9 BAB 2 LANDASAN TEORI 2.1 Teori Umum 2.1.1 Jaringan
advertisement
BAB 2 LANDASAN TEORI 2.1 Teori Umum 2.1.1 Jaringan Komunikasi 2.1.1.1 Local Area Network (LAN) Local Area Network (LAN) adalah suatu jaringan komunikasi yang menghubungkan berbagai perangkat dan menyediakan suatu cara untuk pertukaran informasi antara perangkat-perangkat tersebut (Stallings 2002, p16). 2.1.1.1 Wide Area Network (WAN) Wide Area Network (WAN) adalah suatu jaringan komunikasi data yang meliputi area geografis yang relatif luas dan menggunakan fasilitas transmisi yang disediakan oleh penyedia layanan jaringan, misalnya perusahaan telepon (Downes, Ford, Lew, Spanier, dan Stevenson, 1998, p45). 2.1.2 Model referensi OSI Model ini diciptakan berdasarkan sebuah proposal yang dibuat oleh International Standars Organization (ISO) sebagai langkah awal menuju standarisasi protokol Internasional yang digunakan pada berbagai layer. Model ini disebut ISO OSI (Open System Interconnection) Reference model karena model ini ditunjukkan bagi penyambungan sistem terbuka (open system). System terbuka 9 dapat diartikan sebagai system yang terbuka untuk berkomunikasi dengan system yang lainnya (Tanenbaum, pp27-32). Gambar 2.1 Tampilan Layer OSI Seperti dapat dilihat pada gambar 2.1 diatas, model OSI memiliki tujuh layer, mulai dari layer terbawah : a. Lapisan Fisik (Physical Layer) Berfungssi dalam pengiriman row bit ke kanal komunikasi. Masalah yang harus diperhatikan di sini adalah memastikan bahwa bila satu sisi mengirim 1 bit, maka data tersebut harus diterima disisi lainya sebagai 1bit pula. 10 b. Lapisan jalur data (Data link layer) Tugas utama lapisan jalur data adalah sebagai fasilitas transmisi row data dan mentransformasi data tersebut ke saluran yang bebas dari kesalahan transmisi. Sebelum diteruskan ke network layer, datalink layer memungkinkan pengirim memecah-mecah data input menjadi sejumlah data frame (biasanya berjumlah ratusan atau ribuan byte). Kemudian data link layer mentransmisikan frame tersebut secara berurutan, dan memperoses acknowledgement frame yang dikirim kembali ke penerima. c. Lapisan Jaringan (Network layer) Lapisan jaringan berfungsi untuk pengendalian operasi subnet d. Lapisan Transport (Transport layer) Fungsi dasar lapisan transport adalah menerima data dari sesion layer, bila perlu memecah data menjadi bagian-bagian yang lebih kecil, meneruskan potongan data ke network layer, dan menjamin semua potongan-potongan dapat sampai di sisi lainya dengan benar. Selain itu, semua hal tersebut harus dilakukan secara efisien , dan bertujuan untuk dapat melindungi layer-layer bagian atas dari perubahan teknologi perangkat keras yang tidak dapat dihindari. e. Lapisan sesi (Sesion Layer) Lapisan sesi mengizinkan para pengguna untuk menetapkan session si antara mereka. Sebuah session selain memungkinkan transport data biasa, seperti yang dilakukan oleh Tansport layer, juga menyediakan layanan yang istimewa untuk apikasi-aplikasi tertentu. Sebuah session digunakan untuk memungkinkan seseorang pengguna melakukan log ke suatu remote time 11 sharing system atau untuk memindahkan file dari suatu mesin ke mesin lainnya. f. Lapisan Presentasi (Presentatuion layer) Lapisan presentasi mealakukan fungsi-fungsi tertentu yang sering diminta untuk menjamin penemauan sebuah penyelesaian umum bagi masalah tertentu. Presentation layer tidak mengijinkan pengguna untuk menyelesaikan sendiri suatu masalah. Tidak seperti layer-layer dibawanya yang hanya melakukan pemindahan bit dari suatu tempat ke tempat lainnya, presentation layer memperhatikan sintak dan semantik informasi yang dikirimnya. Contoh layanan prentasi adalah pemngkodean data (data encoding) . g. Lapisan Aplikasi (Application layer) Lapisan aplikasi terdiri dari berbagai macam protokol yang diperlukan. Misalnya terdapat ratuasan terminal yang kompatibel di seluruh dunia. 2.1.3 Model referensi TCP/IP 2.1.3.1 Definisi Protokol TCP/IP merupakan protokol jaringan yang berasal dari proyek DARPA (Development of Defense Advanced Research Project Agency) di tahun 1970-an yang dikenal dengan nama ARPANET. 2.1.3.2 Layer-Layer TCP/IP a. Network Access Layer Disebut juga sebagai host-to-network layer. Layer ini berhubungan dengan semua komponen, baik fisik maupun logic, yang diperlukan untuk membangun hubungan secara fisik. 12 b. Internet Layer Layer ini berfungsi untuk memberikan layanan dasar pengiriman data. Salah satu protokol yang bekerja pada layer ini adalah IP (Internet Protocol ) yang memiliki fungsi sebagai berikut: • mentransfer data dari network access layer ke transport layer dan sebaliknya. • menangani datagram termasuk fragmentasi dan defragmentasi • menangani skema pengalamatan yang digunakan dalam pertukaran data • menangani proses routing c. Transport Layer (Host-to-host) Layer ini berfungsi sebagai penghubung antara application layer dan internet layer. Contohnya : UDP, TCP. d. Application Layer Adalah layer yang menangani masalah representasi, enkoding, dan kontrol dialog. Pada model protokol TCP/IP maka aplikasi yang dibuat dan berhubungan langsung dengan pemakai akan diletakkan di sini. Contohnya : FTP, SMTP, HTTP, SNMP, DNS, dan lain-lain. 13 2.1.4 Topologi Jaringan Dalam komunikasi data, topologi jaringan dapat diartikan sebagai cara menghubungkan berbagai end-point yang terdapat dalam suatu jaringan. Beberapa topologi yang umum digunakan dalam perancangan Local Area Network (LAN), adalah topologi bus, ring, star, hierarchical, dan mesh. 2.1.4.1 Topologi Bus Gambar 2.2 Skema Topologi Bus Seperti yang dapat dilihat pada gambar 2.2, dalam topologi bus, setiap terminal (PC) dihubungkan pada media transmisi linear (bus). Pengiriman data dari salah satu terminal (PC) akan diteruskan melalui media transmisi menuju semua terminal (PC) lainnya. Pada ujung dari setiap bus terdapat sebuah terminator yang berfungsi meredam sinyal. Dalam topologi ini, permasalahan utama yang mungkin dihadapi adalah pada saat terjadi pengiriman data secara bersamaan oleh lebih dari satu terminal (PC). Apabila dua terminal (PC) atau lebih mengirimkan data pada saat yang bersamaan, maka sinyal yang dikirim akan tercampur. 14 2.1.4.2 Topologi Ring W orkstation W orkstation W orkstation IB M C om patible Laser printer Gambar 2.3 Skema Topologi Ring Pada topologi ring, jaringan terdiri dari sekumpulan repeater yang terhubung satu sama lain dan membentuk suatu loop tertutup. Repeater adalah suatu perangkat sederhana yang berfungsi untuk menguatkan sinyal yang diterimanya. Setiap terminal (PC) terhubung dengan jaringan melalui repeater dan transmisi data yang terjadi berupa transmisi satu arah (searah atau berlawanan arah jarum jam). Pada saat data dikirim, frame data akan berputar melalui loop melewati setiap terminal, dan terminal tujuan akan mengenali alamat tujuan frame data tersebut kemudian menyalin frame ke local buffer-nya. Lihat gambar 2.3 untuk lebih jelasnya. 15 2.1.4.3 Topologi Star Gambar 2.4 Skema Topologi Star Dalam topologi star, setiap terminal (PC) terhubung pada sebuah titik sentral melalui point-to-point link. Titik sentral ini adalah sebuah perangkat jaringan berupa sebuah hub atau switch. Jika titik sentral menggunakan hub, maka data yang dikirimkan oleh salah satu terminal akan diteruskan oleh hub tersebut menuju seluruh terminal lainnya. Selain itu, hanya satu stasiun yang diperbolehkan untuk mengirimkan data pada suatu saat tertentu, jika tidak dapat terjadi collision. Jika titik sentral menggunakan switch, maka data yang dikirimkan oleh salah satu terminal akan diteruskan oleh switch tersebut hanya kepada terminal tujuan. Berbeda dengan penggunaan hub, dengan menggunakan switch boleh terdapat lebih dari satu terminal yang mengirimkan data pada suatu saat tertentu. • Keuntungan topologi Star : a. Keterandalan terbesar diantara topologi yang lain. b. Mudah dikembangkan. 16 c. Keamanan data tinggi. d. Kemudahan akses ke jaringan LAN yang lain. • Kerugian topologi Star : a. Lalu lintas yang padat dapat menyebabkan jaringan lambat. b. Jaringan tergantung pada terminal pusat (dapat berupa komputer PC, mini atau mainframe) yang merupakan bagian paling bertanggung jawab terhadap pengaturan arah semua informasi. 2.1.4.4 Topologi Hierarchical / Tree Gambar 2.5 Skema Topologi Hierarchical / Tree Untuk topologi hierarchical adalah merupakan variasi dari topologi bus, dimana media transmisinya dapat dicabangkan. Layout hierarchical dimulai dari sebuah titik yang disebut headend. 2.1.4.5 Topologi Mesh Dalam topologi mesh, setiap node dihubungkan dengan semua node lainnya yang ada dalam jaringan tersebut. Tujuan utamanya adalah untuk 17 menyediakan sebanyak mungkin jalur cadangan apabila salah satu jalur terputus. 2.1.5 Sistem Operasi Jaringan Untuk mengelola suatu jaringan diperlukan adanya sistem operasi jaringan. Sistem operasi jaringan dibedakan menjadi dua berdasarkan tipe jaringannya, yaitu: 2.1.5.1 Jaringan Client – Server Server adalah komputer yang menyediakan fasilitas bagi komputerkomputer lain didalam suatu jaringan, sedangkan client adalah komputerkomputer yang menerima atau menggunakan fasilitas yang disedikan oleh server. Server jaringan bertipe client-server sering disebut dengan sebutan dedicated server karena murni berperan sebagai server yang menyediakan fasilitas kepada workstation dan server tersebut tidak dapat berperan sebagai workstation. 2.1.5.2 Jaringan Peer To Peer Server pada jaringan tipe peer to peer sering diistilahkan dengan sebutan non-dedicated server, karena server tersebut tidak berperan sebagai server murni melainkan sekaligus dapat berperan sebagai workstation. Dengan kata lain, setiap komputer yang terhubung ke jaringan dapat bertindak baik sebagai workstation maupun server. 18 2.1.6 Flowchart Flowchart adalah suatu diagram aliran yang menggambarkan suatu proses yang sedang dipelajari atau merencanakan tahap-tahap pelaksanaan proyek. Symbol-simol flowchart sesuai dengan standar American National Standart Institute (ANSI) antara lain: Proses simbol Simbol ini menandakan suatu operasi yang sedang terjadi dalam pemrosesan data. Desisision symbol Simbol ini menggambarkan keputusan yang arus dibuat dalam memproses data. YA Tidak Flow line Simbol ini menggambarkan arah proses pengolahan data Terminal (start/end) symbol Simbol ini digunakan untuk menggambarkan awal dan akhir dari suatu aktifitas. 19 2.2 Teori Khusus 2.2.1 Virtual Private Network Menurut standar definisi dari Internet Engineering Task Force (IETF), sebuah VPN adalah “sebuah emulasi dari sebuah WAN menggunakan jaringan public IP, seperti internet atau private IP backbone.” Dalam terminologi yang lebih sederhana, suatu VPN adalah perluasan dari sebuah private internet melalui public network (internet) untuk memastikan keamanan dan konektifitas yang hemat biaya antara koneksi. Perluasan Private internet dibantu dengan private logical “tunnel”. Tunnel ini memungkinkan koneksi kedua pihak untuk menukar data melalui suatu cara yang menyerupai komunikasi point-to-point (Gupta, 2003). Gambar 2.6 menjelaskan struktur umum jaringan VPN Gambar 2.6 Susunan umum VPN. Tujuan utama VPN ialah untuk memberikan perusahaan kemampuan yang sama seperti private leased line dengan biaya yang lebih murah dengan menggunakan infrastruktur publik. Perusahaan telepon telah lama menyediakan 20 suatu resource khusus untuk private shared. Virtual Private Network membuat suatu protected sharing pada resource public. 2.2.2 Tipe-Tipe VPN 2.2.2.1 Remote Access VPN Sesuai dengan namanya, Remote Access VPN menyediakan akses kapan saja dengan akses jarak jauh, mobilitas, dan telekomunikasi karyawan dari suatu organisasi kepada sumber daya jaringan perusahaan. Secara khusus, permintaan akses jarak jauh (remote) dibutuhkan oleh para pemakai yang secara konstan senantiasa bergerak atau oleh kantor cabang kecil dan kantor cabang yang berjauhan (remote) yang kekurangan suatu koneksi permanen kepada perusahaan. Dengan menerapkan Remote Access VPN, para pemakai dan kantor cabang remote hanya harus menyediakan dial-up koneksi lokal kepada ISP atau ISP's POP dan menghubungkan kepada jaringan perusahaan melalui Internet. 2.2.2.2 Intranet VPN Intranet VPN digunakan untuk menghubungkan kantor cabang dari suatu organisasi kepada intranet perusahaan tersebut. Dalam suatu susunan intranet, tanpa menggunakan teknologi VPN, masing-masing lokasi remote harus dihubungkan pada intranet perusahaan (backbone router) menggunakan router. Sebagai tambahan, implementasi, pemeliharaan, dan manajemen backbone intranet bisa merupakan suatu urusan yang mahal tergantung pada volume lalu lintas jaringan dan luas geografis dari keseluruhan intranet. Sebagai 21 contoh, ongkos suatu intranet global dapat mencapai beberapa ribu dolar per bulan! Semakin besar jangkauan intranet, semakin mahal biayanya. 2.2.2.3 Extranet VPN Tidak seperti solusi intranet dan remote access-based VPN, Extranet VPN tidak sepenuhnya terpisahkan dari "dunia luar". Sesungguhnya, Extranet VPN mengijinkan akses ke sumber daya jaringan dikendalikan oleh pihak eksternal, seperti mitra bisnis, pelanggan, dan para penyalur yang memegang suatu peran utama dalam bisnis organisasi itu. 2.2.3 Komponen Keamanan VPN 2.2.3.1 Authentifikasi User dan Kendali Akses Authentifikasi user dan kendali akses adalah dua langkah paling dasar yang dapat diambil untuk mencegah ancaman keamanan dan mengamankan data sensitif yang tersimpan dalam jaringan. Proses membuktikan identitas pemakai dikenal sebagai authentifikasi user. Mengizinkan akses ke sumber daya jaringan tertentu selagi menolak akses ke yang lain dikenal sebagai kendali akses (Gupta, 2003). Beberapa skema yang ada dalam proses authentifikasi antara lain : • Login ID and password. Skema ini menggunakan sistem berdasarkan ID login dan kata sandi (password) untuk memverifikasi identitas dari pemakai yang mengakses node VPN. 22 • S/Key password. Dalam skema ini, pemakai menginisialisasi S/Key dengan pemilihan suatu kata sandi rahasia dan suatu integer ‘n’. Integer ini digunakan untuk menandakan seringnya suatu fungsi hash (sekarang ini MD4) yang akan diberlakukan bagi kata sandi rahasia. Hasilnya kemudian disimpan pada server yang yang bersesuaian itu. Ketika pemakai mencoba untuk masuk (login), server mengeluarkan suatu teguran. Perangkat lunak pada mesin klien pemakai memberikan sandi rahasia, menerapkan iterasi n-1 pada fungsi hash, dan mengirimkannya untuk menjawab teguran server tersebut. Server menerima fungsi hash tersebut dan memberikan tanggapan. Jika hasilnya sama dengan nilai yang disimpan lebih awal, maka pemakai dibuktikan keasliannya dengan sukses. Pemakai diijinkan dimasuk ke jaringan, dan server menggantikan nilai yang disimpan dengan tanggapan yang diperoleh dari klien dan pengurangan counter kata sandi. • Remote Access Dial-In User Service (RADIUS). Adalah suatu protokol security intenet yang betul-betul didasarkan pada model client/server, dimana mesin yang mengakses jaringan adalah klien dan server RADIUS pada network-end membuktikan keaslian klien itu. biasanya, suatu server RADIUS membuktikan keaslian seorang pemakai dengan menggunakan suatu user name/password daftar internal. • Two-factor token-based technique. Sesuai dengan namanya, skema ini mengimplementasikan pengesahan rangkap dua (dual authentification) untuk memverifikasi pemakai. Menggunakan kombinasi penggunaan dari suatu token dan suatu kata sandi. selama proses pengesahan, sebuah alat 23 elekronik hardware-based bertindak sebagai tanda dan suatu identifikasi unik, seperti Identification Number (PIN) yang digunakan sebagai password, secara tradisional, token merupakan sebuah alat perangkat keras(kemungkinan sebuah kartu), tetapi sekarang beberapa penjual kini menawarkan software-based token. Pengendalian hak akses juga merupakan suatu bagian integral pengendalian akses. Ancaman keamanan dapat dikurangi lebih lanjut dengan cara menyediakan hak akses terbatas untuk para pemakai. Sebagai contoh, data dapat lebih dilindungi dengan membiarkan para pemakai normal untuk hanya membaca data tersebut. Hanya para pemakai yang dipercaya dan administrator yang dapat memiliki hak untuk tulis, memodifikasi, atau menghapus data. 2.2.3.2 Enkripsi Data Data encryption atau cryptography adalah salah satu komponen terpenting dalam keamanan VPN dan memegang peran utama dalam pengamanan data selama pemindahan. Cryptography adalah mekanisme pengubahan data ke dalam suatu format tak terbaca, yang dikenal sebagai ciphertext, sedemikian sehingga akses tidak sah kepada data dapat dicegah ketika data dipindahkan melalui suatu media transmisi yang tak aman (Gupta, 2003). Pada saat menerima pesan, penerima mendecrypts data kembali ke format aslinya. Sekalipun ciphertext diinterupsi sepanjang transmisi, untuk 24 bisa menterjemahkannya pihak yang menginterupsi harus mengetahui metoda yang digunakan dalam mengubah data sederhana ke dalam format acak tersebut. Jika tidak, teks tersebut sia-sia. Model encryption tradisional ini dilukiskan pada Gambar 3-2. Gambar 2.7: Model encryption tradisional. Pengirim dan penerima, bersama dengan proses encryption, membentuk suatu cryptosystem. Suatu cryptosystem digolongkan berdasarkan banyaknya kunci yang digunakannya. Suatu kunci dapat berupa suatu angka, kata, atau bahkan suatu ungkapan yang digunakan untuk kepentingan encryption dan decryption. 2.2.4 Tunneling Tunneling merupakan suatu teknik penenkapsulasian seluruh paket data. Aspek terpenting dari tunneling ialah paket data asli, atau disebut dengan payload, bisa merupakan protokol yang berbeda. Daripada mentransfer paket asli, yang bisa saja tidak dapat berjalan pada infrastruktur yang ada, pada header paket ditambahkan protokol yang kompatibel. Header ini berfungsi agar paket bisa dikirimkan dengan baik melalui infrastruktur yang ada (Gupta, 2003). 25 Ketika paket berjalan melalui tunneling menuju node tujuan, paket ini melalui suatu jalur, yang disebut tunnel. Setelah sampai, penerima mengembalikan paket ini ke format asal. 2.2.4.1 Komponen Tunneling Untuk membuat suatu tunnel, ada komponen komponen tertentu, yaitu: • Network target. Network yang mengandung sesuatu yang diperlukan oleh remote client, yang memicu adanya VPN session request • Node initiator. Remote client atau server yang menginginkan adanya VPN session. Initiator node bisa merupakan bagian dari network lokal, atau pengguna mobile yang menggunakan laptop • HA (Home Agent). Software yang berada pada router network target. HA menerima dan melakukan authentifikasi permintaan yang datang untuk memastikan bahwa permintaan itu berasal dari orang orang yang berkepentingan. Bila authentifikasi berhasil, HA mengizinkan adanya tunneling • FA (Foreign Agent). Software yang berada pada initiator node , ataupun pada router. Initiator node menggunakan FA untuk meminta sesi VPN dari HA pada network target 26 2.2.4.2 Protocol-Protocol Tunneling Secara garis besar, ada tiga jenis protokol tunneling yang digunakan dalam VPN (Gupta, 2003), antara lain: • Carrier Protocol. Protokol ini digunakan untuk menentukan rute paket yang melalui tunnel menuju tujuan yang diharapkan melalui suatu internetwork. Paket yang melalui tunnel tersebut kemudian dienkapsulasi dalam paket pada protokol ini. Karena harus menentukan rute paket melalui internetwork yang heterogen, seperti Internet, protokol ini harus secara luas didukung. Sebagai hasilnya, jika tunnel diciptakan melintasi suatu internet, protokol pengangkut yang digunakan sebagian besar adalah IP. Bagaimanapun, dalam kasus private intranet, protokol native routing dapat juga bertindak sebagai carrier protokol. • Encapsulating Protocol. Protokol ini digunakan untuk mengenkapsulasi muatan asli. Sebagai tambahan, protokol enkapsulasi juga bertanggung jawab untuk penciptaan, pemeliharaan, dan penghentian tunnel tersebut. Sekarang ini, PPTP, L2TP, dan IPSEC adalah protokol enkapsulasi yang biasa digunakan. • Passenger Protocol. data asli yang diperlukan untuk kepentingan enkapsulasi transmisi melalui tunneling pada protokol tersebut. PPP dan SLIP (Serial Line Internet Protocol) biasanya digunakan Passenger Protocol. 27 2.2.4.3 Keuntungan tunneling • Simpel dan mudah untuk diimplementasikan. Tidak perlu untuk mengubah infrastruktur yang sudah ada untuk melakukan teknologi tunneling ini, yang membuat tunneling menjadi solusi yang sangat baik untuk organisasi menengah ke atas • Keamanan. Tunnel milik suatu organisasi tidak dapat diakses orang orang yang tidak berkepentingan, sebagai hasilnya, data yang melewati tunnel aman, walaupun data ditransmisikan melewati media publik, seperti internet • Efektifitas biaya. Tunneling menggunakan jaringan publik, seperti internet untuk mentransfer data ke tujuan. Inilah yang membuat tunneling merupakan solusi biaya yang efektif, apalagi bila dibandingan dengan biaya untuk mengimplementasikan intranet khusus yang melalui leased line. • Protocol indifference. Data yang berasal dari protokol yang nonroutable, seperti Network Basic Input/Output System (NetBIOS), dan NetBIOS Enhanced User Interface (NetBEUI) yang tidak kompatibel dengan protokol internet (TCP/IP) dapat ditransfer menggunakan tunneling. 28 2.2.5 Point-to-Point Protocol (PPP) 2.2.5.1 Deksripsi PPP adalah suatu protokol enkapsulasi yang memudahkan transportasi lalu lintas jaringan melalui penhubung point-to-point serial. Keuntungan PPP yang paling utama adalah bahwa PPP dapat beroperasi pada Data Terminal Equipment (DTE) yang manapun atau Data Connection Equipment (DCE) mencakup EIA/TIA-232-C dan ITU-T V.35. Point lain bahwa PPP tidak membatasi transmisi rate. Selama transmisi, satu-satunya pembatasan transmission-based dikenakan oleh DCE/DTE yang merupakan penghubung digunakan (interface). Akhirnya, satusatunya kebutuhan PPP adalah ketersediaan dari koneksi duplex (dua-jalur), dimana baik sinkronisasi maupun tak sinkronisasi dan dapat beroperasi dalam suatu switch atau dedicated mode (Gupta, 2003). Di samping enkapsulasi IP dan data non-IP dan mentransportasinya melalui link serial, PPP juga bertanggung jawab untuk fungsi berikut : • Tugas dan manajemen pengalamanatan IP menuju ke non-IP datagrams. • Kofigusasi dan tersting dari link yang dibangun. • Asynchronous and synchronous enkapsulasi dari datagram. • Pendeteksian kesalahan selama transmisi. • Multiplexing dari layer 2 network protokol yang beraneka ragam. 29 • Negosiasi pemilihan parameter konfigurasi, seperti kompresi data dan pengalamatan. 2.2.5.2 Operasi pada PPP Sesuai dengan gambar 2.8 dibawah, operasi ppp dilaksanakan dengan cara berikut: 1. Setelah paket data dienkapulasi, source (initiator) node mengirimkan Link Control Protocol (LCP) frame melalui point-to-point menghubungkan node tujuan. 2. Frame ini digunakan untuk mengkonfigurasi links per parameter yang ditetapkan dan menguji link yang telah dibentuk, jika diperlukan. 3. Setelah node tujuan menerima permintaan koneksi dan suatu link dengan sukses dibentuk, fasilitas opsional dirundingkan, jika ditetapkan oleh LCP. 4. source node kemudian mengirim Network Control Protocol (NCP) frame untuk memilih dan mengkonfigurasi Network-layer Protocol. 5. Setelah yang diperlukan Network-Layer Protocol telah dikonfigurasi, keduanya memulai menukarkan data. 30 Gambar 2.8 Penentuan link PPP dan pertukaran data 2.2.6 Point-to-Point Tunneling Protocol (PPTP) PPTP adalah suatu solusi kepemilikan yang memungkinkan transfer data yang aman antara suatu remote client dan suatu server perusahaan dengan cara menciptakan suatu VPN melalui suatu internetwork yang berbasiskan IP. yang dikembangkan Oleh, konsorsium PPTP (Microsoft Corporation, Ascend Communications, 3COM, US Robotics, and ECI Telematics), PPTP memfasilitasi pemintan transmisi VPNs melalui jaringan internetworks yang tidak aman. PPTP tidak hanya memfasilitasi transmisi yang aman melaui internetwork publik yang berbasisikan TCP/IP, tetapi juga melalui intranet private (Gupta, 2003). Dua perwujudan yang memiliki suatu peran utama di dalam kesuksesan PPTP dalam menjamin/mengamankan koneksi jarak jauh. Ini meliputi: • Penggunaan PSTN (Public Switched Telephone Networks). PPTP mengijinkan penggunaan PSTN untuk implementasi VPN. Sebagai hasilnya, 31 proses pengembangan VPN menjadi sederhana dan biaya total implementasi menjadi sangat kecil. Alasan untuk ini sangat sederhaan dimana kebutuhan akan solusi konektifitas yang berdasarkan leased line dan komunikasi antar server dihapuskan. • Mendukung protokol Non-IP. Walaupun diperuntukkan untuk jaringan IPbase, PPTP juga mendukung protokol jaringan lain, seperti TCP/IP, IPX, NetBEUI, dan NetBIOS . Oleh karena itu, PPTP telah terbukti sukses di dalam pengembangan VPNs melaui sebuah private LAN seperti di dalam pengembangan VPNs melalui jaringan publik. PPTP adalah suatu perluasan logical dari PPP. PPTP tidak merubah teknologi dasar PPP. PPTP hanya menggambarkan suatu cara baru dalam mentransportasi lalu lintas PPP melalui jaringan publik internetworks yang tidak aman. Mirip dengan PPP, PPTP juga tidak mendukung hubungan paralel. Semua PPTP hanya mendukung koneksi point-to-point. Sebagai tambahan, PPP memenuhi fungsi berikut dalam transaksi PPTP-base: • Membuat dan mengakhiri koneksi fisik antara pihak yang berkomunikasi. • Authentifikasi PPTP klien. • Enkripsi IPX, NetBEUI, NetBIOS, dan TCP/IP datagrams untuk menciptakan PPP datagrams dan menjamin pertukaran data antar user yang berhubungan . 32 2.2.6.1 PPTP Processes PPTP mengerjakan tiga proses untuk pengamanan PPTP-base melalui media yang tidak aman. Proses ini adalah: • PPP-based connection establishment • Connection control • PPTP tunneling and data transfer Setelah suatu koneksi fisik berbasis PPP dibentuk antar PPTP-klien dan PPTP-server, koneksi control PPTP dijalankan, seperti ditunjukkan pada gambar 2.9. Koneksi kendali PPTP dibentuk berdasarkan pada alamat IP pada PPTP klien dan server, dimana menggunakan suatu alokasi dinamis port TCP dan nomor port TCP 1723, berturut-turut. Setelah kontrol koneksi dibentuk, control dan manajemen pesan bertukar pesan antara peserta yang berkomunikasi. Pesan ini bertanggung jawab untuk pemeliharaan, manajemen, dan penghentian tunnel PPTP. Pesan ini meliputi transmisi berkala dari "PPTP-Echo-Request, PPTP-Echo-Reply" pesan yang membantu mendeteksi suatu kegagalan konektifitas antara PPTP server dan klien itu. 33 Gambar 2.9 Pertukaran pesan control PPTP melalui koneksi PPP Seperti dilukiskan pada Gambar 2.10, pesan control PPTP dienkapsulasi TCP datagrams. Oleh karena itu, setelah pembentukan dari suatu koneksi PPP dengan server remote atau klien, suatu koneksi TCP dibentuk. Koneksi ini digunakan untuk menukar pesan kontrol PPTP. Gambar 2.10 PPTP mengendalikan datagram TCP Suatu data paket PPTP mengalami berbagai langkah-langkah enkapsulasi, yang meliputi berikut: 1. Enkapsulasi data. informasi yang asli (payload) dienkripsi dan kemudian dienkapsulasi di dalam suatu frame PPP. Suatu header dimasukkan dalam frame tersebut 34 2. Enkapsulasi frame. frame PPP kemudian dienkapsulasi didalam sebuah modified Generic Routing Encapsulation (GRE). GRE header yang dimodifikasi berisi suatu 4-byte Acknowledgement field dan suatu Acknowledgemen bit yang bersesuaian memberitahu kehadiran dari Acknowledgement field. Sebagai tambahan, Key field didalam frame GRE digantikan dengan suatu 2-byte long field yang dinamakan Payload length dan suatu 2-byte long field yang dinamakan Call ID. Klien PPTP menetapkan field ini ketika menciptakan PPTP tunnel 3. Enkapsulasi paket-paket GRE. Berikutnya, suatu IP header ditambahkan kepada PPP frame, Dimana dienkapsulasi di dalam paket GRE. IP header Ini berisi alamat IP dari sumber klien PPTP dan server tujuan. 4. Enkapsulasi Data Link layer. Seperti telah diketahui, PPTP merupakan protokol tunneling layer 2. Oleh karena itu, Data Link header and trailer memiliki peran penting dalam tunneling data. Sebelum ditempatkan pada medium transmisi, Data Link Layer menambahkan header dan trainer miliknya ke dalam kepada datagram tersebut. Jika datagram harus berjalan sepanjang suatu PPTP tunnel lokal, datagram dienkapsulasi dengan suatu teknologi-LAN (seperti Ethernet) header dan trailer. Pada sisi lain, jika tunnel dibawa melalui sebuah hubungan WAN, header dan trailer ditambahkan kembali sekali lagi ke dalam datagram PPP. 35 Gambar 2.11 Proses data tunneling pada PPTP Manakala data PPTP ditransfer dengan sukses kepada penerima yang diharapkan, penerima harus memproses paket yang ditunnel untuk mengekstrak data yang asli. Pemrosesan dari pengekstrakan data PPTPtunneled persisnya merupakan kebalikan dari tunneling data PPTP. Seperti yang ditunjukkan di dalam Gambar 2.12, dalam rangka mendapat kembali data yang asli pada node PPTP penerima mengikuti langkah-langkah ini: • Penerima akhir memproses dan memindahkan Data link header dan trailer yang ditambahkan oleh pengirim. • Berikutnya, GRE header dipindahkan. • IP header diproses dan dipindahkan. • PPP header diproses dan dipindahkan. • Akhirnya, informasi yang asli didekripsikan (jika diperlukan). 36 Gambar 2.12 Processing PPTP-tunneled data at the recipient end 2.2.6.2 PPTP Security PPTP menawarkan berbagai macam service keamanan build-in kepada klien dan server PPTP. Servis keamanan ini meliputi : a. Enskripsi data PPTP tidak menghasilkan suatu mekanisme enskripsi built-in untuk mengamankan data. Sebagai gantinya service enskripsinya ditawarkan oleh PPP. PPP menggunakan Microsoft Point-to-Point Encryption (MPPE), yang mana didasarkan pada metode sharedsecret encryption. Shared-secret digunakan untuk encryption pada kasus PPP didalam user ID dan password. 40-Bit session key yang digunakan untuk mengenkripsi user ID dan password yang dihasilkan dari algoritma 37 hash yang disimpan pada kedua klien dan server. Algoritma hash yang digunakan untuk menghasilkan kunci tersebut adalah RSA RC4. Kunci ini digunakan untuk mengenkripsi semua data yang ditransfer melalui tunnel tersebut. Bagaimanapun, suatu kunci 40-bit terlalu pendek dan lemah untuk masa kini terhadap teknik hacking yang tinggi. Oleh karena itu, suatu kunci 128-bit juga tersedia. Sebagai tambahan untuk mengurangi resiko keamanan, Microsoft merekomendasikan kunci diperbaharui setelah setiap paket ke 256th. b. Authentifikasi PPTP mendukung mekanisme authentifikasi Microsoft berupa PAP dan MS-CHAP. Penjelasan lebih mendalam akan dibahas pada bagian selanjutnya. c. Kontrol akses Setelah suatu klient PPTP remote sukses diauthentifikasi, aksesnya kepada sumber daya di dalam jaringan boleh jadi terbatas untuk kepentingan peningkatan keamanan. Sasaran ini dicapai dengan mengimplementasi mekanisme kontrol akses seperti: Hak akses(Access rights) Permissions Workgroup d. Paket filtering Paket filtering PPTP mengijinkan sutau server PPTP pada sebuah private network untuk menerima dan merutekan paket hanya klien PPTP yang telah berhasil diauthentifikasikan. Sebagai hasilnya, hanya 38 klien PPTP yang diberi hak dapat mengakses jaringan remote tertentu.dalam cara ini,PPTP tidak hanya menghasilkan authentifikasi, kontrol, akses dan mekanisme enskripsi, tapi juga meningkatkan keamanan jaringan. 2.2.7 Layer 2 Tunneling Protocol (L2TP) Dikembangkan Oleh Cisco Systems, L2TP juga diharapkan untuk menggantikan IPSEC sebagai tunneling Protocol. Bagaimanapun, IPsec masih menjadi protokol yang dominan untuk menjamin/mengamankan komunikasi dalam Internet . L2TP adalah suatu kombinasi Layer 2 Forwarding (L2F) and PPTP dan digunakan untuk Encapsulate Point-to-Point Protocol (PPP) frame untuk dikirimkan melalui X.25, FR, and ATM networks (Gupta, 2003). Manfaat kunci yang ditawarkan oleh L2TP, oleh karena itu, adalah suatu campuran PPTP dan L2F . memiliki manfaat sebagai berikut: • L2TP mendukung berbagai teknologi networking dan protokol, seperti IP, ATM, FR, dan PPP. Sebagai hasilnya, L2TP dapat mendukung teknologi yang berbeda dengan suatu infrastruktur akses umum. • L2TP mengijinkan berbagai teknologi secara penuh intermediate access infrastruktur. Dari Internet dan jaringan publik lain, seperti PSTNS. • L2TP tidak memerlukan implementasi software tambahan, seperti driver tambahan atau operating system suport. konsekwensinya, baik remote user maupun private intranet harus menerapkan perangkat lunak khusus. 39 • L2TP mengijinkan para pemakai remote dengan IP pribadi untuk mengakses suatu jaringan remote ke melalui suatu jaringan publik. • L2TP Authentifikasi dan authentifikasi dilakukan oleh host network gateway. Oleh karena itu, ISPs tidak harus melakukan user authentifikasi database atau hak akses untuk para pemakai remote. Sebagai tambahan, intranet pribasi dapat juga menggambarkan kebijakan keamanan dan akses mereka sendiri. Ini membuat proses mebentukan tunnel lebih cepat dari protokol taneling yang lebih awal. 2.2.8 Authentication Protocols Untuk membuktikan keaslian pemakai yang sedang mencoba untuk menciptakan suatu koneksi PPP , Windows 2000 mendukung banyak variasi dari protokol authentifikasi PPP termasuk (Davies dan Lewis, 2004, pp21-22) : • Password Authentication Protocol (PAP) PAP merupakan authentifikasi yang paling sederhana dan protokol authentifikasi dial-in yang paling umum diterapkan. PAP juga digunakan untuk mengauthentifikasi koneksi PPP-base. Bagaimanapun, PAP mengirim user ID dan password dalam format yang tidak dienskripsi. Oleh karena itu, PAP tidak menawarkan perlindungan dari playback atau repeated trial dan serangan error. lubang kecil lain dari PAP adalah antara node yang komunikasi hanya diauthentifikasi sekali. Pada saat koneksi dibentuk. Akibatnya, jika haker berhasil mengambil alih koneksi sekali, ia tidak perlu cemas akan authentifikasi yang lebih lanjut . Oleh karena pertimbangan ini, PAP merupakan protokol authentifikasi paling sederhana dan tidak 40 dianjurkan untuk mekanisme authentifikasi untuk VPNs. • Challenge-Handshake Authentication Protocol (CHAP) CHAP merupakan mekanisme authentifikasi berenkripsi yang menghindari tramsisi dari password asli pada koneksi. Walaupun CHAP dianggap sebagai pengembangan dari PAP karena data yang ditransmisikan sudah dienkripsi. CHAP tidak dianggap sebagai solusi authentifikasi yang baik. Alasannya ialah tidak ada autentifikasi pada client yang sedang berhubungan dengan gateway sehingga suatu entitas yang tidak terpercaya dapat saja masuk. CHAP juga termasuk pada Windows server 2000 untuk keperluan instalasi serta troubleshooting , namun tidak direkomendasi untuk solusi autorisasi user • Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) MSCHAP merupakan metode authentifikasi berenkripsi seperti CHAP. Perbedaan antara MS-CHAP dan CHAP ialah pada client dilakukan authentifikasi. Sistem authentifikasinya berlangsung satu arah: Apakah gateway mempercayai client yang terkoneksi kepadanya? bila ya, negosiasi authorisasi dienkripsi dan selesai. • MS-CHAP version 2 (MS-CHAP v2) MS-CHAP v2 merupakan versi MS-CHAP yang mengalami perbaikan metode authentifikasi yang menyediakan tingkat keamanan yang lebih baik untuk pertukaran username dan password . Perbedaan antara MS-CHAP dan MS-CHAP v2 ialah adanya mutual authentifikasi antara gateway dan client. Gateway mempercayai server dan membuat enkripsi dari gateway ke client, 41 dan client mempercayai gateway dan membuat enkripsi yang sama pada arah yang berlawanan. Karena inilah MS-CHAP v2 direkomendasikan sebagai metode authentifikasi untuk VPN berbasiskan Microsoft. • Extensible Authentication Protocol-Transport Level Protocol (EAP-TLS) EAP merupakan metode authentifkasi baru dari PPP. EAP berbeda dari metode authentifikasi yang lain karena pada fase authentifikasi EAP sebenarnya tidak melakukan authentifikasi, EAP hanya melakukan negosiasi metode authentifikasi EAP (EAP type) . authentifikasi yang sebenarnya terjadi setelah itu. EAP merupakan metode yang direkomendasikan untuk teknik keamanan yang kuat. EAP metode termasuk penggunaan certificates, smart cards, serta solusi biometric untuk managemen identitas user. Untuk, koneksi PPTP, maka harus menggunakan MS-CHAP, MS-CHAP v2, atau EAP-TLS. Hanya tiga protokol pengesahan ini menyediakan suatu mekanisme untuk menghasilkan enkripsi yang sama untuk kedua VPN klien dan VPN server. MPPE menggunakan enckripsi ini untuk mengenkripsi semua data PPTP dan mengiriminya melalui koneksi VPN. MS-CHAP dan MS-CHAP v2 adalah protokol pengesahan berbasiskan password. Tanpa ketidakhadiran sertifikat pemakai (user certificates), Ms-Chap v2 lebih direkomendasikan karena adanya suatu protokol pengesahan lebih kuat dibanding MS-CHAP dan menyediakan pengesahan timbal balik. Dengan pengesahan timbal balik, VPN klien dibuktikan keasliannya oleh VPN server dan VPN server dibuktikan keasliannya oleh VPN klien. 42