Pengertian Dan Manfaat IP Security

IPSec (singkatan dari IP Security) adalah sebuah protokol yang digunakan untuk mengamankan transmisi datagram dalam
sebuah internetwork berbasis TCP/IP. IPSec diimplementasikan pada lapisan transport dalam OSI Reference Model untuk
melindungi protokol IP dan protokol-protokol yang lebih tinggi dengan menggunakan beberapa kebijakan keamanan yang
dapat dikonfigurasikan untuk memenuhi kebutuhan keamanan pengguna, atau jaringan.

IPSec umumnya diletakkan sebagai sebuah lapisan tambahan di dalam stack protokol TCP/IP dan diatur oleh setiap
kebijakan keamanan yang diinstalasikan dalam setiap mesin komputer dan dengan sebuah skema enkripsi yang dapat
dinegosiasikan antara pengirim dan penerima. Kebijakan-kebijakan keamanan tersebut berisi kumpulan filter yang
diasosiasikan dengan kelakuan tertentu. Ketika sebuah alamat IP, nomor port TCP dan UDP atau protokol dari sebuah
paket datagram IP cocok dengan filter tertentu, maka kelakukan yang dikaitkan dengannya akan diaplikasikan terhadap
paket IP tersebut.

Secara umum layanan yang diberikan IPSec adalah:

 Data Confidentiality, pengirim data dapat mengenkripsi paket data sebelum dilakukan transmit data.
 Data Integrity, penerima dapat mengotentifikasi paket yang dikirimkan oleh pengirim untuk meyakinkan bahwa
data tidak dibajak selama transmisi.
 Data Origin Authentication, penerima dapat mengotentifikasi dari mana asal paket IPsec yang dikirimkan.
 Anti Replay, penerima dapat mendeteksi dan menolak paket yang telah dibajak.

Secara teknis, IPsec terdiri atas dua bagian utama. Bagian pertama mendeskripsikan dua protocol untuk penambahan
header pada paket yang membawa security identifier, data mengenai integrity control, dan informasi keamanan lain.
Bagian kedua berkaitan dengan protocol pembangkitan dan distribusi kunci. Bagian pertama IPsec adalah implementasi
dua protokol keamanan yaitu:
1. Authentication Header (AH) menyediakan data integrity, data origin authentication dan proteksi terhadap replay attack.
2. Encapsulating Security Payload (ESP) menyediakan layanan yang disediakan oleh AH ditambah layanan data
confidentiality dan traffic flow confidentiality.

Protokol Authentication Header (AH)

AH (Authentication Header), autentifikasi sumber data dan proteksi terhadap pencurian data. Protocol AH dibuat dengan
melakukan enkapsulasi paket IP asli kedalam paket baru yang mengandung IP header yang baru yaitu AH header disertai
dengan header asli. Isi data yang dikirimkan melalui protocol AH bersifat clear text sehingga tunnel yang berdasar protocol
AH ini tidak menyediakan kepastian data.

Format Paket data AH:

Proses implementasi AH pada paket :

Protokol Encapsulating Security Payload (ESP)

ESP (Encapsulated Security Payload) dapat menyediakan kepastian data, autentikasi sumber data dan proteksi terhadap
gangguan pada data. Protocol ESP dibuat dengan melakukan enkripsi pada paket IP dan membuat paket IP lain yang
mengandung header IP asli dan header ESP. Data yang terenkripsi (yang mengandung header IP asli) dan trailer ESP,
separuhnya terenkripsi dan sebagian tidak.

Format paket data ESP :

Internet Key Exchange (IKE)

Interne Key Exchange (IKE) berfungsi untuk pembangkitan dan penukaran kunci kriptografi secara otomatis. Kunci
kriptografi digunakan dalam auntentikasi node yang berkomunikasi dan proses enkripsi dan dekripsi paket yang
dikirimkan.

Security Association
Kombinasi tentang bagaimana melindungi data (ESP dan atau AH termasuk algoritma dan kunci), apa saja data yang
dilindungi dan pada saat apa data dilindungi disebut dengan Security Association (SA).

SA merupakan identifikasi unik dengan berbasiskan Security Parameter Index (SPI), alamat tujuan IP dan protocol
keamanan (AH dan atau ESP) yang diimplementasikan dalam trafik jaringan IPSec. Dua tipe SA yang didefinisikan yaitu

• Transport Mode
protokol menyediakan proteksi terhadap layer di atas IP layer. Layanan keamanan pada mode ini dilakukan dengan
penambahan sebuah IPsec header antara IP header dengan header protokol layer di atas IP yang diproteksi.

Implementasi IPsec di skema komunikasi end-to-end

• Tunnel mode
protokol diaplikasikan untuk menyediakan proteksi pada paket IP sehingga sekaligus melindungi layer di atas IP layer.
Hal ini dilakukan dengan mengenkapsulasi paket IP yang akan diproteksi pada sebuah IP datagram yang lain.

IPsec diimplementasikan di antara Security Gateway

Dalam implementasinya Security Association ini dikelompokkan dalam suatu database. Database tersebut antara lain:

• Security Policy Database (SPD)

Semua elemen yang penting pada proses SA dimasukkan kedalam Security Policy Database (SPD), yang akan
menspesifikasikan pelayanan apakah yang diberikan pada IP Datagram yang lewat pada trafik tersebut. SPD harus
memperhitungkan semua proses pada trafik meliputi Inbound dan Outbound dan trafik non IPSec. Pada pelaksanaannya,
IPSec akan mengecek SA pada SPD tersebut dan memberikan aksi discard (untuk paket pada host yang berada diluar
network tersebut), bypass IPSec atau apply IPSec. Manajemen SPD harus meliputi beberapa selector yaitu alamat IP
sumber, nama sub bagian database, dan port serta protocol tujuan dan sumber paket (TCP,UDP).

• Security Association Database (SAD)

Pada dasarnya isi dari SAD mirip dengan isi SPD yaitu policy trafik Inbound dan Outbound. Perbedaannya pada SPD
setiap proses outbound tidak langsung menunjuk pada satu SA atau dikenal dengan SA Bundle. Pada proses inbound SAD
memiliki index tujuan alamat IP, protocol IPSec dan SPI. Untuk proses Inbound pada SA akan melihat beberapa hal pada
SAD yaitu header terluar alamat IP tujuan, protocol IPSec, SPI, Sequence Number Counter, Sequence Counter Overflow,
Anti-replay Window, AH algorithm,ESP algorithm dan lifetime.