Upload
senyum-sahabat
View
225
Download
0
Embed Size (px)
Citation preview
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
1/27
PERSONAL ASSIGNMENT 3
Session 7
(7213T-TP3S7-R1)
Due Date : 25 Oktober 2015, 23:59:00
MATA KULIAH
IT NETWORK GOVERNANCE
DOSEN
Benfano Soewito, Ir., M.Sc., Ph.D
Johan Muliadi Kerta, S.Kom., M.M.
OLEH:
TINA TRI WULANSARI
1412409315
Program Pascasarjana Ilmu Komputer
PROGRAM STUDI TEKNIK INFORMATIKA JENJANG S2UNIVERSITAS BINA NUSANTARA
JAKARTA
2015
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
2/27
Personal Assignment 3
Session 7
Compare following Secure VPN Protocols:
– IPSec
– Transport Layer Security (TLS/SSL)
– Datagram Transport Layer Security
– Microsoft Point-to-Point Encryption (MPPE)
– SSTP
–
PPP – L2TP
What is the differences between Computer Level Authentication and User Level
Authentication
Make a VPN connection simulation using OPNET IT GURU Academic version,
consist of:
– 2 sites
– Ethernet or WAN
– Choose any methods (eg. PPTP, L2TP, IPSec, SSL)
Make a brief report how this strategy can help network security
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
3/27
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
4/27
c. Algorithms: enkripsi dan authentikasi
Enkripsi ialah proses transformasi dari plain text/data asli ke dalam data terenkripsi
yang menyembunyikan data asli. Untuk melihat (dekripsi) data asli, penerima data
yang terenkripsi harus mempunyai kunci/key yang cocok dengan yang telah
didefinisikan oleh pengirim. Dekripsi ialah kebalikan dari enkripsi, yaitu proses
transformasi dari data yang terenkripsi ke bentuk data asli.
Algoritma Kriptografi atau yang biasa disebut cipher adalah fungsi/perhitungan
matematis yang digunakan untuk enkripsi dan dekripsi. Algoritma Kriptografi terbagi
dua jenis:
Symmetric. Pada metode ini, pengirim maupun penerima menggunakan kunci
rahasia yang sama untuk melakukan enkripsi dan dekripsi data. DES, 3DES, dan AESadalah beberapa algoritma yang popular
Asymmetric. Metode ini sedikit lebih rumit. Kunci untuk melakukan enkripsi dan
dekripsi berbeda, kunci untuk melakukan enkripsi disebut public key sedangkan
untuk dekripsi disebut private key.
Proses generate, distribusi, dan penyimpanan key disebut key management. Key
management default dari IPSec ialah Internet Key Exchange Protocol (IKE). Security
Association adalah blok basic dari IPSec yang juga merupakan input dari SAdatabase (SADB) yang mengandung informasi tentang security yang telah disepakati
untuk IKE atau IPSec. SA terdiri dari dua tipe:
IKE atau ISAKMP SA
IPSec SA Untuk menuju IKE atau ISAKMP SA.
IKE beroperasi dalam dua fase:
Fase 1 Fase ini menciptakan ISAKMP SA (atau sering juga disebut IKE SA) yang
bertujuan menciptakan secure channel diantara IKE peers sehingga proses negoisasi
fase 2 dapat berjalan lebih secure
Fase 2 Fase ini menyediakan proses negotiation dan establishment dari IPSec SA
dengan menggunakan ESP atau AH untuk memproteksi lalu lintas data
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
5/27
Konfigurasi IKE fase 1 pada Cisco IOS Router Crypto isakmp policy 1 encr 3des
authentication pre-share group 2 IKE fase 1 membutuhkan authentication method.
Authentication method sendiri ada dua tipe, yaitu preshared key dan digital
signatures. Artikel ini hanya membahas pre-shared key. Pre-shared key
authentication Pada metode ini, baik pengirim atau penerima harus mempunyai
pre-shared key yang sama. Bila preshared key tidak sama, maka IKE Tunnel tidak
akan terbentuk.
Konfigurasi pre-shared key pada Cisco IOS Router Crypto isakmp key pre-
shared_key address x.x.x.x
Contoh Studi Kasus
PT. XYZ yang terletak di Jakarta Pusat ingin membuka cabang di Jakarta Barat. Untuk
itu mereka ingin membangun koneksi yang aman dan terjamin kerahasiaannya
antara kantor pusat dengan cabang tersebut melalui public network. Anda sebagai
Network Engineer ditugaskan untuk membangun koneksi tersebut. Berikut ialah
beberapa spesifikasi yang diberikan oleh PT. XYZ:
Cisco Router 1841 (bundled VPN) (2 buah)
Koneksi Biznet Metro WAN 1 Mbps (output kabelnya Ethernet Cat 5)
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
6/27
Koneksi yang diizinkan antara Head Office dan branch hanya antara vlan 10 dan
vlan 30
Switch Jakarta Pusat : Cisco 3560
Switch Jakarta Barat : Cisco 2960
Solusi Kasus:
Konfigurasi Router A (Head Office - Jakpus)
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
7/27
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
8/27
2. Transport Layer Security (TLS/SSL)
Secure Socket Layer (SSL) dan Transport Layer Security (TLS), merupakan kelanjutan
dari protokol yang menyediakan komunikasi yang aman di Internet.SSL (Secure
Socket Layer) dikembangkan oleh Netscape untuk mengamankan HTTP sampai
sekarang. Netscape Communicator, Internet Explorer, dan WS_FTP Pro, yang
merupakan produk yang lazim digunakan, menggunakan SSL. SSL mendukung
beberapa protokol enkripsi dan memberikan autentikasi client dan server. SSL
beroperasi pada layer transpor, menciptakan saluran enkripsi yang aman untuk
data, dan dapat mengenkripsi banyak tipe data.
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
9/27
Dapat dikatakan juga bahwa SSL merupakan Protokol berlapis. Dalam tiap
lapisannya, sebuah data terdiri dari panjang, deskripsi dan isi. SSL mengambil data
untuk dikirimkan, dipecahkan kedalam blok-blok yang teratur, kemudian dikompres
jika perlu, menerapkan MAC, dienkripsi, dan hasilnya dikirimkan. Di tempat tujuan,
data didekripsi, verifikasi, dekompres, dan disusun kembali. Hasilnya dikirimkan ke
klien di atasnya.
Baik TLS dan SSL melibatkan beberapa langkah dasar:
1. Negosiasi dengan ujung client atau server untuk dukungan algoritma.
2. Public key, encryption-based-key , dan certificate-based authentication
3. Enkripsi lalu lintas symmetric-cipher-based
Protocol SSL dan TLS berjalan pada layer dibawah application protokol seperti HTTP,
SMTP and NNTP dan di atas layer TCP transport protocol, yang juga merupakan
bagian dari TCP/IP protocol. Selama SSL dan TLS dapat menambahkan keamanan ke
protocol apa saja yang menggunakan TCP, keduanya terdapat paling sering pada
metode akses HTTPS. HTTPS menyediakan keamanan web-pages untuk aplikasi
seperti pada Electronic commerce. Protocol SSL dan TLS menggunakancryptography public-key dan sertifikat publik key untuk memastikan identitas dari
pihak yang dimaksud. Sejalan dengan peningkatan jumlah client dan server yang
dapat mendukung TLS atau SSL alami, dan beberapa masih belum mendukung.
Dalam hal ini, pengguna dari server atau client dapat menggunakan produk
standalone-SSL seperti halnya Stunnel untuk menyediakan enkripsi SSL.
Fungsi SSL pada komunikasi aman sama seperti fungsi TCP pada komunikasi normal,yaitu menyediakan sebuah infrastruktur komunikasi standar di mana sebuah
aplikasi dapat menggunakannya dengan mudah dan hampir tidak dapat terlihat
(invisible). SSL menyediakan sebuah komponen penting pada sistem yang aman.
Mekanisme otentikasi dasar seperti password Telnet dan otentikasi HTTP dasar
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
10/27
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
11/27
4. Client menggunakan Public Key yang didapatnya untuk men-enkrip sesi dan
mengirimkan session key ke server. Bila server meminta sertifikat client di
langkah pengiriman public key (2), maka clent harus mengirimkannya sekarang.
5. Bila server di-setup untuk menerima sertifikat, maka server akan
membandingkan sertifikat yang diterimanya dengan basisdata trusted
authorities dan akan menerima atau menolak koneksi yang diminta. Bila kondisi
ditolak, suatu pesan kegagalan akan dikirimkan ke client. Bila koneksi diterima,
atau bila server tidak di-setup untuk menerima sertifikat, maka server akan men-
decode session key yang didapat dari client dengan privete key milik server dan
mengirimkan pesan berhasil ke client yang dengan demikian membuka
suatu secure data chanel.
IMPLEMENTASI SSL
Implementasi SSL terlihat dalam produk-produk berikut :
Terdapat dua implementasi SSL: SSLeay dan OpenSSL. Microsoft menerapkan versi
SSH-nya sendiri yang dikenal sebagai TSL atau Transport Layer Security (disebut juga
sebagai SSL v.3.1), namun tidak mendapat banyak dukungan diluar produk-produk
Microsoft sendiri.Meskipun proses otentikasi dan enkripsi terlihat rumit, hal itu terjadi dalam waktu
kurang dari satu detik. Umumnya,pengguna bahkan tidak tahu prosesnya atau
bagaimana hal itu terjadi. Namun, pengguna dapat mengetahui koneksi aman telah
terbentuk (SSL) sejak web browser SSL-enabled menampilkan kunci tertutup kecil di
bagian kanan atas browser (biasanya samping kiri URL). Pengguna juga dapat
mengidentifikasi situs web yang aman dengan melihat alamat situs web yang biasa
adalah http://
3. Datagram Transport Layer Security
Datagram Transport Layer Security (DTLS) provides communication security for
datagram protocols. It is also used with WebRTC.
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
12/27
DTLS is based on Transport Layer Security (TLS) protocol. This datagram-compatible
version of the protocol is specifically designed to be similar to TLS with the minimal
amount of changes needed to fix problems created by the reordering or loss of
packets. There are two main areas that unreliability creates problems for TLS:
o The traffic encryption layer does not allow individual packets to be decrypted,
there are two inter-record dependencies:
Cryptographic context is chained between records
A Message Authentication Code (MAC) that includes a sequence number
provides anti-replay and message reordering protection, but the
sequence numbers are implicit in the records
o The handshake layer breaks if messages are lost because it depends on them
being transmitted reliably for these two reasons:
The handshake is a lockstep cryptographic handshake requiring messages
to be transmitted and received in a defined order, causing a problem
with potential reordering and message loss
Fragmentation can be a problem because the handshake messages are
potentially larger then any given datagram
The first problem caused by the inter-packet dependencies can be solved by using a
method employed in theSecure Internet Protocol (IPsec) by adding explicit state to
each individual record.
http://www.vocal.com/network/ssltls.htmlhttp://www.vocal.com/network/ipsec.htmlhttp://www.vocal.com/network/ipsec.htmlhttp://www.vocal.com/network/ssltls.html
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
13/27
To solve the issue of packet loss DTLS employs a simple retransmission timer. Figure
1 below illustrates the basic concept. The client is expecting to see
the HelloVerifyRequest message from the server. If the timer expires then the client
knows that either the ClientHello or the HelloVerifyRequest was lost and
retransmits.
Reordering is solved by giving each handshake message a specific sequence number
used to determine if it has received the next message in the sequence. If the
message is the next one then the peer processes it, if it is not the next one then it
queues it up for future handling when message’s individual sequence number is
reached.
Handshake messages can be quite large (224
– 1 bytes) and UDP datagrams are
usually limited to less then 1500 bytes. DTLS compensates for this by allowing each
handshake message to be fragmented over several UDP datagrams. Each handshake
message contains a fragment offset and a fragment length allowing the recipient to
reassemble the bytes into the complete message when all packets are received.
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
14/27
Optionally DTLS supports replay detection by maintaining a bitmap window of
received records. Records that are to old to fit in the window and those that have
been previously received are discarded. This is the same technique used by IPsec
AH/ESP.
4. Microsoft Point-to-Point Encryption (MPPE)
MPPE adalah sebuah protokol yang didefinisikan oleh RFC 3078 yang
menyediakan cara untuk melakukan enkripsi atas link PPP. Protokol ini
memungkinkan untuk dua jenis enkripsi yang berbedapada ukuran kunci (size of the
key)
Kedua ukuran kunci enkripsi itu sendiri berukuran 40 –bit, dan 128-
bit dan menggunakan cipher RC4.Kunci sesi itu sendiri juga berubah secara
dinamis. Enkripsi dari link PPP adalah sesuatu yangdinegosiasikan oleh level sub-
protocol yang lebih rendah dari PPP dikenal sebagai CCP(Compression Control
Protocol) selama fase NCP negosiasi ke link PPP.
5. SSTP
Secure Socket Tunneling Protocol was introduced by Microsoft in Windows VistaSP1, and although it is now available for Linux, RouterOS and SEIL, it is still largely a
Windows-only platform (and there is a snowball’s chance in hell of it ever appearing
on an Apple device!). SSTP uses SSL v3, and therefore offers similar advantages to
OpenVPN (such as the ability to use to TCP port 443 to avoid NAT firewall issues),
and because it is integrated into Windows may be easier to use and more stable.
However unlike OpenVPN, SSTP is a proprietary standard owned by Microsoft. This
means that the code is not open to public scrutiny, and Microsoft’s history of co-operating with the NSA, and on-going speculation about possible backdoors built-in
to the Windows operating system, do not inspire us with confidence in the
standard.
Pros
https://www.bestvpn.com/blog/3625/best-vpn-for-linux/https://www.bestvpn.com/blog/6484/the-nsa-prism-scandal-and-how-vpn-can-and-cannot-help/https://www.bestvpn.com/blog/6484/the-nsa-prism-scandal-and-how-vpn-can-and-cannot-help/http://news.cnet.com/8301-10784_3-6027130-7.htmlhttp://news.cnet.com/8301-10784_3-6027130-7.htmlhttps://www.bestvpn.com/blog/6484/the-nsa-prism-scandal-and-how-vpn-can-and-cannot-help/https://www.bestvpn.com/blog/6484/the-nsa-prism-scandal-and-how-vpn-can-and-cannot-help/https://www.bestvpn.com/blog/3625/best-vpn-for-linux/
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
15/27
Very secure (depends on cipher, but usually very strong AES)
a. Completely integrated into Windows (Windows Vista SP1, Windows 7,
Windows 8)
b. Microsoft support
c. Can bypass most firewalls
Cons
a. Only really works in a Windows only environment
b.
Proprietary standard owned by Microsoft so cannot be independently
audited for back doors and suchlike
6. PPP
PPP (point to point) protocol yang merupakan salah satu jenis koneksi WAN dalam
suatu jaringan komputer internetwork, adalah protocol point-to-point yang pada
awalnya di kembangkan sebagai method encapsulation pada komunikasi point-to-
point antara piranti yang menggunakan protocol suite. Protocol ini menjadi sangat
terkenal dan begitu banyak diterima sebagai metoda encapsulation WAN khususnya
dikarenakan dukungannya terhadap berbagai macam protocol seperi IP; IPX;
AppleTalk dan banyak lagi.
Fitur PPP, berikut ini adalah fitur kunci dari protocol ini:
1.
PPP beroperasi melalui koneksi interface piranti Data Communication Equipment
(DCE) dan piranti Data Terminal Equipment (DTE).
2. Dapat beroperasi pada kedua modus synchronous (dial-up) ataupun
asynchronous dan ISDN.
3.
Tidak ada batas transmission rate4. Keseimbangan load melalui multi-link
5. LCP dipertukarkan saat link dibangun untuk mengetest jalur dan setuju
karenanya.
http://www.jaringan-komputer.cv-sysneta.com/koneksi-wanhttp://www.jaringan-komputer.cv-sysneta.com/koneksi-wanhttp://www.jaringan-komputer.cv-sysneta.com/koneksi-wanhttp://www.jaringan-komputer.cv-sysneta.com/apa-itu-jaringan-komputerhttp://www.jaringan-komputer.cv-sysneta.com/apa-itu-jaringan-komputerhttp://www.jaringan-komputer.cv-sysneta.com/koneksi-wan
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
16/27
6. Mendukung berbagai macam protocol layer diatasnya seperti IP; IPX; AppleTalk
dan sbgnya.
7. Mendukung authentication kedua jenis clear text PAP (Password Authentication
Protocol) dan enkripsi CHAP (Chalange Handshake Authentication Protocol)
8. NCP meng-encapsulate protocol layer Network dan mengandung suatu field yang
mengindikasikan protocol layer atas.
Korelasi PPP dengan OSI
Diagram berikut menunjukkan bagaimana PPP protocol dihubungkan dengan model
OSI.
PPP Protocol vs model OSI
Spesifikasi PPP berakhir pada layer
Data link. NCP (Network COntrol
Protocol) mengijinkan PPP mendukung
protocol-2 layer bagian atas seperti IP;
IPX; APleTalk dll. Fleksibilitas inilah
yang membuat protocol ini menjadibegitu popular. NCP bertindak sebagai
interface antara Data Link layer
dengan jaringan. PPP menggunakan NCP untuk meng-encapsulate paket-2 layer
Network. Sementara Paket mengandung Header yang mengindikasikan
pemakaian protocol layer Network.
Link Control Protocol (LCP) merupakan sayu set layanan-2 yang melaksanakan
setup link dan administrasi meliputi:1. Testing dan negosiasi Link
2. Kompresi
3. Authentication
4. Deteksi error
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
17/27
Saat sesi dimulai, piranti-2 bertukar paket LCP untuk negosiasi layanan-2 pada
yang terdaftar disini. Spesifikasi PPP protocol tidak mengandung standard layer
Physical. Akan tetapi dapat berjalan pada bermacam-2 standard physical
synchronous dan asynckronous termasuk:
1. Serial asynchronous seperti dial-up
2. ISDN
3. Serial synchronous
4.
High Speed Serial Interface (HSSI)
PPP membentuk komunikasi dalam tiga fase:
1. Membuka link dan membentuk sesi dengan saling bertukar LCP
2. Membentuk opsi authentication melalui PAP atau CHAP, CHAP sangat
direkomendasikan.
3. Setuju dengan protocol layer diatasnya (IP; IPX; AppleTalk; dll)
7. L2TP
Layer 2 Tunnel Protocol is a VPN protocol that on its own does not provide any
encryption or confidentiality to traffic that passes through it. For this reason it isusually implemented with the IPsec encryption suite (similar to a cipher, as
discussed below) to provide security and privacy.
L2TP is built-in to all modern operating systems and VPN capable devices, and is just
as easy and quick to set up as PPTP (in fact it usually uses the same client). Problems
can arise however, because the L2TP protocol uses UDP port 500, which is more
easily blocked by NAT firewalls, and may therefore require advanced configuration
(port forwarding) when used behind a firewall (this is unlike SSL which can use TCP
port 443 to make it indistinguishable from normal HTTPS traffic).
IPsec encryption has no major known vulnerabilities, and if properly implemented
may still be secure. However, Edward Snowden’s revelations have strongly hinted at
the standard being compromised by the NSA, and as John Gilmore (security
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
18/27
specialist and founding member of the Electronic Frontier Foundation) explains in
this post, it is likely that it has been been deliberately weakened during its design
phase.
Relatively minor compared to the last point, but probably worth mentioning, is that
because L2TP/IPsec encapsulates data twice it is not as efficient as SSL based
solutions (such as OpenVPN and SSTP, and is therefore slightly slower.
Pros
a.
Usually considered very secure but see cons
b. Easy to set up
c. Available on all modern platforms Cons
Cons
a. May be compromised by the NSA
b. Likely deliberately weakened by the NSA
c. Slower than OpenVPN
d.
Can struggle with restrictive firewalls
Kesimpulan:
Berikut ini beberapa yaitu:1. Dari sisi keamanan, IPSec memiliki fungsi keamanan yang paling lengkap
dibandingkan dengan protokol PPTP dan L2TP karena memiki protokol enkripsi dan
otentikasi yang lebih baik. Sedangkan protokol PPTP dan L2TP tidak menyediakan
fungsi data sendiri tetapi hanya bergantung pada protokol yang melaluinya untuk
menyediakan fungsi keamanan.
2. Dari sisi performansi, PPTP dan L2TP memiliki performansi yang lebih baik
dibandingkan dengan IPSec jika berjalan pada jaringan TCP/IP, sedangkan dari sisiinteroperability, L2TP dapat bekerja lebih baik dengan sistem dari vendor lain
dibandingkan protokol PPTP dan IPSec.
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
19/27
B. Sebelum menjawab mengenai perbedaan Computer Level Authantication and User Level
Authantication, berikut dijelaskan pengertian dari Authantication adalah proses dimana
seorang user (melalui berbagai macam akses fisik berupa komputer , melalui jaringan ,
atau melalui remote access ) mendapatkan hak akses kepada suatu entity (dalam hal ini
jaringan suatu corporate). Seorang user melakukan login kedalam suatu infrastruckture
jaringan dan system mengenali user ID ini dan menerimanya untuk kemudian diberikan
akses terhadap resources jaringan sesuai dengan authorisasi yang dia terima.
Authentication of VPN clients
The authentication of virtual private network (VPN) clients by the VPN server is a vital
security concern. Authentication takes place at two levels:
1. Computer-level authentication
When Internet Protocol security (IPSec) is used for a Layer Two Tunneling Protocol (L2TP)
over IPSec (L2TP/IPSec) VPN connection, computer-level authentication is performed
through the exchange of computer certificates or a preshared key during the establishment
of the IPSec security association.
2. User-level authentication
Before data can be sent over the Point-to-Point Tunneling Protocol (PPTP) or L2TP tunnel,
the remote access client or demand-dial router that requests the VPN connection must be
authenticated. User-level authentication occurs through the use of a Point-to-Point
Protocol (PPP) authentication method.
Berikut tambahan penjelasan terkait Authentikasi:
Metoda authentikasi
Ada banyak method yang berbeda yang bisa digunakan untuk melakukan user
authentication, diantaranya adalah seperti berikut ini.
http://www.jaringan-komputer.cv-sysneta.com/mengenal-komputerhttp://www.jaringan-komputer.cv-sysneta.com/local-area-networkhttp://www.jaringan-komputer.cv-sysneta.com/jaringan-private-virtualhttp://www.jaringan-komputer.cv-sysneta.com/jaringan-private-virtualhttp://www.jaringan-komputer.cv-sysneta.com/local-area-networkhttp://www.jaringan-komputer.cv-sysneta.com/mengenal-komputer
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
20/27
1. User name and password Authentication
Kebanyakan system operasi dan server Web mempunyai beberapa jenis system
authentication dengan menggunakan user-name dan password. Kebanyaka system ini
mempunyai beberapa jenis mekanisme untuk memanaje architecture user-name dan
password – seperti account expiration (kadaluarsa account), password expiration, panjang
password minimum, dan atau kualitas password (perpaduan capital, angka, symbol).
Metoda inilah yang banyak dipakai dalam hampir sebagian besar web-pages di internet.
Keuntungan
Gampang diimplementasikan dan di manage
Murah – banyak tersedia dengan hampir sebagian besar system operasi dan web-pages.
Hanya memerlukan pelatihan sebentar saja untuk user
Kerugiannya
User name dan password dikirim dalam bentuk clear text untuk authentication dasar
(walau tidak semua kasus dan SSL dapat meng-inkripsi pada level network)
User name dan password rentan terhadap serangan password dictionary
Pada internet, user bisa mempunyai banyak user-name dan password yang berbeda-
beda yang hanya bikin pusing untuk mengingatnya.
2. Certificates Authentication
User certificate bisa digunakan oleh end-user untuk menjamin identitas mereka. Akses
terhadap certificate normalnya dikendalikan oleh sebuah password yang local terhadap
certificate. Banyak company sudah mulai memanfaatkan dan mengimplementasikan user
certificate dalam jaringan internal mereka.
Keuntungan
Certificate menyatu terhadap user
Kemampuan meng-inkripsi data dan melakukan signature digital terhadap message.
Didukung hampir sebagian besar browser dan paket email.
Menawarkan beberapa mekanisme solusi single sign-on
http://www.jaringan-komputer.cv-sysneta.com/file-encryptionhttp://www.jaringan-komputer.cv-sysneta.com/file-encryption
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
21/27
Kebal terhadap serangan dictionary
Mengijinkan roaming user, yaitu user pindah dari satu lokasi ke lokasi lainnya (hanya jika
vendor anda mendukung fitur ini)
Dapat meng-inkrip data, e-mail, dan sign hanya dengan satu certificate saja
(sesungguhnya akan lebih baik untuk membedakan certificate untuk signing dan
inkryption
Kerugian
Mahal – jika mengimplementasikan suatu PKI (public key infrastructure)
Pelatihan user yang extensive
Memerlukan stuktur support
Roaming users, yaitu users berpindah dari satu lokasi ke lokasi lainnya (dimana tidak
semua vendor mendukung fitur ini – akan tetapi hal ini menjadi lebih bagus)
3. Biometric techniques Authentication
System authentication Biometric menggunakan piranti semacam sidik jari atau scanner
mata untuk mendapatkan akses. Jenis authentication ini mempunyai tingkat keamanan
yang sangat tinggi untuk lingkungan berresiko tinggi dengan membatasi danmengendalikan akses kepada system yang sangat sensitive seperti instalasi militer. Dengan
method ini membatasi user lain menggunakan semacam user-name dan password orang
lain.
Keuntungan
Authentication berupa orang – yang sangat sulit untuk diserupakan
Directory attacks adalah hampir tidak mungkin
Menawarkan solusi mekanisme single sign-on Disadvantages
Tidak semua vendor mendukung technology biometric ini. Tetapi beberapa jenis laptop
sudah banyak menggunakan teknologi sidik jari ini untuk authenticasi logon.
Imlementasinya sangat mahal, terkecuali diproduksi dalam jumlah masal
http://www.jaringan-komputer.cv-sysneta.com/ancaman-keamanan-jaringanhttp://www.jaringan-komputer.cv-sysneta.com/ancaman-keamanan-jaringan
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
22/27
4. Smart cards Authentication
Suatu authenticasi Smart Card adalah mirip kartu kridit yang mempunyai chip sirkuit (IC)
tertempel didalam kartu smart ini. Smart card bisa menyimpan semua jenis informasi, yang
bisa ditransfer melalui interface electronic yang terhubung melalui sebuah komputer.
Smart card ini bisa menyimpan informasi tentang siapa anda dan dan kunci cryptography
dan melakukan algoritme cryptography semacam inkripsi. Akses terhadap smart card
dikendalikan melalui suatu PIN atau suatu password. Akses semacam ini banyak digunakan
dalam akses pintu area dengan tingkat keamanan yang sangat tinggi seperti dalam instalasi
militer, bank, atau goldroom.
Keuntungan
Gampang menggabungkan kartu ini dengan orang
Card ii bisa menyimpan informasi kunci dan informasi lainnya tentang user.
Jika kunci juga dimasukkan, maka akan mudah melakukan inkripsi data dan email.
Pelatihan user tentang teknologi ini mudah dilakukan.
Solusi yang bagus untuk roaming user; certificate bisa dengan mudah ditransport
kedalam.
Kerugiannya
Sangat mahal, walau technology semacam ini harganya menurun.
Masih juga rentan digunakan oleh user lain yang tidak berhak – istilahnya tailgating
Memerlukan system support dan memerlukan hardware tambahan kedalam komputer.
5. Anonymous Authentication
Suatu user anonymous adalah metoda untuk memberikan akses user terhadap file
sehingga tidak memerlukan identifikasi user terhadap server. user memasukkan
anonymous sebagai user ID. Metoda ini umum dipakai untuk mendapatkan akses terhadap
server untuk hanya sekedar melihat / membaca dan download file yang disediakan untuk
umum.
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
23/27
Dengan penggunaan anonymous hal ini dimaksudkan sebaghai metoda authentication dan
sekaligus authorization. Pastikan anda menyadari bahwa dengan control anonymous,
berarti anda memberikan akses authentication dan authorization sekaligus. Tapi pastikan
bahwa anonymous bukan menjadi setting default anda, hal ini sangat berbahaya. Pastikan
bahwa data yang mestinya harus mendapatkan access khusus, jangan dibuka untuk umum
dengan memberikan control anonymous.
C.
Pada pembahasan nomor 3 ini di berikan contoh simulasi koneksi VPN, berikut ditunjukkan
dalam beberapa figure.
Figure 1. VPN over WAN
Peran firewall dan Virtual Private Networks (VPN) dalam memberikan keamanan untuk jaringan publik bersama seperti internet. Dalam skenario Firewall, data base dalam server
kita dilindungi oleh router firewall dari “setiap” akses eksternal. Kita asumsikan bahwa kita
ingin mengijinkan koneksi dari LAN 1 untuk mengakses database pada server, maka sejak
firewall akan menyaring semua lalu lintas yang berhubungan dengan database dari
manapun sumber lalu lintasnya, sehingga kita perlu menggunakan teknologi VPN sebagai
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
24/27
solusi. VPN akan menjadi sebuah terowongan virtual yang dapat digunakan oleh node pada
LAN 1 untuk mengirim permintaan basis data ke server. Firewall tidak akan menyaring lalu
lintas yang diciptakan oleh Sales karena paket IP di terowongan akan dikemas dalam
sebuah datagram IP. Berikut figure simulasi laporan VPN.
Figure 2. Database Traffic received (packet/ sec) simulasi dalam 30 menit
Figure 3. Database Traffic received (minutes)
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
25/27
Figure 4. HTTP page response time
Kesimpulan dari simulasi ini adalah VPN mempunyai kemampuan untuk melakukan
autentifikasi terhadap sumber dari pengiriman data yang akan di terimanya. PVN dapat
melakukan pemeriksaan kepada data yang masuk dan mengakses informasi darisumbernya, lalu alamat dari sumber data tersebut akan di setujui jika proses autentifikasi
berhasil, dengan begitu VPN dapat menjamin semua data yang di kirimkan dan juga yang
diterima berasal dari sumber yang memang benar-benar seharusnya, tidak ada informasi
atau data yang dikirimkan oleh pihak lain dan data yang dipalsukan. VPN menyediakan
keamanan dengan tidak membiarkan lalu lintas dari pengguna yang tidak sah seperti yang
ditunjukkan pada Gambar 2 & 3, namun karena VPN respon waktu meningkat yang
berarti penurunan kinerja. Gambar 4 menjelaskan bagaimana waktu respon httpmeningkat dengan penambahan VPN dalam jaringan. Garis berwarna biru dengan tanda
angka 1 menunjukkan waktu respon http firewall dengan VPN, garis berwarna merah
ditandai dengan angka 2 menunjukkan waktu respon tanpa VPN dan garis berwarna hijau
ditandai dengan angka 3 menunjukkan waktu respon dengan firewall. Jadi, kesimpulannya
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
26/27
penggunaan VPN dapat menguntungkan karena adanya penundaan akses disebabkan
oleh terowongan penyerang dapat dengan mudah membanjiri jaringan atau dapat
membuat kemacetan dalam jaringan.
Demikian Pak Johan, mohon bimbingan dari Bapak. Terimakasih
8/18/2019 1412409315_1412409315-7213T-TP3S7-R1-TINA TRI WULANSARI
27/27
Referensi:
http://eprints.unsri.ac.id/2832/1/senoprosiding.pdf
http://feddytw.com/kopihitam/apa-itu-mppe-2/
http://ilmukomputer.org/wp-content/uploads/2008/05/herry-bayu-vpncisco1.pdf
http://www.experts-exchange.com/Security/Q_26696009.html
http://www.ijcttjournal.org/Volume4/issue-5/IJCTT-V4I5P45.pdf
http://www.jaringan-komputer.cv-sysneta.com/authentication-methods
http://www.jaringan-komputer.cv-sysneta.com/ppp-protocol
http://www.kompasiana.com/alvianhidayat/ssl-dan-tls_552c4c786ea83444468b4596
http://www.proweb.co.id/articles/support/tls.html
http://www.staff.city.ac.uk/~veselin/opnet/EPM775_lab.pdf
http://www.vocal.com/networking/datagram-transport-layer-security-dtls/
https://support.microsoft.com/id-id/kb/235284
https://technet.microsoft.com/en-us/library/cc782786(v=ws.10).aspx
https://www.bestvpn.com/blog/4147/pptp-vs-l2tp-vs-openvpn-vs-sstp-vs-ikev2/
https://www.rivier.edu/faculty/vriabov/Lab11_FirewallsVPN.pdf
http://www.opnet.com/university_program/itguru_academic_edition/
http://eprints.unsri.ac.id/2832/1/senoprosiding.pdfhttp://eprints.unsri.ac.id/2832/1/senoprosiding.pdfhttp://feddytw.com/kopihitam/apa-itu-mppe-2/http://ilmukomputer.org/wp-content/uploads/2008/05/herry-bayu-vpncisco1.pdfhttp://www.experts-exchange.com/Security/Q_26696009.htmlhttp://www.ijcttjournal.org/Volume4/issue-5/IJCTT-V4I5P45.pdfhttp://www.ijcttjournal.org/Volume4/issue-5/IJCTT-V4I5P45.pdfhttp://www.jaringan-komputer.cv-sysneta.com/authentication-methodshttp://www.jaringan-komputer.cv-sysneta.com/authentication-methodshttp://www.jaringan-komputer.cv-sysneta.com/ppp-protocolhttp://www.jaringan-komputer.cv-sysneta.com/ppp-protocolhttp://www.kompasiana.com/alvianhidayat/ssl-dan-tls_552c4c786ea83444468b4596http://www.proweb.co.id/articles/support/tls.htmlhttp://www.staff.city.ac.uk/~veselin/opnet/EPM775_lab.pdfhttp://www.staff.city.ac.uk/~veselin/opnet/EPM775_lab.pdfhttp://www.vocal.com/networking/datagram-transport-layer-security-dtls/https://support.microsoft.com/id-id/kb/235284https://technet.microsoft.com/en-us/library/cc782786(v=ws.10).aspxhttps://technet.microsoft.com/en-us/library/cc782786(v=ws.10).aspxhttps://www.bestvpn.com/blog/4147/pptp-vs-l2tp-vs-openvpn-vs-sstp-vs-ikev2/https://www.rivier.edu/faculty/vriabov/Lab11_FirewallsVPN.pdfhttps://www.rivier.edu/faculty/vriabov/Lab11_FirewallsVPN.pdfhttp://www.opnet.com/university_program/itguru_academic_edition/http://www.opnet.com/university_program/itguru_academic_edition/http://www.opnet.com/university_program/itguru_academic_edition/https://www.rivier.edu/faculty/vriabov/Lab11_FirewallsVPN.pdfhttps://www.bestvpn.com/blog/4147/pptp-vs-l2tp-vs-openvpn-vs-sstp-vs-ikev2/https://technet.microsoft.com/en-us/library/cc782786(v=ws.10).aspxhttps://support.microsoft.com/id-id/kb/235284http://www.vocal.com/networking/datagram-transport-layer-security-dtls/http://www.staff.city.ac.uk/~veselin/opnet/EPM775_lab.pdfhttp://www.proweb.co.id/articles/support/tls.htmlhttp://www.kompasiana.com/alvianhidayat/ssl-dan-tls_552c4c786ea83444468b4596http://www.jaringan-komputer.cv-sysneta.com/ppp-protocolhttp://www.jaringan-komputer.cv-sysneta.com/authentication-methodshttp://www.ijcttjournal.org/Volume4/issue-5/IJCTT-V4I5P45.pdfhttp://www.experts-exchange.com/Security/Q_26696009.htmlhttp://ilmukomputer.org/wp-content/uploads/2008/05/herry-bayu-vpncisco1.pdfhttp://feddytw.com/kopihitam/apa-itu-mppe-2/http://eprints.unsri.ac.id/2832/1/senoprosiding.pdf