L2TP dan merupakan

merupakan peer peer ke LAC. Berada pada sisi jaringan korporat. ke LAC. Berada pada sisi jaringan korporat. Sebagai pemrakarsa

Sebagai pemrakarsa outgoing call outgoing call dan penerima dan penerima incoming incoming call

call..

ƒ

ƒ Network Access Server Network Access Server (NAS)(NAS)

NAS dapat berlaku seperti LAC atau LNS atau kedua-duanya. NAS dapat berlaku seperti LAC atau LNS atau kedua-duanya.

Model Compulsory L2TP,

Model Compulsory L2TP,

seperti gambar di bawah

seperti gambar di bawah

ini :

ini :

Compulsory L2TP, melakukan :

Compulsory L2TP, melakukan :

1.

1. Remote clientRemote client memulai koneksi PPP ke LAC melalui PSTN. memulai koneksi PPP ke LAC melalui PSTN. Pada gambar diatas LAC berada di ISP.

Pada gambar diatas LAC berada di ISP.

2.

2. ISP menerima koneksi tersebut dan link PPP ditetapkan. ISP menerima koneksi tersebut dan link PPP ditetapkan.

3.

3. ISP melakukan partial authentication (pengesahan ISP melakukan partial authentication (pengesahan parsial)untuk mempelajari user name. Database map user parsial)untuk mempelajari user name. Database map user untuk layanan-layanan dan endpoint tunnel LNS, dipelihara untuk layanan-layanan dan endpoint tunnel LNS, dipelihara oleh ISP.

oleh ISP.

4.

4. LAC kemudian menginisiasi tunnel L2TP ke LNS. LAC kemudian menginisiasi tunnel L2TP ke LNS.

5.

5. Jika LNS menerima koneksi, LAC kemudian Jika LNS menerima koneksi, LAC kemudian mengencapsulasi PPP dengan L2TP, dan meneruskannya mengencapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel yang tepat.

melalui tunnel yang tepat.

6.

6. LNS menerima frame-frame tersebut, kemudian LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa.

incoming PPP biasa.

7.

7. LNS kemudian menggunakan pengesahan PPP untuk LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.

Model Voluntary L2TP

Model Voluntary L2TP

Voluntary L2TP, melakukan :

Voluntary L2TP, melakukan :

1.

1. Remote client Remote client mempunyai koneksi mempunyai koneksi pre- established pre- established ke ISP. ke ISP. Remote Client befungsi juga sebagai LAC. Dalam hal ini, Remote Client befungsi juga sebagai LAC. Dalam hal ini,

host

host berisi berisi software client software client LAC mempunyai suatu koneksi ke LAC mempunyai suatu koneksi ke jaringan publik (internet) melalui ISP.

jaringan publik (internet) melalui ISP.

2.

2. Client Client L2TP (LAC) menginisiasi L2TP (LAC) menginisiasi tunnel tunnel L2TP ke LNS.L2TP ke LNS.

3.

3. Jika LNS menerima koneksi, LAC kemudian meng-Jika LNS menerima koneksi, LAC kemudian meng-encapsulasi PPP dengan L2TP, dan meneruskannya encapsulasi PPP dengan L2TP, dan meneruskannya melalui

melalui tunneltunnel. .

4.

4. LNS menerima LNS menerima frame-frame frame-frame tersebut, kemudian tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai

melepaskan L2TP, dan memprosesnya sebagai frame frame incoming

incoming PPP biasa. PPP biasa.

5.

5. LNS kemudian menggunakan pengesahan PPP untuk LNS kemudian menggunakan pengesahan PPP untuk memvalidasi

Cara Kerja L2TP

Cara Kerja L2TP

Komponen-komponen pada tunnel, yaitu : Komponen-komponen pada tunnel, yaitu :

ƒ

ƒ

Control channelControl channel

ƒ

ƒ

Sessions Sessions (data channel) (data channel)

ƒ

Cara kerjanya seperti gambar di

Cara kerjanya seperti gambar di

bawah ini :

bawah ini :

IPSecurity (IPSec)

IPSecurity (IPSec)

IPSec bekerja dengan tiga cara, yaitu: IPSec bekerja dengan tiga cara, yaitu:

ƒ

ƒ

Network-to-networkNetwork-to-network

ƒ

ƒ

Host-to-networkHost-to-network

ƒ

ƒ

Host-to-hostHost-to-host

Koneksi host-to-network, biasanya digunakan oleh seseorang Koneksi host-to-network, biasanya digunakan oleh seseorang yang menginginkan akses aman terhadap sumberdaya suatu yang menginginkan akses aman terhadap sumberdaya suatu perusahaan. Prinsipnya sama dengan kondisi perusahaan. Prinsipnya sama dengan kondisi network-to-network, hanya saja salah satu sisi gateway digantikan oleh network, hanya saja salah satu sisi gateway digantikan oleh client, seperti gambar di bawah ini :

client, seperti gambar di bawah ini :

Protokol yang berjalan

Protokol yang berjalan

dibelakang IPSec adalah :

dibelakang IPSec adalah :

ƒ

ƒ AH (Authentication Header) AH (Authentication Header)

ƒ

ƒ ESP (Encapsulated Security Payload) ESP (Encapsulated Security Payload)

Kelebihan mengapa IPSec menjadi standar, yaitu:

Kelebihan mengapa IPSec menjadi standar, yaitu: ƒ ƒ Confidentiality Confidentiality ƒ ƒ Integrity Integrity ƒ ƒ Authenticity Authenticity ƒ

VPN works via

VPN works via

crypto/Encapsulation

Digital Signature to verify data

Digital Signature to verify data

not changed in transit

PKI the full picture

WebVPN

WebVPN Features

WebVPN and IPSec

WebVPN and IPSec

Comparison