Integrated vpn technology (paper) - claudia
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Integrated vpn technology (paper) - claudia

on

  • 1,534 views

 

Statistics

Views

Total Views
1,534
Views on SlideShare
1,534
Embed Views
0

Actions

Likes
0
Downloads
81
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Integrated vpn technology (paper) - claudia Document Transcript

  • 1. Penerapan Protokol SSL dan IPSec pada Integrated VPN’s Technology (IVPNT) Claudia Dwi Amanda, Fitria Sekarwulan, Danang Jaya Deputi Bidang Perkajian Persandian, Lembaga Sandi Negara amanda_hectic@yahoo.com, querydanangjaya@yahoo.com ABSTRAKPenggunaan teknologi Virtual Private Network (VPN) sebagai solusi pengamanan saat ini masih tambalsulam. Berbagai solusi produk VPN, secara hardware dan software, telah banyak beredar pasar, namunmanajemen VPN menyulitkan para pengguna (end-user). Untuk itu diperlukan sebuah aplikasi yangdapat menggunakan protokol VPN dengan kemudahan manajemen aplikasi VPN yang dapat mengurangikompleksitas penggunaan VPN (SSL dan IPSec) dan mengintegrasikan fitur keamanan dan teknologikomunikasi VPN. Integrated Virtual Private Network Technology (IVPNT) merupakan rancang bangunsolusi VPN layanan VPN yang menggunakan protokol SSL dan IPSec yang menyediakan keamanan end-to-end, termasuk dengan fungsi manajemen VPN berbasis Command Line Interface (CLI). Hasil daripengujian yang dilakukan jaringan IVPNT menggunakan protokol SSL dan IPSec, telah terbuktiterlindungi dengan cara pesan yang ditransmisikan terlihat acak sehingga pesan tersebut tidak dapatdipahami oleh pihak yang tidak berwenang.Kata Kunci : Virtual Private Network (1), Secure Socket Layer (2), IPSecurity (3)1. PENDAHULUAN memanfaatkan media jaringan publik yang telah tersedia, sehingga jika dilihat dari sudut pandangSetiap entitas pengguna informasi elektronik, ekonomis, maka biaya penggunaan VPN lebihakan membutuhkan suatu sistem yang dapat murah dibandingkan penggunaan jaringanmenyediakan layanan konektivitas antar leased line yang membutuhkan biayaindividu dan/atau antar instansi maupun sistem pembangunan infrastruktur jaringan, perijinan,koneksi dengan mitra kerja. Sehubungan dengan pemeliharaan, dan sebagainya. VPNkebutuhan tersebut, maka suatu instansi perlu menggunakan protokol Secure Socket Layermempertimbangkan untuk membangun suatu (SSL) yang bekerja pada transport layer dansistem jaringan komunikasi yang memiliki Internet Protocol Security (IPSec) yang bekerjajangkauan luas, namun akses terbatas hanya pada network layer [2]. Kebutuhan keduauntuk stakeholder yang berwenang. Dengan kata protokol tersebut tergantung pada aplikasi yanglain, instansi memerlukan suatu sistem jaringan akan beroperasi menggunakan VPN.komunikasi yang bersifat khusus untukmemenuhi kebutuhan transaksi informasi Alshamsi dan Saito [1] membandingkan antaraelektronik. protokol SSL dan IPSec secara teknis dalam hal algoritma yang digunakan, ukuran yangImplementasi jaringan yang bersifat khusus dihasilkan, mode koneksi, operasi kriptografi,dapat dilakukan secara fisik menggunakan dan hal-hal lainnya dengan kesimpulan bahwaleased line maupun secara logikal, yaitu Virtual penggunaan SSL atau IPSec bergantung padaPrivate Network (VPN) yang memanfaatkan kebutuhan keamanan yang diperlukan. Beberapainfrastruktur jaringan telekomunikasi publik. tahun selanjutnya, Degabriele dan Paterson [2]Pada dasarnya, VPN merupakan suatu proses menjelaskan tentang serangan baru yang efisienpembentukan kanal telekomunikasi yang bersifat dan realistis, serangan tersebut dilakukan padaprivat dan relatif aman pada suatu infrastruktur IPSec khususnya di encryption-only ESP.jaringan publik, misalnya internet. VPN Sehingga SSL dapat dikatakan lebih amanmembangun suatu secure tunnel virtual dengan dibandingkan IPSec dalam hal ketahanan
  • 2. terhadap serangan. Adanya perbedaan layer pada disediakan oleh leased line [6]. Salah satukedua protokol tersebut, mengakibatkan SSL elemen penting dari VPN adalah enkripsi yangVPN dan IPSec VPN pada umumnya tidak berfungsi untuk melindungi data sensitifdiimplementasikan secara bersamaan dalam satu (rahasia) ketika melewati internet. Oleh karenaalat atau aplikasi. Oleh karena itu, Penulis itu dibutuhkan virtual private tunnel, yang dapatmemberikan alternatif layanan dengan mengenkripsi paket data atau frame, kemudianmenggabungkan kedua protokol VPN agar user melakukan enkapsulasi antara kedua host ataudapat memilih protokol yang sesuai dengan jaringan [4].kebutuhan dengan nama “Integrated VPN’sTechnology (IVPNT)”. SSL adalah sebuah protokol yang memberikan enkripsi pada traffic berbasis jaringan. SSLPerancangan VPN user interface yang mampu adalah sebuah protokol jaringan yangmengakomodasi pemilihan kedua protokol mempunyai tanggung jawab untuktersebut, biasanya memiliki kesulitan dalam mengamankan, mengenkripsi saluranproses konfigurasi VPN. Salah satu teknik untuk komunikasi antara sebuah server dan sebuahmenyelesaikan masalah tersebut adalah client [7]. IPSec adalah sebuah metode untukmelakukan manajemen user interface melindungi datagram IP. Perlindungan terebutmenggunakan Command Line Interface (CLI) dalam bentuk data origin authentication,yang user friendly, sehingga proses connectionless data integrity authentication, danpembangunan VPN tidak menjadi rumit. data content confidentiality [3].Konfigurasi VPN berkorelasi dengan pengaturansistem pada sistem operasi, sehingga manajemen Pada umumnya VPN menggunakan protokoluser interface tersebut harus dapat Secure Socket Layer (SSL) yang bekerja padaberkomunikasi dengan sistem pada sistem transport layer dan Internet Protocol Securityoperasi. (IPSec) yang bekerja pada network layer [4]. Kebutuhan kedua protokol tersebut tergantungPenulis akan memanfaatkan distro linux sebagai pada aplikasi yang akan beroperasisistem operasi untuk mengoperasikan aplikasi menggunakan VPN. Adanya perbedaan layerlayanan VPN dengan protokol SSL dan IPSec. pada kedua protokol tersebut, mengakibatkanAplikasi layanan VPN tersebut akan diinstalasi SSL VPN dan IPSec VPN pada umumnya tidakke dalam distro tersebut dengan media Single diimplementasikan secara bersamaan dalam satuBoard Computer (SBC). Berdasarkan hal-hal alat atau aplikasi. Perbandingan antara SSL dantersebut, aplikasi layanan VPN yang terinstalasi IPSec dapat dilihat pada Tabel 1 [5].dalam SBC diharapkan dapat menjadi alternatifuntuk melakukan komunikasi ke jaringan privat Tabel 1. Perbandingan SSL dan IPSecmelalui jaringan publik secara efektif dan Acce Encryp Authen Integrit Address Sessiefisien. ss -tion - y Conceal- on Cont tication Checki ment MoniPaper ini terdiri atas beberapa bagian, antara lain rol ng toringpenjelasan tentang teori-teori terkait IVPNTpada bagian 2, metode yang digunakan untuk S y y y y y nmembuat IVPNT pada bagian 3, hasil S (paket) (paket) (paket) Limplementasi ditunjukkan pada bagian 4, dan I y y y y n yyang terakhir adalah kesimpulan pada bagian 5. P (data) S2. LANDASAN TEORI e c VPN adalah sebuah metode yangmenggunakan tunneling untuk membangun Berdasarkan Tabel 1, terdapat beberapasebuah jaringan privat pada jaringan publik, kelebihan dan kekurangan dari masing-masingsedemikian sehingga keamanan pada jaringan protokol, sehingga dipandang perlu untukprivat tersebut ekuivalen dengan keamanan yang merancang suatu sistem VPN yang dapat
  • 3. mengakomodasi dua protokol tersebut sebagai studi literatur terkait dengan rancang bangunalternatif untuk penyelenggaraan VPN sesuai IVPNT, menganalisis permasalahan dandengan kebutuhan tingkat pengamanan jaringan. kebutuhan dari IVPNT, mendesain sistem,Kondisi tersebut dibutuhkan agar user dapat melakukan implementasi, kemudian pengujianmenggunakan protokol secara tepat dalam terhadap sistem IVPNT.melakukan operasi aplikasi yang diinginkan. Penulis menggunakan satu buah laptop, tigaDari tabel di atas, dapat dilihat bahwa SSL buah PC, dan satu buah SBC yang telahmelakukan layanan terhadap paket, sedangkan terinstalasi aplikasi IVPNT. SedangkanIPSec melakukan layanan terhadap data, sesuai software-software yang digunakan oleh Penulisdengan layer tempat kedua protokol tersebut untuk membuat komponen inti maupundiimplemetasikan. Hal ini menyebabkan SSL pendukung dalam aplikasi IVPNT antara laindigunakan oleh user yang membutuhkan akses paket SSL, paket IPSec, VirtualBox, Clonezillla,high-level, sedangkan IPSec digunakan oleh dan Wireshark.user yang membutuhkan akses low-level. Darisegi biaya yang dikeluarkan, SSL lebih dapat Langkah awal dalam membuat IVPNT adalahmenghemat biaya dibandingkan dengan IPSec melakukan remastering Linux Ubuntu terlebih[7]. dahulu agar menghasilkan distro untuk IVPNT. Adapun proses pembuatan distro IVPNT secaraKombinasi dari beberapa layanan pada tabel umum terdiri dari dua tahapan utama, yaitudilakukan dengan tujuan untuk menjamin tingkat persiapan spesifikasi kebutuhan sistem dan tahapkeamanan tertentu. Akses kontrol disediakan proses. Tahap proses merupakan inti utamaoleh kedua protokol sehingga dapat membatasi pembuatan distro untuk IVPNT denganpihak yang ingin melakukan akses terhadap menjelaskan urutan langkah-langkah yangsuatu sumber daya. Enkripsi, otentikasi, dilakukan. Adapun hal yang dilakukan pertamapemeriksaan integritas disediakan oleh kedua kali adalah melakukan instalasi tools yangprotokol untuk melayani informasi (berupa paket diperlukan seperti squashfs-tools, Mkisoft, danatau data) sesuai dengan level jaringan yang ada VirtualBox. Kemudian meletakkan file-filesehingga informasi dapat dirahasiakan, pihak untuk IVPNT ke dalam direktori kerja tersendiriyang terkait dapat diotentikasi, dan mencegah untuk memudahkan proses kustomisasi.adanya perubahan terhadap informasi yangditransmisikan [6]. Setelah distro selesai dibuat, tentukan direktori- direktori untuk konfigurasi. Dalam IVPNTLayanan address concealment bertujuan untuk terdapat tiga buah direktori yaitu etc, scripts, danmelindungi dari serangan denial-of-service [5], template. Direktori etc berisi file-file untuklayanan tersebut disediakan oleh SSL sehingga konfigurasi program CLI, direktori scripts berisiIPSec rawan oleh serangan tersebut. Sedangkan file-file bash shell script untuk CLI, danpada session monitoring yang bertujuan untuk direktori template berisi template konfigurasimengontrol sesi komunikasi yang berlangsung, file. Proses implementasi IVPNT terdiri dari tigalayanan tersebut disediakan oleh IPSec sehingga tahap, yaitu :dapat melakukan troubleshoot saat VPN a. Tahap Awalberlangsung dan melakukan monitoring Pada tahap persiapan, admin telahinterface end-user. mempersiapkan konfigurasi yang ingin digunakan. Admin juga memastikan bahwa3. METODE sistem IVPNT dapat berjalan dengan baik.Dalam pembuatan paper ini, penulis Hal ini bertujuan agar memudahkanmenggunakan model proses pengembangan pengguna dalam pemilihan protokol yangperangkat lunak Model Sekuensial Linear. Pada ingin digunakan. Menu IVPNT terdiri daripengembangan aplikasi IVPNT, penulis configuration, network, connection, log,menggunakan metodologi pengembanganperangkat lunak terstruktur. Penulis melakukan
  • 4. shell prompt. Gambar 1 adalah tampilan VPN, dimana di dalam SBC tersebut telahmenu dari IVPNT : terinstalasi aplikasi IVPNT. Aplikasi IVPNT berbasis CLI, sehingga pada sisi admin dimudahkan dengan cukup mengakses aplikasi tersebut menggunakan command line admin. Komponen minimal yang harus dipenuhi agar sistem dapat berjalan sesuai dengan keinginan ialah ketersediaan sumber daya listrik yang dapat digunakan untuk menjalankan komputer/laptop dan alat dan/atau infrastruktur komunikasi yang digunakan untuk menghubungkan sistem IVPNT. Gambar 2 Gambar 1. Tampilan Menu IVPNT. merupakan ilustrasi dari skenario implementasib. Tahap Pemrosesan Data IVPNT :Pada tahap pemrosesan data, admin telah dapatmenggunakan aplikasi IVPNT. Pada halamanCLI akan ditampilkan halaman meu. Padatampilan CLI, admin dapat menetapkan protokolmaupun parameter-parameter denganmengetikkan kode sesuai perintah yang ingindilakukan. Untuk menggunakan menu shellprompt, admin memasukkan password ke dalamfield yang telah disediakan. Jika terverifikasi,maka admin dapat menggunakan aplikasi Gambar 2. Skenario IVPNTIVPNT. Pegawai dari kota A dengan IP addressc. Tahap Akhir 193.111.55.20 dengan eth trusted APada tahap akhir, admin telah dapat memilih dan 193.111.55.10, dapat terhubung secara privatmenggunakan protokol yang telah disediakan dengan Pegawai dari kota B dengan IP addressoleh aplikasi IVPNT. Admin juga dapat 192.10.2.10 dengan eth trusted B 192.10.2.5menggunakan aplikasi yang memanfaatkan melalui IP VPN tunnel yang dibangun ,yaituprotokol yang telah ditetapkan oleh aplikasi 10.99.99.1 untuk IVPNT gateway A dantersebut. 10.99.99.2 untuk IVPNT gateway B. Hasil yang diinginkan adalah pegawai dari kota A dapatPada implementasinya, IVPNT digunakan untuk terhubung dengan pegawai kota B melaluimengamankan jaringan privat dengan tunnel yang telah dibangun, komunikasi yangmemanfaatkan jaringan LAN-to-LAN. Dengan terjadi adalah gateway-to-gateway.menggunakan jaringan LAN-to-LAN, antarakomputer admin (SBC) dengan komputer klien 4. IMPLEMENTASI DAN ANALISISdapat dihubungkan menggunakan kabel.Sebelum klien terhubung dengan admin untuk Pada tahap ini meliputi pengujian performa danmelakukan komunikasi secara aman, klien pengujian keamanan. Pengujian performamempunyai IP address yang sebenarnya (IP dilakukan untuk menguji waktu rata-rata prosesreal). Setelah klien berhasil terhubung, maka inisialisasi yang terjadi saat terbentuknyakomunikasi secara aman dapat dilakukan. Hal koneksi antara dua pihak yang akanini ditandai dengan klien berhubungan melalui berkomunikasi dan waktu rata-rata transmisiIP gateway. data. Transmisi data dilakukan dengan cara mengirimkan paket data ping ke alamat IP privatDari penjelasan tersebut, dapat dilihat bahwa tujuan. Ukuran data sebesar 65507 bytes yaituSBC digunakan pada sisi admin untuk ukuran maksimal untuk paket ping. Percobaanmenyediakan layanan pemilihan untuk protokol dilakukan sebanyak 30 kali. Setiap percobaan
  • 5. dilakukan pengambilan durasi waktu proses. Hal hasil pengujian keamanan trafik data padatersebut merujuk pada ukuran sampel yang layak jaringan eth untrusted :dalam penelitian antara 30 sampai dengan 500.Waktu rata-rata proses inisialisasi yangdibutuhkan adalah 1.357278s. Pengujian durasiwaktu proses transmisi data dilakukan untukbeberapa ukuran paket data dalam 30 sequence.Dengan ukuran data dari 10 kb – 60 kb, wakturata-rata yang dibutuhkan adalah 29.218680 s.Pengujian keamanan trafik data dilakukan untukmembuktikan apakah lalu-lintas paket data yangmelalui jaringan privat terlindungi/dapatdipahami atau tidak dapat dipahami, bila tunnelVPN telah terbentuk. Pengujian keamanan trafikdata menggunakan Wireshark sebagai toolaplikasi untuk melakukan sniffer paket data pada Gambar 3. Hasil Uji Keamanan pada Jaringanjaringan. eth Untrusted (Tampilan Awal)Pengujian tersebut dilakukan dengan caramelakukan capture (penangkapan) terhadappaket data yang melalui jaringan privat. Salahsatu contoh sesi yang di-capture yaitu pada saatpengiriman data. Jika jaringan publikmenggunakan layanan IVPNT, maka terbentuksaluran privat sehingga data yang melaluinyaakan terlindungi. Dengan kata lain, bahwa jikapihak yang tidak berwenang melakukan snifferpada jaringan IVPNT, maka data paket yangditransmisikan tidak dapat dipahami.Berdasarkan desain security requirement, padaperancangan sistem IVPNT ini, keamanan yang Gambar 4. Hasil Uji Keamanan pada Jaringandibangun masih terbatas pada : eth Untrusted (Isi Data)a. Transmisi DataMenggunakan protokol SSL dan IPSec,sehingga diperlukan paket OpenVPN danOpenSWAN yang diinstalasi ke dalam sistemIVPNT.b. Keamanan DataMenggunakan algoritma enkripsi, otentikasi, danpertukaran kunci sesuai dengan yang disediakanoleh paket OpenVPN dan OpenSWAN.Sampel hasil uji keamanan trafik data denganmelakukan sniffing jaringan publikmenggunakan Wireshark pada jalur ethuntrusted dapat dilihat pada Gambar 3 dan 4,sedangkan sampel hasil uji keamanan trafik data Gambar 5. Hasil Uji Keamanan pada Jaringandengan melakukan sniffing jaringan IVPNT Tunnelmenggunakan tools yang sama dapat dilihatpada Gambar 5. Gambar di bawah ini adalah
  • 6. Berdasarkan hasil pengujian keamanan trafik [5] Murhammer, Martin W. et al. 1998. TCP/IPdata pada kedua jaringan yang berbeda (eth Tutorial and Technical Overview. USA :untrusted dan tunnel), dapat dianalisa bahwa IBM.paket data yang melalui jaringan publik eth [6] Stallings, William. 2005. Cryptography anduntrusted terlindungi. Pada Gambar 3 dapat Network security Principles and Practices 4dilihat bahwa informasi tentang pengiriman data th edition. USA : Prentice Hall.tidak dapat dilihat, yang dilihat hanyalah data [7] Steinberg, Joseph & Timothy Speed. 2005.tersebut diamankan oleh VPN. Pada Gambar 4, SSL VPN : Understanding,evaluating, anddata juga terlihat acak sehingga informasi yang planning secure, web-based remote access.ditransmisikan tidak dipahami oleh siapapun. Birmingham : Packt Publishing Ltd.Gambar 5 memperlihatkan saat paket datamelalui jaringan tunnel, informasi tentangpengiriman data dapat dilihat dan isi data jugaterbaca, hal ini disebabkan VPN melindungipesan dengan membuat tunnel.5. KESIMPULANBerdasarkan hasil penelitian, maka dapatdisimpulkan hal-hal sebagai berikut :1. Aplikasi IVPNT menggunakan protokol SSL dan IPSec untuk menghubungkan dua gateway melalui jaringan publik dapat beroperasi sesuai dengan desain;2. Berdasarkan hasil pengujian performa, didapatkan rata-rata lamanya waktu untuk proses inisialisasi sebesar 1.357278 s;3. Hasil pengujian keamanan trafik data pada jaringan IVPNT menggunakan protokol SSL dan IPSec, telah terbukti terlindungi.Referensi[1] Alshamsi, AbdelNasir & Takamichi Saito, (2005), “A Technical Comparison of IPSec and SSL,” Proc. of the 19th International Conference on Advanced Information Networking and Applications, vol. 2.[2] Degabriele, Jean Paul & Kenneth G. Paterson, (2007), “Attacking the IPSec Standards in Encryption-only Configurations, “ Proc. of the 2007 IEEE Symposium on Security and Privacy.[3] Doraswamy, Naganand, Dan Harkins. 2003. IPSec : The New Security for and Integrating Virtual Private Networks. PACKT Publishing.[4] Hosner, Charlie. 2004. OpenVPN and the SSL VPN Revolution. Sans Institute.