HMAC-SHA-256-128 atau HMAC-SHA-384-192, algoritma key exchange DH dengan grup ecp elliptic curve prime 128 atau 256 bit, dan algoritma digital
signature ECDSA Elliptic Curve Digital Signature Algorithm 256 atau 384 bit.
4.1.2.2 Repeated Authentication untuk IKEv2
Untuk solusi pengulangan autentikasi, kami memilih RFC 4478 Repeated Authentication in IKEv2 Protocol. Dalam RFC 4478, dijelaskan suatu
mekanisme untuk memenuhi kebutuhan pengulangan autentikasi secara otomatis bagi host IPsec pada skenario Remote Access IPsec. RFC 4478 mendefinisikan
suatu pesan notifikasi baru bagi original responder dapat kirim kepada original initiator untuk menetapkan waktu sebelum autentikasi harus diulang. Rentang
waktu untuk autentikasi ulang didefinisikan RFC 4478 antara 300 detik5 menit sampai 86400 detik 24 jam.
4.1.2.3 NAT Traversal pada IKEv2
Suatu solusi dikembangkan untuk mengatasi masalah ketidakcocokan antara NAT dan IPsec yaitu dengan membentuk suatu standar mekanisme pada
enkapsulasi IPsec. Solusi ini dinamakan “NAT-Traversal” atau NAT-T yang diajukan sebagai standar oleh Internet Engineering Task Force IETF. Terdapat
RFC Request For Proposal yang mendefinisikan standar NAT Traversal yaitu RFC 3947Negotiation of NAT-Traversal in IKE, dan RFC 3948UDP
Encapsulation of IPsec ESP Packets. RFC3947 mendefinisikan mekanisme untuk mendeteksi satu atau lebih NAT antara host IPsec, dan bagaimana cara IKE
menegosiasikan penggunaan enkapsulasi UDP terhadap paket IPsec melewati NAT. Sedangkan RFC3948 menspesifikasikan metode untuk enkapsulasi dan
58
dekapsulasi paket ESP di dalam suatu paket UDP untuk melewatkannya melalui NAT.
Standar Protokol IKEv2RFC 4306 sudah secara default mendukung kemampuan NAT-Traversal. Hal ini merupakan peningkatan dari IKEv1 yang
secara default tidak mengatur penanganan masalah IPsec dengan NAT.
Gambar 4.3 UDP Encapsulated ESP pada mode transport
Gambar 4.4 UDP Encapsulated ESP pada mode tunnel
Gambar 4.5 UDP encapsulation of IPsec ESP packet Header Floated IKE yang digunakan adalah yang sesuai dengan yang
ditentukan dalam RFC 3947 Negotiation of NAT-Traversal in the IKE. Format header IKE akan menggunakan port 4500. Non-ESP Marker di dalam header
59
berukuran 4 bytes dengan nol yang sejajar dengan SPI field dari sebuah paket ESP.
Gambar 4.6 Format Floated IKE Header. Paket NAT keepalive digunakan untuk membuat pemetaan NAT
dengan nomor port dinamis tetap hidup.
Gambar 4.7 Format Header UDP untuk paket NAT-keepalive.
4.1.2.4 Virtual IP