1

Building Secure Network

Layanan Remote
Layanan remote login adalah layanan yang mengacu pada program atau protokol yang menyediakan fungsi yang memungkinkan seorang pengguna internet untuk mengakses (login) ke sebuah terminal (remote host) dalam lingkungan jaringan internet. Dengan memanfaatkan remote login, seorang pengguna internet dapat mengoperasikan sebuah host dari jarak jauh tanpa harus secara fisik berhadapan dengan host bersangkutan. Dari sana ia dapat melakukan pemeliharaan (maintenance), menjalankan sebuah program atau malahan menginstall program baru di remote host. Layanan remote sendiri kita mengenal berbagai macam layanan tapi hanya dua layanan yang sering digunakan yaitu layanan telnet dan SSH. Apa itu SSH dan Telnet? A.Telnet Telnet memungkinkan pengguna untuk duduk didepan komputer yang terkoneksi ke internet dan mengakses komputer lain yang juga terkoneksi ke internet atau intranet. Dengan kata lain koneksi dapat terjadi ke mesin lain di satu ruangan, satu kampus, bahkan setiap komputer di seluruh dunia. Setelah terkoneksi, input yang diberikan pada keyboard akan mengontrol langsung ke remote computer tadi. Komputer host anda memang menyediakan beragam layanan, namun jika layanan tersebut tidak ada, anda bisa menggunakan layanan tersebut melalui Telnet. Misalnya ketika masyarakat Internet menulis interface untuk membantu pengguna lain, Telnet memungkinkan anda mengakses host mereka dan menggunakan interface yang mereka buat. B. SSH(Secure Shell) Pada awalnya SSH dikembangkan oleh Tatu Yl nen di Helsinki University of Technology. SSH memberikan alternatif yang secure terhadap remote session tradisional dan file transfer protocol seperti telnet dan relogin.Protokol SSH mendukung otentikasiterhadap remote host, dengan demikian meminimalkan ancaman pemalsuan identitas client lewat IP address spoofing. Selain itu SSH mendukung beberapaprotocol enkripsi secret key untuk membantu 2

memastikan privacy dari keseluruhan komunikasi, yang dimulai dengan username/password awal. Algoritma enkripsi yang didukung oleh SSH diantaranya TripleDES, BlowFish,i IDEA, dan RSA. Dengan berbagai metode enkripsi yang didukung oleh SSH, Algoritma yang digunakan dapat diganti secara cepat jika salah satu algoritma yang diterapkan mengalami gangguan. Dari dua penjelasan di atas kita dapat menarik kesimpulan bahwa Telnet mampu menyajikan layan remote yang simpel akan tetapi tingkat keamanan yang diberikan sangat jauh dari kesan aman, oleh karena itu muncullah SSH yang mampu memberikan rasa aman karena adanya proses enkripsi. Layanan SSH dan Telnet biasanya tidak berdiri sendiri dalam suatu jaringan, pada umumnya ditambahkan beberapa layanan lain yang menambah performa dan keamanan layanan remote itu sendiri seperti diantaranya: 1. Access Control Lists (ACLs)

ACL adalah daftar kondisi yang digunakan untuk mengetes trfaik jaringan yang mencoba melewati interface router. Daftar ini memberitahu router paket-paket mana yang akan diterima atau ditolak. Penerimaan dan penolakan berdasarkan kondisi tertentu. ACL sederhananya digunakan untuk mengijinkan atau tidak paket dari host menuju ke tujuan tertentu. ACL terdiri atas aturan-aturan dan kondisi yang menentukan trafik jaringan danmenentukan proses di router apakah nantinya paket akan dilewatkan atau tidak. ACL bisa juga disebut dengan firewall yang bersifat soft. 2. Previleges Level Previleges Level merupakan salah satu tingkat akses di dalam CISCO IOS. Pada kesempatan ini penulis menggunakan software Packet Tracer. Cisco IOS mempunyai penerjemah perintah (command interepter) yang disebut EXEC. Penerjemah perintah EXEC ini menerima perintah yang diketik oleh pemakai dan mengeksekusikan perintah tersebut. Untuk menjaga keamanan konfigurasi router, EXEC dibagi pada beberapa tingkat akses berdasarkan kegunaannya, yaitu User Exec Mode, Privileged Exec Mode, Global Configuration Mode dan Interface Configuration Mode. Pada privileged mode, dengan mengetikkan perintah enable dari user exec mode, kita akan diminta untuk memasukkan password jika enable password atau enable secret password telah dibuat. Setelah itu, barulah router masuk ke dalam mode ini, yang ditandai dengan router# prompt. Pada mode ini, kita bisa memeriksa konfigurasikonfigurasi router dan juga untuk masuk ke global configuration mode, tingkat akses selanjutnya. Beberapa perintah yang dapat dijalankan pada tingkat ini adalah semua perintah di user exec mode ditambah dengan: clock, configure, send, show, erase, write, ping, dan trace. 3. Syslog Semua jenis kegiatan yang terjadi di sistem UNIX dapat dicatat. Pencatatan ini diperlukan untuk kebutuhan audit, yaitu memeriksa sistem jika dibutuhkan, dan juga untuk kebutuhan evaluasi. Misalnya, jika terjadi kesalahan error, maka administrator 3

dapat dengan mudah mengidentifikasi sumber kesalahan karena informasinya tercatat dengan rapi. Demikian pula jika terjadi adanya penyalahgunaan fasilitas, maka dapat diketahui siapa yang melakukannya dan apa yang dilakukannya. Proses pencatatan ini dinamakan dengan logging. Kegiatan ini dimulai dengan menuliskan data-data ke dalam berkas catatan yang sering disebut dengan log file atau berkas log. Pencatatan ini dlakukan oleh si pembuat program, berkas log ini dapat disimpan dimana saja dengan format yang berbeda-beda. Bayangkan sebuah sistem UNIX yang memiliki banyak fungsi, misalnya seperti server database, server web, server email, dan seterusnya. Pencatatan yang berbeda-beda ini tentunya akan membingungkan administrator. Syslog adalah suatu program yang akan mencatat kegiatan dalam sebuag format yang standard. Tentu saja hal ini merupakan cara untuk mengatasi masalah yang sudah dijabarkan diatas tadi. Letak log file dan apa saja yang dicatat dapat diatur oleh sebuah berkas konfigurasi (syslog.conf) yang biasanya berada di direktori /etc. 4. NTP Network Time Protocol memungkinkan router pada jaringan untuk sinkronisasi waktu dengan server NTP. Apabila sekelompok klien NTP mempunyai waktu yang sama dengan satu sumber, maka pesan syslog yang akan dihasilkan juga dapat dianalisis dengan mudah. Hal ini dapat membantu saat mengatasi masalah dengan masalah jaringan dan serangan. Bila NTP diimplementasikan dalam jaringan, maka itu dapat diatur untuk menyinkronkan ke server NTP publik yang tersedia di Internet. Dalam hal ini, kita akan mengkonfigurasi router untuk memungkinkan jam di software yang kita gunakan dapat sinkron dengan NTP ke server waktu. Router harus setiap kali melakukan update jam, secara periodik, untuk menghindari adanya ketidakcocokan waktu karena penguluran waktu yang terjadi pada hardware.

Enkripsi dan Dekripsi

Untuk mengantisipasi terjadinya spoofing dari pesan yang akan kita kirim kan diperlukan Enkripsi dan Dekripsi.Apa itu Enkripsi?Enkripsi ialah suatu teknik untuk merubah karakter yang ada suatu pesan menjadi tidak dibaca orang awam, sedangkan proses yang merupakan kebalikannya disebut sebagai Dekripsi. Pesan atau informasi yang sudah mengalami proses Enkripsi dapat juga disebut ciphertext, sedangkan yang belum dienkripsi disebut plaintext. Suatu plaintext tidak harus berbentuk teks, namun dapat berupa file suara,gambar,biner. Untuk membuat suatu plaintext menjadi chipertext dan sebaliknya diperlukan algoritma yang bertugas melakukan pengacakan pesan agar tidak dapat dibaca. Algoritma Simetri vs Algoritma Asimetri

Algoritma simetri disebut juga sebagai algoritma konvensional adalah algoritma yang menggunakan kunci(password) enkripsi yang sama dengan kunci enkripsi.

Kunci yang digunakan pada algoritma simetris disebut juga kunci simetris karena untuk melakukan enkripsi dan dekripsi menggunakan kunci yang sama. Berikut ini merupakan beberapa contoh algoritma simetris yang sering digunakan: a. DES(Data Encryption Standart) DES merupakan algoritma yangdikeluarkan tahun 1977 dan memiliki spesifikasi 64-bit block chiper(enkripsi 64-bit plaintext menjadi 64-bit chipertext) dan kunci 56-bit b. 3DES 3DES sendiri merupakan pengembangan dari algoritma DES itu sendiri, dimana 3DES mengalami penambahan kinerja di penambahan panjang kunci menjadi 112 bit c. IDEA(International Data Encryption Algorithm) IDEA dibuat pada tahun 1992, dimana memiliki 64-bit block chiper dan panjang kunci enkripsi mencapi 128-bit. d. AES(Advance Encryption Standart) merupakan standar enkripsi dengan kunci-simetris yang diadopsi oleh pemerintah Amerika Serikat. Standar ini terdiri atas 3 blok cipher, yaitu AES128, AES-192 dan AES-256, yang diadopsi dari koleksi yang lebih besar yang awalnya diterbitkan sebagai Rijndael. Masing-masing cipher memiliki ukuran 128-bit, dengan ukuran kunci masing-masing 128, 192, dan 256 bit.

Algoritma asimteri memiliki perbedaan yang cukup mencolok dengan algoritma simetri, dimana algoritma asimetrri didesain sedemikian rupa sehingga kunci yang digunakan untuk enkripsi berbeda dari kunci yang digunakan untuk dekripsi.

Kunci yang digunakan pada algoritma asimetri ini terbagi menjadi dua buah kunci yaitu kunci publik dan kunci pribadi.

Kunci Publik Kunci publik merupakan kunci dimana setiap user boleh mengetahui kunci publik tersebut. Pada algoritma simetri kunci publik digunakan untuk proses enkripsi dan dekripsi, sedangkan pada algoritma asimteri digunakan hanya pada proses enkripsi. Kunci Pribadi Apabila proses enkripsi pada algoritma asimetri menggunakan kunci publik yang bersifat umum, proses dekripsi pada algoritma asimteri menggunakan kunci pribadi. Kunci pribadi bersifat sangat rahasia dan pada setiap user memiliki kunci private yang berbeda beda.

Berikut ini merukan beberapa contoh algoritma asimetri yang sering digunakan: a. RSA Algortima RSA dijabarkan pada tahun 1977 oleh tiga orang : Ron Rivest, Adi Shamir dan Len Adleman dari Massachusetts Institute of Technology. Huruf RSA itu sendiri berasal dari inisial nama mereka (RivestShamirAdleman). Panjang kunci RSA adalah 512-2048 bits. RSA memiliki verifikasi yang sangat cepat, tapi membuat kuncinya dibutuhkan waktu yang cukup lama. b. Diffie Hellman Variasi algoritma deffie hellman dikenal juga dengan sebutan deffie hellman group, dimana groupnya terdiri dari group 1,2,5 dan 7. Group 1 menyanggupi pembuatan kunci 768 bits, group 2 menyanggupi 1024 bits, group 5 mencakup 1536 bits. Sedangkan group 7 merupakan pengembangan dari group 5 yang membedakannya adalah group 7 mendukung ECC(Eliptical Curve Cryptography) yang mengurangi waktu pembuatan kunci.

Authentication VS Authorization
Sebelum bisa memberikan layanan kepada pengguna, penyedia layanan perlu tahu siapa anda. Jika anda menyatakan bahwa anda adalah Jono , maka buktikanlah bahwa anda memang Jono. Proses membuktikan siapa anda inilah yang disebut authentication. Bukti identitas lain yang bisa diterima adalah sesuatu yang unik, hanya dimiliki oleh satu orang saja di seluruh dunia. Logikanya adalah bila ada orang yang membawa barang yang hanya mungkin dimiliki Jono, maka kita akan benar-benar yakin bahwa dia adalah Jono. Authorization adalah proses menentukan apa sajakah layanan yang bisa dinikmati pengguna yang telah jelas identitasnya (authenticated user). Jadi sebelum ada authorization, harus melalui proses

authentication. Identitas yang telah dibuktikan di proses authentication menjadi dasar untuk menentukan layanan yang berhak dinikmati seorang pengguna.

Hashing
Merupakan proses enkripsi satu arah dimana disisi penerima tidak harus melakukan proses dekripsi karena pada sisi penerima data hanya perlu mencocokan hasil hashing yang ada di data dengan hasil hasing dari pengirim. Hasing diciptakan untuk menjaga originalitas suatu data. Mengapa hashing masih dibutuhkan padahal kita sudah melakukan enkripsi pada data yang kita kirim? Hashing menjadi suatu kebutuhan yang harus dipenuhi untuk menjaga kerahasian data kita, data yang dienkripsi memang tidak bisa disniffing akan tetapi data bisa saja diubah di tengah jalan dan itu akan merusak originalitas suatu data oleh karena itu diciptakan hasing.

(analogi hashing menggunakan md5) Hashing yang sering seorang admin lakukan menggukan beberapa algoritma, diantaranya: A. MD5 Algoritma yang digunakan hashing. MD5 memunculkan hasil hashing sebesar 128 bits B. SHA SHA memunculkan hasil hashing menjadi sebesar 160 bits. SHA mengalami pengembangan yaitu menjadi SHA-224, SHA-256, SHA-384, SHA-512. Keempat pengembangan tersebut juga dikenal dengan nama SHA-2.

AAA?
AAA(Authentication, Authorization, Accounting) digunakan untuk mengatur mekanisme bagaimana tata cara berkomunikasi, baik antara client ke domain-domain jaringan maupun antar client dengan domain yang berbeda dengan tetap menjaga keamanan pertukaran data. Konsep AAA mirip dengan bagaimana kartu kredit bekerja. Kartu kredit mengidentifikasi siapa yang menggunakannya, berapa banyak uang yang digunakan, dan melakukan pencatatan barang apa yang dibeli menggunakan kartu kredit. Berikut ini penjelasan mengenai bagaimana AAA bekerja:

1. Authentication adalah suatu proses dimana user diidentifikasi oleh server AAA sebelum
user menggunakan jaringan. Pada proses ini, user meminta hak akses kepada NAS untuk menggunakan suatu jaringan. NAS kemudian menanyakan kepada server AAA apakah user yang bersangkutan berhak untuk menggunakan jaringan atau tidak.

2. Authorization adalah pengalokasian layanan apa saja yang berhak diakses oleh user pada
jaringan. Authorization dilakukan ketika user telah dinyatakan berhak untuk menggunakan jaringan.

3. Accounting merupakan proses yang dilakukan oleh NAS dan AAA server yang mencatat
semua aktivitas user dalam jaringan, seperti kapan user mulai menggunakan jaringan, kapan user mengakhiri koneksinya dengan jaringan, berapa lama user menggunakan jaringan, berapa banyak data yang diakses user dari jaringan, dan lain sebagainya. Informasi yang diperoleh dari proses accounting disimpan pada AAA server, dan dapat digunakan untuk berbagai keperluan seperti billing, auditing, atau manajemen jaringan.

(Cara kerja AAA)

RADIUS dan TACACS+

RADIUS(Remote Dial-in User Services) dan TACACS+(Terminal Access Control Access Control Services Plus) merupakan protokol yang biasa digunakan oleh admin untuk mengamankan jaringannya. RADIUS dan TACACS+ memiliki perbedaan yang cukup mencolok diataranya.

Dari tabel diatas kita dapat menarik kesimpulan, walaupun sama-sama protokol yang mendukung kerja dari AAA, RADIUS dan TACACS+ ternyata mempunyai implementasi yang berbeda. RADIUS cenderung di implementasikan pada bagian jaringan akses sampai ke user, sedangkan TACACS+ diimplementasikan dibagian core suatu jaringan.

(cara kerja radius)

(Cara Kerja TACACS+)

Virtual Private Network

2.1 Pengertian VPN merupakan sebuah teknologi komunikasi yang memungkinkan pengguna untuk dapat terhubung ke jaringan publik dan menggunakannya untuk dapat terhubung ke jaringan lokal; dengan mengutamakan kerahasian, keutuhan data, otentikasi sumber, dan kendali akses. VPN memungkinkan kita untuk dapat beraktivitas di jaringan lokal, seperti berada di dalam kantor yang terhubung secara LAN, walaupun sebenarnya menggunakan jaringan milik publik. VPN dapat terjadi antara beberapa komputer di dua atau lebih jaringan yang berbeda. VPN dibentuk dengan menggunakan teknologi tunneling dan enkripsi. VPN dapat dilakukan dengan menggunakan media apa saja, tanpa perlu leased line atau frame relay.

10

2.2 Implementasi VPN Implementasi VPN dapat dibagi menjadi dua, yaitu remote access VPN dan site-to-site VPN. Remote access VPN mengakomodasi pengguna yang menggunakan perangkat mobile untuk dapat terhubung dengan jaringan LAN. Jenis VPN ini digunakan oleh pegawai perusahaan yang ingin terhubung ke jaringan di dalam perusahaannya dari berbagai lokasi yang jauh dari perusahaannya (remote). Biasanya, perusahaan yang ingin membuat VPN dengan tipe ini akan bekerjasama dengan enterprise service provider (ESP). Kemudian ESP akan memberikan network access server (NAS) bagi perusahaan tersebut. Cara kerja remote access VPN secara singkatnya adalah sebagai berikut: (1) terhubung ke NAS dengan melakukan dial-up ke nomor telepon yang sudah ditentukan; (2) dengan menggunakan software klien, pegawai dapat terhubung ke jaringan lokal perusahaan. Remote access VPN akan memberikan keamanan, dengan mengenkripsi koneksi antara jaringan lokal perusahaan dengan pegawainya yang ada di lapangan. Pihak ketiga yang melakukan enkripsi ini adalah ISP. Kemudian site-to-site VPN. Implementasi jenis ini menghubungkan antara dua kantor atau lebih yang letaknya berjauhan. VPN yang digunakan untuk menghubungkan suatu perusahaan satu dengan perusahaan lainnya adalah ekstranet. Sedangkan apabila VPN digunakan untuk menghubungkan kantor pusat dengan kantor cabang, implementasi ini termasuk jenis intranet site-to-site VPN. 2.3 VPN layer 3 2.3.1 IP Sec Ipsec merupakan salah satu protokol yang digunakan dalam pengimplementasian VPN. Ipsec didesain untuk menyediakan interoperabilitas, kualitas yang baik, keamanan berbasis kriptografi untuk IPv4 dan IPv6. Ipsec memiliki layanan berupa kontrol akses, integritas hubungan, otentikasi data asal, proteksi jawaban lawan, kerahasiaan, juga pembatasan aliran lalu lintas kerahasiaan. Layanan-layanan tersebut tersedia dalam IP layer, memberi perlindungan pada IP dan layer protokol berikutnya. Ipsec menggunakan dua buah protokol dalam pengamanan lalulintas nya, yaitu Authentication Header danEncapsulating Security Payload dan dengan penggunaan prosedur dan protokol manajemen kunci kriptografi. 2.3.2 MPLS VPN Layer 3 VPNs atau BGP VPNs, teknologi MPLS yang paling banyak digunakan. Layer 3 VPNs menggunakan Virtual Routing instances untuk membuat sebuah pemisahan table routing untuk tiap-tiap pelanggan/subscriber, dan menggunakan BGP untuk membentuk koneksi (peering relations) dan signal VPN-berLabel dengan masing-masing router Provider Edge (PE) yang sesuai. Hasilnya sangat scalable untuk diimplementasikan, karena router core (P) tidak memiliki informasi tentang VPNs.

11

BGP VPNs sangat berguna ketika pelanggan menginginkan koneksi Layer 3 (IP), dan lebih menyukai untuk membuang overhead routing ke Service Provider. Hal ini menjamin bahwa keanekaragaman interface Layer 2 dapat digunakan pada tiap sisi/side VPN. Contoh, Site A menggunakan interface Ethernet, sementara Site B menggunakan interface ATM; Site A dan Site B adalah bagian dari single VPN. Relatif sederhana untuk penerapan multiple topologies dengan router filtering, Hub & Spoke atau Full Mesh: Hub and Spoke - central site dikonfigurasi untuk learn/mempelajari semua routes dari seluruh remote sites, sementara remote sites dibatasi untuk learn/mempelajari routes, hanya khusus dari central site. Topology Full Mesh akan menciptakan semua sites mempunyai kemampuan learn/mempelajari atau mengimport routes dari tiap site lainnya. Layer 3 VPNs telah dikembangkan dalam jaringan yang mempunyai router PE sebanyak 700. Saat ini terdapat Service Provider yang memiliki sampai 500 VPNs, dengan masing-masing VPN berisi site sebanyak 1000. Banyak ragam routing protocol yang digunakan pada link akses pelanggan (yaitu link CE ke PE); Static Routes, BGP, RIP dan Open Shortest Path First (OSPF). VPNs paling banyak menggunakan Static Routes, diikuti dengan Routing BGP. Layer 3 VPNs menawarkan kemampuan lebih, seperti Inter-AS dan Carrier Supporting Carrier (CSC). Hierarchical VPNs, memungkinkan Service Provider menyediakan koneksi melewati multiple administrative networks. Saat ini, penerapan awal dari fungsi seperti ini sudah tersebar luas.

(MPLS VPN) 2.4 VPN layer 2 Point-to-Point Tunneling Protocol (PPTP), PPTP dikembangkan oleh Microsoft dan Cisco merupakan protokol jaringan yang memungkinkan pengamanan transfer data dari remote client ke server pribadi perusahaan dengan membuat sebuah VPN melalui TCP/IP (Snader, 2005). 12

Teknologi jaringan PPTP merupakan pengembangan dari remote access Point-to-Point protocol yang dikeluarkan oleh Internet Engineering Task Force (IETF). PPTP merupakan protokol jaringan yang merubah paket PPP menjadi IP datagrams agar dapat ditransmisikan melalui intenet. PPTP juga dapat digunakan pada jaringan private LAN-to-LAN. PPTP terdapat sejak dalam sistem operasi Windows NT server dan Windows NT Workstation versi 4.0. Komputer yang berjalan dengan sistem operasi tersebut dapat menggunakan protokol PPTP dengan aman untuk terhubung dengan private network sebagai klien dengan remote access melalui internet. PPTP juga dapat digunakan oleh komputer yang terhubung dengan LAN untuk membuat VPN melalui LAN.

Bagaimana IP Sec Bekerja?

Pengamanan hubungan dalam IPSec didefinisikan dalam istilah security associations (SA). Tiap SA mendefinisikan satu hubungan data secara unidirectional. Ada tiga fields dalam SA yaitu destination IP address, security parameter index, dan security protocol. Protocol yang berperan dalam IPSec VPN adalah Internet Security Association and Key Management Protocol (ISAKMP). ISAKMP merupakan protokol yang berwujud suatu framework yang menangani pemebentukan IPSec, bila dianalogikan framework merupakan bumbu nasi goreng siap saji yang terdiri dari macam bumbu dapur. Dalam framework tersebut terbagi menjadi 5 blok yaitu block IPSec protokol, Confidentiality of data, Integrity of data, Authentication Key, Diffie-Hellman Group. Dalam ISAKMP terdapat berbagai protokol yang membantu tugasnya diantaranya: 1. AH (Authentication header), AH menyediakan layanan authentication, integrity, dan replay protection, namun tidak dengan confidentiality. AH juga melakukan pengamanan terhadap header IP. 2. ESP (Encasulapted security payload), ESP menyediakan layanan authentication, integrity, replay protection, dan confidentiality terhadap data (ESP melakukan pengamanan terhadap segala sesuatu dalam paket data setelah header). 3. Internet Key Exchange (IKE), IKE lebih menyerupai proses persetujuan antara end to end point di vpn.

13

ESP dan AH bisa diaplikasikan ke paket IP kedalam dua mode yang berbeda yaitu transport mode dan Tunnel mode.

(Transport mode dan Tunnel mode)

Berikut ini merupakan proses bagaimana IPSec VPN terbangun:

1. Proses pemilahan jenis trafik yang perlu diproteksi

14

2. Router A dan B melakukan negosiasi IKE fase 1. Tujuan IKE fase 1 adalah: Mengimplementasikan sekumpulan kebijakan IKE. Autentikasi peer Membangun saluran yang aman antara 2 peer IKE fase 1 yang terjadi dalam 2 mode: a. Main mode b. Aggressive mode

3. Router A dan B melakukan negosiasi IKE fase 2 seperti tampak pada Gambar. Yang dilakukan pada fase ini adalah: a. Negosiasi keamanan parameter dan perpindahan set IPsec. b. Pembentukan IPsec SA. c. Negosiasi IPsec SA secara berkala untuk menjamin keamanan data. d. Melakukan pertukaran DiffieHellman Group (optional).

4. Pengiriman Data. Pada Gambar terlihat proses pengiriman data dari server ke client maupun sebaliknya.

5. Pemutusan Saluran IPSec. Pemutusan saluran dilakukan jika: a. Usia SA telah kadaluarsa. b. Jika jumlah paket melampaui batas maksimum. 15