Personal Assignment 3

Session 7
MEGA JAYA / 1801622783
MAGISTER TEKNIK INFORMATIKA BINUS UNIVERSITY

Compare following Secure VPN Protocols:

IPSec
Transport Layer Security (TLS/SSL)
Datagram Transport Layer Security
Microsoft Point-to-Point Encryption (MPPE)
SSTP
PPP
L2TP
Jawaban:
Seperti yang kita ketahui bahwa VPN(Virtual Private Network) merupakan sebuah jaringan
virtual yang digunakan untuk memperpanjang jaringan pribadi melalui jaringan internet atau
jaringan public. Sehingga akan memungkinkan user bisa melakukan proses kirim dan terima data
melalui jaringan public. Seolah olah perangkat komputasi yang digunakan terhubung dengan
jaringan pribadi yang sudah dibangun. Karena VPN ini melewati jaringan public, maka perlu
dirancang sistem securitas terhadap jalur yang mereka gunakan. Membangun VPN tentu akan
berkaitan dengan availability, walaupun VPN didesain untuk mendukung confidentiality dan
integrity, namun pada umumnya tidak meningkatkan availability, yang merupakan kemampuan
dimana user yang sah (valid) bisa mengakses sistem ketika dibutuhkan, namun dalam kondisi
real nya banyak implementasi VPN yang justru malah menurunkan availability dikarenakan
adanya penambahan komponen dan service pada infrastruktur yang ada. Berikut penjelasan
protocol security yg digunakan pada VPN:
1. IPsec, konsep ini yaitu menjalankan VPN pada layer network dengan menggunakan
perangkat lunak, negoisasi antar peer, yaitu IPsec yang diinstall pada client digunakan
untuk mengenkapsulasi data yang akan ditransfer. Data kemudian di transfer melalui
 internet dengan cara di wrapper (pembungkus) IP ini, yang nantinya akan di unwrapped
setelah sampai pada tujuan.
Traffic yang diterima oleh gateway VPN dirouting seolah olah dia datang dalam jaringan,
yang mengijinkan VPN untuk menyediakan service On-The-LAN, penggunaan IPSec
cukup ideal untuk koneksi antar kantor atau istilah nya office to office. VPN dengan
konsep ini bisa digunakan untuk solusi yang bekerja dengan baik, jika organisasi
memiliki sejumlah kecil anggota yang dapat di percaya jika ingin mengakses

Gambar 1.1: IPsec VPN

VPN dengan IPSec merupakan solusi yang baik untuk sejumlah user yang dapat
dipercaya untuk mengakses LAN dari PC korporasi yang dikelola. Namun, akan
semakin banyak user yang mengakses dari berbagai lokasi remote (rumah, site
customer, dll), yang menggunakan device berbeda-beda (laptop, PSA, dan telepon
selular yang web-enabled), dan merupakan tipe useryang berbeda (pegawai,
kontraktor, partnerbisnis atau customer). Dengan begitu, ketika organisasi memiliki
ratusan atau bahkan ribuan user remote, atau ketika organisasi tidak dapat mengontrol
desktop user(seperti partner bisnis) karena untuk menginstall perangkat lunak pada PC
user remote sangatlah mahal, maka akan sangat sulit untuk dikelola dan tidak praktis

2. Transport Layer Security (TLS/SSL), VPN menggunakan protokol SSL, yang

merupakan bagian dari semua web browser standar untuk menyediakan transmisidata
yang aman melalui internet, dan bukan perangkat lunak individual pada client. Karena
SSL VPN hanya membutuhkan sebuah web browserdan koneksi internet, maka menjadi
solusi remote access yang sangat fleksibel. Walaupun sebenarnya bukan solusi yang
ideal untuk koneksi antar site(site-to-site), di mana servis on-the-LAN merupakan
faktor yang cukup penting.

Gambar 1.2 : SSL VPN

Dengan IPSec VPN, perangkat lunak client harus diinstall pada masing-masing PC.
Langkah menginstall perangkat lunak ini dapat memberi kesan bahwa IPSec VPN lebih
dapat dipercaya. Kesan ini tidak sepenuhnya benar mengingat semakin banyaknya
perangkat lunak client yang gratis dan mudah di-download oleh pihak-pihak yang
memang berniat buruk. SSL VPN dapat menyediakan akses untuk user yang lebih luas
yang membuatnya kurang begitu dikenal karena tidak butuh untuk menginstall
perangkat lunak pada PC client. Kedua jenis solusi VPN ini sangat efektif untuk
protokol dan metodologi pengujian field. Keduanya menawarkan performansi bandwidth
dan level enkripsi yang sama. Terlebih lagi keduanya juga tidak eksklusif mutual,
sehingga sering dapat dideploy dalam organisasi yang sama. Walaupun begitu, keduanya
memiliki kelebihan masing-masing yang membuat keduanya akan cocok untuk situasi
tertentu. Contohnya, IPSec VPN dianggap ideal untuk koneksi yang statis dan berjangka
panjang antar kantor, sedangkan SSL VPN merupakan pilihan terbaik untuk
menyediakan akses kepada jumlah yang besar dari user
3. Datagram Transport Layer Security(DTLS) merupakan DTLS adalah protokol berbasis
TLS yang mampu mengamankan transport datagram. DTLS sangat sesuai untuk securitas
aplikasi dan layanan yang bersifat delay-sensitive (dan karenanya menggunakan transport
datagram), aplikasi tunneling seperti VPN, dan aplikasi yang cenderung kehabisan file
descriptors atau socket buffer. Biasanya DTLS, digunakan oleh Cisco untuk generasi
berikutnya disebut produk VPN AnyConnect Cisco VPN. DTLS memecahkan masalah-
masalah yang ditemukan saat TCP melalui TCP tunneling seperti halnya dengan SSL /
TLS.
4. Microsoft Point-to-Point Encryption (MPPE), VPN dengan protocol MPPE merupakan
metode untuk mengenkripsi data yang ditransfer melalui koneksi dial-up berbasis Point-
to-Point Protocol (PPP) atau jaringan pribadi virtual point-to-point tunneling (PPTP)
virtual private network (VPN) koneksi. MPPE menggunakan algoritma RSA untuk
enkripsi dan mendukung kunci sesi 40-bit dan 128-bit, yang sering diubah untuk
memastikan keamanan. MPPE tidak mengkompress atau memperluas data.
5. SSTP, Diperkenalkan oleh Microsoft Corporation dalam Windows Vista Service Package
1 (SP1), kanalisasi soket aman yang sekarang tersedia untuk SEIL, Linux dan RouterOS,
namun masih diutamakan untuk platform hanya Windows. Oleh karena protokol ini
memakai SSL v3, sehingga memberikan keunggulan yang sama dengan OpenVPN,
seperti kemampuan untuk mencegah masalah firewall NAT. SSTP adalah protokol VPN
yang stabil dan mudah digunakan, terutama disebabkan integrasinya ke dalam Windows.
Namun demikian, hak kepemilikan bakunya dimiliki oleh Microsoft. Sekalipun raksasa
teknologi ini memiliki sejarah pernah bekerja sama dengan NSA, ada juga spekulasi
tentang pintu belakang (backdoor) bawaan dalam sistem operasi Windows karenanya
protokol ini tidak menyulut banyak keyakinan sebanyak untuk standar lainnya.
Keuntungan:
Memiliki kemampuan untuk menerobos kebanyakan firewall.
Taraf keamanannya tergantung dari sandi rahasia, tetapi umumnya cukup
aman.
Terintegrasi secara penuh ke dalam sistem operasi Windows.
 Didukung Microsoft.
Kerugian:
Karena hak kepemilikan bakunya dimiliki oleh Microsoft Corporation,
tidak dapat dipertimbangkan untuk pintu belakang.
Hanya berfungsi pada platform murni Windows.
6. PPP, Dikembangkan oleh sebuah konsorsium yang didanai oleh Microsoft Corporation,
Point-to-Point Tunneling (Kanalisasi Titik-ke Titik) membentuk Jaringan Privat Virtual
(VPN) pada jaringan dial-up (saluran telepon), dan sudah menjadi protokol baku untuk
VPN sejak pengenalannya kepada publik. Protokol VPN pertama yang didukung oleh
Windows, PPTP memberikan keamanan dengan mengandalkan pada aneka ragam metode
autentisitas, seperti MS_CHAP v2 yang adalah paling umum dari dibandingkan lainnya.
Tiap-tiap perangkat dan plaform yang bisa VPN pasti secara standar menggunakan PPTP,
dan oleh karena penyiapannya yang relatif gampang, protokol ini tetap menjadi pilihan
utama baik untuk penyedia VPN dan untuk bisnis. Serta, penerapannya yang hanya
memerlukan biaya komputasi yang rendah, menjadikannya salah satu protokol VPN
tercepat dari semua yang ada sekarang ini.
Namun demikian, meskipun sekarang ini umumnya menggunakan enkripsi 128-bit,
masih ada cukup banyak kerentanan, dengan kemungkinan paling mengkhawatirkan
adalah Autentisitas MS-CHAP v2 yang tidak terselubung proteksi. Oleh sebab inilah,
PPTP dapat dipecahkan rahasianya dalam 2 hari saja. Dan sekalipun kelemahannya telah
ditambal sulam oleh Microsoft, raksasa teknologi ini sendiri menganjurkan sebagai
gantinya agar para pengguna VPN sebaiknya memakai SSTP atau L2TP.
Dengan PPTP yang menjadi sangat tidak aman, bukan suatu hal yang mengejutkan kalau
membongkar komunikasi enkripsi PPTP hampir pasti sudah jadi standar di NSA.
Meskipun demikian, yang lebih mengkhawatirkan lagi adalah nama yang disebutkan
belakangan sudah (atau mengambil ancang-ancang) membongkar enkripsi sejumlah besar
data-data lama dulunya dienkripsi bahkan pada saat PPTP dianggap protokol yang aman
bagi kalangan ahli keamanan.
7. L2TP, Protokol Kanal Lapis 2 (Layer 2 Tunnel Protocol), tidak seperti protokol VPN lain,
tidak menyediakan privasi atau enkripsi apa pun pada lalu lintas data yang melewatinya.
Oleh sebab inilah, protokol jenis ini diterapkan secara khusus bersama satu set protokol
yang dikenal sebagai IPsec guna enkripsi data sebelum ditransmisikan, memberi privasi
dan keamanan bagi para pengguna. Semua perangkat dan sistem operasi modern yang
kompatibel dengan VPN sudah ditanamkan dengan L2TP/IPsec. Proses penyiapannya
sama cepat dan mudahnya dengan PPTP, tetapi bisa saja ada masalah, sebab protokol
yang memanfaatkan UDP port 500 yang diketahui sebagai sasaran empuk untuk diblokir
firewall NAT. Oleh karena itu, pemetaan port/pengarahan port kemungkinan diperlukan
bila akan dipakai dengan firewall.
Tidak ada kerentanan yang besar berkaitan dengan enkripsi IPsec, dan bisa jadi masih
tetap aman bila diterapkan secara benar. Meskipun begitu, dari pembeberan rahasia oleh
Edward Snowden benar-benar mengisyaratkan protokol ini sebagai telah disusupi oleh
NSA. John Gilmore, seorang anggota pendiri dan spesialis keamanan di Electric Frontier
Foundation, menegaskan bahwa kemungkinan besar protokol itu dengan sengaja telah
dilemahkan oleh NSA. Selain itu, karena protokol LT29/IPsec menyelubungi data
sebanyak dua kali, jadi efisiesinya tidaklah sama dengan lawannya yaitu solusi yang
berbasis SSL, dan karena itu sedikit lebih lambat dibandingkan dengan protokol VPN
lainnya.
Keuntungan:
Secara khusus dianggap aman.
Tersedia di semua perangkat dan sistem operasi modern.
Mudah dipersiapkan.
Kerugian:
Lebih lambat daripada OpenVPN lain.
Kemungkinan disusupi oleh NSA.
Bisa menjadi masalah bila digunakan pada firewall terbatas.
Kemungkinan besar protokol telah dengan sengaja dilemahkan oleh NSA.
 What is the differences between Computer Level Authentication and User Level
Authentication
Jawaban:
Ada beberapa aplikasi yang menggunakan proses authentifikasi dan otoritas keamanannya pada
kemanan lokal(system target) dan ini biasanya digunakan pada CredSSP, NTLM atau Kerberos,
yang digunakan sebagai otentifikasi pengguna
Kemudian dalam lingkungan workgroup, biasanya menggunakan CredSSP dan NTLM.
Tergantung kepada versi sistem operasi dan versi RDP dari client nya, dan apa hubungannya
dengan authentifikasi komputer level? Jawabannya komputer sebagai Head Security tidak
mengotentifikasi kontesk ini, tapi kita bisa gunakan SSL/TLS untuk RDP agar lebih aman dalam
mengenkripsi koneksi. Ini artinya membuktikan identitas dari sistem target
Otentifikasi tingakt komputer biasaya terjadi pada lingkunagan domain, dimana komputer itu
sendiri adalah head dari securitynya, dan komouter memilki unik name serta menyimpan kata
sandi sendiri dalam domain, kemudian komputer dapat diberikan akses kesumber daya yang ada
pada domain. Dan pada domain biasanya user tidak bisa menggunakan token autentifikasi
komputer untuk melakukan sesuatu. Misalkan create folder atau akses folder yang berlaku disini
adalah autentifikasi user level.

Make a VPN connection simulation using OPNET IT GURU Academic version, consist
of:
2 sites
Ethernet or WAN
Choose any methods (eg. PPTP, L2TP, IPSec, SSL)
Make a brief report how this strategy can help network security
Jawaban:
Pada pertanyaan ini, saya menggunakan aplikasi Riverbed, yang merupakan versi lanjutan dari
aplikasi simulator OPNET IT GURU Academic version, aplikasi bisa di download pada link
berikut ini: http://www.opnet.com/university_program/itguru_academic_edition/ dimana
sebelum download mereka mengharuskan kita untuk lakukan registrasi account, isi dengan benar
terutama pada bagian email karena link download di kirimkan ke email, seperti tampilan berikut
ini:
Setelah proses download selesai lakukan instalasi pada aplikasi simulator network ini, baru
lakukan proses configurasi pada network yang akan kita bangun, dalm hal ini network yang ingin
dibangun pada aplikasi riverbed adalah membangun VPN dengan Ethernet dan method yang
digunakan adalah VPN yang terkoneksi dengan menggunakan protocol MPLS DTLS.

Berikut tampilan settingan di aplikasi river bed:

simulasi ini menggambarkan ilustrasi menggunakan VPN untuk sebuah komunikasi dari
beberapa site yang berbeda 2 site enterprise yang berbeda sudah diberikan nama yaitu Enterprise
A dan enterprise B enterprise A menggunakan VPN dinamakan dengan Yellow_VPN dan
enterprise B menggunakan VPN dinamakan Red_VPN yg digunakan untuk komunikasi diantara
kedua site yang berbeda
background traffic network sudah dilakukan konfigurasi sebagai berikut:
1. enterprise A site 1: A_1_Rtr1 -->enterprise A: site 2: a_2_Rtr1
2. enterprise B site 1: B_1_Rtr1 -->enterprise B: site 2: b_2_Rtr1
seluruh Koneksi adalah dengan PPP_SONET_OC3 Links
LSPs sudah dilakukan konfigurasi antara masing masing PE dalam network
BGP sudah di konfigurasi antara seluruh PE, AL Pe adalah Neighbors dari BGP
Route antara PE dan CE sudah dilakukan konfigurasi dengan Static IP seluruh dite di
eNTERPRISE A sudah di lakukan konfigurasi untuk menggunakan "YELLOW_VPN"
dan seluruh site di enterprise B sudah dilakukan konfigurasi juga untuk menggunakan
"RED_VPN"

index:
VRF : VPN routing and forwarding table
BGP : Border Gateway Protocol
PE : Provider Edge Router
CE : Customer Edge Router
Gambar dibawah ini merupakan tampilan saat simulasi VPN akan di run:
Result analysis:
VRF table di create oleh Site1_PE seperti yang ditunjukkan Pada Gambar.( VRF Tabel bisa di
expor dalam simulation log pada aplikasi rivebed ini) perbandingan antara 2 VRF bisa dilihat
pada keterangan dibawah ini:
1. enterprise A dan enterprise B mereka sama sama menggunakan address dan IP addres yang
sama walaupun accross network
2. VRF table menampilkan address tujuan, Next BGP Hop, Address dan next PE, Buttom Label
digunakan sebagai differensiasi dari VPN
3. Label(Bottom Label) digunakan sebagai penanda masuknya network kedalam VRF Tabels itu
berbeda, dimana Isolate traffic dari Yellow_VPN dan Red_VPN

Berikut tampilan Traffic dari simulasi yang dibangun:

Reference:
1. https://splash.riverbed.com/thread/7732
2. http://studyres.com/doc/8811022/analisis-perbandingan-protokol-virtual-private
3. http://blog.randisunarsa.web.id/?p=291
4. https://f5.com/glossary/datagram-transport-layer-security-dtls