●
Membuat terowongan aman melalui jaringan publik yang seolah-olah
merupakan jalur terpisan
•
Klien ke firewall
•
Router ke router
•
Firewall ke firewall
●
Menggunakan Internet sebagai tulang punggung publik untuk
mengakses yang aman jaringan pribadi
•
Karyawan jarak jauh dapat mengakses jaringan kantor mereka
●
Ada dua jenis:
•
Remote Akses
•
Site-to-site VPN
●
Perangkat keras / Hardware
•
Biasanya router jenis VPN
•
Pro: throughput jaringan tertinggi, plug and play, tujuan ganda
•
Kontra: biaya dan kurangnya fleksibilitas
●
Perangkat Lunak / Software
•
Ideal untuk dua titik akhir di organisasi yang berbeda
•
Kelebihan: fleksibel, dan biaya relatif rendah
•
Kontra: kurangnya efisiensi, lebih banyak pelatihan tenaga kerja yang diperlukan,
produktivitas yang lebih rendah; lebih tinggi biaya tenaga kerja
●
Firewall
•
Kelebihan: hemat biaya, tri-purpose, mengeraskan sistem operasi
•
Kontra: masih relatif mahal
●
PPTP (Protokol tunneling Point-to-Point)
•
Dikembangkan oleh Microsoft untuk mengamankan koneksi dial-up
•
Beroperasi di lapisan data-link
●
L2TP (Protokol Tunneling Lapisan / Layer 2)
•
Standar IETF
•
Menggabungkan fungsi PPTP dan L2F (by Cisco)
●
IPsec (Keamanan Protokol Internet)
•
Standar Terbuka untuk implementasi VPN
•
Beroperasi pada lapisan jaringan
●
VPN MPLS
•
Digunakan untuk perusahaan besar dan kecil
•
Pseudowire, VPLS, VPRN
●
Tunnel GRE
•
Protokol enkapsulasi paket yang dikembangkan oleh Cisco
•
Tidak dienkripsi
•
Diimplementasikan dengan IPsec
●
L2TP IPsec
•
Menggunakan protokol L2TP
•
Biasanya diterapkan bersamaan dengan IPsec
•
IPsec menyediakan saluran aman, sedangkan L2TP menyediakan terowongan
●
Koneksi lebih murah
•
Menggunakan koneksi internet sebagai ganti saluran leasing pribadi
●
Skalabilitas
•
Fleksibilitas pertumbuhan
•
Efisiensi dengan teknologi broadband
●
Ketersediaan
•
Tersedia di mana-mana ada koneksi Internet
●
VPN membutuhkan pemahaman mendalam tentang jaringan
publik, masalah keamanan dan tindakan pencegahan yang tepat
dari penerapannya.
●
Ketersediaan dan kinerja sangat tergantung pada faktor-faktor di
luar kendali mereka.
●
VPN perlu mengakomodasi protokol selain IP dan teknologi
jaringan internal yang ada.
●
L2TP adalah singkatan dari Layer 2 Tunneling Protocol. L2TP
pertama kali diusulkan pada tahun 1999 sebagai upgrade ke L2F
(Layer 2 Forwarding Protocol) dan PPTP (Protokol Tunneling
Point-to-Point)
●
Karena L2TP tidak menyediakan enkripsi atau otentikasi yang
kuat dengan sendirinya, protokol lain yang disebut IPsec paling
sering digunakan bersama dengan L2TP
●
Digunakan bersama-sama, L2TP dan IPsec jauh lebih aman
daripada PPTP (Protokol Tunneling Point-to-Point), tetapi juga
sedikit lebih lambat
●
L2TP / IPSec menawarkan kecepatan tinggi, dan tingkat
keamanan yang tinggi untuk mentransmisikan data
●
Biasanya menggunakan cipher AES untuk enkripsi
●
L2TP kadang-kadang memiliki masalah melintasi firewall karena
penggunaannya port UDP 500 yang beberapa firewall telah
dikenal untuk memblokir secara default
INTERNET
R1
L2TP/IPsec
●
Microsoft memperkenalkan Secure Socket Tunneling Protocol (SSTP) di
Windows Vista dan itu masih dianggap sebagai platform yang hanya
Windows meskipun tersedia di sejumlah sistem operasi lain.
●
SSTP memiliki kelebihan yang sangat mirip dengan OpenVPN karena SSTP
menggunakan SSLv3 dan memiliki stabilitas yang lebih besar karena
disertakan dengan Windows yang juga membuatnya lebih mudah untuk
digunakan.
●
Ia menggunakan port yang sama yang digunakan oleh koneksi SSL; port 443.
●
Ia menggunakan sertifikat enkripsi dan otentikasi 2048 bit.
●
SSTP menggunakan transmisi SSL, bukan IPsec karena SSL mendukung
roaming, bukan hanya transmisi dari satu situs ke situs lainnya.
●
RouterOS memiliki implementasi server SSTP dan klien
tcp connection
ssl negotiation
IP binding
SSTP tunnel
●
Koneksi TCP dibuat dari klien ke server (secara default pada port
443)
●
SSL memvalidasi sertifikat server. Jika sertifikat adalah koneksi
yang sah dibuat jika tidak koneksi dihancurkan. (Tapi lihat catatan
di bawah)
●
Klien mengirim paket kontrol SSTP dalam sesi HTTPS yang
membentuk koneksi mesin SSTP di kedua sisi
●
Negosiasi PPP atas SSTP. Klien mengautentikasi ke server dan
mengikat alamat IP ke interface SSTP
●
Tunnel SSTP sekarang didirikan dan enkapsulasi paket dapat
dimulai.
●
Catatan: Dua perangkat RouterOS dapat membuat terowongan
SSTP bahkan tanpa menggunakan sertifikat (tidak sesuai dengan
standar Microsoft)
●
Dianjurkan untuk menggunakan sertifikat setiap saat!
INTERNET
R1
SSTP
sstp
SSTP Server
●
Internet Protocol Security (IPsec) adalah seperangkat protokol
yang didefinisikan oleh Internet Engineering Task Force (IETF)
untuk mengamankan pertukaran paket melalui jaringan IPv4
atau IPv6 yang tidak dilindungi seperti Internet. Memberikan
keamanan Layer 3 (RFC 2401)
●
IPsec Menggabungkan berbagai komponen:
•
Security Assosiations (SA)
•
Authentication Header (AH)
•
Encapsulating Security Payload (ESP)
•
Internet Key Exchanger (IKE)
●
Konteks keamanan untuk Tunnel VPN dibuat melalui ISAKMP
●
Kerahasiaan
•
Dengan mengenkripsi data
●
Integritas
•
Router di setiap ujung terowongan menghitung checksum atau
nilai hash data
●
Otentikasi
•
Tanda tangan dan sertifikat
•
Semua ini sambil tetap mempertahankan kemampuan untuk
merutekan melalui Jaringan IP yang ada
●
Integritas data dan sumber otentikasi
•
Data "ditandatangani" oleh pengirim dan "tanda tangan"
diverifikasi oleh penerima
•
Modifikasi data dapat dideteksi oleh tanda tangan "verifikasi"
•
Karena "tanda tangan" didasarkan pada rahasia bersama, itu
memberikan otentikasi sumber
●
Perlindungan anti-replay
•
Pilihan; pengirim harus menyediakannya tetapi penerima
mungkin mengabaikannya
●
Manajemen kunci
•
IKE - negosiasi dan pendirian / establishment sesi
•
Sesi direkam kembali atau dihapus secara otomatis
•
Kunci rahasia dibuat dengan aman dan diautentikasi
•
Remote peer diautentikasi melalui berbagai opsi
●
Mode transportasi
•
Header IPsec dimasukkan ke dalam paket IP
•
Tidak ada paket baru dibuat
•
Berfungsi dengan baik di jaringan tempat peningkatan ukuran
paket bisa menyebabkan masalah
•
Sering digunakan untuk VPN remote akses / road warriors
●
Mode Tunnel
•
Seluruh paket IP dienkripsi dan menjadi komponen data dari
paket IP baru (dan lebih besar).
•
Sering digunakan pada site-to-site VPN IPsec
●
Kumpulan parameter yang diperlukan untuk membuat sesi aman
●
Diidentifikasi secara unik oleh tiga parameter yang terdiri dari
•
Indeks Parameter Keamanan (SPI)
•
Alamat tujuan IP
•
Pengidentifikasi protokol keamanan (AH atau ESP)
●
SA adalah satu atau dua arah
•
IKE SA adalah dua arah
•
IPsec SAs adalah searah
➢
Dua SA diperlukan untuk komunikasi dua arah
●
Satu SA dapat digunakan untuk AH atau ESP, tetapi tidak keduanya
•
harus membuat dua (atau lebih) SA untuk setiap arah jika menggunakan
AH dan ESP
●
Nomor identifikasi 32-bit yang unik yang merupakan bagian dari
Security Assosiasions(SA)
●
Ini memungkinkan sistem penerima untuk memilih SA di mana
paket yang diterima akan diproses.
●
Hanya memiliki signifikansi lokal, yang ditentukan oleh pembuat
SA.
●
Dilakukan di header ESP atau AH
●
Ketika paket ESP / AH diterima, SPI digunakan untuk mencari
semua parameter crypto
●
Secara manual
•
Terkadang disebut sebagai "penguncian manual"
•
Anda mengkonfigurasi pada setiap node:
➢
Node yang berpartisipasi (Yaitu penyeleksi lalu lintas)
➢
AH dan / atau ESP [terowongan atau transportasi]
➢
Algoritma dan kunci kriptografi
●
Secara otomatis
•
Menggunakan IKE (Internet Key Exchange)
●
Internet Security Association and Key Management Protocol
●
Digunakan untuk membentuk Security Associations (SA) dan
kunci kriptografi
●
Hanya menyediakan kerangka kerja untuk otentikasi dan kunci
pertukaran, tetapi pertukaran kunci bersifat independen
●
Protokol pertukaran kunci
•
Pertukaran Kunci Internet (IKE)
•
Negosiasi Kunci Internet Kerberized (KINK)
●
Beroperasi di atas IP menggunakan protokol 51
●
Dalam IPv4, AH melindungi payload dan semua bidang header
kecuali bidang yang dapat diubah dan opsi IP (seperti opsi IPsec)
●
Menggunakan protokol IP 50
●
Menyediakan semua yang ditawarkan oleh AH, plus kerahasiaan data
•
Ini menggunakan enkripsi kunci simetris
●
Harus mengenkripsi dan / atau mengautentikasi dalam setiap paket
•
Enkripsi terjadi sebelum otentikasi
●
Otentikasi diterapkan ke data dalam header IPsec serta data yang
terkandung dalam payload
Enkripsi :
DES : Algoritma enkripsi DES-CBC 56-bit;
3DES : Algoritma enkripsi DES 168-bit;
AES : 128, 192 dan 256-bit key algoritma enkripsi AES-CBC;
Blowfish : ditambahkan sejak v4.5
Twofish : ditambahkan sejak v4.5
Camellia : 128, 192, dan 256-bit kunci algoritma enkripsi Camellia,
ditambahkan sejak v4.5
Internet Key Exchange (IKE) adalah protokol yang menyediakan materi kunci yang
diautentikasi untuk kerangka kerja Internet Security Association and Key Management
Protocol (ISAKMP). Ada skema pertukaran kunci lain yang bekerja dengan ISAKMP,
tetapi IKE adalah yang paling banyak digunakan. Bersama-sama mereka menyediakan
sarana untuk otentikasi host dan manajemen otomatis Security Associations (SA).
●
"Komponen IPsec yang digunakan untuk melakukan otentikasi bersama dan
membangun dan memelihara Asosiasi Keamanan." (RFC 5996)
●
Biasanya digunakan untuk membuat sesi IPSec
●
Mekanisme pertukaran kunci
●
Lima variasi negosiasi IKE:
•
Dua mode (mode agresif dan utama)
•
Tiga metode otentikasi (pra-bagi, enkripsi kunci publik, dan tanda tangan kunci
publik)
●
Menggunakan port UDP 500
●
Fase I
•
Menetapkan saluran aman (ISAKMP SA)
•
Menggunakan mode utama atau mode agresif
•
Otentikasi identitas komputer menggunakan sertifikat atau
rahasia yang dibagikan sebelumnya
●
Fase II
•
Membuat saluran aman antara komputer yang ditujukan untuk
transmisi data (IPsec SA)
•
Menggunakan mode cepat
●
Mode utama menegosiasikan ISAKMP SA yang akan digunakan
untuk membuat IPsec SA.
●
Tiga langkah
•
Negosiasi SA (algoritma enkripsi, algoritma hash, metode
otentikasi, grup DF mana yang akan digunakan)
•
Lakukan pertukaran Diffie-Hellman
•
Berikan informasi otentikasi
•
Otentikasi rekan
●
Menggunakan 3 (vs 6) pesan untuk membuat IKE SA
●
Tidak ada penolakan perlindungan layanan
●
Tidak memiliki perlindungan identitas
●
Pertukaran opsional dan tidak diterapkan secara luas
●
Semua lalu lintas dienkripsi menggunakan ISAKMP Security
Association
●
Membuat / refreshes kunci
●
Setiap negosiasi mode cepat menghasilkan dua IPsec Security
Associations (one inbound, one outbound)
●
Internet Key Exchange Version 2 (IKEv2) adalah standar generasi
kedua untuk pertukaran kunci aman antara perangkat yang
terhubung.
●
IKEv2 berfungsi dengan menggunakan protokol tunneling
berbasis IPsec untuk membangun koneksi yang aman.
●
Salah satu manfaat paling penting dari IKEv2 adalah
kemampuannya untuk terhubung kembali dengan sangat cepat
jika koneksi VPN Anda terganggu.
●
Koneksi ulang yang cepat dan enkripsi yang kuat IKEv2 membuat
kandidat yang sangat baik untuk digunakan
●
Layanan Keamanan
•
Otentikasi asal data
•
Integritas data
•
Replay Protection
•
Kerahasiaan
●
Ukuran jaringan
●
Seberapa tepercaya host akhir - apakah kebijakan komunikasi apriori
dapat dibuat?
●
Dukungan vendor
●
Apa mekanisme lain yang dapat menyelesaikan mitigasi risiko
serangan serupa
70 / 86 MTCSE by Asia Teknologi Solusi 20 Oktober 2019
Penggunaan IPsec terbaik
●
Gunakan IPsec untuk memberikan integritas selain enkripsi
•
Gunakan opsi ESP
●
Gunakan algoritma enkripsi yang kuat
•
AES bukan DES
●
Gunakan algoritma hashing yang baik
•
SHA bukan MD5
●
Mengurangi masa kerja Asosiasi Keamanan (SA) oleh
mengaktifkan Perfect Forward Secrecy (PFS)
•
Meningkatkan beban prosesor, jadi lakukan ini hanya jika data sangat
sensitif
Router 1 Router 2
INTERNET
R1 R2
IPsec
/ip address
add address=10.10.10.1/27 interface=wlan1-Internet
add address=192.168.1.1/28 interface=ether2-Local
/ip address
add address=10.10.10.2/27 interface=wlan1-to-internet
add address=192.168.2.1/28 interface=ether2-to-local