System Overview IPSec
IPSec
didesain untuk menyediakan interoperabilitas, kualitas yang baik, sekuriti
berbasis kriptografi untuk IPv4 dan IPv6. layanan yang disediakan meliputi kontrol akses, integritas hubungan,
otentifikasi data asal, proteksi jawaban lawan, kerahasiaan (enkripsi), dan
pembatasan aliran lalulintas kerahasiaan. Layanan-layanan ini tersedia dalam IP
layer, memberi perlindungan pada IP dan layer protokol berikutnya. IP Security
menyediakan sederet layanan untuk mengamankan komunikasi antar komputer dalam
jaringan. Selain itu juga menambah integritas dan kerahasiaan, penerima jawaban
optional (penyortiran jawaban) dan otentifikasi data asal (melalui manajemen
kunci SA), IP Security juga menyediakan kontrol akses untuk lalulintas yang
melaluinya. Tujuan-tujuan ini dipertemukan dengan dipertemukan melalui
penggunaan dua protokol pengamanan lalulintas yaitu AH (Authentication Header)
dan ESP (Encapsulating Security Payload) dan dengan penggunan prosedur dan
protokol manajemen kunci kriptografi. Jika mekanisme ini diimplementasikan
sebaiknya tidak merugikan pengguna, host dan komponen internet lainnya yang
tidak mengguankan mekanisme ini untuk melindungi lalulintas data mereka.
Mekanisme ini harus fleksibel dalam menggunakan akgtoritma keamanan, maksudnya
yaitu modul ini dapat mengguanakan algoritma sesuai dengan pilihan tanpa
mempengaruhi komponen implementasi lainnya. Penggunaan algoritma defaultnya
harus dapat memfasilitasi interoperabilitas dalam internet pada umumnya. Pengguanaan
algoritma ini dalam hubungannya dengan rpoteksi lalulintas (IPSec traffic
protection) dan protokol manajemen kunci (key managemen protocols), bertujuan
memperbolehkan sistem dan pengembang aplikasi untuk meningkatkan kualitas yang
tinggi, internet layer, teknologi
keamanan berbasis kriptografi.
IPSec
protokol yang dikombinasikan dengan algoritma default-nya didesain untuk
menyediakan keamanan lalu lintas internet yang baik. Bagaimanapun juga keaaman
yang diberikan oleh protokol ini sebenarnya bergantung pada kualitas dari
implementasi, yang mana implementasi ini diluar lingkup dari standarisasi ini.
Selain itu keamanan sistem komputer atau jaringan adalah fungsi dari banyak
faktor, meliputi individu, fisik, prosedur, sumber kecurigaan dan praktek keamananan
komputer dalam dunia nyata. IPSec hanya salah satu komponen dari arsitektur
sistem keamanan. Keamanan yang didapat dari pemakaian IPSec bergantung pada
lingkungan operasi dimana implementasi IPSec dijalankan. Sebagai contoh
kerusakan dalam keamanan sistrem operasi.
Definisi IPSec
IPSec
menyediakan layanan sekuritas pada IP layer dengan mengizinkan sistem untuk
memilih protokol keamanan yang diperlukan, memperkirakan algoritma apa yang
akan digunakan pada layanan, dan menempatkan kunci kriptografi yang diperlukan
untuk menyediakan layanan yang diminta. IPSec dapat digunakan untuk memproteksi
satu atau lebih path antara sepasang Host, antara sepasang security gateway,
atau antara security gateway dengan Host (istilah security gateway mengacu pada
sistem intermediate yang menggunakan protokol IPSec, misalkan router dan
firewall yang mengimplementasikan
IPSec).
Layanan dari sekuritas yang disediakan oleh IPSec meliputi kontrol akses,
integritas dan lain-lain seperti tesebut dibagian atas bekerja pada IP layer
oleh karena itu layanan ini dapat digunakan oleh layer protokol yang lebih
tinggi seperti TCP, UDP, ICMP, BGP dan lain-lain. IPSec DOI juga mendukung
kompresi IP [SMPT 98] dimotivasi dari pengamatan bahwa ketika kompresi
diterapkan dalam IPSec, hal ini akan mencegah kompresi efektif pada protokol
yang lebih rendah.
Bagaimana IPSec bekerja
IPSec
menggunakan dua protokol untuk menyediakan layanan keamanan lalulintas yaitu
Authentication Header (AH) and Encapsulating Security Payload (ESP). Implementasi
IPSec harus mendukung ESP dan juga AH.
- Protokol AH menyediakan integritas hubungan, otentifikasi data asal dan layanan anti jawaban.
- Protokol ESP menyediakan kerahasiaan (enkripsi), dan pembatasan aliran lalulintas kerahasiaan. ESP juga menyediakan layanan integritas hubungan, otentifikasi data asal dan layanan anti jawaban.
- Kedua protokol ini merupakan pembawa kontrol akses berbasis distribusi kunci kriptografi dan manajemen aliran lalulintas relatif terhadap protokol keamanan.
Protokol-protokol
ini dapat diterapakan secara sendiri-sendiri atau dikombinasikan antara
keduanya untuk menyediakan layanan keamanan yang diinginkan dalam IPv4 dan
IPv6. Masing-masing protokol mendukung dua mode penggunaan: mode transport dan
mode x. Dalam mode transport protokol menyediakan proteksi terutama untuk layer
protokol berikutnya. Sedangkan dalam mode tunnel protokol diterapkan untuk
meneruskan paket IP. Perbedaan antara kedua mode tersebut dijelaskan pada
bagian berikutnya.
IPSec
mengizinkan pengguna (administrator sistem) untuk mengontrol bagian-bagian
terkecil dimana layanan keamanan diberikan. Sebagai contoh, salah satu dapat
membuat tunnel enkripsi tunggal untuk membawa semua lalulintas antara dua
sekurity gateway atau membuat tunnel enkripsi terpisah yang dibuat di
masing-masing hubungan TCP antara sepasang Host yang berkomunikasi melintasi
gateway tersebut. Manajemen IPSec harus menggabungkan fasilitas untuk
menspesifikasikan:
- Layanan keaman apa yang digunakan dan dengan kombinnasi yang seperti apa.
·
bagian Sekecil apa proteksi
keamanan diterapkan.
·
Algoritma yang digunakan untuk
mempengaruhi keamanan berbasis kriptografi.
Karena
layanan keaman ini menggunakan nilai rahasia yang di-share (cryptographic
keys), IPSec mengandalkan mekanisme terpisah untuk menempatkan kunci ini.
(kunci ini digunakan untuk layanan otentifikasi/integritas dan layanan
enkripsi).
Dimana IPSec diimplementasikan
Ada
berbagai macam cara pengimplementasian IPSec dalam host atau hubungan dengan
firewall atau router (untuk menciptakan sebuah security gateway). Beberapa
contoh implementasi tersebut dijelaskan dibawah ini:
a.
Integrasi IPSec kedalam
implementasi native IP. Cara ini membutuhkan akses ke source code IP dan cara
ini mudah diaplikasikan untuk host dan security gateway.
b.
Implementasi Bump-In-The-Stack
(BITS), dimana IPSec diimplementasikan dibawah implementasi protokol stack IP
yang sudah ada, diantara native IP (IP asli) dan driver jaringan lokal. Akses
source code untuk IP stack tidak diperlukan dalam konteks ini, membuat
implementasi ini mendekati pengguanaan yang sesuai dengan sistem pewarisan.
Pendekatan ini kita digunakan, pada umumnya digunakan dalam Host.
c.
Penggunaan pengolah kriptografi
outboard merupakan desain keamanan karingan yang umum digunakan oleh militer
dan beberapa sistem komersil. Sistem ini kadang dikenal sebagai implementasi
Bump-In-The-Wire (BITW). Implementasi seperti itu dirancang untuk melayani Host
atau Gateway ( atau keduanya). Biasanya device BITW adalah IP berpetunjuk.
Apabila menyokong hanya Host tunggal maka ananlogi dengan BITS, tapi apabila
menyokong router atau firewall maka harus berperilaku sebagai security gateway.
No comments:
Post a Comment