Pptp,l2 f,l2tp

1,551 views

Published on

Published in: Education, Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,551
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
66
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Pptp,l2 f,l2tp

  1. 1. Point-to-Point Tunneling Protocol (PPTP), Layer TwoForwarding (L2F), and Layer Two TunnelingProtocol (L2TP)Point-to-Point Tunneling Protocol (PPTP)PendahuluanMasalah utama yang dihadapi oleh perusahaan adalah kondisi yang disebut road-warrior.Contohnya adalah karyawan yang sedang melakukan perjalanan dan membutuhkan akses kedatabase perusahaan yang berada di kantor. Salah satu solusi untuk masalah ini adalahdengan menggunakan skema dibawah ini :Road warrior accessUser akan menghubungi Remote Access Server (RAS) misalnya menggunakan PPP untukmembuat koneksi dengan kantor. Penggunaan RAS memakan biaya yang mahal, namunpenggunaan RAS memiliki beberapa keuntungan. Menggunakan RAS lebih aman daripadamenghubungkan jaringan kantor langsung dengan internet. Melakukan penyadapan pada jalurtelepon akan lebih sulit daripada melakukannya pada jalur internet. Masalah lainnya adalahremote host tidak akan memiliki alamat IP jaringan kantor, terutama apabila perusahaantersebut memiliki private address space (RFC 1918). Namun dengan menggunakan RAS,masalah ini akan teratasi karena PPP daemon dapat melakukan negosiasi alamat antaraperusahaan dengan remote host. PPTP memiliki kelebihan dari RAS tanpa biaya yang mahal.
  2. 2. Point-to-Point Tunneling Protocol (PPTP) adalah suatu protokol jaringan yangmemungkinkan pengiriman data secara aman dari remote client kepada server perusahaanswasta dengan membuat suatu virtual private network (VPN) melalui jaringan data berbasisTCP/IP.Teknologi jaringan PPTP merupakan perluasan dari remote access Point-to-Point protocolyang telah dijelaskan dalam RFC 1171 yang berjudul “The Point-to-Point Protocol for theTransmission of Multi-Protocol Datagrams over Point-to-Point Links” . PPTP adalah suatuprotokol jaringan yang membungkus paket PPP ke dalam IP datagram untuk transmisi yangdilakukan melalui internet atau jaringan publik berbasis TCP/IP. PPTP dapat juga digunakanpada jaringan LAN-to-LAN.Fitur penting dalam penggunaan PPTP adalah dukungan terhadap VPN dengan menggunakanPublic-Switched Telephone Networks (PSTNs). PPTP menyederhanakan dan mengurangibiaya dalam penggunaan pada perusahaan besar dan sebagai solusi untuk remote atau mobileusers karena PPTP memberikan komunikasi yang aman dan terenkripsi melalui line publictelephone dan internet.Secara umum, terdapat tiga komponen di dalam komputer yang menggunakan PPTP yaitu : 1. PPTP client 2. Network Access Server 3. PPTP serverIkhtisar Arsitektur PPTPKomunikasi yang aman dibuat dengan menggunakan protokol PPTP secara tipikal terdiri daritiga proses, dimana membutuhkan keberhasilan penyelesaian dari proses sebelumnya. Ketigaproses tersebut adalah : 1. PPP Connection and CommunicationSuatu client PPTP menggunakan PPP untuk koneksi ke sebuah ISP dengan memakai linetelepon standar atau line ISDN. Koneksi ini memakai protokol PPP untuk membuat koneksidan mengenkripsi paket data.
  3. 3. 1. PPTP Control ConnectionPenggunaan koneksi ke internet dibuat oleh protokol PPP, protokol PPTP membuat controlconnection dari client PPTP ke server PPTP pada internet. Koneksi ini memakai TCP untukmembuat koneksi yang disebut dengan PPTP tunnel. 1. PPTP Data TunnelingTerakhir, protokol PPTP membuat IP datagram yang berisi paket PPP yang terenkripsi dankemudian dikirim melalui PPTP tunnel ke server PPTP. Server PPTP memeriksa IPdatagram dan mendekripsi paket PPP, dan kemudian mengarahkan paket yang terdekripsi kejaringan private.Keamanan PPTPPPTP secara luas memberikan layanan keamanan otentikasi dan enkripsi yang kuat dantersedia pada computer yang menjalankan RAS dari server Windows NT versi 4.0 danWindows NT Workstation versi 4.0 ke client PPTP di internet. PPTP juga dapat melindungiserver PPTP dan jaringan private dengan mengabaikan semuanya kecuali PPTP traffic.Walaupun kemanannya kuat, PPTP sangat mudah digunakan dengan adanya firewalls.1. OtentikasiOtentikasi dibutuhkan server network access ISP dalam initial dial-in. Jika otentikasi inidibutuhkan maka sangat sulit untuk log on ke server network access ISP; otentikasi ini tidakberhubungan dengan otentikasi berbasis Windows NT. Dengan kata lain, jika server windowsNT versi 4.0 sebagai server PPTP, maka server tersebut yang akan mengendalikan semuaakses ke jaringan private. Dengan kata lain, server PPTP merupakan gateway menujujaringan private. Server PPTP membutuhkan proses logon berbasis Windows NT standar.Semua client PPTP harus memiliki user name dan password. Oleh karena itu keamananlogon akses terbatas dengan menggunakan komputer dengan Windows NT server atauwindows NT workstation versi 4 harus sama dengan keamanan saat logging pada komputerberbasis windows NT yang terkoneksi ke LAN lokal. Otentikasi client remote PPTPdilakukan dengan menggunakan metode otentikasi PPP yang sama dimana client RASlangsung terhubung dengan server RAS. User account terletak dalam directory servicewindows NT server versi 4.0 dan diatur melalui user manager untuk domain. User manager
  4. 4. ini menyediakan pengaturan terpusat yang terintegrasi dengan user account jaringan privateyang tersedia. Hanya account yang diakui saja yang bisa mengakses jaringan. Memilikipassword yang sulit ditebak akan mengurangi resiko terhadap brute force attack karenaproses otentikasi tersebut rentan terhadap brute force attack.2. Access ControlSetelah proses otentikasi, semua akses ke private LAN diteruskan dengan memakai modelkeamanan berbasis windows NT. Akses ke sumber pada drive NTFS atau sumber jaringanlainnya membutuhkan ijin yang sesuai. Direkomendasikan bahwa sistem file NTFSdigunakan untuk sumber file yang diakses oleh client PPTP.3. Enkripsi DataUntuk enkripsi data, PPTP menggunakan proses enkripsi RAS “shared-secret”. Disebut“shared-secret” karena pada awal dan akhir koneksi PPTP membagi kunci enkripsi. Dalamimplementasi Microsoft dari RAS, shared secret disebut user password. (metode enkripsilainnya berbasis enkripsi pada tersedianya kunci untuk public; metode enkripsi kedua inidikenal sebagai public key encryption). PPTP menggunakan skema PPP encryption dan PPPcompression. CCP (Compression Control Protocol) digunakan PPP untuk enkripsi. Username dan password PPTP client tersedia untuk PPTP server dan diberikan oleh PPTP client.Kunci enkripsi dihasilkan dari penyimpanan password yang telah di-hash yang terdapat diclient dan server. RSA RC4 standar digunakan untuk menghasilkan session key 40 bitberdasarkan pada password client. Kunci ini dipakai untuk mengenkripsi semua data yangmelewati internet, untuk melindungi koneksi private agar aman.Data pada paket-paket PPP dienkripsi. Paket PPP yang berisi blok data terenkripsi kemudiandibungkus hingga manjadi IP datagram yang besar untuk routing melalui internet ke serverPPTP. Jika hacker internet melakukan intercept IP datagram, ia hanya akan mendapatkanmedia header, IP header dan paket PPP berisi blok data yang terenkripsi bukan data yangterdekripsi.4. PPTP Packet FilteringKeamanan jaringan dari aktivitas kejahatan dapat meningkat dengan memakai PPTP filteringpada server PPTP. Ketika PPTP filtering digunakan, PPTP server pada jaringan private
  5. 5. menerima dan mengarahkan paket-paket PPTP dari user yang terotentikasi. Hal ini akanmelindungi semua paket yang berasal dari server PPTP dan jaringan private. Berhubungandengan enkripsi PPP, maka hal ini akan menjamin hanya data terenkripsi yang berhak masukdan keluar private LAN.Layer Two Forwarding (L2F)PendahuluanLayer 2 Forwarding (L2F) merupakan sebuah protokol tunneling yang dibuat oleh Cisco.L2F memungkinkan server akses dial-up membingkai lalu lintas dial-up di dalam Point toPoint Protocol (PPP) dan mentransmisikannya pada hubungan WAN ke server L2F (router).Dalam OSI layer protokol ini berada pada data link layer sedangkan pada TCP/ IP layerberada pada network acces.Manfaat utama dari protokol ini adalah stabil dengan didukung oleh banyak vendor danaplikasi software klien. Protokol ini stabil pada layer 2 (dua). Trade off dari stabilitas ini padakenyataannya L2F tidak sebaik L2TP dan pengguna harus mengunakan semua peralatan yangdihasilkan oleh Cisco.Enkapsulasi PPP dalam L2FEnkapsulasi paket dilakukan jika paket akan ditransmisikan melalui physical link. Paket initidak menampilkan Flag, transparency data (ACCM untuk async dan bit untuk sync) danCRC. Paket tersebut akan menampilkan alamat dan flags control serta nilai protocol.Enkapsulasi SLIP dalam L2FCara SLIP dienkapsulasi dalam L2F sama dengan PPP. Transparansi karakter dihilangkansebelum enkapsulasi dalam L2F sebagai framing.
  6. 6. L2F Tunnel EstablishmentDalam membangun koneksi dari client menuju server yang dituju maka dalam resume iniakan menggunakan contoh VPDNs (Virtual Private Dial Networks) yang merupakan tipespesifik dari VPN.Berikut skemanya :Keterangan:No Deskripsi1 Client dan Network Access Server melakukan negosiasi protokol standard PPP link control protocol (LCP).2 NAS dan pengguna memulai autentikasi dengan menggunakan salah satu protokol autentikasi antara lain CHAP, PAP, dan MS CHAP3 NAS mengidentifikasi bahwa panggilan adalah sesi VPDN dengan membandingkan karakteristik panggilan untuk mengkonfigurasi pada local database atau pada autentikasi, autorisasi dan accounting server.Jika NAS dikonfigurasi untuk Domain Number Identification Service (DNIS) berdasarkan tunneling disesuaikan dengan nomor
  7. 7. telepon yang pengguna putar .Jika NAS dikonfigurasi untuk domain name berdasarkan tunneling maka itu disesuaikan dengan domain nama pengguna. Dengan demikian NAS akan memanggil group VPDN yang sesuai dan menginisiasi sebuah sesi VPDN untuk melanjutkan panggilan pada home gate way dengan menggunakan baik L2F maupun L2TP.4 Setelah tunnel terbuka NAS meneruskan informasi user kepada home gateway yang bernegosiasi dengan sesi VPDN pengguna.5 Ketika menggunakan CHAP atau MS CHAP autentikasi, home gate way akan mengotentikasi challenge dan response dan mengirimkan sebuah Auth-Ok paket kepada pengguna dengan melengkapi tiga jalan autentikasi.6 Setelah home gate way megotentikasi pengguna maka keduanya dapat menukar I/O PPP-paket yang telah dienkapsulasi.7 Jangan ulangi negosiasi tunnel lagi karena tunnel telah terbukaL2F Tunnel dan Session Authentication ProcessKetika NAS menerima panggilan dari pengguna dan menginstruksikan untuk mebuat sebuahtunnel L2F (sesi 3) dengan home gate way, pada awalnya NAS akan mengirimkan challengeke home gate way, home gate way kemudian akan mengirimkan kombinasi challenge danresponse kepada NAS.Sebelum NAS dan home gate way dapat mengautentikasi tunnel, mereka harus mempunyaitunnel secret yaitu sepasang nama pengguna dengan password yang sama yang dikonfigurasioleh NAS dan home gate way. Dengan mengkombinasikan tunnel secret dengan nilai randomsuatu algoritma yang digunakan untuk mengenkripsi tunnel secret, NAS dan home gatewaymeng-autentikasi satu sama lain dan meng-establih tunnel L2F.
  8. 8. Berikut skemanya :Keterangan:No Deskripsi1. Sebelum NAS dan home gate way membuka tunnel L2F, kedua device harus mempunyai tunnel secret pada konfigurasi masing-masing.2. NAS mengirmkan paket L2F_CONF yang berisi nama NAS dan sebuah nilai random challenge, A.3. Setelah home gate way menerima paket tersebut, home gate way akan megirimkan kembali paket tersebut beserta nama home gate way dan sebuah nilai random challenge, B. Pesan ini juga termasuk kunci yang terkandung A yaitu penghitungan secret NAS mengunakan algorima MD5 dan nilai A.4. Ketika NAS menerima paket tersebut, ia akan membandingkan nilai MD5 dari NAS secret dengan nilai A. Jika kunci sesuai makan nilainya cocok, kemudian NAS mengirimkan paket L2F_OPEN ke home gate way dengan menggunakan kunci yang terkandung nilai B yaitu MD5 dari home gate way secret dan nilai B.5. Ketika home gate way menerima paket tersebut, ia melakukan hal yang sama dengan NAS dan jika cocok mengirimkan L2F_OPEN kepada NAS dengan kunci A.6. Seluruh pesan berurutan dari NAS mengandung kunci B dan pesan dari home gate way mengandung kunci A
  9. 9. Layer Two Tunneling Protocol (L2TP)PendahuluanL2TP adalah suatu standard IETF (RFC 2661) pada layer 2 yang merupakan kombinasi darikeunggulan-keunggulan fitur dari protokol L2F (dikembangkan oleh Cisco) dan PPTP(dikembangkan oleh Microsoft), yang didukung oleh vendor-vendor : Ascend, Cisco, IBM,Microsoft dan 3Com. Untuk mendapatkan tingkat keamanan yang lebih baik , L2TP dapatdikombinasikan dengan protocol tunneling IPSec pada layer 3. Seperti PPTP, L2TP jugamendukung protokol-protokol non-IP. L2TP lebih banyak digunakan pada VPN non-internet (frame relay, ATM, dsb).Protokol L2TP sering juga disebut sebagai protokol dial-up virtual, karena L2TP memperluassuatu session PPP (Point-to-Point Protocol) dial-up melalui jaringan publik internet, seringjuga digambarkan seperti koneksi virtual PPP.Perangkat L2TP 1. Remote Client: Suatu end system atau router pada jaringan remote access (mis. : dial- up client). 2. L2TP Access Concentrator (LAC) Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LNS. Berada pada sisi remote client/ ISP. Sebagai pemrakarsa incoming call dan penerima outgoing call. 3. L2TP Network Server (LNS) Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LAC. Berada pada sisi jaringan korporat. Sebagai pemrakarsa outgoing call dan penerima incoming call. 4. Network Access Server (NAS) NAS dapat berlaku seperti LAC atau LNS atau kedua-duanya.L2TP TunnelSkenario L2TP adalah untuk membentuk tunnel atau terowongan frame PPP antara remoteclient dengan LNS yang berada pada suatu jaringan korporat. Terdapat 2 model tunnel L2TPyang dikenal , yaitu compulsory dan voluntary. Perbedaan utama keduanya terletak padaendpoint tunnel-nya. Pada compulsory tunnel, ujung tunnel berada pada ISP, sedangkan padavoluntary ujung tunnel berada pada client remote.
  10. 10. Model Compulsory L2TPRemote client memulai koneksi PPP ke LAC melalui PSTN. Pada gambar diatas LACberada di ISP. Kemudian ISP menerima koneksi tersebut dan link PPP ditetapkan. Lalu ISPmelakukan partial authentication (pengesahan parsial)untuk mempelajari user name.Database map user untuk layanan-layanan dan endpoint tunnel LNS, dipelihara oleh ISP.LAC kemudian menginisiasi tunnel L2TP ke LNS. Jika LNS menerima koneksi, LACkemudian mengencapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel yangtepat. Kemudian LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, danmemprosesnya sebagai frame incoming PPP biasa. LNS kemudian menggunakan pengesahanPPP untuk memvalidasi user dan kemudian menetapkan alamat IP. Model Voluntary L2TPRemote client mempunyai koneksi pre- established ke ISP. Remote Client befungsi jugasebagai LAC. Dalam hal ini, host berisi software client LAC mempunyai suatu koneksi kejaringan publik (internet) melalui ISP. Client L2TP (LAC) lalu menginisiasi tunnel L2TP keLNS. Jika LNS menerima koneksi, LAC kemudian meng-encapsulasi PPP dengan L2TP, danmeneruskannya melalui tunnel. Kemudian LNS menerima frame-frame tersebut, kemudianmelepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa. LNS kemudianmenggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.
  11. 11. Struktur Protokol L2TPStruktur Protokol L2TPDua jenis messages pada L2TP : control messages dan data messages.Cara Kerja L2TPKomponen-komponen pada tunnel, yaitu :1. Control channel, fungsinya :  Setup (membangun) dan teardown (merombak) tunnel  Create (menciptakan) dan teardown (merombak) payload (muatan) calls dalam tunnel.  Menjaga mekanisme untuk mendeteksi tunnel yang outages.2. Sessions (data channel) untuk delivery data :  Layanan delivery payload  Paket PPP yang di-encapsulasi dikirim pada sessionsAda 2 langkah untuk membentuk tunnel untuk session PPP pada L2TP : 1. Pembentukan koneksi kontrol untuk suatu tunnel. Sebelum incoming atau outgoing call dimulai, tunnel dan koneski kontrol harus terbentuk. Koneksi kontrol adalah koneksi yang paling pertama dibentuk antara LAC dan LNS sebelum session terbentuk. Pembentukan koneksi kontrol termasuk menjamin identitas dari peer, seperti pengidentifikasikan versi L2TP peer, framing, kemampuan bearer, dan sebagainya. Ada tiga message dipertukarkan yang dilakukan untuk membangun koneksi kontrol (SCCRQ, SCCRP, dan SCCN). Jika tidak ada message lagi yang menunggu dalam antrian peer tersebut, ZLB ACK dikirimkan. 2. Pembentukan session yang dipicu oleh permintaan incoming atau outgoing call. Suatu session L2TP harus terbentuk sebelum frame PPP dilewatkan pada tunnel L2TP. Multiple session dapat dibentuk pada satu tunnel, dan beberapa tunnel dapat dibentuk diantara LAC dan LNS yang sama.
  12. 12. Autentikasi Tunnel Pada L2TPSistem autentifikasi yang digunakan L2TP, hampir sama dengan CHAP selama pembentukankoneksi kontrol. Autentifikasi tunnel L2TP menggunakan Challenge AVP yang termasuk didalam message SCCRQ atau SCCRP : Jika challenge AVP diterima di SCCRQ atauSCCRP, maka AVP challenge respon harus dikirimkan mengikuti SCCRP atau SCCCNsecara berturut-turut. Jika respon yang diharapkan dan respon yang diterima tidak sesuai,maka pembentukan tunnel tidak diijinkan. Untuk dapat menggunakan tunnel, sebuahpassword single share harus ada diantara LAC dan LNS.Keamanan Informasi Pada L2TPL2TP membentuk tunnel LAC hingga LNS, sehingga data yang dilewatkan tidak dapatterlihat secara transparan oleh pengguna jaringan publik.Ada beberapa bentuk keamanan yang diberikan oleh L2TP, yaitu :1. Keamanan Tunnel EndpointProsedur autentifikasi tunnel endpoint selama pembentukan tunnel, memiliki atribut yangsama dengan CHAP (Challenge Handshake Authentication Protocol). Mekanisme ini tidak didesain untuk menyediakan autentifikasi setelah proses pembentukan tunnel. Karena bisa sajapihak ketiga yang tidak berhak dapat melakukan pengintaian terhadap aliran data pada tunnelL2TP dan melakukan injeksi terhadap paket L2TP, jika setelah proses pembentukan tunnelterjadi.2. Keamanan Level PaketPengamanan L2TP memerlukan keterlibatan transport lapisan bawah melakukan layananenkripsi, integritas, dan autentifikasi untuk semua trafik L2TP. Transport yang aman tersebutakan beroperasi pada seluruh paket L2TP dan tidak tergantung fungsi PPP dan protokol yangdibawa oleh PPP.
  13. 13. 3. Keamanan End to EndMemproteksi aliran paket L2TP melalui transport yang aman berarti juga memproteksi datadi dalam tunnel PPP pada saat diangkut dari LAC menuju LNS. Proteksi seperti ini bukanmerupakan pengganti keamanan end-to-end antara host atau aplikasi yang berkomunikasi.

×