IP SECURITY

KEAMANAN IP 

Sebelum peluncuran Windows 2000, penggunaan IP Security (biasa disingkat untuk IPSec) pada sistem Windows selalu dibutuhkan pihak ketiga VPN (virtual private networking) perangkat lunak. Paket-paket ini sering sulit untuk menginstal, memperkenalkan driver jaringan khusus yang dapat mengganggu tingkat rendah driver jaringan. Ditujukan untuk akses remote user, sistem biasanya memiliki skema mereka sendiri otentikasi eksklusif dan antarmuka pengguna, yang disajikan tantangan dukungan. Singkatnya, sementara IPSec sebagai sebuah konsep sangat selera untuk administrator jaringan, biaya realistis yang tersedia IPSec implementasi Windows membatasi tingkat penyebaran nya.

IPSec diimplementasikan pada lapisan transport dalam OSI Reference Model untuk melindungi protokol IP dan protokol-protokol yang lebih tinggi dengan menggunakan beberapa kebijakan keamanan yang dapat dikonfigurasikan untuk memenuhi kebutuhan keamanan pengguna, atau jaringan. IPSec umumnya diletakkan sebagai sebuah lapsian tambahan di dalam stack protokol TCP/IP dan diatur oleh setiap kebijakan keamanan yang diinstalasikan dalam setiap mesin komputer dan dengan sebuah skema enkripsi yang dapat dinegosiasikan antara pengirim dan penerima. Kebijakan-kebijakan keamanan tersebut berisi kumpulan filter yang diasosiasikan dengan kelakuan tertentu. Ketika sebuah alamat IP, nomor port TCP dan UDP atau protokol dari sebuah paket datagram IP cocok dengan filter tertentu, maka kelakukan yang dikaitkan dengannya akan diaplikasikan terhadap paket IP tersebut.

Insinyur jaringan banyak yang mengalami pendarahan teknologi-tepi dari Windows solusi IPSec yang tersisa dengan rasa asam di mulut mereka. Menyebarkan teknologi VPN untuk akses remote pada Windows 9x dan NT 4.0 adalah sistem operasi yang menantang, dan ada sering jaringan-tingkat rintangan yang melibatkan melewati lalu lintas IPSec. Pada waktu Windows 2000 dirilis, sebagian besar organisasi telah menetap di sebuah solusi akses remote, dan fasilitas IPSec pergi sebagian besar belum terjamah. Hal ini sangat disayangkan. Dimasukkannya kebijakan IPSec pada Windows 2000 dan di atas telah sangat memperluas aplikasi praktis dari IPSec. Implementasi sebagai kebijakan sistem, sepenuhnya kompatibel dengan manajemen kebijakan kelompok dibahas dalam Bab 10, memungkinkan administrator domain untuk menyebarkan internal yang IPSec solusi dengan mudah. Namun, keanggotaan domain tidak prasyarat, dan IPSec dapat dengan mudah digunakan dalam lingkungan yang terdiri dari host yang menjalankan Windows 2000 dan di atas.

IPSec adalah protokol yang dirancang untuk memberikan solusi yang jelas dan didukung untuk keprihatinan integritas data dan kerahasiaan pada jaringan publik. Banyak protokol otentikasi yang lebih baik dan menerapkan opsi keamanan, tetapi penulis dari spesifikasi IPSec menyadari bahwa lapisan IP fasilitas keamanan dapat menyediakan metode untuk mengamankan semua protokol, tidak peduli bagaimana dasar. Jika Anda ingat lapisan model OSI, protokol IP beroperasi pada lapisan jaringan, lapisan transport di bawah. Oleh titik (dalam transaksi outbound), semua user-dipengaruhi data telah disusun ke dalam data


bingkai, keamanan sehingga pelaksanaan di tingkat ini mencakup semua. Di sisi penerima, pada saat data dikirimkan ke lapisan transport, tidak ada bukti aktivitas lapisan jaringan, sehingga protokol transport terus berfungsi sebagai mereka selalu miliki.

KEAMANAN IP

IPSec dapat beroperasi dalam berbagai mode, menyediakan layanan yang berbeda tergantung pada persyaratan aplikasi. Paling signifikan, IPSec dapat beroperasi pada lalu lintas melewati antara dua sistem dalam mode dikenal sebagai modus transportasi, atau dapat dikonfigurasi untuk membuat sambungan jaringan yang aman antara dua perangkat yang lain dapat melewati sistem jaringan lalu lintas melalui, dikenal sebagai modus terowongan. Kami akan berkonsentrasi diskusi kita pada mantan, meskipun yang paling spesifik berlaku untuk kedua pilihan. Dalam modus kedua, IPSec mendukung dua protokol terpisah untuk data mengamankan, AH (Authentication Header) dan ESP (Encapsulating Security Payload).

AH menyediakan integritas data dan autentikasi sumber dengan menandatangani seluruh paket, sedangkan ESP dapat menyediakan enkripsi dan / atau jasa integritas tetapi beroperasi hanya pada muatan paket. Sebagai tujuan dari rencana data yang paling keamanan untuk melindungi informasi sensitif dari yang ditangkap dari kawat, ESP cenderung menjadi lebih populer protokol IPSec untuk kemampuan enkripsi. AH bukan tanpa tujuan, namun. Misalnya, volume tinggi pengolahan pusat data mungkin lebih peduli bahwa menerima permintaan dari sumber yang valid dan tidak dirusak dengan dari apakah atau tidak orang lain telah melihat data.

Fasilitas penting terakhir dalam IPSec berkaitan dengan bagaimana sebuah sesi aman didirikan. Dalam rangka untuk AH dan ESP untuk menyediakan layanan mereka, kedua perangkat yang terlibat dalam transfer perlu menyepakati kunci yang sama dan setiap pilihan enkripsi atau integritas untuk digunakan. Fase ini koneksi IPSec ini biasanya ditangani oleh protokol (Internet Key Exchange) IKE. IKE menangani negosiasi integritas data dan kerahasiaan pilihan dan pembentukan kunci untuk mendukung mereka, dan menciptakan Aset asosiasi keamanan. Asosiasi keamanan mendefinisikan satu-arah transmisi karakteristik, sehingga untuk setiap protokol (AH dan / atau ESP), akan ada asosiasi keamanan dua, satu di setiap host. Setelah didirikan, ini asosiasi keamanan mendefinisikan properti untuk semua komunikasi antara kedua perangkat. Jika perangkat tidak dapat menyepakati kunci kriptografi yang umum digunakan untuk menandatangani atau mengenkripsi, koneksi akan gagal. Ini kontrol atas negosiasi kunci menyediakan fasilitas otentikasi IPSec. Pada Windows, kita dapat mengkonfigurasi salah satu dari tiga kontrol untuk pertukaran kunci untuk membangun otentikasi ini, mulai dari teknik berbagi rahasia sederhana untuk memungkinkan Pusat Kerberos Key Distribution untuk menentukan kunci.


BEKERJA DENGAN KEBIJAKAN IPSEC

Konfigurasi Windows IPSec adalah sangat fleksibel, seperti yang akan kita lihat dalam
beberapa halaman berikutnya. Untuk membantu administrator mendapatkan IPSec dan berjalan cepat, Microsoft menyediakan satu set standar kebijakan yang memberikan
tiga tingkat perlindungan yang berbeda dan dapat diterapkan dengan sedikit usaha.
Kami akan memulai pembicaraan kita dengan default, dan kemudian menyelidiki
kekuatan sebenarnya dari kebijakan IPSec dengan beberapa penciptaan kebijakan maju.
Akhirnya, kami akan menunjukkan lain digunakan untuk Windows IPSec dan membuat kebijakan yang tidak melakukan otentikasi atau enkripsi, tetapi berfungsi hanya sebagai
paket filter.


Pada sistem operasi Windows 2000, Windows XP, dan Windows Server 2003, kebijakan keamanan tersebut dibuat dan ditetapkan pada level domain Active Directory atau pada host individual dengan menggunakan snap-in IPSec Management dalam Microsoft Management Console (MMC). Kebijakan IPSec tersebut, berisi beberapa peraturan yang menentukan kebutuhan keamanan untuk beberapa bentuk komunikasi. Peraturan-peraturan tersebut digunakan ntuk memulai dan mengontrol komunikasi yang aman berdasarkan sifat lalu lintas IP, sumber lalu lintas tersebut dan tujuannya. Peraturan-peraturan tersebut dapat menentukan metode-metode autentikasi dan negosiasi, atribut proses tunneling, dan jenis koneksi.

Kekurangan & Kelebihan IPsec

Beberapa ahli telah melakukan analisis terhadap IPsec. Analisis yang dilakukanmerupakan usaha identifikasi kelebihan dan kelemahan IPsec (yang di antaranyamenghasilkan beberapa rekomendasi untuk perbaikan). 

Kelebihan IPsec :

1. IPsec dapat melindungi protokol apa pun yang berjalan di atas IP dan padamedium  apapun      yang dapat digunakan IP, sehingga IPsec merupakansuatu metode umum yang dapat menyediakan keamanan komunikasi melaluijaringan komputer .2. IPsec menyediakan keamanan secara transparan, sehingga dari sisi aplikasi,

user 

tidak perlu menyadari keberadaannya .3.  IPsec dirancang untuk memenuhi standar baru IPv6 tanpa melupakan IPv4 yangsekarang digunakan  .4.  Perancangan IPsec tidak mengharuskan penggunaan algoritma enkripsi atauhash tertentu sehingga jika algoritma yang sering digunakan sekarang telahdipecahkan, fungsinya dapat diganti dengan algoritma lain yang lebih sulitdipecahkan . 

Kelemahan IPsec:

1.  IPsec terlalu kompleks, penyediaan beberapa fitur tambahan denganmenambahkompleksitas yang tidak perlu .2.  Beberapa dokumentasinya masih mengandung beberapa kesalahan, tidak menjelaskanbeberapa penjelasan esensial, dan ambigu .3.  Beberapa algoritma

default

yang digunakan dalam IPsec telah dapatdipecahkan/dianggap4.  Tidak aman (misalnya DES yang dianggap tidak aman dan MD5 yang telahmulai berhasil diserang . Algoritma penggantinya telah tersedia danadministrator sistem sendiri yang harus memastikan bahwa merekamenggunakan algoritma lain untuk mendapatkan keamanan yang lebih tinggi .