Keamanan IP (IP Security)

System Overview  IPSec

IPSec didesain untuk menyediakan interoperabilitas, kualitas yang baik, sekuriti berbasis kriptografi untuk IPv4 dan IPv6. layanan yang disediakan  meliputi kontrol akses, integritas hubungan, otentifikasi data asal, proteksi jawaban lawan, kerahasiaan (enkripsi), dan pembatasan aliran lalulintas kerahasiaan. Layanan-layanan ini tersedia dalam IP layer, memberi perlindungan pada IP dan layer protokol berikutnya. IP Security menyediakan sederet layanan untuk mengamankan komunikasi antar komputer dalam jaringan. Selain itu juga menambah integritas dan kerahasiaan, penerima jawaban optional (penyortiran jawaban) dan otentifikasi data asal (melalui manajemen kunci SA), IP Security juga menyediakan kontrol akses untuk lalulintas yang melaluinya. Tujuan-tujuan ini dipertemukan dengan dipertemukan melalui penggunaan dua protokol pengamanan lalulintas yaitu AH (Authentication Header) dan ESP (Encapsulating Security Payload) dan dengan penggunan prosedur dan protokol manajemen kunci kriptografi. Jika mekanisme ini diimplementasikan sebaiknya tidak merugikan pengguna, host dan komponen internet lainnya yang tidak mengguankan mekanisme ini untuk melindungi lalulintas data mereka. Mekanisme ini harus fleksibel dalam menggunakan akgtoritma keamanan, maksudnya yaitu modul ini dapat mengguanakan algoritma sesuai dengan pilihan tanpa mempengaruhi komponen implementasi lainnya. Penggunaan algoritma defaultnya harus dapat memfasilitasi interoperabilitas dalam internet pada umumnya. Pengguanaan algoritma ini dalam hubungannya dengan rpoteksi lalulintas (IPSec traffic protection) dan protokol manajemen kunci (key managemen protocols), bertujuan memperbolehkan sistem dan pengembang aplikasi untuk meningkatkan kualitas yang tinggi,  internet layer, teknologi keamanan berbasis kriptografi.

IPSec protokol yang dikombinasikan dengan algoritma default-nya didesain untuk menyediakan keamanan lalu lintas internet yang baik. Bagaimanapun juga keaaman yang diberikan oleh protokol ini sebenarnya bergantung pada kualitas dari implementasi, yang mana implementasi ini diluar lingkup dari standarisasi ini. Selain itu keamanan sistem komputer atau jaringan adalah fungsi dari banyak faktor, meliputi individu, fisik, prosedur, sumber kecurigaan dan praktek keamananan komputer dalam dunia nyata. IPSec hanya salah satu komponen dari arsitektur sistem keamanan. Keamanan yang didapat dari pemakaian IPSec bergantung pada lingkungan operasi dimana implementasi IPSec dijalankan. Sebagai contoh kerusakan dalam keamanan sistrem operasi.

Definisi IPSec

IPSec menyediakan layanan sekuritas pada IP layer dengan mengizinkan sistem untuk memilih protokol keamanan yang diperlukan, memperkirakan algoritma apa yang akan digunakan pada layanan, dan menempatkan kunci kriptografi yang diperlukan untuk menyediakan layanan yang diminta. IPSec dapat digunakan untuk memproteksi satu atau lebih path antara sepasang Host, antara sepasang security gateway, atau antara security gateway dengan Host (istilah security gateway mengacu pada sistem intermediate yang menggunakan protokol IPSec, misalkan router dan firewall yang mengimplementasikan

IPSec). Layanan dari sekuritas yang disediakan oleh IPSec meliputi kontrol akses, integritas dan lain-lain seperti tesebut dibagian atas bekerja pada IP layer oleh karena itu layanan ini dapat digunakan oleh layer protokol yang lebih tinggi seperti TCP, UDP, ICMP, BGP dan lain-lain. IPSec DOI juga mendukung kompresi IP [SMPT 98] dimotivasi dari pengamatan bahwa ketika kompresi diterapkan dalam IPSec, hal ini akan mencegah kompresi efektif pada protokol yang lebih rendah.

Bagaimana IPSec bekerja

IPSec menggunakan dua protokol untuk menyediakan layanan keamanan lalulintas yaitu Authentication Header (AH) and Encapsulating Security Payload (ESP). Implementasi IPSec harus mendukung ESP dan juga AH.

• Protokol AH menyediakan integritas hubungan,  otentifikasi data asal dan layanan anti jawaban.
• Protokol ESP menyediakan kerahasiaan (enkripsi), dan pembatasan aliran lalulintas kerahasiaan. ESP juga menyediakan layanan integritas hubungan,  otentifikasi data asal dan layanan anti jawaban.
• Kedua protokol ini merupakan pembawa kontrol akses berbasis distribusi kunci kriptografi dan manajemen aliran lalulintas relatif terhadap protokol keamanan.

Protokol-protokol ini dapat diterapakan secara sendiri-sendiri atau dikombinasikan antara keduanya untuk menyediakan layanan keamanan yang diinginkan dalam IPv4 dan IPv6. Masing-masing protokol mendukung dua mode penggunaan: mode transport dan mode x. Dalam mode transport protokol menyediakan proteksi terutama untuk layer protokol berikutnya. Sedangkan dalam mode tunnel protokol diterapkan untuk meneruskan paket IP. Perbedaan antara kedua mode tersebut dijelaskan pada bagian berikutnya.

IPSec mengizinkan pengguna (administrator sistem) untuk mengontrol bagian-bagian terkecil dimana layanan keamanan diberikan. Sebagai contoh, salah satu dapat membuat tunnel enkripsi tunggal untuk membawa semua lalulintas antara dua sekurity gateway atau membuat tunnel enkripsi terpisah yang dibuat di masing-masing hubungan TCP antara sepasang Host yang berkomunikasi melintasi gateway tersebut. Manajemen IPSec harus menggabungkan fasilitas untuk menspesifikasikan:

• Layanan keaman apa yang digunakan dan dengan kombinnasi yang seperti apa.

·         bagian Sekecil apa proteksi keamanan diterapkan.

·         Algoritma yang digunakan untuk mempengaruhi keamanan berbasis kriptografi.

Karena layanan keaman ini menggunakan nilai rahasia yang di-share (cryptographic keys), IPSec mengandalkan mekanisme terpisah untuk menempatkan kunci ini. (kunci ini digunakan untuk layanan otentifikasi/integritas dan layanan enkripsi).

Dimana IPSec diimplementasikan

Ada berbagai macam cara pengimplementasian IPSec dalam host atau hubungan dengan firewall atau router (untuk menciptakan sebuah security gateway). Beberapa contoh implementasi tersebut dijelaskan dibawah ini:

a.       Integrasi IPSec kedalam implementasi native IP. Cara ini membutuhkan akses ke source code IP dan cara ini mudah diaplikasikan untuk host dan security gateway.

b.      Implementasi Bump-In-The-Stack (BITS), dimana IPSec diimplementasikan dibawah implementasi protokol stack IP yang sudah ada, diantara native IP (IP asli) dan driver jaringan lokal. Akses source code untuk IP stack tidak diperlukan dalam konteks ini, membuat implementasi ini mendekati pengguanaan yang sesuai dengan sistem pewarisan. Pendekatan ini kita digunakan, pada umumnya digunakan dalam Host.

c.       Penggunaan pengolah kriptografi outboard merupakan desain keamanan karingan yang umum digunakan oleh militer dan beberapa sistem komersil. Sistem ini kadang dikenal sebagai implementasi Bump-In-The-Wire (BITW). Implementasi seperti itu dirancang untuk melayani Host atau Gateway ( atau keduanya). Biasanya device BITW adalah IP berpetunjuk. Apabila menyokong hanya Host tunggal maka ananlogi dengan BITS, tapi apabila menyokong router atau firewall maka harus berperilaku sebagai security gateway.