Pengertian IPSec
Internet Protocol Security (IPsec) adalah protokol untuk mengamankan Internet Protocol (IP) komunikasi dengan otentikasi dan mengenkripsi setiap paket IP dari suatu sesi komunikasi. IPsec juga mencakup protokol untuk mendirikan otentikasi bersama antara agen pada awal sesi dan negosiasi kunci kriptografi yang akan digunakan selama sesi.
Beberapa sistem keamanan Internet lainnya digunakan secara luas,seperti Secure Socket Layer (SSL), Transport Layer Security (TLS) dan SecureShell (SSH), beroperasi di lapisan atas dari model TCP / IP. Di masa lalu, penggunaan TLS / SSL harus dirancang ke dalam aplikasi untuk melindungiprotokol aplikasi. Sebaliknya, sejak hari pertama, aplikasi tidak perlu dirancang khusus untuk menggunakan IPsec. Oleh karena itu, IPsec melindungi lalu lintas aplikasi di jaringan IP.
Sejarah IP Sec
Eksperimental Babatan Keamanan IP
(protokol) yang diteliti di Columbia University dan AT & T Bell Labs pada
bulan Desember 1993. Kemudian, Wei Xu pada bulan Juli 1994 di Sistem Informasi
Trusted melanjutkan penelitian ini. Setelah beberapa bulan, penelitian ini
berhasil diselesaikan pada sistem BSDI. Dengan hacking kernel biner, Wei telah
diperpanjang dengan cepat perkembangannya ke Sun OS, HP UX, dan sistem UNIX
lainnya. Salah satu tantangan adalah kinerja lambat dari DES dan 3DES. Enkripsi
perangkat lunak bahkan tidak bisa mendukung kecepatan T1 di bawah arsitektur
Intel 80386. Dengan menjelajahi kartu Crypto dari Jerman, Xu Wei lanjut
mengembangkan device driver otomatis, yang dikenal sebagai plug-and-play hari.
Dengan mencapai throughput lebih dari satu T1s, pekerjaan ini membuat produk
komersial praktis hal itu layak, yang dirilis sebagai bagian dari firewall
Gauntlet terkenal.
Pada Desember 1994, itu adalah pertama kalinya dalam
produksi untuk mengamankan beberapa situs remote antara timur dan barat pesisir
negara bagian Amerika Serikat. Lain Protokol Keamanan IP dikembangkan pada
tahun 1995 di Laboratorium Riset Naval sebagai bagian dari proyek penelitian
DARPA disponsori. ESP awalnya berasal dari protokol SP3D, bukannya berasal dari
ISO Jaringan-Layer Security Protocol (NLSP). Spesifikasi protokol SP3D
diterbitkan oleh NIST, tetapi dirancang oleh proyek Jaringan Sistem Data Aman
dari National Security Agency (NSA), AH yang berasal dari bagian dalam
pekerjaan standar sebelumnya IETF untuk otentikasi dari Simple Network
Management Protocol (SNMP).
Sejak tahun 1996, lokakarya Keamanan IP
diselenggarakan untuk standardisasi protokol. IPsec secara resmi ditetapkan
oleh Internet Engineering Task Force (IETF) dalam serangkaian Permintaan untuk
dokumen Komentar menangani berbagai komponen dan ekstensi. Ini menentukan ejaan
nama protokol menjadi IPsec.
Cara Kerja
Ø
Protokol AH menyediakan integritas hubungan, otentifikasi data asal dan
layanan anti jawaban.
Ø
Protokol ESP menyediakan kerahasiaan (enkripsi), dan pembatasan aliran
lalulintas kerahasiaan.
Ø
ESP Juga menyediakan layanan integritas hubungan, otentifikasi data asal
dan layanan anti jawaban.
Ø
Kedua protokol ini merupakan pembawa kontrol akses berbasis distribusi
kunci kriptografi dan manajemen aliran lalulintas relatif terhadap protokol
keamanan.
Secara umum layanan yang diberikan IPSec adalah :
1. Data Confidentiality, pengirim data dapat mengengkripsi paket data
sebelum dilakukan transmit data.
2. Data Integrity, penerima dapat mengotentifikasi paket yang dikirimkan
oleh pengirim
untuk meyakinkan bahwa data tidak dibajak selama transmisi.
3.
Data Origin Authentication, penerima dapat mengotentifikasi asal dari
paket IPSEC
yang dikirimkan.
4.
Anti Replay, penerima dapat mendeteksi dan menolak paket yang telah
dibajak.
Kelebihan IPSec:
1. IPsec dapat
melindungi protokol apa pun yang berjalan di atas IP dan pada medium apa pun
yang dapat digunakan IP, sehingga IPsec merupakan suatu metode umum yang dapat
menyediakan keamanan komunikasi melalui jaringan computer.
2. IPsec
menyediakan keamanan secara transparan, sehingga dari sisi aplikasi, user tidak perlu menyadari keberadaannya
3. IPsec dirancang untuk memenuhi standar baru IPv6 tanpa
melupakan IPv4 yang sekarang digunakan
4. Perancangan IPsec tidak mengharuskan penggunaan algoritma
enkripsi atau hash tertentu sehingga jika algoritma yang sering digunakan
sekarang telah dipecahkan, fungsinya dapat diganti dengan algoritma lain yang
lebih sulit dipecahkan.
Kelemahan IPSec :
1. IPsec
terlalu kompleks, penyediaan beberapa fitur tambahan dengan menambah
kompleksitas yang tidak perlu .
2. Beberapa dokumentasinya
masih mengandung beberapa kesalahan, tidak menjelaskan beberapa
penjelasan esensial, dan ambigu.
3. Beberapa
algoritma default yang
digunakan dalam IPsec telah dapat dipecahkan/dianggap tidak aman (misalnya DES
yang dianggap tidak aman dan MD5 yang telah mulai berhasil diserang. Algoritma
penggantinya telah tersedia dan administrator sistem sendiri yang harus
memastikan bahwa mereka menggunakan algoritma lain untuk mendapatkan keamanan
yang lebih tinggi.
IPSec bekerja pada lapisan network, memproteksi dan
mengotentifikasi komunikasi paket IP antara host dan berfungsi baik pada
lalu lintas IPv6 maupun IPv4. IPSec ini sebenarnya adalah fitur yang dimiliki oleh IPv6 namun oleh
beberapa developer diaplikasikan kedalam IPv4.
IPSec mempunyai 4 buah elemen, yaitu :
1. AH (authentication header )
2. ESP (encasulapting security payload)
3. IPcomp (IP payload compression)
4. IKE (internet key exchange)
1.
Authentication
Header
Protokol Authentication Header (AH) menawarkan autentikasi pengguna dan
perlindungan dari beberapa serangan (umumnya serangan man in the middle), dan
juga menyediakan fungsi autentikasi terhadap data serta integritas terhadap
data. Protokol ini mengizinkan penerima untuk merasa yakin bahwa identitas si pengirim
adalah benar adanya, dan data pun tidak dimodifikasi selama transmisi. Namun
demikian, protokol AH tidak menawarkan fungsi enkripsi terhadap data yang
ditransmisikannya. Informasi AH dimasukkan ke dalam header paket IP yang dikirimkan dan dapat digunakan secara sendirian atau
bersamaan dengan protokolEncapsulating Security Payload.
2.
Encapsulating
Security Payload
Protokol Encapsulating Security Payload (ESP) Protokol ini melakukan enkapsulasi serta
enkripsi terhadap data pengguna untuk meningkatkan kerahasiaan data. ESP juga
dapat memiliki skema autentikasi dan perlindungan dari beberapa serangan dan
dapat digunakan secara sendirian atau bersamaan dengan Authentication Header. Sama seperti halnya AH, informasi mengenai ESP juga
dimasukkan ke dalam headerpaket IP yang
dikirimkan.
Security Association
Sebuah Asosiasi
Keamanan (SA) adalah pembentukan atribut keamanan bersama antara dua entitas
jaringan untuk mendukung komunikasi yang aman. Sebuah SA mungkin termasuk
atribut seperti: algoritma kriptografi dan mode, kunci enkripsi lalu lintas,
dan parameter untuk data jaringan yang akan melewati sambungan. Kerangka untuk
mendirikan asosiasi keamanan disediakan oleh Internet Security Association dan
Key Management Protocol (ISAKMP). Protokol seperti Internet Key Exchange dan
Kerberized Negosiasi internet Keys menyediakan dikonfirmasi material kunci. Sebuah SA adalah simpleks (satu arah channel) dan koneksi
logis yang mendukung dan menyediakan koneksi data yang aman antara perangkat
jaringan. Persyaratan mendasar dari sebuah SA tiba ketika dua entitas
berkomunikasi melalui lebih dari satu saluran. Ambil contoh pelanggan seluler
dan base station. Pelanggan dapat berlangganan sendiri untuk lebih dari satu
layanan.
Oleh karena itu
setiap layanan mungkin memiliki layanan yang berbeda primitif seperti kunci
enkripsi data algoritma, publik atau vektor inisialisasi. Sekarang untuk
membuat segalanya lebih mudah, semua informasi keamanan yang dikelompokkan
secara logis. Ini kelompok logis itu sendiri adalah Asosiasi Keamanan. Setiap
SA memiliki ID sendiri disebut SAID. Jadi sekarang base station dan pelanggan
seluler akan berbagi SAID dan mereka akan memperoleh semua parameter keamanan,
membuat hal-hal jauh lebih mudah. Singkatnya, sebuah SA adalah kelompok logis
dari parameter keamanan yang memungkinkan berbagi informasi kepada entitas
lain.
IPsec dapat
diimplementasikan dalam mode transportasi host-to-host, sertadalam modus
jaringan terowongan.
Transportasi modus
Dalam modus
transportasi, hanya payload dari paket IP biasanya dienkripsidan / atau
disahkan. Routing utuh, karena header IP tidak diubah atau dienkripsi, namun
ketika header otentikasi yang digunakan, alamat IP tidak dapat
diterjemahkan,karena hal ini akan membatalkan nilai hash. Transportasi dan
lapisan aplikasi selaludijamin dengan hash, sehingga mereka tidak dapat diubah
dengan cara apapun(misalnya dengan menerjemahkan nomor port). Sebuah sarana
untuk merangkumpesan IPsec untuk NAT traversal telah didefinisikan oleh dokumen
RFCmenggambarkan mekanisme NAT-T.
Terowongan modus
Dalam modus terowongan, paket IP seluruh dienkripsi dan / atau disahkan.
Hal ini kemudian dikemas ke dalam paket IP baru dengan header IP yang baru.
Modus terowongan yang digunakan untuk membuat jaringan pribadi virtual untuk
jaringan-jaringan komunikasi (misalnya antara router ke situs link),
host-to-jaringan komunikasi (misalnya akses pengguna jarak jauh), dan
host-to-host komunikasi (chat pribadi misalnya).
Cryptographic algorithms
Algoritma kriptografi didefinisikan untuk
digunakan dengan IPsec meliputi:
· HMAC-SHA1 untuk perlindungan integritas
dan keaslian
· TripleDES-CBC untuk kerahasiaan
· AES-CBC untuk kerahasiaan
Mengacu
pada RFC 4835 untuk rincian.
Software implementations
IPsec dukungan
biasanya diimplementasikan dalam kernel dengan manajemenkunci dan ISAKMP / IKE
negosiasi dilakukandari user-space. Ada IPsecimplementasi seringkali mencakup.
Standards status
IPsec
dikembangkan bersama dengan IPv6 dan harus tersedia di semua standar-compliant
implementasi IPv6 meskipun tidak semua implementasi IPv6termasuk dukungan
IPsec, adalah opsional untuk IPv4 implementasi. Namun, karenapenyebaran lambat
IPv6, IPsec ini paling sering digunakan untuk mengamankan IPv4lalu lintas.
Protokol IPsec awalnya didefinisikan dalam RFC 1825 dan RFC 1829,yang
diterbitkan pada tahun 1995. Pada tahun 1998, dokumen-dokumen
tersebutdigantikan oleh RFC 2401 dan RFC 2412 dengan aspek kompatibel, meskipun
merekasecara konseptual identik. Selain itu, sebuah saling otentikasi dan
pertukaran kunciprotokol Internet Key Exchange (IKE) didefinisikan untuk
membuat dan mengelolaasosiasi keamanan.
Pada
bulan Desember 2005, standar baru didefinisikan dalam RFC4301 dan RFC 4309 yang
sebagian besar merupakan superset dari edisi sebelumnyadengan versi kedua dari
Bursa kunci standar Internet IKEv2. Ini generasi ketigadokumen standar
singkatan dari IPsec menjadi huruf besar "IP" dan huruf kecil
"sec".Hal ini tidak biasa untuk melihat produk yang menawarkan dukungan
untuk RFC1825 dan 1829. "ESP" umumnya mengacu pada RFC 2406,
sedangkan ESPbismengacu pada RFC 4303. Sejak pertengahan 2008, sebuah
Pemeliharaan IPsec dan kelompok Ekstensi bekerja aktif di IETF.
Dibawah ini
adalah tampilan IP Sec dalam MikroTIK.
Dalam gambar diatas terdapat banyak
tab seperti Policies,Groups,Peer,Remote Peers,Mode Confings dan seterusnya.
- IP Sec Proposal
Jika anda mengklik
rule default pada tab proposal maka kan muncul tampilan nama,Auth Algorithma
dan Encryption Algoritma. Algoritma dalam dunia IT adalah urutan atau
langkah-langkah untuk menyeselesaikan suatu msalah secara logis.Sedangkan
Authentikasi adalah proses validasi atau pembutian identitas. Algoritma
Authentikasi adalah urutan langkah-langkah yang digunakan untuk pembuktian agar
ke dua interface client-server dapat terhubung.Dalam Ip sec Algoritma
Authentikasi yang dapat digunakan yaitu: md5,null,sha512,sha1 dan sha256.
Encryption atau enkripsi adalah suatu metode yang digunakan untuk mengkodekan data sedemikian
rupa sehingga keamanan informasinya terjaga dan tidak dapat dibaca. Jadi Algoritma
Encryption adalah langkah-langkah untuk mengkodekan data agar tejaga
rahasianya.Dalam Ip sec terdapat banyak algoritma encryption,seperti gambar
berikut.
- IP Sec Groups
Berfungsi jika kita
membuat banyak client IP Sec yang dikelompokan berbeda,maka kita bisa
membedakannya berdasarkan Groups nya.
- IP Sec Polocies.
- General
Keterangan :
Src.Address : alamat IP pubilk Router
Src.Port :Port yang akan digunakan dalam
proses Tunelling
Dst.Address :Alamat Ip public Router lawan
Dst.Port :Port yang akan digunakan pada
Router lawan
Protocol :Protocol yang ingin diterapkan pada
jaringan tunnel.
Group : nama kelompok yang di peroleh dari IP Sec Proposal
Group : nama kelompok yang di peroleh dari IP Sec Proposal
- Action
Action digunakan untuk memilih penindakan
- Encrypt : Mengenkripsi kan packet yang lewat kedalam jaringan
- Drop : Menolak dan membuang packet
- None : Meloloskan packet tanpa mengenkripsi
IP Sec
Protocols : Menentukan kombinasi protokol Otentikasi Header dan
Encapsulating security Payload yang
ingin diterapkan pada
jaringan. Default :esp.
SA Src. Address : Alamat IP Router tujuan
SA Dst.
Address : Alamat IP Router
Proposal
: Pemilihan tindakan Autentikasi dan Algoritma encryption
yang diambil dari IP Sec Proposal.
PH2 Count :
Jumlah sesi fase yang aktif.
PH2 State :
Menampilakan kemajuan pembentukan Kunci.
- IP Sec Peers
Address : Alamat ip tunnel tujuan.
Port : Port yang digunakan untuk terhubung ke remote peer router lawan.
Local Address
: Alamat local router
Auth.Method
: Pemilihan Authentikasi,default:pre shared key
Secret :
Password dalam otentikasi
Policy group :
Pemilihan group yang diambil pada Ip sec Groups.
Hash algoritma : Pemilihan algoritma Hash,default :Sha1
atau bisa juga memilih
md5,sha256,sha512
- Remote Peers
Digunakan untuk
menampilkan remote pees yang aktif.
- Installed SAs
Digunakan untuk
menyediakan tentang asosiasi keamanan yang diistall termasuk kunci.
- Keys
Menu ini mencantumkan semua kunci publik danprivate
impor, yang dapat digunakan untuk otentikasi.
- Users
Menu ini terdiri dari daftar pengguna XAuth yang diizinkan.
Untuk
lebih jelasnya silahkan baca di https://wiki.mikrotik.com/wiki/Manual:IP/IPsec.
*Note : Gambar memiliki hak izin.
0 komentar:
Post a Comment