A. Pengertian IP Security
Internet Protocol Security atau
sering disebut IPsec adalah end-to-end
security skema operasi di Internet Layer dari Internet
Protocol Suite. Hal ini dapat digunakan dalam melindungi arus data
antara sepasang host (host-to-host), antara sepasang gateway
keamanan (jaringan-jaringan), atau antara gateway keamanan dan host
(jaringan-to-host) .
Internet Protocol Security (IPsec) adalah protokol untuk
mengamankan Internet Protocol (IP) komunikasi dengan otentikasi dan mengenkripsi setiap
paket IP dari suatu sesi komunikasi. IPsec juga
mencakup protokol untuk mendirikan otentikasi bersama antara
agen pada awal sesi dan negosiasi kunci kriptografi yang
akan digunakan selama sesi.
Beberapa sistem
keamanan Internet lainnya digunakan secara luas, seperti Secure
Socket Layer (SSL), Transport Layer Security (TLS) dan
Secure Shell (SSH), beroperasi di lapisan atas dari model
TCP / IP. Di masa lalu, penggunaan TLS / SSL harus
dirancang ke dalam aplikasi untuk melindungi protokol aplikasi. Sebaliknya, sejak
hari pertama, aplikasi tidak perlu dirancang khusus untuk
menggunakan IPsec. Oleh karena itu, IPsec melindungi lalu
lintas aplikasi di jaringan IP.
B. Sejarah IP Sec
Eksperimental Babatan Keamanan IP (protokol) yang diteliti di Columbia University dan AT & T Bell Labs pada bulan Desember 1993. Kemudian, Wei Xu pada bulan
Juli 1994 di Sistem Informasi Trusted melanjutkan
penelitian ini. Setelah beberapa bulan, penelitian ini berhasil
diselesaikan pada sistem BSDI. Dengan hacking kernel biner, Wei telah diperpanjang dengan
cepat perkembangannya ke Sun OS, HP UX, dan
sistem UNIX lainnya. Salah satu tantangan adalah kinerja lambat dari DES dan 3DES. Enkripsi perangkat
lunak bahkan tidak bisa mendukung kecepatan T1 di
bawah arsitektur Intel 80386. Dengan menjelajahi kartu Crypto dari
Jerman, Xu Wei lanjut mengembangkan device driver otomatis, yang
dikenal sebagai plug-and-play hari. Dengan mencapai throughput lebih dari
satu T1s, pekerjaan ini membuat produk komersial praktis
hal itu layak, yang dirilis sebagai bagian dari firewall Gauntlet terkenal.
Pada Desember 1994, itu adalah pertama kalinya dalam produksi untuk mengamankan beberapa situs remote antara timur dan barat pesisir negara bagian Amerika Serikat. Lain Protokol Keamanan IP dikembangkan pada tahun 1995 di Laboratorium Riset Naval sebagai bagian dari proyek penelitian DARPA disponsori. ESP awalnya berasal dari protokol SP3D, bukannya berasal dari ISO Jaringan-Layer Security Protocol (NLSP). Spesifikasi protokol SP3D diterbitkan oleh NIST, tetapi dirancang oleh proyek Jaringan Sistem Data Aman dari National Security Agency (NSA), AH yang berasal dari bagian dalam pekerjaan standar sebelumnya IETF untuk otentikasi dari Simple Network Management Protocol (SNMP).
Sejak
tahun 1996, lokakarya Keamanan IP diselenggarakan untuk
standardisasi protokol. IPsec secara resmi ditetapkan oleh Internet
Engineering Task Force (IETF) dalam serangkaian Permintaan untuk
dokumen Komentar menangani berbagai komponen dan ekstensi. Ini
menentukan ejaan nama protokol menjadi IPsec.
C. Cara Kerja IP Security
·
Protokol AH menyediakan
integritas hubungan, otentifikasi data asal dan layanan anti jawaban.
·
Protokol ESP menyediakan
kerahasiaan (enkripsi), dan pembatasan aliran lalulintas kerahasiaan.
·
ESP Juga menyediakan layanan integritas hubungan, otentifikasi
data asal dan layanan anti jawaban.
·
Kedua protokol ini
merupakan pembawa kontrol akses berbasis distribusi kunci kriptografi dan
manajemen aliran lalulintas relatif terhadap protokol keamanan.
Secara
umum layanan yang diberikan IPSec adalah :
1. Data Confidentiality, pengirim data dapat mengengkripsi
paket data sebelum dilakukan transmit data.
2. Data Integrity, penerima dapat mengotentifikasi paket yang
dikirimkan oleh pengirim untuk meyakinkan bahwa data tidak dibajak selama
transmisi.
3. Data
Origin Authentication, penerima dapat mengotentifikasi asal dari paket IPSEC yang
dikirimkan.
4. Anti Replay, penerima dapat mendeteksi dan menolak paket
yang telah dibajak.
D. Kelebihan IPSec
1. IPsec
dapat melindungi protokol apa pun yang berjalan di atas IP dan pada medium apa
pun yang dapat digunakan IP, sehingga IPsec merupakan suatu metode umum yang
dapat menyediakan keamanan komunikasi melalui jaringan computer.
2. IPsec
menyediakan keamanan secara transparan, sehingga dari sisi aplikasi, user tidak
perlu menyadari keberadaannya
3. IPsec dirancang untuk
memenuhi standar baru IPv6 tanpa melupakan IPv4 yang sekarang digunakan
4. Perancangan IPsec tidak mengharuskan penggunaan algoritma enkripsi atau hash tertentu sehingga jika algoritma yang sering digunakan sekarang telah dipecahkan, fungsinya dapat diganti dengan algoritma lain yang lebih sulit dipecahkan.
E. Kelemahan IPSec
1. IPsec
terlalu kompleks, penyediaan beberapa fitur tambahan dengan menambah
kompleksitas yang tidak perlu .
2. Beberapa dokumentasinya masih
mengandung beberapa kesalahan, tidak menjelaskan beberapa penjelasan
esensial, dan ambigu.
3. Beberapa algoritma default yang
digunakan dalam IPsec telah dapat dipecahkan/dianggap tidak aman (misalnya DES
yang dianggap tidak aman dan MD5 yang telah mulai berhasil diserang. Algoritma
penggantinya telah tersedia dan administrator sistem sendiri yang harus
memastikan bahwa mereka menggunakan algoritma lain untuk mendapatkan keamanan
yang lebih tinggi.
F. Security architecture
IPSec bekerja pada lapisan network, memproteksi dan
mengotentifikasi komunikasi paket IP antara host dan berfungsi baik pada
lalu lintas IPv6 maupun IPv4. IPSec ini sebenarnya adalah fitur yang dimiliki oleh IPv6
namun oleh beberapa developer diaplikasikan kedalam IPv4.
IPSec mempunyai 4 buah elemen, yaitu :
1. AH (authentication header )
2. ESP (encasulapting security payload)
3. IPcomp (IP payload compression)
4. IKE (internet key exchange)
G. Authentication
Header
Protokol Authentication Header (AH) menawarkan autentikasi pengguna dan perlindungan dari beberapa serangan (umumnya serangan man in the middle), dan juga menyediakan fungsi autentikasi terhadap data serta integritas terhadap data. Protokol ini mengizinkan penerima untuk merasa yakin bahwa identitas si pengirim adalah benar adanya, dan data pun tidak dimodifikasi selama transmisi. Namun demikian, protokol AH tidak menawarkan fungsi enkripsi terhadap data yang ditransmisikannya. Informasi AH dimasukkan ke dalam header paket IP yang dikirimkan dan dapat digunakan secara sendirian atau bersamaan dengan protokol Encapsulating Security Payload.
H. Encapsulating
Security Payload
Protokol Encapsulating Security Payload (ESP) Protokol ini melakukan enkapsulasi serta enkripsi terhadap data pengguna untuk meningkatkan kerahasiaan data. ESP juga dapat memiliki skema autentikasi dan perlindungan dari beberapa serangan dan dapat digunakan secara sendirian atau bersamaan dengan Authentication Header. Sama seperti halnya AH, informasi mengenai ESP juga dimasukkan ke dalam header paket IP yang dikirimkan.
I. Security Association
Sebuah
Asosiasi Keamanan (SA) adalah pembentukan atribut keamanan bersama antara dua
entitas jaringan untuk mendukung komunikasi yang aman. Sebuah SA mungkin
termasuk atribut seperti: algoritma kriptografi dan mode, kunci enkripsi lalu
lintas, dan parameter untuk data jaringan yang akan melewati sambungan.
Kerangka untuk mendirikan asosiasi keamanan disediakan oleh Internet Security
Association dan Key Management Protocol (ISAKMP). Protokol seperti Internet Key
Exchange dan Kerberized Negosiasi internet Keys menyediakan dikonfirmasi
material kunci. Sebuah SA adalah simpleks
(satu arah channel) dan koneksi logis yang mendukung dan menyediakan koneksi
data yang aman antara perangkat jaringan. Persyaratan mendasar dari sebuah SA
tiba ketika dua entitas berkomunikasi melalui lebih dari satu saluran. Ambil
contoh pelanggan seluler dan base station. Pelanggan dapat berlangganan sendiri
untuk lebih dari satu layanan.
Oleh karena itu setiap layanan mungkin memiliki layanan yang berbeda primitif seperti kunci enkripsi data algoritma, publik atau vektor inisialisasi. Sekarang untuk membuat segalanya lebih mudah, semua informasi keamanan yang dikelompokkan secara logis. Ini kelompok logis itu sendiri adalah Asosiasi Keamanan. Setiap SA memiliki ID sendiri disebut SAID. Jadi sekarang base station dan pelanggan seluler akan berbagi SAID dan mereka akan memperoleh semua parameter keamanan, membuat hal-hal jauh lebih mudah. Singkatnya, sebuah SA adalah kelompok logis dari parameter keamanan yang memungkinkan berbagi informasi kepada entitas lain.
J. Modes Of Operation
IPsec dapat
diimplementasikan dalam mode transportasi host-to-host, serta dalam
modus jaringan terowongan.
Transportasi modus
Dalam modus transportasi, hanya payload dari
paket IP biasanya dienkripsi dan / atau disahkan. Routing utuh, karena header IP tidak diubah atau dienkripsi,
namun ketika header otentikasi yang digunakan, alamat IP tidak
dapat diterjemahkan, karena hal ini akan membatalkan nilai hash. Transportasi
dan lapisan aplikasi selalu dijamin dengan hash, sehingga
mereka tidak dapat diubah dengan cara apapun (misalnya
dengan menerjemahkan nomor port). Sebuah sarana untuk
merangkum pesan IPsec untuk NAT traversal telah didefinisikan
oleh dokumen RFC menggambarkan mekanisme NAT-T.
Terowongan modus
Dalam modus terowongan, paket IP seluruh dienkripsi dan / atau disahkan. Hal
ini kemudian dikemas ke dalam paket IP baru dengan header
IP yang baru. Modus terowongan yang digunakan untuk membuat
jaringan pribadi virtual untuk jaringan-jaringan komunikasi (misalnya antara
router ke situs link), host-to-jaringan komunikasi (misalnya akses
pengguna jarak jauh), dan host-to-host komunikasi (chat
pribadi misalnya).
Cryptographic algorithms
Algoritma kriptografi didefinisikan untuk
digunakan dengan IPsec meliputi:
· HMAC-SHA1 untuk perlindungan integritas dan keaslian
· TripleDES-CBC untuk kerahasiaan
· AES-CBC untuk kerahasiaan
Mengacu pada RFC 4835 untuk rincian.
Software
implementations
IPsec dukungan biasanya diimplementasikan dalam kernel dengan manajemen kunci dan ISAKMP / IKE negosiasi dilakukan dari user-space. Ada IPsec implementasi seringkali mencakup.
Standards
status
IPsec dikembangkan bersama dengan IPv6 dan harus
tersedia di semua standar-compliant implementasi IPv6 meskipun
tidak semua implementasi IPv6 termasuk dukungan IPsec, adalah opsional
untuk IPv4 implementasi. Namun, karena penyebaran lambat IPv6, IPsec ini
paling sering digunakan untuk mengamankan IPv4 lalu lintas. Protokol IPsec awalnya didefinisikan
dalam RFC 1825 dan RFC 1829, yang diterbitkan pada
tahun 1995. Pada tahun 1998, dokumen-dokumen tersebut digantikan
oleh RFC 2401 dan RFC 2412 dengan aspek kompatibel, meskipun
mereka secara konseptual identik. Selain itu, sebuah saling
otentikasi dan pertukaran kunci protokol Internet Key
Exchange (IKE) didefinisikan untuk membuat dan mengelola asosiasi
keamanan. Pada bulan Desember 2005, standar baru didefinisikan
dalam RFC 4301 dan RFC 4309 yang sebagian
besar merupakan superset dari edisi sebelumnya dengan versi
kedua dari Bursa kunci standar Internet IKEv2. Ini generasi
ketiga dokumen standar singkatan dari IPsec menjadi
huruf besar "IP" dan huruf kecil "sec". Hal
ini tidak biasa untuk melihat produk yang menawarkan
dukungan untuk RFC 1825 dan 1829. "ESP" umumnya
mengacu pada RFC 2406, sedangkan ESPbis mengacu pada RFC 4303. Sejak pertengahan 2008, sebuah Pemeliharaan IPsec dan
kelompok Ekstensi bekerja aktif di IETF.
K. Kesimpulan
a.Internet Protocol Security (IPsec) merupakan protokol mengamankan Internet Protocol (IP) komunikasi dengan otentikasi dan mengenkripsi setiap
paket IP dari suatu sesi komunikasi.
b. Internet Protocol Security (IPsec) digunakan dalam
melindungi arus data antara sepasang host (host-to-host), jaringan-jaringan, atau
antara gateway keamanan dan host (jaringan-to-host)
c. IPsec
terdiri atas dua bagian utama yaitu Protokol penambahan header pada
paket IP (AH dan ESP) dan IKE
d.Kriptografi merupakan teknik-teknik IPsec yang
digunakan dalam menyediakan layanan keamanan Authentication,
Data Integrity, dan Confidentiality.
e. Authentication dan Data
Integrity disediakan oleh protokol AH dan ESP dengan menggunakan
HMAC.
f.Confidentiality disediakan oleh protokol ESP dengan
mengunakan algoritma kriptografi
g. IPsec masih dianggap sebagai solusi terbaik dalam menyediakan keamanan dalam komunikasi melalui jaringan computer, meskipun masih memiliki kekurangan.
Refrensi : https://softteknik.blogspot.com/2013/07/ip-security_16.html
