» » IP Security

IP Security

A.    Pengertian IP Security

Internet Protocol Security atau sering disebut IPsec adalah end-to-end security skema operasi di Internet Layer dari Internet Protocol Suite. Hal ini dapat digunakan dalam melindungi arus data antara sepasang host (host-to-host), antara sepasang gateway keamanan (jaringan-jaringan), atau antara gateway keamanan dan host (jaringan-to-host) .
Internet Protocol Security (IPsec) adalah protokol untuk mengamankan Internet Protocol (IP) komunikasi dengan otentikasi dan mengenkripsi setiap paket IP dari suatu sesi komunikasi. IPsec juga mencakup protokol untuk mendirikan otentikasi bersama antara agen pada awal sesi dan negosiasi kunci kriptografi yang akan digunakan selama sesi.
Beberapa sistem keamanan Internet lainnya digunakan secara luas, seperti Secure Socket Layer (SSL), Transport Layer Security (TLS) dan Secure Shell (SSH), beroperasi di lapisan atas dari model TCP / IP. Di masa lalu, penggunaan TLS / SSL harus dirancang ke dalam aplikasi untuk melindungi protokol aplikasi. Sebaliknya, sejak hari pertama, aplikasi tidak perlu dirancang khusus untuk menggunakan IPsec. Oleh karena itu, IPsec melindungi lalu lintas aplikasi di jaringan IP.

B.     Sejarah IP Sec
Eksperimental Babatan Keamanan IP (protokol) yang diteliti di Columbia University dan AT & T Bell Labs pada bulan Desember 1993. Kemudian, Wei Xu pada bulan Juli 1994 di Sistem Informasi Trusted melanjutkan penelitian ini. Setelah beberapa bulan, penelitian ini berhasil diselesaikan pada sistem BSDI. Dengan hacking kernel biner, Wei telah diperpanjang dengan cepat perkembangannya ke Sun OS, HP UX, dan sistem UNIX lainnya. Salah satu tantangan adalah kinerja lambat dari DES dan 3DES. Enkripsi perangkat lunak bahkan tidak bisa mendukung kecepatan T1 di bawah arsitektur Intel 80386. Dengan menjelajahi kartu Crypto dari Jerman, Xu Wei lanjut mengembangkan device driver otomatis, yang dikenal sebagai plug-and-play hari. Dengan mencapai throughput lebih dari satu T1s, pekerjaan ini membuat produk komersial praktis hal itu layak, yang dirilis sebagai bagian dari firewall Gauntlet terkenal.
Pada Desember 1994, itu adalah pertama kalinya dalam produksi untuk mengamankan beberapa situs remote antara timur dan barat pesisir negara bagian Amerika Serikat. Lain Protokol Keamanan IP dikembangkan pada tahun 1995 di Laboratorium Riset Naval sebagai bagian dari proyek penelitian DARPA disponsori. ESP awalnya berasal dari protokol SP3D, bukannya berasal dari ISO Jaringan-Layer Security Protocol (NLSP). Spesifikasi protokol SP3D diterbitkan oleh NIST, tetapi dirancang oleh proyek Jaringan Sistem Data Aman dari National Security Agency (NSA), AH yang berasal dari bagian dalam pekerjaan standar sebelumnya IETF untuk otentikasi dari Simple Network Management Protocol (SNMP).
Sejak tahun 1996, lokakarya Keamanan IP diselenggarakan untuk standardisasi protokol. IPsec secara resmi ditetapkan oleh Internet Engineering Task Force (IETF) dalam serangkaian Permintaan untuk dokumen Komentar menangani berbagai komponen dan ekstensi. Ini menentukan ejaan nama protokol menjadi IPsec.

C.    Cara Kerja IP Security
Ø  Protokol AH menyediakan integritas hubungan, otentifikasi data asal dan layanan anti jawaban.
Ø  Protokol ESP menyediakan kerahasiaan (enkripsi), dan pembatasan aliran lalulintas kerahasiaan.
Ø  ESP Juga menyediakan layanan integritas hubungan, otentifikasi data asal dan layanan anti jawaban.
Ø  Kedua protokol ini merupakan pembawa kontrol akses berbasis distribusi kunci kriptografi dan manajemen aliran lalulintas relatif terhadap protokol keamanan.

            Secara umum layanan yang diberikan IPSec adalah :
1.      Data Confidentiality, pengirim data dapat mengengkripsi paket data sebelum dilakukan transmit data.
2.      Data Integrity, penerima dapat mengotentifikasi paket yang dikirimkan oleh pengirim untuk meyakinkan bahwa data tidak dibajak selama transmisi.
3.      Data Origin Authentication, penerima dapat mengotentifikasi asal dari paket IPSEC yang dikirimkan.
4.      Anti Replay, penerima dapat mendeteksi dan menolak paket yang telah dibajak.

D.    Kelebihan IPSec
1.      IPsec dapat melindungi protokol apa pun yang berjalan di atas IP dan pada medium apa pun yang dapat digunakan IP, sehingga IPsec merupakan suatu metode umum yang dapat menyediakan keamanan komunikasi melalui jaringan computer.
2.      IPsec menyediakan keamanan secara transparan, sehingga dari sisi aplikasi, user tidak perlu menyadari keberadaannya
3.       IPsec dirancang untuk memenuhi standar baru IPv6 tanpa melupakan IPv4 yang sekarang digunakan
4.      Perancangan IPsec tidak mengharuskan penggunaan algoritma enkripsi atau hash tertentu sehingga jika algoritma yang sering digunakan sekarang telah dipecahkan, fungsinya dapat diganti dengan algoritma lain yang lebih sulit dipecahkan.

E.     Kelemahan IPSec
1.      IPsec terlalu kompleks, penyediaan beberapa fitur tambahan dengan menambah kompleksitas yang tidak perlu .
2.      Beberapa dokumentasinya masih mengandung beberapa kesalahan, tidak menjelaskan  beberapa penjelasan esensial, dan ambigu.
3.      Beberapa algoritma default yang digunakan dalam IPsec telah dapat dipecahkan/dianggap tidak aman (misalnya DES yang dianggap tidak aman dan MD5 yang telah mulai berhasil diserang. Algoritma penggantinya telah tersedia dan administrator sistem sendiri yang harus memastikan bahwa mereka menggunakan algoritma lain untuk mendapatkan keamanan yang lebih tinggi.

F.     Security architecture
IPSec bekerja pada lapisan network, memproteksi dan mengotentifikasi komunikasi paket IP antara host dan berfungsi baik pada lalu lintas IPv6 maupun IPv4. IPSec ini sebenarnya adalah fitur yang dimiliki oleh IPv6 namun oleh beberapa developer diaplikasikan kedalam IPv4.

IPSec mempunyai 4 buah elemen, yaitu :
1.  AH (authentication header )
2.  ESP (encasulapting security payload)
3.  IPcomp (IP payload compression)
4.  IKE (internet key exchange)

G.    Authentication Header
Protokol Authentication Header (AH) menawarkan autentikasi pengguna dan perlindungan dari beberapa serangan (umumnya serangan man in the middle), dan juga menyediakan fungsi autentikasi terhadap data serta integritas terhadap data. Protokol ini mengizinkan penerima untuk merasa yakin bahwa identitas si pengirim adalah benar adanya, dan data pun tidak dimodifikasi selama transmisi. Namun demikian, protokol AH tidak menawarkan fungsi enkripsi terhadap data yang ditransmisikannya. Informasi AH dimasukkan ke dalam header paket IP yang dikirimkan dan dapat digunakan secara sendirian atau bersamaan dengan protokol Encapsulating Security Payload.





H.    Encapsulating Security Payload
Protokol Encapsulating Security Payload (ESP) Protokol ini melakukan enkapsulasi serta enkripsi terhadap data pengguna untuk meningkatkan kerahasiaan data. ESP juga dapat memiliki skema autentikasi dan perlindungan dari beberapa serangan dan dapat digunakan secara sendirian atau bersamaan dengan Authentication Header. Sama seperti halnya AH, informasi mengenai ESP juga dimasukkan ke dalam header paket IP yang dikirimkan.

           

I.       Security Association
Sebuah Asosiasi Keamanan (SA) adalah pembentukan atribut keamanan bersama antara dua entitas jaringan untuk mendukung komunikasi yang aman. Sebuah SA mungkin termasuk atribut seperti: algoritma kriptografi dan mode, kunci enkripsi lalu lintas, dan parameter untuk data jaringan yang akan melewati sambungan. Kerangka untuk mendirikan asosiasi keamanan disediakan oleh Internet Security Association dan Key Management Protocol (ISAKMP). Protokol seperti Internet Key Exchange dan Kerberized Negosiasi internet Keys menyediakan dikonfirmasi material kunci. Sebuah SA adalah simpleks (satu arah channel) dan koneksi logis yang mendukung dan menyediakan koneksi data yang aman antara perangkat jaringan. Persyaratan mendasar dari sebuah SA tiba ketika dua entitas berkomunikasi melalui lebih dari satu saluran. Ambil contoh pelanggan seluler dan base station. Pelanggan dapat berlangganan sendiri untuk lebih dari satu layanan.
Oleh karena itu setiap layanan mungkin memiliki layanan yang berbeda primitif seperti kunci enkripsi data algoritma, publik atau vektor inisialisasi. Sekarang untuk membuat segalanya lebih mudah, semua informasi keamanan yang dikelompokkan secara logis. Ini kelompok logis itu sendiri adalah Asosiasi Keamanan. Setiap SA memiliki ID sendiri disebut SAID. Jadi sekarang base station dan pelanggan seluler akan berbagi SAID dan mereka akan memperoleh semua parameter keamanan, membuat hal-hal jauh lebih mudah. Singkatnya, sebuah SA adalah kelompok logis dari parameter keamanan yang memungkinkan berbagi informasi kepada entitas lain.

J.      Modes Of Operation
IPsec dapat diimplementasikan dalam mode transportasi host-to-host, serta dalam modus jaringan terowongan.
Transportasi modus
Dalam modus transportasi, hanya payload dari paket IP biasanya dienkripsi dan / atau disahkan. Routing utuh, karena header IP tidak diubah atau dienkripsi, namun ketika header otentikasi yang digunakan, alamat IP tidak dapat diterjemahkan, karena hal ini akan membatalkan nilai hash. Transportasi dan lapisan aplikasi selalu dijamin dengan hash, sehingga mereka tidak dapat diubah dengan cara apapun (misalnya dengan menerjemahkan nomor port). Sebuah sarana untuk merangkum pesan IPsec untuk NAT traversal telah didefinisikan oleh dokumen RFC menggambarkan mekanisme NAT-T.

Terowongan modus
Dalam modus terowongan, paket IP seluruh dienkripsi dan / atau disahkan. Hal ini kemudian dikemas ke dalam paket IP baru dengan header IP yang baru. Modus terowongan yang digunakan untuk membuat jaringan pribadi virtual untuk jaringan-jaringan komunikasi (misalnya antara router ke situs link), host-to-jaringan komunikasi (misalnya akses pengguna jarak jauh), dan host-to-host komunikasi (chat pribadi misalnya).



1.      Cryptographic algorithms
Algoritma kriptografi didefinisikan untuk digunakan dengan IPsec meliputi:
·         HMAC-SHA1 untuk perlindungan integritas dan keaslian
·         TripleDES-CBC untuk kerahasiaan
·         AES-CBC untuk kerahasiaan
Mengacu pada RFC 4835 untuk rincian.

2.      Software implementations
IPsec dukungan biasanya diimplementasikan dalam kernel dengan manajemen kunci dan ISAKMP / IKE negosiasi dilakukan dari user-space. Ada IPsec implementasi seringkali mencakup.

3.      Standards status
IPsec dikembangkan bersama dengan IPv6 dan harus tersedia di semua standar-compliant implementasi IPv6 meskipun tidak semua implementasi IPv6 termasuk dukungan IPsec, adalah opsional untuk IPv4 implementasi. Namun, karena penyebaran lambat IPv6, IPsec ini paling sering digunakan untuk mengamankan IPv4 lalu lintas. Protokol IPsec awalnya didefinisikan dalam RFC 1825 dan RFC 1829, yang diterbitkan pada tahun 1995. Pada tahun 1998, dokumen-dokumen tersebut digantikan oleh RFC 2401 dan RFC 2412 dengan aspek kompatibel, meskipun mereka secara konseptual identik. Selain itu, sebuah saling otentikasi dan pertukaran kunci protokol Internet Key Exchange (IKE) didefinisikan untuk membuat dan mengelola asosiasi keamanan. Pada bulan Desember 2005, standar baru didefinisikan dalam RFC 4301 dan RFC 4309 yang sebagian besar merupakan superset dari edisi sebelumnya dengan versi kedua dari Bursa kunci standar Internet IKEv2. Ini generasi ketiga dokumen standar singkatan dari IPsec menjadi huruf besar "IP" dan huruf kecil "sec". Hal ini tidak biasa untuk melihat produk yang menawarkan dukungan untuk RFC 1825 dan 1829. "ESP" umumnya mengacu pada RFC 2406, sedangkan ESPbis mengacu pada RFC 4303. Sejak pertengahan 2008, sebuah Pemeliharaan IPsec dan kelompok Ekstensi bekerja aktif di IETF.


K.    Kesimpulan

a.       Internet Protocol Security (IPsec) merupakan protokol mengamankan Internet Protocol (IP) komunikasi dengan otentikasi dan mengenkripsi setiap paket IP dari suatu sesi komunikasi.
b.      Internet Protocol Security (IPsec) digunakan dalam melindungi arus data antara sepasang host (host-to-host),  jaringan-jaringan, atau antara gateway keamanan dan host (jaringan-to-host)
c.        IPsec terdiri atas dua bagian utama yaitu Protokol penambahan header pada paket IP (AH dan ESP) dan  IKE
d.      Kriptografi merupakan teknik-teknik IPsec yang digunakan  dalam menyediakan layanan keamanan Authentication, Data Integrity, dan Confidentiality.
e.        Authentication dan Data Integrity disediakan oleh protokol AH dan ESP dengan menggunakan HMAC.
f.       Confidentiality disediakan oleh protokol ESP dengan mengunakan algoritma kriptografi
g.      IPsec masih dianggap sebagai solusi terbaik dalam menyediakan keamanan dalam komunikasi melalui jaringan computer, meskipun masih memiliki kekurangan.







0 Response to "IP Security"

Post a Comment

Subscribe to: Post Comments (Atom)