Kemarin saya menerima sms dari Indosat yang isinya seperti ini ” Kini tarif kirim MMS sama dengan tarif SMS an!! Rp350+ppn untuk kirim MMS ke nomor HP/Email. Kirim sebanyak2nya. Setting MMS: ketik MMS Merk HPmu Tipe HP ke 3000″. Iseng2 saja tadi mencoba berkirim MMS ke email saya sendiri dan memang benar tarifnya adalah Rp350+ppn 10 persen sehingga total tarifnya adalah Rp.385.
MMS Mentari dibatasi 50 kb artinya setiap pesan yang terkirim besarnya harus maksimal sebesar 50 kb. Apabila lebih dari 50kb maka akan dihitung menjadi 2 MMS (bayar 2x). Cukup murah juga sebenarnya, namun apabila dibandingkan dengan email maka lebih murah email. Perbandingannya seperti ini MMS sekali berkirim Rp.350 hanya terbatas 50kb sedangkan Email dengan Rp.350 bisa mengirim kurang lebih 350kb. Namun dilihat dari sudut lainnya MMS lebih baik yaitu dilihat dari kepraktisannya, karena MMS masuk hp seperti sms biasa.
Nomor ponsel kita akan menjadi alamat email apabila kita mengirim MMS tersebut ke email, contohnya adalah 081579XXXXX@mobile.indosat.net.id. Alamat email tersebut juga bisa kita balas dan hasilnya akan masuk ke ponsel yang dituju dalam bentuk MMS. Dengan kata lain Anda bisa mengirimkan MMS kepada teman Anda melalui email, dengan alamat email: no_ponsel@mobile.indosat.net.id. Namun saat saya coba mengirim dengan menggunakan email pop3 pesan yang diterima menjadi tidak karuan. Namun apabila menggunakan webmail maka akan terkirim ke ponsel dengan baik.
Setting MMS Mentari untuk SEW810 ada disini apabila ingin melalui OTA bisa mengetik MMS MerkHP TipeHp kirim ke 3000. Misalnya: MMS SE w810i kemudian kirim ke 3000.
Apabila ponsel Anda tidak mempunyai sarana MMS atau MMS belum disetting maka Anda akan dikirimi link untuk membuka MMS tersebut melalui internet. Caranya adalah dengan mengetik alamat internet sesuai dengan yang disebutkan di sms tersebut. Biasanya alamatnya adalah https://202.93.36.12/mms/. Jangan lupa untuk menulis “s” pada akhir http. Karena sambungan yang dibutuhkan adalah sambungan aman. Apabila muncul pertanyaan mengenai sertifikat Indosat, klik Accept. Kemudian masukkan pincode Anda. Maka MMS Anda akan terbuka.
Selamat berMMS
Tuesday, July 29, 2008
Saturday, July 26, 2008
Mengatasi Lupa Password DeepFreeze ( Berbagai versi )
Masalah mengatasi lupa password DeepFreeze tampaknya jadi topik hangat yang terus berkelanjutan. Bertahun-tahun lewat topik yang sama ternyata terus saja ditanyakan orang. Ada banyak cara untuk mengatasi lupa password DF. Tetapi memang ada cara yang enak dan cara yang kurang enak. Ada cara yang berlaku untuk DF versi tertentu saja. Ada juga cara yang bisa kita anggap berlaku umum.
Bagi anda yang belum tahu saya kenalkan singkat saja : Apa itu DeepFreeze ???
Deep Freeze merupakan salah satu program 'pengaman' paling populer di Warnet. Setahu saya banyak sekali warnet yang mengamankan komputernya dengan Deep Freeze. Program ini memiliki fitur dan tampilan yang sederhana tetapi cukup powerfull, yaitu mengembalikan apa saja baik system maupun data yang dia proteksi saat komputer restart. Jadi biarpun ada user usil yang merubah bahkan merusak system atau ada virus yang membuat system tidak karuan - drive yang diproteksi akan dikembalikan dengan cepat seperti semula.
Cara kerjanya DF tidak langsung melakukan bloking yang langsung bisa kita lihat. Tetapi begitu komputer restart, DF akan menendang apa saja selain hasill setting mula-mula pada drive yang dia proteksi. Jadi file yang anda hapus akan dikembalikan lagi, file yang anda ubah atau anda simpan baru juga akan dihapus. Intinya kembali ke kondisi drive semula.
Biasanya admin warnet membagi harddisknya menjadi dua partisi atau lebih yaitu drive C yang biasanya diproteksi dengan Deep Freeze serta drive lain yang berisi data user. Jadi user masih bisa menyimpan datanya di harddisk warnet tanpa ada masalah kehilangan data.
Masalahnya : Banyak admin warnet yang saking keenakan dengan kehebatan Deep Freeze malah jadi terlena sehingga dia malah jadi lupa password yang dulu pernah dia masukkan.
Setelah berbulan-bulan atau berminggu-minggu lewat, ketika dia ingin menginstall program baru, admin ini bingung karena password Deep Freezenya lupa. Kalau Deep Freeze tidak didisable dulu (Boot Thawed) maka program yang diinstall otomatis akan dihapus lagi oleh DeepFreeze. Sementara untuk mendisable Deep Freeze, dia butuh password yang dulu dia masukkan. DeepFreeze (serta banyak juga program security yang lain) tidak bisa diuninstall atau tidak mau diinstall ulang bila proteksinya belum dibuka terlebih dahulu.
Untuk menginstall ulang atau menguninstall DeepFreeze, caranya proteksinya harus dibuka dulu, setelah itu baru kita jalankan file instalasinya. Jadi yang kita butuhkan adalah pertama : password yang dulu pernah kita masukkan pada file konfigurasi DeepFreeze serta yang kedua : file instalasi Deep Freeze. Bila anda tidak memiliki keduanya anda tidak bisa menguninstall DeepFreeze. Tentu saja yang saya maksud di sini adalah uninstall secara normal - sedangkan bila anda memang lupa passwordnya, anda jangan terlalu khawatir karena ada banyak trick untuk menguninstall maupun mereset password DeepFreeze.
Berikut ini berbagai macam cara untuk menaklukkan DF yang passwordnya kita lupa :
Untuk membuka password Deep Freeze versi 5, sekarang sudah ada program pembuka proteksinya yaitu bernama Deep Freeze Unfreezer. Anda bisa mencoba mencari di http://www.unfreezer.cjb.net/ atau http://newsoftwarelist.com/utilities/deep-freeze-unfreezer atau cari di Google dengan kata kunci : Unfreezer.
Cara memakainya mudah sekali, persis seperti memakai DeepFreeze. Anda tinggal memilih Boot Froozen, Boot Thawed on Next atau Boot Thawed. Pilih saja Boot Thawed, maka proteksi Deep Freeze akan dibuka. (yang dibuka adalah proteksi DeepFreeze bukan passwordnya)
Setelah komputer anda restart, tampak icon DeepFreeze pada Taskbar ada tanda silangnya, menunjukkan proteksi DeepFreeze tidak aktif. Anda tetap tidak bisa masuk DeepFreeze karena bukan passwordnya yang direset tetapi proteksinya. Tetapi sekarang anda sudah bisa menguninstall DeepFreeze. Buka file yang anda gunakan untuk menginstall DeepFreeze. Jika tidak punya, ya terpaksa cari di internet atau pinjam milik Warnet lain. Sekarang anda sudah diperbolehkan masuk ke dalam file instalasinya. Anda bisa menguninstall DeepFreeze. Trick ini sudah saya coba untuk DeepFreeze5.20.
Untuk DeepFreeze versi Evaluation, selain memakai Unfreezer, anda bisa juga mencoba merubah jam komputer menjadi 60 hari atau lebih berikutnya. Bila 60 hari masih belum bisa ya anda ubah lagi ke tanggal lain, misalnya saja 100 hari atau 1 tahun sekalian. Ini akan membuka proteksi Deep Freeze. Lalu langkah berikutnya sama yaitu jalankan lagi file instalasinya.
- Untuk membuka Deep Freeze versi lama yaitu Deep Freeze versi 3 (untuk Win98) juga ada pembuka passwordnya yaitu XDeepFreeze.exe.
Secara garis besar caranya adalah sebagai berikut :
Cari XdeepFreeze.exe di http://geocities.com/macancrew/xdeepfreeze.zip atau cari dengan Google. Ektrak ke C:\XDeepfreeze. Jalankan "Run_Me.exe" yang akan menghasilkan file "mcr.bat" dan "XDeepFreeze.exe" akan terload.
Pada XDeepFreeze, Tekan "Stop DeepFreeze", untuk menghentikan "frzstate.exe". Pada XDeepFreeze, Tekan "Clean Registry", untuk membersihkan registry yang dibuat deepfreeze pada saat installasi. Masuk ke MS-Dos Mode, Jalankan "command.com"(Sudah disertakan pada "xdeepfreeze.zip"). Kemudian Jalankan "mcr.bat" (Berisi perintah yang akan menghapus file "persifrz.vxd"). Ketik "Exit" untuk masuk ke Windows kembali. DeepFreeze sudah tidak berfungsi lagi. Sebagai catatan karena Xdeepfreeze.exe ditulis dengan Visual Basic anda butuh Msvbvm60.dll untuk menjalankan program itu. Bagi warnet yang kebetulan masih memakai DeepFreeze versi yang lama (untuk Windows 98) maka bisa mencoba sendiri trick di atas. Trick ini seingat saya pernah diposting di Jasakom.
Membuka DeepFreeze versi 6 (versi terbaru saat ini kalo nggak salah) : Setahu saya sampai saat ini, program pembuka password DeepFreeze versi 6 belum ada.
Beberapa ide yang saya baca di internet untuk membuka program ini adalah sebagai berikut :
-Repair Instalasi Windows XP. Caranya : siapkan CD Windows XP, atur BIOS untuk Boot dari CDROM. Install Windows, pilih Repair Setup. ( Keterangan : Bila anda memakai Windows XP Professional, maka sebelum install Windows juga ada pilihan repair.Muncul 3 pilihan : Enter untuk install, tekan R untuk repair, tekan F3 untuk Quit. Pada pilihan ini yang anda pilih adalah Install Windows atau Enter, bukan Repair. Baru nanti setelah anda masuk installasi windows, anda pilih Repair).
Biarkan proses install windows sampai selesai. Selanjutnya jalankan file instalasi DeepFreeze versi 6. Sekarang anda bisa menguninstall DeepFreeze. Artikel seperti ini ada banyak di internet sehingga saya sendiri tidak tahu siapa penulis pertamanya. Salah satunya anda bisa melihat artikel ini di Dunia-Hacker ( http://duniahacker.blogspot.com )
- Ada juga ide lain untuk membuka proteksi DeepFreeze dengan cara mencabut baterai CMOS (seperti saat kita mereset password BIOS).
Selain cara-cara di atas - ada juga ide membuka password DeepFreeze dengan melakukan DisAssembler program Deepfreeze. Cara ini saya baca di forum ngeceng.com dengan topik membuka DeepFreeze. Artikel aslinya bisa anda baca di http://usuarios.arnet.com.ar/fliamarconato/
http://webs.uolsinectis.com.ar/c_delgado/
Saya pribadi membuka proteksi DeepFreeze yang terpassword dengan cara yang agak berbeda :
Kalau anda sudah berhasil membuka password program Lock It and Protect Pro, maka ide untuk membuka password DeepFreeze sebenarnya identik dengan cara membuka password program-program semacam itu. Intinya anda membuat file password baru - lalu anda tindihkan/gantikan file password baru itu untuk menggantikan file password lama - yang passwordnya anda lupa.
Password DeepFreeze tersimpan di file Persi0.sys yang terletak di drive C. (Untuk DeepFreeze 5.20). File ini kelihatan, tetapi tidak bisa anda akses lewat Windows jadi sebaiknya kita masuk lewat DOS Mode atau bila anda punya Linux, anda boleh juga pakai Linux. .
Langkah-langkahnya adalah sebagai berikut :
- Install DeepFreeze di komputer lain, yang tidak ada DeepFreeze-nya. Restart komputer.
- Masukkan password sesuka hati anda, pada contoh ini anggap saja password yang saya masukkan adalah : Bakmi. Password yang isinya “Bakmi” tersebut tersimpan di file Persi0.sys yang terletak drive C. Jika tidak terlihat, pada Tools- Folder Options, pilih Show Hidden Files and Folders serta hilangkan centang pada Hide Protected Operating System. Atau cari file tersebut dengan Find.
- Selanjutnya siapkan disket/CD DOS untuk NTFS atau CD Windows XP Professional atau Linux.
- Anggap saja kita memakai CD Windows XP Professional untuk masuk DOS versi XP(Recovery Console Windows XP). Restart komputer. Set BIOS untuk boot lewat CD. Tekan enter untuk masuk CD Windows. Tunggu sampai muncul tulisan Windows XP Professional Setup. Muncul 3 pilihan : To Setup Windows XP Now, press Enter ; To repair a Windows XP installation using Recovery Console, press R ; To quit setup without installing Windows XP, press F3. Pilih/tekan R (to repair) untuk masuk ke dalam Recovery Console.
- Isikan password admin anda. Bila dulu saat anda menginstall, tidak memasang password, tinggal tekan enter. Muncul prompt : C:\Windows>
- Copi file Persi0.sys dengan nama lain. Karena file Persi0.sys menyimpan password Bakmi, maka pada contoh ini file persi0.sys saya copi menjadi Bakmi.sys.
C:\Windows> cd c:\ ---- pindah direktori ke C:
C:\>copy persi0.sys Bakmi.sys ---- copi persi0.sys dengan nama lain
C:\>exit ---- keluar
- Masuk windows normal, copikan file Bakmi.sys di komputer teman anda tersebut ke dalam CD atau USB.
- Selanjutnya masuk komputer anda yang DeepFreeze-nya terpassword. Copikan file bakmi.sys yang sudah anda buat ke dalam drive yang tidak diproteksi oleh DeepFreeze. Bila drive C diproteksi oleh DeepFreeze maka jangan masukkan bakmi.sys ke drive C, karena file ini akan dihapus oleh DeepFreeze. Anggap saja kita kopikan bakmi.sys ke drive D. Masuk DOS untuk NTFS atau Windows Recovery Console seperti cara sebelumnya. Rename file persi0.sys dengan nama lain. Copikan file bakmi.sys di drive D menjadi persi0.sys di drive C.
C:\Windows>cd c:\ ----- pindah direktori
C:\>ren persi0.sys Cp_persi0.sys ----- rename persi0.sys dengan nama lain
C:\>copy d:\Bakmi.sys c:\persi0.sys ----- copy file baru menjadi persi0.sys
C:\>exit
- Masuk Windows, Masuk program DeepFreeze(konfigurasi) : Tekan Ctrl+Shift pada keyboard sambil mengklik icon DeepFreeze di Taskbar. Muncul kotak password. Isikan dengan password yang baru saja anda buat yaitu : Bakmi. Anda sudah bisa masuk file konfigurasi, tanpa perlu menginstall ulang DeepFreeze.
- Bila anda melakukan cara yang lebih ekstrim, seperti menghapus/merename file persi0.sys tanpa menggantikannya dengan file lain maka ada resiko system menjadi tidak stabil atau icon DeepFreeze-nya malah hilang dari Taskbar. Ide-ide di atas bisa anda coba, bila DeepFreeze anda mengalami kerusakan sehingga meskipun anda ingat passwordnya tetapi program DeepFreeze itu sendiri hilang lenyap tidak tampak di Taskbar dan tidak bisa dipanggil. Kemungkinan besar ada file yang corrupt, bisa jadi file tersebut adalah file persi0.sys. Coba lakukan cara yang sama. Bila anda berani, anda boleh juga sengaja merename file persi0.sys dengan tujuan agar icon DeepFreeze tidak tampak di Taskbar tetapi proteksinya masih ada.
Untuk DeepFreeze yang lebih baru, misalnya DeepFreeze versi 6, caranya sama persis, hanya nama filenya yang agak lain.
Bila untuk DeepFreeze versi 5, nama filenya adalah Persi0.sys - Untuk DeepFreeze versi 6, nama file berisi setting password yang harus anda timpa/ganti adalah $Persi0.sys (ada dollarnya) yang terletak di drive C. Jadi anda silakan ganti saja setiap tulisan Persi0.sys pada contoh di atas menjadi $Persi0.sys bila anda memakai DeepFreeze versi 6.
Trick-trick yang terakhir ini telah berhasil saya coba memakai DeepFreeze versi 5.20 dan versi 6.20.
2 Metode Mempercepat Browser Firefox
Firefox (ist.)
Metode 1:
- Buka browser Mozilla Firefox.
- Ketik 'about:config' pada address bar, lalu tekan enter.
- Turunkan halaman sampai Anda menemukan kalimat 'browser.tabs.showSingleWindowsModePrefs', lalu double klik sehingga settingannya menjadi 'true'.
- Turunkan lagi halaman Firefox sampai Anda menemukan baris berbunyi 'network.http.pipelining', lalu double klik sehingga settingannya juga menjadi 'true'.
- Terakhir, turunkan lagi halaman Firefox dan carilah baris yang berbunyi 'network.http.pipelining.maxrequests', lalu double klik. Anda akan disuguhi sebuah window pop up. Ubahlah angka di pop up itu menjadi 60. Kemudian tekanlah 'Ok'.
- Tutup Firefox lalu coba buka kembali. Jika tidak ada masalah, Firefox Anda akan terbuka 10-40 persen lebih cepat daripada sebelumnya dengan langkah-langkah seperti di atas.
Metode 2:
Langkah mujarab lain untuk meningkatkan kecepatan Firefox adalah dengan menggunakan add-on untuk Firefox bernama FasterFox. FasterFox ini membuat pemakaian bandwidth lebih efektif sehingga bisa mempercepat performa Firefox. Anda bisa mendownload FasterFox di alamat: http://fasterfox.mozdev.org.
Create Your Personal Search Engine by Customize Frontpage of Google Search
To customize frontpage of google search it’s easy. You needn’t know ability about hacking. Do you want replace google frontpage like here.
-
Open this url : www.funnylogo.info/create.asp
-
then Enter Your Name. Example : tricks-collections
-
After enter the name in the text box select the style
-
Then click create my search engine button
-
your own personal Search Engine have been create with your name as logo
UnInstall DeepFreeze v.6 yang dipassword !
DeepFreeze memang suatu aplikasi yang cukup Oke! dan sangat membantu terutama bagi para Pengelola lab atau warnet. Dengan-nya kita kita cukup tenang karena walaupun system diotak-atik nantinya akan balik seperti keadaan semula cukup dengan hanya di restart. 
Akan tetapi bagaimana jadinya jika kita lupa Password-nya?? Jadilah senjata makan tuan donk!!!.
Bagi yang pake DeepFreeze v.5 sih kayaknya kurang begitu masalah, karena sudah tersedia software untuk mendisable-nya (tinggal cari aja di i-net Deep UnFreeze), namun untuk DeepFreeze v.6 sampai saat masih susah untuk mendapatkan antinya. Tapi jangan bersedih hati dulu, karena ternyata masih bisa untuk di disable bahkan di uninstall. Ini saya dapat dari pengalaman sendiri yang secara tidak sengaja saya merepair kompi lab yang rusak systemnya, dan tentunya DeepFreeze v.6 yg saya pasang belum di disable.
Untuk lebih jelas, langkah2-nya adalah sebagai berikut:
1. Siapkan CDROM dan CD Installer Windos XP nya
2. Atur First Boot priority nya menjadi CD-ROM
3. Restart Kompi dan pilih boot from CD-ROM
4. Ikuti langkah2 seperti pada saat install Windos
5. Sampai pada bagian Enter to Setup … Enterlah lalu tekan F8 untuk persetujuan dan tunggu beberapa saat
6. Lalu tekan R untuk repair (Repair Setup)
7. Selanjutnya ikuti langkah2 install windos berikutnya sampe selese.
8. Sekarang siapkan DeepFreeze v.6 nya dan double klik
9. Maka akan muncul jendela unInstall DeepFreeze dan lakukan proses uninstall sampai selese
10. Sekarang masalah sudah kelar…
Tinggal pilih mo di install DeepFreeze lagi ato tidak? Kalo mo diinstall lagi, pastikan dulu kita tahu passwordnya OK!
Sekarang lupa password DeepFreeze V.6, ga perlu install ulang deh…
NB: saya tidak bertanggung jawab atas penyalahgunaan artikel ini, saya bermaksud untuk berbagi aja karena saya lihat banyak yang mengalami masalah seperti ini dan bingung cara menghadapinya, akhirnya mereka install ulang deh kompinya… (:
Oya, ketinggalan nih… Silahkan tinggalkan pesan, kritik, saran, atau tambahan. Mungkin ada yang menemukan cara lain yang lebih efektif, dishare aja di sini…
Semoga bermanfaat !!!
Awas, Virus Berbahaya Bobol Rekening Bank
Ilustrasi (ist)
Disebutkan, virus bernama Mebroot ini berbahaya karena mampu menyembunyikan diri dengan baik di dalam Windows untuk mencegah deteksi program anti-virus. Program jahat ini selanjutnya berusaha membobol bagian hardisk komputer bernama Master Boot Record (MBR).
"Jika Anda mampu mengendalikan MBR, Anda akan mampu juga mengendalikan sistem operasi komputer," tandas Elia Florio dari perusahaan Anti Virus terkemuka Symantec.
Sekali virus berhasil masuk, program jahat yang lain seperti keyloggers akan terunduh juga untuk mencuri informasi penting, setelah itu siap-siap bobol lah data rekening Anda. Lebih dari 900 institusi keuangan dilaporkan terinfeksi virus ini yang akan aktif begitu sang pemilik login pada sistem online perbankan.
Disebutkan pula, hanya sedikit anti virus komersial yang mampu mendeteksi keberadaan Mebroot. Mebroot yang diduga diciptakan penjahat internet dari Rusia ini bahkan tak akan bisa dihapus selama komputer masih menyala.
Adapun sistem operasi Windows XP, Windows Vista, Windows Server 2003 dan Windows 2000 beresiko terkena serangan Mebroot. Kini, sejumlah perusahaan anti-virus pun sedang mencari cara yang ampuh untuk melumpuhkan program jahat tersebut. ( fyk / fyk )
Monday, July 21, 2008
Keamanan IP
(IP Security)
System Overview
IPSec didesain untuk menyediakan interoperabilitas, kualitas yang baik, sekuriti berbasis kriptografi untuk IPv4 dan IPv6. layanan yang disediakan meliputi kontrol akses, integritas hubungan, otentifikasi data asal, proteksi jawaban lawan, kerahasiaan (enkripsi), dan pembatasan aliran lalulintas kerahasiaan. Layanan-layanan ini tersedia dalam IP layer, memberi perlindungan pada IP dan layer protokol berikutnya. IP Security menyediakan sederet layanan untuk mengamankan komunikasi antar komputer dalam jaringan. Selain itu juga menambah integritas dan kerahasiaan, penerima jawaban optional (penyortiran jawaban) dan otentifikasi data asal (melalui manajemen kunci SA), IP Security juga menyediakan kontrol akses untuk lalulintas yang melaluinya. Tujuan-tujuan ini dipertemukan dengan dipertemukan melalui penggunaan dua protokol pengamanan lalulintas yaitu AH (Authentication Header) dan ESP (Encapsulating Security Payload) dan dengan penggunan prosedur dan protokol manajemen kunci kriptografi. Jika mekanisme ini diimplementasikan sebaiknya tidak merugikan pengguna, host dan komponen internet lainnya yang tidak mengguankan mekanisme ini untuk melindungi lalulintas data mereka. Mekanisme ini harus fleksibel dalam menggunakan akgtoritma keamanan, maksudnya yaitu modul ini dapat mengguanakan algoritma sesuai dengan pilihan tanpa mempengaruhi komponen implementasi lainnya. Penggunaan algoritma defaultnya harus dapat memfasilitasi interoperabilitas dalam internet pada umumnya. Pengguanaan algoritma ini dalam hubungannya dengan rpoteksi lalulintas (IPSec traffic protection) dan protokol manajemen kunci (key managemen protocols), bertujuan memperbolehkan sistem dan pengembang aplikasi untuk meningkatkan kualitas yang tinggi, internet layer, teknologi keamanan berbasis kriptografi.
IPSec protokol yang dikombinasikan dengan algoritma default-nya didesain untuk menyediakan keamanan lalu lintas internet yang baik. Bagaimanapun juga keaaman yang diberikan oleh protokol ini sebenarnya bergantung pada kualitas dari implementasi, yang mana implementasi ini diluar lingkup dari standarisasi ini. Selain itu keamanan sistem komputer atau jaringan adalah fungsi dari banyak faktor, meliputi individu, fisik, prosedur, sumber kecurigaan dan praktek keamananan komputer dalam dunia nyata. IPSec hanya salah satu komponen dari arsitektur sistem keamanan. Keamanan yang didapat dari pemakaian IPSec bergantung pada lingkungan operasi dimana implementasi IPSec dijalankan. Sebagai contoh kerusakan dalam keamanan sistrem operasi.
Definisi IPSec
IPSec menyediakan layanan sekuritas pada IP layer dengan mengizinkan sistem untuk memilih protokol keamanan yang diperlukan, memperkirakan algoritma apa yang akan digunakan pada layanan, dan menempatkan kunci kriptografi yang diperlukan untuk menyediakan layanan yang diminta. IPSec dapat digunakan untuk memproteksi satu atau lebih path antara sepasang Host, antara sepasang security gateway, atau antara security gateway dengan Host (istilah security gateway mengacu pada sistem intermediate yang menggunakan protokol IPSec, misalkan router dan firewall yang mengimplementasikan
IPSec). Layanan dari sekuritas yang disediakan oleh IPSec meliputi kontrol akses, integritas dan lain-lain seperti tesebut dibagian atas bekerja pada IP layer oleh karena itu layanan ini dapat digunakan oleh layer protokol yang lebih tinggi seperti TCP, UDP, ICMP, BGP dan lain-lain. IPSec DOI juga mendukung kompresi IP [SMPT 98] dimotivasi dari pengamatan bahwa ketika kompresi diterapkan dalam IPSec, hal ini akan mencegah kompresi efektif pada protokol yang lebih rendah.
Bagaimana IPSec bekerja
IPSec menggunakan dua protokol untuk menyediakan layanan keamanan lalulintas yaitu Authentication Header (AH) and Encapsulating Security Payload (ESP). Implementasi IPSec harus mendukung ESP dan juga AH.
Protokol AH menyediakan integritas hubungan, otentifikasi data asal dan layanan anti jawaban.
Protokol ESP menyediakan kerahasiaan (enkripsi), dan pembatasan aliran lalulintas kerahasiaan. ESP juga menyediakan layanan integritas hubungan, otentifikasi data asal dan layanan anti jawaban.
Kedua protokol ini merupakan pembawa kontrol akses berbasis distribusi kunci kriptografi dan manajemen aliran lalulintas relatif terhadap protokol keamanan.
Protokol-protokol ini dapat diterapakan secara sendiri-sendiri atau dikombinasikan antara keduanya untuk menyediakan layanan keamanan yang diinginkan dalam IPv4 dan IPv6. Masing-masing protokol mendukung dua mode penggunaan: mode transport dan mode x. Dalam mode transport protokol menyediakan proteksi terutama untuk layer protokol berikutnya. Sedangkan dalam mode tunnel protokol diterapkan untuk meneruskan paket IP. Perbedaan antara kedua mode tersebut dijelaskan pada bagian berikutnya.
IPSec mengizinkan pengguna (administrator sistem) untuk mengontrol bagian-bagian terkecil dimana layanan keamanan diberikan. Sebagai contoh, salah satu dapat membuat tunnel enkripsi tunggal untuk membawa semua lalulintas antara dua sekurity gateway atau membuat tunnel enkripsi terpisah yang dibuat di masing-masing hubungan TCP antara sepasang Host yang berkomunikasi melintasi gateway tersebut. Manajemen IPSec harus menggabungkan fasilitas untuk menspesifikasikan:
Layanan keaman apa yang digunakan dan dengan kombinnasi yang seperti apa.
· bagian Sekecil apa proteksi keamanan diterapkan.
· Algoritma yang digunakan untuk mempengaruhi keamanan berbasis kriptografi.
Karena layanan keaman ini menggunakan nilai rahasia yang di-share (cryptographic keys), IPSec mengandalkan mekanisme terpisah untuk menempatkan kunci ini. (kunci ini digunakan untuk layanan otentifikasi/integritas dan layanan enkripsi).
Dimana IPSec diimplementasikan
Ada berbagai macam cara pengimplementasian IPSec dalam host atau hubungan dengan firewall atau router (untuk menciptakan sebuah security gateway). Beberapa contoh implementasi tersebut dijelaskan dibawah ini:
a. Integrasi IPSec kedalam implementasi native IP. Cara ini membutuhkan akses ke source code IP dan cara ini mudah diaplikasikan untuk host dan security gateway.
b. Implementasi Bump-In-The-Stack (BITS), dimana IPSec diimplementasikan dibawah implementasi protokol stack IP yang sudah ada, diantara native IP (IP asli) dan driver jaringan lokal. Akses source code untuk IP stack tidak diperlukan dalam konteks ini, membuat implementasi ini mendekati pengguanaan yang sesuai dengan sistem pewarisan. Pendekatan ini kita digunakan, pada umumnya digunakan dalam Host.
c. Penggunaan pengolah kriptografi outboard merupakan desain keamanan karingan yang umum digunakan oleh militer dan beberapa sistem komersil. Sistem ini kadang dikenal sebagai implementasi Bump-In-The-Wire (BITW). Implementasi seperti itu dirancang untuk melayani Host atau Gateway ( atau keduanya). Biasanya device BITW adalah IP berpetunjuk. Apabila menyokong hanya Host tunggal maka ananlogi dengan BITS, tapi apabila menyokong router atau firewall maka harus berperilaku sebagai security gateway.
Security Association
Bagian ini akan menjelaskan kebutuhan manajemen untuk implementasi Ipv6 dan implementasi Ipv4 yang mengimplementasikan AH, ESP atau keduanya. Konsep “Security Association” adalah pokok dari IPSec. Semua implementasi dari AH dan ESP harus mendukung konsep Security Association seperti yang dijelaskan dibawah. Bagia terakhir menguraikan berbagai aspek manajemen Security Association, mendefinisikan manajemen kebijakan SA yang diperlukan, proses lalulintas, dan teknik manajemen SA.
Definisi dan ruang lingkup
Security Association adalah suatu hubungan simplex yang menghasilkan layanan keamanan lalulintas yang dibawanya. Layanan keamanan ini dihasilkan oleh SA dengan penggunaan AH atau ESP tapi bukan penggunaan keduanya. Jika proteksi AH dan ESP diterapkan dalam aliran lalulintas, kemudian dua tau lebih SA di-create untuk menghasilkan proteksi dalam aliran lalulintas. Untuk mengamankan komunikasi dua arah antara dua Host, atau antara dua security gateway maka dibutuhkan dua SA (satu di masing-masing arah).
Security Association secara unik dikenali dari tiga komponen yaitu Security Parameter Index (SPI), alamat tujuan IP dan protokol keamanan (AH atau ESH). Nilai SPI mencakup nilai 1 sampai 255 yang ditetapkan oleh IANA (Internet Assigned Number Authority) untuk penggunaan dimasa yang akan datang. Nilai SPI nol (0) ditetapkan untuk penggunaan implementrasi khusus lokal dan tidak dikirim lewat kabel. Sebagai contoh implementasi manajemen kunci mempunyai nilai SPI nol yang berarti tidak ada Security Association selama periode ketika implementasi IPSec telah meminta bahwa entitas manajemen kunci tersebut menetapakan SA baru, tetapi SA belum masih belum ditetapkan. Pada prinsipnya, alamat tujuan merupakan unicast address, IP broadcast address atau multicat group address. Bagaimanapun mekanisme manajemen SA IPSec saat ini hanya didefinisikan untuk SA unicast. Oleh karena itu, untuk diskusi pemaparan selanjutnya SA dideskripsikan utamanya untuk komunikasi point-to-point, meskipun konsepnya dapat diaplikasikan untuk kasus komunikasi point-to-multipoint.
Seperti telah dituliskan dibagian sebelumnya didefinisikan dua tipe SA yaitu mode transport dan mode tunnel. SA mode transport adalah SA antara dua Host. Dalam kasus dimana link security ingin digunakan antara dua sistem intermediate sepanjang path mode transport juga dapat digunakan antara dua security gateway. Dalam kasus terbaru mode transport juga digunakan untuk mensuport IP-in-IP atau GRE tunneling melalui SA mode transport. Catatan bahwa fungsi kontrol akses merupakan bagian yang penting dari IPSec secara significan dibatasi dalam konteks ini. Sehingga penggunaan mode transport harus dievaluasi secara hati-hati sebelum digunakan. Dalam Ipv4, header protokol keamanan mode transport terlihat setelah header IP dan beberapa pilihan lain dan sebelum protokol layer yang lebih tinggi (seperti TCP atau UDP) dalam Ipv6, header protokol keamanan terlihat setelah header base IP dan ekstensionnya, tetapi mungkin juga terlihat sebelum atau sesudah pilihan tujuan dan sebelum protokol layer yang lebih tinggi. Dalam kasus ESP SA mode tranport menyediakan layanan keamanan hanya untuk protokol layer yang lebih tinggi darinya, tidak untuk IP header atau ekstension header yang mendahului ESP header. Dalam kasus untuk AH, proteksi juga ditambahkan ke bagian yang dipilih dari IP header, bagian yang dipilih dari ekstension header dan option pilihan (yang terdapat pada header Ipv4, Hop-by-Hop ekstension header Ipv6, atau ekstension header tujuan pada Ipv6).
SA mode tunnel sebenarnya adalah SA yang diaplikasikan di IP tunnel. Dengan hanya sepasang pengecualian, kapan saja ujung manapun dari SA adalah Security gateway, SA harus mode tunnel. SA diantara dua security gateway pada dasarnya adalah SA mode tunnel seperti SA antara Host dan Security Gateway. Catatan bahwa dalam kasus dimana lalulintas ditujukan untuk security gateway seperti SNMP commands, security gateway berlaku sebagai Host dan mode transport diperbolehkan. Tapi dalam kasus tersebut security gateway tidak berlaku sebagai gateway. Seperti tertulis diatas security gateway mungkin mendukung mode transport untu menyediakan link (Hubungan) keamanan. Dua Host dapat menyusun sebuah mode tunnel antara mereka. Kebutuhan untuk transit traffic SA meliputi security gateway untuk menjadi SA tunnel mengacu ke kebutuhan untuk menghindari problem potensial dengan memperhatikan fragmentasi dan penyusunan ulang dari paket IPSec dan dalam keadaan dimana path yang banyak (melalui security gateway yang berbeda) menuju ke tujuan yang sama dibelakang security gateway.
Untuk SA mode tunnel ada header IP luar yang menspesifikasikan pemrosesan tujuan IPSec ditambah dengan header IP dalam yang menunjukkan tujuan terakhir dari peket tersebut. Header protokol keamana terlihat setelah header IP luar dan sebelum header IP dalam. Jika AH diterapkan dalam mode tunnel bagian header IP luar diperoleh proteksi seperti halnya paket IP yang disalurkan (semua header IP dalam diproteksi seperti halnya layer protokol yang lebih tinggi). Jika ESP diterapkan proteksi dikerjakan hanya pada paket yang disalurkan tidak pada header luar.
Fungsi Security Association
Layanan keamanan yang diberikan oleh SA bergantung pada protokol security yang dipilih, mode SA, endpoint SA, dan pada pemilihan layanan optional yang disertakan dalam protokol. Sebagai contoh, AH menyediakan layanan otentifikasi data asal dan integritas hubungan untuk datagram IP. AH juga memberikan layanan anti-replay, untuk membantu counter menolak service attack. AH merupakan protokol yang cocok utnuk diterapkan jika kerahasiaan kurang dipedulikan. AH juga menyediakan otentiofikasi untuk bagian yang dipilih dari header IP, yang mana mungkin dibutuhkan di beberapa keadaan. Sebagai contoh, jika integritas dari sebuah header option IPv4 atau header ekstension IPv6 harus diproteksi dalam rute antara pengirim dan penerima, AH menyediakan layanan tersebut (kecuali untuk bagian header IP yang tidak dapat ditebak dan dapat berubah.)
ESP memyediakan kerahasiaan untuk lalulintas. (kekuatan layanan kerahasiaan ini bergantung pada algoritma enkripsi yang diterapkan). ESP juga menyediakan layanan otentifikasi. Jika otentifiaksi dirundingkan untuk SA ESP, penerima juga memilih untuk menguatkan layanan anti-reply dengan fitur fyang sama seperti layanan anti-reply pada AH. Jangkauan otentifikasi yang diberikan oleh ESP lebih dangkal daripada AH, seperti header IP yang berada diluar header ESP tidak terlindungi. Hanya jika protokol layer berikutnya perlu untuk diotentifikasi, maka otentifikasi ESP merupakan pilihan yang tepat dan akan lebih efisien ruang daripada AH. Perlu diingat meskipun kerahasiaan dan otentifikasi merupakan layanan optional tetapi kedua layanan tersebut tidak dapat dihilangkan. Setidaknya salah satu dari layanan tersebut harus dipilih.
Apabila layanan kerahasiaan (confidentiality) dipilih, maka SA ESP (mode tunnel) antara dua security gateway dapat memberikan kerahasiaan aliran lalulintas parsial. Penggunaan mode tunnel menperbolehkan header IP dalam (inner IP header) untuk dienkripsikan, merahasiakan identitas dari sumber dan tujuan dari lalulintas tersebut. Lebih dari, lapisan ESP payload juga dapat dilibatkan untuk menyembunyikan ukuran dari peket. Layanan confidentiality aliran lalulintas yang sama juga dapat diberikan ketika mobile user menggunakan alamat IP dynamic dalam konteks dialup, dan menetapkan SA ESP (mode tunnel) menjadi firewall (berlaku sebagai security gateway).
Menggabungkan Security Association
Security Association dapat digabungkan menjadi satu kemasan dengan dua cara, yaitu transport adjacency dan iterated tunneling.
1. Transport Adjacency.
Cara ini mengacu pada penggunaan lebih dari satu protokol security dalam datagram IP yang sama, tanpa melibatkan tunneling.
Host 1
Security
Gwy 2
internet
Security
Gwy 1
Host 2
Security Association 1 (ESP Transport)
Security Association 2 (AH Transport)
2. Iterated Tunneling.
Cara ini mengacu pada pengaplikasian multiple layer dari protokol security yang dipengaruhi melalui IP tunneling. Pendekatan ini membolehkan nesting yang multiple level, karena masing-masing tunnel dimulai dan diakhiri pada tempat IPSec yang berbeda sepanjang path (lintasan). Ada tiga basic kasus pada iterated tunneling, yaitu:
1. Kedua ujung (endpoint) untuk SA adalah sama. Tunnel dalam atau tunnel luar keduanya dapat berupa AH atau ESP.
Host 1
Security
Gwy 2
internet
Security
Gwy 1
Host 2
Security Association 1 (tunnel)
Security Association 2 (tunnel)
2. Salah satu dari ujung SA adalah sama.
Host 1
Security
Gwy 2
internet
Security
Gwy 1
Host 2
Security Association 1 (tunnel)
Security Association 2 (tunnel)
3. Tidak ada ujung yang sama.
Host 1
Security
Gwy 2
internet
Security
Gwy 1
Host 2
Security Association 1 (tunnel)
Security Association 2 (tunnel)
Security Association Database (SAD)
Banyak dari detil dalam proses IP traffic dalam implementasi IPSec menjadi masalah lokal, tidak ada subject untuk menstandarkan. Bagaimanapun, beberapa aspek eksternal dari proses tersebut harus distandarisasi, untuk memastikan interoeprabilitas dan untuk menyediakan kapabilitas manajemen minimum yang perlu untuk penggunaan yang produktif dari IPSec. Bagian ini menjelaskan model umum untuk proses IP traffic relatif pada Security Association, untuk mendukung tujuan interoperabilitas dan fungsionalitas. Model yang dijelaskan berikut berupa nominal.
Ada dua database nominal dalam model tersebut, yaitu Security Policy Database (SPD) dan Security Association Database (SAD). Yang pertama menspesifikasikan kebijakan-kebijakan yang menentukan disposisi dari traffic IP pergi atau masuk dari sebuah Host, security gateway atau implementasi IPSec BITS atau BITW. Dan yang kedua berisi parameter yang dihubungkan dengan security association. Bagian ini juga akan menjelaskan tentang Selector, sekumpulan nilai field protokol layer IP dan protokol selanjutnya yang digunakan oleh Security Policy Database untuk memetakan lalulintas menjadi suatu ketentuan baku.
Security Policy Database (SPD)
Pada dasarnya Security Association adalah manajemen penyusunan yang digunakan untuk menguatkan pketentuan keamanan dalam lingkungan IPSec. SPD ini merupakan elemen dasar dalam proses SA yang menspesifikasikan layanan apa saja yang akan diberikan ke datagram IP dan dalam bentuk seperti apa. Bentuk dari database dan interfacenya diluar cakupan dari spesifikasi ini. Bagaimanapun juga, bagian ini menunjukkan manajemen fungsional minimum yang harus tersedia, untuk mengizinkan user dan administrator sistem mengontrol bagaimana IPSec diaplikasikan ke lalulintas pengiriman atau penerimaan oleh Host atau security gateway.
SPD harus dikonsultasikan selama proses seluruh traffic (inbound dan outbound), termasuk juga traffic non-IPSec. Dengan maksud untuk mendukung hal tersebut, SPD membutuhkan masukkan yang berbeda untuk traffic inbound dan outbound. Salah satunya adalah dengan memikirkannya sebagai SPD yang terpisah. Untuk datagram inbound ata outbound , tiga pilihan prose dimungkinkan, yaitu : discard, bypass IPSec atau Apply IPSec. Discard mengacu pada traffic yang tidak diizinkan keluar dari Host, melintasi security gateway, atau dikirimkan ke suatu aplikasi. Bypass IPSec mengacu pada traffic yang dizinkan lewat tanpa proteksi IPSec tambahan. Apply IPSec mengacu pada traffic yang diberikan proteksi IPSec, dan untuk traffic seperti itu SPD harus menspesifikasikan layanan keamanan yang harus disediakan, protokol untuk diterapkan, algoritma yang digunakan dan lain-lain.
Untuk setiap implementasi IPSec harus ada interface yang mengizinkan user atau administrator sistem untuk mengatur SPD. Terutama, setiap paket inbound atau outbound adalah subject yang akan diproses oleh IPSec dan SPD harus menentukan aksi apa yang akan diterapkan untuk masing-masing kasus.
SPD berisi daftar yang didalamnya terdapat ketentuan-ketentuan. Masing-masing ketentuan tersebut dikuncikan dengan satu atau lebih selector yang mendefisikan sekumpulan traffic IPSec yang diarahkan oleh ketentuan tersebut.
SPD harus mengizinkan administrator keamanan untuk menspesifikasikan ketentuan-ketentuan sebagai berikut:
Masukan SPD adalah daftar yang berisi satu atau lebih pasangan kumpulan selector.
Masing-masing pasangan kumpulan selector tersebut terdiri dari satu set selector untuk SA dari initiator ke penerima dan satu set selector untuk SA dari penerima ke initiator.
Masing-masing kumpulan selector tersebut terdiri dari tipe selector sebagai berikut: range alamat IP asal, range alamat IP tujuan, protokol, range port sumber, range port tujuan, range tipe header Ipv6mobile (MH type), range tipe pesan ICMP, range kode ICMP, nama (list), level sensitifitas data (list).
Selector
Security Association dapat berupa bagian yang halus atau juga bagian yang kasar bergantung pada selector yang digunakan untuk mendefinisikan set dari traffic untuk Security Association. Sebagai contoh, semua traffic antara dua Host dibawa melalui SA tunggal, dan menghasilkan layanan security yang seragam. Alternatifnya, traffic antara sepasang Host dapat disebarkan melalui SA yang banyak, bergantung pada aplikasi yang sedang digunakan, dengan layanan security yang berbeda oleh SA yang berbeda juga. Sebagai catatan dalam kasus penerimaan paket dengan header ESP pada security gateway terenkapsulasi atau implementasi BITW, protokol layer transpor, port sumber/tujuan, dan nama mungkin saja menjadi kabur, tidak dapat diakses karena enkripsi atau fragmentasi.
Selector yang digunakan adalah:
Alamat IP tujuan (Ipv4 atau Ipv6): alamat ini dapat berupa alamat IP tunggal (unicast, anycast, broadcast (hanya untuk Ipv4), atau grup multicast), range dari alamat (termasuk nilai tinggi dan nilai rendah, alamat + mask, atau alamat wildcard. Tiga terakhir digunakan untuk mendukung lebih dari satu destination system sharing pada SA yang sama. Ketika paket yang disalurkan sampai pada ujung tunnel, protokol/alamat tujuan/SPI digunakan untuk menelaah SA untuk paket ini dalam SAD. Alamat tujuan ini muncul dari encapsulasi header IP. Ketika paket telah diproses menurut SA tunnel dan keluar dari tunnel, selector ini di “look up” dalam SPD inbound. SPD inbound mempunyai selector yang disebut alamat tujuan. Alamat tujuan IP ini adalah salah satu IP header inner (encapsulated). Dalam kasus paket transport, hanya akan ada satu header IP dan ambigunya tidak ada.
Alamat IP asal (Ipv4 atau Ipv6): alamat IP asal dapat berupa alamat IP tunggal (unicast, anycast, broadcast (hanya Ipv4), atau grup multicast), rang dari alamat (termasuk nilai tinggi dan nilai rendah), alamat + mask, atau alamat wildcard. Tiga terakhir digunakan untuk mendukung lebih dari satu souce system sharing dalam SA yang sama.
Nama: ada dua kasus, yaitu:
User ID
String nama utuh yang berguna, contoh:
mozart@foo.bar.com
b. X.500 distinguished name, contoh :
C = US, SP = MA, O = GTE
Internetworking, CN = Stephen T. Kent.
2. Nama System (Host, Security Gateway, dan lain-lain)
a. Fully qualified DNS name (nama penuh), contoh : foo.bar.com
b. X.500 distinguished name
c. X.500 general name
Catatan :
o User ID, digunakan untuk:
Ø Implementasi native Host
Ø Implementasi BITS dam BITW yang berfungsi layaknya Host dengan hanya satu user
Ø Implementasi security gateway untuk proses inbound
o Nama System digunakan untuk semua implementasi.
· Level sensitifitas data
· Protokol layer selanjutnya: diperoleh dari field protokol Ipv4 atau field next header Ipv6. ini merupakan nilai protokol individual. Field paket ini tidak berisi protokol layer berikutnya yang mangacu pada keberadaan header ekstension IP, misal routing header, AH, ESP, fragmentation header, destination option, Hop-by-Hop option, dll.
· Port sumber dan tujuan (misal TCP/IP): ini merupakan nilai port TCP atau UDP individual atau wildcard port.
Tabel berikut menunjukan hubungan antara nilai “Next Header”dalam paket dan SPD dan nilai selector port yang diperoleh untuk SPD dan SAD.
Next header dalam paket
Protokol layer transport dalam SPD
Nilai field selector port yang didapat dalam SPD dan SAD
ESP
ESP or ANY
ANY (i.e., dont’t look at it)
-don’t care-
ANY
ANY (i.e., dont’t look at it)
Specific value fragment
Specific value
NOT ANY (i.e., drop packet)
Specific value not fragment
Specific value
Actual port selector field
Ipv6 mobility Header Message Type (MH Type) [mobile IP]: ini adalah selector 8-bit yang mengidentifikasi mobility message tertentu dalam permintaan. Ini harus digunakan hanya jika protokol layer berikutnya didefinisikan sbagai mobility header Ipv6. MH type tidak ada dalam kasus penerimaan paket dengan header ESP.
ICMP Message Type (tipe pesan ICMP): ini mendefinisikan tipe dari pesan ICMP. Selector ini dapat berpa list. ICMP message type tidak ada pada kasus penerimaan paket dengan header ESP.
ICMP code: ICMP code mendefinisikan penyebab khusus dari ICMP message. Selector ini dapat berupa list. ICMP code tidak ada dalam kasus penerimaan paket dengan header ESP.
Security Association Database
Pada implementasi IPSec ada Security Associatiation Database, dimana tiap-tiap masukan mendefinisikan parameter yang berhubungan dengan satu SA. Masing-masing SA mempunyai satu masukkan (entry) dalam SAD. Untuk proses outbound, masukan-masukan tersebut ditunjukan dengan masukkan-masukkan dalam SPD. Untuk proses inbound, tiap-tiap masukkan dalam SAD diindex-kan oleh alamat IP tujuan, tipe protokol IPSec, dan SPI.
Field SAD berikut digunakan dalam melalukan proses IPSec:
Sequence Number Counter: sebuah nilai 32-bit yang digunakan untuk membangkitkan sequence number field dalam header AH atau ESP
Sequence Counter Overflow: flag yng mengindikasikan overflow yang mana dari sequence number counter yang harus membangkitkan event yang bisa diaudit dan mencegah transmisi paket tambahan dalam SA.
Anti-Reply Window: counter 32-bit dan bit-map (peta-bit) yang digunakan untuk memperkirakan apakah pket inbound AH atau ESP adalah jawaban (reply).
Algoritma otentifikasi, kunci (key) dan lain-lain.
Algoritma enkripsi ESP, key, IV mode, IV dan lain-lain
Jika layanan otentifikasi tidak dipilih, maka nilai field ini null.
Lifetime dari Security Association: interval waktu dimana SA harus diganti dengan SA yang baru (dan SPI baru) atau dimatikan, serta indikasi aksi mana yang akan dilakukan. Ini dapat diekspresikan dengan waktu atau byte count (cacah byte), atau gabungan dari keduanya.
Cara untuk menangani refreshing keys pada saat SA habis masanya dapat dilakukan dengan pendekatan sebagai berikut:
Jika digunakan cacah byte, maka implementasi harus menghitung jumlah byte dimana algoritma IPSec diaplikasikan. Untuk ESP algoritma enkripsi dan untuk AH algoritma otentifikasi.
Harus ada dua jenis lifetime, soft lifetime yang meperingatkan implementasi untuk menginisialisasi aksi seperti menyiapkan penggantian SA dan hard lifetime ketika SA yang bersangkutan berakhir.
Jika seluruh paket tida dikirimkan selama masa hidup SA, paket tersebut harus dibuang.
· IPSec protocol mode (mode protokol IPSec): tunnel, transport atau wildcard. Mengindikasikan mode yang mana dari AH atau ESP yang diaplikasikan di SA tersebut.
· Path MTU.
Kombinasi Dasar Security Association
Bagian ini membahas empat contoh kombinasi Security Association yang harus didukung oleh Host atau Security Gateway yang memenuhi IPSec. Kombinasi tambahan dari AH dan/atau ESP dalam mode tunnel dan/atau transport dapat disertakan tergantung pada pertimbangan pengimplemntasi (implementor). Implementasi yang mendukung harus mempunyai kemampuan membangkitkan keempat kombinasi dan juga harus dapat menerima dan memroses kombinasi apapun.
Diagram dibawah ini menunjukan kasus-kasus dasar:
Keterangan:
= = = = = satu atau lebih SA (AH atau ESP, transport atau tunnel)
- - - - = Hubungan
Hx = host x
SGx = Security Gateway x
X* = X yang mendukung IPSec
1. kasus 1 : menyediakan security end-to-end antara 2 host melewati internet atau intranet
H1*
H2*
Inter/intranet
mode tunnel atau transport dapat dipilih oleh Host, jadi header paket antara H1 dan H2 dapat terlihat sebagai berikut:
Transport Tunnel
1. [IP1][AH][next] 4. [IP2][AH][IP1][next]
2. [IP1][ESP][next] 5. [IP2][ESP][IP1][next]
3. [IP1][AH][ESP][next]
jika diperhatikan tidak ada persyaratan untuk mendukung general nesting, tapi dalam mode transport, AH dan ESP dapat diterapkan bersama-sama ke dalam paket, prosedur penetapan SA harus memastikan ESP pertama, kemudian AH di terapkan pada paket.
2. kasus 2: kasus ini mengilustrasikan pendukung jaringan privat maya yang sederhana.
H1
SG1*
SG2*
H2
Local intranet
Local intranet
internet
Admin. boundary
Admin. boundary
hanya mode tunnel yang dibutuhkan disini. Jadi header dalam paket antara SG1 dan SG2 terlihat sebagai berikut:
Tunnel
4. [IP2][AH][IP1][next]
5. [IP2][ESP][IP1][next]
3. kasus 3: kasus ini merupakan kombinasi kasus 1 dan 2, penambahan end-to-end security antara host pengirim dan penerima.
H1*
SG1*
Local intranet
SG2*
H2
Local intranet
internet
Admin. boundary
Admin. boundary
4. kasus 4: kasus ini untuk mengatasi sistuasi dimana remote host (H1) menggunakan internet untuk mencapai organization firewall (SG2) dan kemudian melakukan akses ke beberapa server atau mesin yang lain (H2). Remote Host dapat berupa mobile Hosat (H1) dialing up ke server PPP/ARA lokal dalam internet dan kemudian melintasi internet ke home organization firewal (SG2).
SG2*
H2
Local intranet
internet
H1*
Admin. boundary
Dapat berupa dial up ke server PPP/ARA
hanya mode tunnel yang diperlukan antata H1 dan SG2. dalam kasus ini pengirim harus mengaplikasikan header transport sebelum header tunnel.
ESP (Encapsulation Security Protocol)
Format Paket ESP
Header protokol (Ipv4, Ipv6 atau ekstension) yang mendahului header ESP berisi nilai 50 dalam field protokol (Ipv4) atau header selanjutnya (Ipv6, Ekstension). Gambar dibawah mengilustrasikan format level atas dari paket ESP. Paket diawali dengan field 4-byte (SPI dan sequence number). Kemudian selanjutnya adalah payload data, yang mempunyai substruktur bergantung pada pilihan algoritma enkripsi dan modenya, dan penggunaan dari TFC padding. Setelah payload data adalah padding danfield pad length dan field header selanjutnya. Kemudian dilengkapi dengan ICV (Integrity Check Value).
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Integ. coverage Security Parameters Index (SPI)
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
sequence Number
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Payload data*(Variable)
Conf. Coverage~ ~
+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Padding (0 – 255 byte)
+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
pad length Next Header +
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Integrity Check Value-ICV (variable) +
~ ~
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
format paket ESP level atas
* meliputi field payload, sinkronisasi dat kriptograpic, vektor inisialisasi.
Pembawa ESP terdiri dari Padding, pad length dan next header field. Dan tambahannya, pembawa data ESP implisit (yang tidak ditransmisikan) meliputi integrity computation yang dijelaskan sebagai berikut.
· Jika layanan integritas dipilih, integrity computation meliputi SPI, sequence number, payload data dan pembawa ESP (eksplisit dan implisit).
· Jika layanan confidentiality dipilih, chipertext terdiri dari payload data (kecuali untuk sinkronisasi data kriptografi yang mungkin diikutkan) dan pembawa ESP (eksplisit).
Ketetapan baru dibuat untuk memasukkan padding untuk aliran traffic yang terjaga kerahasiaannya yaitu setelah payload data dan sebelum pembawa ESP (ESP triler). Gambar dibawah menunjukkan mengilusrasikan substruktur dari payload data.
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Security Parameters Index (SPI)
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
sequence Number
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
payload IV (Optional)
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Rest Payload data*(Variable)
~ ~
+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
TFC Padding* (optional, variable)
+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Padding (0 – 255 byte)
+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
pad length Next Header +
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Integrity Check Value-ICV (variable) +
~ ~
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Substruktur payload data
* Jika mode tunnel yang digunakan, maka implementasi IPSec dapat menambah Traffic Flow Confidetiality (TFC).
Jika mode algoritma kombinasi yang diterapkan, ICV eksplisit yang terlihat pada gambar diatas akan dihilangkan.
Tabel berikut mengacu pada field-field pada gambar pertama dan mengilustrasikan bagaimana beberpa pilihan algoritma, masing-masing dengan model pemrosesan yang berbeda mempengaruhi field-field diatas.
# of bytes
Requ’ d [1]
What Encrypt cover
What Integ covers
What is Xmtd
SPI
4
M
Y
Plain
Seq# (low order bits)
4
M
Y
Plain
IV
Variable
O
Y
payloadplain
IP datagram [2]
Variable
M or D
Y
Y
Cipher [3]
TFC Padding [4]
Variable
O
Y
Y
Cipher [3]
Padding
0-255
M
Y
Y
Cipher [3]
Pad length
1
M
Y
Y
Cipher [3]
Next header
1
M
Y
Y
Cipher [3]
Seq# (high order bits)
4
If ESN [5]
Y
Not xmtd
ICV Padding
Variable
If need
Y
Not xmtd
ICV
Variable
M [6]
plain
Keterangan :
[1] M = mandatory; ) = optional; D = Dummy
[2] jika mode tunnel -> IP datagram
jika mode transport -> next header dan data
[3] chipertext jika enkripsi dipilih
[4] hanya dapat digunakan jika spesififkasi payload adalah real length
[5] extended sequence number [64 bit]
[6] mandatory jika algoritma integrasi terpisah digunakan
# of bytes
Requ’ d [1]
What Encrypt cover
What Integ covers
What is Xmtd
SPI
4
M
payloadPlain
Seq# (low order bits)
4
M
Plain
IV
Variable
O
Y
plain
IP datagram [2]
Variable
M or D
Y
Y
Cipher
TFC Padding [4]
Variable
O
Y
Y
Cipher
Padding
0-255
M
Y
Y
Cipher
Pad length
1
M
Y
Y
Cipher
Next header
1
M
Y
Y
Cipher
Seq# (high order bits)
4
If ESN [4]
Y
[5]
ICV Padding
Variable
If need
Y
[5]
ICV
Variable
O [6]
plain
Keterangan :
[1] M = mandatory; O = optional; D = Dummy
[2] jika mode tunnel -> IP datagram
jika mode transport -> next header dan data
[3] hanya dapat digunakan jika payload menspesifikasi “real” length
[4] extended sequence number [64 bit]
[5] algoritma memutuskan apakah akan ditransmisikan, tetapi dalam kasus yang sama hasilnya tidak terlihat.
[6] algoritma menentukan apakah field ini ada.
Optional maksudnya adalah field akan dihilangkan jika tidak digunakan. Field “Mandatory” selalu ada dalam format paket ESP, untuk semua SA.
Security Parameter Index (SPI)
SPI adalah nilai 32 bit yang digunakan oleh penerima untuk mengidentifikasi SA ke mana paket masuk terikat. Field SPI adalah mandatory. Untuk SA unicast, SPI digunakan sendiri untuk menspesifikasi SA, atau dapat digunakan dalam hubungan dengan tipe protokol IPSec. Dalam implemetasi untuk multicast. Tiap-tiap masukan dalam SAD harus mengindikasikan apakah SA akan mengecek alamat IP sumber dan tujuan. Indikasi dapat direpresentasikan dengan dua bit, pertama dihubungkan dengan alamat IP sumber dan yang lainnya untuk alamat IP tujuan. Nilai “1” untuk masing-masing bit mengindikasikan kebutuhan untuk membandingkan field alamat yang bersesuaian sebagai bagian dari proses looup. Sebagai contoh SA unicast mempunyai nilai kedua bit tersebut samadengan nol jika tidak ada alamat IP sumber atau tujuan digunakan untuk pencocokan (matching). Untuk multicast yang hanya mempercayakan pada alamat tujuan untuk menspesifikasikan grup multicast, hanya bit kedua yang akan si set “1”, mentiratkan kebutuhan penggunaan alamat IP tujuan dan menentukan SA yang tepat.
Sequence Number and Extended (64 bit) Sequence Number
Sequence number adalah field 32-bit yang berisi nilai pencacah yang bertambah satu untu tiap pakey yang dikirim. Untuk unicast SA atau single-sender multicast SA, pengirim harus menaikkan satu field ini untuk setiap paket yang ditransmisikan. Field ini “mandatory”. Extende Sequence Number mendukung implementasi IPSec kecepatan tinggi. Penggunaan ESN (Extended Sequence Number) harus dirundingkan dengan protokol manajemen SA. (Fitur ESN ini mudah diaplikasikan di multicast sebaik di unicast).
Payload Data
Payload data adalah field variabel panjang berisi data (dari paket IP asli) yang dideskriosikan dengan field next header.
Padding (untuk enkripsi)
Dua faktor utama yang memotivasi penggunaan field padding adalah:
· Jika algoritma enkripsi digunakan maka dibutuhkan plaintext untuk menjadi sebuah perkalian dari beberapa bilangan dalam bytes.
· Padding juga diperlukan untuk memastikan chipertext yang dihasilkan berhenti pada batas 4-byte.
Pad length
Field Pad length mengindikasikan sejumlah byte pad mendahului seketika dalam field padding.
Next Header
Next Header adalah mandatory, field 8-bit yang mengidentifikasi tipe dari data berada dalam field payload data.
Traffic Flow Confidentiality (TFC) Padding
Untuk mengatasi kelemahan dari field padding dimana field padding ini hanya mempunyai panjang terbatas (255 byte). TFC digunakan untuk menyembunyikan karakteristik traffic.
ESP Processing
ESP dapat diaplikasikan dengan dua cara, yaitu mode transport dan mode tunnel.
1. Transport mode processing
Dalam mode transport, ESP dimasukkan setelah header IP dan sebelum protokol layer berikutnya, seperti TCP, UDP, ICMP, dan lain-lain. Diagram berikut mengilustrasikan penempatan mode transport ESP untuk paket Ipv4.
Sebelum penerapan ESP
----------------------------
IPv4 orig IP hdr
(any options) TCP Data
----------------------------
Sesudah penerapan ESP
-------------------------------------------------
IPv4 orig IP hdr ESP ESP ESP
(any options) Hdr TCP Data Trailer ICV
-------------------------------------------------
<---- encryption ---->
<-------- integrity ------->
Dalam IPv6, ESP dipandang sebagai end-to-end payload, dan muncul setelah Hop-by-Hop, routing dan header fragmentasi elsteneion.
Sebelum penerapan ESP
---------------------------------------
IPv6 ext hdrs
orig IP hdr if present TCP Data
---------------------------------------
Sesudah penerapan ESP
---------------------------------------------------------
IPv6 orig hop-by-hop,dest*, dest ESP ESP
IP hdrrouting,fragment.ESPopt*TCPDataTrailer ICV
---------------------------------------------------------
<--- encryption ---->
<------ integrity ------>
* = apabila ada, dapat diletakkan sebelum ESP, sesudah ESP atau keduanya.
2. Tunnel mode processing
Dalam mode tunnel, header IP “inner” membawa alamat sumber dan tujuan. Dalam mode tunnel, ESP melindungi seluruh paket IP inner, termasuk juga header IP inner. Posisi ESP dalam mode tunnel relatif terhada header IP outer, ini sama dengan ESP dalam mode transport. Diagram berikut mengilustrasikan posisi ESP dalam mode tunnel untuk paket IPv4 dan IPv6.
Sebelum penerapan ESP
----------------------------
IPv4 orig IP hdr
(any options) TCP Data
----------------------------
Sesudah penerapan ESP
-----------------------------------------------------------
IPv4 new IP hdr* orig IP hdr* ESP ESP
(any options) ESP (any options) TCPDataTrailer ICV
-----------------------------------------------------------
<--------- encryption --------->
<------------- integrity ------------>
Sebelum penerapan ESP
---------------------------------------
IPv6 ext hdrs
orig IP hdr if present TCP Data
---------------------------------------
Setelah penerapan ESP
------------------------------------------------------------
IPv6 new* new ext orig*orig ext ESP ESP
IP hdr hdrs* ESPIP hdr hdrs * TCPDataTrailer ICV
------------------------------------------------------------
<--------- encryption ---------->
<------------ integrity ------------>
* = jika ada, konstruksi dari header/ekstension IP outer dan modifikasi header/ekstension IP inner ada dalam dokumen Security Architecture.
Penerapan ESP dalam Protokol UDP
Format Header UDP-encapsulated ESP
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Source Port Destination Port
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Length Checksum
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
ESP header [RFC 2406]
~ ~
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Header UDP adalah header standar, dimana:
· Port sumber dan port tujuan sama seperti yang dipakai oleh traffic IKE.
· Checksum ditransmisikan sebagai nilai nol.
· Penerima tidak harus bergantung pada UDP Checksum saat bernilai nol
Nilai SPI dalam ESP tidak boleh nol.
Diagram penerapan ESP pada UDP
1. ESP/UDP mode Transport
Enkapsulasi
Sebelum penerapan ESP/UDP
----------------------------
IPv4 orig IP hdr
(any options) TCP Data
----------------------------
Setelah penerapan ESP/UDP
-------------------------------------------------------
IPv4 orig IP hdr UDP ESP ESP ESP
(any options) Hdr Hdr TCP Data Trailer Auth
-------------------------------------------------------
<----- encrypted ---->
<------ authenticated ----->
1) Prosedur enkapsulasi ESP digunakan
2) Header UDP dimasukkan
3) Panjang total, protokol dan field header checksum dalam header IP diubah untuk mencocokkan paket IP
Dekapsulasi
1) Header UDP dibuang dari paket.
2) Panjang total, protokol dan field header checksum dalam header IP baru diubah untuk mencocokkan dengan paket IP hasil.
3) Prosedur dekapsulasi ESP digunakan.
4) Prosedur dekapsulasi NAT Mode transport digunakan.
2. ESP/UDP mode Tunnel
Enkapsulasi
Sebelum penerapan ESP/UDP
----------------------------
IPv4 orig IP hdr
(any options) TCP Data
----------------------------
Setelah Penerapan ESP/UDP
--------------------------------------------------------------
IPv4 new h. UDP ESP orig IP hdr ESP ESP
(opts) Hdr Hdr (any options) TCP Data Trailer Auth
--------------------------------------------------------------
<------------ encrypted ----------->
<------------- authenticated ------------>
1) Prosedur enkapsulasi ESP digunakan.
2) Header UDP dimasukkan.
3) Panjang total, protokol dan field header checksum dalam header IP baru diubah untuk mencocokkan dengan paket IP hasil.
Dekapsulasi
1) Header UDP dihapus dari paket.
2) Panjang total, protokol dan field header checksum dalam header IP baru diubah untuk mencocokkan paket IP hasil.
3) Prosedur dekapsulasi ESP dilaksanakan.
4) Dekapsulasi NAT mode tunnel dilaksanakan
AH (Authentication Header)
Format AH
Gambar dibawah ini meunjukkan format dari AH.
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Next Header Payload Len RESERVED
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Security Parameters Index (SPI)
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Sequence Number Field
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
+ Integrity Check Value-ICV (variable)
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Format AH
Tabel berikut mengacu pada field-field penyusun AH, ditambah field lain yang masuk dalam integrity computationdan mengilustrasikan field yang mana yang dilapisi ICV dan apa yang ditransmisikan.
# of bytes
Requ’d [1]
What integ covers
What is Xmtd
IP Header
variable
M
[2]
plain
Next header
1
M
Y
plain
Payload length
1
M
Y
plain
RESERVED
2
M
Y
plain
SPI
4
M
Y
plain
Seq# (low order 32-bit)
4
M
Y
plain
ICV
Variable
M
Y [3]
plain
IP datagram [4]
Variable
M
Y
plain
Seq# (high order 32-bit)
4
If ESN
Y
Not xmtd
ICV padding
Variable
If need
Y
Not xmtd
Keterangan:
[1] – M andatory
[2] – perhitungan Integrity Check Value
ICV AH mengkomputasi field sebagai berikut:
1. Field header IP
2. Header AH (next header, Payload length, SPI, Sequence number (low order 32 bit), dan ICV (dimana akan diset nol untuk komoutasi ini, serta byte padding eksplisit (jika ada)
3. Protokol data level selanjutnya.
4. Bit itnggi dari ESN (jika diterapkan), dan padding implisit yang dibutuhkan oleh algoritma integritas (integrity algorithm)
[3] – Zero’d sebelum kalkulasi ICV
[4] – Jika mode tunnel -> IP datagram
Jika mode tranport -> next header dan data
Field-field yang menyusun AH didefinisikan sebagai berikut:
Next Header
Next Header adalah field 8-bit yang mengidentifikasi tipe dari next payload setelah AH.
Payload Length
Field 8-bit ini menspesifikasikan panjang AH dalam 32-bit word (4-byte unit), dikurangi “2”. Tujuannya adalah mengekspresikan panjang AH telah dipilih untuk mengizinkan penggunaan header IPv6 ekstension. Dalam kasus ini dari algoritma integritas yang menghasilkan nilai otentifikasi 96-bit, ditambah 3 32-bit word, field length akan menjadi 4. untuk IPv4, total panjang dari header harus merupakan kelipatan dari 8-octet unit.
RESERVED
Field 16-bit yang dicadangkan untuk penggunaan dimasa depan.
SPI (Sequrity Parameter Index)
SPI merupakan nilai 32-bit yang digunakan olehpenerima untuk mengidentifikasi dari SA mana paket kiriman disalurkan.
Sequence Number
Fiel 32-bit yang tak bertanda yang berisi nilai pancacah yang akan bertambah satu setiap paket dikirimkan.
Extended (64-bit) Sequence Number
Untuk mendukung implementasi IPSec yang kecepatannya lebih tinggi.
Integrty Check Value (ICV)
ICV adalah field yang berisi nilai cek untuk integritas. Field ini harus mempunyai panjang kelipatan 32-bit.
Authetication Header Processing
AH dapat diaplikasikan dengan dua cara, yaitu:
1. Mode Transport.
Dalam mode transport AH dimasukkan setelah header IP dan sebelum protokol layer selanjutnya, seperti TCP, UDP, ICMP dan lain-lain. Atau sebelum header IPSec lain yang telah dimasukkan. Diagram berikut mengilustrasikan mode transport AH diposisikan pada semua paket IPv4.
Sebelum penerapan AH
----------------------------
IPv4 orig IP hdr
(any options) TCP Data
----------------------------
Setelah penerapan AH
---------------------------------
IPv4 orig IP hdr
(any options) AH TCP Data
---------------------------------
<------- authenticated ------->
kecuali untuk mutable fields ifeld yang dapat berubah)
dalam IPv6, AH dipandang sebagai end-to-end payload, dan dapat muncul setelah hop-by-hop, routing, dan header ekstensi fragmentasi. Header option tujuan dapat muncul sebelum atau setelah atau sebelum dan sesudah header AH tergantung semantic yang diinginkan. Diagram berikut mengilustrasikan penempatan AH pada mode tranport dalam paket IP.
Sebelum penerapan AH
---------------------------------------
IPv6 ext hdrs
orig IP hdr if present TCP Data
---------------------------------------
Setelah penerapan AH
------------------------------------------------------------
IPv6 hop-by-hop, dest*, dest
orig IP hdr routing, fragment. AH opt* TCP Data
------------------------------------------------------------
<---- authenticated except for mutable fields ----------->
* = dapat diletak sebelum, sesudah atau keduanya.
2. mode tunnel
dalam mode tunnel, header IP “inner” membawa alamat sumber dan tujuan IP, sedangkan header IP “outer” berisi alamat IPSec “peers”, seperti alamat Security gateway. Dalam mode tunnel, AH melindungi seluruh paket IP inner, meliputi seluruh header IP inner. Posisi AH dalam mode tunnel, relatif pada header IP outer, adalah sama seperi AH dalam mode transport. Diagram berikut mengilustrasikan penempatan AH mode tunnel dalam IPv4 dan IPv6.
------------------------------------------------
IPv4 new IP hdr* orig IP hdr*
(any options) AH (any options) TCP Data
------------------------------------------------
<- authenticated except for mutable fields -->
in the new IP hdr
--------------------------------------------------------------
IPv6 ext hdrs* ext hdrs*
new IP hdr*if present AH orig IP hdr*if presentTCPData
--------------------------------------------------------------
<-- authenticated except for mutable fields in new IP hdr ->
* = if present, construction of outer IP hdr/extensions and
modification of inner IP hdr/extensions is discussed in
the Security Architecture document.
Aplikasi
Contoh software yang yang digunakan untuk IP Security salah satunya adalah CIPE (Cryptographic IP Encapsulation).
CIPE (Cryptographic IP Encapsulation)
CIPE merupakan suatu software memberikan fasilitas bagi interkoneksi subnetwork yang aman (menghadapi eavesdropping, termasuk traffic analysis, dan faked message injection) melintasi jaringan paket yang tidak aman seperti Internet. CIPE mengenkripsi data pada level jaringan. Paket-paket yang berjalan antar host pada jaringan dienkripsi. Mesin enkripsi ditempatkan dekat driver yang mengirim dan menerima paket. CIPE dapat digunakan dalam tunnelling, dalam rangka menciptakan Virtual Private Network. Enkripsi level rendah memiliki keuntungan yaitu dapat dibuat transparan antar dua jaringan yang terhubung dalam VPN, tanpa merubah software aplikasi.
(IP Security)
System Overview
IPSec didesain untuk menyediakan interoperabilitas, kualitas yang baik, sekuriti berbasis kriptografi untuk IPv4 dan IPv6. layanan yang disediakan meliputi kontrol akses, integritas hubungan, otentifikasi data asal, proteksi jawaban lawan, kerahasiaan (enkripsi), dan pembatasan aliran lalulintas kerahasiaan. Layanan-layanan ini tersedia dalam IP layer, memberi perlindungan pada IP dan layer protokol berikutnya. IP Security menyediakan sederet layanan untuk mengamankan komunikasi antar komputer dalam jaringan. Selain itu juga menambah integritas dan kerahasiaan, penerima jawaban optional (penyortiran jawaban) dan otentifikasi data asal (melalui manajemen kunci SA), IP Security juga menyediakan kontrol akses untuk lalulintas yang melaluinya. Tujuan-tujuan ini dipertemukan dengan dipertemukan melalui penggunaan dua protokol pengamanan lalulintas yaitu AH (Authentication Header) dan ESP (Encapsulating Security Payload) dan dengan penggunan prosedur dan protokol manajemen kunci kriptografi. Jika mekanisme ini diimplementasikan sebaiknya tidak merugikan pengguna, host dan komponen internet lainnya yang tidak mengguankan mekanisme ini untuk melindungi lalulintas data mereka. Mekanisme ini harus fleksibel dalam menggunakan akgtoritma keamanan, maksudnya yaitu modul ini dapat mengguanakan algoritma sesuai dengan pilihan tanpa mempengaruhi komponen implementasi lainnya. Penggunaan algoritma defaultnya harus dapat memfasilitasi interoperabilitas dalam internet pada umumnya. Pengguanaan algoritma ini dalam hubungannya dengan rpoteksi lalulintas (IPSec traffic protection) dan protokol manajemen kunci (key managemen protocols), bertujuan memperbolehkan sistem dan pengembang aplikasi untuk meningkatkan kualitas yang tinggi, internet layer, teknologi keamanan berbasis kriptografi.
IPSec protokol yang dikombinasikan dengan algoritma default-nya didesain untuk menyediakan keamanan lalu lintas internet yang baik. Bagaimanapun juga keaaman yang diberikan oleh protokol ini sebenarnya bergantung pada kualitas dari implementasi, yang mana implementasi ini diluar lingkup dari standarisasi ini. Selain itu keamanan sistem komputer atau jaringan adalah fungsi dari banyak faktor, meliputi individu, fisik, prosedur, sumber kecurigaan dan praktek keamananan komputer dalam dunia nyata. IPSec hanya salah satu komponen dari arsitektur sistem keamanan. Keamanan yang didapat dari pemakaian IPSec bergantung pada lingkungan operasi dimana implementasi IPSec dijalankan. Sebagai contoh kerusakan dalam keamanan sistrem operasi.
Definisi IPSec
IPSec menyediakan layanan sekuritas pada IP layer dengan mengizinkan sistem untuk memilih protokol keamanan yang diperlukan, memperkirakan algoritma apa yang akan digunakan pada layanan, dan menempatkan kunci kriptografi yang diperlukan untuk menyediakan layanan yang diminta. IPSec dapat digunakan untuk memproteksi satu atau lebih path antara sepasang Host, antara sepasang security gateway, atau antara security gateway dengan Host (istilah security gateway mengacu pada sistem intermediate yang menggunakan protokol IPSec, misalkan router dan firewall yang mengimplementasikan
IPSec). Layanan dari sekuritas yang disediakan oleh IPSec meliputi kontrol akses, integritas dan lain-lain seperti tesebut dibagian atas bekerja pada IP layer oleh karena itu layanan ini dapat digunakan oleh layer protokol yang lebih tinggi seperti TCP, UDP, ICMP, BGP dan lain-lain. IPSec DOI juga mendukung kompresi IP [SMPT 98] dimotivasi dari pengamatan bahwa ketika kompresi diterapkan dalam IPSec, hal ini akan mencegah kompresi efektif pada protokol yang lebih rendah.
Bagaimana IPSec bekerja
IPSec menggunakan dua protokol untuk menyediakan layanan keamanan lalulintas yaitu Authentication Header (AH) and Encapsulating Security Payload (ESP). Implementasi IPSec harus mendukung ESP dan juga AH.
Protokol AH menyediakan integritas hubungan, otentifikasi data asal dan layanan anti jawaban.
Protokol ESP menyediakan kerahasiaan (enkripsi), dan pembatasan aliran lalulintas kerahasiaan. ESP juga menyediakan layanan integritas hubungan, otentifikasi data asal dan layanan anti jawaban.
Kedua protokol ini merupakan pembawa kontrol akses berbasis distribusi kunci kriptografi dan manajemen aliran lalulintas relatif terhadap protokol keamanan.
Protokol-protokol ini dapat diterapakan secara sendiri-sendiri atau dikombinasikan antara keduanya untuk menyediakan layanan keamanan yang diinginkan dalam IPv4 dan IPv6. Masing-masing protokol mendukung dua mode penggunaan: mode transport dan mode x. Dalam mode transport protokol menyediakan proteksi terutama untuk layer protokol berikutnya. Sedangkan dalam mode tunnel protokol diterapkan untuk meneruskan paket IP. Perbedaan antara kedua mode tersebut dijelaskan pada bagian berikutnya.
IPSec mengizinkan pengguna (administrator sistem) untuk mengontrol bagian-bagian terkecil dimana layanan keamanan diberikan. Sebagai contoh, salah satu dapat membuat tunnel enkripsi tunggal untuk membawa semua lalulintas antara dua sekurity gateway atau membuat tunnel enkripsi terpisah yang dibuat di masing-masing hubungan TCP antara sepasang Host yang berkomunikasi melintasi gateway tersebut. Manajemen IPSec harus menggabungkan fasilitas untuk menspesifikasikan:
Layanan keaman apa yang digunakan dan dengan kombinnasi yang seperti apa.
· bagian Sekecil apa proteksi keamanan diterapkan.
· Algoritma yang digunakan untuk mempengaruhi keamanan berbasis kriptografi.
Karena layanan keaman ini menggunakan nilai rahasia yang di-share (cryptographic keys), IPSec mengandalkan mekanisme terpisah untuk menempatkan kunci ini. (kunci ini digunakan untuk layanan otentifikasi/integritas dan layanan enkripsi).
Dimana IPSec diimplementasikan
Ada berbagai macam cara pengimplementasian IPSec dalam host atau hubungan dengan firewall atau router (untuk menciptakan sebuah security gateway). Beberapa contoh implementasi tersebut dijelaskan dibawah ini:
a. Integrasi IPSec kedalam implementasi native IP. Cara ini membutuhkan akses ke source code IP dan cara ini mudah diaplikasikan untuk host dan security gateway.
b. Implementasi Bump-In-The-Stack (BITS), dimana IPSec diimplementasikan dibawah implementasi protokol stack IP yang sudah ada, diantara native IP (IP asli) dan driver jaringan lokal. Akses source code untuk IP stack tidak diperlukan dalam konteks ini, membuat implementasi ini mendekati pengguanaan yang sesuai dengan sistem pewarisan. Pendekatan ini kita digunakan, pada umumnya digunakan dalam Host.
c. Penggunaan pengolah kriptografi outboard merupakan desain keamanan karingan yang umum digunakan oleh militer dan beberapa sistem komersil. Sistem ini kadang dikenal sebagai implementasi Bump-In-The-Wire (BITW). Implementasi seperti itu dirancang untuk melayani Host atau Gateway ( atau keduanya). Biasanya device BITW adalah IP berpetunjuk. Apabila menyokong hanya Host tunggal maka ananlogi dengan BITS, tapi apabila menyokong router atau firewall maka harus berperilaku sebagai security gateway.
Security Association
Bagian ini akan menjelaskan kebutuhan manajemen untuk implementasi Ipv6 dan implementasi Ipv4 yang mengimplementasikan AH, ESP atau keduanya. Konsep “Security Association” adalah pokok dari IPSec. Semua implementasi dari AH dan ESP harus mendukung konsep Security Association seperti yang dijelaskan dibawah. Bagia terakhir menguraikan berbagai aspek manajemen Security Association, mendefinisikan manajemen kebijakan SA yang diperlukan, proses lalulintas, dan teknik manajemen SA.
Definisi dan ruang lingkup
Security Association adalah suatu hubungan simplex yang menghasilkan layanan keamanan lalulintas yang dibawanya. Layanan keamanan ini dihasilkan oleh SA dengan penggunaan AH atau ESP tapi bukan penggunaan keduanya. Jika proteksi AH dan ESP diterapkan dalam aliran lalulintas, kemudian dua tau lebih SA di-create untuk menghasilkan proteksi dalam aliran lalulintas. Untuk mengamankan komunikasi dua arah antara dua Host, atau antara dua security gateway maka dibutuhkan dua SA (satu di masing-masing arah).
Security Association secara unik dikenali dari tiga komponen yaitu Security Parameter Index (SPI), alamat tujuan IP dan protokol keamanan (AH atau ESH). Nilai SPI mencakup nilai 1 sampai 255 yang ditetapkan oleh IANA (Internet Assigned Number Authority) untuk penggunaan dimasa yang akan datang. Nilai SPI nol (0) ditetapkan untuk penggunaan implementrasi khusus lokal dan tidak dikirim lewat kabel. Sebagai contoh implementasi manajemen kunci mempunyai nilai SPI nol yang berarti tidak ada Security Association selama periode ketika implementasi IPSec telah meminta bahwa entitas manajemen kunci tersebut menetapakan SA baru, tetapi SA belum masih belum ditetapkan. Pada prinsipnya, alamat tujuan merupakan unicast address, IP broadcast address atau multicat group address. Bagaimanapun mekanisme manajemen SA IPSec saat ini hanya didefinisikan untuk SA unicast. Oleh karena itu, untuk diskusi pemaparan selanjutnya SA dideskripsikan utamanya untuk komunikasi point-to-point, meskipun konsepnya dapat diaplikasikan untuk kasus komunikasi point-to-multipoint.
Seperti telah dituliskan dibagian sebelumnya didefinisikan dua tipe SA yaitu mode transport dan mode tunnel. SA mode transport adalah SA antara dua Host. Dalam kasus dimana link security ingin digunakan antara dua sistem intermediate sepanjang path mode transport juga dapat digunakan antara dua security gateway. Dalam kasus terbaru mode transport juga digunakan untuk mensuport IP-in-IP atau GRE tunneling melalui SA mode transport. Catatan bahwa fungsi kontrol akses merupakan bagian yang penting dari IPSec secara significan dibatasi dalam konteks ini. Sehingga penggunaan mode transport harus dievaluasi secara hati-hati sebelum digunakan. Dalam Ipv4, header protokol keamanan mode transport terlihat setelah header IP dan beberapa pilihan lain dan sebelum protokol layer yang lebih tinggi (seperti TCP atau UDP) dalam Ipv6, header protokol keamanan terlihat setelah header base IP dan ekstensionnya, tetapi mungkin juga terlihat sebelum atau sesudah pilihan tujuan dan sebelum protokol layer yang lebih tinggi. Dalam kasus ESP SA mode tranport menyediakan layanan keamanan hanya untuk protokol layer yang lebih tinggi darinya, tidak untuk IP header atau ekstension header yang mendahului ESP header. Dalam kasus untuk AH, proteksi juga ditambahkan ke bagian yang dipilih dari IP header, bagian yang dipilih dari ekstension header dan option pilihan (yang terdapat pada header Ipv4, Hop-by-Hop ekstension header Ipv6, atau ekstension header tujuan pada Ipv6).
SA mode tunnel sebenarnya adalah SA yang diaplikasikan di IP tunnel. Dengan hanya sepasang pengecualian, kapan saja ujung manapun dari SA adalah Security gateway, SA harus mode tunnel. SA diantara dua security gateway pada dasarnya adalah SA mode tunnel seperti SA antara Host dan Security Gateway. Catatan bahwa dalam kasus dimana lalulintas ditujukan untuk security gateway seperti SNMP commands, security gateway berlaku sebagai Host dan mode transport diperbolehkan. Tapi dalam kasus tersebut security gateway tidak berlaku sebagai gateway. Seperti tertulis diatas security gateway mungkin mendukung mode transport untu menyediakan link (Hubungan) keamanan. Dua Host dapat menyusun sebuah mode tunnel antara mereka. Kebutuhan untuk transit traffic SA meliputi security gateway untuk menjadi SA tunnel mengacu ke kebutuhan untuk menghindari problem potensial dengan memperhatikan fragmentasi dan penyusunan ulang dari paket IPSec dan dalam keadaan dimana path yang banyak (melalui security gateway yang berbeda) menuju ke tujuan yang sama dibelakang security gateway.
Untuk SA mode tunnel ada header IP luar yang menspesifikasikan pemrosesan tujuan IPSec ditambah dengan header IP dalam yang menunjukkan tujuan terakhir dari peket tersebut. Header protokol keamana terlihat setelah header IP luar dan sebelum header IP dalam. Jika AH diterapkan dalam mode tunnel bagian header IP luar diperoleh proteksi seperti halnya paket IP yang disalurkan (semua header IP dalam diproteksi seperti halnya layer protokol yang lebih tinggi). Jika ESP diterapkan proteksi dikerjakan hanya pada paket yang disalurkan tidak pada header luar.
Fungsi Security Association
Layanan keamanan yang diberikan oleh SA bergantung pada protokol security yang dipilih, mode SA, endpoint SA, dan pada pemilihan layanan optional yang disertakan dalam protokol. Sebagai contoh, AH menyediakan layanan otentifikasi data asal dan integritas hubungan untuk datagram IP. AH juga memberikan layanan anti-replay, untuk membantu counter menolak service attack. AH merupakan protokol yang cocok utnuk diterapkan jika kerahasiaan kurang dipedulikan. AH juga menyediakan otentiofikasi untuk bagian yang dipilih dari header IP, yang mana mungkin dibutuhkan di beberapa keadaan. Sebagai contoh, jika integritas dari sebuah header option IPv4 atau header ekstension IPv6 harus diproteksi dalam rute antara pengirim dan penerima, AH menyediakan layanan tersebut (kecuali untuk bagian header IP yang tidak dapat ditebak dan dapat berubah.)
ESP memyediakan kerahasiaan untuk lalulintas. (kekuatan layanan kerahasiaan ini bergantung pada algoritma enkripsi yang diterapkan). ESP juga menyediakan layanan otentifikasi. Jika otentifiaksi dirundingkan untuk SA ESP, penerima juga memilih untuk menguatkan layanan anti-reply dengan fitur fyang sama seperti layanan anti-reply pada AH. Jangkauan otentifikasi yang diberikan oleh ESP lebih dangkal daripada AH, seperti header IP yang berada diluar header ESP tidak terlindungi. Hanya jika protokol layer berikutnya perlu untuk diotentifikasi, maka otentifikasi ESP merupakan pilihan yang tepat dan akan lebih efisien ruang daripada AH. Perlu diingat meskipun kerahasiaan dan otentifikasi merupakan layanan optional tetapi kedua layanan tersebut tidak dapat dihilangkan. Setidaknya salah satu dari layanan tersebut harus dipilih.
Apabila layanan kerahasiaan (confidentiality) dipilih, maka SA ESP (mode tunnel) antara dua security gateway dapat memberikan kerahasiaan aliran lalulintas parsial. Penggunaan mode tunnel menperbolehkan header IP dalam (inner IP header) untuk dienkripsikan, merahasiakan identitas dari sumber dan tujuan dari lalulintas tersebut. Lebih dari, lapisan ESP payload juga dapat dilibatkan untuk menyembunyikan ukuran dari peket. Layanan confidentiality aliran lalulintas yang sama juga dapat diberikan ketika mobile user menggunakan alamat IP dynamic dalam konteks dialup, dan menetapkan SA ESP (mode tunnel) menjadi firewall (berlaku sebagai security gateway).
Menggabungkan Security Association
Security Association dapat digabungkan menjadi satu kemasan dengan dua cara, yaitu transport adjacency dan iterated tunneling.
1. Transport Adjacency.
Cara ini mengacu pada penggunaan lebih dari satu protokol security dalam datagram IP yang sama, tanpa melibatkan tunneling.
Host 1
Security
Gwy 2
internet
Security
Gwy 1
Host 2
Security Association 1 (ESP Transport)
Security Association 2 (AH Transport)
2. Iterated Tunneling.
Cara ini mengacu pada pengaplikasian multiple layer dari protokol security yang dipengaruhi melalui IP tunneling. Pendekatan ini membolehkan nesting yang multiple level, karena masing-masing tunnel dimulai dan diakhiri pada tempat IPSec yang berbeda sepanjang path (lintasan). Ada tiga basic kasus pada iterated tunneling, yaitu:
1. Kedua ujung (endpoint) untuk SA adalah sama. Tunnel dalam atau tunnel luar keduanya dapat berupa AH atau ESP.
Host 1
Security
Gwy 2
internet
Security
Gwy 1
Host 2
Security Association 1 (tunnel)
Security Association 2 (tunnel)
2. Salah satu dari ujung SA adalah sama.
Host 1
Security
Gwy 2
internet
Security
Gwy 1
Host 2
Security Association 1 (tunnel)
Security Association 2 (tunnel)
3. Tidak ada ujung yang sama.
Host 1
Security
Gwy 2
internet
Security
Gwy 1
Host 2
Security Association 1 (tunnel)
Security Association 2 (tunnel)
Security Association Database (SAD)
Banyak dari detil dalam proses IP traffic dalam implementasi IPSec menjadi masalah lokal, tidak ada subject untuk menstandarkan. Bagaimanapun, beberapa aspek eksternal dari proses tersebut harus distandarisasi, untuk memastikan interoeprabilitas dan untuk menyediakan kapabilitas manajemen minimum yang perlu untuk penggunaan yang produktif dari IPSec. Bagian ini menjelaskan model umum untuk proses IP traffic relatif pada Security Association, untuk mendukung tujuan interoperabilitas dan fungsionalitas. Model yang dijelaskan berikut berupa nominal.
Ada dua database nominal dalam model tersebut, yaitu Security Policy Database (SPD) dan Security Association Database (SAD). Yang pertama menspesifikasikan kebijakan-kebijakan yang menentukan disposisi dari traffic IP pergi atau masuk dari sebuah Host, security gateway atau implementasi IPSec BITS atau BITW. Dan yang kedua berisi parameter yang dihubungkan dengan security association. Bagian ini juga akan menjelaskan tentang Selector, sekumpulan nilai field protokol layer IP dan protokol selanjutnya yang digunakan oleh Security Policy Database untuk memetakan lalulintas menjadi suatu ketentuan baku.
Security Policy Database (SPD)
Pada dasarnya Security Association adalah manajemen penyusunan yang digunakan untuk menguatkan pketentuan keamanan dalam lingkungan IPSec. SPD ini merupakan elemen dasar dalam proses SA yang menspesifikasikan layanan apa saja yang akan diberikan ke datagram IP dan dalam bentuk seperti apa. Bentuk dari database dan interfacenya diluar cakupan dari spesifikasi ini. Bagaimanapun juga, bagian ini menunjukkan manajemen fungsional minimum yang harus tersedia, untuk mengizinkan user dan administrator sistem mengontrol bagaimana IPSec diaplikasikan ke lalulintas pengiriman atau penerimaan oleh Host atau security gateway.
SPD harus dikonsultasikan selama proses seluruh traffic (inbound dan outbound), termasuk juga traffic non-IPSec. Dengan maksud untuk mendukung hal tersebut, SPD membutuhkan masukkan yang berbeda untuk traffic inbound dan outbound. Salah satunya adalah dengan memikirkannya sebagai SPD yang terpisah. Untuk datagram inbound ata outbound , tiga pilihan prose dimungkinkan, yaitu : discard, bypass IPSec atau Apply IPSec. Discard mengacu pada traffic yang tidak diizinkan keluar dari Host, melintasi security gateway, atau dikirimkan ke suatu aplikasi. Bypass IPSec mengacu pada traffic yang dizinkan lewat tanpa proteksi IPSec tambahan. Apply IPSec mengacu pada traffic yang diberikan proteksi IPSec, dan untuk traffic seperti itu SPD harus menspesifikasikan layanan keamanan yang harus disediakan, protokol untuk diterapkan, algoritma yang digunakan dan lain-lain.
Untuk setiap implementasi IPSec harus ada interface yang mengizinkan user atau administrator sistem untuk mengatur SPD. Terutama, setiap paket inbound atau outbound adalah subject yang akan diproses oleh IPSec dan SPD harus menentukan aksi apa yang akan diterapkan untuk masing-masing kasus.
SPD berisi daftar yang didalamnya terdapat ketentuan-ketentuan. Masing-masing ketentuan tersebut dikuncikan dengan satu atau lebih selector yang mendefisikan sekumpulan traffic IPSec yang diarahkan oleh ketentuan tersebut.
SPD harus mengizinkan administrator keamanan untuk menspesifikasikan ketentuan-ketentuan sebagai berikut:
Masukan SPD adalah daftar yang berisi satu atau lebih pasangan kumpulan selector.
Masing-masing pasangan kumpulan selector tersebut terdiri dari satu set selector untuk SA dari initiator ke penerima dan satu set selector untuk SA dari penerima ke initiator.
Masing-masing kumpulan selector tersebut terdiri dari tipe selector sebagai berikut: range alamat IP asal, range alamat IP tujuan, protokol, range port sumber, range port tujuan, range tipe header Ipv6mobile (MH type), range tipe pesan ICMP, range kode ICMP, nama (list), level sensitifitas data (list).
Selector
Security Association dapat berupa bagian yang halus atau juga bagian yang kasar bergantung pada selector yang digunakan untuk mendefinisikan set dari traffic untuk Security Association. Sebagai contoh, semua traffic antara dua Host dibawa melalui SA tunggal, dan menghasilkan layanan security yang seragam. Alternatifnya, traffic antara sepasang Host dapat disebarkan melalui SA yang banyak, bergantung pada aplikasi yang sedang digunakan, dengan layanan security yang berbeda oleh SA yang berbeda juga. Sebagai catatan dalam kasus penerimaan paket dengan header ESP pada security gateway terenkapsulasi atau implementasi BITW, protokol layer transpor, port sumber/tujuan, dan nama mungkin saja menjadi kabur, tidak dapat diakses karena enkripsi atau fragmentasi.
Selector yang digunakan adalah:
Alamat IP tujuan (Ipv4 atau Ipv6): alamat ini dapat berupa alamat IP tunggal (unicast, anycast, broadcast (hanya untuk Ipv4), atau grup multicast), range dari alamat (termasuk nilai tinggi dan nilai rendah, alamat + mask, atau alamat wildcard. Tiga terakhir digunakan untuk mendukung lebih dari satu destination system sharing pada SA yang sama. Ketika paket yang disalurkan sampai pada ujung tunnel, protokol/alamat tujuan/SPI digunakan untuk menelaah SA untuk paket ini dalam SAD. Alamat tujuan ini muncul dari encapsulasi header IP. Ketika paket telah diproses menurut SA tunnel dan keluar dari tunnel, selector ini di “look up” dalam SPD inbound. SPD inbound mempunyai selector yang disebut alamat tujuan. Alamat tujuan IP ini adalah salah satu IP header inner (encapsulated). Dalam kasus paket transport, hanya akan ada satu header IP dan ambigunya tidak ada.
Alamat IP asal (Ipv4 atau Ipv6): alamat IP asal dapat berupa alamat IP tunggal (unicast, anycast, broadcast (hanya Ipv4), atau grup multicast), rang dari alamat (termasuk nilai tinggi dan nilai rendah), alamat + mask, atau alamat wildcard. Tiga terakhir digunakan untuk mendukung lebih dari satu souce system sharing dalam SA yang sama.
Nama: ada dua kasus, yaitu:
User ID
String nama utuh yang berguna, contoh:
mozart@foo.bar.com
b. X.500 distinguished name, contoh :
C = US, SP = MA, O = GTE
Internetworking, CN = Stephen T. Kent.
2. Nama System (Host, Security Gateway, dan lain-lain)
a. Fully qualified DNS name (nama penuh), contoh : foo.bar.com
b. X.500 distinguished name
c. X.500 general name
Catatan :
o User ID, digunakan untuk:
Ø Implementasi native Host
Ø Implementasi BITS dam BITW yang berfungsi layaknya Host dengan hanya satu user
Ø Implementasi security gateway untuk proses inbound
o Nama System digunakan untuk semua implementasi.
· Level sensitifitas data
· Protokol layer selanjutnya: diperoleh dari field protokol Ipv4 atau field next header Ipv6. ini merupakan nilai protokol individual. Field paket ini tidak berisi protokol layer berikutnya yang mangacu pada keberadaan header ekstension IP, misal routing header, AH, ESP, fragmentation header, destination option, Hop-by-Hop option, dll.
· Port sumber dan tujuan (misal TCP/IP): ini merupakan nilai port TCP atau UDP individual atau wildcard port.
Tabel berikut menunjukan hubungan antara nilai “Next Header”dalam paket dan SPD dan nilai selector port yang diperoleh untuk SPD dan SAD.
Next header dalam paket
Protokol layer transport dalam SPD
Nilai field selector port yang didapat dalam SPD dan SAD
ESP
ESP or ANY
ANY (i.e., dont’t look at it)
-don’t care-
ANY
ANY (i.e., dont’t look at it)
Specific value fragment
Specific value
NOT ANY (i.e., drop packet)
Specific value not fragment
Specific value
Actual port selector field
Ipv6 mobility Header Message Type (MH Type) [mobile IP]: ini adalah selector 8-bit yang mengidentifikasi mobility message tertentu dalam permintaan. Ini harus digunakan hanya jika protokol layer berikutnya didefinisikan sbagai mobility header Ipv6. MH type tidak ada dalam kasus penerimaan paket dengan header ESP.
ICMP Message Type (tipe pesan ICMP): ini mendefinisikan tipe dari pesan ICMP. Selector ini dapat berpa list. ICMP message type tidak ada pada kasus penerimaan paket dengan header ESP.
ICMP code: ICMP code mendefinisikan penyebab khusus dari ICMP message. Selector ini dapat berupa list. ICMP code tidak ada dalam kasus penerimaan paket dengan header ESP.
Security Association Database
Pada implementasi IPSec ada Security Associatiation Database, dimana tiap-tiap masukan mendefinisikan parameter yang berhubungan dengan satu SA. Masing-masing SA mempunyai satu masukkan (entry) dalam SAD. Untuk proses outbound, masukan-masukan tersebut ditunjukan dengan masukkan-masukkan dalam SPD. Untuk proses inbound, tiap-tiap masukkan dalam SAD diindex-kan oleh alamat IP tujuan, tipe protokol IPSec, dan SPI.
Field SAD berikut digunakan dalam melalukan proses IPSec:
Sequence Number Counter: sebuah nilai 32-bit yang digunakan untuk membangkitkan sequence number field dalam header AH atau ESP
Sequence Counter Overflow: flag yng mengindikasikan overflow yang mana dari sequence number counter yang harus membangkitkan event yang bisa diaudit dan mencegah transmisi paket tambahan dalam SA.
Anti-Reply Window: counter 32-bit dan bit-map (peta-bit) yang digunakan untuk memperkirakan apakah pket inbound AH atau ESP adalah jawaban (reply).
Algoritma otentifikasi, kunci (key) dan lain-lain.
Algoritma enkripsi ESP, key, IV mode, IV dan lain-lain
Jika layanan otentifikasi tidak dipilih, maka nilai field ini null.
Lifetime dari Security Association: interval waktu dimana SA harus diganti dengan SA yang baru (dan SPI baru) atau dimatikan, serta indikasi aksi mana yang akan dilakukan. Ini dapat diekspresikan dengan waktu atau byte count (cacah byte), atau gabungan dari keduanya.
Cara untuk menangani refreshing keys pada saat SA habis masanya dapat dilakukan dengan pendekatan sebagai berikut:
Jika digunakan cacah byte, maka implementasi harus menghitung jumlah byte dimana algoritma IPSec diaplikasikan. Untuk ESP algoritma enkripsi dan untuk AH algoritma otentifikasi.
Harus ada dua jenis lifetime, soft lifetime yang meperingatkan implementasi untuk menginisialisasi aksi seperti menyiapkan penggantian SA dan hard lifetime ketika SA yang bersangkutan berakhir.
Jika seluruh paket tida dikirimkan selama masa hidup SA, paket tersebut harus dibuang.
· IPSec protocol mode (mode protokol IPSec): tunnel, transport atau wildcard. Mengindikasikan mode yang mana dari AH atau ESP yang diaplikasikan di SA tersebut.
· Path MTU.
Kombinasi Dasar Security Association
Bagian ini membahas empat contoh kombinasi Security Association yang harus didukung oleh Host atau Security Gateway yang memenuhi IPSec. Kombinasi tambahan dari AH dan/atau ESP dalam mode tunnel dan/atau transport dapat disertakan tergantung pada pertimbangan pengimplemntasi (implementor). Implementasi yang mendukung harus mempunyai kemampuan membangkitkan keempat kombinasi dan juga harus dapat menerima dan memroses kombinasi apapun.
Diagram dibawah ini menunjukan kasus-kasus dasar:
Keterangan:
= = = = = satu atau lebih SA (AH atau ESP, transport atau tunnel)
- - - - = Hubungan
Hx = host x
SGx = Security Gateway x
X* = X yang mendukung IPSec
1. kasus 1 : menyediakan security end-to-end antara 2 host melewati internet atau intranet
H1*
H2*
Inter/intranet
mode tunnel atau transport dapat dipilih oleh Host, jadi header paket antara H1 dan H2 dapat terlihat sebagai berikut:
Transport Tunnel
1. [IP1][AH][next] 4. [IP2][AH][IP1][next]
2. [IP1][ESP][next] 5. [IP2][ESP][IP1][next]
3. [IP1][AH][ESP][next]
jika diperhatikan tidak ada persyaratan untuk mendukung general nesting, tapi dalam mode transport, AH dan ESP dapat diterapkan bersama-sama ke dalam paket, prosedur penetapan SA harus memastikan ESP pertama, kemudian AH di terapkan pada paket.
2. kasus 2: kasus ini mengilustrasikan pendukung jaringan privat maya yang sederhana.
H1
SG1*
SG2*
H2
Local intranet
Local intranet
internet
Admin. boundary
Admin. boundary
hanya mode tunnel yang dibutuhkan disini. Jadi header dalam paket antara SG1 dan SG2 terlihat sebagai berikut:
Tunnel
4. [IP2][AH][IP1][next]
5. [IP2][ESP][IP1][next]
3. kasus 3: kasus ini merupakan kombinasi kasus 1 dan 2, penambahan end-to-end security antara host pengirim dan penerima.
H1*
SG1*
Local intranet
SG2*
H2
Local intranet
internet
Admin. boundary
Admin. boundary
4. kasus 4: kasus ini untuk mengatasi sistuasi dimana remote host (H1) menggunakan internet untuk mencapai organization firewall (SG2) dan kemudian melakukan akses ke beberapa server atau mesin yang lain (H2). Remote Host dapat berupa mobile Hosat (H1) dialing up ke server PPP/ARA lokal dalam internet dan kemudian melintasi internet ke home organization firewal (SG2).
SG2*
H2
Local intranet
internet
H1*
Admin. boundary
Dapat berupa dial up ke server PPP/ARA
hanya mode tunnel yang diperlukan antata H1 dan SG2. dalam kasus ini pengirim harus mengaplikasikan header transport sebelum header tunnel.
ESP (Encapsulation Security Protocol)
Format Paket ESP
Header protokol (Ipv4, Ipv6 atau ekstension) yang mendahului header ESP berisi nilai 50 dalam field protokol (Ipv4) atau header selanjutnya (Ipv6, Ekstension). Gambar dibawah mengilustrasikan format level atas dari paket ESP. Paket diawali dengan field 4-byte (SPI dan sequence number). Kemudian selanjutnya adalah payload data, yang mempunyai substruktur bergantung pada pilihan algoritma enkripsi dan modenya, dan penggunaan dari TFC padding. Setelah payload data adalah padding danfield pad length dan field header selanjutnya. Kemudian dilengkapi dengan ICV (Integrity Check Value).
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Integ. coverage Security Parameters Index (SPI)
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
sequence Number
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Payload data*(Variable)
Conf. Coverage~ ~
+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Padding (0 – 255 byte)
+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
pad length Next Header +
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Integrity Check Value-ICV (variable) +
~ ~
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
format paket ESP level atas
* meliputi field payload, sinkronisasi dat kriptograpic, vektor inisialisasi.
Pembawa ESP terdiri dari Padding, pad length dan next header field. Dan tambahannya, pembawa data ESP implisit (yang tidak ditransmisikan) meliputi integrity computation yang dijelaskan sebagai berikut.
· Jika layanan integritas dipilih, integrity computation meliputi SPI, sequence number, payload data dan pembawa ESP (eksplisit dan implisit).
· Jika layanan confidentiality dipilih, chipertext terdiri dari payload data (kecuali untuk sinkronisasi data kriptografi yang mungkin diikutkan) dan pembawa ESP (eksplisit).
Ketetapan baru dibuat untuk memasukkan padding untuk aliran traffic yang terjaga kerahasiaannya yaitu setelah payload data dan sebelum pembawa ESP (ESP triler). Gambar dibawah menunjukkan mengilusrasikan substruktur dari payload data.
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Security Parameters Index (SPI)
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
sequence Number
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
payload IV (Optional)
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Rest Payload data*(Variable)
~ ~
+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
TFC Padding* (optional, variable)
+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Padding (0 – 255 byte)
+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
pad length Next Header +
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Integrity Check Value-ICV (variable) +
~ ~
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Substruktur payload data
* Jika mode tunnel yang digunakan, maka implementasi IPSec dapat menambah Traffic Flow Confidetiality (TFC).
Jika mode algoritma kombinasi yang diterapkan, ICV eksplisit yang terlihat pada gambar diatas akan dihilangkan.
Tabel berikut mengacu pada field-field pada gambar pertama dan mengilustrasikan bagaimana beberpa pilihan algoritma, masing-masing dengan model pemrosesan yang berbeda mempengaruhi field-field diatas.
# of bytes
Requ’ d [1]
What Encrypt cover
What Integ covers
What is Xmtd
SPI
4
M
Y
Plain
Seq# (low order bits)
4
M
Y
Plain
IV
Variable
O
Y
payloadplain
IP datagram [2]
Variable
M or D
Y
Y
Cipher [3]
TFC Padding [4]
Variable
O
Y
Y
Cipher [3]
Padding
0-255
M
Y
Y
Cipher [3]
Pad length
1
M
Y
Y
Cipher [3]
Next header
1
M
Y
Y
Cipher [3]
Seq# (high order bits)
4
If ESN [5]
Y
Not xmtd
ICV Padding
Variable
If need
Y
Not xmtd
ICV
Variable
M [6]
plain
Keterangan :
[1] M = mandatory; ) = optional; D = Dummy
[2] jika mode tunnel -> IP datagram
jika mode transport -> next header dan data
[3] chipertext jika enkripsi dipilih
[4] hanya dapat digunakan jika spesififkasi payload adalah real length
[5] extended sequence number [64 bit]
[6] mandatory jika algoritma integrasi terpisah digunakan
# of bytes
Requ’ d [1]
What Encrypt cover
What Integ covers
What is Xmtd
SPI
4
M
payloadPlain
Seq# (low order bits)
4
M
Plain
IV
Variable
O
Y
plain
IP datagram [2]
Variable
M or D
Y
Y
Cipher
TFC Padding [4]
Variable
O
Y
Y
Cipher
Padding
0-255
M
Y
Y
Cipher
Pad length
1
M
Y
Y
Cipher
Next header
1
M
Y
Y
Cipher
Seq# (high order bits)
4
If ESN [4]
Y
[5]
ICV Padding
Variable
If need
Y
[5]
ICV
Variable
O [6]
plain
Keterangan :
[1] M = mandatory; O = optional; D = Dummy
[2] jika mode tunnel -> IP datagram
jika mode transport -> next header dan data
[3] hanya dapat digunakan jika payload menspesifikasi “real” length
[4] extended sequence number [64 bit]
[5] algoritma memutuskan apakah akan ditransmisikan, tetapi dalam kasus yang sama hasilnya tidak terlihat.
[6] algoritma menentukan apakah field ini ada.
Optional maksudnya adalah field akan dihilangkan jika tidak digunakan. Field “Mandatory” selalu ada dalam format paket ESP, untuk semua SA.
Security Parameter Index (SPI)
SPI adalah nilai 32 bit yang digunakan oleh penerima untuk mengidentifikasi SA ke mana paket masuk terikat. Field SPI adalah mandatory. Untuk SA unicast, SPI digunakan sendiri untuk menspesifikasi SA, atau dapat digunakan dalam hubungan dengan tipe protokol IPSec. Dalam implemetasi untuk multicast. Tiap-tiap masukan dalam SAD harus mengindikasikan apakah SA akan mengecek alamat IP sumber dan tujuan. Indikasi dapat direpresentasikan dengan dua bit, pertama dihubungkan dengan alamat IP sumber dan yang lainnya untuk alamat IP tujuan. Nilai “1” untuk masing-masing bit mengindikasikan kebutuhan untuk membandingkan field alamat yang bersesuaian sebagai bagian dari proses looup. Sebagai contoh SA unicast mempunyai nilai kedua bit tersebut samadengan nol jika tidak ada alamat IP sumber atau tujuan digunakan untuk pencocokan (matching). Untuk multicast yang hanya mempercayakan pada alamat tujuan untuk menspesifikasikan grup multicast, hanya bit kedua yang akan si set “1”, mentiratkan kebutuhan penggunaan alamat IP tujuan dan menentukan SA yang tepat.
Sequence Number and Extended (64 bit) Sequence Number
Sequence number adalah field 32-bit yang berisi nilai pencacah yang bertambah satu untu tiap pakey yang dikirim. Untuk unicast SA atau single-sender multicast SA, pengirim harus menaikkan satu field ini untuk setiap paket yang ditransmisikan. Field ini “mandatory”. Extende Sequence Number mendukung implementasi IPSec kecepatan tinggi. Penggunaan ESN (Extended Sequence Number) harus dirundingkan dengan protokol manajemen SA. (Fitur ESN ini mudah diaplikasikan di multicast sebaik di unicast).
Payload Data
Payload data adalah field variabel panjang berisi data (dari paket IP asli) yang dideskriosikan dengan field next header.
Padding (untuk enkripsi)
Dua faktor utama yang memotivasi penggunaan field padding adalah:
· Jika algoritma enkripsi digunakan maka dibutuhkan plaintext untuk menjadi sebuah perkalian dari beberapa bilangan dalam bytes.
· Padding juga diperlukan untuk memastikan chipertext yang dihasilkan berhenti pada batas 4-byte.
Pad length
Field Pad length mengindikasikan sejumlah byte pad mendahului seketika dalam field padding.
Next Header
Next Header adalah mandatory, field 8-bit yang mengidentifikasi tipe dari data berada dalam field payload data.
Traffic Flow Confidentiality (TFC) Padding
Untuk mengatasi kelemahan dari field padding dimana field padding ini hanya mempunyai panjang terbatas (255 byte). TFC digunakan untuk menyembunyikan karakteristik traffic.
ESP Processing
ESP dapat diaplikasikan dengan dua cara, yaitu mode transport dan mode tunnel.
1. Transport mode processing
Dalam mode transport, ESP dimasukkan setelah header IP dan sebelum protokol layer berikutnya, seperti TCP, UDP, ICMP, dan lain-lain. Diagram berikut mengilustrasikan penempatan mode transport ESP untuk paket Ipv4.
Sebelum penerapan ESP
----------------------------
IPv4 orig IP hdr
(any options) TCP Data
----------------------------
Sesudah penerapan ESP
-------------------------------------------------
IPv4 orig IP hdr ESP ESP ESP
(any options) Hdr TCP Data Trailer ICV
-------------------------------------------------
<---- encryption ---->
<-------- integrity ------->
Dalam IPv6, ESP dipandang sebagai end-to-end payload, dan muncul setelah Hop-by-Hop, routing dan header fragmentasi elsteneion.
Sebelum penerapan ESP
---------------------------------------
IPv6 ext hdrs
orig IP hdr if present TCP Data
---------------------------------------
Sesudah penerapan ESP
---------------------------------------------------------
IPv6 orig hop-by-hop,dest*, dest ESP ESP
IP hdrrouting,fragment.ESPopt*TCPDataTrailer ICV
---------------------------------------------------------
<--- encryption ---->
<------ integrity ------>
* = apabila ada, dapat diletakkan sebelum ESP, sesudah ESP atau keduanya.
2. Tunnel mode processing
Dalam mode tunnel, header IP “inner” membawa alamat sumber dan tujuan. Dalam mode tunnel, ESP melindungi seluruh paket IP inner, termasuk juga header IP inner. Posisi ESP dalam mode tunnel relatif terhada header IP outer, ini sama dengan ESP dalam mode transport. Diagram berikut mengilustrasikan posisi ESP dalam mode tunnel untuk paket IPv4 dan IPv6.
Sebelum penerapan ESP
----------------------------
IPv4 orig IP hdr
(any options) TCP Data
----------------------------
Sesudah penerapan ESP
-----------------------------------------------------------
IPv4 new IP hdr* orig IP hdr* ESP ESP
(any options) ESP (any options) TCPDataTrailer ICV
-----------------------------------------------------------
<--------- encryption --------->
<------------- integrity ------------>
Sebelum penerapan ESP
---------------------------------------
IPv6 ext hdrs
orig IP hdr if present TCP Data
---------------------------------------
Setelah penerapan ESP
------------------------------------------------------------
IPv6 new* new ext orig*orig ext ESP ESP
IP hdr hdrs* ESPIP hdr hdrs * TCPDataTrailer ICV
------------------------------------------------------------
<--------- encryption ---------->
<------------ integrity ------------>
* = jika ada, konstruksi dari header/ekstension IP outer dan modifikasi header/ekstension IP inner ada dalam dokumen Security Architecture.
Penerapan ESP dalam Protokol UDP
Format Header UDP-encapsulated ESP
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Source Port Destination Port
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Length Checksum
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
ESP header [RFC 2406]
~ ~
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Header UDP adalah header standar, dimana:
· Port sumber dan port tujuan sama seperti yang dipakai oleh traffic IKE.
· Checksum ditransmisikan sebagai nilai nol.
· Penerima tidak harus bergantung pada UDP Checksum saat bernilai nol
Nilai SPI dalam ESP tidak boleh nol.
Diagram penerapan ESP pada UDP
1. ESP/UDP mode Transport
Enkapsulasi
Sebelum penerapan ESP/UDP
----------------------------
IPv4 orig IP hdr
(any options) TCP Data
----------------------------
Setelah penerapan ESP/UDP
-------------------------------------------------------
IPv4 orig IP hdr UDP ESP ESP ESP
(any options) Hdr Hdr TCP Data Trailer Auth
-------------------------------------------------------
<----- encrypted ---->
<------ authenticated ----->
1) Prosedur enkapsulasi ESP digunakan
2) Header UDP dimasukkan
3) Panjang total, protokol dan field header checksum dalam header IP diubah untuk mencocokkan paket IP
Dekapsulasi
1) Header UDP dibuang dari paket.
2) Panjang total, protokol dan field header checksum dalam header IP baru diubah untuk mencocokkan dengan paket IP hasil.
3) Prosedur dekapsulasi ESP digunakan.
4) Prosedur dekapsulasi NAT Mode transport digunakan.
2. ESP/UDP mode Tunnel
Enkapsulasi
Sebelum penerapan ESP/UDP
----------------------------
IPv4 orig IP hdr
(any options) TCP Data
----------------------------
Setelah Penerapan ESP/UDP
--------------------------------------------------------------
IPv4 new h. UDP ESP orig IP hdr ESP ESP
(opts) Hdr Hdr (any options) TCP Data Trailer Auth
--------------------------------------------------------------
<------------ encrypted ----------->
<------------- authenticated ------------>
1) Prosedur enkapsulasi ESP digunakan.
2) Header UDP dimasukkan.
3) Panjang total, protokol dan field header checksum dalam header IP baru diubah untuk mencocokkan dengan paket IP hasil.
Dekapsulasi
1) Header UDP dihapus dari paket.
2) Panjang total, protokol dan field header checksum dalam header IP baru diubah untuk mencocokkan paket IP hasil.
3) Prosedur dekapsulasi ESP dilaksanakan.
4) Dekapsulasi NAT mode tunnel dilaksanakan
AH (Authentication Header)
Format AH
Gambar dibawah ini meunjukkan format dari AH.
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Next Header Payload Len RESERVED
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Security Parameters Index (SPI)
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Sequence Number Field
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
+ Integrity Check Value-ICV (variable)
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Format AH
Tabel berikut mengacu pada field-field penyusun AH, ditambah field lain yang masuk dalam integrity computationdan mengilustrasikan field yang mana yang dilapisi ICV dan apa yang ditransmisikan.
# of bytes
Requ’d [1]
What integ covers
What is Xmtd
IP Header
variable
M
[2]
plain
Next header
1
M
Y
plain
Payload length
1
M
Y
plain
RESERVED
2
M
Y
plain
SPI
4
M
Y
plain
Seq# (low order 32-bit)
4
M
Y
plain
ICV
Variable
M
Y [3]
plain
IP datagram [4]
Variable
M
Y
plain
Seq# (high order 32-bit)
4
If ESN
Y
Not xmtd
ICV padding
Variable
If need
Y
Not xmtd
Keterangan:
[1] – M andatory
[2] – perhitungan Integrity Check Value
ICV AH mengkomputasi field sebagai berikut:
1. Field header IP
2. Header AH (next header, Payload length, SPI, Sequence number (low order 32 bit), dan ICV (dimana akan diset nol untuk komoutasi ini, serta byte padding eksplisit (jika ada)
3. Protokol data level selanjutnya.
4. Bit itnggi dari ESN (jika diterapkan), dan padding implisit yang dibutuhkan oleh algoritma integritas (integrity algorithm)
[3] – Zero’d sebelum kalkulasi ICV
[4] – Jika mode tunnel -> IP datagram
Jika mode tranport -> next header dan data
Field-field yang menyusun AH didefinisikan sebagai berikut:
Next Header
Next Header adalah field 8-bit yang mengidentifikasi tipe dari next payload setelah AH.
Payload Length
Field 8-bit ini menspesifikasikan panjang AH dalam 32-bit word (4-byte unit), dikurangi “2”. Tujuannya adalah mengekspresikan panjang AH telah dipilih untuk mengizinkan penggunaan header IPv6 ekstension. Dalam kasus ini dari algoritma integritas yang menghasilkan nilai otentifikasi 96-bit, ditambah 3 32-bit word, field length akan menjadi 4. untuk IPv4, total panjang dari header harus merupakan kelipatan dari 8-octet unit.
RESERVED
Field 16-bit yang dicadangkan untuk penggunaan dimasa depan.
SPI (Sequrity Parameter Index)
SPI merupakan nilai 32-bit yang digunakan olehpenerima untuk mengidentifikasi dari SA mana paket kiriman disalurkan.
Sequence Number
Fiel 32-bit yang tak bertanda yang berisi nilai pancacah yang akan bertambah satu setiap paket dikirimkan.
Extended (64-bit) Sequence Number
Untuk mendukung implementasi IPSec yang kecepatannya lebih tinggi.
Integrty Check Value (ICV)
ICV adalah field yang berisi nilai cek untuk integritas. Field ini harus mempunyai panjang kelipatan 32-bit.
Authetication Header Processing
AH dapat diaplikasikan dengan dua cara, yaitu:
1. Mode Transport.
Dalam mode transport AH dimasukkan setelah header IP dan sebelum protokol layer selanjutnya, seperti TCP, UDP, ICMP dan lain-lain. Atau sebelum header IPSec lain yang telah dimasukkan. Diagram berikut mengilustrasikan mode transport AH diposisikan pada semua paket IPv4.
Sebelum penerapan AH
----------------------------
IPv4 orig IP hdr
(any options) TCP Data
----------------------------
Setelah penerapan AH
---------------------------------
IPv4 orig IP hdr
(any options) AH TCP Data
---------------------------------
<------- authenticated ------->
kecuali untuk mutable fields ifeld yang dapat berubah)
dalam IPv6, AH dipandang sebagai end-to-end payload, dan dapat muncul setelah hop-by-hop, routing, dan header ekstensi fragmentasi. Header option tujuan dapat muncul sebelum atau setelah atau sebelum dan sesudah header AH tergantung semantic yang diinginkan. Diagram berikut mengilustrasikan penempatan AH pada mode tranport dalam paket IP.
Sebelum penerapan AH
---------------------------------------
IPv6 ext hdrs
orig IP hdr if present TCP Data
---------------------------------------
Setelah penerapan AH
------------------------------------------------------------
IPv6 hop-by-hop, dest*, dest
orig IP hdr routing, fragment. AH opt* TCP Data
------------------------------------------------------------
<---- authenticated except for mutable fields ----------->
* = dapat diletak sebelum, sesudah atau keduanya.
2. mode tunnel
dalam mode tunnel, header IP “inner” membawa alamat sumber dan tujuan IP, sedangkan header IP “outer” berisi alamat IPSec “peers”, seperti alamat Security gateway. Dalam mode tunnel, AH melindungi seluruh paket IP inner, meliputi seluruh header IP inner. Posisi AH dalam mode tunnel, relatif pada header IP outer, adalah sama seperi AH dalam mode transport. Diagram berikut mengilustrasikan penempatan AH mode tunnel dalam IPv4 dan IPv6.
------------------------------------------------
IPv4 new IP hdr* orig IP hdr*
(any options) AH (any options) TCP Data
------------------------------------------------
<- authenticated except for mutable fields -->
in the new IP hdr
--------------------------------------------------------------
IPv6 ext hdrs* ext hdrs*
new IP hdr*if present AH orig IP hdr*if presentTCPData
--------------------------------------------------------------
<-- authenticated except for mutable fields in new IP hdr ->
* = if present, construction of outer IP hdr/extensions and
modification of inner IP hdr/extensions is discussed in
the Security Architecture document.
Aplikasi
Contoh software yang yang digunakan untuk IP Security salah satunya adalah CIPE (Cryptographic IP Encapsulation).
CIPE (Cryptographic IP Encapsulation)
CIPE merupakan suatu software memberikan fasilitas bagi interkoneksi subnetwork yang aman (menghadapi eavesdropping, termasuk traffic analysis, dan faked message injection) melintasi jaringan paket yang tidak aman seperti Internet. CIPE mengenkripsi data pada level jaringan. Paket-paket yang berjalan antar host pada jaringan dienkripsi. Mesin enkripsi ditempatkan dekat driver yang mengirim dan menerima paket. CIPE dapat digunakan dalam tunnelling, dalam rangka menciptakan Virtual Private Network. Enkripsi level rendah memiliki keuntungan yaitu dapat dibuat transparan antar dua jaringan yang terhubung dalam VPN, tanpa merubah software aplikasi.
Otentifikasi dan keamanan utk jaringan
Otentifikasi dan Keamanan Untuk Jaringan
I. ACL, NTLM dan Definisi-definisi Lainnya
· Access Control Lists (ACLs)
Setiap ACL merupakan daftar dari kendali akses yang menunjukkan hak akses dan informasi untuk audit yang digunakan oleh sistem, misalnya oleh Windows NT atau oleh proxy server. Didalam Windows NT, ACLs ini akan digunakan bersama-sama dengan sistem akses file sytem NTFS (New Technology File System). Windows NT menggunakan daftar ini untuk melihat siapa saja yang telah diberikan hak untuk mengakses sumber daya tertentu (file atau folder) dan hak apa yang telah diberikan kepadanya, seperti membaca, menulis dan mengeksekusi. Didalam sistem file UNIX, hak akses ini dapat dilihat dari bit-bit kode akses yang meliputi akses untuk user, akses untuk group user serta akses untuk global user. Akses untuk user berlaku untuk user yang besangkutan, akses untuk group user berlaku untuk user-user lain yang masih berada dalam satu group dengan user yang bersangkutan sedangan akses global user berlaku untuk user yang tidak berada dalam satu group dengan user yang bersangkutan. Setiap file dalam file sistem UNIX memiliki bit-bit pengendali tersebut.
· Challenge/Response
Proses otentifikasi melibatkan prosedur challenge/response yang terjadi pada saat dimulainya sebuah otentifikasi. Ketika seorang pemakai ingin meminta hak akses kepada sistem maka sistem akan mengirimkan challenge kepada pemakai kemudian pemakai mengirimkan kode yang sesuai. Sistem akan membandingkan kode yang dikirimkan oleh pemakai dengan kode yang ada didalam database. Jika ada kecocokan maka sistem akan memberikan hak akses sesuai dengan hak yang dimiliki oleh pengguna yang bersangkutan. Contohnya, pada saat seorang administrator Web ingin mengakses IIS (Internet Information Service) di Windows NT maka proses challenge/response terjadi agar sistem dapat memberikan hak akses yang sesuai. Contoh lain dalam sistem UNIX yang menggunakan one-time password, seorang pemakai yang ingin melakukan koneksi terminal (telnet) ke dalam sistem harus memasukkan password sebelum sistem memberikan hak akses terhadap terminal. Proses challenge/response yang terjadi disini yaitu pemakai menghubungi server melalui port telnet (21), kemudian server membentuk hash serta challenge key. Pemakai kemudian membalas challenge key tersebut dengan one-time-password yang sesuai. Selanjutnya response/jawaban dari pemakai akan dibandingkan dengan database yang ada didalam sistem, sebelum diputuskan untuk memberikan akses atau tidak.
· NTLM
NTLM adalah teknik otentifikasi Challenge/Response yang digunakan oleh Window NT. NTLM singkatan dari Windows NT LAN Manager, sebab teknik ini dikembangkan pertama kali dan digunakan oleh Microsoft LAN Manager
· One-Time-Password
One-Time-Password adalah teknik otentifikasi Challenge/Response yang sering digunakan oleh UNIX system. Dengan teknik ini sebuah password hanya dapat digunakan satu kali dimana response yang sesuai akan diminta oleh sistem, berdasarkan challenge key yang diberikan pada saat proses otentifikasi.
· SAM
SAM atau kepanjangan dari Security Account Manager adalah database yang berisi data pemakai dan group. SAM tidak menyimpan password dalam bentuk ASCII tetapi dalam bentuk hash. SAM digunakan oleh Windows NT dan terletak di HKEY_LOCAL_MACHINE\SAM dan HKEY_LOCAL_MACHINE\Security\SAM
II. Hash dalam keamanan jaringan
Dalam sebuah sistem terbuka, dimana komunikasi berlangsung melewati beberapa, ratusan bahkan ribuan komputer lainnya yang terhubung dalam jaringan maka pengiriman data dari satu tempat ke tempat lainnya akan sangat rawan terhadap penyadapan. Bagaimana jika hal ini terjadi sesaat sebelum proses otentifikasi berlangsung. Seorang ‘sniffer’ (penyadap data yang dikirimkan melalui internet) dapat mengendus password dan nama pemakai yang dikirimkan melalui jaringan. Untuk mengatasi hal ini maka dibuatlah algoritma hash, dimana password akan tersimpan dalam bentuk lain setelah diproses melalui algoritma hash tersebut. Algoritma standar hash yang sering digunakan adalah MD4 yang akan menghasilkan 16 byte (128 bit) hash, atau dengan kata lain, berapapun panjang bit yang dimasukkan dalam algoritma ini, maka panjang bit keluaran hasil hash adalah 16 byte (128 bit). Secara teoritis sangatlah tidak mungkin untuk menggabungkan hash dan algoritma yang dipakai serta kemudian melakukan proses revers secara matematis untuk memperoleh password yang bersesuaian. Atau dengan kata lain, proses hash hanya berlangsung satu arah dan bukan proses yang dapat dibalik.
III. Enkripsi dalam keamanan jaringan
Selain beberapa definisi serta teknik yang disebutkan diatas, salah satu teknik yang sangat penting adalah enkripsi. Coba bayangkan pada saat kita melakukan koneksi terminal (telnet , port 21) pada jaringan kita dari Jakarta ke Surabaya melalui Internet yang notabene melalui ratusan bahkan ribuan router. Dalam spesifikasinya, komunikasi terminal tersebut mentransmisikan data-data dalam bentuk text ASCII. Jika kemudian ada seorang sniffer yang mengendus data-data yang ditransmisikan antara komputer server dengan terminal kita maka data-data tersebut akan dengan mudah terbaca. Jika kemudian kita membaca email yang ada dalam server kita, maka sniffer tadi juga dapat ikut membaca email yang kita baca.
Untuk mengatasi hal tersebut diatas maka diciptakan sistem enkripsi dimana data-data yang dikirimkan sudah dalam bentuk terenkripsi. Untuk melakukan enkripsi dibutuhkan kunci pembuka yang harus diketahui oleh server dan pengguna. Akan tetapi jika seorang sniffer dapat mengendus kunci pembuka tersebut, maka dia juga dapat membuka data-data komunikasi antara pemakai dan server. Oleh karena itu diciptakan teknik enkripsi dengan kunci publik dari RSA, dimana kunci publik dapat disebarluaskan secara bebas, sementara kunci privat disimpan secara rahasia. Seorang pemakai yang ingin melakukan koneksi kemudian memberikan kunci publiknya kepada server serta mengambil kunci publik server. Pengguna yang bersangkutan kemudian melakukan enkripsi dengan kunci privat miliknya serta kunci publik milik server kemudian mengirimkan data tersebut kepada server. Server kemudian melakukan de enkripsi dengan menggunakan kunci privat miliknya serta kunci publik milik pengguna yang bersangkutan. Dengan demikian meskipun data dapat diendus oleh sniffer, namun data tersebut tidak dapat diintepretasikan dengan baik dan benar.
I. ACL, NTLM dan Definisi-definisi Lainnya
· Access Control Lists (ACLs)
Setiap ACL merupakan daftar dari kendali akses yang menunjukkan hak akses dan informasi untuk audit yang digunakan oleh sistem, misalnya oleh Windows NT atau oleh proxy server. Didalam Windows NT, ACLs ini akan digunakan bersama-sama dengan sistem akses file sytem NTFS (New Technology File System). Windows NT menggunakan daftar ini untuk melihat siapa saja yang telah diberikan hak untuk mengakses sumber daya tertentu (file atau folder) dan hak apa yang telah diberikan kepadanya, seperti membaca, menulis dan mengeksekusi. Didalam sistem file UNIX, hak akses ini dapat dilihat dari bit-bit kode akses yang meliputi akses untuk user, akses untuk group user serta akses untuk global user. Akses untuk user berlaku untuk user yang besangkutan, akses untuk group user berlaku untuk user-user lain yang masih berada dalam satu group dengan user yang bersangkutan sedangan akses global user berlaku untuk user yang tidak berada dalam satu group dengan user yang bersangkutan. Setiap file dalam file sistem UNIX memiliki bit-bit pengendali tersebut.
· Challenge/Response
Proses otentifikasi melibatkan prosedur challenge/response yang terjadi pada saat dimulainya sebuah otentifikasi. Ketika seorang pemakai ingin meminta hak akses kepada sistem maka sistem akan mengirimkan challenge kepada pemakai kemudian pemakai mengirimkan kode yang sesuai. Sistem akan membandingkan kode yang dikirimkan oleh pemakai dengan kode yang ada didalam database. Jika ada kecocokan maka sistem akan memberikan hak akses sesuai dengan hak yang dimiliki oleh pengguna yang bersangkutan. Contohnya, pada saat seorang administrator Web ingin mengakses IIS (Internet Information Service) di Windows NT maka proses challenge/response terjadi agar sistem dapat memberikan hak akses yang sesuai. Contoh lain dalam sistem UNIX yang menggunakan one-time password, seorang pemakai yang ingin melakukan koneksi terminal (telnet) ke dalam sistem harus memasukkan password sebelum sistem memberikan hak akses terhadap terminal. Proses challenge/response yang terjadi disini yaitu pemakai menghubungi server melalui port telnet (21), kemudian server membentuk hash serta challenge key. Pemakai kemudian membalas challenge key tersebut dengan one-time-password yang sesuai. Selanjutnya response/jawaban dari pemakai akan dibandingkan dengan database yang ada didalam sistem, sebelum diputuskan untuk memberikan akses atau tidak.
· NTLM
NTLM adalah teknik otentifikasi Challenge/Response yang digunakan oleh Window NT. NTLM singkatan dari Windows NT LAN Manager, sebab teknik ini dikembangkan pertama kali dan digunakan oleh Microsoft LAN Manager
· One-Time-Password
One-Time-Password adalah teknik otentifikasi Challenge/Response yang sering digunakan oleh UNIX system. Dengan teknik ini sebuah password hanya dapat digunakan satu kali dimana response yang sesuai akan diminta oleh sistem, berdasarkan challenge key yang diberikan pada saat proses otentifikasi.
· SAM
SAM atau kepanjangan dari Security Account Manager adalah database yang berisi data pemakai dan group. SAM tidak menyimpan password dalam bentuk ASCII tetapi dalam bentuk hash. SAM digunakan oleh Windows NT dan terletak di HKEY_LOCAL_MACHINE\SAM dan HKEY_LOCAL_MACHINE\Security\SAM
II. Hash dalam keamanan jaringan
Dalam sebuah sistem terbuka, dimana komunikasi berlangsung melewati beberapa, ratusan bahkan ribuan komputer lainnya yang terhubung dalam jaringan maka pengiriman data dari satu tempat ke tempat lainnya akan sangat rawan terhadap penyadapan. Bagaimana jika hal ini terjadi sesaat sebelum proses otentifikasi berlangsung. Seorang ‘sniffer’ (penyadap data yang dikirimkan melalui internet) dapat mengendus password dan nama pemakai yang dikirimkan melalui jaringan. Untuk mengatasi hal ini maka dibuatlah algoritma hash, dimana password akan tersimpan dalam bentuk lain setelah diproses melalui algoritma hash tersebut. Algoritma standar hash yang sering digunakan adalah MD4 yang akan menghasilkan 16 byte (128 bit) hash, atau dengan kata lain, berapapun panjang bit yang dimasukkan dalam algoritma ini, maka panjang bit keluaran hasil hash adalah 16 byte (128 bit). Secara teoritis sangatlah tidak mungkin untuk menggabungkan hash dan algoritma yang dipakai serta kemudian melakukan proses revers secara matematis untuk memperoleh password yang bersesuaian. Atau dengan kata lain, proses hash hanya berlangsung satu arah dan bukan proses yang dapat dibalik.
III. Enkripsi dalam keamanan jaringan
Selain beberapa definisi serta teknik yang disebutkan diatas, salah satu teknik yang sangat penting adalah enkripsi. Coba bayangkan pada saat kita melakukan koneksi terminal (telnet , port 21) pada jaringan kita dari Jakarta ke Surabaya melalui Internet yang notabene melalui ratusan bahkan ribuan router. Dalam spesifikasinya, komunikasi terminal tersebut mentransmisikan data-data dalam bentuk text ASCII. Jika kemudian ada seorang sniffer yang mengendus data-data yang ditransmisikan antara komputer server dengan terminal kita maka data-data tersebut akan dengan mudah terbaca. Jika kemudian kita membaca email yang ada dalam server kita, maka sniffer tadi juga dapat ikut membaca email yang kita baca.
Untuk mengatasi hal tersebut diatas maka diciptakan sistem enkripsi dimana data-data yang dikirimkan sudah dalam bentuk terenkripsi. Untuk melakukan enkripsi dibutuhkan kunci pembuka yang harus diketahui oleh server dan pengguna. Akan tetapi jika seorang sniffer dapat mengendus kunci pembuka tersebut, maka dia juga dapat membuka data-data komunikasi antara pemakai dan server. Oleh karena itu diciptakan teknik enkripsi dengan kunci publik dari RSA, dimana kunci publik dapat disebarluaskan secara bebas, sementara kunci privat disimpan secara rahasia. Seorang pemakai yang ingin melakukan koneksi kemudian memberikan kunci publiknya kepada server serta mengambil kunci publik server. Pengguna yang bersangkutan kemudian melakukan enkripsi dengan kunci privat miliknya serta kunci publik milik server kemudian mengirimkan data tersebut kepada server. Server kemudian melakukan de enkripsi dengan menggunakan kunci privat miliknya serta kunci publik milik pengguna yang bersangkutan. Dengan demikian meskipun data dapat diendus oleh sniffer, namun data tersebut tidak dapat diintepretasikan dengan baik dan benar.
Melindungi password dari serangan hacker
Mengelola password merupakan elemen penting untuk menjaga keamanan sistem. Seorang administrator sistem harus menjamin bahwa setiap account atau user name memiliki sebuah password yang hanya diketahui oleh user yang bersangkutan dan tidak mudah ditebak oleh user yang lain atau dijadikan sasaran serangan “brute force”. Untuk memastikan keamanan sistem sangat bergantung pada kerahasiaan penyimpanan password.
Password merupakan sarana umum yang masih memegang peran dalam melindungi aset-aset penting dalam sebuah sistem. Sistem password sederhana belum cukup untuk mengidentifikasi siapakah sebenarnya seorang user atau mengatur apa saja yang dapat diakses olehnya, terlebih lagi kadang user harus mengingat banyak password sehingga pemilihan password cenderung password-password yang mudah dipecahkan atau mudah ditebak dengan cara mencoba-coba kemungkinan-kemungkinan yang ada. Sementara banyak hacker diantara para user, sehingga pencurian password masih seringkali terjadi. Akhirnya pelanggaran dan kehilangan resource masih tetap berlangsung.
Ada beberapa cara atau motif yang sering sekali dilakukan oleh seorang hacker untuk mencuri user name dan pasword, misalnya :
1. Mencoba-coba karakter demi karakter yang ada pada setiap password (serangan brutu force).
2. Mencoba-coba pasword berdasarkan kamus password yang ada dan tentunya kamus yang diperguaankan dalam bahasa inggris (serangan dictionary password).
3. Mencoba mendapatkan password berdasarkan informasi dari user name itu sendiri (nama user name dan pasword-nya sama).
4. Memasang sniffer pada suartu jaringan komputer untuk menganalisa jaringan serta mendapatkan data-data dari user yang berupa clear text (seperti user name dan password).
5. Memasang program penyusup seperti trojan dan backdoor.
6. dll
Perkembangan teknologi informasi dan semakin rentannya sebuah jaringan terhadap serangan atau ancaman kerusakan telah mendorong vendor-vendor ternama dalam memasarkan produk sistem keamanan yang terintegrasi. IBM hadir dengan merk software Tivoli, yaitu perangkat lunak pengelolaan keamanan dan identitas yang mencakup produk-produk seperti IBM Tivoli Access Manager, IBM Tivoli Identity Manager dan IBM Tivoli Risk Manager. Computer Associates memasuki pasaran dengan produk eTrust Identity dan Access Management Suite, dan masih banyak lagi.
Software-software pengelolaan password ini membantu dalam mengkonsolidasikan data identitas dan mengotomatisasikan penggunaan hak akses karyawan, kontraktor, mitra bisnis dan para pelanggan ke berbagai aplikasi dan sumber daya berdasarkan kebijakan bisnis yang ada. Hal ini akan membantu perusahaan dalam mengurangi biaya investasi Teknologi Informasi dan meningkatkan keamanan.
Pengelolaan password pada dasarnya mengkombinasikan proses dan teknologi untuk mengelola dan mengamankan akses menuju informasi (resource) sekaligus melindungi profil identitas user. Setiap user (peralatan) diidentifikasi lalu akses masing-masing user dikontrol sesuai dengan hak dan batasan yang diberikan. Password management memiliki kemampuan untuk mengelola hal tersebut tersebut secara efektif baik untuk user di dalam maupun di luar perusahaan/organisasi (karyawan, pelanggan, partner bisnis, atau bahkan sebuah aplikasi, pada dasarnya semua orang atau alat yang hendak berhubungan dengan perusahaan/organisasi).
Konsep pengelolaan password secara umum dapat dipandang sebagai suatu cara untuk :
1. Mendefinisikan identitas dari sebuah entitas/obyek (orang, tempat, alat).
2. Menyimpan informasi-informasi yang berkaitan dengan entitas tersebut, seperti nama/pengenal, dalam sebuah tempat penyimpanan (biasanya direktori aktif) yang aman, fleksibel, dan dapat disesuaikan.
3. Menjadikan informasi-informasi tersebut dapat diakses melalui beberapa ketentuan.
4. Menyediakan infrastruktur yang baik, terdistribusi dan memiliki performansi yang tinggi.
5. Mengatur hubungan antara resource dan entitas/obyek sesuai dengan konteks dan dalam waktu tertentu.
Komponen penting dalam sebuah sistem keamanan terintegrasi yang komperehensif, yaitu : privasi, proteksi, serta kontrol/pengawasan.
1. Privasi membutuhkan koneksi yang aman dan teknologi-teknologi seperti IP Security (IP Sec), Secure Socket Layer (SSL) maupun Virtual Private Network (VPN), yang membantu untuk meyakinkan bahwa komunikasi dalam sebuah WAN atau LAN merupakan komunikasi yang aman.
2. Proteksi membutuhkan pertahanan yang kuat dalam menghadapi ancaman internal maupun eksternal. Proteksi ini dapat berupa firewall dan sistem pencegah penyusupan.
3. Kontrol membutuhkan sistem identitas yang cermat dan teliti termasuk kontrol terhadap suatu akses.
Dalam sistem operasi Microsoft Windows, sistem password disimpan pada sebuah file dengan nama SAM yang terdapat pada folder C:\Windows\System32 (Windows XP) serta C:\Windows\System32\Config (Windows Server 2003). Sedangkan pada sistem berbasis Linux, password disimpan pada direktori /etc/passwd.
Untuk menghambat serangan Brutu Force maupun serangan dictionary password terhadap suatu password, pembuatan passsword konvensional seperti yang selama ini dilakukan oleh user harus diperbaiki. Metode pembuatan password yang baik adalah sebagai berikut :
1. Buatlah password antara 10 s/d 12 karakter.
2. Password yang dibuat harus mempunyai kompleksitas yang tinggi, yaitu dengan membuat password tersebut terdiri dari gabungan : huruf kapital (huruf besar), huruf kecil, angka dan tanda baca (special character)
3. Jangan menggunakan password yang sama dengan user name atau account.
4. Untuk memudahkan user mengingat password-nya, buatlah password berupa suatu kalimat (passphrase). Misalnya : I Love Water. Lakukanlah training terhadap user untuk membuat password dengan menggunakan pola-pola tertentu dan user dapat dengan mudah mengingatnya password-nya. Misalnya : I7ov3w@+3r (yang artinya adalah I Love Water, tanpa tanda spasi).
5. Password yang dibuatnya harus memiliki masa berlaku maksimal 1 (satu) bulan. User harus merubah password tersebut, setelah masa berlakunya habis (password expired) untuk memasuki sitem kembali.
6. Untuk menghindari ada user yang tidak berhak untuk mengakses sutau user account dengan cara menebak nama user name dan password-nya, account sebaiknya dikunci (Account Lockout Tresshold). Apabila ada user yang memasukan username dan password yang dimasukan yang salah dalam kurun waktu tertentu (misalnya user salah memasukan password selama tiga kali berturut-turut), maka account tersebut akan dikunci (lockout) selama periode tertentu (misalnya satu hari).
Penggunaan password yang mudah ditebak akan dapat dengan mudah diambil atau dicuri oleh seorang hacker yang terdapat di jaringan komputer. Perhatikanlah gambar berikut ini yang menunjukan account-acount yang terdapat pada suatu mesin sedang diam,bil atau dicuri user name dan password-nya.
Pada gambar di atas terlihat dengan jelas ada beberapa user name dan password yang berhasil diambil atau dicuri dari seorang user oleh hacker. Sebagai contoh, anda bisa melihat sebuah user name dengan nama aji berhasil diketahui password-nya dalam waktu 1 detik dengan menggunakan metode penyerangan Dictionary Password Attack (Password yang didapatkan adalah : love). User name dengan nama angga berhasil diketahui password-nya dalam waktu 1 menit 8 detik dengan menggunakan metode penyerangan Brutu Force Attack (Password yang didapatkan adalah : admin) sedangkan user name dengan nama miwan berhasil diketahui password-nya dalam waktu kurang dari 1 detik dengan menggunakan metode penyerangan berdasarkan informasi user itu sendiri (Password-nya di dapatkan adalah : miwan). User name dengan nama wahyudi sampai dengan 1 jam 30 menit, hacker berusaha untuk mencuri password yang ada belum ada satu karakter password-pun yang berhasil untuk didapatkan atau ditemukan. Hal ini disebabkan karena password yang ada pada user name atau account wahyudi terdiri lebih dari 8 (delapan) karakter (Minimal 10-12 karakter) dan memiliki kompleksitas password yang tinggi (gabungan huruf besar, huruf kecil, tanda baca dan special character). Dengan metode Brutu Force Attack, pasword untuk user name atau account wahyudi baru dapat dipecahkan dalam waktu tidak kurang dari 7 X 24 jam atau bahkan tidak pernah terpecahkan J
Password merupakan sarana umum yang masih memegang peran dalam melindungi aset-aset penting dalam sebuah sistem. Sistem password sederhana belum cukup untuk mengidentifikasi siapakah sebenarnya seorang user atau mengatur apa saja yang dapat diakses olehnya, terlebih lagi kadang user harus mengingat banyak password sehingga pemilihan password cenderung password-password yang mudah dipecahkan atau mudah ditebak dengan cara mencoba-coba kemungkinan-kemungkinan yang ada. Sementara banyak hacker diantara para user, sehingga pencurian password masih seringkali terjadi. Akhirnya pelanggaran dan kehilangan resource masih tetap berlangsung.
Ada beberapa cara atau motif yang sering sekali dilakukan oleh seorang hacker untuk mencuri user name dan pasword, misalnya :
1. Mencoba-coba karakter demi karakter yang ada pada setiap password (serangan brutu force).
2. Mencoba-coba pasword berdasarkan kamus password yang ada dan tentunya kamus yang diperguaankan dalam bahasa inggris (serangan dictionary password).
3. Mencoba mendapatkan password berdasarkan informasi dari user name itu sendiri (nama user name dan pasword-nya sama).
4. Memasang sniffer pada suartu jaringan komputer untuk menganalisa jaringan serta mendapatkan data-data dari user yang berupa clear text (seperti user name dan password).
5. Memasang program penyusup seperti trojan dan backdoor.
6. dll
Perkembangan teknologi informasi dan semakin rentannya sebuah jaringan terhadap serangan atau ancaman kerusakan telah mendorong vendor-vendor ternama dalam memasarkan produk sistem keamanan yang terintegrasi. IBM hadir dengan merk software Tivoli, yaitu perangkat lunak pengelolaan keamanan dan identitas yang mencakup produk-produk seperti IBM Tivoli Access Manager, IBM Tivoli Identity Manager dan IBM Tivoli Risk Manager. Computer Associates memasuki pasaran dengan produk eTrust Identity dan Access Management Suite, dan masih banyak lagi.
Software-software pengelolaan password ini membantu dalam mengkonsolidasikan data identitas dan mengotomatisasikan penggunaan hak akses karyawan, kontraktor, mitra bisnis dan para pelanggan ke berbagai aplikasi dan sumber daya berdasarkan kebijakan bisnis yang ada. Hal ini akan membantu perusahaan dalam mengurangi biaya investasi Teknologi Informasi dan meningkatkan keamanan.
Pengelolaan password pada dasarnya mengkombinasikan proses dan teknologi untuk mengelola dan mengamankan akses menuju informasi (resource) sekaligus melindungi profil identitas user. Setiap user (peralatan) diidentifikasi lalu akses masing-masing user dikontrol sesuai dengan hak dan batasan yang diberikan. Password management memiliki kemampuan untuk mengelola hal tersebut tersebut secara efektif baik untuk user di dalam maupun di luar perusahaan/organisasi (karyawan, pelanggan, partner bisnis, atau bahkan sebuah aplikasi, pada dasarnya semua orang atau alat yang hendak berhubungan dengan perusahaan/organisasi).
Konsep pengelolaan password secara umum dapat dipandang sebagai suatu cara untuk :
1. Mendefinisikan identitas dari sebuah entitas/obyek (orang, tempat, alat).
2. Menyimpan informasi-informasi yang berkaitan dengan entitas tersebut, seperti nama/pengenal, dalam sebuah tempat penyimpanan (biasanya direktori aktif) yang aman, fleksibel, dan dapat disesuaikan.
3. Menjadikan informasi-informasi tersebut dapat diakses melalui beberapa ketentuan.
4. Menyediakan infrastruktur yang baik, terdistribusi dan memiliki performansi yang tinggi.
5. Mengatur hubungan antara resource dan entitas/obyek sesuai dengan konteks dan dalam waktu tertentu.
Komponen penting dalam sebuah sistem keamanan terintegrasi yang komperehensif, yaitu : privasi, proteksi, serta kontrol/pengawasan.
1. Privasi membutuhkan koneksi yang aman dan teknologi-teknologi seperti IP Security (IP Sec), Secure Socket Layer (SSL) maupun Virtual Private Network (VPN), yang membantu untuk meyakinkan bahwa komunikasi dalam sebuah WAN atau LAN merupakan komunikasi yang aman.
2. Proteksi membutuhkan pertahanan yang kuat dalam menghadapi ancaman internal maupun eksternal. Proteksi ini dapat berupa firewall dan sistem pencegah penyusupan.
3. Kontrol membutuhkan sistem identitas yang cermat dan teliti termasuk kontrol terhadap suatu akses.
Dalam sistem operasi Microsoft Windows, sistem password disimpan pada sebuah file dengan nama SAM yang terdapat pada folder C:\Windows\System32 (Windows XP) serta C:\Windows\System32\Config (Windows Server 2003). Sedangkan pada sistem berbasis Linux, password disimpan pada direktori /etc/passwd.
Untuk menghambat serangan Brutu Force maupun serangan dictionary password terhadap suatu password, pembuatan passsword konvensional seperti yang selama ini dilakukan oleh user harus diperbaiki. Metode pembuatan password yang baik adalah sebagai berikut :
1. Buatlah password antara 10 s/d 12 karakter.
2. Password yang dibuat harus mempunyai kompleksitas yang tinggi, yaitu dengan membuat password tersebut terdiri dari gabungan : huruf kapital (huruf besar), huruf kecil, angka dan tanda baca (special character)
3. Jangan menggunakan password yang sama dengan user name atau account.
4. Untuk memudahkan user mengingat password-nya, buatlah password berupa suatu kalimat (passphrase). Misalnya : I Love Water. Lakukanlah training terhadap user untuk membuat password dengan menggunakan pola-pola tertentu dan user dapat dengan mudah mengingatnya password-nya. Misalnya : I7ov3w@+3r (yang artinya adalah I Love Water, tanpa tanda spasi).
5. Password yang dibuatnya harus memiliki masa berlaku maksimal 1 (satu) bulan. User harus merubah password tersebut, setelah masa berlakunya habis (password expired) untuk memasuki sitem kembali.
6. Untuk menghindari ada user yang tidak berhak untuk mengakses sutau user account dengan cara menebak nama user name dan password-nya, account sebaiknya dikunci (Account Lockout Tresshold). Apabila ada user yang memasukan username dan password yang dimasukan yang salah dalam kurun waktu tertentu (misalnya user salah memasukan password selama tiga kali berturut-turut), maka account tersebut akan dikunci (lockout) selama periode tertentu (misalnya satu hari).
Penggunaan password yang mudah ditebak akan dapat dengan mudah diambil atau dicuri oleh seorang hacker yang terdapat di jaringan komputer. Perhatikanlah gambar berikut ini yang menunjukan account-acount yang terdapat pada suatu mesin sedang diam,bil atau dicuri user name dan password-nya.
Pada gambar di atas terlihat dengan jelas ada beberapa user name dan password yang berhasil diambil atau dicuri dari seorang user oleh hacker. Sebagai contoh, anda bisa melihat sebuah user name dengan nama aji berhasil diketahui password-nya dalam waktu 1 detik dengan menggunakan metode penyerangan Dictionary Password Attack (Password yang didapatkan adalah : love). User name dengan nama angga berhasil diketahui password-nya dalam waktu 1 menit 8 detik dengan menggunakan metode penyerangan Brutu Force Attack (Password yang didapatkan adalah : admin) sedangkan user name dengan nama miwan berhasil diketahui password-nya dalam waktu kurang dari 1 detik dengan menggunakan metode penyerangan berdasarkan informasi user itu sendiri (Password-nya di dapatkan adalah : miwan). User name dengan nama wahyudi sampai dengan 1 jam 30 menit, hacker berusaha untuk mencuri password yang ada belum ada satu karakter password-pun yang berhasil untuk didapatkan atau ditemukan. Hal ini disebabkan karena password yang ada pada user name atau account wahyudi terdiri lebih dari 8 (delapan) karakter (Minimal 10-12 karakter) dan memiliki kompleksitas password yang tinggi (gabungan huruf besar, huruf kecil, tanda baca dan special character). Dengan metode Brutu Force Attack, pasword untuk user name atau account wahyudi baru dapat dipecahkan dalam waktu tidak kurang dari 7 X 24 jam atau bahkan tidak pernah terpecahkan J
Subscribe to:
Posts (Atom)
