Keamanan Jaringan - Lapisan Jaringan

Kontrol keamanan lapisan jaringan telah sering digunakan untuk mengamankan komunikasi, terutama melalui jaringan bersama seperti Internet karena mereka dapat memberikan perlindungan untuk banyak aplikasi sekaligus tanpa mengubahnya.

Pada bab sebelumnya, kita membahas bahwa banyak protokol keamanan real-time telah berevolusi untuk keamanan jaringan yang memastikan prinsip dasar keamanan seperti privasi, otentikasi asal, integritas pesan, dan non-repudiation.

Sebagian besar protokol ini tetap fokus pada lapisan yang lebih tinggi dari tumpukan protokol OSI, untuk mengkompensasi kurangnya keamanan yang melekat pada Protokol Internet standar. Meskipun berharga, metode ini tidak dapat digeneralisasikan dengan mudah untuk digunakan dengan aplikasi apa pun. Misalnya, SSL dikembangkan secara khusus untuk mengamankan aplikasi seperti HTTP atau FTP. Tetapi ada beberapa aplikasi lain yang juga membutuhkan komunikasi yang aman.

Kebutuhan ini memunculkan solusi keamanan pada lapisan IP sehingga semua protokol lapisan yang lebih tinggi dapat memanfaatkannya. Pada tahun 1992, Internet Engineering Task Force (IETF) mulai mendefinisikan standar 'IPsec'.

Dalam bab ini, kita akan membahas bagaimana keamanan dicapai pada lapisan jaringan dengan menggunakan rangkaian protokol IPsec yang sangat populer ini.

Keamanan di Lapisan Jaringan

Skema apa pun yang dikembangkan untuk menyediakan keamanan jaringan perlu diterapkan pada beberapa lapisan dalam tumpukan protokol seperti yang digambarkan dalam diagram di bawah ini -

Lapisan Protokol Komunikasi Protokol Keamanan
Lapisan Aplikasi HTTP FTP SMTP PGP. S / MIME, HTTPS
Lapisan Transportasi TCP / UDP SSL, TLS, SSH
Lapisan Jaringan AKU P IPsec

Kerangka kerja populer yang dikembangkan untuk memastikan keamanan pada lapisan jaringan adalah Internet Protocol Security (IPsec).

Fitur IPsec

  • IPsec tidak dirancang untuk bekerja hanya dengan TCP sebagai protokol transport. Ia bekerja dengan UDP serta protokol lain di atas IP seperti ICMP, OSPF dll.

  • IPsec melindungi seluruh paket yang disajikan ke lapisan IP termasuk header lapisan yang lebih tinggi.

  • Karena header lapisan yang lebih tinggi disembunyikan yang membawa nomor port, analisis lalu lintas menjadi lebih sulit.

  • IPsec bekerja dari satu entitas jaringan ke entitas jaringan lainnya, bukan dari proses aplikasi ke proses aplikasi. Karenanya, keamanan dapat diadopsi tanpa memerlukan perubahan pada komputer / aplikasi pengguna individu.

  • Sulit digunakan secara luas untuk menyediakan komunikasi yang aman antara entitas jaringan, IPsec juga dapat menyediakan keamanan host-ke-host.

  • Penggunaan IPsec yang paling umum adalah menyediakan Jaringan Pribadi Maya (VPN), baik di antara dua lokasi (gateway-ke-gateway) atau antara pengguna jarak jauh dan jaringan perusahaan (host-ke-gateway).

Fungsi Keamanan

Fungsi keamanan penting yang disediakan oleh IPsec adalah sebagai berikut -

  • Kerahasiaan

    • Memungkinkan node yang berkomunikasi untuk mengenkripsi pesan.

    • Mencegah penyadapan oleh pihak ketiga.

  • Otentikasi asal dan integritas data.

    • Memberikan jaminan bahwa paket yang diterima sebenarnya dikirim oleh pihak yang diidentifikasi sebagai sumber di header paket.

    • Mengkonfirmasi bahwa paket belum diubah atau sebaliknya.

  • Manajemen kunci.

    • Memungkinkan pertukaran kunci yang aman.

    • Perlindungan terhadap jenis serangan keamanan tertentu, seperti serangan replay.

Jaringan Pribadi Maya

Idealnya, institusi mana pun menginginkan jaringan privatnya sendiri untuk komunikasi guna memastikan keamanan. Namun, mungkin sangat mahal untuk membangun dan memelihara jaringan pribadi semacam itu di wilayah yang tersebar secara geografis. Diperlukan untuk mengelola infrastruktur kompleks dari tautan komunikasi, router, DNS, dll.

IPsec menyediakan mekanisme yang mudah untuk mengimplementasikan Jaringan Pribadi Virtual (VPN) untuk institusi semacam itu. Teknologi VPN memungkinkan lalu lintas antar kantor institusi untuk dikirim melalui Internet publik dengan mengenkripsi lalu lintas sebelum memasuki Internet publik dan secara logis memisahkannya dari lalu lintas lain. Cara kerja VPN yang disederhanakan ditunjukkan pada diagram berikut -

Tinjauan IPsec

IPsec adalah kerangka kerja / rangkaian protokol untuk memberikan keamanan pada lapisan IP.

Asal

Pada awal 1990-an, Internet digunakan oleh beberapa institusi, kebanyakan untuk tujuan akademis. Namun dalam beberapa dekade kemudian, pertumbuhan Internet menjadi eksponensial karena perluasan jaringan dan beberapa organisasi menggunakannya untuk komunikasi dan tujuan lain.

Dengan pertumbuhan Internet yang masif, dikombinasikan dengan kelemahan keamanan yang melekat pada protokol TCP / IP, dirasakan kebutuhan akan teknologi yang dapat memberikan keamanan jaringan di Internet. Sebuah laporan berjudul "Keamanan dalam Arsitektur Internet" dikeluarkan oleh Dewan Arsitektur Internet (IAB) pada tahun 1994. Laporan tersebut mengidentifikasi area utama untuk mekanisme keamanan.

IAB menyertakan otentikasi dan enkripsi sebagai fitur keamanan penting di IPv6, IP generasi berikutnya. Untungnya, kemampuan keamanan ini ditentukan sedemikian rupa sehingga dapat diimplementasikan dengan IPv4 saat ini dan IPv6 futuristik.

Kerangka keamanan, IPsec telah didefinisikan dalam beberapa 'Permintaan untuk komentar' (RFC). Beberapa RFC menetapkan beberapa bagian dari protokol, sementara yang lain menangani solusi secara keseluruhan.

Operasi Dalam IPsec

Rangkaian IPsec dapat dianggap memiliki dua operasi terpisah, bila dilakukan secara bersamaan, menyediakan satu set lengkap layanan keamanan. Kedua operasi ini adalah Komunikasi IPsec dan Pertukaran Kunci Internet.

  • Komunikasi IPsec

    • Ini biasanya terkait dengan fungsionalitas IPsec standar. Ini melibatkan enkapsulasi, enkripsi, dan hashing pada datagram IP dan menangani semua proses paket.

    • Ini bertanggung jawab untuk mengelola komunikasi sesuai dengan Asosiasi Keamanan (SA) yang tersedia yang dibentuk antara pihak yang berkomunikasi.

    • Ia menggunakan protokol keamanan seperti Authentication Header (AH) dan Encapsulated SP (ESP).

    • Komunikasi IPsec tidak terlibat dalam pembuatan kunci atau pengelolaannya.

    • Operasi komunikasi IPsec sendiri biasa disebut dengan IPsec.

  • Internet Key Exchange (IKE)

    • IKE adalah protokol manajemen kunci otomatis yang digunakan untuk IPsec.

    • Secara teknis, manajemen kunci tidak penting untuk komunikasi IPsec dan kunci dapat dikelola secara manual. Namun, manajemen kunci manual tidak diinginkan untuk jaringan besar.

    • IKE bertanggung jawab untuk membuat kunci untuk IPsec dan menyediakan otentikasi selama proses pembentukan kunci. Padahal, IPsec dapat digunakan untuk protokol manajemen kunci lainnya, IKE digunakan secara default.

    • IKE mendefinisikan dua protokol (Oakley dan SKEME) untuk digunakan dengan kerangka kerja manajemen kunci yang telah ditentukan Internet Security Association Key Management Protocol (ISAKMP).

    • ISAKMP tidak spesifik untuk IPsec, tetapi menyediakan kerangka kerja untuk membuat SA untuk protokol apa pun.

Bab ini terutama membahas komunikasi IPsec dan protokol terkait yang digunakan untuk mencapai keamanan.

Mode Komunikasi IPsec

Komunikasi IPsec memiliki dua mode fungsi; moda transportasi dan terowongan. Mode ini dapat digunakan dalam kombinasi atau digunakan satu per satu, bergantung pada jenis komunikasi yang diinginkan.

Moda transportasi

  • IPsec tidak merangkum paket yang diterima dari lapisan atas.

  • Header IP asli dipertahankan dan data diteruskan berdasarkan atribut asli yang ditetapkan oleh protokol lapisan atas.

  • Diagram berikut menunjukkan aliran data di stack protokol.

  • Batasan moda transportasi adalah tidak ada layanan gateway yang dapat disediakan. Itu dicadangkan untuk komunikasi point-to-point seperti yang digambarkan pada gambar berikut.

Mode Terowongan

  • Mode IPsec ini menyediakan layanan enkapsulasi bersama dengan layanan keamanan lainnya.

  • Dalam operasi mode terowongan, seluruh paket dari lapisan atas dienkapsulasi sebelum menerapkan protokol keamanan. Header IP baru ditambahkan.

  • Diagram berikut menunjukkan aliran data di stack protokol.

  • Mode terowongan biasanya dikaitkan dengan aktivitas gateway. Enkapsulasi memberikan kemampuan untuk mengirim beberapa sesi melalui satu gateway.

  • Komunikasi mode terowongan tipikal seperti yang digambarkan pada diagram berikut.

  • Sejauh titik akhir diperhatikan, mereka memiliki koneksi lapisan transport langsung. Datagram dari satu sistem yang diteruskan ke gateway dienkapsulasi dan kemudian diteruskan ke gateway jarak jauh. Gerbang terkait jarak jauh menghilangkan enkapsulasi data dan meneruskannya ke titik akhir tujuan di jaringan internal.

  • Dengan menggunakan IPsec, mode tunneling dapat dibuat antara gateway dan sistem akhir individu juga.

Protokol IPsec

IPsec menggunakan protokol keamanan untuk menyediakan layanan keamanan yang diinginkan. Protokol ini adalah jantung dari operasi IPsec dan yang lainnya dirancang untuk mendukung protokol ini di IPsec.

Asosiasi keamanan antara entitas yang berkomunikasi dibuat dan dipelihara oleh protokol keamanan yang digunakan.

Ada dua protokol keamanan yang ditentukan oleh IPsec - Authentication Header (AH) dan Encapsulating Security Payload (ESP).

Header Otentikasi

Protokol AH menyediakan layanan integritas data dan otentikasi asal. Ini secara opsional melayani resistensi replay pesan. Namun, itu tidak memberikan bentuk kerahasiaan apa pun.

AH adalah protokol yang menyediakan otentikasi baik semua atau sebagian dari isi datagram dengan penambahan header. Header dihitung berdasarkan nilai di datagram. Bagian mana dari datagram yang digunakan untuk kalkulasi, dan di mana menempatkan header, bergantung pada kerjasama mode (tunnel atau transport).

Pengoperasian protokol AH ternyata sangat sederhana. Ini dapat dianggap mirip dengan algoritma yang digunakan untuk menghitung checksum atau melakukan pemeriksaan CRC untuk deteksi kesalahan.

Konsep di balik AH adalah sama, kecuali bahwa alih-alih menggunakan algoritme sederhana, AH menggunakan algoritme hashing khusus dan kunci rahasia yang hanya diketahui oleh pihak yang berkomunikasi. Asosiasi keamanan antara dua perangkat disiapkan yang menentukan detail ini.

Proses AH melalui tahapan berikut.

  • Ketika paket IP diterima dari tumpukan protokol atas, IPsec menentukan Asosiasi Keamanan (SA) terkait dari informasi yang tersedia dalam paket; misalnya, alamat IP (sumber dan tujuan).

  • Dari SA, setelah diidentifikasi bahwa protokol keamanan adalah AH, parameter header AH dihitung. Header AH terdiri dari parameter berikut -

  • Kolom header menentukan protokol paket setelah header AH. Sequence Parameter Index (SPI) diperoleh dari SA yang ada antar pihak yang berkomunikasi.

  • Nomor Urutan dihitung dan dimasukkan. Angka-angka ini memberikan kemampuan opsional kepada AH untuk menahan serangan replay.

  • Data otentikasi dihitung secara berbeda tergantung pada mode komunikasi.

  • Dalam mode transportasi, perhitungan data otentikasi dan perakitan paket IP akhir untuk transmisi digambarkan dalam diagram berikut. Pada header IP asli, perubahan hanya dilakukan pada nomor protokol 51 ke aplikasi AH yang ditunjukkan.

  • Dalam mode Tunnel, proses di atas berlangsung seperti yang digambarkan pada diagram berikut.

Protokol Keamanan Enkapsulasi (ESP)

ESP menyediakan layanan keamanan seperti kerahasiaan, integritas, otentikasi asal, dan resistansi pemutaran ulang opsional. Rangkaian layanan yang diberikan bergantung pada opsi yang dipilih pada saat pembentukan Asosiasi Keamanan (SA).

Di ESP, algoritme yang digunakan untuk enkripsi dan menghasilkan pengautentikasi ditentukan oleh atribut yang digunakan untuk membuat SA.

Proses ESP adalah sebagai berikut. Dua langkah pertama serupa dengan proses AH seperti yang disebutkan di atas.

  • Setelah ditentukan bahwa ESP terlibat, bidang paket ESP dihitung. Susunan bidang ESP digambarkan dalam diagram berikut.

  • Proses enkripsi dan otentikasi dalam mode transportasi digambarkan dalam diagram berikut.

  • Untuk mode Tunnel, proses enkripsi dan otentikasi seperti yang digambarkan dalam diagram berikut.

Meskipun otentikasi dan kerahasiaan adalah layanan utama yang disediakan oleh ESP, keduanya opsional. Secara teknis, kita dapat menggunakan enkripsi NULL tanpa otentikasi. Namun, dalam praktiknya, salah satu dari keduanya harus diterapkan untuk menggunakan ESP secara efektif.

Konsep dasarnya adalah menggunakan ESP ketika seseorang menginginkan otentikasi dan enkripsi, dan menggunakan AH ketika seseorang menginginkan otentikasi yang diperpanjang tanpa enkripsi.

Asosiasi Keamanan di IPsec

Security Association (SA) adalah dasar dari komunikasi IPsec. Fitur SA adalah -

  • Sebelum mengirim data, koneksi virtual dibuat antara entitas pengirim dan entitas penerima, yang disebut "Asosiasi Keamanan (SA)".

  • IPsec menyediakan banyak opsi untuk melakukan enkripsi dan otentikasi jaringan. Setiap koneksi IPsec dapat memberikan enkripsi, integritas, keaslian, atau ketiga layanan tersebut. Saat layanan keamanan ditentukan, kedua entitas peer IPsec harus menentukan dengan tepat algoritme mana yang akan digunakan (misalnya, DES atau 3DES untuk enkripsi; MD5 atau SHA-1 untuk integritas). Setelah memutuskan algoritme, kedua perangkat harus berbagi kunci sesi.

  • SA adalah sekumpulan parameter komunikasi di atas yang menyediakan hubungan antara dua atau lebih sistem untuk membangun sesi IPsec.

  • SA pada dasarnya sederhana dan karenanya diperlukan dua SA untuk komunikasi dua arah.

  • SA diidentifikasi oleh nomor Indeks Parameter Keamanan (SPI) yang ada di header protokol keamanan.

  • Entitas pengirim dan penerima memelihara informasi negara tentang SA. Ini mirip dengan titik akhir TCP yang juga memelihara informasi negara. IPsec berorientasi pada koneksi seperti TCP.

Parameter SA

Setiap SA secara unik diidentifikasi oleh tiga parameter berikut -

  • Indeks Parameter Keamanan (SPI).

    • Ini adalah nilai 32-bit yang ditetapkan ke SA. Ini digunakan untuk membedakan antara SA yang berbeda yang berakhir di tujuan yang sama dan menggunakan protokol IPsec yang sama.

    • Setiap paket IPsec membawa header yang berisi kolom SPI. SPI disediakan untuk memetakan paket yang masuk ke SA.

    • SPI adalah nomor acak yang dibuat oleh pengirim untuk mengidentifikasi SA kepada penerima.

  • Destination IP Address - Ini bisa menjadi alamat IP dari router akhir.

  • Security Protocol Identifier - Ini menunjukkan apakah pengaitannya adalah AH atau ESP SA.

Contoh SA antara dua router yang terlibat dalam komunikasi IPsec ditunjukkan pada diagram berikut.

Database Administratif Keamanan

Pada IPsec, terdapat dua database yang mengontrol pemrosesan datagram IPsec. Salah satunya adalah Security Association Database (SAD) dan yang lainnya adalah Security Policy Database (SPD). Setiap titik akhir yang berkomunikasi menggunakan IPsec harus memiliki SAD dan SPD yang terpisah secara logis.

Database Asosiasi Keamanan

Dalam komunikasi IPsec, titik akhir memegang status SA dalam Database Asosiasi Keamanan (SAD). Setiap entri SA dalam database SAD berisi sembilan parameter seperti yang ditunjukkan pada tabel berikut -

Sr.No. Parameter & Deskripsi
1

Sequence Number Counter

Untuk komunikasi keluar. Ini adalah nomor urut 32-bit yang disediakan di header AH atau ESP.

2

Sequence Number Overflow Counter

Menetapkan tanda opsi untuk mencegah komunikasi lebih lanjut yang menggunakan SA tertentu

3

32-bit anti-replay window

Digunakan untuk menentukan apakah paket AH atau ESP yang masuk adalah replay

4

Lifetime of the SA

Waktu sampai SA tetap aktif

5

Algorithm - AH

Digunakan di AH dan kunci terkait

6

Algorithm - ESP Auth

Digunakan di bagian autentikasi header ESP

7

Algorithm - ESP Encryption

Digunakan dalam enkripsi ESP dan informasi kuncinya yang terkait

8

IPsec mode of operation

Moda transportasi atau terowongan

9

Path MTU(PMTU)

Setiap unit transmisi maksimum jalur yang diamati (untuk menghindari fragmentasi)

Semua entri SA di SAD diindeks oleh tiga parameter SA: Alamat IP tujuan, Pengenal Protokol Keamanan, dan SPI.

Database Kebijakan Keamanan

SPD digunakan untuk memproses paket keluar. Ini membantu dalam memutuskan entri SAD apa yang harus digunakan. Jika tidak ada entri SAD, SPD digunakan untuk membuat yang baru.

Setiap entri SPD akan berisi -

  • Pointer ke SA aktif diadakan di SAD.

  • Bidang pemilih - Bidang dalam paket masuk dari lapisan atas yang digunakan untuk memutuskan penerapan IPsec. Penyeleksi dapat menyertakan alamat sumber dan tujuan, nomor port jika relevan, ID aplikasi, protokol, dll.

Datagram IP keluar pergi dari entri SPD ke SA tertentu, untuk mendapatkan parameter pengkodean. Datagram IPsec masuk sampai ke SA yang benar secara langsung menggunakan SPI / DEST IP / Protocol triple, dan dari sana mengekstrak entri SAD terkait.

SPD juga dapat menentukan lalu lintas yang harus melewati IPsec. SPD dapat dianggap sebagai filter paket di mana tindakan yang diputuskan adalah aktivasi proses SA.

Ringkasan

IPsec adalah seperangkat protokol untuk mengamankan koneksi jaringan. Ini adalah mekanisme yang agak rumit, karena alih-alih memberikan definisi langsung dari algoritme enkripsi dan fungsi otentikasi tertentu, ini menyediakan kerangka kerja yang memungkinkan implementasi dari apa pun yang disetujui oleh kedua ujung komunikasi.

Authentication Header (AH) dan Encapsulating Security Payload (ESP) adalah dua protokol komunikasi utama yang digunakan oleh IPsec. Sementara AH hanya mengotentikasi, ESP dapat mengenkripsi dan mengautentikasi data yang dikirim melalui koneksi.

Mode Transportasi menyediakan koneksi aman antara dua titik akhir tanpa mengubah header IP. Mode Tunnel merangkum seluruh paket IP payload. Ia menambahkan header IP baru. Yang terakhir digunakan untuk membentuk VPN tradisional, karena menyediakan terowongan aman virtual di Internet yang tidak tepercaya.

Menyiapkan koneksi IPsec melibatkan semua jenis pilihan crypto. Otentikasi biasanya dibangun di atas hash kriptografi seperti MD5 atau SHA-1. Algoritma enkripsi adalah DES, 3DES, Blowfish, dan AES yang umum. Algoritme lain juga dimungkinkan.

Kedua titik akhir yang berkomunikasi perlu mengetahui nilai rahasia yang digunakan dalam hashing atau enkripsi. Kunci manual memerlukan entri manual dari nilai rahasia di kedua ujungnya, mungkin disampaikan oleh beberapa mekanisme out-of-band, dan IKE (Internet Key Exchange) adalah mekanisme canggih untuk melakukan ini secara online.