SIMULASI SISTEM REMOTE ACCESS IPSEC BERBASIS

PERANGKAT LUNAK IKEv2 STRONGSWAN

Oleh:

GIRI PATMONO

103091029599

PROGRAM STUDI TEKNIK INFORMATIKA

FAKULTAS SAIS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

JAKARTA

SIMULASI SISTEM REMOTE ACCESS IPSEC BERBASIS

PERANGKAT LUNAK IKEv2 STRONGSWAN

Skripsi

Diajukan untuk Memenuhi Persyaratan Memperoleh Gelar Sarjana Komputer

Pada Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

Oleh:

GIRI PATMONO

103091029599

PROGRAM STUDI TEKNIK INFORMATIKA

FAKULTAS SAIS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

JAKARTA

SIMULASI SISTEM REMOTE ACCESS IPSEC

BERBASIS PERANGKAT LUNAK IKEV2 STRONGSWAN

Skripsi

Sebagai Salah Satu Syarat untuk Memperoleh Gelar Sarjana Komputer

Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

Oleh : GIRI PATMONO

103091029599

Menyetujui :

Pembimbing I, Pembimbing II,

Arini, MT Hari Satria, S.Si, CCNA

NIP. 19760131 200901 2001 NIP.19711022 2009100 1002 Mengetahui :

Ketua Program Studi Teknik Informatika

Yusuf Durrachman, MIT NIP. 19710522 200604 1002

PENGESAHAN UJIAN

Skripsi berjudul ”Simulasi Sistem Remote Access IPsec Berbasis Perangkat Lunak IKEv2 strongSwan” yang ditulis oleh Giri Patmono, NIM 103091029599 telah diuji dan dinyatakan lulus dalam sidang Munaqosyah Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta pada hari Senin, 6 September 2010. Skripsi ini telah diterima sebagai salah satu syarat untuk memperoleh gelar sarjana strata satu (S1) pada Program Studi Teknik Informatika.

Menyetujui :

Penguji I, Penguji II,

Herlino Nanang, MT Andrew Fiade, MKom

NIP. 19731209 200501 1002 NIP. 19820811 200912 1004

Pembimbing I, Pembimbing II,

Arini, MT Hari Satria, S.Si, CCNA NIP. 19760131 200901 2001 NIP. 19711022 2009100 1002

Mengetahui :

Dekan Ketua Program Studi

Fakultas Sains dan Teknologi, Teknik Informatika,

PENGESAHAN UJIAN

Skripsi berjudul “Simulasi Sistem Remote Access IPsec Berbasis Perangkat Lunak IKEv2 strongSwan” yang ditulis oleh Giri Patmono, NIM 103091029599 telah diuji dan dinyatakan lulus dalam Sidang Munaqosyah Program Studi Teknik Informatika, Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta pada hari ….., tanggal ………... Skripsi ini telah diterima sebagai salah satu syarat untuk memperoleh gelar Sarjana Strata Satu (S1) Program Studi Teknik Informatika.

Jakarta, September 2010 Tim Penguji,

Mengetahui,

Penguji I, Penguji II,

Ketua Prodi Teknik Informatika

Yusuf Durachman, MIT NIP. 197105222006041002 Dekan Fakultas Sains dan Teknologi

DR. Syopiansyah Jaya Putra, MSis NIP. 196801172001121001

PERNYATAAN

DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAUPUN LEMBAGA MANAPUN.

Jakarta, Agustus 2010

GIRI PATMONO

103091029599

ABSTRAK

Giri Patmono – 103091029599, Simulasi Sistem Remote Access IPsec Berbasis Perangkat Lunak IKEv2 strongSwan, dibimbing oleh Arini, MT dan Hary Satria, S.Si, CCNA.

VPN (Virtual Private Networking) merupakan suatu teknologi untuk membangun jaringan komputer virtual menggunakan media jaringan publik seperti Internet dengan melibatkan teknik tunneling. Salah satu skenario penerapan VPN adalah untuk remote access yang memungkinkan pengguna jarak jauh untuk mengakses sumber daya yang ada di jaringan komputer utama. Saat ini, remote access VPN berbasis protokol IPsec memiliki berbagai masalah dan kebutuhan yang menghambat penerapannya secara luas. Skripsi ini akan mencoba menentukan masalah dan kebutuhan dalam penerapan remote access VPN berbasis protokol IPsec. Kemudian akan dibuat suatu kriteria kebutuhan sistem sebagai solusi masalah tersebut dengan dasar penggunaan perangkat lunak IKEv2 strongSwan. Untuk melaksanakan pengujian, sistem akan dibuat dalam suatu lingkungan simulasi jaringan menggunakan tool virtualisasi VMware. Metode pengembangan sistem yang kami gunakan adalah Network Development Life Cycle (NDLC) sampai pada tahapan ketiga yaitu analysis, design, dan simulation prototyping. Secara garis besar, skripsi ini mengajukan sistem remote access IPsec berbasis perangkat lunak IKEv2 strongSwan sebagai solusi masalah kebutuhan remote access VPN berbasis IPsec. Tujuan skripsi ini adalah untuk mendapatkan verifikasi terhadap kemampuan sistem remote access IPsec berbasis perangkat lunak IKEv2 strongSwan tersebut. Kesimpulan yang kami dapatkan dari hasil penelitian skripsi ini adalah bahwa sistem remote access IPsec berbasis perangkat lunak IKEv2 strongSwan mampu mengatasi semua masalah dan kebutuhan dalam penerapan remote access VPN berbasis IPsec. Pengembangan selanjutnya yang dapat dilakukan adalah melakukan simulasi penerapan IPsec Extensible Authentication Protocol (EAP) dan simulasi pengujian interoperabilitas antara Linux IKEv2 strongSwan sebagai server dan klien berbasis Windows.

Keyword : remote access VPN, IPsec remote access problem, IKEv2, IKEv2 strongSwan, simulasi jaringan, virtualisasi VMware.

KATA PENGANTAR

Puji serta syukur Puji syukur saya panjatkan ke hadirat Allah SWT, karena atas berkat dan rahmat-Nya skripsi ini dapat diselesaikan. Shalawat serta salam penulis haturkan ke junjungan Nabi besar Muhammad SAW.

Penulis akhirnya dapat menyelesaikan skripsi dengan judul ”SIMULASI SISTEM REMOTE ACCESS IPSEC BERBASIS PERANGKAT LUNAK IKEv2 STRONGSWAN”. Skripsi merupakan salah satu tugas wajib mahasiswa sebagai persyaratan untuk mengambil gelar Strata 1 (S1) pada Program Studi Teknik Informatika Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta.

Dalam penyusunan Skripsi ini saya mendapat bimbingan dan bantuan dari berbagai pihak, oleh karena itu perkenankanlah pada kesempatan ini saya mengucapkan terima kasih kepada :

1. DR. Syopiansyah Jaya Putra, M.Sis, selaku Dekan Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta.

2. Yusuf Durrachman, MIT, selaku Ketua Program Studi Teknik Informatika dan Viva Arifin, MMSi, selaku Sekretaris Program Studi Teknik Informatika.

3. Ibu Arini, M.T selaku dosen pembimbing I dan Bapak Hary Satria, S.Si, CCNA selaku dosen pembimbing II yang telah memberikan bimbingan, dan dukungan sehingga penulis dapat menyelesaikan skripsi ini.

4. Seluruh Dosen Teknik Informatika yang tidak dapat penulis sebutkan satu persatu yang telah memberikan ilmu dan bimbingannya selama penulis menyelesaikan studi di Teknik Informatika.

5. Seluruh staff Jurusan TI/SI dan staff Akademik FST yang telah membantu peneliti dalam masa perkuliahan.

6. Teman-teman dari Prodi Teknik Informatika angkatan 2003 khususnya kelas D(Ali, Ba’i, Bahtiar, Erwin, Gun-gun, Hafizs, Hary, Muhartanto, Rijal, Rulan, Shidiq, Syamsul, Syukur, Aida, Diah, Desi, Lela, Ma’ul Mimi, Prilia, Ratih, Yuni) dan band ”SwitchCase”(Adam, Fahmi, Putro, Tedy, Wildan) yang telah melewatkan waktu bersama selama masa kuliah. 7. Teman-teman TI seperjuangan angkatan 2003 kelas A, B & C.

Akhir kata saya berharap agar skripsi ini dapat bermanfaat bagi semua yang membacanya sekian.

Depok, Agustus 2010

Giri Patmono 103091029599

LEMBAR PERSEMBAHAN

Skripsi ini peneliti persembahkan kepada orang tua (Bapak Sukaryo dan Ibu Sihwati) beserta saudari penulis (Adikku tersayang Ira Damayanti) dan seluruh sanak saudara dan keluarga besar penulis yang selalu memberikan dukungan baik moral dan materi kepada penulis. Dukungan mereka tidak terbayang besarnya bagi penulis. Semoga mereka selalu dalam berkah dan lindungan Allah SWT.

DAFTAR ISI

Halaman Sampul ... i

Halaman Judul ... ii

Lembar Pengesahan Pembimbing ... iii

Lembar Pengesahan Ujian ... iv

Lembar Pernyataan ... vi

Abstrak ... vii

Kata Pengantar ... viii

Lembar Persembahan ... x

Daftar Isi ... xi

Daftar Gambar ... xvi

Daftar Tabel ... xviii

Daftar Lampiran ... xix

Daftar Istilah ... xx

BAB I PENDAHULUAN 1.1 Latar Belakang...1

1.2 Rumusan Masalah...3

1.3 Batasan Masalah...3

1.4 Tujuan Penelitian...4

1.5 Manfaat Penelitian...4

1.6 Hipotesa...5

1.7 Metodologi Penelitian...5

1.8 Sistematika Penulisan...6

BAB II TINJAUAN PUSTAKA 2.1 Virtual Private Networking...7 2.1.1 Tujuan VPN 8

2.1.3 Beberapa Tipe Protokol Tunneling VPN...9

2.1.4 Topologi Jaringan VPN...11

2.1.4.1 Host-to-Host VPN...11

2.1.4.2 Site-to-Site VPN 12 2.1.4.3 Remote Access VPN...13

2.2 Kriptografi...14

2.2.1 Kriptografi Simetris...14

2.2.1.1 Enkripsi Simetris 14 2.2.1.2 Hashed Message Authentication Code...14

2.2.2 Kriptografi Kunci Publik...15

2.2.2.1 Enkripsi Asimetris...15

2.2.2.2 Diffie Hellman Key Exchange...16

2.2.2.3 Digital Signature 17 2.3 IPsec Protocol Suite...18

2.3.1 Arsitektur IPsec...18

2.3.2 Protokol Pembentuk IPsec...19

2.3.2.1 ESP 19 2.3.2.2 IKE 21 2.3.3 Mode Enkapsulasi...22

2.3.3.1 Mode Transport 22 2.3.3.2 Mode Tunnel 22 2.3.4 Security Association...23

2.3.5 Security Databases...24

2.4 NAT...24

2.5 Protokol IKEv2...26

2.5.1 Pertukaran Pesan Pada IKEv2...27

2.5.1.1 Initial Exchange (IKE_SA)...27

2.5.1.2 CHILD_SA 28 2.5.1.3 Informational Exchange...28

2.5.1.4 Rekeying 29 2.5.2 Traffic Selector...29

2.5.3 Nonce 30

2.5.4 Penggunaan Alamat dan Port...30

2.5.5 Pembuatan Material Kunci...31

2.5.6 Penanganan Error...31

2.5.7 Format Header IKEv2...31

2.5.8 Tipe Payload IKEv2...33

2.6 Simulasi Jaringan...35

2.6.1 Manfaat Simulasi Jaringan...36

2.6.2 VMware Workstation...37

2.7 Perangkat Lunak IKEv2 strongSwan...38

2.8 OpenSSL...39

2.9 NDLC...39

BAB III METODOLOGI PENELITIAN 3.1 Subyek Penelitian...42

3.2 Obyek Penelitian...42

3.3 Jenis Penelitian...42

3.4 Alat Penelitian...42

3.5 Metode Penelitian...44

3.5.1 Metode Pengumpulan Data...44

3.5.2 Metode Pengembangan Sistem...44

3.6 Alur Proses Penelitian...48

BAB IV ANALISIS DAN PEMBAHASAN 4.1 Fase Analysis...49

4.1.1 Penentuan Masalah Remote Access VPN Berbasis IPsec...49

4.1.1.1 Kebutuhan Algoritma Kriptografi Yang Kuat...49

4.1.1.2 Kebutuhan Pengulangan Autentikasi...50

4.1.1.3 Masalah Ketidakcocokan NAT-IPsec...50

4.1.1.4 Masalah Alamat Klien IPsec yang Overlapping...51

4.1.1.6 Kebutuhan Peer IPsec yang Mobile dan Multihoming...53

4.1.2 Pemberian Solusi Dengan Protokol IKEv2...54

4.1.2.1 Algoritma Suite B...54

4.1.2.2 Repeated Authentication untuk IKEv2...58

4.1.2.3 NAT Traversal pada IKEv2...58

4.1.2.4 Virtual IP 60 4.1.2.5 NAT Traversal Tunnel Mode policy...61

4.1.2.6 MOBIKE 62 4.1.3 Menentukan Kebutuhan Sistem...63

4.2 Fase Design...64

4.2.1 Perancangan Topologi Jaringan Internet...65

4.2.2 Perancangan Skenario Pengujian...65

4.2.2.1 Skenario Pengujian Algoritma Suite B...66

4.2.2.2 Skenario Pengujian Repeated Authentication...66

4.2.2.3 Skenario Pengujian NAT Traversal...67

4.2.2.4 Skenario Pengujian Virtual IP...68

4.2.2.5 Skenario Dua Roadwarrior Tunnel Mode...69

4.2.2.6 Skenario Pengujian MOBIKE...70

4.3 Fase Simulasi Prototyping...70

4.3.1 Pembuatan Simulasi Jaringan Internet...71

4.3.1.1 Instalasi VMware Workstation...71

4.3.1.2 Simulasi Jaringan Internet Dengan VMware VMnet...72

4.3.1.3 Pembuatan Virtual Machine...73

4.3.1.4 Konfigurasi Jaringan Virtual...75

4.3.2 Penerapan Perangkat Lunak...76

4.3.2.1 Pembuatan X.509 Certificate berbasis Signature ECDSA...76

4.3.2.2 Pembuatan Sertifikat CA...77

4.3.2.3 Pembuatan Sertifikat untuk End Entity...77

4.3.2.4 Instalasi Certificate...78

4.3.2.5 Instalasi Perangkat Lunak IKEv2 strongSwan...79

4.3.3.1 Pengujian Algoritma Suite B...80

4.3.3.2 Pengujian Repeated Authentication...81

4.3.3.3 Pengujian NAT Traversal...82

4.3.3.4 Pengujian Virtual IP...84

4.3.3.5 Pengujian Dua Roadwarrior Tunnel Mode...87

4.3.3.6 Pengujian MOBIKE...89

4.3.4 Evaluasi 91 4.3.4.1 Pengujian Algoritma Suite B...91

4.3.4.2 Pengujian Repeated Authentication...91

4.3.4.3 Pengujian NAT Traversal...92

4.3.4.4 Pengujian Virtual IP...92

4.3.4.5 Pengujian NAT Traversal Tunnel Mode...92

4.3.4.6 Pengujian MOBIKE...92

BAB V KESIMPULAN DAN SARAN 5.1 Kesimpulan...93

5.2 Saran...94

DAFTAR PUSTAKA...95 LAMPIRAN

DAFTAR GAMBAR

Gambar 2.1 Contoh VPN untuk akses secara remote... 7

Gambar 2.2 Contoh tunneling dengan GRE... 9

Gambar 2.3 Host-to-Host VPN... 12

Gambar 2.4 Site-to-Site VPN... 13

Gambar 2.5 Remote Acces VPN... 14

Gambar 2.6 Enkripsi Asimetris... 16

Gambar 2.7 Pembuatan Kunci Diffie-Hellman... 17

Gambar 2.8 Komponen Arsitektur IPsec... 19

Gambar 2.9 Format Header ESP (RFC 4303)... 20

Gambar 2.10 Enkapsulasi pada mode transport... 22

Gambar 2.11 Enkapsulasi pada mode tunnel... 23

Gambar 2.12 Network Address Translation... 25

Gambar 2.13 Format Header IKEv2... 32

Gambar 2.14 General IKEv2 Payload Header... 33

Gambar 2.15 Network Development Life Cycle... 40

Gambar 3.1 Metode Pengembangan NDLC ... 45

Gambar 3.2 Alur Proses Penelitian ... 48

Gambar 4.1 Alamat IP Klien IPsec yang overlapping... 52

Gambar 4.2 Traffic description yang overlapping... 53

Gambar 4.3 UDP Encapsulated ESP pada mode transport... 59

Gambar 4.4 UDP Encapsulated ESP pada mode tunnel... 59

Gambar 4.5 UDP encapsulation of IPsec ESP packet... 59

Gambar 4.6 Format Floated IKE Header... 60

Gambar 4.7 Format Header UDP untuk paket NAT-keepalive... 60

Gambar 4.8 Virtual IP address... 61

Gambar 4.9 Policy NAT Traversal Tunnel Mode... 62

Gambar 4.10 Desain Topologi JaringanInternet... 65

Gambar 4.11 Skema Pengujian Algoritma Suite B... 66

Gambar 4.12 Skema Pengujian Repeated Authentication... 67

Gambar 4.13 Skema Pengujian NAT Traversal... 67

Gambar 4.14 Skema Pengujian Virtual IP... 68

Gambar 4.15 Skema Pengujian Dua Roadwarrior Tunnel Mode... 69

Gambar 4.16 Skema Pengujian MOBIKE... 70

Gambar 4.17 Instalasi VMware Workstation... 71

Gambar 4.18 Tampilan VMware Workstation... 72

Gambar 4.19 Virtual Network Editor... 72

Gambar 4.20 Desain Simulasi Jaringan Internet dengan VMware... 73

Gambar 4.21 Pemilihan Guest OS... 74

Gambar 4.22 Tipe Koneksi Jaringan untuk Virtual Machine... 74

Gambar 4.23 Tampilan Virtual Machine... 75

Gambar 4.24 Setting Jaringan pada Virtual Machine... 75

Gambar 4.25 Pengujian Algoritma Kriptografi... 80

Gambar 4.27 Pengujian Repeated Authentication... 82

Gambar 4.28 Hasil output konsol uji Repeated Authentication pada GW1. . . 82

Gambar 4.29 Pengujian NAT Traversal... 83

Gambar 4.30 Hasil output konsol uji NAT Traversal pada A... 84

Gambar 4.31 Pengujian Virtual IP... 85

Gambar 4.32 Hasil output konsol uji Virtual IP pada A... 85

Gambar 4.33 Hasil output konsol uji Virtual IP pada Z... 86

Gambar 4.34 Pengujian Dua Roadwarrior Tunnel Mode... 87

Gambar 4.35 Hasil output konsol uji Dua Roadwarrior Tunnel Mode A... 88

Gambar 4.36 Hasil output konsol uji Dua Roadwarrior Tunnel Mode B... 88

Gambar 4.37 Pengujian MOBIKE... 89

Gambar 4.38 Output awal pada A dengan IP 192.169.0.100... 90

DAFTAR TABEL

Tabel 2.1 Tipe Exchange pada pertukaran IKEv2... 32

Tabel 2.2 Nilai Next Payload pada Payload IKEv2... 33

Tabel 3.1 Perangkat Keras yang digunakan sebagai alat penelitian... 43

Tabel 3.2 Perangkat Lunak yang digunakan sebagai alat penelitian... 43

Tabel 4.1 Solusi yang diberikan berdasarkan protokol IKEv2... 54

Tabel 4.2 Algoritma Suite B NSA berdasarkan level kerahasiaan... 55

Tabel 4.3 Perbandingan kekuatan algoritma kriptografi... 56

Tabel 4.4 Cryptography Suite Bpada RFC 4869... 57

Tabel 4.5 Perbandingan perangkat lunak IKEv2 sesuai kebutuhan sistem.. 64

Tabel 4.6 Masalah, solusi, dan skenario pengujian sistem... 66

DAFTAR LAMPIRAN

Lampiran 1 Skema Jaringan Komputer dan Sertifikat X.509 Lampiran 2 Kode Konfigurasi IKEv2 strongSwan

DAFTAR ISTILAH

Istilah Arti

algoritma suite B

Suatu kumpulan algoritma kriptograsi berdasarkan spesifikasi suite B NSA asymetric key

encryption

Enkripsi yang menggunakan dua kunci berbeda untuk proses enkripsi dan dekripsi

autentikasi Proses untuk membuktikan bahwa seorang pengguna adalah benar adanya. bits of security Tingkat keamanan enkripsi simetris dengan ukuran suatu bit. Misalnya

enkripsi simetris dengan kunci ukuran 80 bit. Certificate

Berkaitan dengan kriptografi kunci publik. Sertifikat merupakan data identitas suatu entitas yang dikaitkan dengan kunci publik. Sertifikat dikeluarkan dan ditandatangani oleh suatu Certificate Authority. Contoh sertifikat adalah sertifikat berformat X.509.

Certificate Authority

Suatu pihak yang mengeluarkan dan menandatangani suatu sertifikat. CHILD SA

Exchange

Salah satu tipe pertukaran pesan pada IKEv2 CHILD SA

Exchange

Salah satu tipe pertukaran pesan pada IKEv2

ciphertext suatu data yang telah dienkripsi sehingga menjadi tidak terbaca

confidentiality suatu konsep yang menjelaskan tentang proteksi data sehingga hanya yang berhak saja yang dapat mengetahui isinya

cryptographic hash function

Suatu proses kriptografi untuk menghasilkan suatu output string tetap dari suatu variabel data

dedicated line

biasa disebut pula leased line, yaitu suatu jalur komunikasi yang terus menerus ada bagi suatu pelanggan telekomunikasi. Jalur ini secara khusus didedasikan bagi pelanggan. Kebalikan dari dedicated line adalah dial up.

dekripsi proses untuk mengubah ciphertext menjadi plaintext Diffie Hellman

(DH)

lihat diffie hellman key exchange.

dial up line

suatu jalur komunikasi yang ada bagi suatu pelanggan telekomunikasi dengan metode dial up. Jalur ini dibagi bersama oleh pelanggan lain. Berbiaya lebih murah dibanding dedicated line

diffie hellman key exchange

Protokol yang memungkinkan dua pihak untuk membuat suatu shared secret diatas media komunikasi yang tidak aman.

Digest Lihat message digest.

digital signature salah satu penerapan kriptografi asimentris yang mencoba mensimulasikan sifat keamanan dari tandatangan kedalam bentuk digital.

Discrete Logarithm

Problem matematika berbasis logaritma diskrit yang dijadikan dasar dalam algoritma DSA dan DH..

DSA Digital Signature Algorithm merupakan standar algoritma digital signature ECDH Merupakan protokol diffie hellman key exchange yang menggunakan

elliptic curve cryptography

ECDSA Varian DSA yang menggunakan elliptic curve cryptography Elliptic Curve

Cryptography

Elliptic Curve Cryptography (ECC) merupakan pendekatan kriptografi asimetris yang berdasarkan struktur kurva eliptis.

enkripsi proses untuk mengubah plaintext menjadi ciphertext Enkripsi

asimetris

Lihat asymetric encryption.

Enkripsi simetris

Enkripsi dimana kunci yang sama digunakan dalam proses enkripsi dan dekripsi.

Fedora Merupakan suatu sistem operasi bertujuan umum yang dibangun diatas kernel Linux dikembangkan oleh komunitas dan disponsosri Red Hat. Finite Field

Cryptography

Finite Field Cryptography (FFCC) merupakan pendekatan kriptografi asimetris yang berdasarkan masalah matematika seperti integer factorization diatas suatu finite fields.

Gateway IPsec biasa disebut pula Server IPsec, bertugas melayani permintaan pembuatan tunnel IPsec dari klien

Grup DH Grup yang berisi nilai yang menjadi patokan dalam proses pembuatan

shared secret. Contohnya adalah grup DH 14 MODP berukuran 2048 bit. HMAC HMAC (Hash-based Message Authentication) merupakan tipe MAC yang

digunakan dalam protokol IPsec

IKE bagian protokol IPsec yang bertugas melakukan manajemen SA IKE peer suatu host komputer yang terlibat dalam suatu negosiasi IKE IKEv2 Versi terbaru IKE yang mengalami perbaikan dan pembaharuan Informational

Exchange

Salah satu tipe pertukaran pesan pada IKEv2 yang digunakan untuk mempertukarkan pesan bersifat manajerial

Initial Exchange

pertukaran awal pada IKEv2 untuk membangun tunnel IPsec Integer

Factorization

Problem matematika berbasis faktorisasi nilai Integer yang dijadikan dasar dalam algoritma RSA.

Internet Jaringan komputer yang saling terhubung secara global

IP Internet Protocol (IP) adalah suatu protokol komunikasi untuk melakukan pengiriman data dalam suatu jaringan berbasis packet-switched

IPsec IPsec (IP security) adalah kumpulan protokol untuk mengamankan komunikasi data pada jaringan IP

IPsec host suatu host IPsec adalah komputer yang terlibat dalam suatu pembangunan tunnel IPsec. Biasa disebut pula IPsec peer

IPsec peer lihat IPsec host

IPv4 IPv4 (Internet Protocol version 4) adalah iterasi keempat dari IP dan merupakan protokol versi pertama yang secara luas digunakan saat ini. jaringan private Jaringan komputer yang dimiliki oleh pribadi dan tak dapat diakses publik. jaringan publik Jaringan komputer yang dapat diakses oleh publik

Kriptografi Ilmu yang mempelajari tentang penyembunyian rahasia menggunakan suatu nilai atau kunci rahasia.

kriptografi asimetris

Kriptografi asimetris, biasa disebut pula kriptografi kunci publik atau public-key cryptography, merupakan suatu bentuk kriptografi yang menggunakan sepasang kunci yaitu kunci private dan kunci publik. kriptografi

kunci-publik

lihat kriptografi asimetris

kriptografi simetris

Kriptografi simetris, merupakan suatu bentuk kriptografi yang menggunakan kunci rahasia yang sama untuk proses kriptografinya.

kunci private kunci rahasia yang secara matematis bersesuaian dengan kunci publik dan hanya boleh diketahui dan dimiliki oleh penggunanya saja.

kunci publik Kunci yang secara matematis bersesuaian dengan kunci private, bersifat publik dan boleh disebarluaskan

LAN Local Area Network (LAN) adalah suatu jaringan komputer yang terdiri dari komputer yang berada di satu lokasi kecil seperti kantor, rumah, dsb leased line lihat dedicated line

MAC Message Authentication Code (MAC) merupakan suatu potongan informasi yang digunakan untuk mengautentikasi suatu pesan.

message digest Hasil proses hashing yang menghasilkan output string berukuran tetap. message

integrity

Suatu konsep yang menjelaskan bahwasanya suatu pesan tidak mengalami perubahan dari pengirim ke penerima

alamat IP yang diasosiasikan dengan SA IKE dan SA IPsec dapat berubah tanpa adanya proses pembangunan ulang tunnel IPsec.

mobile worker Suatu pengguna layanan jaringan yang bersifat mobile yang berada di luar jaringan utama

mode transport Mode operasi IPsec yang melakukan pengamanan data pada layer transport tanpa melakukan enkapsulasi header IP asli

mode tunnel Mode operasi IPsec yang melakukan pengamanan data pada layer network. Melibatkan teknik enkapsulasi header IP asli ke dalam header IP baru MODP MODP (Modular Prime) adalah salah satu tipe nilai berbasis nilai prima

modular yang digunakan dalam grup DH.

NAT Network Addresss Translation (NAT) adalah suatu mekanisme untuk memetakan suatu alamat IP ke alamat IP lainnya

NAT Traversal Dalam IPsec, merupakan suatu mekanisme yang menggunakan enkapsulasi UDP untuk melewatkan paket IPsec melalui NAT.

NDLC Network Development Life Cycle (NDLC) adalah metode pengembangan sistem jaringan komputer yang menggunakan siklus hidup berulang.

NETKEY Merupakan suatu driver yang menerapkan protokol IPSec dalam lingkungan kernel Linux

Nonce Suatu data sekali pakai yang digunakan sebagai salah satu input dalam negosiasi kunci IKE dan IPsec

open source

Open Source dalam konteks software adalah suatu software yang tersedia dalam bentuk source code dimana hak cipta terhadap software itu masih dimiliki oleh pemegang asli dan software bebas untuk didistribusikan, diubah, dan dimanipulasi demi pengembangan.

openSSL Perangkat lunak open source yang menerapkan standar protokol SSL dan TLS dan juga algoritma kriptografi yang dibutuhkan protokol tersebut Overlapping Adanya nilai yang sama yang tumpang tindih.

Overlapping IP address

Nilai alamat IP yang sama sehingga terjadi konflik.

PKI

Dalam kriptografi, Public Key Infrastructure (PKI) adalah suatu mekanisme untuk mengikat suatu identitas dengan suatu kunci publik. Contoh sistem PKI adalah sertifikat X.509

plaintext Pesan yang dapat dibaca sebelum mengalami enkripsi atau sesudah mengalami dekripsi

protokol Dalam jaringan komputer, protokol merupakan suatu tata cara aturan standar agar komputer dapat berkomunikasi dengan benar

public key encryption

Sistem enkripsi yang menggunakan dua tipe kunci yaitu kunci publik dan kunci private

rekeying Proses pembuatan ulang parameter kunci yang digunakan dalam proses kriptografi

remote access IPsec

Sistem remote access VPN yang dibangun dengan tunnel IPsec remote access

VPN

Topologi VPN dimana seorang remote user atau mobile worker atau teleworker membangun tunnel VPN dengan server VPN

remote user Pengguna sumber daya jaringan yang secara fisik berada di luar jaringan repeated

authentication

Suatu autentikasi antara peer IKE secara periodik

RFC Request For Comment (RFC) adalah dokumen yang mengatur standar protokol, saran pengembangan, dan diskusi untuk pengembangan Internet RSA Singkatan dari Rivest-Shamir-Adleman, merupakan algoritma yang dapat

digunakan untuk enkripsi asimetris dan digital signature.

roadwarrior Istilah lain untuk menjelaskan mobile worker atau telecommuter atau remote user dalam konteks VPN

untuk tunnel IPsec seperti parameter algoritma enkripsi, algoritma autentikasi, sequence number, dll.

secure VPN Konsep VPN yang juga menyediakan layanan keamanan data. sertifikat x509 Format sertifikat standar untuk sertifikat kunci publik. server IPsec lihat gateway IPsec

session key Suatu kunci rahasia yang hanya dipakai dalam satu sesi komunikasi

shared secret Suatu nilai atau kunci rahasia yang didapat dari hasil pertukaran kunci IKE. shared state Dalam konteks IPsec, merupakan suatu keadaan yang sama yang dimiliki

antara peer IPsec yang membangun komunikasi VPN simulasi

Peniruan kondisi atau keadaan dari sesuatu hal. Dalam jaringan komputer, simulasi digunakan untuk melakukan peniruan dari kerja jaringan komputer nyata untuk tujuan penelitian atau pengujian

site-to-site VPN Topologi VPN yang menghubungkan dua jaringan LAN diatas suatu media jaringan publik

SSL Secure Socket Layer (SSL) merupakan standar protokol untuk menyediakan layanan keamanan untuk komunikasi data Internet.

strongSwan Perangkat lunak aplikasi open source yang menerapkan standar protokol IKEv2.

symetric key encryption

Sistem enkripsi yang menggunakan kunci rahasia yang sama dalam proses kriptografi

teleworker Pengguna remote access VPN dari rumah

TLS Protokol penerus dari SSL yang menyediakan layanan keamanan untuk komunikasi data Internet.

traffic descriptor

Informasi SA berisi jenis protokol dan nomor port yang diproteksi IPsec. traffic selector Informasi SA berisi subnet jaringan yang ingin diproteksi IPsec

tunneling

Proses enkapsulasi suatu paket kedalam protokol tunneling dengan tujuan agar suatu paket dapat dikirimkan melewati jaringan lain dengan protokol yang berbeda atau bertujuan untuk membuat VPN.

VMware Perangkat lunak untuk virtualisasi sistem operasi dan jaringan komputer VPN Suatu jaringan private diatas jaringan publik yang dibangun menggunakan

mekanisme tunnel.

WAN Jaringan komputer yang terdiri dari jaringan komputer LAN. Internet dapat dikategorikan sebagai suatu WAN.

BAB I

PENDAHULUAN

1.1 Latar Belakang

VPN (Virtual Private Networking) merupakan suatu teknologi untuk membangun jaringan virtual antara komputer melalui media jaringan publik seperti Internet dengan melibatkan teknik tunneling. Penjelasan sederhananya, VPN adalah suatu jaringan komputer private yang dibangun diatas media fisik jaringan publik. Teknik tunneling digunakan untuk melewatkan transmisi data private diatas media jaringan publik sehingga terbentuk suatu jaringan komputer lokal virtual walaupun secara fisik bisa saja terdiri dari komputer dengan lokasi geografis berbeda seperti antar benua. VPN menyediakan solusi dengan biaya lebih murah dibanding pilihan dedicated line ataupun leased-line bagi pihak yang ingin memperluas jaringan infrastruktur komputer.

Terdapat dua skenario umum penggunaan VPN yaitu Site-to-Site dan

Remote Access. Site-to-Site menghubungkan antar jaringan komputer LAN sedangkan Remote Access VPN digunakan antara pengguna remote(jarak jauh) seperti telecoworker (bekerja dari rumah) atau mobile worker (pekerja mobile) dengan suatu jaringan komputer LAN utama dari suatu organisasi.

Salah satu standar teknologi yang dapat digunakan untuk membuat VPN adalah Internet Protocol Security (IPsec) yang bekerja pada level lapisan network. IPsec terdiri dari beberapa protokol yaitu Authentication header (AH),

Encapsulating Security Payload (ESP), dan Internet Key Exchange (IKE). AH dan ESP berfungsi untuk memberikan layanan kriptografi, sedangkan IKE bertugas menangani urusan manajemen parameter Security Association (SA).

Protokol IKEv2 merupakan pengembangan dari protokol IKE (IKEv1) dan ia memiliki banyak kelebihan dibanding versi sebelumnya. Protokol IKEv2 dipilih sebagai topik penelitian karena protokol tersebut masih terbilang baru dan belum secara luas diterapkan. strongSwan merupakan salah satu implementasi perangkat lunak IKEv2 dalam lingkungan sistem operasi Linux dengan lisensi GPL (GNU Public License) sehingga ia bersifat free dan open source.

Penerapan VPN berbasis IPsec dalam skenario Remote Access (disebut pula Remote Access IPsec) memiliki masalah dan kebutuhan yang menghambat penerapannya secara luas. Dari hasil studi literatur, kami berhasil menemukan masalah dan kebutuhan yang bersifat mendasar dan opsional yang berperan penting dalam penerapan remote access VPN berbasis IPsec. Secara garis besar, skripsi ini akan mencoba menentukan masalah dan kebutuhan yang bersifat mendasar dan opsional dalam penerapan remote access VPN berbasis protokol IPsec. Kemudian akan dibuat suatu kriteria kebutuhan sistem sebagai solusi dengan dasar perangkat lunak IKEv2 strongSwan. Berdasarkan kriteria itu, skripsi ini akan membuat suatu sistem remote access IPsec berbasis perangkat lunak IKEv2 strongSwan yang memberikan solusi atas setiap masalah dan kebutuhan itu. Untuk memudahkan pengujian, sistem akan dibuat dalam suatu lingkungan simulasi jaringan menggunakan tool virtualisasi VMware. Suatu desain skenario jaringan akan dibuat untuk mengakomodasi kebutuhan pengujian terhadap sistem Remote Access IPsec berbasis perangkat lunak IKEv2 strongSwan itu. Hasil dari penelitian ini adalah berupa verifikasi terhadap kemampuan sistem Remote Access IPsec berbasis perangkat lunak IKEv2 strongSwan sebagai solusi atas masalah dan kebutuhan remote access IPsec.

1.2 Rumusan Masalah

Rumusan masalah penelitian dibuat dengan mengajukan pertanyaan sebagai berikut :

1) Menemukan masalah-masalah yang ada dalam penerapan sistem Remote Access VPN berbasis IPsec?

2) Bagaimanakah membuat sistem Remote Access IPsec berbasis perangkat lunak IKEv2 strongSwan yang mampu memberikan solusi terhadap masalah yang berhasil ditemukan?

3) Bagaimana merancang skenario jaringan yang dibutuhkan untuk mengakomodasi pengujian sistem dengan tool virtualisasi VMware?

4) Dari hasil pengujian, apakah sistem Remote Access IPsec berbasis perangkat lunak IKEv2 strongSwan yang dibangun mampu berjalan pada setiap skenario jaringan pengujian?

1.3 Batasan Masalah

Batasan masalah dalam skripsi ini dapat dijelaskan dalam pernyataan sebagai berikut:

1) Simulasi jaringan menggunakan tool VMware Workstation.

2) Perangkat lunak IKEv2 yang digunakan adalah strongSwan versi 4.4.0 3) Penelitian hanya dilakukan pada jaringan berbasis IPv4.

4) Skenario VPN adalah Remote Access VPN.

5) Sistem VPN IPsec menggunakan PC dengan sistem operasi Fedora 9 dengan kernel Linux 2.6.24.

6) Implementasi protokol IPsec (IPsec stack protocol driver) yang digunakan dalam sistem operasi Linux adalah NETKEY (native ipsec stack).

7) Protokol kriptografi yang digunakan adalah ESP (AH tidak digunakan).

1.4 Tujuan Penelitian

Penelitian ini bersifat eksploratoris yang bermaksud untuk menjelajahi dan menyelidiki lebih dalam mengenai seluk-beluk mengenai Remote Access VPN berbasis IPsec, permasahan yang ada dalam penerapannya, solusi protokol IKEv2, dan solusi perangkat lunak open source IKEv2 untuk lingkungan Linux.

Tujuan penelitian skripsi dapat dijabarkan dalam pernyataan berikut ini:

1) Menemukan permasalahan yang ada pada penerapan Remote Access VPN berbasis IPsec.

2) Membuat simulasi sistem Remote Access IPsec berbasis perangkat lunak IKEv2 strongSwan.

3) Melakukan pengujian pada simulasi sistem Remote Access IPsec berbasis perangkat lunak IKEv2 strongSwan untuk memverifikasi kemampuan sistem tersebut sebagai solusi atas masalah dan kebutuhan yang ada pada Remote Access VPN berbasis Ipsec.

1.5 Manfaat Penelitian

Dengan adanya penelitian skripsi ini, semoga manfaat-manfaat berikut terpenuhi :

1) Memperluas pemahaman dan wawasan penulis mengenai konsep Remote Access VPN berbasis IPsec terutama mengenai permasalahan yang ada dan bagaimana protokol IKEv2 dapat digunakan sebagai solusi terhadap permasalahan tersebut.

2) Dapat memberikan ulasan dan evaluasi terhadap solusi sistem IPsec dengan perangkat lunak IKEv2 strongSwan.

3) Menambah referensi dalam bidang VPN berbasis IPsec bagi pihak yang berkepentingan.

1.6 Hipotesa

Hipotesa yang digunakan dalam skripsi ini dijelaskan dalam pernyataan berikut :

• Sistem Remote Access IPsec berbasis perangkat lunak IKEv2 strongSwan

mampu digunakan sebagai solusi terhadap masalah dan kebutuhan yang umumnya ada pada skenario Remote Access VPN berbasis IPsec.

1.7 Metodologi Penelitian

Metode penelitian dalam skripsi ini dibagi menjadi dua bagian yaitu : 1) Metode Pengumpulan Data

Metode yang dipakai untuk mendapatkan data dan informasi yang dibutuhkan adalah studi pustaka. Teori serta fakta yang didapatkan melalui studi pustaka digunakan sebagai dasar penunjang kebenaran ilmiah dalam skripsi ini. 2) Metode Pengembangan Sistem

Pengembangan sistem yang digunakan dalam penelitian ini adalah metode pengembangan model NDLC (Network Development Life Cycle) sampai tahap tiga yaitu simulation prototyping. Tahap - tahap siklus pengembangan model NDLC (Network Development Life Cycle), yaitu:

a) Fase Analysis

b) Fase Design

c) Fase Simulation Prototyping

d) Fase Implementation e) Fase Monitoring f) Fase Management

1.8 Sistematika Penulisan

Penulisan skripsi ini dilaksanakan dengan format susunan yang terbagi ke dalam beberapa bab, yang terdiri dari :

BAB I PENDAHULUAN

Dalam bab ini akan diuraikan secara ringkas latar belakang, rumusan dan batasan masalah, tujuan dan manfaat penulisan, hipotesa, metodologi penelitian dan sistematika penulisan.

BAB II TINJAUAN PUSTAKA

Bab ini berisi tinjauan kepustakaan yang membahas mengenai teori-teori VPN, IPsec, Kriptografi, protokol IKEv2, tool virtualisasi VMware, perangkat lunak IKEv2 strongSwan dan openSSL.

BAB III METODOLOGI PENELITIAN

Di dalam bab ini, metodologi penelitian yang digunakan dalam skripsi ini akan diuraikan secara lebih terperinci.

BAB IV ANALISIS DAN PEMBAHASAN

Bab ini akan menyajikan hasil penyelidikan terhadap masalah pada Remote Access VPN berbasis IPsec, menyajikan solusi kebutuhan sistem, membuat desain skenario jaringan, membangun simulasi sistem remote accees IPsec, membahas data-data yang dihasilkan dari proses pengujian.

BAB V PENUTUP

Bab ini merupakan bab terakhir dari skripsi yang menyajikan kesimpulan dan juga saran.

DAFTAR PUSTAKA

BAB II

TINJAUAN PUSTAKA

2.1 Virtual Private Networking

Virtual Private Networking (VPN) merupakan suatu koneksi antar jaringan komputer yang bersifat private dengan menggunakan media jaringan publik seperti Internet sebagai media penghubung fisik. Dengan kata lain, VPN merupakan jaringan private diatas jaringan publik. Penggunaan VPN menjamin keamanan yang tinggi karena koneksi dengan VPN menggunakan mekanisme autentikasi dan enkripsi (Wijaya, 2006:186). Contoh penggunaan VPN adalah

untuk menghubungkan remote client dengan jaringan LAN melalui suatu VPN

server.

Gambar 2.1 Contoh VPN untuk akses secara remote

Suatu jaringan komputer private terdiri atas komputer yang dimiliki oleh

suatu organisasi yang melakukan penyediaan informasi antar komputer di dalam jaringan private tersebut. Informasi yang dikirim antar komputer di dalam jaringan komputer private hanya bisa dilihat oleh pengguna jaringan itu. LAN (Local Area Network) merupakan salah satu tipe jaringan private. Public network

di sisi lain adalah jaringan dimana semua pengguna komputer bisa mengakses jaringan tersebut. Contoh jaringan publik adalah Internet.

Hal yang membedakan antara jaringan private asli dan VPN adalah penggunaan media fisik. Jaringan private yang sebenarnya menggunakan media khusus yang dimiliki secara pribadi dan didedikasikan untuk menghubungkan dua jaringan lokal yang terpisah. Media tersebut didedikasikan hanya untuk suatu jaringan tertentu sehingga tidak ada pihak publik yang memiliki akses terhadap lalu lintas data. Di lain pihak, VPN menggunakan media jaringan publik sebagai media penghubung antara jaringan private. Oleh karena itu, transmisi data yang terjadi dapat dibaca oleh pihak luar.

2.1.1 Tujuan VPN

Suatu perusahaan atau organisasi bisa mempunyai beberapa kantor cabang. Setiap kantor cabang itu bisa memiliki jaringan LAN mereka sendiri. Kebutuhan untuk menghubungkan berbagai jaringan lokal tersebut kemudian muncul. Pada

awalnya, suatu perusahaan bisa menggunakan media leased line untuk

menghubungkan antar kantor cabang tersebut. Akan tetapi, penggunaan leased line adalah suatu solusi yang membutuhkan biaya besar. Jika kantor cabang

tersebut memiliki jarak yang sangat jauh, maka leased line bukan menjadi pilihan

ideal lagi.

Virtual Private Network dibuat agar sumber daya yang terdapat pada suatu

LAN dapat diakses dari berbagai tempat. VPN dibutuhkan oleh remote user yang

harus bisa mengakses sumber daya jaringan LAN kapan saja dan dimana saja. Contoh dari remote user adalah seperti mobile worker dan juga teleworker.

Seorang mobile worker harus bisa mengakses data yang terdapat dalam jaringan

lokal perusahaan sesuai dengan kegiatannya. Untuk dapat mengakses jaringan

mahal. Administrator jaringan terkadang harus mengatur sistem jaringan pada waktu diluar kerja dan akses dapat dilakukan dari rumah kapan saja. Untuk kasus-kasus tersebut, VPN merupakan solusi yang ideal.

VPN dapat dibuat dengan teknik tunneling antara Router pada setiap jaringan lokal menggunakan media jaringan Internet. Dengan menggunakan teknologi VPN maka biaya yang dikeluarkan menjadi lebih rendah dibanding

dengan menggunakan media leased line.

2.1.2 Tunneling

Tunnelling adalah proses enkapsulasi suatu paket kedalam protokol tunneling dengan tujuan agar suatu paket dapat dikirimkan melewati jaringan lain dengan protokol yang berbeda atau untuk menyediakan suatu kanal virtual melewati jaringan publik. Salah satu contoh tunneling adalah menggunakan GRE (Generic Routing Encapsulation). GRE merupakan suatu protokol yang didesain untuk mengenkapsulasi paket IP kedalam paket IP baru. Dengan kata lain, GRE melakukan enkapsulasi paket IP kedalam paket IP lain.

Gambar 2.2 Contoh tunneling dengan GRE

2.1.3 Beberapa Tipe Protokol Tunneling VPN

VPN dibangun dengan menggunakan protokol-protokol tertentu yang menyediakan fungsi khusus masing-masing. Terdapat protokol yang berfungsi untuk membuat suatu tunnel dan juga protokol yang berfungsi menyediakan

IPv4 TCP Data Protokol IPv4 biasa

Protokol IPv4 yang dienkapsulasi Oleh GRE IPv4 TCP Data

IPv4 GRE

Payload Delivery

Header GRE

Format Enkapsulasi GRE Payload

fungsi enkripsi dan autentikasi. Protokol PPTP dan L2TP merupakan protokol yang menyediakan fungsi tunneling tetapi tidak menyediakan fungsi enkripsi. Protokol IPsec merupakan contoh protokol yang mempu menyediakan fungsi

tunneling maupun enripsi dan autentikasi. Tipe VPN yang menggunakan protokol tunneling dan kriptografi untuk menyediakan layanan confidentiality, autentikasi pengirim, dan message integrity biasa pula disebut Secure VPN (http://en.wikipedia.org/ Virtual_private_network).

Protokol-protokol tunneling yang berjalan pada Layer 2 dikenal dengan

nama Data Link Layer Tunneling. PPTP dan L2TP adalah contoh dari protokol

yang berjalan pada Layer 2. Protokol tunneling yang berjalan pada Layer 3

disebut juga dengan Network Layer Tunneling. Selain itu terdapat pula protokol

yang berjalan pada Layer 4 atau Transport Layer yang bisa digunakan untuk

membangun suatu VPN seperti misalnya SSL(Secure Socket Layer).

Berikut adalah beberapa jenis protokol yang digunakan untuk membangun VPN.

• PPTP, Point-to-Point Tunneling Protocol (PPTP) bekerja dengan

menerapkan tunneling pada protokol Point-to-Point (PPP). PPTP

mengenkapsulasi paket data ke dalam protokol IP dan kemudian

dikirimkan ke media jaringan TCP/IP. Di dalam perjalanan, Router yang

menerima paket akan memperlakukan paket itu sebagai paket IP. Oleh karena itu, paket yang awalnya merupakan data PPP dapat dilewatkan melalui jaringan TCP/IP seperti Internet.

• L2TP, L2TP bertindak sebagai protokol data link layer yang digunakan

dipakai seperti Internet. Seperti halnya PPTP, paket L2TP dienkapsulasi dalam paket IP agar dapat dikirimkan melewati jaringan Internet.

• IPsec, IPsec beroperasi pada network layer. IPsec merupakan protokol keamanan standar untuk digunakan dalam komunikasi data pada jaringan Internet.

• SSL/TLS, Secure Socket Layer (SSL) atau Transport Layer Security

(TLS) memungkinkan suatu aplikasi untuk berkomunikasi melintasi jaringan dimana dilakukan pencegahan terhadap aksi yang bisa

membahayakan seperti eavesdropping, tampering, dll. SSL/TLS

menyediakan autentikasi endpoint dan privacy dengan menggunakan

teknologi kriptografi. SSL/TLS dapat digunakan untuk melakukan

tunneling suatu lalu-lintas data khususnya pada aplikasi-aplikasi yang

umum digunakan di Internet seperti web browsing, file transer.

2.1.4 Topologi Jaringan VPN

Topologi jaringan VPN merupakan suatu skema topologi jaringan yang biasa digunakan dalam mengkategorikan suatu komunikasi VPN. Terdapat tiga

desain utama yang digunakan yaitu host-to-host, host-to-network(remote access),

dan network-to-network.

2.1.4.1 Host-to-Host VPN

Host-to-host mungkin merupakan skema yang kurang umum dibanding dua skema lainnya. Ia hanya melibatkan dua host dalam pembangunan

komunikasi VPN. Konfigurasi host-to-host membuat suatu tunnel untuk

Gambar 2.3 Host-to-Host VPN

Contoh penerapan dari skema macam ini adalah suatu remote backup server, redundant server, dll. Kedua host terpisah secara geografis dan terhubung melalui Internet.

2.1.4.2 Site-to-Site VPN

Site-to-site atau juga disebut network-to-network merupakan skema VPN

yang menghubungkan dua jaringan private yang terpisah secara geografis diatas

suatu VPN tunnel. VPN tipe ini umum digunakan ketika jaringan-jaringan LAN(Local Area Network) terpisah secara geografis dihubungkan melalui jaringan Internet sehingga sumber daya yang ada di kedua LAN tersebut dapat digunakan oleh pengguna pada kedua jaringan.

Kebaikan dari VPN network-to-network adalah bahwa pengguna pada

kedua jaringan dapat secara transparan menggunakan sumber daya pada kedua jaringan. VPN Gateway adalah pihak yang bertugas mengurus kebanyakan fungsi VPN.

Untuk menjalankan VPN network-to-network, suatu fungsi tunneling

digunakan antara dua tunnel endpoint (umumnya adalah VPN Gateway atau Router) untuk mengenkapsulasi komunikasi data antara dua jaringan private. Enkapsulasi adalah sangat penting agar kedua jaringan private yang memiliki

Contoh penerapan skema network-to-network adalah koneksi antara dua jaringan kantor cabang yang terpisah secara geografis. Suatu VPN dibuat untuk menghubungkan dua LAN dengan membuat tunnel antara dua VPN Gateway menggunakan media jaringan publik Internet.

Gambar 2.4 Site-to-Site VPN

2.1.4.3 Remote Access VPN

Remote Access VPN merupakan skema VPN yang menghubungkan suatu host kepada suatu jaringan private melalui jaringan Internet. Jenis VPN ini digunakan oleh pegawai perusahaan yang ingin terhubung ke jaringan khusus perusahaannya dari berbagai lokasi yang jauh (remote) dari perusahaannya, untuk beberapa situasi, remote clients mungkin memiliki akses langsung ke jaringan seperti Internet.

Contoh penerapan skema ini adalah ketika suatu pekerja yang bersifat

remote berhubungan dengan jaringan LAN perusahaan yang bersifat private. Pembangunan koneksi VPN yang terjadi adalah antara remote client dengan

Server VPN yang menjembatani LAN melalui Internet. Remote client

pertama-tama menginisiasi suatu request kepada Gateway untuk membuat VPN tunnel.

Remote client kemudian dapat mengakses sumber daya yang ada pada jaringan

Gambar 2.5 Remote Acces VPN

2.2 Kriptografi

Kriptografi merupakan suatu ilmu yang mempelajari tentang

penyembunyian informasi dengan penggunaan suatu secret key. Di masa modern,

kriptografi dapat dilihat sebagai perpaduan matematika dan ilmu komputer.

2.2.1 Kriptografi Simetris

Kriptografi simetris adalah suatu bentuk kriptografi dimana suatu

pengguna berbagi kunci rahasia (shared secret key) yang sama.

2.2.1.1 Enkripsi Simetris

Enkripsi simetris adalah enkripsi dimana kunci yang digunakan dalam proses enkripsi dan dekripsi adalah sama. Contoh dari enkripsi simetris adalah DES (Data Encryption Standard) dan AES (Advance Encryption Standard).

2.2.1.2 Hashed Message Authentication Code

Message Authentication Code (MAC) merupakan suatu fungsi kriptografi yang digunakan untuk melakukan autentikasi terhadap suatu pesan. Suatu

algoritma MAC menerima input berupa secret key dan pesan berukuran tertentu,

dan kemudian menghasilkan output nilai MAC.

HMAC (Hashed Message Authentication Code) merupakan salah satu tipe

MAC yang memiliki algoritma tersendiri dimana kalkulasi nilai output melibatkan

HMAC dapat digunakan untuk melakukan verifikasi integrity dan authenticity

pesan. HMAC digunakan dalam sistem VPN berbasis IPsec. Berbagai algoritma hash seperti MD5 atau SHA1 dapat dipakai dalam kalkulasi HMAC. Contoh HMAC yang umum dipakai adalah HMAC-SHA1 dan HMAC-MD5 untuk IPsec.

2.2.2 Kriptografi Kunci Publik

Kriptografi Kunci-Publik atau disebut pula kriptografi asimetris, adalah suatu bentuk kriptografi dimana suatu pengguna memiliki sepasang kunci kriptografi yaitu kunci private dan kunci publik. Kunci private tersimpan secara rahasia, sedangkan kunci publik bisa didistribusikan secara luas.

2.2.2.1 Enkripsi Asimetris

Sistem enkripsi dengan menggunakan symetric key memiliki masalah yang

bisa membahayakan keamanan informasi. Masalah itu diantaranya adalah

kebutuhan manajemen terhadap key. Setiap pihak yang berkepentingan terhadap

aktivitas enkripsi membutuhkan key yang sama untuk melakukan proses enkripsi

dan dekripsi. Oleh karena itu, dibutuhkan suatu cara agar kunci dapat disebarkan secara aman kepada pihak tertentu saja. Disinilah masalahnya, jika sejak awal komunikasi data Internet adalah aman, maka tidak dibutuhkan adanya kriptografi. Ketika jumlah key bertambah, kebutuhan akan key management juga menjadi semakin kompleks. Contoh enkripsi asimetris adalah RSA (Rivest-Shamir-Adleman).

Suatu solusi dikembangkan dengan gagasan agar membuat dua buah kunci

(key) yang akan berperan dalam enkripsi dan dekripsi. Dua buah kunci tersebut

adalah berbeda tetapi secara matematika saling bersesuaian satu sama lain. Berbeda dengan sistem enkripsi symetric, salah satu kunci digunakan dalam

mekanisme one-way function untuk menghasilkan ciphertext. Sedangkan kunci yang lain digunakan untuk melakukan kebalikan dari one-way function untuk

mendapatkan plaintext. Oleh karena itu, sistem ini disebut dengan asymetric key.

Konsep enkripsi asimetris dengan penggunaan dua macam kunci ini disebut juga

public key encryption.

Sistem public key diajukan dalam bentuk proposal pertama kali oleh

Whitfield Diffie dan Martin Hellman pada tahun 1976. Pada sistem public key,

terdapat dua key yang secara matematika saling berhubungan. Kunci-kunci itu adalah public key dan private key. Private key bersifat rahasia dan hanya pemiliknya yang mengetahui.

Sistem jenis ini memiliki sifat khusus dimana kunci yang berbeda digunakan dalam enkripsi dan dekripsi dan jika misal diberikan suatu kunci enkripsi, maka akan sangat tidak mungkin untuk mendapatkan kunci yang sesuai

untuk dekripsi (Tanenbaum, 2001:588).

Gambar 2.6 Enkripsi Asimetris

2.2.2.2 Diffie-Hellman Key Exchange

Diffie-Hellman (D-H) Key Exchange merupakan suatu protokol kriptografi yang memungkinkan dua pihak yang tidak memiliki pengetahuan satu sama lain

sebelumnya untuk secara bersama membuat suatu shared secret key (kunci rahasia

telah berhasil dibuat itu kemudian dapat digunakan untuk melindungi komunikasi

data selanjutnya dengan menggunakan enkripsi simetris dengan shared secret key.

Gambar 2.7 Pembuatan Kunci Diffie-Hellman

Langkah pertama dalam negosiasi DH adalah kedua node memilih grup DH yang sama. Grup DH digunakan sebagai patokan pembuatan nilai publik dan private DH. Kemudian langkah kedua, kedua node mempertukarkan Nilai publik DH masing-masing. Langkah ketiga seperti contoh gambar diatas, Node A mengkombinasikan nilai publik B yang diterima dengan nilai private A begitu

pula sebaliknya dengan node B. Hasil proses tersebut adalah shared secret yang

hanya diketahui kedua node.

2.2.2.3 Digital Signature

Digital Signature adalah suatu signature elektronis yang bisa digunakan untuk menandatangani data atau pesan yang dikirimkan melalui jaringan komputer. Fungsi Digital signature adalah untuk memvalidasi identitas dari pengirim data dan memastikan bahwa data tidak berubah di perjalanan.

Digital signature dikembangkan berdasarkan konsep kriptografi kunci publik. Untuk menerapkan digital signature, dibutuhkan adanya sertifikat digital pengirim dan sepasang kunci yang dikeluarkan oleh Certificate Authority. Digital

signature dilakukan dengan melakukan suatu fungsi matematika hash terhadap suatu dokumen, yang kemudian dienkripsi dengan kunci private pengirim. Hasilnya adalah suatu signature yang kemudian ditempelkan ke dokumen tersebut. Penerima melakukan fungsi hash yang sama terhadap dokumen itu dengan kunci publik pengirim. Jika nilai hashnya adalah sama, itu berarti bahwa dokumen tersebut benar dikirimkan oleh pengirimnya tanpa mengalami modifikasi. Contoh Digital Signature adalah Digital Signature Algorithm (DSA).

2.3 IPsec Protocol Suite

IPsec (IP security) adalah suatu kumpulan protokol-protokol yang didesain

oleh Internet Engineering Task Force (IETF) untuk menyediakan keamanan

untuk paket pada level network(Forouzan, 2007:996). Standar IPsec umum digunakan dalam VPN untuk site-to-site VPN maupun remote access VPN).

Secara garis besar, IPsec terdiri atas tiga protokol utama yaitu; AH (Authentication Header), ESP (Encapsulating Security Payload), dan IKE (Internet Key Exchange).

IP Security (IPSec) menyediakan confidentiality, data integrity, dan

autentikasi terhadap Paket IP. Layanan ini disediakan dengan membuat dan memelihara suatu shared state antara host atau peer IPsec. Keadaan (state) itu disebut security association (SA). SA mendefinisikan hal-hal seperti layanan spesifik untuk paket data, algoritma kriptografi yang akan digunakan, dan kunci-kunci yang digunakan sebagai input bagi algoritma kriptografi.

2.3.1 Arsitektur IPsec

Arsitektur IPsec memiliki komponen-komponen sebagai berikut:

• IKE

• Security Association Database (SAD)

• Security Policy Database (SPD)

• AH dan atau ESP

Gambar 2.8 Komponen Arsitektur IPsec

2.3.2 Protokol Pembentuk IPsec

Protokol-protokol yang membentuk IPsec adalah protokol ESP untuk layanan kriptografi dan protokol IKE untuk manajemen SA.

2.3.2.1 ESP (Encapsulating Security Payload)

Protokol Encapsulating Security Payload (ESP) menyediakan

perlindungan autentikasi, data integrity, dan antireplay dengan ditambah juga fungsi confidentiality. ESP juga menyediakan perlindungan terbatas terhadap

traffic analysis dalam mode tunnel. ESP adalah protokol yang mampu

memberikan layanan autentikasi dan juga layanan confidentiality.

Secara garis besar paket ESP terdiri dari empat bagian, yaitu : 1. ESP header, yang berisi field SPI dan sequence number.

2. Payload, yang berisi field IV(Initialization Vector) dan payload data.

3. ESP trailer, berisi field padding, pad length, next header.

4. ESP authentication data, yang berisi Integrity Check Value (ICV).

Gambar 2.9 Format Header ESP (RFC 4303)

ESP menggunakan SPI dan destination address untuk mengidentifikasi SA

yang diterapkan. Selain itu, ESP juga menggunakan fungsi sequence number

untuk menyediakan perlindungan antireplay.

Block cipher menentukan bahwa padding harus dilakukan untuk mencapai

ukuran blok tertentu. Padding akan diletakkan setelah payload data pada padding

field. Sebagai contoh, next header field harus disejajarkan dengan pembatas

ukuran 4-byte.Adalah mungkin untuk menambahkan nomor acak pada padding

bytes untuk menyembunyikan panjang dari payload data.Padding dengan ukuran

0 sampai 255 byte ditambahkan pada payload data. Panjang dari padding adalah

terdapat pada pad length field.

Next header field menunjukkan tipe data apa yang terdapat pada IV dan

payload data field.Integrity Check Value field berisi Authentication data nilai

untuk paket ESP. ICV harus dimulai dengan pembatas 4-byte dan harus berupa

2.3.2.2 IKE

Internet Protocol Security (IPsec) menyediakan confidentiality, data integrity, kontrol akses, dan autentikasi bagi paket IP. Layanan IPSec ini

disediakan dengan memelihara suatu shared state(keadaan berbagi/bersama)

antara peer yang terlibat. Shared state ini terdiri dari berbagai informasi yang mendefinisikan hal-hal seperti algoritma enkripsi yang digunakan, kunci

kriptografi, dll. Informasi yang dikandung dalam keadaan bersama(shared state)

dikenal dengan sebutan security assocation(SA). Proses pembuatan SA secara manual kadang akan menjadi tugas yang memberatkan. Oleh karena itu, suatu proses otomatis yang akan menangani SA menjadi suatu kebutuhan penting.

Protokol Internet Key Exchange (IKE) ada untuk menjawab kebutuhan itu.

Internet Key Exchange (IKE) adalah suatu protokol untuk membangun,

menegosiasikan, memodifikasi, dan menghapus Security Association (SA) pada

host yang menjalankan layanan IPsec. SA mengandung informasi yang dibutuhkan untuk membangun hubungan yang aman antara dua host IPsec berdasarkan pada aturan yang telah disetujui bersama. IKE didasarkan pada

protokol ISAKMP (Internet Security Association and Key Management).

Pertukaran kunci(key exchage) pada IKE berdasar kepada protokol Diffie-Hellman cryptographic key exchange. Protokol IKE(IKE versi 1) didefinisikan

dalam RFC(Request For Comment) 2407, 2408, dan 2409.

Terdapat dua fase dalam IKE. Pada fase pertama(Phase 1), IKE menegosiasikan SA untuk mendapatkan parameter-parameter kriptografi yang akan digunakan dalam proses fase kedua. SA yang didapatkan pada fase pertama

disebut juga ISAKMP SA. Fase kedua(Phase 2) merupakan proses negosiasi SA untuk mendapatkan parameter untuk protokol IPsec ESP atau AH. SA yang

didapatkan pada fase kedua disebut juga IPsec SA.

Terdapat dua pilihan mode untuk membangun SA fase pertama.

Mode-mode tersebut adalah Main Mode dan Aggressive Mode. Aggressive Mode adalah

lebih cepat tetapi ia tidak menyediakan perlindungan identitas sedangkan Main

Mode menyediakan perlindungan terhadap identitas. Pada fase kedua, terdapat

Quick Mode yang digunakan untuk membangun SA untuk protokol IPsec yang akan digunakan.

2.3.3 Mode Enkapsulasi

Protokol Authentication Header (AH) dan Encapsulating Security

Payload (ESP) dapat digunakan dalam dua mode operasi yaitu mode transport dan mode tunnel. Gambar berikut menjelaskan secara ringkas enkapsulasi yang terjadi dalam kedua mode tersebut pada protokol AH dan ESP.

2.3.3.1 Mode Transport

Mode transport digunakan untuk mengamankan komunikasi antara dua

host tetap. Istilah transport mode muncul dari fakta bahwa VPN mode transport

melindungi data pada layer transport. Mode transport melindungi data protokol

yang terletak setelah IP header dalam suatu paket IP.

Gambar 2.10 Enkapsulasi pada mode transport

2.3.3.2 Mode Tunnel

Mode tunnel digunakan untuk membuat VPN antara dua network atau antara suatu host dengan network.

Gambar 2.11 Enkapsulasi pada mode tunnel

Mode tunnel Seperti terlihat pada gambar diatas, terdapat dua IP header

yaitu outer IP header dan inner IP header. Outer IP header berisi source dan

destination address dari gateway. Sedangkan inner IP header berisi alamat dari

final destination address. Adanya dua IP header adalah hal yang membedakan

antara mode transport dan mode tunnel.

2.3.4 Security Association

Agar dapat beroperasi, IPsec membutuhkan beberapa nilai pada beberapa

parameter keamanannya. Host-host yang berkomunikasi dalam VPN akan saling

berbagi suatu keadaan dan parameter yang sama yang terlebih dahulu dinegosiasikan sebelum membangun suatu sesi VPN. Pembuatan parameter

keamanan dalam IPsec dilakukan melalui suatu mekanisme yang disebut security

association (SA) (Forouzan, 2007:1002). Keadaan dan parameter dalam security association mencakup hal-hal seperti algoritma enkripsi, algoritma autentikasi, sequence number, dll.

SA mengontrol lalu-lintas data dari protokol-protokol keamanan secara satu arah. Sebagai gambaran, satu SA dapat mengontrol lalu lintas data protokol

ESP dari host A ke host B, tetapi dibutuhkan SA lain untuk mengontrol traffic

dari arah sebaliknya. Sepasang SA dibutuhkan untuk setiap protokol yang digunakan, satu untuk input dan satu untuk output. Jika suatu sesi VPN

menggunakan protokol ESP, maka setiap endpoint akan menggunakan dua SA.

bersangkutan. IPsec menyimpan data mengenai SA dalam suatu basis data yang

disebut SAD (Security Association Database).

Parameter-parameter SA dinegosiasikan dengan menggunakan protokol IKE(Internet Key Exchange). Akan tetapi, SA juga dapat dibuat dengan menggunakan manual keying. Kekurangan yang terdapat pada teknik manual keying adalah bahwa teknik ini tidak efisien dalam skala besar dan tidak menegosiasikan kunci baru jika kunci sudah kadaluarsa(expired) .

2.3.5 Security Databases

IPSec mengandung dua database nominal yaitu Security Policy Database

(SPD) dan Security Association Database (SAD) (Burnett, 2004:220). SPD

menspesifikasikan policy (kebijakan) yang menentukan pengaturan seluruh

lalulintas/traffic IP, baik inbound maupun outbound. Sedangkan SAD

mengandung parameter yang dihubungkan dengan security association yang

sedang aktif.

2.4 NAT

Dalam jaringan komputer, Network Address Translation (NAT) adalah teknik untuk mengirimkan lalulintas data jaringan melalui router yang melibatkan proses penulisan ulang alamat IP dan juga nomor port TCP/UDP (http://en.wikipedia.org/Network_address_translation). Secara esensial, NAT

adalah translasi dari satu alamat IP ke jaringan IP yang berbeda(Tulloch, 2000).

Setiap host pada jaringan Internet harus memiliki satu alamat IP publik yang unik. Alasannya adalah agar host tersebut dapat diidentifikasi dan dapat berkomunikasi ke dan dari komputer lain di Internet. ISP (Internet Service Provider) kadang hanya memberikan satu alamat IP publik kepada pelanggannya,

sedangkan pelanggan tersebut kadang ingin menghubungkan lebih dari satu komputer ke Internet. Solusi yang paling umum digunakan untuk mengatasi masalah ini adalah NAT (Network Address Translation).

Gambar 2.12 Network Address Translation

Terdapat satu kekurangan atau bisa pula disebut sebagai keuntungan dalam NAT tergantung dari penilaian dari sisi yang berbeda. Host dari Internet tidak dapat menjangkau komputer di belakang router/NAT yang berada di jaringan lokal karena memiliki alamat IP private. Karena Internet tidak dapat menjangkau secara langsung host yang berada di belakang NAT, sehingga NAT akan sedikit memberikan perlindungan akses terhadap host pada jaringan lokal. Perlindungan ini bekerja mirip seperti firewall, dan oleh karenanya banyak pihak yang mengkombinasikan NAT dan firewall dalam satu alat.

Karena terbatasnya jumlah alamat IP dalam sistem IPv4, maka NAT banyak digunakan untuk mengatasi masalah kekurangan alamat IPv4 tersebut. NAT telah menjadi fitur standar dalam alat-alat seperti router untuk penggunaan home office. Biaya untuk mendapatkan alamat IP publik tambahan umumnya tidak sebanding dengan keuntungan yang didapat. Karena itu penggunaan NAT menjadi sebuah pilihan yang ideal.

7 yang bersifat open source dan free untuk lingkungan sistem operasi Linux berbasis kernel 2.4 dan 2.6. Ia merupakan turunan dari proyek FreeS/WAN. strongSwan menerapkan IPsec melalui daemon IKEv2 bernama charon dan layanan IPsec stack

berbasis kernel linux NETKEY. NETKEY merupakan implementasi IPsec native pada kernel Linux 2.6.

Proyek strongSwan memiliki fokus terhadap mekanisme autentikasi yang kuat dengan menggunakan sertifikat kunci publik X.509 dan penyimpanan private key dalam suatu smartcard melalui antarmuka standar PKCS#11. Salah satu fitur unggulan yang dimiliki strongSwan adalah penggunaan atribut sertifikat X.509 untuk menerapkan skema advanced access control berbasis pada keanggotaan grup. Proyek pengembangan strongSwan disponsori oleh University of Applied Sciences Rapperswil, Astaro (sebuah perusahaan yang menawarkan solusi keamanan TI), dan StrongSec GmbH.

StrongSwan yang digunakan dalam skripsi ini merupakan versi 4.4.0 yang secara penuh telah mengimplementasikan standar protokol IKEv2 dalam RFC4306.

4.

Simulasi

Sistem

dan

Pengujian

Untuk melaksanakan simulasi dan pengujian sistem kami menerapkan langkah-langkah sebagai berikut.

1. Pembuatan Simulasi Jaringan Internet.

2. Penerapan Perangkat Lunak. 3. Pengujian Sistem.

4.

Evaluasi.

4.1.

Pembuatan

Simulasi Jaringan Internet

Pada tahapan untuk membuat simulasi jaringan Internet, pertama kami melakukan instalasi VMware Workstation sebagai tool virtualisasi sistem operasi dan jaringan komputer.

Gambar 1: Tampilan VMware Workstation

Selanjutnya kami membuat virtual machine yang berperan sebagai sistem IPsec dengan sistem operasi Fedora 9 dan melakukan konfigurasi jaringan virtual menggunakan VMware VMnet.

Gambar 2: RancanganVirtual Machine dengan VMware Workstation

4.2.

Penerapan

Perangkat Lunak

Perangkat lunak yang digunakan dalam sistem remote access IPsec ini adalah openSSL dan strongSwan. openSSL digunakan sebagai tool untuk membuat sertifikat X.509 berbasis signature ECDSA. strongSwan digunakan sebagai perangkat lunak yang menyediakan layanan IKEv2 untuk pembangunan sistem VPN IPsec.

4.3.

Pengujian Sistem

Sistem remote access IPsec berbasis perangkat lunak IKEv2 strongSwan dibuat sebagai solusi atas

HOST OS

GUEST OS GUEST OS GUEST OS

GUEST OS

A GW1 GW2

B

VMNET1 VMNET2 VMNET3

= Host ethernet adapter = Guest ethernet adapter

8 masalah dan kebutuhan remote acces VPN berbasis IPsec sesuai dengan uraian masalah pada bagian sebelumnya. Untuk setiap masalah dan kebutuhan remote access IPsec, diberikan suatu solusi baik berupa standar protokol maupun konfigurasi yang semuanya berlandaskan perangkat lunak IKEv2 strongSwan. Simulasi sistem yang telah dibuat kemudian diuji pada suatu desain skenario jaringan yang dirancang khusus untuk setiap masalah.

Tabel 1: Masalah, solusi, dan skenario pengujian untuk masalah remote

access IPsec

N o

Masalah yang dihadapi

Solusi yang diberikan

Skenario Pengujian

1 Kebutuhan

algoritma kriptografi yang kuat

Algoritma kriptografi suite B

Skenario Algoritma Suite B

2 Pengulangan

autentikasi

repeated authenticati on

Skenario Repeated Authenticati on

3 Ketidakcocok

an NAT-IPsec NAT Traversal

Skenario NAT Traversal

4 Alamat Klien

IPsec yang overlapping

Virtual IP Skenario

Virtual IP

5 NAT

Traversal Mode Transport

Tunnel Mode policy

Skenario Dua Roadwarrior Tunnel Mode

6 Peer IPsec

yang mobile dan multihoming

MOBIKE Skenario

MOBIKE

Perangkat lunak IKEv2 strongSwan mendukung fitur dan standar protokol sesuai solusi yang diberikan. Berikut adalah tabel perbandingan beberapa implementasi perangkat lunak IKEv2 sesuai kriteria solusi.

Tabel 2: Perbandingan perangkat lunak IKEv2 sesuai kriteria solusi

4.3.1. Skenario Algoritma Suite

B

Pengujian Algoritma Kriptografi bertujuan untuk menguji kemampuan dukungan terhadap algoritma kripografi Suite B sesuai RFC 4869. GW1 bertindak sebagai initiator dan GW2 sebagai responder.

Gambar 3: Skema Pengujian Algoritma Suite B

Pada skenario ini, empat macam cryptographic user interface suites (UI Suites) akan diuji yaitu

Suite-B-GCM-128, Suite-B-GCM-256,

Suite-B-GMAC-128, dan

Suite-B-GMAC-256.

4.3.2. Skenario Repeated

Authentication

Pengujian Repeated

Authentication bertujuan untuk menguji kemampuan autentikasi ulang dalam satu kurun waktu yang telah ditentukan sesuai dengan RFC 4478. GW1 bertindak sebagai initiator dan GW2 sebagai responder.

.1

GW1 GW2

.2 192.168.0.0/24

9 Gambar 4: Skema Pengujian Repeated

Authentication

Pada skenario ini, initiator GW2 menetapkan lifetime IKE sebesar 60 menit dan responder GW1 menetapkan lifetime IKE sebesar 30 detik. Proses re-autentikasi akan dilakukan sesuai dengan ketetapan waktu yang lebih kecil.

4.3.3. Skenario NAT Traversal

Pengujian NAT Traversal

bertujuan untuk menguji kemampuan NAT Traversal antara suatu host

remote dibelakang NAT dengan suatu gateway/server IPsec dibelakang NAT pula.

Gambar 5: Skema Pengujian NAT Traversal

Ini merupakan skenario kasus yang umum dimana host remote

dibelakang NAT ingin berkomunikasi secara aman dengan satu gateway IPsec. Karena alasan tertentu, kebijakan sistem adalah untuk menerapkan fungsi NAT terhadap gateway/server IPsec. Mekanisme source NAT diterapkan pada host IPsec A sedangkan mekanisme destination NAT diterapkan pada Server IPsec B.

4.3.4. Skenario Virtual IP

Pengujian Virtual IP bertujuan untuk menguji kemampuan membangun suatu komunikasi VPN berbasis IPsec antara pengguna yang bersifat remote atau roadwarrior yang berada dibelakang subnet yang berbeda tetapi beralamat IP yang sama, dengan sebuah gateway/server IPsec.

Gambar 6: Skema Pengujian Virtual IP

Skenario jaringan ini akan digunakan untuk menguji masalah konflik overlapping private IP Address

pada NAT Traversal mode operasi tunnel. Host IPsec A dan Z akan membangun tunnel IPsec kepada Server IPsec GW2. NAT-Traversal (enkapsulasi UDP) akan digunakan dalam proses pembangunan tunnel IPsec. Virtual IP melalui configuration payload akan digunakan untuk mengatasi masalah overlapping private IP Address. Mekanisme source NAT diterapkan pada host IPsec A dan Z.

4.3.5. Skenario Dua

Roadwarrior Tunnel Mode

Pengujian Dua Roadwarrior Same NAT Tunnel Mode bertujuan untuk menguji kemampuan membangun suatu komunikasi VPN berbasis IPsec antara dua pengguna yang bersifat remote atau roadwarrior

yang berada dibelakang sebuah NAT dengan sebuah gateway/server IPsec. Tunnel IPsec yang akan dibangun disetting untuk berjalan pada mode operasi tunnel.

10.1.0.0/24 .1

10.2.0.0/24

.10 .1

GW1 GW2

.2 .1 192.168.0.0/2

4

A B

NAT VPN

server

LAN 1 LAN 2

Tunnel VPN

Z .10

Tunnel VPN

LAN 3

GW3 NAT .1 .3

.10 10.1.0.0/24

10.1.0.0/24 .1

10.2.0.0/24

.10 .1

GW1 GW2

.2 .1 192.168.0.0/2

4

A B

NAT VPN

LAN 1 LAN 2

Tunnel VPN

NAT .10 .1

GW1 GW2

.2 192.168.0.0/24

10 Gambar 7: Skema Pengujian Dua

Roadwarrior Tunnel Mode Skenario jaringan ini akan digunakan untuk menguji masalah konflik pada NAT Traversal mode operasi transport. Host IPsec A dan Z akan membangun tunnel IPsec kepada Server IPsec GW2. NAT-Traversal (enkapsulasi UDP) akan digunakan dalam proses pembangunan tunnel IPsec. Mode operasi tunnel akan meng-override setting konfigurasi mode transport. Mekanisme source NAT diterapkan pada host IPsec A dan Z.

4.3.6. Kebutuhan peer IPsec

yang mobile dan

multihoming

Pengujian MOBIKE bertujuan untuk menguji kemampuan MOBIKE antara satu pengguna yang bersifat

remote atau disebut juga roadwarrior yang bersifat multihomed (terhubung ke beberapa jaringan).

Gambar 8: Skema Pengujian MOBIKE

Dalam skenario ini, pertama-tama, Host A akan membangun tunnel IPsec dengan GW2 dengan interface IP 192.168.0.100. Kemudian, beberapa saat kemudian interface IP tersebut down sehingga klien A hanya terhubung ke jaringan ke LAN1 dengan interface IP 10.1.0.10. Sesuai dengan protokol MOBIKE, suatu

pesan notifikasi

UPDATE_SA_ADDRESSES akan dikirimkan ke Server GW2 melalui route path yang ada untuk memperbaharui alamat IP Security Association. Koneksi IPsec yang telah dibangun dapat tetap dipertahankan dan tak perlu membuat ulang tunnel IPsec(IKE SA) baru.

4.4.

Evaluasi

Hasil dari pengujian simulasi sistem Remote Access IPsec berbasis perangkat lunak IKEv2 strongSwan dapat dilihat melalui tabel berikut.

Tabel 3: Hasil Pengujian Sistem

No Pengujia Hasil

Suite-B-gcm-128

Berhasil

Suite-B-gcm-256

Berhasil

Suite-B-gmac-128

Tidak Berhasil 1

Algoritma Suite B

Suite-B-gmac-256

Tidak Berhasil 2 Repeated Authentication Berhasil

3 NAT Traversal Berhasil

4 Virtual IP Berhasil

5 Dua Roadwarrior Tunnel Mode

Berhasil

6 MOBIKE Berhasil

5.

Kesimpulan

Berikut adalah hasil kesimpulan yang penulis dapatkan dalam proses penelitian skripsi ini : 1. Terdapat masalah-masalah yang berhasil ditemukan untuk penerapan Remote Access VPN berbasis IPsec seperti masalah kebutuhan algoritma

A 10.1.0.0/24

10.2.0.0/24 .1

GW1 GW2

.2 .1 192.168.0.0/2

4

B

NAT VPN

server

LAN 1 LAN 2

Tunnel VPN

.10 .1

.100 .1 10.1.0.0/24

.1 .10

GW1 GW2

.2 .1 192.168.0.0/24

A

NAT VPN

server LAN 1

Tunnel VPN

B

.20

11 kriptografi yang kuat, kebutuhan pengulangan autentikasi, masalah ketidakcocokan Network Address Translator (NAT) dan IPsec, masalah konflik alamat klien IPsec yang overlapping, masalah NAT Traversal mode transport, masalah kebutuhan peer IPsec yang mobile dan multihoming.

2. Sistem Remote Access IPsec berbasis perangkat lunak IKEv2 strongSwan dapat digunakan sebagai alternatif sistem yang open source, berbiaya murah, dan mampu memberikan solusi terhadap permasalahan Remote Access VPN berbasis IPsec.

3. Tool virtualisasi VMware dapat digunakan untuk membuat simulasi jaringan komputer sesuai dengan desain skenario jaringan pengujian. 4. Hasil pengujian sistem menunjukkan bahwa sistem Remote Access IPsec berbasis perangkat lunak IKEv2 strongSwan secara umum mampu berjalan pada setiap skenario jaringan pengujian.

Berikut adalah saran-saran untuk proses penelitian lebih lanjut mengenai sistem Remote Access IPsec berbasis protokol IKEv2 dengan perangkat lunak strongSwan :

1. Melakukan simulasi penerapan sistem autentikasi IPsec Extensible Authentication Protocol (EAP) dalam IKEv2.

2. Melakukan simulasi pengujian interoperabilitas antara Sistem Linux sebagai IPsec server dan klien berbasis sistem operasi Windows dalam kerangka protokol IKEv2. Mengingat bahwa implementasi perangkat lunak IKEv2 pada lingkungan Windows masih terbilang baru, maka topik ini akan sangat menantang.

3. Mengimplementasikan perangkat lunak IKEv2 Strongswan dalam suatu lingkungan sistem jaringan yang menawarkan redundancy seperti misalnya konsep IPsec failover and redundancy atau high cluster IPsec server.

4. Melakukan manajemen terhadap Remote Addres Virtual IP menggunakan suatu database berbasis SQL.

Referensi

Burnett, Steve, Stephen Paine, RSA Security's Official Guide to Cryptography, California: McGraw-Hill/Osborne, 2004

Forouzan, Behrouz A., Data

Communications and Networking Third Edition, NY: McGraw-Hill, 2003

Harrell, Charles, Biman K Ghosh, Royce O. Bowden Jr., Simulation Using Promodel Second Edition, NY:McGraw-Hill, 2004

Nasuhi, Hamid, Ropi Ismatu, dkk. Pedoman Penulisan Karya Ilmiah Skripsi, Tesis dan Disertasi. Jakarta: CeQDA, 2007.

Pandia, Henry. Teknologi Informasi dan Komunikasi. Jilid I, II dan III. Jakarta: Erlangga, 2007.

Rawles, Philip T., James E. Goldman, Applied Data Communications: A Business-Oriented Approach, 2001 ISBN 0-471-37161-0

Sunyoto, Aris Wendy, VPN Sebuah Konsep, Teori dan Implementasi, BukuWeb Networking, 2008

Tanenbaum, Andrew S., Modern Operating Systems Second Edition, NJ: Prentice-Hall, 2001

Tulloch, Mitch, Microsoft

Encyclopedia of Networking eBook, Microsoft Press, 2000

Wijaya, Ir. Hendra, Cisco ADSL Router, PIX Firewall, dan VPN, Jakarta:PT Elex Media Komputindo, 2006

Joel M Snyder, IPsec and SSL VPNs: Solving remote access problems, http://searchsecurity.techtarget.com/s earchSecurity/downloads/Snyder.VP

12 N.ORIGINAL.ppt, diakses 30 Juli 2010 15:24WIB

Scott Kelly, IPsec Remote Access Requirements, IPsec Remote Access

Working Group 49th IETF,

http://www.vpnc.org/ietf-ipsra/ietf49-requirements.ppt, diakses 30 Juli 2010 15:24WIB

White Paper: Remote Access VPN

and IPSec , NCP Secure

Communication, April 2001,

http://www.symtrex.com/pdfdocs/wp _ipsec.pdf, diakses 30 Juli 2010 15:24WIB

White Paper: Virtual Private Networks Solutions for Remote Access, Comparison of IPSEC and SSL, 2004 Schlumberger Information

Solutions, Houston,

Texas.http://www.slb.com/media/serv ices/consulting/infrastructure/whitepa per_vpnsra.pdf, diakses 30 Juli 2010 15:24WIB

Special Publication 800-57,

Recommendation for Key

Management , National Institute of Standards and Technology, 2007 Internet Key Exchange (IKE) protocol vulnerability risks, Ari Muittari, Master's thesis seminar

18.5.2004, HUT, Networking

Laboratory

IPSec/IKE Protocol Hacking

ToorCon 2K2 – San Diego CA, Anton Rager Sr. Avaya Security Consulting

“IPsec and NAT-T: Finally in harmony?”, Steve Riley, Microsoft Tech Ed. 03 10th anniversary

NAT Traversal for IPsec, Research Seminar on Data communications Software HIIT, 09.11.2005

Comparison and Analysis of IP and

IKEv2 Mobility Extensions,

Chandani Haresh,

HelsinkiUniversityof Technology C. Kaufman, “Internet Key Exchange (IKEv2) Protocol”, RFC 4306, December 2005

L. Law and J. Solinas, “Suite B Cryptographic Suites for IPsec”, RFC 4869, May 2007.

Y. Nir, “Repeated Authentication in Internet Key Exchange (IKEv2) Protocol”, RFC 4478, April 2006

B. Aboba, W. Dixon , “IPsec-Network Address Translation (NAT) Compatibility Requirements”, RFC 3715, March 2004

T. Kivinen , B. Swander , A. Huttunen, V. Volpe , “Negotiation of NAT-Traversal in the IKE” , RFC 3947, January 2005

A. Huttunen, B. Swander , V. Volpe , L. DiBurro , M. Stenberg , “UDP Encapsulation of IPsec ESP Packets” , RFC 3948, January 2005

P. Erone , “IKEv2 Mobility and Multihoming Protocol (MOBIKE)”, RFC 4555, June 2006. .