Transcript 08b-Protokol Keamanan - Elista

Protokol Keamanan
Pendahuluan
• Penggunaan berbagai macam aplikasi internet ataupun transaksi
elektronik saat ini sudah menjadi bagian dari masyarakat. Namun,
dalam penggunaannya selalu dihadapkan dengan berbagai masalah
keamanan, salah satunya adalah masih banyaknya protokol di
internet yang belum menjamin autentikasi.
• Salah satu gambaran dari rawannya autentikasi yaitu banyak tools
yang bisa digunakan hacker untuk mencuri password dari client
atau server, sehingga hacker tersebut bisa menyamar seolah-olah
dialah pemilik password tersebut (seperti halnya man in the middle
attack). Dengan demikian password bisa disalahgunakan dengan
mengatasnamakan pemilik password.
• Oleh karena itu, penting adanya jaminan autentikasi karena
autentikasi merupakan suatu cara untuk mengetahui keaslian dari
informasi, juga mengenai keaslian sumbernya.
Protokol Keamanan
• Protokol adalah format message yang dipakai untuk
berkomunikasi dalam sistem jaringan
• Beberapa protokol-protokol keamanan yaitu:
1. Secure Socket Layer (SSL)
• SSL biasanya digunakan untuk mengamankan
komunikasi antara browser Web dengan server Web.
SSL membuat sebuah link terenkripsi antara klien dan
server yang memerlukan komunikasi dengan aman.
Otentikasi bisa dilakukan baik pada server maupun
klien. SSL juga dapat dipakai dengan aplikasi-aplikasi
lain, seperti ftp, telnet, dan lainnya.
2. Simple Key Management for Internet Protocol (SKIP)
• SKIP adalah protokol pertukaran secret key yang
beroperasi di bawah layer IP dalam protokol
komunikasi TCP/IP. Metode ini dapat dipakai untuk
menyediakan keamanan yang transparan antar entitas.
3. Security Multi-part for MIME (S/MIME)
• S/MIME adalah protokol keamanan aplikasi.
Diimplementasikan pada email tetapi dapat lebih luas
dipakai dalam pesan-pesan yang bersifat store-andforward.
4. Internet Protocol Security Extension (IPSec)
• IPSec adalah protokol keamanan yang didefinisikan untuk
jaringan IP, yang beroperasi pada layer network dalam
protokol komunikasi TCP/IP. IPsec menambahkan
perpanjangan header pada protokol komunikasi IP dan
didesain untuk memberikan keamanan end-to-end bagi
paket-paket yang melintasi Internet.
5. Internet Key Exchange (IKE)
• IKE menyediakan manajemen keamanan dan pertukaran
kunci kriptografi antar perangkat yang berjauhan. Ini adalah
standar mekanisme pertukaran kunci untuk IPsec.
Protokol Keamanan AAA
• Protokol AAA (Authentication, Authorization,
Accounting) digunakan untuk mengatur
mekanisme bagaimana tata cara
berkomunikasi, baik antara client ke domaindomain jaringan maupun antar client dengan
domain yang berbeda dengan tetap
menjaga keamanan pertukaran data.
1. Autentikasi
• Autentikasi (Authentication) yaitu proses pengesahan
identitas pengguna (end user) untuk mengakses
jaringan. Proses ini diawali dengan pengiriman kode
unik misalnya, username, password, pin, sidik jari)
oleh pengguna kepada server.
• Di sisi server, sistem akan menerima kode unik
tersebut, selanjutnya membandingkan dengan kode
unik yang disimpan dalam database server. Jika
hasilnya sama, maka server akan mengirimkan hak
akses kepada pengguna. Namun jika hasilnya tidak
sama, maka server akan mengirimkan pesan
kegagalan dan menolak hak akses pengguna.
• Proses Autentikasi Terdiri dari 4 tahapan yaitu :
1. Autentikasi untuk mengetahui lokasi dari peralatan
pada suatau simpul jaringan ( terjadi pada datalink
dan network layer)
2. Autentikasi untuk mengenali sitem operasi yang
terhubung dengan jaringan ( terjadi pada transport
layer)
3. Autentikasi untuk mengetahui proses terjadinya
kejadian di suatu simpul jaringan ( terjadi pada
session dan presentation layer)
4. Autentikasi untuk mengenali user dan aplikasi yang
digunakan ( terjadi pada application layer)
2. Autorisasi
• Autorisasi (Authorization) merupakan prosespengece
kan wewenang pengguna, mana saja hakhak akses yang diperbolehkan dan mana saja yang
tidak.
3. Accounting
• Pencatatan (Accounting) merupakan proses
pengumpulan data informasi seputar berapa
lama user melakukan koneksi dan billing
time yang telah dilalui selama pemakaian.
Arsitektur jaringan AAA
Cara Kerja
• User melakukan koneksi ke peralatan NAS point to point
sebagai langkah awal koneksi ke jaringan.
• Network Access Server (NAS) sebagai client AAA
kemudian melakukan pengumpulan informasi pengguna
dan melanjutkan data pengguna ke server.
• Server AAA menerima dan memproses data pengguna,
kemudian memberikan balasan ke NAS berupa pesan
penerima atau penolakan pendaftaran dari pengguna.
• NAS sebagai client AAA kemudian menyampaikan pesan
server AAA tersebut kepada pengguna bahwa
pendaftaran ditolak atau diterima beserta layanan yang
diperkenankan untuk akses.
• Service yang digunakan untuk protokol keamanan berbasis
AAA, terdiri dari :
1. Karberos
• karberos merupakan protokol keamanan yang bekerja
menggunakan secret key . Karberos menggunakan
algoritma kriptografi Data Encryption Standart (DES) untuk
proses enkripsi dan authentikasinya.
• Dalam implementasinya karberos biasanya menggunakan
tiket atau voucher yang mempunyai jangka waktu. Tiket ini
digunakan untuk melakukan koneksi terhadap jaringan
yang ingin diakses dengan menggunakan service karberos
terhadap authentikasinya.
• Kerberos ini merupakan metode pengamanan TCP/IP
berbasis server-based password authentication. Pada
sistem kerberos server, service yang disediakan oleh
server dibatasi oleh suatu daftar host serta daftar user
yang boleh dan tidah boleh menggunakan layanan
• Beberapa contoh implementasi service jaringan yang
umumnya memerlukan autentikasi, antara lain
penggunaan printer pada sebuah jaringan yang hanya
diperbolehkan bagi anggota kelompok saja,remote file
access, remote login (rlogin), window system,
mail dimana pemilik e-mail address saja yang dapat
mengambil e-mail di POP3, danservice management.
2. Tacacs+ (Terminal Access Controller Access Control
System)
• Tacacs+ merupakan protokol keamanan cukup banyak
digunakan saat ini di masyarakat, karena telah melalui
beberapa pengembangan dan modifikasi oleh Cisco System,
istilah kerennya saat ini Tacacs+ merupakan proprietary
milik perangkat jaringan bermerk Cisco dan hanya
digunakan di dalam perangkat bermerk tersebut.
• Service Tacacs ini disimpan dalam database pada program
Tacacs Daemon yang berjalan pada sistem operasi windows
ataupun Unix. Protokol Tacacs+ bekerja dengan
menggunakan protokol komunikasi TCP/IP Port 49 yang
terkenal lebih percaya dalam menghantarkan informasi.
3.Radius (Remote Authentication Dial-in User Service)
• Radius merupakan protokol security yang bekerja
menggunakan sistem client / server terdistribusi yang banyak
digunakan bersama AAA untuk mengamankan jaringan dari
orang yang tidak berhak.
• Dalam topologinya RADIUS klien merupakan perangkat router
atau NAS, sedangkan server otentikasinya merupakan RADIUS
Server. Dalam server ini semua informasi dan account dari
client ditampung.
• RADIUS menggunakan protokol UDP (User Datagram Protocol)
dan menggunakan port 1812 untuk authentication dan 1813
untuk accounting.
• Saat ini radius banyak digunakan untuk authentikasi hotspot
dengan billing system.
Perbedaan Tacacs+ dan Radius
• Tacacs+ menggunakan TCP sementara Radius menggunakan UDP.
TCP menawarkan transportasi berorientasi koneksi sehingga
keamanan data yang dikirim masih sangat terjamin keutuhannya
namun memang membutuhkan waktu yang lebih lama pada proses
transportasi datanya dibanding UDP, sedangkan UDP menawarkan
pengiriman usaha yang terbaik.
• Tacacs+ server dan Radius server dapat digunakan dalam berbagai
macam topologi baik untuk autentikasi antar router yang tehubung
dengan PPP, login user pada sebuah website, maupun login user
pada sebuah hotspot.
• Sangat disarankan untuk kepentingan yang mengutamakan
keamanan data lebih baik menggunakan Tacacs+, sementara jika
digunakan hanya untuk kecepatan akses lebih baik menggunakan
Radius
4. DIAMETER
• Merupakan protokol keamanan penerus dari RADIUS,
jadi cara kerjanya juga sama yaitu merupakan klien
server.
• DIAMETER menggunakan protokol TCP dan SCTP (SCTP
adalah suatu transport layer protocol yang beroperasi
diatas Internet Protocol (IP). SCTP memiliki beberapa
fitur baru seperti Multi-homing, Multi-streaming dan
Heartbeat. SCTP adalah suatu protokol yang
connection-oriented, dimana memerlukan suatu
prosedur call set-up sebelum terjadi pengiriman data)
Ilustrasi VPN
• Misalkan network di Kantor menggunakan IP 192.168.1.x, yang terhubung
ke Internet di IP 202.101.10.1. Di rumah, anda membuat LAN
menggunakan IP 10.10.10.x, dan terhubung ke Internet melalui IP
101.202.20.2
Dengan VPN, komputer anda bisa men-dial dan login ke Gateway kantor
(yaitu menyambung IP anda melalui 101.202.20.2 menuju IP kantor
202.101.10.1), dan komputer anda akan mendapat IP di kelompok
192.168.1.x dan dianggap terhubung langsung dengan network di Kantor.
Jadi anda bisa membuka Network Neighborhood (My Network Places) dan
yang muncul adalah komputer dan shared folder dari network Kantor.
Jadi VPN akan membuat suatu "Private Network" (biasanya LAN)
walaupun sambungannya melalui "Public Network" (biasanya Internet).
"Virtual" disini adalah 'seakan-akan' anda terhubung secara fisik ke LAN
tujuan, padahal sebenarnya anda melakukan Remote Access melalui
Internet.
• Saat ini kemampuan dari VPN sudah banyak
dimanfaatkan perusahaan atau institusi untuk
menghubungkan jaringan antar kantor cabang dan
kantor pusat.
• Kelebihan lainnya dengan menggunakan VPN suatu
perusahaan tidak perlu lagi membangun jaringan
sendiri ataupun menyewa jaringan khusus / leased
lines hanya untuk menghubungkan koneksi data antar
kantor, yang sudah pasti biasanya harga sewa jaringan
khusus tersebut sangat mahal apabila dibanding sewa
jaringan internet.
• Kita tahu kalau data yang telah di-enkripsi,
akan mempersulit seorang attacker untuk
membaca data, sebab meski berhasil
melakukan sniffing/pengintaian attacker
masih harus men-deskripsi data tersebut
terlebih dahulu supaya dapat dibaca.
• Untuk mendeskripsi sebuah data biasanya
membutuhkan sebuah kunci.
Open VPN
• Salah satu solusi dari aplikasi VPN yang populer adalah OpenVPN.
Aplikasi ini dikembangkan oleh James Yonan dan Francis Dinha.
OpenVPN adalah solusi VPN open source berbasis SSL, yang
mencakup area konfigurasi yang luas, dengan fitur : site ke site VPN,
sisi sekuriti dari Wi-Fi, adanya solusi load balancing, failover, dll.
• Model keamanan dari OpenVPN berbasis pada SSL, yang
merupakan standar keamanan industri di internet. Selain itu
OpenVPN mensupport OSI Layer 2 atau 3 dengan protokol SSL/TLS,
mendukung autentikasi klien berdasar sertifikat, kartu pintar, dll.
• OpenVPN bukanlah sebuah aplikasi proxy berbasis web, dan
dioperasikan tidak menggunakan web browser.
• OpenVPN dapat dijalankan di sistem operasi Solaris, keluarga
FreeBSD/Linux, MacOS dan Windows.
Open VPN
• Open VPN adalah sebuah aplikasi yang open
source ( gratis ) digunakan untuk Virtual Private
Networking ( VPN ).
• Aplikasi tersebut bisa kita gunakan untuk
membuat koneksi point-to-point tunnel yang
telah terenkripsi.
• Open VPN biasanya menggunakan private keys,
certificate, atau username dan password dalam
prosesnya untuk melakukan sebuah authentikasi
dalam membangun sebuah koneksi jaringan
internet.
Kegunaan Open VPN
• Anonymous surfing. Yaitu anda bisa menjelajah
internet tanpa terlacak IP asli yang anda miliki, karena
IP kita akan terdeteksi IP lain (anonymous), yaitu sesuai
dengan IP server VPN yang sedang kita pakai.
Kesimpulannya kita online aman dari hacker.
• Dari segi keamanan informasi yang Anda terima atau
kirim melalui internet, memiliki keamanan dengan
enkripsi standar VPN 128 bit /1024 bit.
• Dapat mengakses semua situs-situs yang diblokir.
• Menjaga keamanan username dan password saat login
ke website-website financial dari sniffers.
What else ?
• Yang lebih populer lagi di kalangan masyarakat
pada sekarang ini adalah OpenVPN dimanfatkan
untuk menikmati Akses Internet Gratis.
• Provider yang biasa digunakan di Indonesia untuk
GSM biasanya Telkomsel (Simpati atau As),
Indosat (Im3 atau Mentari), XL, Three, Axis.
Kemudian yang CDMA biasanya Smart, Fren, Esia,
AHA, dan Flexi.
• Kecepatannya sangat tergantung pada sinyal serta
padat tidaknya trafik BTS yang tercover di daerah
tersebut.
• Yang Anda perlukan hanya menginstalkan
beberapa software Open VPN client di
komputer atau laptop anda (gratis di
openvpn.net), kemudian masukkan file
konfigurasi VPN client yang biasanya bisa Anda
dapatkan dari si penjual / penyedia VPN yang
bersangkutan dan juga username password
untuk login ke server VPN tersebut.
Free VPN
• Lihat daftar