• IKE
• Security Association Database SAD
• Security Policy Database SPD
• AH dan atau ESP
Gambar 2.8 Komponen Arsitektur IPsec
2.3.2 Protokol Pembentuk IPsec
Protokol-protokol yang membentuk IPsec adalah protokol ESP untuk layanan kriptografi dan protokol IKE untuk manajemen SA.
2.3.2.1 ESP Encapsulating Security Payload
Protokol Encapsulating Security Payload
ESP menyediakan perlindungan autentikasi, data integrity, dan antireplay dengan ditambah juga
fungsi confidentiality. ESP juga menyediakan perlindungan terbatas terhadap traffic analysis dalam mode tunnel. ESP adalah protokol yang mampu
memberikan layanan autentikasi dan juga layanan confidentiality. Secara garis besar paket ESP terdiri dari empat bagian, yaitu :
1. ESP header, yang berisi field SPI dan sequence number.
19
2. Payload, yang berisi field IVInitialization Vector dan payload data. 3. ESP trailer, berisi field padding, pad length, next header.
4. ESP authentication data, yang berisi Integrity Check Value ICV.
Gambar 2.9 Format Header ESP RFC 4303 ESP menggunakan SPI dan destination address untuk mengidentifikasi SA
yang diterapkan. Selain itu, ESP juga menggunakan fungsi sequence number untuk menyediakan perlindungan antireplay.
Block cipher menentukan bahwa padding harus dilakukan untuk mencapai ukuran blok tertentu. Padding akan diletakkan setelah payload data pada padding
field. Sebagai contoh, next header field harus disejajarkan dengan pembatas ukuran 4-byte.Adalah mungkin untuk menambahkan nomor acak pada padding
bytes untuk menyembunyikan panjang dari payload data.Padding dengan ukuran 0 sampai 255 byte ditambahkan pada payload data. Panjang dari padding adalah
terdapat pada pad length field. Next header field menunjukkan tipe data apa yang terdapat pada IV dan
payload data field.Integrity Check Value field berisi Authentication data nilai untuk paket ESP. ICV harus dimulai dengan pembatas 4-byte dan harus berupa
kelipatan 32-bit words. Dua metode autentikasi yang paling umum digunakan adalah HMAC-MD5-96 dan HMAC-SHA1-96.
20
2.3.2.2 IKE
Internet Protocol Security IPsec menyediakan confidentiality, data integrity, kontrol akses, dan autentikasi bagi paket IP. Layanan IPSec ini
disediakan dengan memelihara suatu shared statekeadaan berbagibersama antara peer yang terlibat. Shared state ini terdiri dari berbagai informasi yang
mendefinisikan hal-hal seperti algoritma enkripsi yang digunakan, kunci kriptografi, dll. Informasi yang dikandung dalam keadaan bersamashared state
dikenal dengan sebutan security assocationSA. Proses pembuatan SA secara manual kadang akan menjadi tugas yang memberatkan. Oleh karena itu, suatu
proses otomatis yang akan menangani SA menjadi suatu kebutuhan penting. Protokol Internet Key Exchange IKE ada untuk menjawab kebutuhan itu.
Internet Key Exchange IKE adalah suatu protokol untuk membangun, menegosiasikan, memodifikasi, dan menghapus Security Association SA pada
host yang menjalankan layanan IPsec. SA mengandung informasi yang dibutuhkan untuk membangun hubungan yang aman antara dua host IPsec
berdasarkan pada aturan yang telah disetujui bersama. IKE didasarkan pada protokol ISAKMP Internet Security Association and Key Management.
Pertukaran kuncikey exchage pada IKE berdasar kepada protokol Diffie- Hellman cryptographic key exchange. Protokol IKEIKE versi 1 didefinisikan
dalam RFCRequest For Comment 2407, 2408, dan 2409. Terdapat dua fase dalam IKE. Pada fase pertamaPhase 1, IKE
menegosiasikan SA untuk mendapatkan parameter-parameter kriptografi yang akan digunakan dalam proses fase kedua. SA yang didapatkan pada fase pertama
21
disebut juga ISAKMP SA. Fase keduaPhase 2 merupakan proses negosiasi SA untuk mendapatkan parameter untuk protokol IPsec ESP atau AH. SA yang
didapatkan pada fase kedua disebut juga IPsec SA. Terdapat dua pilihan mode untuk membangun SA fase pertama. Mode-
mode tersebut adalah Main Mode dan Aggressive Mode. Aggressive Mode adalah lebih cepat tetapi ia tidak menyediakan perlindungan identitas sedangkan Main
Mode menyediakan perlindungan terhadap identitas. Pada fase kedua, terdapat Quick Mode yang digunakan untuk membangun SA untuk protokol IPsec yang
akan digunakan.
2.3.3 Mode Enkapsulasi