Sistem pengaman komputer 8

8/7/2019 Sistem pengaman komputer 8

http://slidepdf.com/reader/full/sistem-pengaman-komputer-8 1/32

Teknik Informatika Untag SurabayaSPK -- Dosen : Andre Yahya W., S.T 1

IP SECURITY




IP SECURITY (IPSec)

IP Security (IPSec) adalah suatu teknologiyang dipakai untuk meng-encrypt lalu lintas jaringan, IPSec merupakan sebuah protokol

yang digunakan untuk mengamankantransmisi datagram dalam sebuahinternetwork berbasis TCP/IP. IPSecmemungkinkan transfer data yang aman di

antara client-client yang jauh dan serverperusahaan secara pribadi melalui virtualprivate network (VPN).




IPSec mendefiniskan beberapa standar untukmelakukan enkripsi data dan juga integritas datapada lapisan kedua dalam DARPA ReferenceModel (internetwork layer).

IPSec didefinisikan oleh badan InternetEngineering Task Force (IETF) dan melakukanenkripsi terhadap data pada lapisan yang samadengan protokol IP dan menggunakan teknik

tunneling untuk mengirimkan informasi melalui jaringan Internet atau dalam jaringan Intranetsecara aman.

IP SECURITY (IPSec)




Application Application

Transport Transport

Internet Protocol Internet Protocol

Net. Interface

Physical Net

identical

segmen

identical

packet

identicalframe

identical

datagram

Host A Host B

Net. Interface

TCP/IP Layer




Definisi IPSec

IPSec menyediakan layanan sekuritas pada IPlayer.

IPSec dapat digunakan untuk memproteksisatu atau lebih path antara sepasang Host,

antara sepasang security gateway, atau antarasecurity gateway dengan Host. Layanan meliputi kontrol akses, integritas

hubungan, otentifikasi data asal, proteksi jawaban lawan, kerahasiaan (enkripsi), dan

pembatasan aliran lalulintas kerahasiaan. Dapat digunakan oleh layer protokol yang lebih

tinggi seperti TCP, UDP, ICMP, BGP dan lain-lain.




Bagaimana IPSec bekerja

IPSec menggunakan dua protokol untukmenyediakan layanan keamanan lalulintasyaitu Authentication Header (AH) andEncapsulating Security Payload (ESP).Implementasi IPSec harus mendukungESP dan juga AH.

Protokol AH menyediakan integritashubungan, otentifikasi data asal danlayanan anti jawaban.




Protokol ESP menyediakan kerahasiaan(enkripsi), dan pembatasan aliranlalulintas kerahasiaan. ESP jugamenyediakan layanan integritashubungan, otentifikasi data asal danlayanan anti jawaban.

Kedua protokol ini merupakan pembawa

control akses berbasis distribusi kuncikriptografi dan manajemen aliran lalulintasrelatif terhadap protokol keamanan.

Bagaimana IPSec bekerja




Authentication Header (AH)

AH menawarkan autentikasi pengguna danperlindungan dari beberapa serangan (umumnyaserangan man in the middle), dan jugamenyediakan fungsi autentikasi terhadap data

serta integritas terhadap data. Protokol inimengizinkan penerima untuk merasa yakin bahwaidentitas si pengirim adalah benar adanya, dandata pun tidak dimodifikasi selama transmisi.Namun demikian, protokol AH tidak menawarkanfungsi enkripsi terhadap data yangditransmisikannya. Informasi AH dimasukkan kedalam header paket IP yang dikirimkan dan dapatdigunakan secara sendirian atau bersamaandengan protokol Encapsulating Security Payload.




Authentication Header




Encapsulating Security Payload (ESP).

Protokol ini melakukan enkapsulasi sertaenkripsi terhadap data pengguna untukmeningkatkan kerahasiaan data. ESP juga

dapat memiliki skema autentikasi danperlindungan dari beberapa serangan dandapat digunakan secara sendirian ataubersamaan dengan Authentication Header.

Sama seperti halnya AH, informasi mengenaiESP juga dimasukkan ke dalam header paketIP yang dikirimkan.




Encapsulating Security Payload




Dimana IPSec diimplementasikan

Beberapa contoh implementasi IPSecdalam host atau hubungan untukmenciptakan sebuah security gateway :

1.Integrasi IPSec kedalamimplementasi native IP (IP asli). Caraini membutuhkan akses ke source

code IP dan cara ini mudahdiaplikasikan untuk host dan securitygateway.




2. Implementasi Bump-In-The-Stack (BITS),dimana IPSec diimplementasikandibawah implementasi protokol stack IPyang sudah ada, diantara native IP (IPasli) dan driver jaringan lokal. Aksessource code untuk IP stack tidak

diperlukan dalam konteks ini.





3. Penggunaan pengolah kriptografioutboard. Sistem ini kadang dikenalsebagai implementasi Bump-In-The-Wire(BITW). Implementasi seperti itu

dirancang untuk melayani Host atauGateway ( atau keduanya). Apabilamendukung hanya Host tunggal makaanalogi dengan BITS, tapi apabila

mendukung router atau firewall makaharus berperilaku sebagai securitygateway.





Security Association

Security Association adalah suatuhubungan simplex yang menghasilkanlayanan keamanan lalulintas yang

dibawanya. Layanan keamanan inidihasilkan oleh SA dengan penggunaanAH atau ESP tapi bukan penggunaan

keduanya.




SA Mode

Masing-masing protokol mendukung duamode penggunaan: mode transport danmode tunnel. Dalam mode transport

protokol menyediakan proteksi terutamauntuk layer protokol berikutnya.Sedangkan dalam mode tunnel protokol

diterapkan untuk meneruskan paket IP.




Penggabungan SA

Security Association dapat digabungkanmenjadi satu kemasan dengan dua cara,yaitu transport adjacency dan iterated

tunneling.1. Transport Adjacency*.

Cara ini mengacu pada penggunaan lebih

dari satu protokol security dalam datagramIP yang sama, tanpa melibatkan tunneling.

(*) Sebuah hubungan yang terbentuk antara router tertentu yang berdekatan dan node terakhir dari suatu jaringan, dengan tujuan agar dapatmelakukan pertukaran informasi routing. adjacency dilakukan berdasarkan penggunaan segment media yang sama.




Penggabungan SA (Transport Adjacency)

Host 1 Security

Gwy 2

InternetSecurity

Gwy 1

Host 2

Security Association 1 (ESP Transport)

Security Association 2 (AH Transport)




2. Iterated TunnelingAda tiga basic kasus pada iteratedtunneling, yaitu:

a. Kedua ujung (endpoint) untuk SA adalahsama. Tunnel dalam atau tunnel luarkeduanya dapat berupa AH atau ESP.

b.Salah satu dari ujung SA adalah sama

c. Tidak ada ujung yang sama

Penggabungan SA (Iterated Tunneling)





Host 1 Security

Gwy 2

InternetSecurity

Gwy 1

Host 2

Security Association 1 (Tunnel)

Security Association 2 (Tunnel)

a.Kedua ujung (endpoint) untuk SAadalah sama




b. Salah satu dari ujung SA adalahsama

Host 1 Security

Gwy 2

internetSecurity

Gwy 1

Host 2

Security Association 1 (tunnel)






c. Tidak ada ujung yang sama

Host 1 Security

Gwy 2

internetSecurity

Gwy 1

Host 2

Security Association 1

(tunnel)






Virtual Private Network

Virtual Networking: menciptakan‘tunnel’ dalam jaringan yang tidak harusdirect. Sebuah ‘terowongan’ diciptakan

melalui public network seperti Internet.Jadi seolah-olah ada hubungan point-to- point dengan data yang dienkapsulasi.

Private Networking: Data yangdikirimkan terenkripsi, sehingga tetaprahasia meskipun melalui public network.




Diagram VPN




Cara Kerja VPN

VPN bisa bekerja dengan cara:

dial-up

bagian dari router-to-router




Skenario VPN

Remote Access VPN

1. Home user atau mobile user men-dialke ISP.

2. Setelah ada koneksi Internet, clientmenghubungkan diri ke remoteaccess server yang telah

dikonfigurasikan dengan VPN.3. User diotentikasi, dan akses

kemudian diizinkan.




Remote Access VPN




Virtual Private Extranets

Untuk menghubungkan partner, supplier ataucustomer, seperti dalam B2B e-commerce. Halyang penting adalah melindungi LAN (intranet)

dari akses yang mungkin merugikan dari luar.Oleh karena itu harus dilindungi oleh firewall.

Koneksi client ke intranet dengan VPN diperimeter network. Karena biasanya yang

diakses adalah web server, maka web server juga ada di perimeter network




Virtual Private Extranets




VPN Connections Between Branch Offices

Disebut juga gateway-to-gateway

atau router-to-router configuration .Routernya harus disetup sebagai

VPN server dan client.




VPN Connections Between Branch Offices



Teknik Informatika Untag SurabayaSPK -- Dosen : Andre Yahya W S T 32

Tugas :

IP filtering

Network Address Translation (NAT)

IP Security Architecture (IPsec)

SOCKS Secure Shell (SSH) Secure Sockets Layer (SSL)

Application proxies

Firewalls

Kerberos and other authentication systems (AAAservers)

Secure Electronic Transactions (SET)

Sistem pengaman komputer 8

Documents