Internet Security
Keamanan di network layer diperlukan karena beberapa alasan, yaitu:
Keamanan di network layer diperlukan karena beberapa alasan, yaitu:
1. Tidak semua
program client/server dilindungi di layer application
2. Tidak semua
program client/server di layer application menggunakan layanan TCP
yang dilindungi keamanan layer transport, beberapa program
menggunakan layanan UDP
3. Banyak aplikasi
seperti protokol routing langsung menggunakan layanan IP yang
membutuhkan keamanan di layer IP
IP Security (IPSec)
adalah kumpulan protokol yan didesain oleh Internet Engineering Task
Force (IETF) untuk menyediakan keamanan paket di level network.
IPSec bekerja di dua
mode berbeda, yaitu mode transport dan mode tunnel
- Mode Transport
- Mode Tunnel
Protocol Keamanan
Authentication
Header (AH)
AH didesain untuk
memberikan source authentication, dan menjamin data integrity.
Protokol menggunakan campuran fungsi dan kunci rahasia untuk membuat
pesan inti yang kemudiian dimasukkan ke authentication header.
Encapsulating
Security Payload (ESP)
ESP memberikan
source authentication, data integrity, dan privacy. ESP menambahkan
header dan trailer, kemudian data autentikasi ESP ditambahkan di
akhir paket yang membuat perhitungan lebih mudah.
IPv4 dan IPv6
IPSec mendukung IPv4
dan IPv6. Di IPv6, AH dan ESP adalah bagian dari extension header.
AH vs ESP
ESP dapat melakukan
apa yang AH lakukan, ditambah dengan confidentiality. Sebenarnya kita
tidak butuh AH, namun AH sudah termasuk di beberapa produk komersial
yang akan berlanjut samapai produk tersebut perlahan keluar
dikarenakan AH lebih dulu didesain daripada ESP.
Layanan yang
disediakan ESP
Access Control
Dengan akses ke
Security Association Database (SAD), paket yang sampai ke tujuan
tanpa Security Association akan dibuang.
Message Integrity
Inti data dibuat dan
dikirim untuk dicek oleh penerima
Entity
Authentication
Security Assosiation
dan gabungan inti data dikirim untuk membuktikan pengirim
Confidentiality
Pesan dienkripsi
Replay Attack
Protection
Di gabungan
protokol, replay attack dicegah dengan menggunakan rangkaian angka
dan sliding receiver window.
Dari kelima layanan
ESP di atas, AH hanya tidak memiliki layanan confidentiality. Jadi,
jika diperlukan confidentiality, harus menggunakan ESP.
Security Assosiation
Security Assosiation
adalah kontrak antara dua bagian, yang membuat channel aman diantara
keduanya. Masing-masing bagian menyimpan value key di variabel dan
nama algorutma enkripsi/dekripsi di tempat lain untuk enkripsi dan
dekripsi pesan.
Security Assosiation
bisa lebih kompleks jika kedua bagian membutuhkan integrity dan
autentikasi. Tiap kumpulan bisa menggunakan parameter selain
algoritma dan key yang lebih kompleks.
Security Association
Database
Jika ada banyak
bagian ingin berkomunikasi, maka diperlukan SAD yang menyimpan SA
dalam bentuk tabel 2 dimensi. Tabel ini menggunakan index yang berisi
security parameter, destination address, dan protocol (AH atau ESP)
untuk mencari entry yang cocok.
Security Policy
SP mendefinisikan
tipe keamanan yang diterapkan ke paket saat dikirim atau diterima.
Sebelum menggunakan SAD, host harus menentukan predefinel policy
untuk paket.
Security Policy
Database
Di database ini, SPD
dapat diakses dengan sextuple index: source address, destination
address (unicast, multicast, adau wildcard address), name (DNS
entity), protocol (AH atau ESP), source port, dan destination port.
- Outbound SPD
Saat paket dikirim,
outbond SPD berkonsiltasi. Jika paket mendapat output apply, maka
akan dimasukkan ke SAD
- Inbound SPD
Saat paket sampai,
inbound SPD bekonsultasi. Jika paket mendapat output apply, maka
policy diterapkan dengan SAD.
Internet Key
Exchange (IKE)
IKE membuat SA untuk
IPSec. IKE adalah protokol kompleks yang berbasis Oakley, SEME, dan
ISAKMP (internet Security Association and Key Management Protocol).
Virtual Private
Network (VPN)
VPN adalah jaringan
private namun virtual karena menjamin keamanan di dalam organisasi
naumn tidak membutuhkan private WAN sungguhan, Jaringannnya secara
fisik namun privatenya virtual.
Transport Layer
Security
SSL Architecture
SSl didesain untuk
keamanan dan kompresi untuk data dari layer application. Secara khas,
SSL menerima data dari layer application manapun, namun biasanya
protocol HTTP. Data yang diterima dikompresi (opsional),
ditandatangani, dan dienkripsi.
Services
- Fragmentation
- Compression
- Message Integrity
- Confidentiality
- Framing
Key Exchange
Algorithms
Masing-masing
client dan server menentukan cryptographic secret
Encryption/Decription
Algorithms
Masing-masing
client dan server menentukan algoritma enkripsi dan dekripsi
Hash Algorithms
SSL menggunakan
Hash algorithms untuk menyediakan integrity pesan
Cipher Suite
Kombinasi key
exchange, hash, dan encryption algorithm
Compression
Algorithms
Kompresi di SSL
hanya opsional dan tidak ada algoritma yang spesifik. System dapat
menggunakan algoritma kompresi apapun
Chryptogtaphic
Parameter Generation
Client dan server
membutuhkan masing-masing key messsege authentication, key
encryption, dan initialization vector sebagai blok original. SSL
menggunakan ini untuk satu jurusan, sedangkan untuk jurusan lain bisa
berbeda. Jadi jika ada serangan di satu jurusan, maka jurusan lain
tidak terpengaruh.
Session and
Connections
Sessions adalah
persatuan client dan server dan keduanya memiliki informasi seperti
session identifier, dsb. Namun, itu belum cukup dan dibutuhkan
koneksi diantara keduanya. Maka keduanya bertukar 2 angka secara acak
dan membuat koneksi.
Four Protocols
Handshake Protocol
Handshake protocol
menggunakan pesan untuk bernegoisasi cipher suite, autentikasi server
ke client dan sebaliknya, dan bertukan informasi untuk membangun
cryptogtaphic secret.
ChangeCipherSpec
Protocol
Negosiasi cipher
suite dan generation of cryptographic
secrets dibentuk
secara bertahap selama Hanshake Protocol. Namun, kedua parameter
tersebut belum bisa digunakan sampai tiap host menerima pesan
spesial, ChangeCipherSpec yang ditukar selama Hanshake Protocol dan
dinyatakan di ChangeCipherSped Protocol. Alasannya adalah pengirim
dan penerima membutuhkan dua kondisi, yaitu pending state (menyimpan
track parameter dan secrets) dan active state (melindungi parameter
dan screts yang digunakan dengan Record Protocol untuk verifikasi dan
enkripsi atau dekripsi pesan).
Alert Protocol
Digunakan oleh
SSL untuk melaporkan error dan kondisi yang abnormal. ALert ini hanya
menggunakan satu pesan yang mendeskripsikan masalah dan levelnya,
warning atau fatal.
Record Protocol
Record Protocol
membawa pesan dari layer diatasnya (Hanshake Protocol,
CahgeCipherSpec protocol, Alert Protocol, atau application layer).
Pesan ini dipecah dan bisa juga dikompres. MAC address akan
ditambahkan jika pesan dikompres dengan algoritma yang sudah
dinegosiasikan. Pecahan terkompresi dan MAC dienkripsi dengan
algoritma enkripsi yang sudah dinegosiasikan. Terakhir, SSL header
ditambahkan ke pesan yang telah dienkripsi.
Widya Ardianto
SMK N 2 Depok Sleman
XI TKJ-B/30