Pertemuan 11
Application Layer
Ø Client dan Server
Aplikasi jaringan secara umum terdiri atas dua bagian, yaitu: Client side dan Server side. Dimana Masing-masing bagian melakukan process secara terpisah. Process yang dimaksud misalnya: request, reply de-el-el.
Diantara client dengan server terdapat proses komunikasi. Adapun proses komunikasi yang terjadi dalam client server adalah:
1. Di dalam jaringan komunikasi dua buah processes dari dua buah terminal yang berbeda saling berinteraksi melalu jaringan.
2. Kedua processes tersebut berkomunikasi dengan cara mengirimkan dan menerima pesan.
3. Sebuah process mengirim dan menerima pesan ke jaringan melalui socket.
Ø Ilustrasi Socket
Karena socket merupakan interface / antar muka antara Application Layer dan Transport Layer di dalam sebuah host, maka Socket dapat juga disebut sebagai API (Application Programmer’s Interface).
Ø Pengalamatan
Agar sebuah process dapat berkomunikasi dengan process yang sama pada host yang lain, setiap process memiliki identifikasi berupa Port Number.
Ø Contoh:
HTTP à Port 80
FTP à Port 21 dan 22
SMTP à Port 25
Pertemuan 12
Introduction to Security
Pada bagian scurity yang kami bahas adalah bagian dalam presentasi kami yaitu IPSec(AH dan ESP)
Definisi IPSec adalah penyedia layanan sekuritas pada IP layer dengan mengizinkan sistem untuk memilih protokol keamanan yang diperlukan, memperkirakan algoritma apa yang akan digunakan pada layanan, dan menempatkan kunci kriptografi yang diperlukan untuk menyediakan layanan yang diminta. IPSec dapat digunakan untuk memproteksi satu atau lebih path antara sepasang Host, antara sepasang security gateway, atau antara security gateway dengan Host (istilah security gateway mengacu pada sistem intermediate yang menggunakan protokol IPSec, misalkan router dan firewall yang mengimplementasikan IPSec).
Cara Kerja IPSec :
IPSec menggunakan dua protokol untuk menyediakan layanan keamanan lalulintas yaitu Authentication Header (AH) and Encapsulating Security Payload (ESP). Implementasi IPSec harus mendukung ESP dan juga AH.
¨ Protokol AH menyediakan integritas hubungan, otentifikasi data asal dan layanan anti jawaban.
¨ Protokol ESP menyediakan kerahasiaan (enkripsi), dan pembatasan aliran lalulintas kerahasiaan. ESP juga menyediakan layanan integritas hubungan, otentifikasi data asal dan layanan anti jawaban.
¨ Kedua protokol ini merupakan pembawa kontrol akses berbasis distribusi kunci kriptografi dan manajemen aliran lalulintas relatif terhadap protokol keamanan.
Security Association
Security Association akan menjelaskan kebutuhan manajemen untuk implementasi Ipv6 dan implementasi Ipv4 yang mengimplementasikan AH, ESP atau keduanya. Konsep “Security Association” adalah pokok dari IPSec. Semua implementasi dari AH dan ESP harus mendukung konsep Security Association.
Definisi Scurity Association
Security Association adalah suatu hubungan simplex yang menghasilkan layanan keamanan lalulintas yang dibawanya. Layanan keamanan ini dihasilkan oleh SA dengan penggunaan AH atau ESP tapi bukan penggunaan keduanya. Jika proteksi AH dan ESP n diterapkan dalam aliran lalulintas, kemudian dua tau lebih SA di-create untuk menghasilkan proteksi dalam aliran lalulintas. Untuk mengamankan komunikasi dua arah antara dua Host, atau antara dua security gateway maka dibutuhkan dua SA (satu di masing-masing arah).
Menggabungkan Security Association
Security Association dapat digabungkan menjadi satu kemasan dengan dua cara, yaitu transport adjacency dan iterated tunneling.
- Transport Adjacency
Cara ini mengacu pada penggunaan lebih dari satu protokol security dalam datagram IP yang sama, tanpa melibatkan tunneling.
- Iterated Tunneling
Cara ini mengacu pada pengaplikasian multiple layer dari protokol security yang dipengaruhi melalui IP tunneling. Pendekatan ini membolehkan nesting yang multiple level, karena masing-masing tunnel dimulai dan diakhiri pada tempat IPSec yang berbeda sepanjang path (lintasan). Ada tiga basic kasus pada iterated tunneling, yaitu:
¨ Kedua ujung (endpoint) untuk SA adalah sama. Tunnel dalam atau tunnel luar keduanya dapat berupa AH atau ESP.
¨ Salah satu dari ujung SA adalah sama.
¨ Tidak ada ujung yang sama.
Kombinasi Dasar Security Association
Bagian ini membahas empat contoh kombinasi Security Association yang harus didukung oleh Host atau Security Gateway yang memenuhi IPSec. Kombinasi tambahan dari AH dan/atau ESP dalam mode tunnel dan/atau transport dapat disertakan tergantung pada pertimbangan pengimplemntasi (implementor). Implementasi yang mendukung harus mempunyai kemampuan membangkitkan keempat kombinasi dan juga harus dapat menerima dan memroses kombinasi apapun.
Diagram dibawah ini menunjukan kasus-kasus dasar:
Keterangan:
= = = = = satu atau lebih SA (AH atau ESP, transport atau tunnel)
- - - - = Hubungan
Hx = host x
SGx = Security Gateway x
X* = X yang mendukung IPSec
¨ kasus 1 : menyediakan security end-to-end antara 2 host melewati internet atau intranet
mode tunnel atau transport dapat dipilih oleh Host, jadi header paket antara H1 dan H2 dapat terlihat sebagai berikut:
Transport Tunnel
1. [IP1][AH][next] 4. [IP2][AH][IP1][next]
2. [IP1][ESP][next] 5. [IP2][ESP][IP1][next]
3. [IP1][AH][ESP][next]
jika diperhatikan tidak ada persyaratan untuk mendukung general nesting, tapi dalam mode transport, AH dan ESP dapat diterapkan bersama-sama ke dalam paket, prosedur penetapan SA harus memastikan ESP pertama, kemudian AH di terapkan pada paket.
ESP (Encapsulation Security Protocol)
Header protokol (Ipv4, Ipv6 atau ekstension) yang mendahului header ESP berisi nilai 50 dalam field protokol (Ipv4) atau header selanjutnya (Ipv6, Ekstension). Gambar dibawah mengilustrasikan format level atas dari paket ESP. Paket diawali dengan field 4-byte (SPI dan sequence number). Kemudian selanjutnya adalah payload data, yang Mempunyai substruktur bergantung pada pilihan algoritma enkripsi dan modenya, dan penggunaan dari TFC padding. Setelah payload data adalah padding danfield pad length dan field header selanjutnya. Kemudian dilengkapi dengan ICV (Integrity Check Value).
ESP Processing
¨ Transport Mode Processing
Dalam mode transport, ESP dimasukkan setelah header IP dan sebelum protokol layer berikutnya, seperti TCP, UDP, ICMP, dan lain-lain. Diagram berikut mengilustrasikan penempatan mode transport ESP untuk paket Ipv4.
¨ Tunnel Mode Processing
Dalam mode tunnel, header IP “inner” membawa alamat sumber dan tujuan. dalam mode tunnel, ESP melindungi seluruh paket IP inner, termasuk juga header IP inner. Posisi ESP dalam mode tunnel relatif terhada header IP outer, ini sama dengan ESP dalam mode transport. Diagram berikut mengilustrasikan posisi ESP dalam mode tunnel untuk paket IPv4 dan IPv6.
AH (Authentication Header)
¨ Authetication Header Processing :
- Mode Transport
Dalam mode transport AH dimasukkan setelah header IP dan sebelum protokol layer selanjutnya, seperti TCP, UDP, ICMP dan lain-lain. Atau sebelum header IPSec lain yang telah dimasukkan.
- Mode Tunnel
Dalam mode tunnel, header IP “inner” membawa alamat sumber dan tujuan IP, sedangkan header IP “outer” berisi alamat IPSec “peers”, seperti alamat Security gateway. Dalam mode tunnel, AH melindungi seluruh paket IP inner, meliputi seluruh header IP inner. Posisi AH dalam mode tunnel, relatif pada header IP outer, adalah sama seperi AH dalam mode transport.
Aplikasi
Contoh software yang yang digunakan untuk IP Security salah satunya adalah CIPE (Cryptographic IP Encapsulation).
CIPE (Cryptographic IP Encapsulation)
CIPE merupakan suatu software memberikan fasilitas bagi interkoneksi subnetwork yang aman (menghadapi eavesdropping, termasuk traffic analysis, dan faked message injection) melintasi jaringan paket yang tidak aman seperti Internet. CIPE mengenkripsi data pada level jaringan. Paket-paket yang berjalan antar host pada jaringan dienkripsi. Mesin enkripsi ditempatkan dekat driver yang mengirim dan menerima paket. CIPE dapat digunakan dalam tunnelling, dalam rangka menciptakan Virtual Private Network. Enkripsi level rendah memiliki keuntungan yaitu dapat dibuat transparan antar dua jaringan yang terhubung dalam VPN, tanpa merubah software aplikasi.
