bab 2 landasan teori 2.1 teori umum 2.1.1 jaringan...
TRANSCRIPT
9
BAB 2
LANDASAN TEORI
2.1 Teori Umum
2.1.1 Jaringan Komunikasi
2.1.1.1 Local Area Network (LAN)
Local Area Network (LAN) adalah suatu jaringan komunikasi yang
menghubungkan berbagai perangkat dan menyediakan suatu cara untuk
pertukaran informasi antara perangkat-perangkat tersebut (Stallings 2002,
p16).
2.1.1.1 Wide Area Network (WAN)
Wide Area Network (WAN) adalah suatu jaringan komunikasi data
yang meliputi area geografis yang relatif luas dan menggunakan fasilitas
transmisi yang disediakan oleh penyedia layanan jaringan, misalnya
perusahaan telepon (Downes, Ford, Lew, Spanier, dan Stevenson, 1998,
p45).
2.1.2 Model referensi OSI
Model ini diciptakan berdasarkan sebuah proposal yang dibuat oleh
International Standars Organization (ISO) sebagai langkah awal menuju
standarisasi protokol Internasional yang digunakan pada berbagai layer. Model ini
disebut ISO OSI (Open System Interconnection) Reference model karena model
ini ditunjukkan bagi penyambungan sistem terbuka (open system). System terbuka
10
dapat diartikan sebagai system yang terbuka untuk berkomunikasi dengan system
yang lainnya (Tanenbaum, pp27-32).
Gambar 2.1 Tampilan Layer OSI
Seperti dapat dilihat pada gambar 2.1 diatas, model OSI memiliki tujuh layer,
mulai dari layer terbawah :
a. Lapisan Fisik (Physical Layer)
Berfungssi dalam pengiriman row bit ke kanal komunikasi. Masalah yang
harus diperhatikan di sini adalah memastikan bahwa bila satu sisi mengirim 1
bit, maka data tersebut harus diterima disisi lainya sebagai 1bit pula.
11
b. Lapisan jalur data (Data link layer)
Tugas utama lapisan jalur data adalah sebagai fasilitas transmisi row data dan
mentransformasi data tersebut ke saluran yang bebas dari kesalahan
transmisi. Sebelum diteruskan ke network layer, datalink layer
memungkinkan pengirim memecah-mecah data input menjadi sejumlah data
frame (biasanya berjumlah ratusan atau ribuan byte). Kemudian data link
layer mentransmisikan frame tersebut secara berurutan, dan memperoses
acknowledgement frame yang dikirim kembali ke penerima.
c. Lapisan Jaringan (Network layer)
Lapisan jaringan berfungsi untuk pengendalian operasi subnet
d. Lapisan Transport (Transport layer)
Fungsi dasar lapisan transport adalah menerima data dari sesion layer, bila
perlu memecah data menjadi bagian-bagian yang lebih kecil, meneruskan
potongan data ke network layer, dan menjamin semua potongan-potongan
dapat sampai di sisi lainya dengan benar. Selain itu, semua hal tersebut harus
dilakukan secara efisien , dan bertujuan untuk dapat melindungi layer-layer
bagian atas dari perubahan teknologi perangkat keras yang tidak dapat
dihindari.
e. Lapisan sesi (Sesion Layer)
Lapisan sesi mengizinkan para pengguna untuk menetapkan session si antara
mereka. Sebuah session selain memungkinkan transport data biasa, seperti
yang dilakukan oleh Tansport layer, juga menyediakan layanan yang
istimewa untuk apikasi-aplikasi tertentu. Sebuah session digunakan untuk
memungkinkan seseorang pengguna melakukan log ke suatu remote time
12
sharing system atau untuk memindahkan file dari suatu mesin ke mesin
lainnya.
f. Lapisan Presentasi (Presentatuion layer)
Lapisan presentasi mealakukan fungsi-fungsi tertentu yang sering diminta
untuk menjamin penemauan sebuah penyelesaian umum bagi masalah
tertentu. Presentation layer tidak mengijinkan pengguna untuk menyelesaikan
sendiri suatu masalah. Tidak seperti layer-layer dibawanya yang hanya
melakukan pemindahan bit dari suatu tempat ke tempat lainnya, presentation
layer memperhatikan sintak dan semantik informasi yang dikirimnya. Contoh
layanan prentasi adalah pemngkodean data (data encoding) .
g. Lapisan Aplikasi (Application layer)
Lapisan aplikasi terdiri dari berbagai macam protokol yang diperlukan.
Misalnya terdapat ratuasan terminal yang kompatibel di seluruh dunia.
2.1.3 Model referensi TCP/IP
2.1.3.1 Definisi
Protokol TCP/IP merupakan protokol jaringan yang berasal dari
proyek DARPA (Development of Defense Advanced Research Project
Agency) di tahun 1970-an yang dikenal dengan nama ARPANET.
2.1.3.2 Layer-Layer TCP/IP
a. Network Access Layer
Disebut juga sebagai host-to-network layer. Layer ini
berhubungan dengan semua komponen, baik fisik maupun logic, yang
diperlukan untuk membangun hubungan secara fisik.
13
b. Internet Layer
Layer ini berfungsi untuk memberikan layanan dasar pengiriman
data. Salah satu protokol yang bekerja pada layer ini adalah IP (Internet
Protocol ) yang memiliki fungsi sebagai berikut:
• mentransfer data dari network access layer ke transport layer dan
sebaliknya.
• menangani datagram termasuk fragmentasi dan defragmentasi
• menangani skema pengalamatan yang digunakan dalam pertukaran
data
• menangani proses routing
c. Transport Layer (Host-to-host)
Layer ini berfungsi sebagai penghubung antara application layer
dan internet layer. Contohnya : UDP, TCP.
d. Application Layer
Adalah layer yang menangani masalah representasi, enkoding,
dan kontrol dialog. Pada model protokol TCP/IP maka aplikasi yang
dibuat dan berhubungan langsung dengan pemakai akan diletakkan di
sini. Contohnya : FTP, SMTP, HTTP, SNMP, DNS, dan lain-lain.
14
2.1.4 Topologi Jaringan
Dalam komunikasi data, topologi jaringan dapat diartikan sebagai cara
menghubungkan berbagai end-point yang terdapat dalam suatu jaringan. Beberapa
topologi yang umum digunakan dalam perancangan Local Area Network (LAN),
adalah topologi bus, ring, star, hierarchical, dan mesh.
2.1.4.1 Topologi Bus
Gambar 2.2 Skema Topologi Bus
Seperti yang dapat dilihat pada gambar 2.2, dalam topologi bus, setiap
terminal (PC) dihubungkan pada media transmisi linear (bus). Pengiriman
data dari salah satu terminal (PC) akan diteruskan melalui media transmisi
menuju semua terminal (PC) lainnya. Pada ujung dari setiap bus terdapat
sebuah terminator yang berfungsi meredam sinyal.
Dalam topologi ini, permasalahan utama yang mungkin dihadapi
adalah pada saat terjadi pengiriman data secara bersamaan oleh lebih dari
satu terminal (PC). Apabila dua terminal (PC) atau lebih mengirimkan data
pada saat yang bersamaan, maka sinyal yang dikirim akan tercampur.
15
2.1.4.2 Topologi Ring
W orkstation
W orkstationW orkstation
IBM Com patibleLaser printer
Gambar 2.3 Skema Topologi Ring
Pada topologi ring, jaringan terdiri dari sekumpulan repeater yang
terhubung satu sama lain dan membentuk suatu loop tertutup. Repeater
adalah suatu perangkat sederhana yang berfungsi untuk menguatkan sinyal
yang diterimanya. Setiap terminal (PC) terhubung dengan jaringan melalui
repeater dan transmisi data yang terjadi berupa transmisi satu arah (searah
atau berlawanan arah jarum jam). Pada saat data dikirim, frame data akan
berputar melalui loop melewati setiap terminal, dan terminal tujuan akan
mengenali alamat tujuan frame data tersebut kemudian menyalin frame ke
local buffer-nya. Lihat gambar 2.3 untuk lebih jelasnya.
16
2.1.4.3 Topologi Star
Gambar 2.4 Skema Topologi Star
Dalam topologi star, setiap terminal (PC) terhubung pada sebuah titik
sentral melalui point-to-point link. Titik sentral ini adalah sebuah perangkat
jaringan berupa sebuah hub atau switch. Jika titik sentral menggunakan hub,
maka data yang dikirimkan oleh salah satu terminal akan diteruskan oleh hub
tersebut menuju seluruh terminal lainnya. Selain itu, hanya satu stasiun yang
diperbolehkan untuk mengirimkan data pada suatu saat tertentu, jika tidak
dapat terjadi collision.
Jika titik sentral menggunakan switch, maka data yang dikirimkan
oleh salah satu terminal akan diteruskan oleh switch tersebut hanya kepada
terminal tujuan. Berbeda dengan penggunaan hub, dengan menggunakan
switch boleh terdapat lebih dari satu terminal yang mengirimkan data pada
suatu saat tertentu.
• Keuntungan topologi Star :
a. Keterandalan terbesar diantara topologi yang lain.
b. Mudah dikembangkan.
17
c. Keamanan data tinggi.
d. Kemudahan akses ke jaringan LAN yang lain.
• Kerugian topologi Star :
a. Lalu lintas yang padat dapat menyebabkan jaringan lambat.
b. Jaringan tergantung pada terminal pusat (dapat berupa komputer PC,
mini atau mainframe) yang merupakan bagian paling bertanggung
jawab terhadap pengaturan arah semua informasi.
2.1.4.4 Topologi Hierarchical / Tree
Gambar 2.5 Skema Topologi Hierarchical / Tree
Untuk topologi hierarchical adalah merupakan variasi dari topologi
bus, dimana media transmisinya dapat dicabangkan. Layout hierarchical
dimulai dari sebuah titik yang disebut headend.
2.1.4.5 Topologi Mesh
Dalam topologi mesh, setiap node dihubungkan dengan semua node
lainnya yang ada dalam jaringan tersebut. Tujuan utamanya adalah untuk
18
menyediakan sebanyak mungkin jalur cadangan apabila salah satu jalur
terputus.
2.1.5 Sistem Operasi Jaringan
Untuk mengelola suatu jaringan diperlukan adanya sistem operasi jaringan.
Sistem operasi jaringan dibedakan menjadi dua berdasarkan tipe jaringannya,
yaitu:
2.1.5.1 Jaringan Client – Server
Server adalah komputer yang menyediakan fasilitas bagi komputer-
komputer lain didalam suatu jaringan, sedangkan client adalah komputer-
komputer yang menerima atau menggunakan fasilitas yang disedikan oleh
server. Server jaringan bertipe client-server sering disebut dengan sebutan
dedicated server karena murni berperan sebagai server yang menyediakan
fasilitas kepada workstation dan server tersebut tidak dapat berperan sebagai
workstation.
2.1.5.2 Jaringan Peer To Peer
Server pada jaringan tipe peer to peer sering diistilahkan dengan
sebutan non-dedicated server, karena server tersebut tidak berperan sebagai
server murni melainkan sekaligus dapat berperan sebagai workstation.
Dengan kata lain, setiap komputer yang terhubung ke jaringan dapat
bertindak baik sebagai workstation maupun server.
19
2.1.6 Flowchart
Flowchart adalah suatu diagram aliran yang menggambarkan suatu proses
yang sedang dipelajari atau merencanakan tahap-tahap pelaksanaan proyek.
Symbol-simol flowchart sesuai dengan standar American National Standart
Institute (ANSI) antara lain:
Proses simbol
Simbol ini menandakan suatu operasi yang sedang terjadi dalam pemrosesan data.
Desisision symbol
Simbol ini menggambarkan keputusan yang arus dibuat dalam memproses data.
Flow line
Simbol ini menggambarkan arah proses pengolahan data
Terminal (start/end) symbol
Simbol ini digunakan untuk menggambarkan awal dan akhir dari suatu aktifitas.
YA
Tidak
20
2.2 Teori Khusus
2.2.1 Virtual Private Network
Menurut standar definisi dari Internet Engineering Task Force (IETF),
sebuah VPN adalah “sebuah emulasi dari sebuah WAN menggunakan jaringan
public IP, seperti internet atau private IP backbone.”
Dalam terminologi yang lebih sederhana, suatu VPN adalah perluasan dari
sebuah private internet melalui public network (internet) untuk memastikan
keamanan dan konektifitas yang hemat biaya antara koneksi. Perluasan Private
internet dibantu dengan private logical “tunnel”. Tunnel ini memungkinkan
koneksi kedua pihak untuk menukar data melalui suatu cara yang menyerupai
komunikasi point-to-point (Gupta, 2003). Gambar 2.6 menjelaskan struktur umum
jaringan VPN
Gambar 2.6 Susunan umum VPN.
Tujuan utama VPN ialah untuk memberikan perusahaan kemampuan yang
sama seperti private leased line dengan biaya yang lebih murah dengan
menggunakan infrastruktur publik. Perusahaan telepon telah lama menyediakan
21
suatu resource khusus untuk private shared. Virtual Private Network membuat
suatu protected sharing pada resource public.
2.2.2 Tipe-Tipe VPN
2.2.2.1 Remote Access VPN
Sesuai dengan namanya, Remote Access VPN menyediakan akses
kapan saja dengan akses jarak jauh, mobilitas, dan telekomunikasi
karyawan dari suatu organisasi kepada sumber daya jaringan perusahaan.
Secara khusus, permintaan akses jarak jauh (remote) dibutuhkan oleh para
pemakai yang secara konstan senantiasa bergerak atau oleh kantor cabang
kecil dan kantor cabang yang berjauhan (remote) yang kekurangan suatu
koneksi permanen kepada perusahaan. Dengan menerapkan Remote Access
VPN, para pemakai dan kantor cabang remote hanya harus menyediakan
dial-up koneksi lokal kepada ISP atau ISP's POP dan menghubungkan
kepada jaringan perusahaan melalui Internet.
2.2.2.2 Intranet VPN
Intranet VPN digunakan untuk menghubungkan kantor cabang dari suatu
organisasi kepada intranet perusahaan tersebut. Dalam suatu susunan
intranet, tanpa menggunakan teknologi VPN, masing-masing lokasi remote
harus dihubungkan pada intranet perusahaan (backbone router)
menggunakan router.
Sebagai tambahan, implementasi, pemeliharaan, dan manajemen backbone
intranet bisa merupakan suatu urusan yang mahal tergantung pada volume
lalu lintas jaringan dan luas geografis dari keseluruhan intranet. Sebagai
22
contoh, ongkos suatu intranet global dapat mencapai beberapa ribu dolar
per bulan! Semakin besar jangkauan intranet, semakin mahal biayanya.
2.2.2.3 Extranet VPN
Tidak seperti solusi intranet dan remote access-based VPN, Extranet VPN
tidak sepenuhnya terpisahkan dari "dunia luar". Sesungguhnya, Extranet
VPN mengijinkan akses ke sumber daya jaringan dikendalikan oleh pihak
eksternal, seperti mitra bisnis, pelanggan, dan para penyalur yang
memegang suatu peran utama dalam bisnis organisasi itu.
2.2.3 Komponen Keamanan VPN
2.2.3.1 Authentifikasi User dan Kendali Akses
Authentifikasi user dan kendali akses adalah dua langkah paling dasar
yang dapat diambil untuk mencegah ancaman keamanan dan mengamankan
data sensitif yang tersimpan dalam jaringan. Proses membuktikan identitas
pemakai dikenal sebagai authentifikasi user. Mengizinkan akses ke sumber
daya jaringan tertentu selagi menolak akses ke yang lain dikenal sebagai
kendali akses (Gupta, 2003).
Beberapa skema yang ada dalam proses authentifikasi antara lain :
• Login ID and password. Skema ini menggunakan sistem berdasarkan ID
login dan kata sandi (password) untuk memverifikasi identitas dari
pemakai yang mengakses node VPN.
23
• S/Key password. Dalam skema ini, pemakai menginisialisasi S/Key
dengan pemilihan suatu kata sandi rahasia dan suatu integer ‘n’. Integer
ini digunakan untuk menandakan seringnya suatu fungsi hash (sekarang
ini MD4) yang akan diberlakukan bagi kata sandi rahasia. Hasilnya
kemudian disimpan pada server yang yang bersesuaian itu. Ketika
pemakai mencoba untuk masuk (login), server mengeluarkan suatu
teguran. Perangkat lunak pada mesin klien pemakai memberikan sandi
rahasia, menerapkan iterasi n-1 pada fungsi hash, dan mengirimkannya
untuk menjawab teguran server tersebut. Server menerima fungsi hash
tersebut dan memberikan tanggapan. Jika hasilnya sama dengan nilai
yang disimpan lebih awal, maka pemakai dibuktikan keasliannya dengan
sukses. Pemakai diijinkan dimasuk ke jaringan, dan server menggantikan
nilai yang disimpan dengan tanggapan yang diperoleh dari klien dan
pengurangan counter kata sandi.
• Remote Access Dial-In User Service (RADIUS). Adalah suatu protokol
security intenet yang betul-betul didasarkan pada model client/server,
dimana mesin yang mengakses jaringan adalah klien dan server RADIUS
pada network-end membuktikan keaslian klien itu. biasanya, suatu server
RADIUS membuktikan keaslian seorang pemakai dengan menggunakan
suatu user name/password daftar internal.
• Two-factor token-based technique. Sesuai dengan namanya, skema ini
mengimplementasikan pengesahan rangkap dua (dual authentification)
untuk memverifikasi pemakai. Menggunakan kombinasi penggunaan dari
suatu token dan suatu kata sandi. selama proses pengesahan, sebuah alat
24
elekronik hardware-based bertindak sebagai tanda dan suatu identifikasi
unik, seperti Identification Number (PIN) yang digunakan sebagai
password, secara tradisional, token merupakan sebuah alat perangkat
keras(kemungkinan sebuah kartu), tetapi sekarang beberapa penjual kini
menawarkan software-based token.
Pengendalian hak akses juga merupakan suatu bagian integral
pengendalian akses. Ancaman keamanan dapat dikurangi lebih lanjut dengan
cara menyediakan hak akses terbatas untuk para pemakai. Sebagai contoh,
data dapat lebih dilindungi dengan membiarkan para pemakai normal untuk
hanya membaca data tersebut. Hanya para pemakai yang dipercaya dan
administrator yang dapat memiliki hak untuk tulis, memodifikasi, atau
menghapus data.
2.2.3.2 Enkripsi Data
Data encryption atau cryptography adalah salah satu komponen
terpenting dalam keamanan VPN dan memegang peran utama dalam
pengamanan data selama pemindahan. Cryptography adalah mekanisme
pengubahan data ke dalam suatu format tak terbaca, yang dikenal sebagai
ciphertext, sedemikian sehingga akses tidak sah kepada data dapat dicegah
ketika data dipindahkan melalui suatu media transmisi yang tak aman (Gupta,
2003).
Pada saat menerima pesan, penerima mendecrypts data kembali ke
format aslinya. Sekalipun ciphertext diinterupsi sepanjang transmisi, untuk
25
bisa menterjemahkannya pihak yang menginterupsi harus mengetahui metoda
yang digunakan dalam mengubah data sederhana ke dalam format acak
tersebut. Jika tidak, teks tersebut sia-sia. Model encryption tradisional ini
dilukiskan pada Gambar 3-2.
Gambar 2.7: Model encryption tradisional.
Pengirim dan penerima, bersama dengan proses encryption,
membentuk suatu cryptosystem. Suatu cryptosystem digolongkan berdasarkan
banyaknya kunci yang digunakannya. Suatu kunci dapat berupa suatu angka,
kata, atau bahkan suatu ungkapan yang digunakan untuk kepentingan
encryption dan decryption.
2.2.4 Tunneling
Tunneling merupakan suatu teknik penenkapsulasian seluruh paket data.
Aspek terpenting dari tunneling ialah paket data asli, atau disebut dengan payload,
bisa merupakan protokol yang berbeda. Daripada mentransfer paket asli, yang bisa
saja tidak dapat berjalan pada infrastruktur yang ada, pada header paket
ditambahkan protokol yang kompatibel. Header ini berfungsi agar paket bisa
dikirimkan dengan baik melalui infrastruktur yang ada (Gupta, 2003).
26
Ketika paket berjalan melalui tunneling menuju node tujuan, paket ini
melalui suatu jalur, yang disebut tunnel. Setelah sampai, penerima mengembalikan
paket ini ke format asal.
2.2.4.1 Komponen Tunneling
Untuk membuat suatu tunnel, ada komponen komponen tertentu, yaitu:
• Network target. Network yang mengandung sesuatu yang diperlukan
oleh remote client, yang memicu adanya VPN session request
• Node initiator. Remote client atau server yang menginginkan adanya
VPN session. Initiator node bisa merupakan bagian dari network lokal,
atau pengguna mobile yang menggunakan laptop
• HA (Home Agent). Software yang berada pada router network target.
HA menerima dan melakukan authentifikasi permintaan yang datang
untuk memastikan bahwa permintaan itu berasal dari orang orang yang
berkepentingan. Bila authentifikasi berhasil, HA mengizinkan adanya
tunneling
• FA (Foreign Agent). Software yang berada pada initiator node , ataupun
pada router. Initiator node menggunakan FA untuk meminta sesi VPN
dari HA pada network target
27
2.2.4.2 Protocol-Protocol Tunneling
Secara garis besar, ada tiga jenis protokol tunneling yang digunakan
dalam VPN (Gupta, 2003), antara lain:
• Carrier Protocol. Protokol ini digunakan untuk menentukan rute paket
yang melalui tunnel menuju tujuan yang diharapkan melalui suatu
internetwork. Paket yang melalui tunnel tersebut kemudian dienkapsulasi
dalam paket pada protokol ini. Karena harus menentukan rute paket
melalui internetwork yang heterogen, seperti Internet, protokol ini harus
secara luas didukung. Sebagai hasilnya, jika tunnel diciptakan melintasi
suatu internet, protokol pengangkut yang digunakan sebagian besar
adalah IP. Bagaimanapun, dalam kasus private intranet, protokol native
routing dapat juga bertindak sebagai carrier protokol.
• Encapsulating Protocol. Protokol ini digunakan untuk mengenkapsulasi
muatan asli. Sebagai tambahan, protokol enkapsulasi juga bertanggung
jawab untuk penciptaan, pemeliharaan, dan penghentian tunnel tersebut.
Sekarang ini, PPTP, L2TP, dan IPSEC adalah protokol enkapsulasi yang
biasa digunakan.
• Passenger Protocol. data asli yang diperlukan untuk kepentingan
enkapsulasi transmisi melalui tunneling pada protokol tersebut. PPP dan
SLIP (Serial Line Internet Protocol) biasanya digunakan Passenger
Protocol.
28
2.2.4.3 Keuntungan tunneling
• Simpel dan mudah untuk diimplementasikan. Tidak perlu untuk
mengubah infrastruktur yang sudah ada untuk melakukan teknologi
tunneling ini, yang membuat tunneling menjadi solusi yang sangat baik
untuk organisasi menengah ke atas
• Keamanan. Tunnel milik suatu organisasi tidak dapat diakses orang
orang yang tidak berkepentingan, sebagai hasilnya, data yang melewati
tunnel aman, walaupun data ditransmisikan melewati media publik,
seperti internet
• Efektifitas biaya. Tunneling menggunakan jaringan publik, seperti
internet untuk mentransfer data ke tujuan. Inilah yang membuat tunneling
merupakan solusi biaya yang efektif, apalagi bila dibandingan dengan
biaya untuk mengimplementasikan intranet khusus yang melalui leased
line.
• Protocol indifference. Data yang berasal dari protokol yang non-
routable, seperti Network Basic Input/Output System (NetBIOS), dan
NetBIOS Enhanced User Interface (NetBEUI) yang tidak kompatibel
dengan protokol internet (TCP/IP) dapat ditransfer menggunakan
tunneling.
29
2.2.5 Point-to-Point Protocol (PPP)
2.2.5.1 Deksripsi
PPP adalah suatu protokol enkapsulasi yang memudahkan
transportasi lalu lintas jaringan melalui penhubung point-to-point serial.
Keuntungan PPP yang paling utama adalah bahwa PPP dapat beroperasi
pada Data Terminal Equipment (DTE) yang manapun atau Data
Connection Equipment (DCE) mencakup EIA/TIA-232-C dan ITU-T V.35.
Point lain bahwa PPP tidak membatasi transmisi rate. Selama transmisi,
satu-satunya pembatasan transmission-based dikenakan oleh DCE/DTE
yang merupakan penghubung digunakan (interface). Akhirnya, satu-
satunya kebutuhan PPP adalah ketersediaan dari koneksi duplex (dua-jalur),
dimana baik sinkronisasi maupun tak sinkronisasi dan dapat beroperasi
dalam suatu switch atau dedicated mode (Gupta, 2003).
Di samping enkapsulasi IP dan data non-IP dan mentransportasinya melalui
link serial, PPP juga bertanggung jawab untuk fungsi berikut :
• Tugas dan manajemen pengalamanatan IP menuju ke non-IP
datagrams.
• Kofigusasi dan tersting dari link yang dibangun.
• Asynchronous and synchronous enkapsulasi dari datagram.
• Pendeteksian kesalahan selama transmisi.
• Multiplexing dari layer 2 network protokol yang beraneka ragam.
30
• Negosiasi pemilihan parameter konfigurasi, seperti kompresi data dan
pengalamatan.
2.2.5.2 Operasi pada PPP
Sesuai dengan gambar 2.8 dibawah, operasi ppp dilaksanakan dengan cara
berikut:
1. Setelah paket data dienkapulasi, source (initiator) node mengirimkan
Link Control Protocol (LCP) frame melalui point-to-point
menghubungkan node tujuan.
2. Frame ini digunakan untuk mengkonfigurasi links per parameter yang
ditetapkan dan menguji link yang telah dibentuk, jika diperlukan.
3. Setelah node tujuan menerima permintaan koneksi dan suatu link
dengan sukses dibentuk, fasilitas opsional dirundingkan, jika ditetapkan
oleh LCP.
4. source node kemudian mengirim Network Control Protocol (NCP)
frame untuk memilih dan mengkonfigurasi Network-layer Protocol.
5. Setelah yang diperlukan Network-Layer Protocol telah dikonfigurasi,
keduanya memulai menukarkan data.
31
Gambar 2.8 Penentuan link PPP dan pertukaran data
2.2.6 Point-to-Point Tunneling Protocol (PPTP)
PPTP adalah suatu solusi kepemilikan yang memungkinkan transfer data
yang aman antara suatu remote client dan suatu server perusahaan dengan cara
menciptakan suatu VPN melalui suatu internetwork yang berbasiskan IP. yang
dikembangkan Oleh, konsorsium PPTP (Microsoft Corporation, Ascend
Communications, 3COM, US Robotics, and ECI Telematics), PPTP memfasilitasi
pemintan transmisi VPNs melalui jaringan internetworks yang tidak aman. PPTP
tidak hanya memfasilitasi transmisi yang aman melaui internetwork publik yang
berbasisikan TCP/IP, tetapi juga melalui intranet private (Gupta, 2003).
Dua perwujudan yang memiliki suatu peran utama di dalam kesuksesan PPTP
dalam menjamin/mengamankan koneksi jarak jauh. Ini meliputi:
• Penggunaan PSTN (Public Switched Telephone Networks). PPTP
mengijinkan penggunaan PSTN untuk implementasi VPN. Sebagai hasilnya,
32
proses pengembangan VPN menjadi sederhana dan biaya total implementasi
menjadi sangat kecil. Alasan untuk ini sangat sederhaan dimana kebutuhan
akan solusi konektifitas yang berdasarkan leased line dan komunikasi antar
server dihapuskan.
• Mendukung protokol Non-IP. Walaupun diperuntukkan untuk jaringan IP-
base, PPTP juga mendukung protokol jaringan lain, seperti TCP/IP, IPX,
NetBEUI, dan NetBIOS . Oleh karena itu, PPTP telah terbukti sukses di
dalam pengembangan VPNs melaui sebuah private LAN seperti di dalam
pengembangan VPNs melalui jaringan publik.
PPTP adalah suatu perluasan logical dari PPP. PPTP tidak merubah
teknologi dasar PPP. PPTP hanya menggambarkan suatu cara baru dalam
mentransportasi lalu lintas PPP melalui jaringan publik internetworks yang tidak
aman. Mirip dengan PPP, PPTP juga tidak mendukung hubungan paralel. Semua
PPTP hanya mendukung koneksi point-to-point. Sebagai tambahan, PPP
memenuhi fungsi berikut dalam transaksi PPTP-base:
• Membuat dan mengakhiri koneksi fisik antara pihak yang berkomunikasi.
• Authentifikasi PPTP klien.
• Enkripsi IPX, NetBEUI, NetBIOS, dan TCP/IP datagrams untuk
menciptakan PPP datagrams dan menjamin pertukaran data antar user yang
berhubungan .
33
2.2.6.1 PPTP Processes
PPTP mengerjakan tiga proses untuk pengamanan PPTP-base melalui
media yang tidak aman. Proses ini adalah:
• PPP-based connection establishment
• Connection control
• PPTP tunneling and data transfer
Setelah suatu koneksi fisik berbasis PPP dibentuk antar PPTP-klien dan
PPTP-server, koneksi control PPTP dijalankan, seperti ditunjukkan pada
gambar 2.9. Koneksi kendali PPTP dibentuk berdasarkan pada alamat IP
pada PPTP klien dan server, dimana menggunakan suatu alokasi dinamis
port TCP dan nomor port TCP 1723, berturut-turut. Setelah kontrol koneksi
dibentuk, control dan manajemen pesan bertukar pesan antara peserta yang
berkomunikasi. Pesan ini bertanggung jawab untuk pemeliharaan,
manajemen, dan penghentian tunnel PPTP. Pesan ini meliputi transmisi
berkala dari "PPTP-Echo-Request, PPTP-Echo-Reply" pesan yang
membantu mendeteksi suatu kegagalan konektifitas antara PPTP server
dan klien itu.
34
Gambar 2.9 Pertukaran pesan control PPTP melalui koneksi PPP
Seperti dilukiskan pada Gambar 2.10, pesan control PPTP dienkapsulasi
TCP datagrams. Oleh karena itu, setelah pembentukan dari suatu koneksi
PPP dengan server remote atau klien, suatu koneksi TCP dibentuk. Koneksi
ini digunakan untuk menukar pesan kontrol PPTP.
Gambar 2.10 PPTP mengendalikan datagram TCP
Suatu data paket PPTP mengalami berbagai langkah-langkah enkapsulasi,
yang meliputi berikut:
1. Enkapsulasi data. informasi yang asli (payload) dienkripsi dan
kemudian dienkapsulasi di dalam suatu frame PPP. Suatu header
dimasukkan dalam frame tersebut
35
2. Enkapsulasi frame. frame PPP kemudian dienkapsulasi didalam sebuah
modified Generic Routing Encapsulation (GRE). GRE header yang
dimodifikasi berisi suatu 4-byte Acknowledgement field dan suatu
Acknowledgemen bit yang bersesuaian memberitahu kehadiran dari
Acknowledgement field. Sebagai tambahan, Key field didalam frame
GRE digantikan dengan suatu 2-byte long field yang dinamakan
Payload length dan suatu 2-byte long field yang dinamakan Call ID.
Klien PPTP menetapkan field ini ketika menciptakan PPTP tunnel
3. Enkapsulasi paket-paket GRE. Berikutnya, suatu IP header
ditambahkan kepada PPP frame, Dimana dienkapsulasi di dalam paket
GRE. IP header Ini berisi alamat IP dari sumber klien PPTP dan server
tujuan.
4. Enkapsulasi Data Link layer. Seperti telah diketahui, PPTP merupakan
protokol tunneling layer 2. Oleh karena itu, Data Link header and
trailer memiliki peran penting dalam tunneling data. Sebelum
ditempatkan pada medium transmisi, Data Link Layer menambahkan
header dan trainer miliknya ke dalam kepada datagram tersebut. Jika
datagram harus berjalan sepanjang suatu PPTP tunnel lokal, datagram
dienkapsulasi dengan suatu teknologi-LAN (seperti Ethernet) header
dan trailer. Pada sisi lain, jika tunnel dibawa melalui sebuah hubungan
WAN, header dan trailer ditambahkan kembali sekali lagi ke dalam
datagram PPP.
36
Gambar 2.11 Proses data tunneling pada PPTP
Manakala data PPTP ditransfer dengan sukses kepada penerima yang
diharapkan, penerima harus memproses paket yang ditunnel untuk
mengekstrak data yang asli. Pemrosesan dari pengekstrakan data PPTP-
tunneled persisnya merupakan kebalikan dari tunneling data PPTP. Seperti
yang ditunjukkan di dalam Gambar 2.12, dalam rangka mendapat kembali
data yang asli pada node PPTP penerima mengikuti langkah-langkah ini:
• Penerima akhir memproses dan memindahkan Data link header dan
trailer yang ditambahkan oleh pengirim.
• Berikutnya, GRE header dipindahkan.
• IP header diproses dan dipindahkan.
• PPP header diproses dan dipindahkan.
• Akhirnya, informasi yang asli didekripsikan (jika diperlukan).
37
Gambar 2.12 Processing PPTP-tunneled data at the recipient end
2.2.6.2 PPTP Security
PPTP menawarkan berbagai macam service keamanan build-in kepada
klien dan server PPTP. Servis keamanan ini meliputi :
a. Enskripsi data
PPTP tidak menghasilkan suatu mekanisme enskripsi built-in untuk
mengamankan data. Sebagai gantinya service enskripsinya
ditawarkan oleh PPP. PPP menggunakan Microsoft Point-to-Point
Encryption (MPPE), yang mana didasarkan pada metode shared-
secret encryption.
Shared-secret digunakan untuk encryption pada kasus PPP didalam
user ID dan password. 40-Bit session key yang digunakan untuk
mengenkripsi user ID dan password yang dihasilkan dari algoritma
38
hash yang disimpan pada kedua klien dan server. Algoritma hash
yang digunakan untuk menghasilkan kunci tersebut adalah RSA RC4.
Kunci ini digunakan untuk mengenkripsi semua data yang ditransfer
melalui tunnel tersebut. Bagaimanapun, suatu kunci 40-bit terlalu
pendek dan lemah untuk masa kini terhadap teknik hacking yang
tinggi. Oleh karena itu, suatu kunci 128-bit juga tersedia. Sebagai
tambahan untuk mengurangi resiko keamanan, Microsoft
merekomendasikan kunci diperbaharui setelah setiap paket ke 256th.
b. Authentifikasi
PPTP mendukung mekanisme authentifikasi Microsoft berupa PAP
dan MS-CHAP. Penjelasan lebih mendalam akan dibahas pada bagian
selanjutnya.
c. Kontrol akses
Setelah suatu klient PPTP remote sukses diauthentifikasi, aksesnya
kepada sumber daya di dalam jaringan boleh jadi terbatas untuk
kepentingan peningkatan keamanan. Sasaran ini dicapai dengan
mengimplementasi mekanisme kontrol akses seperti:
Hak akses(Access rights)
Permissions
Workgroup
d. Paket filtering
Paket filtering PPTP mengijinkan sutau server PPTP pada sebuah
private network untuk menerima dan merutekan paket hanya klien
PPTP yang telah berhasil diauthentifikasikan. Sebagai hasilnya, hanya
39
klien PPTP yang diberi hak dapat mengakses jaringan remote
tertentu.dalam cara ini,PPTP tidak hanya menghasilkan authentifikasi,
kontrol, akses dan mekanisme enskripsi, tapi juga meningkatkan
keamanan jaringan.
2.2.7 Layer 2 Tunneling Protocol (L2TP)
Dikembangkan Oleh Cisco Systems, L2TP juga diharapkan untuk
menggantikan IPSEC sebagai tunneling Protocol. Bagaimanapun, IPsec masih
menjadi protokol yang dominan untuk menjamin/mengamankan komunikasi dalam
Internet . L2TP adalah suatu kombinasi Layer 2 Forwarding (L2F) and PPTP dan
digunakan untuk Encapsulate Point-to-Point Protocol (PPP) frame untuk
dikirimkan melalui X.25, FR, and ATM networks (Gupta, 2003).
Manfaat kunci yang ditawarkan oleh L2TP, oleh karena itu, adalah suatu campuran
PPTP dan L2F . memiliki manfaat sebagai berikut:
• L2TP mendukung berbagai teknologi networking dan protokol, seperti IP,
ATM, FR, dan PPP. Sebagai hasilnya, L2TP dapat mendukung teknologi
yang berbeda dengan suatu infrastruktur akses umum.
• L2TP mengijinkan berbagai teknologi secara penuh intermediate access
infrastruktur. Dari Internet dan jaringan publik lain, seperti PSTNS.
• L2TP tidak memerlukan implementasi software tambahan, seperti driver
tambahan atau operating system suport. konsekwensinya, baik remote user
maupun private intranet harus menerapkan perangkat lunak khusus.
40
• L2TP mengijinkan para pemakai remote dengan IP pribadi untuk mengakses
suatu jaringan remote ke melalui suatu jaringan publik.
• L2TP Authentifikasi dan authentifikasi dilakukan oleh host network
gateway. Oleh karena itu, ISPs tidak harus melakukan user authentifikasi
database atau hak akses untuk para pemakai remote. Sebagai tambahan,
intranet pribasi dapat juga menggambarkan kebijakan keamanan dan akses
mereka sendiri. Ini membuat proses mebentukan tunnel lebih cepat dari
protokol taneling yang lebih awal.
2.2.8 Authentication Protocols
Untuk membuktikan keaslian pemakai yang sedang mencoba untuk
menciptakan suatu koneksi PPP , Windows 2000 mendukung banyak variasi dari
protokol authentifikasi PPP termasuk (Davies dan Lewis, 2004, pp21-22) :
• Password Authentication Protocol (PAP)
PAP merupakan authentifikasi yang paling sederhana dan protokol
authentifikasi dial-in yang paling umum diterapkan. PAP juga digunakan
untuk mengauthentifikasi koneksi PPP-base. Bagaimanapun, PAP mengirim
user ID dan password dalam format yang tidak dienskripsi. Oleh karena itu,
PAP tidak menawarkan perlindungan dari playback atau repeated trial dan
serangan error. lubang kecil lain dari PAP adalah antara node yang
komunikasi hanya diauthentifikasi sekali. Pada saat koneksi dibentuk.
Akibatnya, jika haker berhasil mengambil alih koneksi sekali, ia tidak perlu
cemas akan authentifikasi yang lebih lanjut . Oleh karena pertimbangan ini,
PAP merupakan protokol authentifikasi paling sederhana dan tidak
41
dianjurkan untuk mekanisme authentifikasi untuk VPNs.
• Challenge-Handshake Authentication Protocol (CHAP)
CHAP merupakan mekanisme authentifikasi berenkripsi yang menghindari
tramsisi dari password asli pada koneksi. Walaupun CHAP dianggap sebagai
pengembangan dari PAP karena data yang ditransmisikan sudah dienkripsi.
CHAP tidak dianggap sebagai solusi authentifikasi yang baik. Alasannya
ialah tidak ada autentifikasi pada client yang sedang berhubungan dengan
gateway sehingga suatu entitas yang tidak terpercaya dapat saja masuk.
CHAP juga termasuk pada Windows server 2000 untuk keperluan instalasi
serta troubleshooting , namun tidak direkomendasi untuk solusi autorisasi
user
• Microsoft Challenge Handshake Authentication Protocol (MS-CHAP)
MSCHAP merupakan metode authentifikasi berenkripsi seperti CHAP.
Perbedaan antara MS-CHAP dan CHAP ialah pada client dilakukan
authentifikasi. Sistem authentifikasinya berlangsung satu arah: Apakah
gateway mempercayai client yang terkoneksi kepadanya? bila ya, negosiasi
authorisasi dienkripsi dan selesai.
• MS-CHAP version 2 (MS-CHAP v2)
MS-CHAP v2 merupakan versi MS-CHAP yang mengalami perbaikan
metode authentifikasi yang menyediakan tingkat keamanan yang lebih baik
untuk pertukaran username dan password . Perbedaan antara MS-CHAP dan
MS-CHAP v2 ialah adanya mutual authentifikasi antara gateway dan client.
Gateway mempercayai server dan membuat enkripsi dari gateway ke client,
42
dan client mempercayai gateway dan membuat enkripsi yang sama pada arah
yang berlawanan. Karena inilah MS-CHAP v2 direkomendasikan sebagai
metode authentifikasi untuk VPN berbasiskan Microsoft.
• Extensible Authentication Protocol-Transport Level Protocol (EAP-TLS)
EAP merupakan metode authentifkasi baru dari PPP. EAP berbeda dari
metode authentifikasi yang lain karena pada fase authentifikasi EAP
sebenarnya tidak melakukan authentifikasi, EAP hanya melakukan negosiasi
metode authentifikasi EAP (EAP type) . authentifikasi yang sebenarnya
terjadi setelah itu. EAP merupakan metode yang direkomendasikan untuk
teknik keamanan yang kuat. EAP metode termasuk penggunaan certificates,
smart cards, serta solusi biometric untuk managemen identitas user.
Untuk, koneksi PPTP, maka harus menggunakan MS-CHAP, MS-CHAP
v2, atau EAP-TLS. Hanya tiga protokol pengesahan ini menyediakan suatu
mekanisme untuk menghasilkan enkripsi yang sama untuk kedua VPN klien dan
VPN server. MPPE menggunakan enckripsi ini untuk mengenkripsi semua data
PPTP dan mengiriminya melalui koneksi VPN. MS-CHAP dan MS-CHAP v2
adalah protokol pengesahan berbasiskan password.
Tanpa ketidakhadiran sertifikat pemakai (user certificates), Ms-Chap v2
lebih direkomendasikan karena adanya suatu protokol pengesahan lebih kuat
dibanding MS-CHAP dan menyediakan pengesahan timbal balik. Dengan
pengesahan timbal balik, VPN klien dibuktikan keasliannya oleh VPN server dan
VPN server dibuktikan keasliannya oleh VPN klien.