7

BAB 2

LANDASAN TEORI

2.1 Teori Umum

2.1.1 Network

Network (Castelli 2004) adalah sebuah sistem jalur – jalur yang

saling terkoneksi, seperti jalur telepon untuk komunikasi atau rel – rel

kereta api bawah tanah untuk transportasi. Network di definisikan sebagai

sebuah kelompok dari komputer dan fungsional circuit yang berhubungan

dalam sebuah kontak yang spesifik.

2.1.2 OSI Model

Pada akhir tahun 1970, International Organization for

Standarization (ISO) membuat referensi Open System Interconnection

(OSI). Model OSI dimaksudkan untuk memberikan keseragaman antara

alat-alat jaringan (hardware) yang dikembangkan suatu perusahaan

dengan perusahaan yang lain.

Model OSI (Lammle 2004, p8) adalah model atau acuan

arsitektural utama untuk network yang mendeskripsikan bagaimana data

dan informasi network dikomunikasikan dari sebuah aplikasi di sebuah

komputer ke sebuah aplikasi di komputer lain melalui media seperti

kabel. Model OSI melakukan ini semua dengan menggunakan

pendekatan layer.

8

Salah satu fungsi terpenting dari spesifikasi OSI adalah

membantu terjadinya transfer data antar host yang berbeda. Sebagai

contoh, model OSI memungkinkan terjadinya transfer data di antara

komputer yang menggunakan Unix dan PC atau Mac.

Model OSI memiliki beberapa keuntungan antara lain :

Memungkinkan para vendor membuat alat-alat jaringan

yang standar.

Memungkinkan bermacam-macam perangkat keras dan

perangkat lunak untuk bisa saling berkomunikasi.

Mencegah perubahan di satu layer mempengaruhi layer

lainnya sehingga permasalahan seperti ini tidak menghambat

masalah development.

OSI terdiri atas tujuh layer (lapisan) yang terbagi menjadi dua grup. Tiga

layer teratas mendefinisikan bagaimana aplikasi-aplikasi berkomunikasi

satu sama lain dan bagaimana aplikasi berkomunikasi dengan user seperti

gambar 2.1. Gambar 2.2 adalah empat layer di bawahnya mendefinisikan

bagaimana data dipindahkan dari satu tempat ke tempat lain.

Gambar 2.1 Upper Layers

9

Gambar 2.2 Lower layers

1. Layer Physical

Layer physical berkomunikasi langsung dengan berbagai jenis

media komunikasi sesungguhnya. Beberapa menggunakan nada audio,

sementara yang lain menggunakan apa yang disebut state transition yaitu

perubahaan tegangan listrik dari rendah ke tinggi dan sebaliknya. Layer

physical menentukan kebutuhan listrik, mekanis, prosedural dan

fungsional mengaktifkan, mempertahankan dan menonaktifkan hubungan

fisik antar sistem.

2. Layer Data Link

Layer ini menyediakan transmisi fisik dari data dan menangani

notifikasi error, topologi jaringan dan flow control. Ini berarti akan

memastikan bahwa pesan – pesan akan terkirim melalui alat yang sesuai

di LAN menggunakan alamat perangkat keras (hardware address) dan

menerjemahkan pesan – pesan dari layer network menjadi bit – bit untuk

dipindahkan ke physical layer.

10

3. Layer Network

Layer network mengelola pengalamatan peralatan, melacak

lokasi peralatan dijaringan dan menentukan cara terbaik untuk

memindahkan data, artinya layer network harus mengangkut lalu lintas

antar peralatan yang tidak terhubung secara lokal. Router (yang adalah

peralatan layer 3) diatur di layer network dan menyediakan layanan

routing dalam sebuah internetwork.

Kejadiannya seperti berikut ini : pertama – tama, ketika sebuah

paket diterima disebuah interface router, alamat IP tujuan akan diperiksa.

Jika paket tidak ditujukan untuk router tersebut, router akan melakukan

pengecekan alamat network tujuan pada routing table yang dimilikinya.

Pada saat router memilih interface keluar untuk paket tersebut, paket

akan dikirimkan ke interface tersebut untuk dibungkus menjadi frame

data dan dikirimkan keluar ke jaringan lokal. Jika router tidak

menemukan entri untuk jaringan tujuan di routing table, router akan

membuang paket tersebut.

4. Layer Transport

Layer transport bertanggung jawab untuk menyediakan

mekanisme untuk multiplexing (multiplexing adalah teknik untuk

mengirimkan atau menerima beberapa jenis data yang berbeda sekaligus

pada saat bersamaan melalui satu media network saja) metode aplikasi –

aplikasi upper layer, membuat session, dan memutuskan rangkaian

virtual circuit, artinya koneksi atau hubungan yang terbentuk diantara

11

dua buah host dijaringan. Layer ini dapat bersifat connectionless atau

connection oriented.

5. Layer Session

Layer Session melakukan koordinasi komunikasi antar sistem –

sistem dan mengorganisasikan komunikasinya dengan menawarkan tiga

mode berikut: simplex, half-duplex, dan full duplex. Berikut ini beberapa

contoh protokol dan interface layer session (menurut Cisco) : NFS, SQL,

RPC, dan lain – lain.

6. Layer Presentation

Fungsi dari layer ini sesuai dengan namanya, menyiapkan data

ke layer application dan bertanggung jawab pada penerjemahan data dan

format kode (program).

Layer ini pada dasarnya adalah penerjemah dan melakukan

fungsi pengkodean dan konversi. Teknik transfer data yang berhasil

adalah dengan mengadaptasi data tersebut ke dalam format standar

sebelum dikirimkan. Komputer dikonfigurasi untuk menerima format

data yang standar atau generik ini untuk kemudian diubah kembali ke

bentuk aslinya untuk dibaca oleh aplikasi bersangkutan. Beberapa standar

layer presentation juga mencakup operasi multimedia. Standar - standar

berikut digunakan untuk mengatur presentasi grafis dan visual image :

JPEG, MIDI, MPEG, QuickTime, dan RTF.

12

7. Layer Application

Layer Application pada model OSI merupakan tempat dimana

user atau pengguna berinteraksi dengan komputer. Layer ini sebenarnya

hanya berperan ketika dibutuhkan akses ke network. Sebagai contoh

program Internet Explorer, Yahoo Messenger dan lain sebagainya.

Layer application bertindak sebagai interface antara program

aplikasi yang sebenarnya, di mana program aplikasi itu sendiri tidak

termasuk ke dalam struktur layer, dengan layer berikut di bawahnya.

Selain itu, layer application juga bertanggung jawab untuk

mengidentifikasikan dan memastikan keberadaan partner komunikasi

yang dituju serta menentukan apakah sumber daya komunikasi yang

dituju cukup tersedia.

2.1.3 TCP/IP Model

Referensi model DoD yang dibuat oleh Department of Defence.

Referensi model ini dikenal juga dengan Referensi model TCP / IP

(Transmission Control Protocol / Internet Protokol). TCP / IP terdiri dari

4 Layer, antara lain :

1. Layer Network Access

Layer Network Access referensi DoD adalah setingkat dengan

gabungan lapisan data link dan lapisan physical referensi model OSI

yang disebut lapisan bawah OSI. Protokol yang berfungsi pada lapisan

network access ini antara lain : Ethernet, Token Ring, dan FDDI. Layer

13

ini memonitor pertukaran data antara host dan jaringan. Layer ini

mengawasi pengalamatan secara hardware dan mendefinisikan protokol

untuk transmisi fisik data.

2. Layer Internet

Di dalam model DoD, terdapat dua alasan utama keberadaan

layer internet; routing dan penyediaan interface network tunggal ke

lapisan atas. Tanpa ini, programmer aplikasi harus menulis fungsi

spesifik ke setiap aplikasi untuk setiap protokol Network Access yang

berbeda. Ini tidak hanya menyulitkan, tapi juga akan membuat terjadinya

versi berbeda untuk setiap aplikasi - satu untuk ethernet, lainnya untuk

token ring, dan seterusnya.

Layer ini mengalokasikan protokol yang berhubungan dengan

transmisi logis sebuah paket ke seluruh network dan menjaga

pengalamatan host dengan memberikan alamat IP dan menangani routing

dari paket yang melalui beberapa network. Protokol yang ada pada layer

internet :

Internet Protocol (IP)

Internet Control Message Protocol (ICMP)

Address Resolution Protocol (ARP)

Reverse Address Resolution Protocol (RARP)

14

3. Layer Host to Host

Tujuan utama dari layer Host to Host yaitu melindungi upper

layer application dari kompleksitas network. Layer ini mengatakan pada

upper layer, “Berikan saja data stream anda, dengan instruksi apa pun

dan saya akan mulai proses menerima informasi Anda siap untuk

dikirim”.

Layer ini sejalan dengan fungsi layer transport pada OSI,

mendefinisikan protokol untuk mengatur level service transmisi untuk

aplikasi. Layer ini menangani masalah seperti menciptakan komunikasi

end-to-end (ujung ke ujung) yang andal dan memastikan data bebas dari

kesalahan saat pengiriman. Layer ini juga menangani paket yang

berurutan (packet sequencing) dan menjaga integritas data. Protokol yang

ada pada layer ini :

Transmission Control Protocol (TCP)

User Datagram Protocol (UDP)

4. Layer Application

Lapisan ini berhubungan langsung dengan pemakai. Layer

Application ini dapat disamakan dengan gabungan Layer application,

presentation dan session referensi model OSI. Aplikasi dan servis yang

umum digunakan, beberapa diantaranya:

Telnet

FTP (File Transfer Protocol), TFTP (Trivial File Transfer Protocol)

SMTP (Simple Mail Transfer Protocol)

15

SNMP (Simple Network Management Protocol)

DNS (Domain Name Service), dan lain sebagainya.

2.1.4 Jenis – Jenis Jaringan

Ada 3 Jenis jaringan utama yang digunakan sekarang ini :

a. Local-area network (LAN)

b. Metropolitan-area network (MAN)

c. Wide-area network (WAN)

2.1.4.1 Local-Area Network (LAN)

Local-Area Networks adalah sebuah jaringan komputer

yang menjangkau sebuah area geografis yang kecil, seperti

sebuah bangunan atau lantai pada sebuah bangun (Castelli,

2004). Sebuah LAN bisa terkoneksi dengan LAN lain secara

jarang jauh melalui media, seperti jalur telepon atau gelombang

radio.

2.1.4.2 Metropolitan-Area Network (MAN)

Metropolitan-Area Network adalah sebuah jaringan

data yang di design untuk sebuah kota (Castelli, 2004). Sebuah

MAN bisa dibangun sebagai service provider dan disewakan

antara banyak pelanggan atau sebuah perusahaan bisa

membangun private MAN sendiri. Dalam kaitan geografis,

MANs lebih besar daripada LANs, tetapi lebih kecil daripada

16

WANs. Karakteristik MANs biasanya konektifitas dengan

kecepatan tinggi menggunakan kabel fiber-optic atau media

digital lainnya dan sering digunakan perusahaan – perusahaan

dengan beberapa kantor yang terletak dalam kota yang sama.

Sebuah perusahaan dapat memperluas layanan LAN pada setiap

bangunan melewati area metropolitan dengan menggunakan

MAN untuk menghubungkan setiap kantor.

2.1.4.3 Wide-Area Network (WAN)

Suatu Wide-Area Network (WAN) adalah suatu

jaringan komputer yang luas yang mencakup wilayah yang

besar, seperti area yang melintasi beberapa negara (Castelli,

2004). Komputer-komputer yang terhubung dengan sebuah

WAN biasanya dihubungkan melalui jaringan publik, seperti

sistem telepon. Komputer-komputer juga dapat dihubungkan

melalui leased lines atau satelit, juga dari sebuah network

service provider.

2.1.5 Topologi Jaringan

Topologi jaringan menentukan struktur dari jaringan. Bentuk

topologi jaringan yang ada antara lain bus, star, ring, hierarchical, dan

mesh. Bentuk topologi-topologi ini ditunjukan pada gambar 2.3 berikut.

17

Gambar 2.3 Jenis - Jenis Topologi

2.1.5.1 Topologi Bus

Topologi Bus ditandai dengan adanya satu kabel

backbone (backbone line) menghubungkan komputer yang satu

dengan yang lain.

Topologi ini umumnya menggunakan kabel coaxial

dan tiap komputer menggunakan T-connector. Tiap ujung akhir

dari jaringan ini ditutup dengan terminator resistor. Karena

topologi bus ini merupakan kumpulan kabel, konektor, dan

terminator, tidak ada penguatan sinyal yang melewati kawat.

Topologi Bus mudah dipasang dan diperbesar sehingga

cocok untuk jaringan komputer yang sangat sederhana.

18

Kelemahannya adalah rentan terhadap kerusakan kabel,

konektor yang kendur.

2.1.5.2 Topologi Star

Topologi star ini menghubungkan semua komputer

terpusat pada suatu perangkat jaringan seperti hub atau switch.

Dimana Hub atau Switch berfungsi untuk menerima

sinyal-sinyal dari suatu komputer dan meneruskannya ke

komputer lain. Untuk Hub sedikit berbeda karena sinyal yang

diterima akan diteruskan ke semua komputer yang berhubungan

dengan Hub.

Jaringan dengan topologi Star lebih mahal dan sulit

dipasang karena setiap komputer harus dihubungkan ke suatu

hub atau switch, pemasangan kabel terutama untuk jumlah

pemakai yang besar sangat sulit dan sebaiknya dilakukan oleh

seorang ahli. Oleh karena masing – masing komputer memiliki

kabel sendiri, mencari kesalahan jaringan lebih mudah.

2.1.5.3 Topologi Ring

Jaringan dengan Topologi ring ini mirip dengan

topologi bus hanya ujung – ujungnya saling berhubungan

membentuk suatu lingkaran. Topologi ring ini diperkenalkan

oleh perusahaan IBM untuk mendukung protokol Token Ring

yang diciptakan oleh IBM.

19

Token bersikulasi dalam ring dan ketika suatu

komputer ingin mengirim data, komputer itu akan menunggu

hingga mendapat giliran token. Setelah mengirim data dan

menerima verifikasi dari komputer tujuan, komputer pengirim

akan membuat token baru lalu mengirimnya ke komputer

selanjutnya.

2.1.5.4 Topologi Mesh

Jaringan Mesh ini mempunyai jalur ganda / koneksi

redundan dari setiap peralatan di jaringan sebagai strategi

apabila terjadi kerusakan.

Makin banyak jumlah komputer dijaringan, semakin

sulit cara pemasangan kabel – kabel jaringan karena jumlah

kabel – kabel yang harus dipasang menjadi berlipat ganda.

Pada hybrid mesh (mesh tidak murni), hanya server –

server atau komputer – komputer penting yang dikonfigurasi

dengan koneksi redundan.

2.2 Teori Khusus

2.2.1 Pengertian Virtual Private Network

Virtual Private Network (Mason 2002, p5) adalah servis

konektifitas yang aman dan dapat diandalkan melalui suatu infrastruktur

jaringan umum (public network) seperti internet. VPN menjaga keamanan

dan pengaturan seperti halnya jaringan pribadi (private network).

20

Menurut Gupta 2003, Virtual Private Network (VPN) adalah

sebuah jaringan private Wide Area Network (WAN) menggunakan

fasilitas publik seperti internet. Secara sederhana, VPN adalah sebuah

perpanjangan dari jaringan private melalui sebuah jaringan umum yang

lebih aman dan biaya yang efektif untuk menghubungkan dua ujung yang

berkomunikasi.

2.2.2 Keuntungan dan Kerugian Virtual Private Network

2.2.2.1 Keuntungan VPN

VPN menawarkan banyak keuntungan antara lain :

Mengurangi biaya implementasi

Mengurangi biaya manajemen dan staf

Meningkatkan konektifitas

Transaksi yang aman

Penggunaan bandwidth yang lebih efektif

Mudah diperbesar / diperluas

2.2.2.2 Kerugian VPN

Kerugian VPN antara lain :

Bergantung penuh pada internet

Kurangnya dukungan terhadap protokol lama

21

2.2.3 Tipe - Tipe VPN

2.2.3.1 Remote Access VPN

Remote Access VPN menyediakan akses kapan saja

dengan akses jarak jauh, mobilitas, dan telekomunikasi

karyawan dari suatu organisasi kepada sumber daya jaringan

perusahaan. Khususnya, permintaan akses jarak jauh (remote)

dibutuhkan oleh para pemakai yang secara konstan senantiasa

bergerak atau oleh kantor cabang kecil dan kantor cabang yang

berjauhan yang kekurangan suatu koneksi permanen kepada

perusahaan. Dengan menerapkan Remote Access VPN, para

pemakai dan kantor cabang remote hanya harus menyediakan

dial-up koneksi lokal kepada ISP atau ISP’s POP dan

menghubungkan kepada jaringan perusahaan melalui internet.

2.2.3.2 Intranet VPN

Intranet VPN digunakan untuk menghubungkan kantor

cabang dari suatu organisasi kepada intranet perusahaan

tersebut. Dalam suatu susunan intranet, tanpa menggunakan

teknologi VPN, masing-masing lokasi remote harus

dihubungkan pada intranet perusahaan (backbone router)

menggunakan router.

Sebagai tambahan, implementasi, pemeliharaan, dan

manajemen backbone intranet bisa merupakan suatu urusan

22

yang mahal tergantung pada volume lalu lintas jaringan dan luas

geografis dari keseluruhan intranet.

2.2.3.3 Extranet VPN

Tidak seperti solusi intranet dan remote access-based

VPN, extranet VPN tidak sepenuhnya terpisahkan dari “dunia

luar”. Sesungguhnya, extranet VPN mengijinkan akses ke

sumber daya jaringan dikendalikan oleh pihak eksternal, seperti

mitra bisnis, pelanggan, dan para penyalur yang memegang

suatu peran utama dalam bisnis organisasi itu.

2.2.4 Persyaratan VPN

Syarat dari VPN adalah (Gupta 2003) :

Keamanan

Ketersediaan

Quality of Service (QoS)

Dapat diandalkan

Keseuaian

Dapat dikelola

23

2.2.5 Komponen Keamanan VPN

2.2.5.1 Autentikasi User dan Kontrol Akses

Autentikasi user dan kontrol akses adalah dua langkah

paling dasar yang dapat diambil untuk mencegah ancaman

keamanan dan mengamankan data sensitif dalam jaringan.

Proses membuktikan identitas pemakai dikenal sebagai

autentikasi user. Mengizinkan akses ke sumber daya jaringan

tertentu selagi menolak akses ke yang lain dikenal sebagai

kontrol akses (Gupta, 2003).

Beberapa proses autentikasi user antara lain :

Login ID and password. Menggunakan sistem berdasarkan

ID login dan kata sandi (password) untuk memverifikasi

identitas dari pemakai yang mengakses node VPN.

S/Key password. Pemakai menginisialisasi S/Key dengan

pemilihan suatu password dan suatu integer ‘n’. Integer ini

digunakan untuk menandakan seringnya suatu fungsi hash

(sekarang ini MD4) yang akan diberlakukan bagi password.

Hasilnya kemudian disimpan pada server yang yang

bersesuaian itu. Ketika pemakai mencoba untuk login,

server mengeluarkan suatu teguran. Software pada mesin

klien pemakai memberikan password, menerapkan iterasi

n-1 pada fungsi hash, dan mengirimkan-nya untuk

menjawab teguran server tersebut. Server menerima fungsi

24

hash tersebut dan memberikan tanggapan. Jika hasilnya

sama dengan nilai yang disimpan lebih awal, maka pemakai

dibuktikan keasliannya dengan sukses. Pemakai diijinkan

dimasuk ke jaringan, dan server menggantikan nilai yang

disimpan dengan tanggapan yang diperoleh dari client dan

mengurangi counter password.

Remote Access Dial-In User Service (RADIUS). Adalah

suatu protokol keamanan intenet yang didasarkan pada

model client/server, dimana mesin yang mengakses jaringan

adalah client dan server RADIUS pada network-end

membuktikan keaslian client itu. Biasanya, suatu server

RADIUS membuktikan keaslian seorang pemakai dengan

menggunakan suatu daftar username/password internal.

Two-factor token-based technique. Sesuai dengan

namanya, skema ini mengimplementasikan dual

authentication untuk memverifikasi pemakai. Menggunakan

kombinasi dari suatu token dan password. Selama proses

pengesahan, sebuah alat elekronik hardware-based

bertindak sebagai tanda dan suatu identifikasi unik, seperti

Identification Number (PIN) yang digunakan sebagai

password. Secara tradisional, token merupakan sebuah alat

perangkat keras (kemungkinan sebuah kartu), tetapi

25

sekarang beberapa vendor kini menawarkan software-based

token.

Pengendalian hak akses juga merupakan suatu bagian

yang penting. Ancaman keamanan dapat jauh dikurangi dengan

cara menyediakan hak akses terbatas untuk para pemakai.

Sebagai contoh, data dapat lebih dilindungi dengan membiarkan

para pemakai normal untuk hanya membaca data tersebut (read-

only). Hanya para pemakai yang terpercaya dan administrator

saja yang dapat memiliki hak untuk tulis, memodifikasi, atau

menghapus data.

2.2.5.2 Enkripsi Data

Data encryption atau cryptography adalah salah satu

komponen terpenting dalam keamanan VPN dan memegang

peran utama dalam pengamanan data selama pemindahan.

Cryptography adalah mekanisme pengubahan data ke dalam

suatu format tak terbaca, yang dikenal sebagai ciphertext,

sedemikian sehingga akses tidak sah kepada data dapat dicegah

ketika data dipindahkan melalui suatu media transmisi yang tak

aman (Gupta, 2003).

Pengenkripsian mencegah hal-hal seperti penangkapan

atau intersepsi, perubahan, dan pemalsuan data serta gangguan

pada jaringan.

26

Pada saat menerima pesan, penerima men-decrypt data

kembali ke format aslinya. Sekalipun ciphertext diinterupsi

sepanjang transmisi, untuk bisa menterjemahkannya pihak yang

menginterupsi harus mengetahui metoda yang digunakan dalam

mengubah data sederhana ke dalam format acak tersebut. Jika

tidak, teks tersebut sia-sia. Model encryption tradisional ini

dilukiskan pada gambar 2.4 dibawah ini :

Gambar 2.4 Model Enkripsi Tradisional.

Pengirim dan penerima, bersama dengan proses

encryption, membentuk suatu cryptosystem. Suatu cryptosystem

digolongkan berdasarkan banyaknya kunci yang digunakannya.

Suatu kunci dapat berupa suatu angka, kata, atau bahkan suatu

ungkapan yang digunakan untuk kepentingan encryption dan

decryption.

2.2.6 Tunneling

Tunneling merupakan komponen terpenting dalam teknologi

VPN. Tunneling dapat membuat jaringan maya / virtual melewati internet

dan jaringan umum lainnya. Jaringan virtual ini tidak dapat diakses oleh

27

sembarangan orang yang bukan bagian dari jaringan intra (intranet) suatu

organisasi.

Tunneling merupakan suatu teknik pengenkapsulasian seluruh

paket data. Aspek terpenting dari tunneling ialah paket data asli, atau

disebut dengan payload, bisa merupakan protokol yang berbeda.

Daripada mentransfer paket asli, yang bisa saja tidak dapat berjalan pada

infrastruktur yang ada, pada header paket ditambahkan protokol yang

kompatibel. Header ini berfungsi agar paket bisa dikirimkan dengan baik

melalui infrastruktur yang ada (Gupta, 2003).

Ketika paket berjalan melalui tunneling menuju node tujuan,

paket ini melalui suatu jalur, yang disebut tunnel. Setelah sampai,

penerima mengembalikan paket ini ke format asal.

Keuntungan tunneling antara lain :

Simpel dan mudah untuk diimplementasikan. Tidak perlu untuk

mengubah infrastruktur yang sudah ada untuk melakukan teknologi

tunneling ini, yang membuat tunneling menjadi solusi yang sangat

baik untuk organisasi menengah ke atas.

Keamanan. Tunnel milik suatu organisasi tidak dapat diakses orang-

orang yang tidak berkepentingan, sebagai hasilnya, data yang

melewati tunnel aman, walaupun data ditransmisikan melewati media

publik, seperti internet.

28

Efektifitas biaya. Tunneling menggunakan jaringan publik, seperti

internet untuk mentransfer data ke tujuan. Inilah yang membuat

tunneling merupakan solusi biaya yang efektif, apalagi bila

dibandingan dengan biaya untuk mengimplementasikan intranet

khusus yang melalui leased line.

Protocol indifference. Data yang berasal dari protokol yang

nonroutable, seperti Network Basic Input/Output System (NetBIOS),

dan NetBIOS Enhanced User Interface (NetBEUI) yang tidak

kompatibel dengan protokol internet (TCP/IP) dapat ditransfer

menggunakan tunneling.

2.2.6.1 Komponen Tunneling

Untuk membuat suatu tunnel, ada komponen-

komponen tertentu, yaitu:

Network target. Network yang mengandung sesuatu yang

diperlukan oleh remote client, yang memicu adanya VPN

session request.

Initiator Node. Remote client atau server yang

menginginkan adanya VPN session. Initiator node bisa

merupakan bagian dari network lokal, atau pengguna mobile

yang menggunakan laptop.

HA (Home Agent). Software yang berada pada router

network target. HA menerima dan melakukan autentikasi

permintaan yang datang untuk memastikan bahwa

29

permintaan itu berasal dari orang-orang yang

berkepentingan. Bila autentikasi berhasil, HA mengizinkan

adanya tunneling.

FA (Foreign Agent). Software yang berada pada initiator

node, ataupun pada router. Initiator node menggunakan FA

untuk meminta sesi VPN dari HA pada network target.

2.2.6.2 Protokol - Protokol Tunneling

Secara garis besar, ada tiga jenis protokol tunneling

yang digunakan dalam VPN (Gupta, 2003), antara lain:

Carrier Protocol. Protokol ini digunakan untuk menentukan

rute paket yang melalui tunnel menuju tujuan yang

diharapkan melalui suatu internetwork. Paket yang melalui

tunnel tersebut kemudian dienkapsulasi dalam paket pada

protokol ini. Karena harus menentukan rute paket melalui

internetwork yang heterogen, seperti internet, protokol ini

harus secara luas didukung. Sebagai hasilnya, jika tunnel

diciptakan melintasi suatu internet, protokol pengangkut

yang digunakan sebagian besar adalah IP. Bagaimanapun,

dalam kasus private intranet, protokol native routing dapat

juga bertindak sebagai carrier protokol.

Encapsulating Protocol. Protokol ini digunakan untuk

mengenkapsulasi muatan asli. Sebagai tambahan, protokol

30

enkapsulasi juga bertanggung jawab untuk penciptaan,

pemeliharaan, dan penghentian tunnel tersebut. Sekarang

ini, PPTP, L2TP, dan IPSEC adalah protokol enkapsulasi

yang biasa digunakan.

Passenger Protocol. data asli yang diperlukan untuk

kepentingan enkapsulasi transmisi melalui tunneling pada

protokol tersebut. PPP dan SLIP (Serial Line Internet

Protocol) biasanya digunakan Passenger Protocol.

2.2.7 Point to Point Protocol (PPP)

PPP adalah suatu protokol enkapsulasi yang memudahkan

transportasi lalu lintas jaringan melalui penghubung point-to-point serial.

Keuntungan PPP yang paling utama adalah bahwa PPP dapat beroperasi

pada Data Terminal Equipment (DTE) yang manapun atau Data

Connection Equipment (DCE) mencakup EIA/TIA-232-C dan ITU-T

V.35. Poin lain bahwa PPP tidak membatasi transmisi rate. Selama

transmisi, satu-satunya pembatasan transmission-based dikenakan oleh

DCE/DTE yang merupakan penghubung digunakan (interface).

Akhirnya, satu-satunya kebutuhan PPP adalah ketersediaan dari koneksi

duplex (dua-jalur), dimana baik sinkronisasi maupun tak sinkronisasi dan

dapat beroperasi dalam suatu switch atau dedicated mode (Gupta, 2003).

31

2.2.8 Point to Point Tunneling Protocol (PPTP)

PPTP adalah suatu solusi kepemilikan yang memungkinkan

transfer data yang aman antara suatu remote client dan suatu server

perusahaan dengan cara menciptakan suatu VPN melalui suatu

internetwork yang berbasiskan IP. Yang dikembangkan oleh, konsorsium

PPTP (Microsoft Corporation, Ascend Communications, 3COM, US

Robotics, and ECI Telematics), PPTP memfasilitasi pemintan transmisi

VPNs melalui jaringan internetworks yang tidak aman. PPTP tidak hanya

memfasilitasi transmisi yang aman melaui internetwork publik yang

berbasisikan TCP/IP, tetapi juga melalui intranet private (Gupta, 2003).

2.2.9 Layer 2 Forwarding (L2F)

L2F dibuat dengan tujuan utama (Gupta 2003) :

Memungkinkan transaksi aman.

Menyediakan akses melalui infrastruktur dari internet dan

internetworking umum lainnya.

Mendukung teknologi networking yang luas, seperti ATM, FDDI,

IPX, Net-BEUI, dan Frame Relay.

Selain yang diatas L2F juga memiliki kemajuan dalam akses

teknologi remote: tunnel L2F dapat mendukung lebih dari satu sesi

secara bersamaaan dengan tunnel yang sama.

32

2.2.10 Layer 2 Tunneling Protocol (L2TP)

Dikembangkan oleh Cisco Systems, L2TP juga diharapkan

untuk menggantikan IPSec sebagai tunneling protokol. Bagaimanapun,

IPsec masih menjadi protokol yang dominan untuk menjamin /

mengamankan komunikasi dalam Internet. L2TP adalah suatu kombinasi

Layer 2 Forwarding (L2F) and PPTP dan digunakan untuk Encapsulate

Point-to-Point Protocol (PPP) frame untuk dikirimkan melalui X.25, FR,

and ATM networks (Gupta, 2003).

2.2.11 Internet Protocol Security (IPSec)

IPSec mengacu pada sebuah protokol suite (AH, ESP, FIP-140-

1, dan standar yang lain) yang dikembangkan oleh Internet Engineering

Task Force (IETF). Tujuan utama dibalik pengembangam IPSec adalah

untuk menyediakan sebuah framework keamanan pada layer ketiga

(Network layer) dari OSI model.

Protokol keamanan IPSec menawarkan 3 kapabilitas utama :

Authentication and Data Integrity. IPSec menyediakan mekanisme

kuat untuk mengecek autentikasi dari pengirim dan

mengidentifikasi modifikasi yang tidak terdeteksi dari isi paket oleh

penerima. Protokol IPSec menawarkan proteksi kuat melawan

spoofing, sniffing and denial-of-service.

Confidentiality. Protokol IPSec mengenkripsi data menggunakan

teknik advanced cryptographic, dimana mencegah user yang tidak

33

memiliki hak untuk mengakses data ketika data dikirim. IPSec juga

menggunakan mekanisme tunneling untuk menyembunyikan alamat

IP ke dari sumber dan penerima dari diam-diam mendengar.

Key management. IPSec menggunakan protokol Internet Key

Exchange (IKE), untuk menegosiasikan protokol keamanan dan

algoritma enkripsi sebelum dan ketika sesi komunikasi.

2.2.12 OpenVPN

Menurut Feilner 2006, OpenVPN adalah solusi VPN yang

mengimplementasikan koneksi layer 2 atau layer 3, menggunakan

enkripsi SSL / TLS (Secure Sockets Layer / Transport Layer Security),

dan menggabungkan hampir semua fitur VPN lainnya.

2.2.12.1 Keuntungan OpenVPN

Keuntungan OpenVPN (Feilner 2006) antara lain :

VPN layer 2 dan layer 3: OpenVPN menawarkan dua mode

dasar, yang berjalan baik di layer 2 maupun layer 3. Tunnel

OpenVPN juga dapat membawa frame Ethernet, paket IPX,

dan paket Windows Network Browsing (NETBIOS).

Melindungi pegawai dengan firewall internal: Seorang

karyawan yang terhubung dengan kantor cabang perusahaan

melalui tunnel VPN dapat merubah pengaturan jaringan

pada laptop-nya, jadi seluruh trafik jaringannya dikirim

34

melalui tunnel. Begitu OpenVPN membentuk tunnel,

firewall utama kantor cabang perusahaan dapat melindungi

laptop itu, meskipun itu hanya perangkat lokal. Hanya satu

port jaringan yang harus dibuka untuk jaringan lokal

karyawan itu. Karyawan dilindungi dengan firewall utama

kapanpun ia terhubung dengan VPN.

Koneksi tunnel OpenVPN dapat melalui hampir semua

firewall: Jika memiliki akses internet dan dapat mengakses

website HTTPS, tunnel OpenVPN dapat berjalan.

Mendukung proxy dan konfigurasinya: OpenVPN

mendukung proxy dan dapat dikonfigurasikan untuk berjalan

sebagai TCP atau UDP, dan sebagai server atau client. Jika

sebagai server, OpenVPN menunggu sampai client meminta

koneksi, sedangkan sebagai client, OpenVPN mencoba

untuk membangun koneksi sesuai dengan konfigurasinya.

Hanya satu port dari firewall yang harus dibuka untuk

menerima koneksi yang masuk: Sejak OpenVPN 2.0,

mode server memungkinkan untuk menerima banyak

koneksi masuk dalam port TCP atau UDP yang sama, meski

tiap koneksi menggunakan konfigurasi yang berbeda-beda.

Virtual Interfaces memungkinkan pengaturan jaringan

dan firewall yang khusus: Semua peraturan, pembatasan

35

(restrictions), mekanisme forwarding, dan konsep seperti

NAT dapat digunakan di tunnel OpenVPN.

Fleksibilitas yang tinggi yang memungkinkan scripting:

OpenVPN menawarkan scripting individual. Script ini dapat

digunakan untuk berbagai macam tujuan seperti autentikasi,

dan lain-lain.

Performa tinggi untuk IP dinamis: Dengan menggunakan

OpenVPN, tidak perlu lagi menggunakan IP static pada tiap

sisi tunnel. Kedua ujung tunnel dapat memiliki akses DSL

dengan IP dinamis dan user jarang menyadari akan

perubahan IP itu. Kedua sesi Windows Terminal server dan

sesi Secure Shell (SSH) hanya akan terlihat hang selama

beberapa detik, tapi tidak akan mati dan akan melanjutkan

aksinya setelah jeda singkat.

Tidak bermasalah dengan NAT: Baik server OpenVPN

dan client dapat berada dalam jaringan yang hanya

menggunakan alamat IP statik. Tiap firewall dapat diatur

untuk mengirim trafik tunnel ke ujung tunnel yang lain.

Instalasi yang sederhana pada tiap platform: Baik

penginstalan maupun penggunaan berlangsung sederhana.

Desain modular: Desain modular meningkatkan segi

jaringan dan keamanan yang ada.

36

2.2.12.2 Kelemahan OpenVPN

Kelemahan OpenVPN (Feilner 2006) yaitu :

Tidak kompatibel dengan IPSec (IPSec adalah solusi VPN

standard). Banyak alat-alat router Cisco atau Bintec

menggunakan IPSec dan dapat terhubung dengan pabrikan

lain atau software IPSec.

Hanya sebagian orang yang tahu cara pemakaian OpenVPN,

terutama pada skenario yang sulit (meski jarang).

Untuk saat ini, OpenVPN hanya untuk menghubungkan

komputer, tapi akan ada perusahaan yang memasukkan

client OpenVPN pada alat-alatnya.

2.2.12.3 Jaringan dengan OpenVPN

OpenVPN menggunakan Universal TUN/TAP driver

untuk layer networking-nya. TUN/TAP driver adalah proyek

open-source yang sudah dimasukkan dalam Linux/UNIX

modern seperti halnya Windows dan Mac OS X. Penggunaan

TUN / TAP driver ini mengurangi tingkat kompleksitas struktur

OpenVPN. Universal TUN / TAP driver dikembangkan untuk

menyediakan kernel Linux supaya dapat mendukung tunneling

pada IP trafik. Ini adalah interface network virtual.

TUN dapat digunakan seperti interface point-to-point

virtual, seperti modem atau DSL link. Ini disebut mode routed,

37

karena route di-seting sebagai VPN partner. TAP dapat

digunakan sebagai adapter ethernet virtual. Ini membuat

daemon mendengarkan interface ini untuk menangkap frame

ethernet, yang tidak dapat dilakukan TUN. Mode ini disebut

mode bridging karena jaringan terhubung seperti diatas

hardware bridge.

Aplikasi dapat menulis / membaca dari interface ini;

software (driver tunnel) akan mengambil seluruh data dan

menggunakan library kriptografi SSL/TSL untuk meng-

enkripsinya. Data dibungkus dan dikirim ke tunnel yang

lainnya. Pembungkusan ini menggunakan standard UDP atau

paket TCP tambahan. Gambar 2.5 memperlihatkan tunnel dalam

OpenVPN, di mana data yang telah terenkripsi dikirim dalam

paket UDP.

Gambar 2.5 Jaringan dengan OpenVPN

(Sumber : http://www.openmaniak.com/openvpn.php)

Gambar 2.6 berikut ini adalah status dari paket ketika sedang

berjalan dalam LAN dan VPN. Terlihat ada perbedaan antara paket yang

berada pada dalam VPN dan yang tidak.

38

Gambar 2.6 Paket dalam LAN dan VPN

(Sumber : http://www.openmaniak.com/openvpn.php)

2.2.12.4 Keamanan OpenVPN

OpenVPN menawarkan dua jenis metode keamanan

yaitu menggunakan pre-shared keys dan SSL/TLS.

Pre-shared keys atau static keys dalam OpenVPN lebih

mudah digunakan dibandingkan SSL/TLS tetapi memiliki

beberapa kerugian yaitu :

Kunci rahasia (shared secret) tidak diperbarui.

Kunci rahasia harus diberikan kepada kedua partner.

Partner VPN tidak diautentikasikan.

Gambar 2.7 merupakan contoh isi dari static key. Pembuatan

static key akan dijelaskan pada bab 4.

39

Gambar 2.7 Keterangan Static Key

(Sumber : http://www.openmaniak.com/openvpn_static.php)

Static key terdiri dari karakter-karakter heksadesimal

dan terbagi dalam empat bagian. Bagian pertama berguna

sebagai key untuk memecahkan (cipher) data, bagian kedua

untuk key hash algoritma. Dalam keadaan default key untuk

memecahkan (cipher) dan mengartikan (decipher) data adalah

serupa. Bagian ketiga dan keempat digunakan jika

menginginkan cipher yang berbeda (bagian 1) dan decipher keys

(bagian 3) and key yang berbeda untuk meng-hash data keluar

(bagian 2) atau data masuk (bagian 4).

Secara default, algoritma enkripsinya adalah blowfish

dengan 128 bits keys (cipher dan decipher), 160 bits digunakan

untuk algoritma hash (outgoing dan incoming data).

40

2.2.12.5 Secure Sockets Layer / Transport Layer Security (SSL/TLS)

Library SSL/TLS dapat digunakan untuk autentikasi

dan enkripsi. Library ini adalah bagian dari software OpenSSL

yang terinstal pada sistem operasi modern. SSL, yang dikenal

juga dengan TLS, adalah protokol yang awalnya diciptakan oleh

Netscape Communication Corporation yang menjamin suatu

kemudahan, integritas dan autentikasi data ketika internet

berkembang pesat pada tahun 1990an. Tiap orang dapat

berpatisipasi dalam komunikasi yang terenkripsi menggunakan

browser modern. SSL/TLS adalah teknologi terkenal yang telah

digunakan secara luas pada web untuk perbankan, e-commerce,

dan aplikasi-aplikasi lainnya dimana privasi dan keamanan

dibutuhkan. Teknologi ini telah dikontrol, di-debug, dites, dan

dikembangkan baik oleh perusahaan open source maupun

perusahaan berhak cipta (proprietary).

SSL/TLS berada di bawah protokol aplikasi, dan dapat

digunakan oleh hampir semua aplikasi. Para pelancar internet

mengetahuinya dengan https:// yang berarti koneksi terenkripsi

daripada http://.

Dari OSI Model standard, protokol SSL berada antara

application layer dan transport layer. Pada arsitektur TCP/IP,

SSL berada pada layer application, seperti gambar berikut ini.

41

Gambar 2.8 Letak SSL

(Sumber : http://www.openmaniak.com/openvpn.php)

OpenVPN menggunakan SSL gratis dan open source

yang bernama OpenSSL, untuk tugas autentikasi dan enkripsi.

OpenSSL sendiri berisi :

SSL library

Crypto library

Command line tool

Cryptography library mengimplementasikan algoritma

kriptografi yang luas antara lain :

Algoritma simetrik : Blowfish, DES, 3DES, AES.

Sertifikat : x509

Fungsi hash : HMAC, MD5

2.2.12.6 Sertifikat SSL/TLS dan VPN

Sertifikat SSL/TLS juga bekerja pada VPN yaitu

certificate authority (CA) dibuat, dan semua sertifikat yang

42

valid dari sumber ini dibagikan dan diterima untuk VPN. Tiap

client harus memiliki sertifikat yang valid yang diperoleh dari

CA dan setelah itu baru boleh membangun koneksi VPN.

Certificate Revocation List (CRL) dapat digunakan

untuk mencabut sertifikat pada client yang sudah tidak boleh

mengakses VPN lagi. Ini dapat dilakukan tanpa melakukan

konfigurasi pada pihak client, hanya dengan membuat daftar

pencabutan yang tepat pada server. Ini sangat berguna apabila

laptop dicuri atau mencurigakan.

Perusahaan menggunakan suatu kunci yang telah

diletakkan pada tiap sistem yang mau terhubung dengan server

VPN. Kunci harus diubah pada seluruh sistem jika ada satu saja

kunci yang hilang. Tetapi jika menggunakan sertifikat dengan

daftar pencabutan (revocation lists), cukup dengan menaruh

sertifikat pada laptop yang dicuri itu dalam CRL server. Ketika

client mencoba konek ke server, maka akses akan ditolak. Tidak

perlu adanya interaksi dengan client.

Koneksi akan ditolak jika :

Tidak ada sertifikat

Sertifikat yang berasal dari CA palsu

Terdapat sertifikat yang dicabut

43

Sertifikat ini memiliki banyak fungsi. HTTPS dan

OpenVPN hanyalah dua aplikasi dari sekian banyak variasi.

Sistem VPN lainnya (seperti IPsec), web servers, mail servers,

dan hampir semua aplikasi server dapat menggunakan sertifikat

ini untuk mengautentikasi client-nya.

2.2.12.7 Perbandingan OpenVPN dan IPsec

Perbandingan OpenVPN dengan IPsec (Feilner 2006).

Tanda “+” berarti keuntungan, tanda “-” berarti kelemahan.

IPsec VPN OpenVPN

+ Teknologi standard VPN.- Kurang begitu terkenal, tidak kompatibel dengan IPsec.

+ Dapat bekerja pada hardware platform.

- Hanya bekerja pada komputer, tapi bisa di semua sistem operasi.

+ Teknologi yang sudah terkenal.

- Teknologi baru, dan masih akan berkembang.

- Modifikasi IP stack yang kompleks. + Teknologi yang sederhana.

- Dibutuhkan perubahan kernel yang kritis.

+ Interface jaringan dan paket yang terstandarisasi.

- Membutuhkan hak admin. + Software OpenVPN dapat berjalan pada mode user.

- Implementasi IPsec yang berasal pabrik yang berbeda bisa tidak kompatibel.

+ Teknologi enkripsi yang terstandarisasi.

- Konfigurasi yang kompleks, teknologi yang komples juga.

+ Mudah, terstruktur, teknologi modular, konfigurasi mudah.

- Sulit dipelajari bagi pemula. + Mudah dipelajari bagi pemula.

- Dibutuhkan beberapa portdan protokol di firewall.

+ Hanya membutuhkan satu port di firewall.

- Ada masalah dengan alamat dinamik di kedua sisi.

+ DynDNS bekerja dengan sempurna, cepat terhubung.

44

- Permasalahan keamanan pada teknologi IPsec.

+ SSL/TLS sebagai kriptografi standard.+ Pembungkusan trafik.+ Cepat (mencapai 20 Mbps pada mesin 1 Ghz).+ Kompatibel dengan firewall dan proxy.+ Tidak bermasalah dengan NAT (kedua sisi bisa berada dibalik NAT).

Tabel 2.1 Perbandingan IPsec dan OpenVPN.