3.8.1 Teknologi VPN
Virtual Private Networks (VPN)
Untuk mengamankan lalu lintas jaringan antara situs dan pengguna, perusahaan menggunakan jaringan pribadi virtual (VPN) untuk membuat koneksi jaringan pribadi ujung ke ujung. VPN bersifat virtual karena membawa informasi dalam jaringan pribadi, tetapi informasi tersebut sebenarnya diangkut melalui jaringan publik. VPN bersifat pribadi karena lalu lintas dienkripsi untuk menjaga kerahasiaan data saat diangkut melintasi jaringan publik.
Gambar tersebut menunjukkan kumpulan berbagai jenis VPN yang dikelola oleh situs utama perusahaan. Tunnel memungkinkan situs jarak jauh dan pengguna untuk mengakses sumber daya jaringan situs utama dengan aman.
- Firewall Cisco Adaptive Security Appliance (ASA) membantu perusahaan menyediakan konektivitas yang aman dan berkinerja tinggi termasuk VPN dan akses selalu aktif untuk cabang jarak jauh dan pengguna seluler.
- SOHO adalah singkatan dari small office home office di mana router yang mendukung VPN dapat menyediakan konektivitas VPN kembali ke situs utama perusahaan.
- Cisco AnyConnect adalah perangkat lunak yang dapat digunakan pekerja jarak jauh untuk membuat koneksi VPN berbasis klien dengan situs.
Jenis VPN pertama adalah Tunnel IP yang tidak menyertakan otentikasi atau enkripsi data. Misalnya, Generic Routing Encapsulation (GRE) adalah protokol tunneling yang dikembangkan oleh Cisco dan tidak termasuk layanan enkripsi. Ini digunakan untuk merangkum lalu lintas IPv4 dan IPv6 di dalam Tunnel IP untuk membuat tautan point-to-point virtual.
Kelebihan VPN
VPN modern sekarang mendukung fitur enkripsi, seperti Internet Protocol Security (IPsec) dan Secure Sockets Layer (SSL) VPN untuk mengamankan lalu lintas jaringan antar situs.
Manfaat utama VPN ditampilkan dalam tabel.
Keuntungan | Deskripsi |
Penghematan biaya | Dengan munculnya teknologi bandwidth tinggi yang hemat biaya, perusahaan dapat menggunakan VPN untuk mengurangi biaya konektivitas sekaligus meningkatkan bandwidth koneksi jarak jauh. |
Keamanan | VPN memberikan tingkat keamanan tertinggi yang tersedia, dengan menggunakan enkripsi canggih dan protokol otentikasi yang melindungi data dari akses yang tidak sah. |
Skalabilitas | VPN memungkinkan perusahaan untuk menggunakan internet, sehingga memudahkan penambahan pengguna baru tanpa menambahkan infrastruktur yang signifikan. |
Kesesuaian | VPN dapat diimplementasikan di berbagai pilihan tautan WAN termasuk semua teknologi broadband populer. Pekerja jarak jauh dapat memanfaatkan koneksi berkecepatan tinggi ini untuk mendapatkan akses aman ke jaringan perusahaan mereka. |
Site-to-Site and Remote-Access VPN
VPN biasanya digunakan dalam salah satu konfigurasi berikut: situs-ke-situs atau akses jarak jauh.
- Site-to-Site VPN
VPN site-to-site dibuat ketika perangkat akhir VPN, juga disebut gateway VPN, telah dikonfigurasikan sebelumnya dengan informasi untuk membuat tunnel yang aman. Lalu lintas VPN hanya dienkripsi di antara perangkat ini. Host internal tidak mengetahui bahwa VPN sedang digunakan.
- Remote-Access VPN
VPN akses jarak jauh dibuat secara dinamis untuk membuat koneksi aman antara klien dan perangkat pengakhir VPN. Misalnya, SSL VPN akses jarak jauh digunakan saat Anda memeriksa informasi perbankan Anda secara online.
Perusahaan dan Penyedia Layanan VPN
Ada banyak pilihan yang tersedia untuk mengamankan lalu lintas perusahaan. Solusi ini bervariasi tergantung pada siapa yang mengelola VPN.
VPN dapat dikelola dan digunakan sebagai:
- VPN Perusahaan – VPN yang dikelola perusahaan adalah solusi umum untuk mengamankan lalu lintas perusahaan di internet. VPN akses site-to-site dan jarak jauh dibuat dan dikelola oleh perusahaan menggunakan IPsec dan SSL VPN.
- Penyedia Layanan VPN – VPN yang dikelola penyedia layanan dibuat dan dikelola melalui jaringan penyedia. Penyedia menggunakan Multiprotocol Label Switching (MPLS) di Layer 2 atau Layer 3 untuk membuat saluran aman antara situs perusahaan. MPLS adalah teknologi perutean yang digunakan penyedia untuk membuat jalur virtual antar situs. Ini secara efektif memisahkan lalu lintas dari lalu lintas pelanggan lainnya. Solusi warisan lainnya termasuk Frame Relay dan Asynchronous Transfer Mode (ATM) VPNs.
Gambar tersebut mencantumkan berbagai jenis penerapan VPN yang dikelola perusahaan dan dikelola penyedia layanan yang akan dibahas lebih detail dalam modul ini.
3.8.2 Tipe-Tipe VPN
Remote-Access VPN
Di topik sebelumnya, Anda telah mempelajari tentang dasar-dasar VPN. Di sini Anda akan belajar tentang jenis-jenis VPN.
VPN telah menjadi solusi logis untuk konektivitas akses jarak jauh karena berbagai alasan. Seperti yang ditunjukkan pada gambar, akses VPN jarak jauh memungkinkan pengguna jarak jauh dan seluler terhubung dengan aman ke perusahaan dengan membuat tunnel terenkripsi. Pengguna jarak jauh dapat dengan aman mereplikasi akses keamanan perusahaan mereka termasuk email dan aplikasi jaringan. Akses VPN jarak jauh juga memungkinkan kontraktor dan mitra memiliki akses terbatas ke server, halaman web, atau file tertentu sesuai kebutuhan. Ini berarti bahwa para pengguna ini dapat berkontribusi pada produktivitas bisnis tanpa mengorbankan keamanan jaringan.
Akses VPN jarak jauh biasanya diaktifkan secara dinamis oleh pengguna saat diperlukan. Akses VPN jarak jauh dapat dibuat menggunakan IPsec atau SSL. Seperti yang ditunjukkan pada gambar, pengguna jarak jauh harus memulai koneksi akses VPN jarak jauh.
Gambar tersebut menampilkan dua cara agar pengguna jarak jauh dapat memulai koneksi akses VPN jarak jauh: VPN tanpa klien dan VPN berbasis klien.
- Koneksi VPN tanpa klien – koneksi diamankan menggunakan koneksi SSL browser web. SSL sebagian besar digunakan untuk melindungi lalu lintas HTTP (HTTPS) dan protokol email seperti IMAP dan POP3. Misalnya, HTTPS sebenarnya HTTP menggunakan tunnel SSL. Koneksi SSL pertama kali dibuat, kemudian data HTTP ditukarkan melalui koneksi.
- Koneksi VPN berbasis klien – Perangkat lunak klien VPN seperti Cisco AnyConnect Secure Mobility Client harus diinstal pada perangkat akhir pengguna jarak jauh. Pengguna harus memulai koneksi VPN menggunakan klien VPN dan kemudian mengautentikasi ke gateway VPN tujuan. Ketika pengguna jarak jauh diautentikasi, mereka memiliki akses ke file dan aplikasi perusahaan. Perangkat lunak klien VPN mengenkripsi lalu lintas menggunakan IPsec atau SSL dan meneruskannya melalui internet ke gateway VPN tujuan.
SSL VPN
Ketika klien menegosiasikan koneksi SSL VPN dengan gateway VPN, itu sebenarnya terhubung menggunakan Transport Layer Security (TLS). TLS adalah versi SSL yang lebih baru dan terkadang dinyatakan sebagai SSL/TLS. Namun, kedua istilah tersebut sering digunakan secara bergantian.
SSL menggunakan infrastruktur kunci publik dan sertifikat digital untuk mengotentikasi rekan-rekan. Baik teknologi IPsec dan SSL VPN menawarkan akses ke hampir semua aplikasi jaringan atau sumber daya. Namun, ketika keamanan menjadi masalah, IPsec adalah pilihan terbaik. Jika dukungan dan kemudahan penerapan adalah masalah utama, pertimbangkan SSL. Jenis metode VPN yang diterapkan didasarkan pada persyaratan akses pengguna dan proses TI perusahaan. Tabel tersebut membandingkan penerapan akses jarak jauh IPsec dan SSL.
Fitur | IPsec | SSL |
Aplikasi yang didukung | Luas – Semua aplikasi berbasis IP didukung. | Terbatas – Hanya aplikasi berbasis web dan berbagi file yang didukung. |
Kekuatan Autentikasi | Kuat – Menggunakan otentikasi dua arah dengan kunci bersama atau sertifikat digital. | Sedang – Menggunakan otentikasi satu arah atau dua arah. |
Kekuatan enkripsi | Kuat – Menggunakan panjang kunci dari 56 bit hingga 256 bit. | Sedang hingga kuat – Dengan panjang kunci dari 40 bit hingga 256 bit. |
Kompleksitas koneksi | Sedang – Karena memerlukan klien VPN yang sudah diinstal sebelumnya pada sebuah host. | Rendah – Ini hanya membutuhkan browser web di host. |
Opsi koneksi | Terbatas – Hanya perangkat tertentu dengan konfigurasi tertentu yang dapat terhubung. | Luas – Perangkat apa pun dengan browser web dapat terhubung. |
Penting untuk dipahami bahwa IPsec dan SSL VPN tidak saling eksklusif. Sebaliknya, mereka saling melengkapi; kedua teknologi memecahkan masalah yang berbeda, dan perusahaan dapat mengimplementasikan IPsec, SSL, atau keduanya, tergantung pada kebutuhan telecommuternya.
Site-to-Site IPsec VPN
Site-to-Site VPN digunakan untuk menghubungkan jaringan di jaringan lain yang tidak tepercaya seperti internet. Dalam Site-to-Site VPN, host akhir mengirim dan menerima lalu lintas TCP/IP normal yang tidak terenkripsi melalui perangkat pemutus VPN. Pemutusan VPN biasanya disebut gateway VPN. Perangkat gateway VPN dapat berupa router atau firewall, seperti yang ditunjukkan pada gambar. Misalnya, Cisco Adaptive Security Appliance (ASA) yang ditunjukkan di sisi kanan gambar adalah perangkat firewall mandiri yang menggabungkan firewall, konsentrator VPN, dan fungsi pencegahan intrusi ke dalam satu citra perangkat lunak.
Gateway VPN merangkum dan mengenkripsi lalu lintas keluar. Kemudian mengirimkan lalu lintas melalui tunnel VPN melalui internet ke gateway VPN di situs target. Setelah diterima, gateway VPN penerima menghapus header, mendekripsi konten, dan menyampaikan paket ke host target di dalam jaringan pribadinya.
VPN situs-ke-situs biasanya dibuat dan diamankan menggunakan keamanan IP (IPsec).
GRE over IPsec
Generic Routing Encapsulation (GRE) adalah protokol tunneling VPN site-to-site yang tidak aman. Itu dapat merangkum berbagai protokol lapisan jaringan. Ini juga mendukung lalu lintas multicast dan siaran yang mungkin diperlukan jika perusahaan memerlukan protokol routing untuk beroperasi melalui VPN. Namun, GRE tidak secara default mendukung enkripsi; dan oleh karena itu, ia tidak menyediakan tunnel VPN yang aman.
VPN IPsec standar (non-GRE) hanya dapat membuat tunnel aman untuk lalu lintas unicast. Oleh karena itu, protokol routing tidak akan bertukar informasi routing melalui VPN IPsec.
Untuk mengatasi masalah ini, kita dapat mengenkapsulasi lalu lintas protokol routing menggunakan paket GRE, dan kemudian mengenkapsulasi paket GRE ke dalam paket IPsec untuk meneruskannya dengan aman ke gateway VPN tujuan.
Istilah yang digunakan untuk menggambarkan enkapsulasi GRE melalui tunnel IPsec adalah protokol penumpang, protokol pembawa, dan protokol transportasi, seperti yang ditunjukkan pada gambar.
- Passenger Protocol – ini adalah paket asli yang akan dienkapsulasi oleh GRE. Itu bisa berupa paket IPv4 atau IPv6, pembaruan routing, dan banyak lagi.
- Carrier Protocol – GRE adalah protokol pembawa yang merangkum paket penumpang asli.
- Transport Protocol – ini adalah protokol yang sebenarnya akan digunakan untuk meneruskan paket. Ini bisa berupa IPv4 atau IPv6
Misalnya, pada gambar yang menampilkan topologi, Cabang dan HQ ingin bertukar informasi routing OSPF melalui VPN IPsec. Namun, IPsec tidak mendukung lalu lintas multicast. Oleh karena itu, GRE over IPsec digunakan untuk mendukung lalu lintas protokol routing melalui VPN IPsec. Secara khusus, paket OSPF (yaitu, protokol penumpang) akan dienkapsulasi oleh GRE (yaitu, protokol pembawa) dan kemudian dienkapsulasi dalam tunnel VPN IPsec.
Tangkapan layar Wireshark pada gambar menampilkan paket Hello OSPF yang dikirim menggunakan GRE melalui IPsec. Dalam contoh, paket multicast OSPF Hello asli (yaitu, protokol penumpang) dienkapsulasi dengan header GRE (yaitu, protokol pembawa), yang kemudian dienkapsulasi oleh header IP lain (yaitu, protokol transport). Header IP ini kemudian akan diteruskan melalui tunnel IPsec.
Dynamic Multipoint VPN
Site-to-Site VPN IPsec dan GRE over IPsec cukup untuk digunakan ketika hanya ada beberapa situs yang dapat diinterkoneksi dengan aman. Namun, mereka tidak cukup ketika perusahaan menambahkan lebih banyak situs. Ini karena setiap situs akan memerlukan konfigurasi statis ke semua situs lain, atau ke situs pusat.
Dynamic Multipoint VPN (DMVPN) adalah solusi perangkat lunak Cisco untuk membangun banyak VPN dengan cara yang mudah, dinamis, dan terukur. Seperti jenis VPN lainnya, DMVPN mengandalkan IPsec untuk menyediakan transportasi yang aman melalui jaringan publik, seperti internet.
DMVPN menyederhanakan konfigurasi tunnel VPN dan menyediakan opsi fleksibel untuk menghubungkan situs pusat dengan situs cabang. Ini menggunakan konfigurasi hub-and-spoke untuk membangun topologi mesh penuh. Situs Spoke membuat tunnel VPN aman dengan situs hub, seperti yang ditunjukkan pada gambar.
DMVPN Hub-to-Spoke Tunnels
Setiap situs dikonfigurasi menggunakan Multipoint Generic Routing Encapsulation (mGRE). Interface tunnel mGRE memungkinkan interface GRE tunggal untuk secara dinamis mendukung beberapa tunnel IPsec. Oleh karena itu, ketika situs baru memerlukan koneksi yang aman, konfigurasi yang sama di situs hub akan mendukung terowongan. Tidak ada konfigurasi tambahan yang diperlukan.
Situs Spoke juga dapat memperoleh informasi tentang situs spoke lain dari situs pusat dan membuat terowongan spoke-to-spoke virtual seperti yang ditunjukkan pada gambar.
DMVPN Hub-to-Spoke and Spoke-to-Spoke Tunnels
IPsec Virtual Tunnel Interface
Seperti DMVPN, IPsec Virtual Tunnel Interface (VTI) menyederhanakan proses konfigurasi yang diperlukan untuk mendukung banyak situs dan akses jarak jauh. Konfigurasi IPsec VTI diterapkan ke interface virtual alih-alih pemetaan statis sesi IPsec ke antarmuka fisik.
IPsec VTI mampu mengirim dan menerima lalu lintas terenkripsi IP unicast dan multicast. Oleh karena itu, protokol routing didukung secara otomatis tanpa harus mengonfigurasi terowongan GRE.
IPsec VTI dapat dikonfigurasi antar situs atau dalam topologi hub-and-spoke.
Service Provider MPLS VPN
Solusi WAN penyedia layanan tradisional seperti leased line, Frame Relay, dan koneksi ATM secara inheren aman dalam desainnya. Saat ini, penyedia layanan menggunakan MPLS di jaringan inti mereka. Lalu lintas diteruskan melalui tulang punggung MPLS menggunakan label yang sebelumnya didistribusikan di antara router inti. Seperti koneksi WAN lama, lalu lintas aman karena pelanggan penyedia layanan tidak dapat melihat lalu lintas satu sama lain.
MPLS dapat memberi klien solusi VPN terkelola; oleh karena itu, mengamankan lalu lintas antara situs klien adalah tanggung jawab penyedia layanan. Ada dua jenis solusi VPN MPLS yang didukung oleh penyedia layanan:
- Layer 3 MPLS VPN – Penyedia layanan berpartisipasi dalam routing pelanggan dengan membuat peering antara router pelanggan dan router penyedia. Kemudian rute pelanggan yang diterima oleh router provider kemudian didistribusikan kembali melalui jaringan MPLS ke lokasi remote pelanggan.
- Layer 2 MPLS VPN – Penyedia layanan tidak terlibat dalam perutean pelanggan. Sebagai gantinya, penyedia menyebarkan Layanan LAN Pribadi Virtual (VPLS) untuk meniru segmen LAN multiakses Ethernet melalui jaringan MPLS. Tidak ada perutean yang terlibat. Router pelanggan secara efektif termasuk dalam jaringan multiakses yang sama.
Gambar tersebut menunjukkan penyedia layanan yang menawarkan VPN MPLS Layer 2 dan Layer 3.
3.8.3 IPsec
Teknologi IPSec
IPsec adalah standar IETF (RFC 2401-2412) yang mendefinisikan bagaimana VPN dapat diamankan di seluruh jaringan IP. IPsec melindungi dan mengotentikasi paket IP antara sumber dan tujuan. IPsec dapat melindungi lalu lintas dari Layer 4 hingga Layer 7.
Menggunakan kerangka kerja IPsec, IPsec menyediakan fungsi keamanan penting ini:
- Kerahasiaan – IPsec menggunakan algoritma enkripsi untuk mencegah penjahat dunia maya membaca isi paket.
- Integritas – IPsec menggunakan algoritma hashing untuk memastikan bahwa paket tidak diubah antara sumber dan tujuan.
- Otentikasi asal – IPsec menggunakan protokol Internet Key Exchange (IKE) untuk mengotentikasi sumber dan tujuan. Metode otentikasi termasuk menggunakan kunci yang dibagikan sebelumnya (kata sandi), sertifikat digital, atau sertifikat RSA.
- Diffie-Hellman – Pertukaran kunci yang aman biasanya menggunakan berbagai kelompok algoritma DH.
IPsec tidak terikat pada aturan khusus apa pun untuk komunikasi yang aman. Fleksibilitas kerangka kerja ini memungkinkan IPsec untuk dengan mudah mengintegrasikan teknologi keamanan baru tanpa memperbarui standar IPsec yang ada. Teknologi yang tersedia saat ini diselaraskan dengan fungsi keamanan khusus mereka. Slot terbuka yang ditunjukkan dalam kerangka IPsec pada gambar dapat diisi dengan salah satu pilihan yang tersedia untuk fungsi IPsec tersebut guna membuat asosiasi keamanan (SA) yang unik.
Fungsi keamanan tercantum dalam tabel
Fungsi IPsec | Deskripsi |
Protokol IPsec | Pilihan untuk Protokol IPsec termasuk Authentication Header (AH) atau Encapsulation Security Protocol (ESP). AH mengotentikasi paket Layer 3. ESP mengenkripsi paket Layer 3. Catatan: ESP+AH jarang digunakan karena kombinasi ini tidak akan berhasil melintasi perangkat NAT. |
Kerahasiaan | Enkripsi memastikan kerahasiaan paket Layer 3. Pilihannya termasuk Data Encryption Standard (DES), Triple DES (3DES), Advanced Encryption Standard (AES), atau Software-Optimized Encryption Algorithm (SEAL). Tidak ada enkripsi juga merupakan pilihan. |
Integritas | Memastikan bahwa data tiba tidak berubah di tujuan menggunakan algoritma hash, seperti message-digest 5 (MD5) atau Secure Hash Algorithm (SHA). |
Autentikasi | IPsec menggunakan Internet Key Exchange (IKE) untuk mengotentikasi pengguna dan perangkat yang dapat melakukan komunikasi secara mandiri. IKE menggunakan beberapa jenis otentikasi, termasuk nama pengguna dan kata sandi, kata sandi satu kali, biometrik, kunci yang dibagikan sebelumnya (PSK), dan sertifikat digital menggunakan algoritma Rivest, Shamir, dan Adleman (RSA). |
Diffie-Hellman | IPsec menggunakan algoritma DH untuk menyediakan metode pertukaran kunci publik bagi dua rekan untuk membuat kunci rahasia bersama. Ada beberapa grup yang berbeda untuk dipilih termasuk DH14, 15, 16 dan DH 19, 20, 21 dan 24. DH1, 2 dan 5 tidak lagi direkomendasikan. |
Gambar tersebut menunjukkan contoh SA untuk dua implementasi yang berbeda. SA adalah blok bangunan dasar IPsec. Saat membuat tautan VPN, rekan harus berbagi SA yang sama untuk menegosiasikan parameter pertukaran kunci, membuat kunci bersama, mengotentikasi satu sama lain, dan menegosiasikan parameter enkripsi. Perhatikan bahwa SA Contoh 1 tidak menggunakan enkripsi.
IPsec Security Association Examples
Enkapsulasi Protokol IPSec
Memilih enkapsulasi protokol IPsec adalah blok bangunan pertama dari kerangka kerja. IPsec mengenkapsulasi paket menggunakan Authentication Header (AH) atau Encapsulation Security Protocol (ESP). Pilihan AH atau ESP menentukan blok bangunan lain yang tersedia.
- AH hanya sesuai jika kerahasiaan tidak diperlukan atau diizinkan. Ini memberikan otentikasi dan integritas data, tetapi tidak memberikan kerahasiaan data (enkripsi). Semua teks diangkut tanpa enkripsi.
- ESP menyediakan kerahasiaan dan otentikasi. Ini memberikan kerahasiaan dengan melakukan enkripsi pada paket IP. ESP menyediakan otentikasi untuk paket IP dalam dan header ESP. Otentikasi menyediakan otentikasi asal data dan integritas data. Meskipun enkripsi dan otentikasi keduanya opsional di ESP, minimal, salah satunya harus dipilih.
Confidentiality
Kerahasiaan dicapai dengan mengenkripsi data, seperti yang ditunjukkan pada gambar. Tingkat kerahasiaan tergantung pada algoritma enkripsi dan panjang kunci yang digunakan dalam algoritma enkripsi. Jika seseorang mencoba meretas kunci melalui serangan brute force, jumlah kemungkinan untuk mencoba adalah fungsi dari panjang kunci. Waktu untuk memproses semua kemungkinan adalah fungsi dari kekuatan komputer dari perangkat penyerang. Semakin pendek kuncinya, semakin mudah untuk dipatahkan. Kunci 64-bit dapat memakan waktu sekitar satu tahun untuk dipecahkan dengan komputer yang relatif canggih. Kunci 128-bit dengan mesin yang sama dapat memakan waktu sekitar 1019 atau 10 triliun tahun untuk didekripsi.
Algoritme enkripsi yang disorot dalam gambar semuanya adalah kriptosistem kunci simetris.
- DES menggunakan kunci 56-bit dan harus dihindari.
- 3DES adalah varian dari DES 56-bit. Ini menggunakan tiga kunci enkripsi independen 56-bit per blok 64-bit, yang memberikan kekuatan enkripsi yang jauh lebih kuat daripada DES. DES secara komputasi membebani dan tidak lagi dianggap aman.
- AES adalah algoritma enkripsi simetris yang paling direkomendasikan. Ini memberikan keamanan yang lebih kuat daripada DES dan secara komputasi lebih efisien daripada 3DES. AES menawarkan tiga panjang kunci yang berbeda: 128 bit, 192 bit, dan 256 bit.
- SEAL adalah stream cipher, yang berarti mengenkripsi data secara terus menerus daripada mengenkripsi blok data. SEAL menggunakan kunci 160-bit dan dianggap sangat aman.
Integrity
Integritas data berarti data yang diterima sama persis dengan data yang dikirim. Secara potensial, data dapat disadap dan dimodifikasi. Misalnya, pada gambar, asumsikan bahwa cek sebesar $100 ditulis ke Alex. Cek tersebut kemudian dikirimkan ke Alex, tetapi dicegat oleh aktor ancaman. Pelaku ancaman mengubah nama di cek menjadi Jeremy dan jumlah di cek menjadi $1.000 dan mencoba menguangkannya. Bergantung pada kualitas pemalsuan dalam cek yang diubah, penyerang bisa berhasil.
Karena data VPN diangkut melalui internet publik, metode pembuktian integritas data diperlukan untuk menjamin bahwa konten tidak diubah. Hash-based Message Authentication Code (HMAC) adalah algoritma integritas data yang menjamin integritas pesan menggunakan nilai hash. Gambar tersebut menyoroti dua algoritma HMAC yang paling umum.
Catatan: Cisco sekarang menilai SHA-1 sebagai warisan dan merekomendasikan setidaknya SHA-256 untuk integritas.
- Message-Digest 5 (MD5) menggunakan kunci rahasia 128-bit. Pesan dengan panjang variabel dan kunci rahasia 128-bit digabungkan dan dijalankan melalui algoritma hash HMAC-MD5. Outputnya adalah hash 128-bit. MD5 tidak lagi aman harus dihindari.
- Secure Hash Algorithm (SHA) menggunakan kunci rahasia 160-bit. Pesan dengan panjang variabel dan kunci rahasia 160-bit digabungkan dan dijalankan melalui algoritma HMAC-SHA-1. Outputnya adalah hash 160-bit. SHA-256 atau lebih tinggi dianggap aman.
Authentication
Saat melakukan bisnis jarak jauh, Anda harus tahu siapa yang ada di ujung telepon, email, atau faks. Hal yang sama berlaku untuk jaringan VPN. Perangkat di ujung lain tunnel VPN harus diautentikasi sebelum jalur komunikasi dianggap aman. Gambar tersebut menyoroti dua metode otentikasi rekan.
- A pre-shared secret key (PSK) yang dibagikan sebelumnya dimasukkan ke setiap rekan secara manual. PSK digabungkan dengan informasi lain untuk membentuk kunci otentikasi. PSK mudah dikonfigurasi secara manual, tetapi tidak dapat diskalakan dengan baik, karena setiap peer IPsec harus dikonfigurasi dengan PSK dari setiap peer lain yang berkomunikasi dengannya.
- Autentikasi Rivest, Shamir, dan Adleman (RSA) menggunakan sertifikat digital untuk mengautentikasi rekan-rekan. Perangkat lokal memperoleh hash dan mengenkripsinya dengan kunci pribadinya. Hash terenkripsi dilampirkan ke pesan dan diteruskan ke ujung jarak jauh dan bertindak seperti tanda tangan. Di ujung jarak jauh, hash terenkripsi didekripsi menggunakan kunci publik ujung lokal. Jika hash yang didekripsi cocok dengan hash yang dihitung ulang, tanda tangan itu asli. Setiap rekan harus mengotentikasi rekan lawannya sebelum tunnel dianggap aman.
Gambar tersebut menunjukkan contoh autentikasi PSK. Di perangkat lokal, kunci otentikasi dan informasi identitas dikirim melalui algoritma hash untuk membentuk hash untuk rekan lokal (Hash_L). Otentikasi satu arah dibuat dengan mengirimkan Hash_L ke perangkat jarak jauh. Jika perangkat jarak jauh dapat secara mandiri membuat hash yang sama, perangkat lokal diautentikasi. Setelah perangkat jarak jauh mengautentikasi perangkat lokal, proses autentikasi dimulai dengan arah yang berlawanan, dan semua langkah diulang dari perangkat jarak jauh ke perangkat lokal.
PSK Authentication
Gambar tersebut menunjukkan contoh autentikasi RSA. Di perangkat lokal, kunci autentikasi dan informasi identitas dikirim melalui algoritma hash untuk membentuk hash untuk rekan lokal (Hash_L). Kemudian Hash_L dienkripsi menggunakan kunci enkripsi pribadi perangkat lokal. Ini menciptakan tanda tangan digital. Tanda tangan digital dan sertifikat digital diteruskan ke perangkat jarak jauh. Kunci enkripsi publik untuk mendekripsi tanda tangan disertakan dalam sertifikat digital. Perangkat jarak jauh memverifikasi tanda tangan digital dengan mendekripsi menggunakan kunci enkripsi publik. Hasilnya adalah Hash_L. Selanjutnya, perangkat jarak jauh secara mandiri membuat Hash_L dari informasi yang disimpan. Jika Hash_L yang dihitung sama dengan Hash_L yang didekripsi, perangkat lokal diautentikasi. Setelah perangkat jarak jauh mengautentikasi perangkat lokal, proses autentikasi dimulai dengan arah yang berlawanan dan semua langkah diulang dari perangkat jarak jauh ke perangkat lokal.
RSA Authentication
Pertukaran Kunci yang Aman menggunakan diffie-Hellman
Algoritme enkripsi memerlukan kunci rahasia bersama yang simetris untuk melakukan enkripsi dan dekripsi. Bagaimana cara perangkat enkripsi dan dekripsi mendapatkan kunci rahasia bersama? Metode pertukaran kunci yang paling mudah adalah dengan menggunakan metode pertukaran kunci publik, seperti Diffie-Hellman (DH), seperti yang ditunjukkan pada gambar.
DH menyediakan cara bagi dua rekan untuk membuat kunci rahasia bersama yang hanya mereka ketahui, meskipun mereka berkomunikasi melalui saluran yang tidak aman. Variasi pertukaran kunci DH ditentukan sebagai grup DH:
- DH kelompok 1, 2, dan 5 tidak boleh digunakan lagi. Grup-grup ini mendukung ukuran kunci masing-masing 768 bit, 1024 bit, dan 1536 bit.
- Grup DH 14, 15, dan 16 menggunakan ukuran kunci yang lebih besar dengan masing-masing 2048 bit, 3072 bit, dan 4096 bit, dan direkomendasikan untuk digunakan hingga 2030.
- Grup DH 19, 20, 21 dan 24 dengan ukuran kunci masing-masing 256 bit, 384 bit, 521 bit, dan 2048 bit mendukung Elliptical Curve Cryptography (ECC), yang mengurangi waktu yang dibutuhkan untuk menghasilkan kunci. DH grup 24 adalah enkripsi generasi berikutnya yang lebih disukai.
Grup DH yang Anda pilih harus cukup kuat, atau memiliki bit yang cukup, untuk melindungi kunci IPsec selama negosiasi. Misalnya, DH grup 1 cukup kuat untuk mendukung enkripsi DES dan 3DES, tetapi tidak untuk AES. Misalnya, jika algoritma enkripsi atau otentikasi menggunakan kunci 128-bit, gunakan grup 14, 19, 20 atau 24. Namun, jika algoritma enkripsi atau otentikasi menggunakan kunci 256-bit atau lebih tinggi, gunakan grup 21 atau 24.