Virtual Private Network (VPN)
advertisement
TUGAS MATA KULIAH TELEMATIKA TEKNOLOGI VPN Dosen Dr. Ahmad Azhari, M.Kom Oleh : ARIF MUGIYONO 08/275410/PPA/02674 NURMIYATI TAMATJITA 08/275075/PPA/02633 UNIVERSITAS GADJAH MADA MAGISTER MANAJEMEN INFORMASI JULI 2009 Virtual Private Network (VPN) 1. Pendahuluan Kebutuhan akan perluasan jaringan data/multimedia pada perusahaan sekarang ini semakin tinggi. Perluasan dapat berupa pembukaan host remote system ataupun remote client yang dapat mengakses jaringan korporat, yang menuntut efisiensi dan keamanan pada jaringan yang lebih tinggi. Berbagai solusi ditawarkan untuk membentuk keamanan jaringan yang handal, diantaranya adalah membentuk sebuah jaringan privat dengan leased line (saluran sewa) antara jaringan korporat dengan remote host atau remote client. Pada saat jaringan privat mempunyai skala jaringan yang kecil atau menengah, investasi yang ditanam tidaklah terlalu menjadi masalah. Tetapi pada saat skala jaringan menjadi besar, hal ini akan menjadi masalah. Karena menyangkut pengembangan investasi yang semakin tinggi, dan ketersediaan akses akan menjadi masalah yang krusial. Solusi lain yang lebih efisien adalah pembentukan jaringan privat melalui jaringan publik yang sering dikenal dengan VPN (Virtual Private Network). Bentuk jaringan seperti ini membutuhkan sebuah sistem keamanan yang baik sehingga jaringan privat tersebut tidak dapat diakses oleh pengguna yang tidak berwenang. 2. Pengertian Virtual Private Network Jika dibahas dari masing-masing kata dari VPN, yaitu : Virtual, Private dan Network, maka akan diperoleh arti sebagai berikut : Maya (Virtual) � Sumber daya jaringan yang digunakan, merupakan bagian dari sumber daya umum yang digunakan bersama. � Bukan suatu hubungan physical dedicated pada struktur jaringan. Privat (Private) � Kebebasan dalam addressing dan routing – topological isolation � Keamanan data (authentication, encryption, integrity) VPN 1 Jaringan (Network) � Sekumpulan alat-alat jaringan yang saling berkomunikasi satu dengan yang lain melalui beberapa metode arbitrary (berubah-ubah). Sedangkan pengertian dari Virtual Networking dan Private Networking, yaitu : Virtual Networking Menciptakan tunnel dalam jaringan yang tidak harus direct. Sebuah ‘terowongan’ diciptakan melalui jaringan publik seperti Internet. Jadi seolah-olah ada hubungan point-to-point dengan data yang dienkapsulasi. Private Networking Data yang dikirimkan terenkripsi, sehingga tetap rahasia meskipun melalui jaringan publik. Dari beberapa sumber yang diperoleh, VPN memiliki arti menyeluruh yaitu : Suatu jaringan privat yang dibangun dalam infrastruktur jaringan publik, seperti internet yang global Sekumpulan jaringan yang dibangun pada suatu infrastruktur jaringan yang digunakan secara bersama. Suatu VPN menghubungkan komponen-komponen dari satu jaringan diatas jaringan bersama yang lain dengan melindungi transmisi/ proses pengirimannya. Suatu jaringan data privat yang menggunakan infrastruktur telekomunikasi publik, diberikan kebebasan dalam menggunakan suatu protokol tunneling dan prosedur keamanan. Suatu jaringan privat yang menggunakan teknologi jaringan publik yang akan datang seperti Internet, pembawa/pengangkut IP, Frame Relay, dan ATM sebagai backbone wide area network (WAN). Suatu perluasan jaringan privat bisnis yang aman melalui suatu jaringan publik. Dapat disimpulkan bahwa Virtual Private Network adalah suatu jaringan privat yang dibangun pada suatu infrastruktur jaringan publik (misalnya : internet), yang keamanan datanya terjamin. Virtual Private Network (VPN) adalah sebuah teknologi komunikasi yang memungkinkan untuk dapat terkoneksi ke jaringan public dan menggunakannya untuk dapat bergabung dengan jaringan local. Dengan cara tersebut maka akan didapatkan hak VPN 2 dan pengaturan yang sama seperti halnya berada didalam LAN itu sendiri, walaupun sebenarnya menggunakan jaringan milik public. Dari cara pandang jaringan, salah satu masalah jaringan internet (IP public) adalah tidak mempunyai dukungan yang baik terhadap keamanan. Sedangkan dari cara pandang perusahaan, IP adalah kebutuhan dasar untuk melakukan pertukaran data antara kantor cabang atau dengan rekanan perusahaan. VPN muncul untuk mengatasi persoalan tersebut. Sebuah jaringan perusahaan yang menggunakan infrastruktur IP untuk berhubungan dengan kantor cabangnya dengan cara pengalamatan secara private dengan melakukan pengamanan terhadap transmisi paket data. Gambar 1. VPN Tingginya persaingan bisnis sekarang ini, menyebabkan banyak perusahaan mulai melirik ke teknologi VPN. Hal ini dapat dilihat dari studi terhadap peluang potensi pasar terhadap VPN dari tahun 2002 hingga tahun 2007 (sumber telechoice.com). Dari tabel dibawah ini dapat dilihat terjadi peningkatan yang signifikan dari tahun ke tahun, terutama di tahun 2007. VPN 3 Gambar 2. Perkembangan peluang dan layanan VPN di dunia Faktor-faktor yang memicu perusahaan-perusahaan beralih ke VPN, adalah sebagai berikut : Ekonomi � Dapat mengurangi kebutuhan yang cukup mahal akan saluran sewa (leased line) dan panggilan jarak jauh/biaya interlokal. � Efisiensi terhadap kebutuhan saluran telepon perusahaan. � Mengurangi biaya operasional. � Karena menggunakan infrastruktur publik maka biaya jaringan lebih murah, dapat menghemat 20-47% biaya WAN dan 60-80% untuk biaya dial-up akses remote (Penelitian dari Infonetics). Keleluasaan dalam berkomunikasi/ mudah � Jaringan perusahaan dan sumber dayanya bisa di akses kapanpun dan dimana saja diinginkan, karena akses internet yang sudah tersedia diseluruh dunia. � Peningkatan fleksibilitas dan pengoperasian yang mudah. VPN 4 Akses Kontrol � Akses ke jaringan perusahaan bisa dilakukan oleh pengguna yang mobile, partner bisnis, customer dan supplier. Keamanan � Jika dibutuhkan, data yang dilewatkan dapat diacak (encrypted). � Menjamin pihak ketiga yang tidak berwenang tidak dapat menggunakan jaringan virtual. • Penempatan peralatan yang virtual � Dengan adanya ISP, tidak mengurus pembangunan dan pengurusan terhadap pool modem. � Host pada jaringan tidak memerlukan co-located. Untuk menjamin koneksi yang aman antara kedua segmen, yaitu : server perusahaan dan remote klien/ ISP melalui jaringan publik (internet), maka teknologi tunneling dan encription dilakukan pada VPN. 3. Fungsi Utama Teknologi VPN Teknologi VPN menyediakan tiga fungsi utama untuk penggunanya. Ketiga fungsi utama tersebut antara lain sebagai berikut: 1. Confidentially (Kerahasiaan) Dengan digunakannnya jaringan publik yang rawan pencurian data, maka teknologi VPN menggunakan sistem kerja dengan cara mengenkripsi semua data yang lewat melauinya. Dengan adanya teknologi enkripsi tersebut, maka kerahasiaan data dapat lebih terjaga. Walaupun ada pihak yang dapat menyadap data yang melewati internet bahkan jalur VPN itu sendiri, namun belum tentu dapat membaca data tersebut, karena data tersebut telah teracak. Dengan menerapkan sistem enkripsi ini, tidak ada satupun orang yang dapat mengakses dan membaca isi jaringan data dengan mudah. 2. Data Intergrity (Keutuhan Data) Ketika melewati jaringan internet, sebenarnya data telah berjalan sangat jauh melintasi berbagai negara. Pada saat perjalanan tersebut, berbagai gangguan dapat terjadi terhadap isinya, baik hilang, rusak, ataupun dimanipulasi oleh orang yang tidak VPN 5 seharusnya. Pada VPN terdapat teknologi yang dapat menjaga keutuhan data mulai dari data dikirim hingga data sampai di tempat tujuan. 3. Origin Authentication (Autentikasi Sumber) Teknologi VPN memiliki kemampuan untuk melakukan autentikasi terhadap sumber-sumber pengirim data yang akan diterimanya. VPN akan melakukan pemeriksaan terhadap semua data yang masuk dan mengambil informasi dari sumber datanya. Kemudian, alamat sumber data tersebut akan disetujui apabila proses autentikasinya berhasil. Dengan demikian, VPN menjamin semua data yang dikirim dan diterima berasal dari sumber yang seharusnya. Tidak ada data yang dipalsukan atau dikirim oleh pihak-pihak lain. 4. Tipe-tipe VPN Terdapat beragam tipe VPN, di antara yang paling populer adalah Remote-Access VPN dan Site-to-Site VPN. 4.1 Remote-Access VPN Remote-Access, juga dikenal sebagai Virtual Private Dial-Up Network (VPDN), merupakan koneksi user-to-LAN yang digunakan sebuah perusahaan untuk prara pekerjanya yang membutuhkan koneksi ke jaringan mereka dari berbagai lokasi remote. Tipikalnya, perusahaan yang perlu memasang remote-access VPN skala besar akam membutuhkan Enterprose Service Provider (ESP). ESP menset-up Network Access Server (NAS) dan memberikan software client desktop untuk komputer-komputer remote. Telecommuter-telecommuter ini kemudian dapat men-dial nomor spesial (toll-free) untuk mencapai NAS dan menggunakan software client VPN mereka guna mengakses jaringan perusahaan. Contoh sederhana implementasi remote-access VPN adalah sebuah perusahaan besar dengan ratusan sales di berbagai lokasi. Remote-access VPN dalam hal ini menjamin koneksi-koneksi yang secure dan terenkripsi di antara jaringan privat perusahaan dengan sales-sales melalui Internet Service Provider (ISP) third-party. 4.2 Site-to-Site VPN Dengan penggunaan perlengkapan dedicated dan enkripsi skala besar, sebuah perusahaan dapat mengkoneksikan multi site tetap melalui sebuah jaringan publik seperti internet. VPN 6 Site-site VPN dapat berupa salah satu tipe berikut : - Intranet-based. Jika perusahaan memiliki satu lokasi remote atau lebih di mana mereka ingin bergabung ke sebuah jaringan privat tunggal, mereka dapat membuat sebuah intranet VPN untuk mengkoneksikan LAN ke LAN. - Extranet-based. Saat perusahaan memiliki hubungan dekat dengan perusahaan lainnya (misalnya partner bisnis, supplier atau customer), mereka dapat membangun sebuah extranet VPN yang akan menghubungkan LAN ke LAN dan memungkinkan semua perusahaan bekerja dalam environment yang di-share. 4.3 Metode Securiti VPN Guna menjamin keamanan koneksi dan data, VPN memperkejakan beberapa metode sekuriti berikut : - Firewall - Enkripsi - IPSec - AAA Server 4.3.1 Firewall Firewall memberikan retriksi yang kuat di antara jaringan privat perusahaan dengan jaringan publik (internet). Kita dapat mengeset firewall untuk melindungi port-port koneksi terbuka, memeriksa tipe paket-paket mana yang perlu diteruskan, dan protokolprotokol mana yang diizinkan. Beberapa produk VPN seperti router-router Cisco seri 1700 dapat kita rancang untuk memberikan kapabilitas firewall melalui Cisco IOS mereka. Kita biasanya sudah memiliki rancangan firewall sebelum mengimplementasikan VPN, tetapi firewall dapat juga kita libatkan dalam sesi-sesi VPN. 4.3.2 Enkripsi Enkripsi (encryption) tidak lain proses penyandian (encoding) data yang diambil dari satu komputer ke komputer lain. Data disandikan ke bentuk tertentu yang tak mudah dibaca dan hanya penerima yang sah saja yang dapat mengembalikan sandi ke bentuk semula, yang dikenal dengan decode. Terdapat dua kategori sistem enkripsi : VPN - Symmetric-key encryption - Public-key encryption 7 Dalam symmetric-key encryption, komputer-komputer memiliki sebuah kunci spesial yang disebut secret key yang berguna untuk mengenkripsi paket informasi sebelum dikirim ke komputer lain melalui jaringan. Di sini kita dituntut mengetahui terlebih dahulu komputer-komputer mana yang akan berkomunikasi sehingga masing-masing diberikan kunci (key) tersebut. Symmetric-key encryption pada prinsipnya sama dengan ’kode rahasia’ yang harus diketui masing-masing komputer yang berkomunikasi sehingga masing-masing komputer yang berkomunikasi sehingga mereka dapat melakukan decoding. Asumsikan seperti berikut : Kita membuat sebuah pesan yang telah disandikan untuk dikirim ke seorang teman. Kita dan teman kita sudah sepakat bahwa huruf ”A” disubstitusi dengan ”C”, ”B” dengan ”D”, dan seterusnya. Di sini kita bisa mengatakan bahwa kode rahasianya adalah ”setiap huruf substitusi dengan kedua di depannya.” Teman kita mengambil pesan dan melakukan decode melalui kode rahasia tersebut. Orang lain yang berhasil mencuri pesan tidak aakan mengerti dan tidak bisa mengambil keuntungan darinya. Dalam public-key encryption, kita menggunakan kombinasi kunci : private key dan public key. Private key hanya diketahui oleh komputer kita, sementara public key diberikan oleh komputer kita ke komputer-komputer lain yang ingin berkomunikasi secara secure dengan kita. Untuk melakukan decode pesan yang terenkripsi, komputer-komputer penerima harus menggunakan kunci publik yang diberikan komputer kita dan menggunakan private key mereka sendiri. Salah satu utility public-key encryption yang popular saat ini adalah Pretty Good Privacy (PGP) yang memungkinkan kita mengenkripsi beragam pesan. 4.3.3 IPSec Internet Protocol Security Protocol (IPSec) memberikan kapabiliti sekuriti yang lebih jauh melalui algoritma-algoritma enkripsi dan autentikasi (authentication). IPSec memiliki dua mode enkripsi, yaitu : - Tunnel - Transport Tunnel bekerja mengenkripsi header dan payload yang dimiliki setiap paket data, sedangkan Transport hanya mengenkripsi payload-nya saja. Sayangnya, hanya sistemsistem yang kapabel dengan IPSec saja yang bisa mengambil keuntungan dari protokol ini. Selain itu, semua device yang terlibat harus memiliki set-up security policy yang sama. VPN 8 IPSec dapat mengenkripsi dara di antara device-device berikut : - Router-to-router - Firewall-to-router - PC-to-router - PC-to-server 4.3.4 AAA Server Server-server AAA (Authentication, Authorization and Accounting) banyak diimplementasikan untuk memberikan akses yang lebih aman dalam sebuah environment remote-remote VPN. Saat request pembentukan sesi dating dari sebuah klien dial-up, request tersebut di-proxy-kan ke server AAA (AAA server). AAA kemudian melakukan pengujian sebagai hal-hal berikut : - Siapa Anda (Authentication) - Apa yang boleh Anda lakukan (Authorization) - Apa yang sebenarnya Anda lakukan (Accounting) Informasi accounting umumnya berguna untuk melalkukan tracking klien-klien dalam security auditing, billing atau tujuan-tujuan pelaporan lainnya. 5. Teknologi Tunneling Teknologi tunneling merupakan teknologi yang bertugas untuk manangani dan menyediakan koneksi point-to-point dari sumber ke tujuannya. Disebut tunnel karena koneksi point-to-point tersebut sebenarnya terbentuk dengan melintasi jaringan umum, namun koneksi tersebut tidak mempedulikan paket-paket data milik orang lain yang samasama melintasi jaringan umum tersebut, tetapi koneksi tersebut hanya melayani transportasi data dari pembuatnya.Hal ini sama dengan seperti penggunaan jalur busway yang pada dasarnya menggunakan jalan raya, tetapi dia membuat jalur sendiri untuk dapat dilalui bus khusus. Koneksi point-to-point ini sesungguhnya tidak benar-benar ada, namun data yang dihantarkannya terlihat seperti benar-benar melewati koneksi pribadi yang bersifat point-topoint. Teknologi ini dapat dibuat di atas jaringan dengan pengaturan IP Addressing dan IP Routing yang sudah matang. Maksudnya, antara sumber tunnel dengan tujuan tunnel telah dapat saling berkomunikasi melalui jaringan dengan pengalamatan IP. Apabila VPN 9 komunikasi antara sumber dan tujuan dari tunnel tidak dapat berjalan dengan baik, maka tunnel tersebut tidak akan terbentuk dan VPN pun tidak dapat dibangun. Apabila tunnel tersebut telah terbentuk, maka koneksi point-to-point palsu tersebut dapat langsung digunakan untuk mengirim dan menerima data. Namun, di dalam teknologi VPN, tunnel tidak dibiarkan begitu saja tanpa diberikan sistem keamanan tambahan. Tunnel dilengkapi dengan sebuah sistem enkripsi untuk menjaga data-data yang melewati tunnel tersebut. Proses enkripsi inilah yang menjadikan teknologi VPN menjadi mana dan bersifat pribadi. Dengan tunneling, antara kedua segmen VPN dapat berkomunikasi satu dengan yang lain menggunakan protokol tunneling yang sama, dan sebuah tunnel dibuat khusus sehingga paket data dapat dikirim melalui internet. Penerapan enkripsi pada VPN, membuat data-data rahasia perusahaan tidak terlihat transparan oleh sniffer. Teknologi tunneling dikelompokkan secara garis besar berdasarkan protokol tunneling layer 2 (Data Link Layer) dan layer 3 (Network Layer) model OSI layer : Tunneling Layer 2 (Data Link Layer) : � PPTP (Point to Point Tunneling Protocol) � L2TP (Layer 2 Tunneling Protocol) � L2F (Layer 2 Forwarding) Tunnelling Layer 3 (Network Layer): � IPSec (IP Security) � VTP (Virtual Tunneling Protocol) � ATMP (Ascend Tunnel Management Protocol) 6. Point-to-Point Tunneling Protocol (PPTP) PPTP merupakan protokol jaringan yang memungkinkan pengamanan transfer data dari remote client ke server pribadi perusahaan dengan membuat sebuah VPN melalui TCP/IP. Teknologi jaringan PPTP merupakan pengembangan dari remote access Point-toPoint protocol yang dikeluarkan oleh Internet Engineering Task Force (IETF). PPTP merupakan protokol jaringan yang merubah paket PPP menjadi IP datagrams agar dapat ditransmisikan melalui intenet. PPTP juga dapat digunakan pada jaringan private LAN-toLAN. VPN 10 PPTP terdapat sejak dalam sistem operasi Windows NT server dan Windows NT Workstation versi 4.0. Komputer yang berjalan dengan sistem operasi tersebut dapat menggunakan protokol PPTP dengan aman untuk terhubung dengan private network sebagai klien dengan remote access melalui internet. PPTP juga dapat digunakan oleh komputer yang terhubung dengan LAN untuk membuat VPN melalui LAN. Fasilitas utama dari penggunaan PPTP adalah dapat digunakannya publicswitched telephone network (PSTNs) untuk membangun VPN. Pembangunan PPTP yang mudah dan berbiaya murah untuk digunakan secara luas, menjadi solusi untuk remote users dan mobile users karena PPTP memberikan keamanan dan enkripsi komunikasi melalui PSTN ataupun internet. Umumnya terdapat tiga komputer yang diperlukan untuk membangun PPTP, yaitu sebagai berikut. Klien PPTP Network access server (NAS) Server PPTP Akan tetapi tidak diperlukan network access server dalam membuat PPTP tunnel saat menggunakan klien PPTP yang terhubung dengan LAN untuk dapat terhubung dengan server PPTP yang terhubung pada LAN yang sama. 7. Layer 2 Tunneling Protocol (L2TP) L2TP adalah tunneling protocol yang memadukan dua buah tunneling protokol yaitu L2F (Layer 2 Forwarding) milik cisco dan PPTP milik Microsoft. L2TP biasa digunakan dalam membuat Virtual Private Dial Network (VPDN) yang dapat bekerja membawa semua jenis protokol komunikasi didalamnya. Umumnya L2TP menggunakan port 1702 dengan protocol UDP untuk mengirimkan L2TP encapsulated PPP frames sebagai data yang di tunnel. VPN Gambar 3. Perangkat L2TP 11 Perangkat dasar L2TP : Remote Client Suatu end system atau router pada jaringan remote access (mis. : dial-up client). L2TP Access Concentrator (LAC) Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LNS. Berada pada sisi remote client/ ISP. Sebagai pemrakarsa incoming call dan penerima outgoing call. L2TP Network Server (LNS) Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LAC. Berada pada sisi jaringan korporat. Sebagai pemrakarsa outgoing call dan penerima incoming call. Network Access Server (NAS) NAS dapat berlaku seperti LAC atau LNS atau kedua-duanya. Terdapat dua model tunnel yang dikenal, yaitu compulsory dan voluntary. Perbedaan utama keduanya terletak pada endpoint tunnel-nya. Pada compulsory tunnel, ujung tunnel berada pada ISP, sedangkan pada voluntary ujung tunnel berada pada client remote. 7.1 Model Compulsory L2TP Gambar 4. Model Compulsory L2TP 1. Remote client memulai koneksi PPP ke LAC melalui PSTN. Pada gambar diatas LAC berada di ISP. VPN 12 2. ISP menerima koneksi tersebut dan link PPP ditetapkan. 3. ISP melakukan partial authentication (pengesahan parsial)untuk mempelajari user name. Database map user untuk layanan-layanan dan endpoint tunnel LNS, dipelihara oleh ISP. 4. LAC kemudian menginisiasi tunnel L2TP ke LNS. 5. Jika LNS menerima koneksi, LAC kemudian mengencapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel yang tepat. 6. LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa. 7. LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP. 7.2 Model Voluntary L2TP Gambar 5. Model Voluntary L2TP 1. Remote client mempunyai koneksi pre- established ke ISP. Remote Client befungsi juga sebagai LAC. Dalam hal ini, host berisi software client LAC mempunyai suatu koneksi ke jaringan publik (internet) melalui ISP. 2. Client L2TP (LAC) menginisiasi tunnel L2TP ke LNS. 3. Jika LNS menerima koneksi, LAC kemudian meng-encapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel. VPN 13 4. LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa. 5. LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP. Yang perlu kita ketahui bahwa L2TP murni hanya membentuk jaringan tunnel, oleh karena itu L2TP sering dikombinasi dengan IPSec sebagai metode enkripsi. 7.3 Cara Kerja L2TP Komponen-komponen pada tunnel, yaitu : Control channel, fungsinya : 1. Setup (membangun) dan teardown (merombak) tunnel 2. Create (menciptakan) dan teardown (merombak) payload (muatan) calls dalam tunnel. 3. Menjaga mekanisme untuk mendeteksi tunnel yang outages. Sessions (data channel) untuk delivery data : 1. Layanan delivery payload 2. Paket PPP yang di-encapsulasi dikirim pada sessions 3. Create (menciptakan) dan teardown (merombak) payload (muatan) calls dalam tunnel. 4. Menjaga mekanisme untuk mendeteksi tunnel yang outages. Sessions (data channel) untuk delivery data : 1. Layanan delivery payload 2. Paket PPP yang di-encapsulasi dikirim pada sessions Gambar 6. Cara Kerja L2TP VPN 14 8. IPSecurity (IPSec) Ipsec merupakan tunneling protocol yang bekerja pada layer 3. IPSec menyediakan layanan sekuritas pada IP layer dengan mengizinkan system untuk memilih protocol keamanan yang diperlukan, memperkirakan algoritma apa yang akan digunakan pada layanan, dan menempatkan kunci kriptografi yang diperlukan untuk menyediakan layanan yang diminta. IPSec menyediakan layanan-layanan keamanan tersebut dengan menggunakan sebuah metode pengamanan yang bernama Internet Key Exchange (IKE). IKE bertugas untuk menangani protokol yang bernegosiasi dan algoritma pengamanan yang diciptakan berdasarkan dari policy yang diterapkan. Dan pada akhirnya IKE akan menghasilkan sebuah system enkripsi dan kunci pengamanannya yang akan digunakan untuk otentikasi yang digunakan pada system IPSec ini. IPSec bekerja dengan tiga cara, yaitu: 1. Network-to-network 2. Host-to-network 3. Host-to-host Contoh koneksi network-to-network, misalnya sebuah perusahaan yang memiliki banyak cabang dan ingin berbagi tau share data dengan aman, maka tiap cabang cukup menyediakan sebuah gateway dan kemudian data dikirim melalui infrastruktur jaringan internet yang telah ada. Lalu lintas data antara gateway disebut virtual tunnel. Kedua tunnel tersebut memverifikasi otentikasi pengirim dan penerima dan mengenkripsi sema lalu lintas. Namun lalu lintas di dalam sisi gateway tidak diamankan karena diasumsikan bahwa LAN merupakan segment jaringan yang dapat dipercaya. Koneksi host-to-network, biasanya digunakan oleh seseorang yang menginginkan akses aman terhadap sumberdaya suatu perusahaan. Prinsipnya sama dengan kondisi network-to-network, hanya saja salah satu sisi gateway digantikan oleh client. VPN 15 Gambar 7. Network-to-network dan Host-to-network Protokol yang berjalan dibelakang IPSec adalah: 1. AH (Authentication Header), menyediakan layanan authentication (menyatakan bahwa data yang dikirim berasal dari pengirim yang benar), intregrity (keaslian data), dan replay protection (transaksi hanya dilakukan sekali, kecuali yang berwenang telah mengizinkan), juga melakukan pengamanan terhadap IP header (header compression). 2. ESP (Encapsulated Security Payload), menyediakan layanan authentication, intregity, replay protection, dan confidentiality (keamanan terjaga) terhadap data. ESP melakukan pengamanan data terhadap segala sesuatu dalam paket data setelah header. Kelebihan mengapa IPSec menjadi standar, yaitu : 1. Confidentiality, untuk meyakinkan bahwa sulit untuk orang lain tetapi dapat dimengerti oleh penerima yang sah bahwa data telah dikirimkan. Contoh: Kita tidak ingin tahu seseorang dapat melihat password ketika login ke remote server. 2. Integrity, untuk menjamin bahwa data tidak berubah dalam perjalan menuju tujuan. 3. Authenticity, untuk menandai bahwa data yang dikirimkan memang berasal dari pengirim yang benar. VPN 16 4. Anti Replay, untuk meyakinkan bahwa transaksi hanya dilakukan sekali, kecuali yang berwenang telah mengizinkan untuk mengulang. VPN 17 Daftar Pustaka Rafiudin, Rahmat. “Konfigurasi Sekuritu Jaringan Cisco.” Elex Media Komputindo, Jakarta. 2005. Wendy, Aris, Ramadhana, Ahmad SS. “Membangun VPN Linux Secara Cepat.” Penerbit Andi, Yogyakarta. 2005. http://www.computerassets.com/downloads/Why_VPN.doc, diakses tanggal 30 Juni 2009. VPN 18