PERSONAL ASSIGNMENT 3

Session 7
(7213T-TP3S7-R1)
Due Date : 25 Oktober 2015, 23:59:00

MATA KULIAH

IT NETWORK GOVERNANCE
DOSEN

Benfano Soewito, Ir., M.Sc., Ph.D

Johan Muliadi Kerta, S.Kom., M.M.

OLEH:
TINA TRI WULANSARI
1412409315

Program Pascasarjana Ilmu Komputer

PROGRAM STUDI TEKNIK INFORMATIKA JENJANG S2
UNIVERSITAS BINA NUSANTARA
JAKARTA
2015

Personal Assignment 3
Session 7

Compare following Secure VPN Protocols:

IPSec

Transport Layer Security (TLS/SSL)

Datagram Transport Layer Security

Microsoft Point-to-Point Encryption (MPPE)

SSTP

PPP

L2TP

What is the differences between Computer Level Authentication and User Level
Authentication

Make a VPN connection simulation using OPNET IT GURU Academic version,

consist of:

2 sites

Ethernet or WAN

Choose any methods (eg. PPTP, L2TP, IPSec, SSL)

Make a brief report how this strategy can help network security

Pembahasan!

A.

Sebelum merinci beberapa VPN Protocol, berikut terlebih dahulu diberikan penjelasan
mengenai VPN (Virtual Private Network). Dalam arti yang sederhana ialah koneksi
secara logical yang menghubungkan dua node melalui public network. Koneksi logical
tersebut bisa merupakan layer 2 ataupun layer 3 dalam basis OSI Layer. Begitu juga
dengan teknologi VPN yang dapat diklasifikasikan atas Layer 2 VPN atau Layer 3 VPN.
Secara konsep, baik Layer 2 VPN ataupun Layer 3 VPN ialah sama, yaitu menambahkan
delivery header dalam paket data yang menuju ke site tujuan. Untuk Layer 2 VPN,
delivery header-nya berada di Layer 2. Sedangkan untuk Layer 3, delivery header-nya
berada di Layer 3.

Contoh layer 2 VPN: ATM dan Frame Relay

Contoh layer 3 VPN: GRE, L2TP, MPLS, dan IPSec

Mengingat kembali mengenai kabar mengejutkan dari Edward Snowden orang yang
telah bertahun-tahun bekerja untuk memecahkan dan menumbangkan teknologi
enkripsi VPN, bersama-sama dengan fakta bahwa hal ini menjadi semakin jelas bahwa
sebagian besar teknologi VPN akan terus memerlukan pengembangan dan
penyempurnaan.

Ada 7 VPN yang akan dibandingkan dalam pembahasan soal ini, yaitu:
1.

IPSec
IPSec protocol diciptakan oleh kelompok kerja IPSec dibawah naungan IETF.
Arsitektur dan komponen fundamental dari IPSec VPN seperti yang didefinisikan
oleh RFC2401 adalah:
a. Security protocols: Authentication Header (AH) dan encapsulation security
payload (ESP)
b. Key management: ISAKMP, IKE, SKEME

c. Algorithms: enkripsi dan authentikasi

Enkripsi ialah proses transformasi dari plain text/data asli ke dalam data terenkripsi
yang menyembunyikan data asli. Untuk melihat (dekripsi) data asli, penerima data
yang terenkripsi harus mempunyai kunci/key yang cocok dengan yang telah
didefinisikan oleh pengirim. Dekripsi ialah kebalikan dari enkripsi, yaitu proses
transformasi dari data yang terenkripsi ke bentuk data asli.
Algoritma Kriptografi atau yang biasa disebut cipher adalah fungsi/perhitungan
matematis yang digunakan untuk enkripsi dan dekripsi. Algoritma Kriptografi terbagi
dua jenis:
Symmetric. Pada metode ini, pengirim maupun penerima menggunakan kunci
rahasia yang sama untuk melakukan enkripsi dan dekripsi data. DES, 3DES, dan AES
adalah beberapa algoritma yang popular
Asymmetric. Metode ini sedikit lebih rumit. Kunci untuk melakukan enkripsi dan
dekripsi berbeda, kunci untuk melakukan enkripsi disebut public key sedangkan
untuk dekripsi disebut private key.
Proses generate, distribusi, dan penyimpanan key disebut key management. Key
management default dari IPSec ialah Internet Key Exchange Protocol (IKE). Security
Association adalah blok basic dari IPSec yang juga merupakan input dari SA
database (SADB) yang mengandung informasi tentang security yang telah disepakati
untuk IKE atau IPSec. SA terdiri dari dua tipe:
IKE atau ISAKMP SA
IPSec SA Untuk menuju IKE atau ISAKMP SA.
IKE beroperasi dalam dua fase:
Fase 1 Fase ini menciptakan ISAKMP SA (atau sering juga disebut IKE SA) yang
bertujuan menciptakan secure channel diantara IKE peers sehingga proses negoisasi
fase 2 dapat berjalan lebih secure
Fase 2 Fase ini menyediakan proses negotiation dan establishment dari IPSec SA
dengan menggunakan ESP atau AH untuk memproteksi lalu lintas data

Konfigurasi IKE fase 1 pada Cisco IOS Router Crypto isakmp policy 1 encr 3des
authentication pre-share group 2 IKE fase 1 membutuhkan authentication method.
Authentication method sendiri ada dua tipe, yaitu preshared key dan digital
signatures. Artikel ini hanya membahas pre-shared key. Pre-shared key
authentication Pada metode ini, baik pengirim atau penerima harus mempunyai
pre-shared key yang sama. Bila preshared key tidak sama, maka IKE Tunnel tidak
akan terbentuk.
Konfigurasi pre-shared key pada Cisco IOS Router Crypto isakmp key preshared_key address x.x.x.x
Contoh Studi Kasus
PT. XYZ yang terletak di Jakarta Pusat ingin membuka cabang di Jakarta Barat. Untuk
itu mereka ingin membangun koneksi yang aman dan terjamin kerahasiaannya
antara kantor pusat dengan cabang tersebut melalui public network. Anda sebagai
Network Engineer ditugaskan untuk membangun koneksi tersebut. Berikut ialah
beberapa spesifikasi yang diberikan oleh PT. XYZ:

Cisco Router 1841 (bundled VPN) (2 buah)

Koneksi Biznet Metro WAN 1 Mbps (output kabelnya Ethernet Cat 5)

 Koneksi yang diizinkan antara Head Office dan branch hanya antara vlan 10 dan
vlan 30
Switch Jakarta Pusat : Cisco 3560
Switch Jakarta Barat : Cisco 2960

Solusi Kasus:
Konfigurasi Router A (Head Office - Jakpus)

2.

Transport Layer Security (TLS/SSL)

Secure Socket Layer (SSL) dan Transport Layer Security (TLS), merupakan kelanjutan
dari protokol yang menyediakan komunikasi yang aman di Internet.SSL (Secure
Socket Layer) dikembangkan oleh Netscape untuk mengamankan HTTP sampai
sekarang. Netscape Communicator, Internet Explorer, dan WS_FTP Pro, yang
merupakan produk yang lazim digunakan, menggunakan SSL. SSL mendukung
beberapa protokol enkripsi dan memberikan autentikasi client dan server. SSL
beroperasi pada layer transpor, menciptakan saluran enkripsi yang aman untuk
data, dan dapat mengenkripsi banyak tipe data.

Dapat dikatakan juga bahwa SSL merupakan Protokol berlapis. Dalam tiap
lapisannya, sebuah data terdiri dari panjang, deskripsi dan isi. SSL mengambil data
untuk dikirimkan, dipecahkan kedalam blok-blok yang teratur, kemudian dikompres
jika perlu, menerapkan MAC, dienkripsi, dan hasilnya dikirimkan. Di tempat tujuan,
data didekripsi, verifikasi, dekompres, dan disusun kembali. Hasilnya dikirimkan ke
klien di atasnya.
Baik TLS dan SSL melibatkan beberapa langkah dasar:
1. Negosiasi dengan ujung client atau server untuk dukungan algoritma.
2. Public key, encryption-based-key, dan certificate-based authentication
3. Enkripsi lalu lintas symmetric-cipher-based

Protocol SSL dan TLS berjalan pada layer dibawah application protokol seperti HTTP,
SMTP and NNTP dan di atas layer TCP transport protocol, yang juga merupakan
bagian dari TCP/IP protocol. Selama SSL dan TLS dapat menambahkan keamanan ke
protocol apa saja yang menggunakan TCP, keduanya terdapat paling sering pada
metode akses HTTPS. HTTPS menyediakan keamanan web-pages untuk aplikasi
seperti pada Electronic commerce. Protocol SSL dan TLS menggunakan
cryptography public-key dan sertifikat publik key untuk memastikan identitas dari
pihak yang dimaksud. Sejalan dengan peningkatan jumlah client dan server yang
dapat mendukung TLS atau SSL alami, dan beberapa masih belum mendukung.
Dalam hal ini, pengguna dari server atau client dapat menggunakan produk
standalone-SSL seperti halnya Stunnel untuk menyediakan enkripsi SSL.

Fungsi SSL pada komunikasi aman sama seperti fungsi TCP pada komunikasi normal,
yaitu menyediakan sebuah infrastruktur komunikasi standar di mana sebuah
aplikasi dapat menggunakannya dengan mudah dan hampir tidak dapat terlihat
(invisible). SSL menyediakan sebuah komponen penting pada sistem yang aman.
Mekanisme otentikasi dasar seperti password Telnet dan otentikasi HTTP dasar

menjadi sangat kuat ketika dieksekusi dengan SSL dibandingkan dengan TCP, di
mana pada SSL password tidak lagi dikirim dalam bentuk plainteks. SSL
mengenkripsi koneksi, bukan data pada kedua pihak yang berkomunikasi, dan tidak
mengandung mekanisme untuk otentikasi user ataupun perlindungan password
(hanya koneksi yang diotentikasi, keamanannya akan gagal jika mesin pada kedua
pihak yang berkomunikasi compromised).

Implementasi SSL paling pertama dikembangkan oleh Netscape Communications

Corporation pada awal tahun 1990-an untuk mengamankan HTTP. Pada akhir tahun
1990-an, semakin terlihat dengan jelas bahwa SSL 2.0 tidaklah aman. Netscape
memulai untuk membangun SSL 3.0. Dengan bantuan Netscape, Internet
Engineering Task Force (IETF, badan yang mengatur untuk standar internet)
memulai untuk menstandardisasi SSL, sebuah proyek yang kemudian dikenal
dengan nama TLS (Transport Layer Security). SSL 3.0 tidak dikembangkan seteliti
TLS, sehingga SSL 3.0 dapat dirilis lebih dahulu dan menggantikan SSL 2.0 sebagai
standar industri. TLS yang akhirnya diselesaikan pada tahun 2000, menyediakan
protokol terstandardisasi yang pertama untuk SSL. Walaupun SSL 3.0 masih
digunakan secara luas, untuk pengembangan terbaru termasuk sudah tertinggal
karena saat ini hampir semua browser modern mendukung TLS.

Cara Kerja SSL

1. Client membentuk koneksi awal ke server dan meminta koneksi SSL.
2. Bila server yang dihubungi telah dikonfigurasi dengan benar, maka server ini
akan mengirimkan client public key miliknya.
3. Client membandingkan sertifikat dari server ke basisdata trusted authorities. Bila
sertifikat ini terdaftar di situ, artinya client mempercayai (trust) server itu dan
akan maju ke langkah selanjutnya. Bila sertifikat itu terdaftar, maka pemakai
harus menambahkan sertifikat ini ke trusted database sebelum maju ke langkah
selanjutnya.

4. Client menggunakan Public Key yang didapatnya untuk men-enkrip sesi dan
mengirimkan session key ke server. Bila server meminta sertifikat client di
langkah pengiriman public key (2), maka clent harus mengirimkannya sekarang.
5. Bila

server

di-setup

membandingkan

untuk

sertifikat

menerima

yang

sertifikat,

diterimanya

maka

dengan

server

akan

basisdata trusted

authorities dan akan menerima atau menolak koneksi yang diminta. Bila kondisi
ditolak, suatu pesan kegagalan akan dikirimkan ke client. Bila koneksi diterima,
atau bila server tidak di-setup untuk menerima sertifikat, maka server akan mendecode session key yang didapat dari client dengan privete key milik server dan
mengirimkan pesan berhasil ke client yang dengan demikian membuka
suatu secure data chanel.

IMPLEMENTASI SSL
Implementasi SSL terlihat dalam produk-produk berikut :
Terdapat dua implementasi SSL: SSLeay dan OpenSSL. Microsoft menerapkan versi
SSH-nya sendiri yang dikenal sebagai TSL atau Transport Layer Security (disebut juga
sebagai SSL v.3.1), namun tidak mendapat banyak dukungan diluar produk-produk
Microsoft sendiri.
Meskipun proses otentikasi dan enkripsi terlihat rumit, hal itu terjadi dalam waktu
kurang dari satu detik. Umumnya,pengguna bahkan tidak tahu prosesnya atau
bagaimana hal itu terjadi. Namun, pengguna dapat mengetahui koneksi aman telah
terbentuk (SSL) sejak web browser SSL-enabled menampilkan kunci tertutup kecil di
bagian kanan atas browser (biasanya samping kiri URL). Pengguna juga dapat
mengidentifikasi situs web yang aman dengan melihat alamat situs web yang biasa
adalah http://
3.

Datagram Transport Layer Security

Datagram Transport Layer Security (DTLS) provides communication security for
datagram protocols. It is also used with WebRTC.

DTLS is based on Transport Layer Security (TLS) protocol. This datagram-compatible

version of the protocol is specifically designed to be similar to TLS with the minimal
amount of changes needed to fix problems created by the reordering or loss of
packets. There are two main areas that unreliability creates problems for TLS:
o

The traffic encryption layer does not allow individual packets to be decrypted,

there are two inter-record dependencies:

Cryptographic context is chained between records

A Message Authentication Code (MAC) that includes a sequence number

provides anti-replay and message reordering protection, but the
sequence numbers are implicit in the records

The handshake layer breaks if messages are lost because it depends on them

being transmitted reliably for these two reasons:

The handshake is a lockstep cryptographic handshake requiring messages

to be transmitted and received in a defined order, causing a problem
with potential reordering and message loss

Fragmentation can be a problem because the handshake messages are

potentially larger then any given datagram

The first problem caused by the inter-packet dependencies can be solved by using a
method employed in theSecure Internet Protocol (IPsec) by adding explicit state to
each individual record.

To solve the issue of packet loss DTLS employs a simple retransmission timer. Figure
1 below illustrates the basic concept. The client is expecting to see
the HelloVerifyRequest message from the server. If the timer expires then the client
knows

that

either

the ClientHello or

the HelloVerifyRequest was

lost

and

retransmits.
Reordering is solved by giving each handshake message a specific sequence number
used to determine if it has received the next message in the sequence. If the
message is the next one then the peer processes it, if it is not the next one then it
queues it up for future handling when messages individual sequence number is
reached.
Handshake messages can be quite large (224 1 bytes) and UDP datagrams are
usually limited to less then 1500 bytes. DTLS compensates for this by allowing each
handshake message to be fragmented over several UDP datagrams. Each handshake
message contains a fragment offset and a fragment length allowing the recipient to
reassemble the bytes into the complete message when all packets are received.

Optionally DTLS supports replay detection by maintaining a bitmap window of

received records. Records that are to old to fit in the window and those that have
been previously received are discarded. This is the same technique used by IPsec
AH/ESP.

4.

Microsoft Point-to-Point Encryption (MPPE)

MPPE adalah

sebuah

menyediakan cara

untuk

protokol yang

didefinisikan oleh RFC 3078 yang

melakukan enkripsi atas

link PPP. Protokol ini

memungkinkan untuk dua jenis enkripsi yang berbedapada ukuran kunci (size of the
key)
Kedua ukuran

kunci enkripsi itu

bit dan menggunakan cipher RC4.Kunci

sendiri berukuran 40bit, dan

sesi itu

sendiri juga

128-

berubah secara

dinamis. Enkripsi dari link PPP adalah sesuatu yangdinegosiasikan oleh level subprotocol yang

lebih

rendah dari PPP dikenal

sebagai CCP(Compression Control

Protocol) selama fase NCP negosiasi ke link PPP.

5.

SSTP
Secure Socket Tunneling Protocol was introduced by Microsoft in Windows Vista
SP1, and although it is now available for Linux, RouterOS and SEIL, it is still largely a
Windows-only platform (and there is a snowballs chance in hell of it ever appearing
on an Apple device!). SSTP uses SSL v3, and therefore offers similar advantages to
OpenVPN (such as the ability to use to TCP port 443 to avoid NAT firewall issues),
and because it is integrated into Windows may be easier to use and more stable.
However unlike OpenVPN, SSTP is a proprietary standard owned by Microsoft. This
means that the code is not open to public scrutiny, and Microsofts history of cooperating with the NSA, and on-going speculation about possible backdoors built-in
to the Windows operating system, do not inspire us with confidence in the
standard.
Pros

Very secure (depends on cipher, but usually very strong AES)

a. Completely integrated into Windows (Windows Vista SP1, Windows 7,
Windows 8)
b. Microsoft support
c. Can bypass most firewalls
Cons
a. Only really works in a Windows only environment
b. Proprietary standard owned by Microsoft so cannot be independently
audited for back doors and suchlike

6.

PPP
PPP (point to point) protocol yang merupakan salah satu jenis koneksi WAN dalam
suatu jaringan komputer internetwork, adalah protocol point-to-point yang pada
awalnya di kembangkan sebagai method encapsulation pada komunikasi point-topoint antara piranti yang menggunakan protocol suite. Protocol ini menjadi sangat
terkenal dan begitu banyak diterima sebagai metoda encapsulation WAN khususnya
dikarenakan dukungannya terhadap berbagai macam protocol seperi IP; IPX;
AppleTalk dan banyak lagi.

Fitur PPP, berikut ini adalah fitur kunci dari protocol ini:
1. PPP beroperasi melalui koneksi interface piranti Data Communication Equipment
(DCE) dan piranti Data Terminal Equipment (DTE).
2. Dapat

beroperasi pada

kedua

modus synchronous

(dial-up) ataupun

asynchronous dan ISDN.

3. Tidak ada batas transmission rate
4. Keseimbangan load melalui multi-link
5. LCP dipertukarkan saat link dibangun untuk mengetest jalur dan setuju
karenanya.

6. Mendukung berbagai macam protocol layer diatasnya seperti IP; IPX; AppleTalk
dan sbgnya.
7. Mendukung authentication kedua jenis clear text PAP (Password Authentication
Protocol) dan enkripsi CHAP (Chalange Handshake Authentication Protocol)
8. NCP meng-encapsulate protocol layer Network dan mengandung suatu field yang
mengindikasikan protocol layer atas.

Korelasi PPP dengan OSI

Diagram berikut menunjukkan bagaimana PPP protocol dihubungkan dengan model
OSI.

PPP Protocol vs model OSI

Spesifikasi PPP berakhir pada layer
Data link. NCP (Network COntrol
Protocol) mengijinkan PPP mendukung
protocol-2 layer bagian atas seperti IP;
IPX; APleTalk dll. Fleksibilitas inilah
yang membuat protocol ini menjadi
begitu popular. NCP bertindak sebagai
interface

antara

Data

Link

layer

dengan jaringan. PPP menggunakan NCP untuk meng-encapsulate paket-2 layer

Network. Sementara Paket mengandung Header yang mengindikasikan
pemakaian protocol layer Network.
Link Control Protocol (LCP) merupakan sayu set layanan-2 yang melaksanakan
setup link dan administrasi meliputi:
1.

Testing dan negosiasi Link

2.

Kompresi

3.

Authentication

4.

Deteksi error

Saat sesi dimulai, piranti-2 bertukar paket LCP untuk negosiasi layanan-2 pada
yang terdaftar disini. Spesifikasi PPP protocol tidak mengandung standard layer
Physical. Akan tetapi dapat berjalan pada bermacam-2 standard physical
synchronous dan asynckronous termasuk:
1.

Serial asynchronous seperti dial-up

2.

ISDN

3.

Serial synchronous

4.

High Speed Serial Interface (HSSI)

PPP membentuk komunikasi dalam tiga fase:

1.

Membuka link dan membentuk sesi dengan saling bertukar LCP

2.

Membentuk opsi authentication melalui PAP atau CHAP, CHAP sangat

direkomendasikan.

3.

7.

Setuju dengan protocol layer diatasnya (IP; IPX; AppleTalk; dll)

L2TP
Layer 2 Tunnel Protocol is a VPN protocol that on its own does not provide any
encryption or confidentiality to traffic that passes through it. For this reason it is
usually implemented with the IPsec encryption suite (similar to a cipher, as
discussed below) to provide security and privacy.
L2TP is built-in to all modern operating systems and VPN capable devices, and is just
as easy and quick to set up as PPTP (in fact it usually uses the same client). Problems
can arise however, because the L2TP protocol uses UDP port 500, which is more
easily blocked by NAT firewalls, and may therefore require advanced configuration
(port forwarding) when used behind a firewall (this is unlike SSL which can use TCP
port 443 to make it indistinguishable from normal HTTPS traffic).
IPsec encryption has no major known vulnerabilities, and if properly implemented
may still be secure. However, Edward Snowdens revelations have strongly hinted at
the standard being compromised by the NSA, and as John Gilmore (security

specialist and founding member of the Electronic Frontier Foundation) explains in

this post, it is likely that it has been been deliberately weakened during its design
phase.
Relatively minor compared to the last point, but probably worth mentioning, is that
because L2TP/IPsec encapsulates data twice it is not as efficient as SSL based
solutions (such as OpenVPN and SSTP, and is therefore slightly slower.
Pros
a. Usually considered very secure but see cons
b. Easy to set up
c. Available on all modern platforms Cons
Cons
a. May be compromised by the NSA
b. Likely deliberately weakened by the NSA
c. Slower than OpenVPN
d. Can struggle with restrictive firewalls

Kesimpulan:
Berikut ini beberapa yaitu:
1. Dari sisi keamanan, IPSec memiliki fungsi keamanan yang paling lengkap
dibandingkan dengan protokol PPTP dan L2TP karena memiki protokol enkripsi dan
otentikasi yang lebih baik. Sedangkan protokol PPTP dan L2TP tidak menyediakan
fungsi data sendiri tetapi hanya bergantung pada protokol yang melaluinya untuk
menyediakan fungsi keamanan.
2. Dari sisi performansi, PPTP dan L2TP memiliki performansi yang lebih baik
dibandingkan dengan IPSec jika berjalan pada jaringan TCP/IP, sedangkan dari sisi
interoperability, L2TP dapat bekerja lebih baik dengan sistem dari vendor lain
dibandingkan protokol PPTP dan IPSec.

B. Sebelum menjawab mengenai perbedaan Computer Level Authantication and User Level
Authantication, berikut dijelaskan pengertian dari Authantication adalah proses dimana
seorang user (melalui berbagai macam akses fisik berupa komputer , melalui jaringan ,
atau melalui remote access ) mendapatkan hak akses kepada suatu entity (dalam hal ini
jaringan suatu corporate). Seorang user melakukan login kedalam suatu infrastruckture
jaringan dan system mengenali user ID ini dan menerimanya untuk kemudian diberikan
akses terhadap resources jaringan sesuai dengan authorisasi yang dia terima.

Authentication of VPN clients

The authentication of virtual private network (VPN) clients by the VPN server is a vital
security concern. Authentication takes place at two levels:
1. Computer-level authentication

When Internet Protocol security (IPSec) is used for a Layer Two Tunneling Protocol (L2TP)
over IPSec (L2TP/IPSec) VPN connection, computer-level authentication is performed
through the exchange of computer certificates or a preshared key during the establishment
of the IPSec security association.
2. User-level authentication

Before data can be sent over the Point-to-Point Tunneling Protocol (PPTP) or L2TP tunnel,
the remote access client or demand-dial router that requests the VPN connection must be
authenticated. User-level authentication occurs through the use of a Point-to-Point
Protocol (PPP) authentication method.

Berikut tambahan penjelasan terkait Authentikasi:

Metoda authentikasi
Ada banyak method yang berbeda yang bisa digunakan untuk melakukan user
authentication, diantaranya adalah seperti berikut ini.

1. User name and password Authentication

Kebanyakan system operasi dan server Web mempunyai beberapa jenis system
authentication dengan menggunakan user-name dan password. Kebanyaka system ini
mempunyai beberapa jenis mekanisme untuk memanaje architecture user-name dan
password seperti account expiration (kadaluarsa account), password expiration, panjang
password minimum, dan atau kualitas password (perpaduan capital, angka, symbol).
Metoda inilah yang banyak dipakai dalam hampir sebagian besar web-pages di internet.

Keuntungan

Gampang diimplementasikan dan di manage

Murah banyak tersedia dengan hampir sebagian besar system operasi dan web-pages.

Hanya memerlukan pelatihan sebentar saja untuk user

Kerugiannya

User name dan password dikirim dalam bentuk clear text untuk authentication dasar
(walau tidak semua kasus dan SSL dapat meng-inkripsi pada level network)

User name dan password rentan terhadap serangan password dictionary

Pada internet, user bisa mempunyai banyak user-name dan password yang berbedabeda yang hanya bikin pusing untuk mengingatnya.

2. Certificates Authentication
User certificate bisa digunakan oleh end-user untuk menjamin identitas mereka. Akses
terhadap certificate normalnya dikendalikan oleh sebuah password yang local terhadap
certificate. Banyak company sudah mulai memanfaatkan dan mengimplementasikan user
certificate dalam jaringan internal mereka.
Keuntungan

Certificate menyatu terhadap user

Kemampuan meng-inkripsi data dan melakukan signature digital terhadap message.

Didukung hampir sebagian besar browser dan paket email.

Menawarkan beberapa mekanisme solusi single sign-on

Kebal terhadap serangan dictionary

Mengijinkan roaming user, yaitu user pindah dari satu lokasi ke lokasi lainnya (hanya jika
vendor anda mendukung fitur ini)

Dapat meng-inkrip data, e-mail, dan sign hanya dengan satu certificate saja
(sesungguhnya akan lebih baik untuk membedakan certificate untuk signing dan
inkryption

Kerugian

Mahal jika mengimplementasikan suatu PKI (public key infrastructure)

Pelatihan user yang extensive

Memerlukan stuktur support

Roaming users, yaitu users berpindah dari satu lokasi ke lokasi lainnya (dimana tidak
semua vendor mendukung fitur ini akan tetapi hal ini menjadi lebih bagus)

3. Biometric techniques Authentication

System authentication Biometric menggunakan piranti semacam sidik jari atau scanner
mata untuk mendapatkan akses. Jenis authentication ini mempunyai tingkat keamanan
yang sangat tinggi untuk lingkungan berresiko tinggi dengan membatasi dan
mengendalikan akses kepada system yang sangat sensitive seperti instalasi militer. Dengan
method ini membatasi user lain menggunakan semacam user-name dan password orang
lain.
Keuntungan

Authentication berupa orang yang sangat sulit untuk diserupakan

Directory attacks adalah hampir tidak mungkin

Menawarkan solusi mekanisme single sign-on

Disadvantages

Tidak semua vendor mendukung technology biometric ini. Tetapi beberapa jenis laptop
sudah banyak menggunakan teknologi sidik jari ini untuk authenticasi logon.

Imlementasinya sangat mahal, terkecuali diproduksi dalam jumlah masal

4. Smart cards Authentication

Suatu authenticasi Smart Card adalah mirip kartu kridit yang mempunyai chip sirkuit (IC)
tertempel didalam kartu smart ini. Smart card bisa menyimpan semua jenis informasi, yang
bisa ditransfer melalui interface electronic yang terhubung melalui sebuah komputer.
Smart card ini bisa menyimpan informasi tentang siapa anda dan dan kunci cryptography
dan melakukan algoritme cryptography semacam inkripsi. Akses terhadap smart card
dikendalikan melalui suatu PIN atau suatu password. Akses semacam ini banyak digunakan
dalam akses pintu area dengan tingkat keamanan yang sangat tinggi seperti dalam instalasi
militer, bank, atau goldroom.
Keuntungan

Gampang menggabungkan kartu ini dengan orang

Card ii bisa menyimpan informasi kunci dan informasi lainnya tentang user.

Jika kunci juga dimasukkan, maka akan mudah melakukan inkripsi data dan email.

Pelatihan user tentang teknologi ini mudah dilakukan.

Solusi yang bagus untuk roaming user; certificate bisa dengan mudah ditransport

kedalam.

Kerugiannya

Sangat mahal, walau technology semacam ini harganya menurun.

Masih juga rentan digunakan oleh user lain yang tidak berhak istilahnya tailgating

Memerlukan system support dan memerlukan hardware tambahan kedalam komputer.

5. Anonymous Authentication
Suatu user anonymous adalah metoda untuk memberikan akses user terhadap file
sehingga tidak memerlukan identifikasi user terhadap server. user memasukkan
anonymous sebagai user ID. Metoda ini umum dipakai untuk mendapatkan akses terhadap
server untuk hanya sekedar melihat / membaca dan download file yang disediakan untuk
umum.

Dengan penggunaan anonymous hal ini dimaksudkan sebaghai metoda authentication dan
sekaligus authorization. Pastikan anda menyadari bahwa dengan control anonymous,
berarti anda memberikan akses authentication dan authorization sekaligus. Tapi pastikan
bahwa anonymous bukan menjadi setting default anda, hal ini sangat berbahaya. Pastikan
bahwa data yang mestinya harus mendapatkan access khusus, jangan dibuka untuk umum
dengan memberikan control anonymous.

C. Pada pembahasan nomor 3 ini di berikan contoh simulasi koneksi VPN, berikut ditunjukkan
dalam beberapa figure.

Figure 1. VPN over WAN

Peran firewall dan Virtual Private Networks (VPN) dalam memberikan keamanan untuk
jaringan publik bersama seperti internet. Dalam skenario Firewall, data base dalam server
kita dilindungi oleh router firewall dari setiap akses eksternal. Kita asumsikan bahwa kita
ingin mengijinkan koneksi dari LAN 1 untuk mengakses database pada server, maka sejak
firewall akan menyaring semua lalu lintas yang berhubungan dengan database dari
manapun sumber lalu lintasnya, sehingga kita perlu menggunakan teknologi VPN sebagai

solusi. VPN akan menjadi sebuah terowongan virtual yang dapat digunakan oleh node pada
LAN 1 untuk mengirim permintaan basis data ke server. Firewall tidak akan menyaring lalu
lintas yang diciptakan oleh Sales karena paket IP di terowongan akan dikemas dalam
sebuah datagram IP. Berikut figure simulasi laporan VPN.

Figure 2. Database Traffic received (packet/ sec) simulasi dalam 30 menit

Figure 3. Database Traffic received (minutes)

Figure 4. HTTP page response time

Kesimpulan dari simulasi ini adalah VPN mempunyai kemampuan untuk melakukan
autentifikasi terhadap sumber dari pengiriman data yang akan di terimanya. PVN dapat
melakukan pemeriksaan kepada data yang masuk dan mengakses informasi dari
sumbernya, lalu alamat dari sumber data tersebut akan di setujui jika proses autentifikasi
berhasil, dengan begitu VPN dapat menjamin semua data yang di kirimkan dan juga yang
diterima berasal dari sumber yang memang benar-benar seharusnya, tidak ada informasi
atau data yang dikirimkan oleh pihak lain dan data yang dipalsukan. VPN menyediakan
keamanan dengan tidak membiarkan lalu lintas dari pengguna yang tidak sah seperti yang
ditunjukkan pada Gambar 2 & 3, namun karena VPN respon waktu meningkat yang
berarti penurunan kinerja. Gambar 4 menjelaskan bagaimana waktu respon http
meningkat dengan penambahan VPN dalam jaringan. Garis berwarna biru dengan tanda
angka 1 menunjukkan waktu respon http firewall dengan VPN, garis berwarna merah
ditandai dengan angka 2 menunjukkan waktu respon tanpa VPN dan garis berwarna hijau
ditandai dengan angka 3 menunjukkan waktu respon dengan firewall. Jadi, kesimpulannya

penggunaan VPN dapat menguntungkan karena adanya penundaan akses disebabkan

oleh terowongan penyerang dapat dengan mudah membanjiri jaringan atau dapat
membuat kemacetan dalam jaringan.

Demikian Pak Johan, mohon bimbingan dari Bapak. Terimakasih

Referensi:
http://eprints.unsri.ac.id/2832/1/senoprosiding.pdf
http://feddytw.com/kopihitam/apa-itu-mppe-2/
http://ilmukomputer.org/wp-content/uploads/2008/05/herry-bayu-vpncisco1.pdf
http://www.experts-exchange.com/Security/Q_26696009.html
http://www.ijcttjournal.org/Volume4/issue-5/IJCTT-V4I5P45.pdf
http://www.jaringan-komputer.cv-sysneta.com/authentication-methods
http://www.jaringan-komputer.cv-sysneta.com/ppp-protocol
http://www.kompasiana.com/alvianhidayat/ssl-dan-tls_552c4c786ea83444468b4596
http://www.proweb.co.id/articles/support/tls.html
http://www.staff.city.ac.uk/~veselin/opnet/EPM775_lab.pdf
http://www.vocal.com/networking/datagram-transport-layer-security-dtls/
https://support.microsoft.com/id-id/kb/235284
https://technet.microsoft.com/en-us/library/cc782786(v=ws.10).aspx
https://www.bestvpn.com/blog/4147/pptp-vs-l2tp-vs-openvpn-vs-sstp-vs-ikev2/
https://www.rivier.edu/faculty/vriabov/Lab11_FirewallsVPN.pdf
http://www.opnet.com/university_program/itguru_academic_edition/