Session 7
(7213T-TP3S7-R1)
Due Date : 25 Oktober 2015, 23:59:00
MATA KULIAH
IT NETWORK GOVERNANCE
DOSEN
OLEH:
TINA TRI WULANSARI
1412409315
Personal Assignment 3
Session 7
IPSec
SSTP
PPP
L2TP
What is the differences between Computer Level Authentication and User Level
Authentication
2 sites
Ethernet or WAN
Make a brief report how this strategy can help network security
Pembahasan!
A.
Sebelum merinci beberapa VPN Protocol, berikut terlebih dahulu diberikan penjelasan
mengenai VPN (Virtual Private Network). Dalam arti yang sederhana ialah koneksi
secara logical yang menghubungkan dua node melalui public network. Koneksi logical
tersebut bisa merupakan layer 2 ataupun layer 3 dalam basis OSI Layer. Begitu juga
dengan teknologi VPN yang dapat diklasifikasikan atas Layer 2 VPN atau Layer 3 VPN.
Secara konsep, baik Layer 2 VPN ataupun Layer 3 VPN ialah sama, yaitu menambahkan
delivery header dalam paket data yang menuju ke site tujuan. Untuk Layer 2 VPN,
delivery header-nya berada di Layer 2. Sedangkan untuk Layer 3, delivery header-nya
berada di Layer 3.
Mengingat kembali mengenai kabar mengejutkan dari Edward Snowden orang yang
telah bertahun-tahun bekerja untuk memecahkan dan menumbangkan teknologi
enkripsi VPN, bersama-sama dengan fakta bahwa hal ini menjadi semakin jelas bahwa
sebagian besar teknologi VPN akan terus memerlukan pengembangan dan
penyempurnaan.
Ada 7 VPN yang akan dibandingkan dalam pembahasan soal ini, yaitu:
1.
IPSec
IPSec protocol diciptakan oleh kelompok kerja IPSec dibawah naungan IETF.
Arsitektur dan komponen fundamental dari IPSec VPN seperti yang didefinisikan
oleh RFC2401 adalah:
a. Security protocols: Authentication Header (AH) dan encapsulation security
payload (ESP)
b. Key management: ISAKMP, IKE, SKEME
Konfigurasi IKE fase 1 pada Cisco IOS Router Crypto isakmp policy 1 encr 3des
authentication pre-share group 2 IKE fase 1 membutuhkan authentication method.
Authentication method sendiri ada dua tipe, yaitu preshared key dan digital
signatures. Artikel ini hanya membahas pre-shared key. Pre-shared key
authentication Pada metode ini, baik pengirim atau penerima harus mempunyai
pre-shared key yang sama. Bila preshared key tidak sama, maka IKE Tunnel tidak
akan terbentuk.
Konfigurasi pre-shared key pada Cisco IOS Router Crypto isakmp key preshared_key address x.x.x.x
Contoh Studi Kasus
PT. XYZ yang terletak di Jakarta Pusat ingin membuka cabang di Jakarta Barat. Untuk
itu mereka ingin membangun koneksi yang aman dan terjamin kerahasiaannya
antara kantor pusat dengan cabang tersebut melalui public network. Anda sebagai
Network Engineer ditugaskan untuk membangun koneksi tersebut. Berikut ialah
beberapa spesifikasi yang diberikan oleh PT. XYZ:
Koneksi yang diizinkan antara Head Office dan branch hanya antara vlan 10 dan
vlan 30
Switch Jakarta Pusat : Cisco 3560
Switch Jakarta Barat : Cisco 2960
Solusi Kasus:
Konfigurasi Router A (Head Office - Jakpus)
2.
Dapat dikatakan juga bahwa SSL merupakan Protokol berlapis. Dalam tiap
lapisannya, sebuah data terdiri dari panjang, deskripsi dan isi. SSL mengambil data
untuk dikirimkan, dipecahkan kedalam blok-blok yang teratur, kemudian dikompres
jika perlu, menerapkan MAC, dienkripsi, dan hasilnya dikirimkan. Di tempat tujuan,
data didekripsi, verifikasi, dekompres, dan disusun kembali. Hasilnya dikirimkan ke
klien di atasnya.
Baik TLS dan SSL melibatkan beberapa langkah dasar:
1. Negosiasi dengan ujung client atau server untuk dukungan algoritma.
2. Public key, encryption-based-key, dan certificate-based authentication
3. Enkripsi lalu lintas symmetric-cipher-based
Protocol SSL dan TLS berjalan pada layer dibawah application protokol seperti HTTP,
SMTP and NNTP dan di atas layer TCP transport protocol, yang juga merupakan
bagian dari TCP/IP protocol. Selama SSL dan TLS dapat menambahkan keamanan ke
protocol apa saja yang menggunakan TCP, keduanya terdapat paling sering pada
metode akses HTTPS. HTTPS menyediakan keamanan web-pages untuk aplikasi
seperti pada Electronic commerce. Protocol SSL dan TLS menggunakan
cryptography public-key dan sertifikat publik key untuk memastikan identitas dari
pihak yang dimaksud. Sejalan dengan peningkatan jumlah client dan server yang
dapat mendukung TLS atau SSL alami, dan beberapa masih belum mendukung.
Dalam hal ini, pengguna dari server atau client dapat menggunakan produk
standalone-SSL seperti halnya Stunnel untuk menyediakan enkripsi SSL.
Fungsi SSL pada komunikasi aman sama seperti fungsi TCP pada komunikasi normal,
yaitu menyediakan sebuah infrastruktur komunikasi standar di mana sebuah
aplikasi dapat menggunakannya dengan mudah dan hampir tidak dapat terlihat
(invisible). SSL menyediakan sebuah komponen penting pada sistem yang aman.
Mekanisme otentikasi dasar seperti password Telnet dan otentikasi HTTP dasar
menjadi sangat kuat ketika dieksekusi dengan SSL dibandingkan dengan TCP, di
mana pada SSL password tidak lagi dikirim dalam bentuk plainteks. SSL
mengenkripsi koneksi, bukan data pada kedua pihak yang berkomunikasi, dan tidak
mengandung mekanisme untuk otentikasi user ataupun perlindungan password
(hanya koneksi yang diotentikasi, keamanannya akan gagal jika mesin pada kedua
pihak yang berkomunikasi compromised).
4. Client menggunakan Public Key yang didapatnya untuk men-enkrip sesi dan
mengirimkan session key ke server. Bila server meminta sertifikat client di
langkah pengiriman public key (2), maka clent harus mengirimkannya sekarang.
5. Bila
server
di-setup
membandingkan
untuk
sertifikat
menerima
yang
sertifikat,
diterimanya
maka
dengan
server
akan
basisdata trusted
authorities dan akan menerima atau menolak koneksi yang diminta. Bila kondisi
ditolak, suatu pesan kegagalan akan dikirimkan ke client. Bila koneksi diterima,
atau bila server tidak di-setup untuk menerima sertifikat, maka server akan mendecode session key yang didapat dari client dengan privete key milik server dan
mengirimkan pesan berhasil ke client yang dengan demikian membuka
suatu secure data chanel.
IMPLEMENTASI SSL
Implementasi SSL terlihat dalam produk-produk berikut :
Terdapat dua implementasi SSL: SSLeay dan OpenSSL. Microsoft menerapkan versi
SSH-nya sendiri yang dikenal sebagai TSL atau Transport Layer Security (disebut juga
sebagai SSL v.3.1), namun tidak mendapat banyak dukungan diluar produk-produk
Microsoft sendiri.
Meskipun proses otentikasi dan enkripsi terlihat rumit, hal itu terjadi dalam waktu
kurang dari satu detik. Umumnya,pengguna bahkan tidak tahu prosesnya atau
bagaimana hal itu terjadi. Namun, pengguna dapat mengetahui koneksi aman telah
terbentuk (SSL) sejak web browser SSL-enabled menampilkan kunci tertutup kecil di
bagian kanan atas browser (biasanya samping kiri URL). Pengguna juga dapat
mengidentifikasi situs web yang aman dengan melihat alamat situs web yang biasa
adalah http://
3.
The traffic encryption layer does not allow individual packets to be decrypted,
The handshake layer breaks if messages are lost because it depends on them
The first problem caused by the inter-packet dependencies can be solved by using a
method employed in theSecure Internet Protocol (IPsec) by adding explicit state to
each individual record.
To solve the issue of packet loss DTLS employs a simple retransmission timer. Figure
1 below illustrates the basic concept. The client is expecting to see
the HelloVerifyRequest message from the server. If the timer expires then the client
knows
that
either
the ClientHello or
lost
and
retransmits.
Reordering is solved by giving each handshake message a specific sequence number
used to determine if it has received the next message in the sequence. If the
message is the next one then the peer processes it, if it is not the next one then it
queues it up for future handling when messages individual sequence number is
reached.
Handshake messages can be quite large (224 1 bytes) and UDP datagrams are
usually limited to less then 1500 bytes. DTLS compensates for this by allowing each
handshake message to be fragmented over several UDP datagrams. Each handshake
message contains a fragment offset and a fragment length allowing the recipient to
reassemble the bytes into the complete message when all packets are received.
4.
sebuah
menyediakan cara
untuk
protokol yang
memungkinkan untuk dua jenis enkripsi yang berbedapada ukuran kunci (size of the
key)
Kedua ukuran
sendiri juga
128-
berubah secara
dinamis. Enkripsi dari link PPP adalah sesuatu yangdinegosiasikan oleh level subprotocol yang
lebih
5.
SSTP
Secure Socket Tunneling Protocol was introduced by Microsoft in Windows Vista
SP1, and although it is now available for Linux, RouterOS and SEIL, it is still largely a
Windows-only platform (and there is a snowballs chance in hell of it ever appearing
on an Apple device!). SSTP uses SSL v3, and therefore offers similar advantages to
OpenVPN (such as the ability to use to TCP port 443 to avoid NAT firewall issues),
and because it is integrated into Windows may be easier to use and more stable.
However unlike OpenVPN, SSTP is a proprietary standard owned by Microsoft. This
means that the code is not open to public scrutiny, and Microsofts history of cooperating with the NSA, and on-going speculation about possible backdoors built-in
to the Windows operating system, do not inspire us with confidence in the
standard.
Pros
6.
PPP
PPP (point to point) protocol yang merupakan salah satu jenis koneksi WAN dalam
suatu jaringan komputer internetwork, adalah protocol point-to-point yang pada
awalnya di kembangkan sebagai method encapsulation pada komunikasi point-topoint antara piranti yang menggunakan protocol suite. Protocol ini menjadi sangat
terkenal dan begitu banyak diterima sebagai metoda encapsulation WAN khususnya
dikarenakan dukungannya terhadap berbagai macam protocol seperi IP; IPX;
AppleTalk dan banyak lagi.
Fitur PPP, berikut ini adalah fitur kunci dari protocol ini:
1. PPP beroperasi melalui koneksi interface piranti Data Communication Equipment
(DCE) dan piranti Data Terminal Equipment (DTE).
2. Dapat
beroperasi pada
kedua
modus synchronous
(dial-up) ataupun
6. Mendukung berbagai macam protocol layer diatasnya seperti IP; IPX; AppleTalk
dan sbgnya.
7. Mendukung authentication kedua jenis clear text PAP (Password Authentication
Protocol) dan enkripsi CHAP (Chalange Handshake Authentication Protocol)
8. NCP meng-encapsulate protocol layer Network dan mengandung suatu field yang
mengindikasikan protocol layer atas.
antara
Data
Link
layer
2.
Kompresi
3.
Authentication
4.
Deteksi error
Saat sesi dimulai, piranti-2 bertukar paket LCP untuk negosiasi layanan-2 pada
yang terdaftar disini. Spesifikasi PPP protocol tidak mengandung standard layer
Physical. Akan tetapi dapat berjalan pada bermacam-2 standard physical
synchronous dan asynckronous termasuk:
1.
2.
ISDN
3.
Serial synchronous
4.
2.
3.
7.
L2TP
Layer 2 Tunnel Protocol is a VPN protocol that on its own does not provide any
encryption or confidentiality to traffic that passes through it. For this reason it is
usually implemented with the IPsec encryption suite (similar to a cipher, as
discussed below) to provide security and privacy.
L2TP is built-in to all modern operating systems and VPN capable devices, and is just
as easy and quick to set up as PPTP (in fact it usually uses the same client). Problems
can arise however, because the L2TP protocol uses UDP port 500, which is more
easily blocked by NAT firewalls, and may therefore require advanced configuration
(port forwarding) when used behind a firewall (this is unlike SSL which can use TCP
port 443 to make it indistinguishable from normal HTTPS traffic).
IPsec encryption has no major known vulnerabilities, and if properly implemented
may still be secure. However, Edward Snowdens revelations have strongly hinted at
the standard being compromised by the NSA, and as John Gilmore (security
Kesimpulan:
Berikut ini beberapa yaitu:
1. Dari sisi keamanan, IPSec memiliki fungsi keamanan yang paling lengkap
dibandingkan dengan protokol PPTP dan L2TP karena memiki protokol enkripsi dan
otentikasi yang lebih baik. Sedangkan protokol PPTP dan L2TP tidak menyediakan
fungsi data sendiri tetapi hanya bergantung pada protokol yang melaluinya untuk
menyediakan fungsi keamanan.
2. Dari sisi performansi, PPTP dan L2TP memiliki performansi yang lebih baik
dibandingkan dengan IPSec jika berjalan pada jaringan TCP/IP, sedangkan dari sisi
interoperability, L2TP dapat bekerja lebih baik dengan sistem dari vendor lain
dibandingkan protokol PPTP dan IPSec.
B. Sebelum menjawab mengenai perbedaan Computer Level Authantication and User Level
Authantication, berikut dijelaskan pengertian dari Authantication adalah proses dimana
seorang user (melalui berbagai macam akses fisik berupa komputer , melalui jaringan ,
atau melalui remote access ) mendapatkan hak akses kepada suatu entity (dalam hal ini
jaringan suatu corporate). Seorang user melakukan login kedalam suatu infrastruckture
jaringan dan system mengenali user ID ini dan menerimanya untuk kemudian diberikan
akses terhadap resources jaringan sesuai dengan authorisasi yang dia terima.
When Internet Protocol security (IPSec) is used for a Layer Two Tunneling Protocol (L2TP)
over IPSec (L2TP/IPSec) VPN connection, computer-level authentication is performed
through the exchange of computer certificates or a preshared key during the establishment
of the IPSec security association.
2. User-level authentication
Before data can be sent over the Point-to-Point Tunneling Protocol (PPTP) or L2TP tunnel,
the remote access client or demand-dial router that requests the VPN connection must be
authenticated. User-level authentication occurs through the use of a Point-to-Point
Protocol (PPP) authentication method.
Keuntungan
Murah banyak tersedia dengan hampir sebagian besar system operasi dan web-pages.
Kerugiannya
User name dan password dikirim dalam bentuk clear text untuk authentication dasar
(walau tidak semua kasus dan SSL dapat meng-inkripsi pada level network)
Pada internet, user bisa mempunyai banyak user-name dan password yang berbedabeda yang hanya bikin pusing untuk mengingatnya.
2. Certificates Authentication
User certificate bisa digunakan oleh end-user untuk menjamin identitas mereka. Akses
terhadap certificate normalnya dikendalikan oleh sebuah password yang local terhadap
certificate. Banyak company sudah mulai memanfaatkan dan mengimplementasikan user
certificate dalam jaringan internal mereka.
Keuntungan
Mengijinkan roaming user, yaitu user pindah dari satu lokasi ke lokasi lainnya (hanya jika
vendor anda mendukung fitur ini)
Dapat meng-inkrip data, e-mail, dan sign hanya dengan satu certificate saja
(sesungguhnya akan lebih baik untuk membedakan certificate untuk signing dan
inkryption
Kerugian
Roaming users, yaitu users berpindah dari satu lokasi ke lokasi lainnya (dimana tidak
semua vendor mendukung fitur ini akan tetapi hal ini menjadi lebih bagus)
Disadvantages
Tidak semua vendor mendukung technology biometric ini. Tetapi beberapa jenis laptop
sudah banyak menggunakan teknologi sidik jari ini untuk authenticasi logon.
Card ii bisa menyimpan informasi kunci dan informasi lainnya tentang user.
Jika kunci juga dimasukkan, maka akan mudah melakukan inkripsi data dan email.
Solusi yang bagus untuk roaming user; certificate bisa dengan mudah ditransport
kedalam.
Kerugiannya
Masih juga rentan digunakan oleh user lain yang tidak berhak istilahnya tailgating
5. Anonymous Authentication
Suatu user anonymous adalah metoda untuk memberikan akses user terhadap file
sehingga tidak memerlukan identifikasi user terhadap server. user memasukkan
anonymous sebagai user ID. Metoda ini umum dipakai untuk mendapatkan akses terhadap
server untuk hanya sekedar melihat / membaca dan download file yang disediakan untuk
umum.
Dengan penggunaan anonymous hal ini dimaksudkan sebaghai metoda authentication dan
sekaligus authorization. Pastikan anda menyadari bahwa dengan control anonymous,
berarti anda memberikan akses authentication dan authorization sekaligus. Tapi pastikan
bahwa anonymous bukan menjadi setting default anda, hal ini sangat berbahaya. Pastikan
bahwa data yang mestinya harus mendapatkan access khusus, jangan dibuka untuk umum
dengan memberikan control anonymous.
C. Pada pembahasan nomor 3 ini di berikan contoh simulasi koneksi VPN, berikut ditunjukkan
dalam beberapa figure.
Peran firewall dan Virtual Private Networks (VPN) dalam memberikan keamanan untuk
jaringan publik bersama seperti internet. Dalam skenario Firewall, data base dalam server
kita dilindungi oleh router firewall dari setiap akses eksternal. Kita asumsikan bahwa kita
ingin mengijinkan koneksi dari LAN 1 untuk mengakses database pada server, maka sejak
firewall akan menyaring semua lalu lintas yang berhubungan dengan database dari
manapun sumber lalu lintasnya, sehingga kita perlu menggunakan teknologi VPN sebagai
solusi. VPN akan menjadi sebuah terowongan virtual yang dapat digunakan oleh node pada
LAN 1 untuk mengirim permintaan basis data ke server. Firewall tidak akan menyaring lalu
lintas yang diciptakan oleh Sales karena paket IP di terowongan akan dikemas dalam
sebuah datagram IP. Berikut figure simulasi laporan VPN.
Kesimpulan dari simulasi ini adalah VPN mempunyai kemampuan untuk melakukan
autentifikasi terhadap sumber dari pengiriman data yang akan di terimanya. PVN dapat
melakukan pemeriksaan kepada data yang masuk dan mengakses informasi dari
sumbernya, lalu alamat dari sumber data tersebut akan di setujui jika proses autentifikasi
berhasil, dengan begitu VPN dapat menjamin semua data yang di kirimkan dan juga yang
diterima berasal dari sumber yang memang benar-benar seharusnya, tidak ada informasi
atau data yang dikirimkan oleh pihak lain dan data yang dipalsukan. VPN menyediakan
keamanan dengan tidak membiarkan lalu lintas dari pengguna yang tidak sah seperti yang
ditunjukkan pada Gambar 2 & 3, namun karena VPN respon waktu meningkat yang
berarti penurunan kinerja. Gambar 4 menjelaskan bagaimana waktu respon http
meningkat dengan penambahan VPN dalam jaringan. Garis berwarna biru dengan tanda
angka 1 menunjukkan waktu respon http firewall dengan VPN, garis berwarna merah
ditandai dengan angka 2 menunjukkan waktu respon tanpa VPN dan garis berwarna hijau
ditandai dengan angka 3 menunjukkan waktu respon dengan firewall. Jadi, kesimpulannya
Referensi:
http://eprints.unsri.ac.id/2832/1/senoprosiding.pdf
http://feddytw.com/kopihitam/apa-itu-mppe-2/
http://ilmukomputer.org/wp-content/uploads/2008/05/herry-bayu-vpncisco1.pdf
http://www.experts-exchange.com/Security/Q_26696009.html
http://www.ijcttjournal.org/Volume4/issue-5/IJCTT-V4I5P45.pdf
http://www.jaringan-komputer.cv-sysneta.com/authentication-methods
http://www.jaringan-komputer.cv-sysneta.com/ppp-protocol
http://www.kompasiana.com/alvianhidayat/ssl-dan-tls_552c4c786ea83444468b4596
http://www.proweb.co.id/articles/support/tls.html
http://www.staff.city.ac.uk/~veselin/opnet/EPM775_lab.pdf
http://www.vocal.com/networking/datagram-transport-layer-security-dtls/
https://support.microsoft.com/id-id/kb/235284
https://technet.microsoft.com/en-us/library/cc782786(v=ws.10).aspx
https://www.bestvpn.com/blog/4147/pptp-vs-l2tp-vs-openvpn-vs-sstp-vs-ikev2/
https://www.rivier.edu/faculty/vriabov/Lab11_FirewallsVPN.pdf
http://www.opnet.com/university_program/itguru_academic_edition/