BAB 2 LANDASAN TEORI 2.1
Teori – Teori Umum 2.1.1
Network Network (Castelli 2004) adalah sebuah sistem jalur – jalur yang saling terkoneksi, seperti jalur telepon untuk komunikasi atau rel – rel kereta api bawah tanah untuk transportasi. Network di definisikan sebagai sebuah kelompok dari komputer dan fungsional circuit yang berhubungan dalam sebuah kontak yang spesifik.
2.1.2
Referensi Model Jaringan Model referensi adalah suatu konsep cetak – biru dari bagaimana seharusnya komunikasi berlangsung (Lammle 2004, p8). Model ini menjelaskan semua proses yang diperlukan oleh komunikasi yang efektif. Model ini juga membagi proses – proses tersebut menjadi kelompok logis yang bernama layer. Sebuah sistem komunikasi yang dibuat mengikuti konsep ini dinamakan arsitektur layer. Dengan menggunakan model referensi, para pengembang perangkat lunak bisa mengerti tentang proses komunikasi yang terjadi dan melihat fungsi mana yang perlu dicapai pada suatu lapisan. Jika mereka membuat sebuah protokol yang berjalan pada lapisan tertentu, mereka hanya perlu memperhatikan dengan saksama fungsi dari lapisan tersebut dan mengabaikan lapisan yang lainnya.
8
9 Model referensi ini dibagi menjadi 2, yaitu : referensi model TCP / IP dan referensi model OSI.
2.1.2.1 Referensi Model DoD Referensi model DoD yang dibuat oleh Department of Defence. Referensi model ini dikenal juga dengan Referensi model TCP / IP (Transmission Control Protocol / Internet Protokol). TCP / IP terdiri dari 4 Layer, antara lain : 1. Layer Network Access Lapisan Network Access referensi DoD adalah setingkat dengan gabungan lapisan data link dan lapisan physical referensi model OSI yang disebut lapisan bawah OSI. Protokol yang berfungsi pada lapisan network access ini antara lain : Ethernet, Token Ring, dan FDDI . 2. Layer Internet Didalam model DoD, terdapat dua alasan utama keberadaan layer internet; routing dan penyediaan interface network tunggal ke lapisan atas. Tanpa ini, programmer aplikasi harus menulis fungsi spesifik ke setiap aplikasi untuk setiap protokol Network Access yang berbeda. Ini tidak hanya menyulitkan, tapi juga akan membuat terjadinya versi berbeda untuk setiap aplikasi - satu untuk ethernet, lainnya untuk token ring, dan seterusnya. Protokol yang ada pada layer internet:
10 •
Internet Protocol (IP) Internet Protocol (IP) bisa dikatakan sebagai layer internet. IP merupakan gambaran besar yang bisa dikatakan “melihat semua”, dengan inilah IP mengetahui semua interkoneksi jaringan. IP bisa melakukan ini semua karena semua mesin didalam jaringan mempunyai alamat software atau logikal disebut alamat IP (Lammle 2004, p86). IP melihat alamat dari tiap paket kemudian dengan menggunakan routing table menentukan kemana selanjutnya paket itu dikirim melalui jalur yang terbaik. 8-bit Type of Service (TOS) 16-bit Identification
4-bit Version
8-bit Time to Live
4-bit Header Length
8-bit Protocol
16-bit Total Length of Datagram (in bytes)
3-bit Flags
13-bit Fragment Offset 16-bit Header Checksum
32-bit Source IP Address 32-bit Destination IP Address Options (if any) Strict Source Routing, Loose Source Routing DATA
Gambar 2.1 Header IP
11 Komponen – komponen berikut membentuk sebuah header IP:
Version : Nomor versi IP
Header Length (HLEN) : Panjang header dalam format 32 bits.
Type of Service : Type dari service yang menjelaskan bagaimana data harus ditangani. 3 Bits pertama adalah bits prioritas.
Total Length : Panjang dari paket termasuk header dan data.
Identifier : Nilai unik dari paket IP.
Flags : Menspesifikasikan apakah fragmentasi harus ada.
Frag offset : Menyediakan fragmentasi dan perakitan kembali jika paket terlalu besar untuk disimpan dalam sebuah frame. Field ini juga memperbolehkan Maximum Transmission Units (MTU) yang berlainan dalam internet.
Time To Live : diset di dalam paket yang dibuat pertama kali. Jika paket tidak sampai ditujuan sebelum TTL expired, ia akan hilang.
Portocol : Port dari protokol upper layer.
Header Checksum : CRC yang hanya berada pada header.
Source IP Address : Alamat IP 32-bit dari host pengirim
Destination IP Address : Alamat IP 32 bit dari host tujuan pengiriman paket.
12
IP Option : digunakan untuk network testing, debug, keamanan dan lainnya.
Data : Setelah field IP option selanjutnya adalah data upper layer. IP Address adalah alamat logika yang diberikan ke
peralatan jaringan yang menggunakan protokol TCP / IP (Wijaya 2004, p 27). IP Address terdiri atas 32 bit angka binari, yang ditulis dalam empat kelompok yang terdiri atas 8 bit (oktat) yang dipisahkan oleh tanda titik sebagai contoh dibawah ini: 11000000.00010000.00001010.00000001 Atau dapat ditulis dalam bentuk empat kelompok angka desimal (0 - 255), misalnya : 192.16.10.1 IP Address yang terdiri dari 32 bit angka binari ini dikenal sebagai IP version 4 (IPv4). IP Address sebetulnya terdiri atas dua bagian yaitu network ID dan host ID, dimana network ID menentukan alamat jaringan, sedangkan host ID menentukan alamat host atau komputer. Oleh sebab itu, IP Address memberikan alamat lengkap suatu komputer berupa gabungan alamat jaringan dan alamat host. Kelas – kelas IP Address yang sering digunakan antara lain :
13 Tabel 2.1 Kelas IP. Kelas
Network ID
Host ID
Default Subnet Mask
A
w.
x.y.z
255.0.0.0
B
w.x
y.z
255.255.0.0
C
w.x.y
z
255.255.255.0
Selain ketiga kelas A, B dan C yang sering dipakai, masih ada kelas D dan E yang jarang dipakai. Kelas D dipergunakan untuk alamat – alamat multicast, dan kelas E dipersiapkan untuk ekperimentasi. Untuk dapat membedakan kelas satu dengan kelas yang lain, maka dibuat beberapa peraturan sebagai berikut: Oktat pertama kelas A harus dimulai dengan angka binari 0. Oktat pertama kelas B harus dimulai dengan angka binari 10. Oktat pertama kelas C harus dimulai dengan angka binari 110. Oktat pertama kelas D harus dimulai dengan angka binari 1110. Oktat pertama kelas E harus dimulai dengan angka binari 1111.
14 Disamping itu, ada pula beberapa peraturan tambahan sebagai berikut : Angka 127 pada oktat pertama digunakan loopback. Network ID tidak boleh semuanya terdiri atas angka 0 atau 1. Host ID tidak boleh semuanya terdiri atas angka 0 atau 1. •
Internet Control Message Protocol (ICMP) ICMP adalah protokol manajemen dan layanan messaging yang disediakan untuk IP (Lammle 2004, p89). Aktivitas dan pesan umum yang berhubungan dengan ICMP :
Destination Unreachable : Jika router tidak dapat mengirimkan sebuah datagram lagi, maka ICMP dipakai untuk
mengirim
pesan
kembali
ke
pengirim,
memberitahukan mengenai kondisi yang ada. Sebagai contoh, jika router menerima sebuah paket yang ditujukan ke network yang tidak diketahui oleh router, maka akan dikirim pesan “destination unreachable”.
Buffer Full : Jika memory buffer untuk menerima masukan datagram sebuah router penuh, akan digunakan ICMP untuk
mengirim
pesan
tersebut
sampai
kepadatan
berkurang.
Hops : Setiap datagram IP ditujukan untuk melalui beberapa router, yang disebut hops. Jika datagram melewati limit dari hops sebelum tiba ditujuan, maka
15 router terakhir yang menerima datagram itu akan menghapusnya. Router yang mengeksekusi ini kemudian menggunakan ICMP untuk mengirimkan pesan kematian, menginformasikan mesin pengirim mengenai kematian dari datagram.
Ping (Packet Internet Groper) : menggunakan pesan echo dari ICMP untuk mengecek koneksi fisik dan logik jaringan.
Traceroute : Menggunakan timeouts ICMP, traceroute digunakan untuk mencari rute perjalanan yang dilewati oleh paket dalam internetwork.
•
Address Resolution Protocol (ARP) Address Resolution Protocol mencari alamat hardware dari host yang sudah diketahui alamat IP-nya. Cara kerjanya : Ketika IP mempunyai datagram untuk dikirim, informasi alamat
hardware
tujuan
dari
network
lokal
harus
diberitahukan kepada protokol Network Access seperti ethernet atau token ring. ARP akan digunakan untuk menemukan informasi alamat hardware tujuan jika ARP cache tidak ditemukan. ARP akan melakukan interogasi ke jaringan lokal dengan mengirim broadcast ke mesin dengan alamat IP spesifik untuk mendapatkan balasan alamat hardware. Jadi pada dasarnya, ARP menerjemahkan alamat software (IP) menjadi alamat hardware.
16 •
Reserve Address Resolution Protocol (RARP) Ketika IP digunakan oleh mesin diskless, tidak ada cara untuk mengetahui alamat IP-nya. Namun alamat mac bisa diketahui. Reserve Address Resolution Protocol mengetahui identitas alamat IP untuk mesin diskless dengan cara mengirim paket yang mengikutsertakan alamat MAC dan meminta alamat IP untuk alamat MAC tersebut
3. Layer Host to Host Tujuan utama dari layer Host to Host yaitu melindungi upper layer application dari kompleksitas network. Layer ini mengatakan pada upper layer, “ Berikan saja data stream anda, dengan instruksi apa pun dan saya akan mulai proses menerima informasi Anda siap untuk dikirim”. Bagian berikut mendeskripsikan dua protokol pada layer ini: •
Transmission Control Protocol (TCP) Transmission Control Protocol menggunakan blok informasi yang besar dari aplikasi dan memecahnya ke dalam segmen. TCP menomori dan mengurutkan setiap segmen supaya pada lokasi tujuan, protokol TCP bisa mengurutkannya kembali. Setelah segmen ini dikirim, TCP (pada host yang mengirim) menunggu tanda acknowledgement dari penerima yang berada pada ujung
17 sesi sirkuit virtual, mentransfer ulang yang tidak mendapatkan umpan balik acknowledged. Sebelum host pengirim mengirim segmen menuju model dibawahnya, protokol TCP pengirim menghubungi protokol TCP penerima dan membuat sebuah koneksi yang dikenal dengan Virtual Circuit (Lammle 2004, p 75). Jenis komunikasi ini disebut connection oriented. Sifat dari TCP antara lain: full – duplex, connection oriented, dan reliable. 16-bit Source Port Number
16-bit Destination Port Number 32-bit Sequence Number 32-bit Acknowledgement Number Reserved Control 16-bit Window Size (6 bits)
4-bit Header Length 16-bit TCP Checksum 16-bit Urgent Pointer TCP Options (if any) Application Data (if any)
Gambar 2.2 Format Segmen TCP
Segmen TCP mengandung field – field berikut : Source Port : Nomor port dari aplikasi yang mengirimkan data. Destination Port : Nomor port dari aplikasi yang meminta pada host tujuan.
18 Sequence Number : Menyusun data kembali dengan urutan yang benar atau mengirim kembali data yang hilang atau rusak, proses ini disebut sequencing. Acknowledgment Number : Mendefinisikan oktet TCP yang diharapkan selanjutnya. Offset : Penomoran 32-bit diheader TCP. Reserved : Selalu berisi angka nol. Code bit : Fungsi kontrol yang digunakan untuk set up dan memutuskan session. Window : ukuran window dari pengirim yang akan diterima dalam format oktet. Checksum : Cyclic Redundancy Check (CRC), karena TCP tidak mempercayai lapisan dibawahnya dan memeriksa semuanya. CRC memeriksa field header dan data. Urgent Pointer : Field dianggap sah hanya jika Urgent pointer dalam kode bit diset. Jika sudah demikian, nilai ini mengidentifikasikan offset dari sequence number saat ini dalam format oktet. Option : Bisa merupakan angka 0 atau kelipatan 32 bits, jika ada. Maksudnya adalah tidak ada keharusan option harus ada. Namun jika terdapat option yang tidak menyebabkan field option menjadi berjumlah kelipatan
19 32 bit, maka penambahaan bit 0 harus digunakan untuk memastikan bahwa ukuran data paling sedikit 32-bit. Data : Diserahkan ke protokol TCP pada layer transport, disertai dengan header dari upper layer. •
Transmission Datagram Protocol (UDP) Pada dasarnya UDP adalah model protokol yang ekonomis dan sudah disederhanakan dimana terkadang UDP disebut dengan thin protocol (Lammle 2004, p78). UDP tidak menawarkan semua sifat TCP, tapi UDP melakukan pekerjaan yang baik untuk mengirim informasi yang tidak membutuhkan reabilitas dan UDP melakukan dengan sumber daya jaringan yang jauh lebih sedikit. UDP termasuk connectionless, karena tidak perlu membuat Virtual circuit. Bit 0
Bit 15 Bit 16 Source Port Length (16)
Bit 31
Destination Port Checksum (16) Data
Gambar 2.3 Format Segmen UDP
Segmen UDP mengandung field berikut :
Source Port : Nomor port aplikasi dari host yang mengirimkan data.
20
Destination Port : Nomor port yang diminta oleh aplikasi pada host tujuan.
CRC : Checksum dari header dan data UDP
Data : Data upper Layer
4. Layer Application Lapisan ini berhubungan langsung dengan pemakai. Layer Application ini dapat disamakan dengan gabungan Layer application, presentation dan session referensi model OSI. Protokol yang berjalan di lapisan ini, beberapa diantaranya: Telnet, FTP, SMTP, DNS, SNMP dan lain sebagainya.
2.1.2.2 Referensi Model OSI Untuk mempermudah pengertian, penggunaan dan desain dari proses pengolahan data ini dan untuk keseragaman diantara perusahaan – perusahaan pembuat peralatan jaringan komputer satu dengan lain, International Standard Organization (ISO), suatu konsorsium internasional, mengeluarkan sebuah model lapisan jaringan yang disebut referensi model Open System Interconnection (OSI) (Wijaya 2004, p2). Manfaat penggunakan referensi model OSI adalah sebagai berikut (Wijaya 2004, p3): •
Membuat standarisasi yang dapat dipakai oleh setiap perusahaan sehingga mengurangi kerumitan dalam perancangan.
21 •
Memungkinkan fasilitas modular engineering (perubahaan di satu lapisan tidak mengganggu lapisan lain).
•
Memungkinkan kerjasama antara teknologi yang berbeda-beda.
•
Memungkinkan berbagai peralatan jaringan dan software yang berbeda dapat berkomunikasi.
•
Mempermudah cara mempelajari dam training mengenai jaringan. OSI layer terdiri atas tujuh layer (lapisan) yang terbagi
menjadi dua group. Tiga layer teratas mendefinisikan bagaimana aplikasi – aplikasi berkomunikasi satu sama lain dan bagaimana aplikasi berkomunikasi dengan user. Empat layer dibawahnya mendefinisikan bagaimana data dipindahkan dari satu tempat ke tempat lain (Lammle 2004, p10).
Gambar 2.4 Upper Layers
Gambar 2.5 Lower Layers
22 Model referensi OSI terdiri dari tujuh layer, yaitu: 1. Layer Physical Layer physical berkomunikasi langsung dengan berbagai jenis media komunikasi sesungguhnya. Beberapa menggunakan nada audio, sementara yang lain menggunakan apa yang disebut state transition yaitu perubahaan tegangan listrik dari rendah ke tinggi dan sebaliknya. Layer physical menentukan kebutuhan listrik, mekanis, prosedural dan fungsional mengaktifkan, mempertahankan dan menonaktifkan hubungan fisik antar sistem. 2. Layer Data Link Layer ini menyediakan transmisi fisik dari data dan menangani notifikasi error, topologi jaringan dan flow control. Ini berarti akan memastikan bahwa pesan – pesan akan terkirim melalui alat yang sesuai diLAN menggunakan alamat perangkat keras (hardware address) dan menerjemahkan pesan – pesan dari layer network menjadi bit – bit untuk dipindahkan ke physical layer. 3. Layer Network Layer network mengelola pengalamatan peralatan, melacak lokasi peralatan dijaringan dan menentukan cara terbaik untuk memindahkan data, artinya layer network harus mengangkut lalu lintas antar peralatan yang tidak terhubung secara lokal. Router (yang adalah peralatan layer - 3) diatur
23 dilayer network dan menyediakan layanan routing dalam sebuah internetwork. Kejadiannya seperti berikut ini : pertama – tama, ketika sebuah paket diterima disebuah interface router, alamat IP tujuan akan diperiksa. Jika paket tidak ditujukan untuk router tersebut, router akan melakukan pengecekan alamat network tujuan pada routing table yang dimilikinya. Pada saat router memilih interface keluar untuk paket tersebut, paket akan dikirimkan ke interface tersebut untuk dibungkus menjadi frame data dan dikirimkan keluar ke jaringan lokal. Jika router tidak menemukan entri untuk jaringan tujuan di routing table, router akan membuang paket tersebut. 4. Layer Transport Layer transport bertanggung jawab untuk menyediakan mekanisme untuk multiplexing (multiplexing adalah teknik untuk mengirimkan atau menerima beberapa jenis data yang berbeda sekaligus pada saat bersamaan melalui satu media network saja) metode aplikasi – aplikasi upper layer, membuat session, dan memutuskan rangkaian virtual circuit, artinya koneksi atau hubungan yang terbentuk diantara dua buah host dijaringan. Layer ini dapat bersifat connectionless atau connection oriented.
24 5. Layer Session Layer Session melakukan koordinasi komunikasi antar sistem – sistem dan mengorganisasikan komunikasinya dengan menawarkan tiga mode berikut: simplex, half – duplex, dan full duplex. Berikut ini beberapa contoh protokol dan interface layer session (menurut cisco) : NFS, SQL, RPC, dan lain – lain. 6. Layer Presentation Fungsi
dari
layer
ini
sesuai
dengan
namanya,
menyiapkan data ke layer application dan bertanggung jawab pada penerjemahan data dan format kode (program). Layer ini pada dasarnya adalah penerjemah dan melakukan fungsi pengkodean dan konversi. Teknik transfer data yang berhasil adalah dengan mengadaptasi data tersebut ke dalam
format
standar
sebelum
dikirimkan.
Komputer
dikonfigurasi untuk menerima format data yang standar atau generik ini untuk kemudian diubah kembali ke bentuk aslinya untuk dibaca oleh aplikasi bersangkutan. Beberapa standar layer presentation juga mencakup operasi multimedia. Standar – standar berikut digunakan untuk mengatur presentasi grafis dan visual image : JPEG, MIDI, MPEG, QuickTime, dan RTF. 7. Layer Application Layer Application pada model OSI merupakan tempat dimana user atau pengguna berinteraksi dengan komputer. Layer ini sebenarnya hanya berperan ketika dibutuhkan akses ke
25 network. Sebagai contoh program Internet Explorer, Yahoo Messenger dan lain sebagainya.
2.1.3
Jenis - Jenis Jaringan Ada 3 Jenis jaringan utama yang digunakan sekarang ini : a. Local-area networks (LANs) b. Metropolitan-area networks (MANs) c. Wide-area networks (WANs)
2.1.3.1 Local-Area Networks (LANs) Local-Area Networks adalah sebuah jaringan komputer yang menjangkau sebuah area geografis yang kecil, seperti sebuah bangunan atau lantai pada sebuah bangun (Castelli, 2004). Sebuah LAN bisa terkoneksi dengan LAN lain secara jarang jauh melalui media, seperti jalur telepon atau gelombang radio.
2.1.3.2 Metropolitan-Area Networks (MANs) Metropolitan-Area Network adalah sebuah jaringan data yang di design untuk sebuah kota (Castelli, 2004). Sebuah MAN bisa dibangun sebagai service provider dan disewakan antara banyak pelanggan atau sebuah perusahaan bisa membangun private MAN sendiri. Dalam kaitan geografis, MANs lebih besar daripada LANs, tetapi lebih kecil daripada WANs. Karakteristik MANs biasanya konektifitas dengan kecepatan tinggi menggunakan kabel
26 fiber-optic atau media digital lainnya dan sering digunakan perusahaan – perusahaan dengan beberapa kantor yang terletak dalam kota yang sama. Sebuah perusahaan dapat memperluas layanan LAN pada setiap bangunan melewati area metropolitan dengan menggunakan MAN untuk menghubungkan setiap kantor
2.1.3.3 Wide-Area Networks (WANs) Suatu Wide-Area Network (WAN) adalah suatu jaringan komputer yang luas yang mencakup wilayah yang besar, seperti area yang melintasi beberapa negara (Castelli, 2004). Komputerkomputer
yang
terhubung
dengan
sebuah
WAN
biasanya
dihubungkan melalui jaringan publik, seperti sistem telepon. Komputer-komputer juga dapat dihubungkan melalui leased lines atau satelit, juga dari sebuah network service provider.
2.1.4
Topologi Jaringan Denah bagaimana cara menghubungkan komputer satu dengan komputer yang lain disebut topologi jaringan (Wijaya 2004, p61). Topologi jaringan yang sering dipakai adalah topologi bus, star, ring dan mesh.
27 2.1.4.1 Topologi Bus Topologi Bus menghubungkan komputer yang satu dengan yang lain secara berantai (daisy - chain) dengan perantaraan suatu kabel yang umumnya berupa kabel tunggal jenis Coaxial.
Gambar 2.6 Topologi Bus Topologi ini umumnya tidak menggunakan suatu peralatan aktif untuk menghubungkan komputer, oleh sebab itu ujung – ujung kabel Coaxial harus ditutup dengan tahanan (termination resistor) untuk menghindarkan pantulan yang dapat menimbulkan gangguan yang menyebabkan kemacetan jaringan. Topologi bus ini umumnya dipergunakan untuk jaringan komputer yang sangat sederhana.
2.1.4.2 Topologi Star Topologi star atau bintang ini menghubungkan semua komputer pada suatu perangkat jaringan seperti hub atau switch.
28
Gambar 2.7 Topologi Star Dimana Hub atau Switch berfungsi untuk menerima sinyal – sinyal dari suatu komputer dan meneruskannya ke komputer lain. Untuk Hub sedikit berbeda karena sinyal yang diterima akan diteruskan ke semua komputer yang berhubungan dengan Hub. Jaringan dengan topologi Star lebih mahal dan sulit dipasang karena setiap komputer harus dihubungkan ke suatu Hub atau switch, pemasangan kabel terutama untuk jumlah pemakai yang besar sangat sulit dan sebaiknya dilakukan oleh seorang ahli. Oleh karena masing – masing komputer memiliki kabel sendiri, mencari kesalahan jaringan lebih mudah.
2.1.4.3 Topologi Ring Jaringan dengan Topologi ring ini mirip dengan topologi bus hanya ujung – ujungnya saling berhubungan membentuk suatu lingkaran. Topologi ring ini diperkenalkan oleh perusahaan IBM untuk mendukung protokol Token Ring yang diciptakan oleh IBM.
29
Gambar 2.8 topologi ring
2.1.4.4 Topologi Mesh Jaringan Mesh ini menpunyai jalur ganda dari setiap peralatan di jaringan. Makin banyak jumlah komputer dijaringan, semakin sulit cara pemasangan kabel – kabel jaringan karena jumlah kabel – kabel yang harus dipasang menjadi berlipat ganda. Oleh sebab itu, jaringan mesh yang murni, yaitu setiap peralatan jaringan dihubungkan satu dengan yang lain jarang dipergunakan. Jaringan yang sering dipakai adalah pembuatan jalur ganda untuk hubungan – hubungan utama sebagai jalur cadangan jika terjadi kesulitan dijalur utama.
Gambar 2.9 topologi mesh
30 2.1.5
Protokol – Protokol Protokol adalah peraturan – peraturan yang dibuat agar peralatan jaringan (komputer) satu dengan lain dapat saling berkomunikasi dengan baik (Wijaya 2004, p66). Protokol. Protokol dibagi menjadi 2, yaitu protokol LAN dan protokol WAN.
2.1.5.1 Protokol – Protokol LAN Protokol – protokol yang dapat digunakan pada jaringan LAN yaitu : Ethernet, Token Ring, FDDI dan ATM (Wijaya 2004, p66). 1. Ethernet Protokol Ethernet ini merupakan protokol LAN yang paling banyak dipakai karena kemampuan tinggi dengan biaya yang relatif murah. Ethernet
pada
mulanya
mendukung
jaringan
berkecepatan 10 Mbps, tetapi dengan meningkatnya arus lalu lintas dan jaringan LAN, diciptakan protokol FastEthernet yang berkecepatan
100
Mbps
dan
Gigabit
Ethernet
yang
berkecepatan 1000 Mbps. 2. Token Ring Protokol Token Ring yang diciptakan oleh perusahaan IBM ini menggunakan topologi berupa suatu lingkaran atau ring, yaitu komputer – komputer diletakkan disekeliling
31 lingkaran tersebut. Untuk sekarang ini Token Ring yang menunjang kecepatan 4 Mbps dan 16 Mbps dianggap lamban. Suatu token atau frame kecil dikirim dari satu komputer ke komputer berikutnya didalam lingkaran. Jika suatu komputer menerima token, ia mempunyai hak untuk mengirimkan data. Jika tidak ada data yang dikirim, komputer tersebut akan membalik satu bit dari token dan meneruskan token tersebut ke komputer berikut. Didalam prakteknya, komputer – komputer dihubungkan ke jaringan token ring melalui suatu hub khusus untuk token ring yang disebut dengan Multi-Station Access Unit (MSAU). 3. Fiber Distributed Data Interface (FDDI) Fiber
Distributed
Data
Interface
(FDDI)
yang
diciptakan oleh ANSI adalah protokol yang menggunakan topologi lingkaran fiber optik ganda yang disebut lingkaran primary dan lingkaran secondary. Walaupun kedua lingkaran tersebut dapat dipergunakan untuk pengiriman data, hanya lingkaran primary yang biasanya dipakai sebagai jaringan utama. Lingkaran secondary berfungsi jika lingkaran primary mengalami kerusakan. Jadi, lingkaran ganda ini berfungsi untuk toleransi kesalahan (fault tolerance). 4. Asynchronous Transfer Mode (ATM) Asynchronous Transfer Mode (ATM) adalah protokol yang diatur oleh badan internasional ITU-T yang menggunakan
32 ukuran frame dengan panjang tetap sebesar 53 byte yang disebut sel. Oleh karena penggunaan sel dengan panjang tetap ini, maka hasil dari pengiriman data dengan ATM dapat diduga dengan tepat. Demikian pula pengiriman data dapat dilakukan dengan cepat menggunakan perangkat keras. Disamping
itu,
ATM
juga
menyediakan
sarana
penggunaan kabel UTP categori 5 dengan kecepatan 155 Mbps. ATM dapat mengirimkan informasi berupa gambar, suara maupun data. Agar mengirimkan informasi tersebut dapat berjalan dengan baik, ATM menggunakan suatu metode baru yang disebut Quality of Service (QoS). Dengan menggunakan QoS ini, peralatan ATM dapat mengatur prioritas pengiriman informasi berdasarkan isinya. Misalnya transmisi gambar yang sangat sensitif terhadap gangguan mendapat prioritas lebih dahulu dari pengiriman informasi data yang kurang peka terhadap gangguan.
2.1.5.2 Protokol – Protokol WAN Protokol yang dapat digunakan pada jaringan WAN antara lain: Frame Relay, ISDN, LAPB, HDLC, PPP dan ATM. 1.
Frame Relay Sebagai sebuah teknologi packet – switched yang muncul pada awal tahun 1990, Frame Relay adalah sebuah spesifikasi layer Data Link dan layer Physical yang
33 menyediakan unjuk kerja yang bagus. Frame Relay adalah penerus dari X.25, kecuali bahwa banyak teknologi di X.25 yang dulu digunakan untuk melakukan kompensasi terhadap Physical error sudah dihilangkan. Frame Relay dapat lebih efektif dari segi biaya dibandingkan sambungan titik ke titik, dapat berjalan pada kecepatan 64 Kbps, dan dapat mencapai 45 Mbps. Frame Relay menyediakan fungsi – fungsi tambahan untuk alokasi bandwidth dinamis. 2. Integreted Services Digital Network (ISDN) Integreted Services Digital Network (ISDN) adalah sekumpulan layanan digital yang memindahkan suara dan data melalui sambungan telepon yang ada. ISDN dapat menyediakan sebuah solusi yang efektif dari segi biaya untuk pengguna jarak jauh yang membutuhkan koneksi yang lebih cepat daripada yang ditawarkan oleh sambungan dial-up. ISDN adalah pilihan yang baik sebagai link backup untuk jenis koneksi lain seperti Frame Relay. 3. Link Access Procedure, Balanced (LAPB) Link Access Procedure, Balanced (LAPB) diciptakan untuk menjadi sebuah protokol connection oriented pada layer Data Link untuk digunakan dengan X.25. Ia juga dapat digunakan sebagai sebuah transport data link yang sederhana. LAPB menyebabkan overhead (waktu pemrosesan) yang besar karena teknik timeout dan windowing-nya yang kaku.
34 4. High Level Data – Link Control (HDLC) High Level Data – Link Control (HDLC) dikembangkan dari Synchronous Data Link Conrol yang diciptakan oleh IBM sebagai sebuah protokol koneksi Data Link. HDLC adalah protokol di layer Data Link, ia memiliki overhead yang kecil dibandingkan dengan LAPB. HDLC tidak dimaksudkan untuk membungkus protokol – protokol layer Network yang berbeda – beda melalui ring yang sama. Header HDLC tidak membawa identifikasi dari jenis protokol yang dibawa dalam enkapsulasi HDLC. Karena itu, setiap vendor yang menggunakan HDLC memiliki cara mereka sendiri dalam melakukan identifikasi protokol layer network, yang berarti setiap HDLC yang dimiliki sebuah vendor bersifat proprietary (artiny hanya dapat dipakai untuk perlengkapan buatan mereka sendiri). 5. Point to Point Protocol (PPP) Point to Point Protocol (PPP) adalah sebuah protokol standar industri. Karena semua versi multiprotokol HDLC bersifat proprietary, maka PPP dapat digunakan untuk menciptakan sambungan titik ke titik antara perlengkapan dari vendor – vendor yang berbeda. PPP menggunakan sebuah field Network Control Protokol di header Data Link untuk melakukan
identifikasi
protokol
layer
Network.
PPP
mengijinkan autentikasi dan koneksi multilink dan dapat berjalan melalui link yang asynchronous dan synchronous.
35
6. Asynchronous Transfer Mode (ATM) Asynchronous Transfer Mode (ATM) diciptakan untuk lalu lintas data yang sensitif terhadap waktu, menyediakan transmisi suara, video, dan data yang bersamaan. ATM menggunakan cell panjangnya 53 byte. ATM juga dapat menggunakan isochronous clocking (clocking external) untuk mempercepat pemindahan data.
2.1.6
Jenis-Jenis media 1. Kabel UTP Kabel UTP (Unshielded Twisted Pair) merupakan kabel LAN yang paling banyak dipakai saat ini. Jenis kabel ini mudah dalam pemasangan, tidak mahal, dan memiliki kinerja yang baik. UTP dibedakan menjadi beberapa kategori. Yang digunakan untuk jaringan saat ini adalah UTP kategory 5 yang dapat mendukung transmisi data sebesar 100 mbps dengan jarak maksimal 100 meter. Untuk menambah jarak jangkauan dapat dengan menggunakan repeater, hub, bridge atau switch. UTP terdiri dari 4 pasang kabel yang dipilin untuk mengurangi interferensi.
Dalam
pemasangannya
UTP
dihubungkan
dengan
menggunakan jack RJ-45 menurut susunan warna yang ditentukan. Ada 3 macam susunan kabel UTP yaitu: straight, crossover, dan rollover (console).
36 Kabel straight digunakan untuk menghubungkan peralatan yang tidak sejenis, contoh : komputer dengan hub. Kabel crossover untuk menghubungkan peralatan yang sejenis, contoh : komputer dengan komputer. Sedangkan kabel rollover untuk mengatur setting peralatan, contoh : router. 2. Kabel Coaxial Kabel coaxial adalah kabel yang pertama kali digunakan untuk LAN. Saat ini masih digunakan, walaupun banyak yang telah berganti dengan twisted pair. Saat ini kabel coaxial banyak juga digunakan sebagai kabel televisi. Kabel coaxial dapat mendukung transmisi data hingga 10 mbps dengan jarak mencapai 500 meter. Tetapi harganya sedikit lebih mahal daripada UTP, dan pemasangannya sulit, harus dilakukan grounding untuk mencegah interferensi. Kabel coaxial terdiri dari suatu konektor di tengahnya dan jaringan tembaga halus yang melindunginya. Diantaranya dipisahkan dengan plastik insulator (dielektrik) dan shield terluar yang terbuat dari foil. Dengan susunan demikian, aliran data akan terlindungi dari medan elektromagnetik. Untuk menghubungkan kabel coaxial dengan peralatan lain digunakan BNC Connector. 3. Fiber Optik Biasanya digunakan untuk pengkabelan backbone. Kabel ini menggunakan berkas cahaya sebagai penghantar data. Kabel fiber optic tidak terpengaruh oleh aliran listrik maupun medan magnet, memiliki
37 kecepatan tinggi dan dapat mencapai jarak yang jauh tanpa kehilangan data. Kabel fiber optic jauh lebih mahal jika dibandingkan dengan kabel tembaga biasa, memerlukan peralatan yang lebih mahal, dan pemasangannya sulit.
2.1.7
Perangkat Jaringan 1. Modems Modem (modulators-demonulators) adalah perangkat end user yang digunakan untuk mengirimkan sinyal digital melalui line telepon analog (Cole, 2005, p422). Dengan demikian, sinyal digital yang dikonversi oleh modem menjadi sinyal analog dari frekuensi - frekuensi yang berbeda dan dikirimkan ke sebuah modem pada lokasi penerima. Modem penerima melakukan transformasi balik dan menyediakan sebuah keluaran digital ke perangkat yang terhubung dengan sebuah modem, biasanya komputer. Data digital ini biasanya dikirimkan ke atau dari modem lewat serial line melalui standar industri RS-232. 2. Hub Hub adalah suatu perangkat menghubungkan multiple LAN secara bersama-sama (Cole, 2005, p423). Hub juga berperan sebagai penguat sinyal. Hubs tidak melakukan packet filtering atau fungsifungsi pengalamatan yang lain. 3. Bridge Bridge adalah perangkat yang digunakan untuk menghubungkan dua atau lebih host atau network secara bersama-sama (Cole, 2005,
38 p423). Bridges bekerja hanya pada physical dan link layer dan menggunakan
alamat
Medium
Access
Control
(MAC)
untuk
mengirimkan frame. Peranan dasar dari Bridges pada arsitektur jaringan adalah menyimpan dan meneruskan frames diantara segment yang terhubung. Secara khas, sebuah bridge dapat memiliki lebih dari dua ports, artinya lebih dari dua element jaringan dapat dikombinasikan untuk berkomunikasi satu dengan lainnya dengan menggunakan sebuah bridge. 4. Switch Switch secara umum memiliki peran yang lebih pintar dibanding dengan hubs (Cole, 2005, p423). Ia memiliki kemampuan untuk membaca paket yang datang kemudian mengirim mereka ke tujuan yang semestinya. Frames dapat hilang jika host yang dituju unreachable atau disconnected.. 5. Router Router adalah suatu peralatan penghubung intelligent yang dapat mengirimkan paket melalui segment LAN yang benar dimana tujuannya berada. (Cole, 2005, p423) Router menghubungkan segment LAN pada lapisan Network dari OSI Reference Model untuk komunikasi komputer-ke-komputer. Jaringan yang dihubungkan oleh router dapat menggunakan protokol jaringan yang sama ataupun berbeda. Sebuah router dapat bertindak sebagai salah satu dari tipe berikut:
39 1. Central Acts sebagai backbone jaringan, menghubungkan banyak LAN. 2. Peripheral Connects dari LAN pribadi menuju suatu router central atau router lain di sekelilingnya. 3. Local Operates didalam batasan panjang kabel LAN. 4. Remote Connects diluar dari peralatannya, mungkin melalui modem atau hubungan remote. 5. Internal Part dari suatu file server jaringan. 6. External Located pada suatu workstation dalam jaringan. Router terhubung pada sedikitnya dua jaringan dan menentukan kemana
akan
mengirimkan
setiap
paket
data
berdasarkan
penelusurannya terhadap keadaan jaringan dimana router tersebut terhubung. Router membuat dan menyimpan tabel yang berisi router yang tersedia dan menggunakan informasi ini untuk menentukan rute terbaik untuk data paket yang akan diteruskan. Dalam meneruskan paketnya router menggunakan pengalamatan layer 3 dari OSI Reference Model. 6. Gateway Gateways bekerja pada transport dan session layer, pada model OSI. Gateway digunakan ketika berhadapan dengan mulitprotocol transport layer dan diatasnya (Cole, 2005, p424).
40 2.1.8
Firewall Firewall adalah suatu peralatan atau grup dari peralatan yang mengontrol akses diantara jaringan (Rhee, 2003). Sebuah firewall secara umum terdiri atas filters dan gateway, bermacam – macam dari firewall ke firewall. Firewall adalah suatu gateway keamanan yang mengontrol akses diantara Internet publik dengan Intranet dan merupakan sistem komputer yang diletakkan diantara jaringan yang dipercaya dengan sebuah untrustend Internet. Metode - Metode yang dapat dijalankan oleh firewall: 1. Packet Filtering Paket yang masuk akan dianalisa dengan serangkaian filter. Paket yang telah berhasil di filter akan dilewatkan ke requesting system dan yang tidak berhasil akan dibuang. 2. Proxy service Informasi dari Internet akan diambil oleh firewall dan kemudian dikirimkan ke requesting system ataupun sebaliknya. 3. Stateful inspection. Merupakan metode yang lebih baru dimana metode ini tidak memeriksa isi dari setiap paket. Metode ini membandingkan paket yang diterima dengan database yang ada yang dipercayai sebagai informasi yang boleh melewati firewall. Informasi yang berasal dari dalam firewall yang keluar selalu dimonitor untuk karakteristik tersebut. Jika perbandingan tersebut masuk ke dalam kriteria maka informasi tersebut diperbolehkan untuk masuk. Jika tidak informasi tersebut akan dihapus.
41
Filter paket data oleh firewall dilakukan berdasarkan beberapa kriteria, yaitu: 1. IP address. IP address adalah unik. IP address terbagi atas 4 oktet yang mewakili angka biner 32 bit dalam bentuk desimal. Contohnya: 192.168.0.4 2. Domain Names. Merupakan nama yang dipetakan dari IP address yang fungsinya adalah agar IP address yang sangat susah diingat akan lebih mudah dituliskan. Dengan filer ini, firewall akan dapat memblokir nama domain tertentu atau hanya mengizinkan domair tertentu yang bisa akses. 3. Protocols Protocols merupakan satu set peraturan yang menjadi sebuah standar dalam menggunakan sebuah service. Protokol pada umumnya adalah teks dan secara sederhana menggambarkan bagaimana client dengan server bisa berkomunikasi. Beberapa protokol yang dapat dikendalikan oleh firewall adalah sebagai berikut: •
IP (Internet Protocol) merupakan sistem pengiriman informasi melalui Internet.
•
TCP digunakan untuk memecah dan membangun kembali
42 informasi yang berjalan di dalam Internet. •
HTTP
digunakan
untuk
sebagai
protokol
untuk
menampilkan halaman web. •
FTP digunakan untuk download dan upload file.
•
UDP digunakan untuk informasi yang tidak memerlukan response, seperti streaming audio dan video.
•
ICMP digunakan untuk router, untuk pertukaran informasi antara satu router dengan yang lainnya.
•
SMTP digunakan untuk mengirim teks berdasar kepada informasi.
•
SNMP digunakan untuk mengumpulkan system informasi dari remote komputer.
•
Telnet digunakan untuk menampilkan perintah dan remote komputer.
4. Ports Beberapa server menyediakan pelayanannya melalui port. Contohnya: jika server tersebut bertindak dalam memberikan pelayanan dalam bentuk web server maka port 80 pada server tersebut harus dibuka atau disediakan. Ataupun FTP yang menggunakan port 21. Portport ini dapat diblok untuk mencegah para hacker masuk dari port tersebut.
43 5. Specific words and phrase Firewall akan melakukan sniffing terhadap paket informasi yang lewat yang berisikan sekumpulan teks yang ada pada list. Misalnya: Anda dapat menginstruksikan firewall untuk memblokir semua paket yang mengandung kata "X-rated".
2.1.9
Proxy Server Proxy Server adalah suatu server yang berada diantara suatu aplikasi client, seperti Web Browser, dan server yang dituju. Proxy Server menangkap semua request terhadap server yang dituju untuk melihat jika request yang diminta dapat dipenuhi oleh Proxy Server sendiri. Jika tidak, Proxy Server akan meneruskan request ke server yang dituju. Proxy Server yang besar dapat melayani ratusan hingga ribuan user. Proxy Server memiliki tujuan untuk meningkatkan performance dari suatu kelompok user, karena Proxy Server menyimpan semua request untuk suatu waktu tertentu (caching) sehingga akan langsung menyediakan data yang sering diminta, seperti halaman web populer, dan dapat menyaring dan menolak request yang tidak sesuai untuk user, seperti request terhadap akses yang tidak diperbolehkan terhadap file tertentu. Biasanya Proxy Server mengharuskan user melakukan autentifikasi (umumnya User ID dan password), sebelum memperbolehkan akses terhadap server yang dituju. Proxy Server juga dapat membatasi port mana yang request-nya diteruskan oleh Proxy Server. Sehingga dapat disimpulkan, tugas Proxy Server mencakup fungsi keamanan, kontrol
44 terhadap akses, dan caching dokumen. Suatu Proxy Server memisahkan LAN dari Internet dan mengatur lalu lintas diantaranya.
2.1.9.1 Cara Kerja Proxy Server 1. Pada saat user melakukan request terhadap suatu halaman Web atau suatu server di luar jaringan lokal, maka request tersebut akan diteruskan pada Proxy Server yang digunakan pada setting di dalam komputer user. 2. Proxy Server menerima request dan akan mengecek di dalam cache yang dimiliki apakah request tersebut telah dimiliki sebelumnya dan apakah isinya masih belum expired. 3. Jika dimiliki dan belum expired maka Proxy Server akan mengembalikan request yang diminta oleh user. 4. Jika tidak dimiliki atau sudah expired maka Proxy Server akan meneruskan request ke server yang dituju dan hasil dari request akan disimpan dalam cache Proxy Server sehingga jika ada request berikutnya tidak perlu meneruskan ke server yang berada di luar jaringan lokal. 5. Kemudian Proxy Server akan mengembalikan request yang diminta oleh user.
45 2.1.9.2 Jenis – Jenis Proxy Server Ada beberapa jenis Proxy Server, yaitu: 1. Transparent Proxy Server Proxy Server yang meneruskan request dan mengembalikan response yang tidak dimodifikasi, kecuali yang dibutuhkan untuk authentikasi proxy. 2. Non Transparent Proxy Server Proxy Server yang memodifikasi request atau response untuk memberikan nilai tambah kepada client atau user. 3. Rewriting Proxy Server Bentuk khusus dari Non-Transparent Proxy Server yang memeriksa URL pada dokumen HTML yang melewati Proxy dan menuliskannya kembali untuk menujuk kepada Proxy Server.
2.2
Teori – Teori Khusus 2.2.1
Definisi Virtual Private Network Virtual Private Network (VPN) adalah sebuah jaringan private Wide Area Network (WAN) menggunakan fasilitas publik seperti internet (Gupta 2003). Secara sederhana, VPN adalah sebuah perpanjangan dari jaringan private melalui sebuah jaringan umum yang lebih aman dan biaya yang efektif untuk menghubungkan dua ujung yang berkomunikasi (Gupta 2003).
46 2.2.2
Persyaratan Virtual Private Network (VPN) Sebuah jaringan Virtual Private Network (VPN) adalah sebuah jaringan pribadi yang dimodifikasi yang menguatkan LAN tradisional atau aturan Intranet sepanjang dengan Internet dan jaringan publik lainnya untuk komunikasi secara aman dan ekonomis(Gupta 2003). Sebagai hasilnya, kebanyakan syarat – syarat VPN dan jaringan pribadi tradisional adalah sama. Berikut ini syarat – syarat dari VPN: •
Keamanan
•
Ketersediaan
•
Quality of Service (QoS)
•
Dapat dipercaya
•
Kesesuaian
•
Dapat dikelola
1. Keamanan Jaringan – jaringan pribadi dan Intranet – Intranet menawarkan lingkungan keamanan yang tinggi karena sumber daya jaringan tidak dapat diakses oleh publik. Oleh karena itu kemungkinan orang yang tidak memiliki hak mengakses intranet dan sumber dayanya sangat rendah. Bagaimanapun, perkiraan ini tidak benar untuk VPN yang menggunakan internet dan jaringan publik lainnya seperti Public Switched Telephone Networks (PSTNs), untuk komunikasi. Data dan sumber daya dilokasikan dalam jaringan yang bisa diamankan dengan cara berikut :
47 •
Implementasi dari mekanisme pertahanan yang mengijinkan hanya jalur yang memiliki hak dari sumber yang dipercaya ke dalam jaringan dan memblok semua jalur lainnya. Firewall dan Network Address Translation (NAT) adalah contoh mekanisme pertahanan yang diimplementasikan pada titik dimana sebuah jaringan private atau intranet berhubungan ke jaringan publik. NAT disisi lain, tidak membuka alamat IP asli dari sebuah sumber yang terletak didalam jaringan. Sehingga, hacker dan penyerang lainnya tidak dapat menarget sumber yang spesifik dalam intranet dan berikut data yang disimpan disana.
•
Implementasi
dari
pemakai
dan
paket
autentikasi
untuk
membangun identitas dari pemakai dan menentukan apakah dia akan diijinkan untuk mengakses sumber VPN dalam jaringan. Model Authentication Authorization Accounting (AAA) adalah sebuah contoh dari sistem autentikasi pemakai. Pertama itu autentikasi pemakai mengakses jaringan. Setelah pemakai berhasil autentikasi, pemakai bisa mengakses sumber daya yang diijinkan untuk digunakan. Sebagai tambahan sebuah catatan kegiatan yang detil dari semua jaringan pemakai juga dipelihara, yang mengijinkan pengatur jaringan untuk melacak kegiatan yang tidak diijinkan. •
Implementasi dari mekanisme enkripsi data untuk memastikan keaslian, keutuhan dan kerahasiaan dari data pada saat data dikirim melalui sebuah jaringan yang tidak dipercaya. Internet
48 Protocol
Security
(IPSec)
telah
muncul
sebagai
sebuah
mekanisme enkripsi data yang paling kuat. Tidak hanya enkripsi data yang dikirim, tetapi juga autentikasi dari masing – masing pemakai dan paket secara sendiri – sendiri. 2. Ketersediaan dan dapat dipercaya Ketersediaan menunjuk pada jumlah uptime dari jaringan. Dalam jaringan private dan Intranet, uptime umumnya tinggi karena keseluruhan infrastruktur mengatur secara lengkap sebuah organisasi. Bagaimanapun, VPN menggunakan jaringan menengah dalam bentuk internet dan PSTN. Oleh karena itu, aturan berbasis VPN sangat besar tergantung pada jaringan menengah. Dalam skenario ini faktor ketersediaan sangat besar tergantung pada Internet Service Provider (ISP) yang digunakan. Umumnya, ISP memastikan ketersediaan dalam bentuk Service Level Agreement (SLA). Sebuah SLA tertulis kesepakatan antara ISP dan pemakai yang menjamin uptime dari jaringan. Walaupun mahal, beberapa ISP menawarkan uptime jaringan sebesar 99 persen. ISP
yang
menawarkan
sebuah
infrastruktur
switching
backbone yang kuat, meliputi: •
Kemampuan routing yang kuat, yang mengijinkan routing ulang pada jaringan melewati jalur alternatif jika jalur utama rusak.
49 •
Kelebihan dari jalur – jalur akses yang bisa digunakan untuk mengakomodasi meningkatnya permintaan akan bandwidth jaringan.
•
Secara penuh infrastruktur berlebihan dengan automatis failover. Infrastruktur ini tidak hanya termasuk peralatan yang hot swappable (server dan peralatan penyimpanan), tetapi juga pembangkit listrik dan sistem pendingin. Ketersediaan adalah syarat utama lainnya dari VPN. VPN
memastikan pengantaran ujung ke ujung data dalam segala situasi. Seperti kebanyakan aturan jaringan lain, dapat dipercaya dalam sebuah lingkungan berbasis VPN bisa diperoleh dengan paket switching ke sebuah jalur yang berbeda, jika link atau peralatan dalam jalur yang diberikan rusak. 3. Quality of Service Quality of Service (QoS) adalah kemampuan untuk sebuah jaringan untuk merespon kepada situasi yang kritis dengan menugaskan sebuah persentasi bandwidth jaringan yang tinggi dan sumber daya untuk misi yang kritis (Gupta 2003). Aplikasi seperti videoconferencing
sangat
sensitif
terhadap
penundaan
dan
memerlukan bandwidth yang cukup untuk menghindari kualitas transmisi yang buruk. Itu adalah tanggung jawab dari QoS untuk mengalokasi bandwidth yang cukup untuk aplikasi ini tanpa ada penundaan.
50 QoS terdiri dari dua dimensi yang kritis yaitu latency dan throughput. Latency adalah penundaan dalam komunikasi yang berjalan dan yang sangat penting untuk aplikasi audio dan video. Throughput menunjuk pada ketersediaan bandwidth yang tepat untuk semua aplikasi. Tergantung pada level latency dan throughput yang dijanjikan dalam penyedia layanan, QoS bisa dibagi menjadi 3 kategori antara lain: •
Best
Effort
QoS.
Kelas
layanan
ini,
mengindikasikan
ketidakhadiran dari QoS karena penyedia layanan menjamin tidak ada latency maupun throughput. Karena ini, Best Effort QoS ini adalah layanan tidak mahal dan tidak mesti digunakan untuk jalur yang sensitif dengan penundaan. •
Relative QoS. Kelas layanan ini mampu memprioritaskan lalu lintas data. Oleh karena itu paling tidak throughput dijamin. Bagaimanapun, jaminan ini tidak absolut dan tergantung pada muatan pada jaringan dan persentase dari lalu lintas data yang perlu diprioritaskan pada waktu yang diberikan. Sebagai tambahan, kelas layanan ini tidak mempunyai ketetapan untuk meminimalkan latency.
•
Absolute QoS. Kelas ini menjamin throughput sebaik latency. Oleh karena itu ini merupakan kelas layanan yang paling mahal dan mendukung Bandwidth – intensive dan aplikasi yang sensitif terdapat penundaan.
51 4. Dapat dikelola Pengontrolan lengkap terhadap sumber daya jaringan dan operasi, management yang cocok, telah menjadi sangat penting untuk semua organisasi dengan jaringan yang tersebar secara global. Kebanyakan organisasi terhubung dengan semua sumber dayanya melalui bantuan penyedia layanan. Sebagai hasilnya, pengontrolan ujung ke ujung dari sebuah intranet organisasi tidak mungkin karena ditengahi oleh intranet ISP. Organisasi mengatur sumber daya mereka sejauh mereka adalah jaringan perusahaan, sementara penyedia layanan mengatur aturan jaringan mereka. Dengan ketersediaan dari perangkat VPN sekarang
dan
kesepakatan antara ISP dan organisasi, telah menjadi mungkin untuk menghilangkan batas tradisional dari management sumber daya dan mengatur keseluruhan jaringan pribadi dan publik yang menjadi bagian dari VPN ujung ke ujung. Sebuah organisasi bisa mengatur, memantau, dan merawat jaringannya
seperti model tradisional.
Organisasi mempunyai pengaturan lengkap terhadap akses jaringan dan hak untuk memantau status, kinerja VPN dan alokasi biaya. 5. Kesesuaian VPN menggunakan jaringan publik untuk koneksi jarak jauh. Jaringan menengah ini bisa berbasis IP, seperti internet ataupun teknologi
jaringan
Asynchronous
lainnya
Transfer
seperti
Mode
Frame
(ATM).
Relay
VPN
(FR)
harus
dan dapat
menggunakan semua jenis teknologi dan protokol tersebut. Jaringan
52 menengah berbasis IP, VPN harus mampu menggunakan alamat IP dan aplikasi IP. Untuk memastikan kecocokan dengan sebuah infrastruktur IP. Berikut metode yang bisa diintegrasikan pada VPN: •
Menggunakan IP gateways. IP gateways mengkonversi protokol yang bukan IP ke bentuk IP. Peralatan ini bisa merupakan peralatan jaringan atau bisa merupakan perangkat lunak. Sebagai peralatan, IP gateways secara umum diimplementasikan pada tepi sebuah intranet organisasi. Sebagai perangkat lunak, IP gateways terinstall disetiap server untuk mengkonversi lalu lintas dari yang bukan IP menjadi bentuk IP.
•
Menggunakan Tunneling. Tunneling adalah teknik untuk membungkus paket data yang bukan IP kedalam paket IP untuk dikirim melalui infrastruktur IP. Di ujung lain, untuk menerima paket yang terbungkus, memproses dan menghapus header IP untuk menerima informasi asli.
•
Menggunakan Virtual IP Routing (VIPR). VIPR bekerja dengan membagi secara logikal sebuah fisik router yang terletak pada penyedia layanan. Setiap bagian dikonfigurasi dan diatur sebagai sebuah router dan bisa mendukung sebuah VPN tersendiri. Sebagai hasilnya, bagian router logikal bisa mendukung banyak protokol dan mampu menangani alamat IP yang private.
53 2.2.3
Bagian – bagian Jaringan Virtual Private Network (VPN) Ada 6 Bagian dari sebuah VPN, antara lain : •
Perangkat Keras VPN, meliputi VPN server, client, dan perangkat keras lainnya seperti VPN router, gateways dan concentrators.
•
Perangkat Lunak VPN, meliputi server dan client dan alat – alat untuk mengelola.
•
Keamanan dari infrastruktur organisasi, meliputi RADIUS, TACACS, NAT, dan AAA.
•
Penyedia layanan infrastruktur, meliputi layanan penyedia akses switching backbone dan Internet Backbone
•
Jaringan Publik, meliputi internet, Public Switched Telephone Networks (PSTNs), dan Plain Old Telephone Services (POTS)
•
Tunnels, meliputi PPTP, L2TP, atau L2F
2.2.3.1 Perangkat Keras VPN Perangkat keras VPN adalah VPN server, VPN client, dan perangkat keras lainnya seperti VPN router dan concentrator. •
VPN Server Umumnya, VPN server adalah sebuah perangkat jaringan yang menjalankan software server. Tergantung pada persyaratan organisasi, mungkin ada satu atau lebih server. Karena sebuah VPN server harus menyediakan layanan untuk jarak jauh sebaik dengan VPN client yang berada dilokal,
54 mereka
selalu
beroperasi
dan
siap
untuk
menerima
permintaan. Fungsi utama dari VPN server meliputi: •
Mendengarkan permintaan koneksi VPN
•
Mengadakan persyaratan dan parameter koneksi seperti enkripsi dan mekanisme autentikasi.
•
Autentikasi dan autorisasi VPN client.
•
Menerima data dari client dan meneruskan data yang diminta oleh client.
•
•
Bertindak sebagai titik akhir dari tunnel dan koneksi VPN.
VPN Clients VPN client adalah mesin lokal atau jarak jauh yang memulai sebuah koneksi VPN ke sebuah VPN server dan masuk ke jaringan setelah mereka autentikasi pada jaringan jarak jauh. Hanya setelah berhasil masuk ke VPN server dan client berkomunikasi dengan masing – masing. Secara umum, sebuah VPN client adalah perangkat lunak. Bahkan bisa merupakan sebuah perangkat keras. Dengan meningkatnya pekerjaan yang berpindah – pindah dari sebuah organisasi, banyak pemakai mungkin memiliki profil yang berpindah - pindah. Pemakai ini menggunakan sebuah VPN untuk berkomunikasi secara aman kepada intranet organisasi. Profil – profil VPN client khas, meliputi:
55 •
Pemakai yang menggunakan internet atau sebuah jaringan publik untuk menghubungi sumber daya organisasi dari rumah.
•
Pemakai mobile dengan laptop, palmtop dan notebook yang
menggunakan
sebuah
jaringan
publik
untuk
menghubungi intranet organisasi dengan tujuan untuk mengakses mail dan sumber daya intranet lainnya. •
Pengatur jarak jauh yang menggunakan jaringan publik seperti internet untuk menghubungi area yang jauh untuk mengatur, memantau, dan mengkonfigurasi layanan dan peralatan.
•
VPN Routers, Concentrators, and Gateways Dalam VPN skala kecil. VPN server bisa bertanggung jawab pada routing. Bagaimanapun, dalam prakteknya tidak efektif digunakan dalam VPN skala besar yang menangani permintaan dalam jumlah yang banyak. Dalam hal ini, sebuah peralatan routing VPN diperlukan. Umumnya sebuah router berada pada ujung jaringan pribadi . Peranan dari sebuah VPN router adalah membuat bagian jauh dari intranet terjangkau. Oleh karena itu, router secara utama bertanggung jawab untuk menemukan semua jalur yang mungkin menuju ke tujuan dan memilih jalur terpendek dari sekelompok router. Meskipun router normal bisa digunakan dalam VPN, para ahli menyarankan menggunakan VPN router yang sudah
56 dioptimalisasi.
Router
ini,
digunakan
untuk
routing,
menyediakan keamanan, dapat dikembangkan dan QoS. IP
gateways
digunakan
untuk
menterjemahkan
protokol yang bukan IP menjadi IP. Sebagai hasilnya gateways ini mengijinkan sebuah jaringan pribadi untuk mendukung transaksi berbasis IP. Perangkat ini bisa merupakan perangkat keras maupun perangkat lunak.
2.2.3.2 Perangkat Lunak VPN Solusi perangkat lunak yang digunakan dalam VPN dibagi menjadi 3 kategori antara lain: •
VPN server . Microsoft Windows 2000, Windows NT, Novell NetWare, dan Linux umumnya diinstall pada sebuah VPN server. Dengan kata lain, mesin apapun yang memiliki Network Operating Systems (NOS) dan digunakan untuk melayani permintaan VPN client disebut VPN server.
•
VPN client. Komputer jaringan apapun yang menghasilkan permintaan ke VPN server disebut VPN client. Sistem operasinya seperti Windows 95/98 atau sistem operasi lainnya.
•
VPN management. Aplikasi – aplikasi ini digunakan untuk mengatur, mengawas, mengkonfigurasi dan menyelesaikan masalah pada VPN.
57 2.2.3.3 Keamanan dari Infrastruktur Organisasi Keamanan infrastruktur dari organisasi adalah elemen lain yang penting dari keseluruhan design VPN. Design dan perencanaan keamanan infrastruktur yang bagus bisa melindungi sebuah intranet organisasi dari berbagai macam bencana. Mekanisme keamanan Infrastruktur VPN merupakan kombinasi : •
Firewalls
•
Network Address Translation (NAT)
•
Authentication servers and databases
•
AAA architecture
•
IPSec protocol
1. Firewalls Sebuah firewall, bertindak sebagai sebuah selimut pelindung dan melayani sebagai penghambat yang efektif kepada percobaan untuk mengakses sumber daya didalam intranet organisasi oleh semua yang tidak memiliki hak (Gupta 2003). Sebagai tambahan untuk peranan utama dari keamanan sebuah intranet atau jaringan pribadi dari ancaman luar, firewall juga bertanggung jawab untuk mencegah efek dari penyerangan terhadapan keseluruhan intranet. Firewall bisa beroperasi pada alamat – alamat IP secara spesifik, port yang digunakan, jenis – jenis paket, jenis – jenis aplikasi dan bahkan isi dari data.
58 2. Network Address Translation (NAT) Peralatan berbasis NAT mengijinkan pekerja untuk mengakses sumber daya jarak jauh dan jaringan tanpa membuka alamat IP internal pemakai dari sebuah jaringan pribadi atau intranet. NAT juga diimplementasikan pada peralatan dari sebuah intranet dan setiap komunikasi diarahkan melewatinya. 3. Authentication Servers and Databases Remote Access Dial-In User Services (RADIUS) and Terminal
Access
Controller
Access
Control
System
(TACACS) adalah beberapa dari implementasi server dan database autentifikasi (Gupta 2003). Mereka menawarkan mekanisme autentifikasi dan autorisasi yang kuat untuk autentikasi jarak jauh. Perangkat ini paling efektif ketika mereka diletakkan didalam intranet organisasi dan menerima setiap permintaan autentifikasi dari penyedia layanan. Dengan cara ini, sebuah organisasi bisa menjalankan pengontrolan penuh seluruh percobaan untuk mengakses meskipun intranet penyedia layanan menengah. 4. Authentication Authorization Accounting (AAA) Architecture Authentication Authorization Accounting (AAA) adalah mekanisme autentifikasi yang banyak diimplementasikan dan diimplementasikan hampir semua akses jarak jauh sebaik akses secara lokal (Gupta 2003). Mekanisme keamanan ini
59 bisa diimplementasikan sebagai sebuah teknologi tambahan untuk RADIUS / TACACS, sebagai tambahan pada layar autentifikasi lainnya. AAA menyediakan pertanyaan yang paling penting berkaitan akses jarak jauh, meliputi: •
Siapa yang mengakses jaringan
•
Layanan dan sumber daya jaringan apa yang diijinkan untuk diakses
•
Apa kegiatan pemakai dan kapan mereka melakukannya.
5. IPSec Protocol IPSec adalah teknologi keamanan yang paling baru dalam VPN. Tidak seperti teknologi keamanan lainnya, IPSec tidak bisa menjadi sebuah pengukuran yang opsional (Gupta 2003). Itu harus menjadi satu kesatuan dari VPN karena itu menyediakan
keamanan
yang
tinggi
dan
mekanisme
keamanan yang maju, yang menawarkan algoritma enkripsi yang sangat kuat dan pemakai yang luas dan paket autentifikasi tersendiri.Bagaimanapun sistem dari komunikasi harus
IPSec
untuk
mendukung
teknik
enkripsi
dan
autentifikasi. IPSec menyediakan data enkripsi dan autentifikasi antara elemen berikut: •
Client to server
•
Client to router
60 •
Firewall to router
•
Router to router
2.2.3.4 Penyedia Layanan Infrastruktur Bagian yang penting dalam design VPN adalah penyedia layanan infrastruktur kerena penyedia layanan infrastruktur dititik akses antara sebuah jaringan Intranet organisasi dan sebuah jaringan publik yang tidak aman (Gupta 2003). Jika infrastruktur pada penyedia layanan tidak kuat, kinerja tinggi, dan aman, bisa mengakibatkan bottlenecks. Jika pengukur keamanan tidak keras pada layanan penyedia layanan, penyewa intranet organisasi mungkin akan mudah diserang dengan semua jenis ancaman, seperti spoofing atau Denial-of-Service. Karena ini, penyedia layanan infrastruktur tidak hanya ketersediaan yang tinggi dan kinerja yang baik, tetapi juga keamanan yang kuat. Hal yang dapat dipercaya dari penyedia layanan infrastruktur adalah tergantung pada 2 elemen. Jaringan akses switching backbone dan Internet backbone dari ISP Fitur yang harus dilihat untuk sebuah penyedia layanan switching backbone, yang terdapat pada inti dari sebuah penyedia layanan Point Of Presence (POP), meliputi: •
Harus mampu mendukung bermacam – macam teknologi, seperti Frame Relay, ATM, IP, Voice over IP (VoIP), dan lainnya. Untuk tujuan ini penyedia layanan switching
61 backbone harus mendukung kedua Virtual IP Routing (VIPR) dan Virtual Private Trunking (VPT). •
Harus dapat mendukung semua opsi tunneling yang banyak dipakai seperti, PPTP, L2TP, dan L2F.
•
Harus dapat diperbesar dan beradaptasi untuk perubahan cepat pada jaringan.
•
Harus menawarkan QoS yang tinggi pada tarif biaya yang efektif. Untuk meningkatkan tingkat QoS, penyedia layanan jaringan akses switching backbone harus menawarkan kemampuan pengelolaan bandwidth dinamis, kompresi untuk meningkatkan keseluruhan throughput dan tenaga listrik.
•
Harus memastikan tingkat pengukuran keamanan yang tinggi, seperti IPSec, RADIUS dan sertifikasi. Fitur – fitur untuk melihat komponen kedua dari penyedia layanan infrastruktur – WAN backbone meliputi:
•
Harus menawarkan jangkaunya yang luas dari akses WAN, seperti jalur ISDN, X.25, leased lines dan jalur T1.E1.
•
Harus mampu menangani jumlah port LAN dan WAN yang banyak.
•
Harus menawarkan throughput yang tinggi, latency yang rendah dan uptime yang tinggi.
•
Harus mampu mendukung pertumbuhan VPN sebaik internet.
•
Harus mampu menghasilkan standart routing industri, seperti Routing Information Protocol (RIP), Open Shortest Path First
62 (OSPF), Exterior Gateway Protocol (EGP), dan Border Gateway Protocol (BGP).
2.2.4
Protokol – Protokol VPN Protokol – protokol yang digunakan dalam VPN ada beberapa, antara lain: 2.2.4.1 Point-to-Point Protocol (PPP) PPP
adalah
sebuah
protokol
enkapsulasi
yang
memfasilitasi transportasi dari lalu lintas jaringan melalui hubungan serial point to point (Gupta 2003). Keuntungan terbesar dari PPP adalah ia dapat dioperasikan pada Data Terminal Equipment (DTE) atau Data Conection Equipment (DCE). keuntungan lain dari PPP adalah ia tidak membatasi akses transmisi. Ketika transmisi, hanya batasan transimission based yang dipaksakan oleh interface DCE/DTE dalam penggunaannya. Akhirnya kebutuhan PPP hanya ketersediaan koneksi duplex (2 arah), dimana dapat di synchronous atau asynchronous dan dapat beroperasi baik dengan mode switched atau dedicated. Disamping mengengkapsulasi data IP dan data non IP dan transportasi melalui hubungan serial, PPP juga bertanggung jawab untuk fungsi berikut: •
Menugaskan dan mengelola alamat IP ke non IP
•
Mengkonfigurasi dan mengetes hunbungan yang terjalin
•
Enkapsulasi datagram secara Asynchronous and synchronous
63 •
Pendeteksi error ketika terjadi transmisi
•
Multiplexing dari multiple protokol jaringan layer 2
•
Perundingan dari parameter konfigurasi opsional, seperti kompresi data dan pengalamatan Operasi yang dilakukan oleh protokol Point to Point ini
antara lain: 1. Setelah paket data diengkapsulasi, node sumber mengirim frame Link Control Protocol (LCP) melalui hubungan pointto-point ke node yang dituju. 2. Frame tersebut digunakan untuk mengkonfigurasi hubungan parameter secara spesifik dan mengetes hunbungan yang terjadi, jika diperlukan. 3. Setelah node tujuan menerima permintaan koneksi dan sebuah hubungan sukses terjadi, fasilitas opsional dirundingkan, jika dispesifikasi oleh Link Control Protocol (LCP). 4. Node sumber kemudian mengirim frame Network Control Protocol (NCP) untuk memilih dan mengkonfigurasi protokol layer Network PPP juga bertanggung jawab untuk mengontrol hubungan yang telah terbangun diantara 2 node. PPP menggunakan Link Control Protocol (LCP) untuk tujuan ini, dimana Link Control Protocol (LCP) bertanggung jawab untuk fungi-fungsi berikut : •
Membantu dalam mendirikan hubungan PPP
64 •
Mengkonfigurasi hubungan yang didirikan untuk memenuhi kebutuhan dalam berkomunikasi
•
Mengerjakan pemeliharaan secara regular dari hubungan PPP yang terjadi
•
Memutuskan hubungan jika pertukaran data antara 2 node selesai.
2.2.4.2 Point-to-Point Tunneling Protocol (PPTP) Point-to-Point Tunneling Protocol (PPTP) adalah suatu solusi yang tepat yang memungkinkan pertukaran data secara aman antar remote klien dan suatu server perusahaan dengan menciptakan suatu VPN melalui IP-based (Gupta 2003). PPTP ditawarkan atas permintaan melalui internetworks VPNs tidak aman. PPTP merupakan ekstensi dari PPP. PPP memenuhi fungsi-fungi berikut dalam transaksi yang berdasar PPTP : •
Mendirikan
dan
memutuskan
koneksi
fisik
antara
communicating ends. •
Menguji klient PPTPs.
•
Encrypts IPX, NetBEUI, NetBIOS, and TCP/IP datagrams untuk menghasilkan PPP datagrams dan mengamankan pertukaran data antara node-node yang terlibat. Komponent dari PPTP adalah
•
Sebuah client PPTP
65 •
Sebuah Network Access Server (NAS)
•
Sebuah server PPTP
1. client PPTP Suatu PPTP client adalah suatu jaringan yang mendukung PPTP dan dapat meminta node lain untuk suatu sesi VPN. Jika koneksi diminta dari suatu server remote, PPTP client harus menggunakan jasa dari suatu ISP's NAS. Untuk itu, client harus dihubungkan untuk suatu modem, dimana digunakan untuk menetapkan suatu dial-up PPP koneksi kepada ISP. client PPTP harus pula dihubungkan dengan suatu alat VPN sehingga ia dapat menyelubungi permintaan (dan data yang yang berikut, jika permintaan diterima) ke alat VPN pada jaringan yang remote. Hubungan ke alat remote VPN menggunakan koneksi dial-up yang pertama kepada ISP's NAS dalam rangka menetapkan suatu terowongan antar alat VPN alat melalui Internet atau yang lain 2. Server PPTP PPTP Server adalah node jaringan yang mendukung PPTP dan mampu untuk menservis permintaan untuk sesi VPN dari nodes-remote lainnya atau lokal. Dalam merespon terhadap permintaan remote, server ini harus pula mendukung kemampuan routing. Suatu Remote Access Server ( RAS) dan Sistem Operasi Jaringan (NOS) yang mendukung PPTP,
66 seperti Windows NT Server 4.0, dapat bertindak sebagai suatu PPTP server 3. PPTP Network Access Servers (NASs) PPTP NASs ditempatkan di ISP dan menyediakan koneksi Internet ke client yang dial-in menggunakan PPP. kemungkinan dari banyak client meminta suatu sesi VPN secara bersamaan adalah tinggi, server ini harus mampu untuk mendukung berbagai klien secara bersamaan. Juga, PPTP client tidaklah terbatas ke Microsoft NOSs saja. Oleh karena itu, PPTP NASs harus mampu untuk menangani suatu cakupan
luas
klien
mencakup
client
Windows-based
Microsoft, Unix, dan client Macintosh. Bagaimanapun, adalah penting bahwa client ini mendukung koneksi PPTP ke NASs. Operasi yang dilakukan oleh protokol Point-to-Point Tunneling Protocol (PPTP) ini antara lain: •
Mendirikan koneksi yang berbasis PPP
•
Mengontrol koneksi
•
PPTP tunneling dan transfer data Sebuah paket data
PPTP melewati berberapa tahap
enkapsulasi sebagai berikut: 1. Enkapsulasi dari data. Informasi yang asli dienkrip dan kemudian dienkaspsulasi dengan sebuah frame PPP. Sebuah header PPP ditambahkan ke frame
67 2. Enkapsulasi dari frame PPP. Resultan dari frame PPP kemudian dienkapsulasi degan sebuah Generic Routing Encapsulation ( GRE) yang telah dimodifikasi. Header GRE yang dimodifikasi terdiri dari 4-byte field acknowledgement dan sebuah corresponding acknowledgement bit yang mengingatkan akan kehadiran dari field acknowledgement 3. Enkapsulasi dari paket GRE packets. Kemudian, sebuah header IP ditambahkan ke frame PPP, dimana dienkapsulasi ke dalam paket GRE, header IP ini berisis alamat IP dari client PPTP sumber dan server tujuan.
2.2.4.3 Layer 2 Forwarding (L2F) L2F dibuat dengan tujuan utama : •
memungkinkan transaksi aman.
•
Menyediakan akses melalui infrastruktur dasar dari Internet dan internetworking umun lainnya.
•
Medukung jarak yang luas dari teknologi networking, seperti ATM, FDDI, IPX, Net BEUI, dan Frame Relay. Selain diatas L2F juga memiliki kemajuan dalam akses
teknologi remote: tunnel L2F dapat mendukung lebih dari satu sesi secara bersamaaan dengan tunnel yang sama. Proses yang terjadi pada protokol Layer 2 Forwarding (L2F) Ketika sebuah dial-up remote client memulai sebuah
68 koneksi ke sebuah host yanng terdapat dalam private Internet, proses berikut terjadi secara berurutan : 1. Pengguna jarak jauh memulai sebuah koneksi PPP ke ISP. Jika Pengguna jarak jauh adalah bagian dari LAN setup user diperbolehkan memperkerjakan ISDN atau koneksi yang seperti itu untuk menghubungkan ke ISP. 2. Jika NAS terdapat padat ISP's POP menerima permintaan hubungan, koneksi PPP didirikan antara NAS dengan user. 3. pemakai di autentikasi pada ISP. 4. Jika tidak terdapat tunnel ke gateway dari jaringan yang diinginkan, satu diinisialisasi. 5. Setelah sebuah tunnel berhasil didirikan, sebuah multiplex ID (MID) yang unik dialokasikan ke koneksi. Sebuah pesan peringatan juga dikirim ke jaringan host ke host gateway. 6. Gateway mungkin menerima permintaan koneksi atau menolaknya. Jika permintaan ditolak, user diperingati tentang permintaan yang gagal. Sebaliknya. Jika permintaan diterima, host gateway mengirim initial setup notification ke remote client. 7. Setelah pengguna di autentikasi oleh host gateway, sebuah virtual interface didirikan antara dua ujung. Setelah sebuah tunnel antara dua ujung terjadi, frame layer 2 dapat dipertukarkan melalui tunnel sebagai berikut :
69 1. Pengguna jarak jauh melanjutkan frame normal ke NAS yang terdapat pada ISP. 2. POP
menghilangkan
informasi
Data
Link
layer
dan
menambahkan header L2F dan trailer ke frame. 3. Host gateway menerima paket tunnel tersebut, menghilangkan header L2F dan trailer dan melanjutkan frame ke node tujuan melalui internet. 4. Node tujuan memproses frame yang diterima sebagai nontunneled frame.
2.2.4.4 Layer 2 Tunneling Protocol (L2TP) Keuntungan Layer 2 Tunneling Protocol L2TP : •
L2TP
mendukung
multiple
protocols
dan
teknologi
networking, seperti IP, ATM, FR, and PPP. •
L2TP memungkinkan berbagai teknologi untuk memenuhi akses infrastruktur menengah dari Internet dan jaringan publik lainnya, seprti PSTN.
•
L2TP tidak memerlukan implementasi dari software ekstra manapun, seperti tambahan driver atau sistem operasi support.
•
L2TP memungkinkan pengguna jarak jauh dengan alamat IP yang belum diregister untuk mengakses sebuah jaringan jarak jauh melalui sebuah jaringan publik.
•
L2TP authentication dan authorization dilaksanakan oleh network gateways. Karena itu, ISP tidak perlu untuk mengurus
70 database autentikasi pemakai atau akses untuk pengguna jarak jauh. Proses yang terjadi pada L2TP. Ketika sebuah remote user perlu mendirikan sebuah L2TP tunnel melalui internet atau public network lainnya, langkah-langkah berikut terjadi: 1. Pengguna jarak jauh mengirim permintaan koneksi ke ISP NAS yang terdekat dan melakukan insialisasi sebuah koneksi PPP dengan ISP. 2. NAS menerima permintaan koneksi setelah mengautentikasi pengguna. NAS menggunakan metode autentikasi berbasis PPP seperti PAP, CHAP, SPAP, dan EAP. 3. NAS kemudian memicu LAC, yang memperoleh informasi dari LNS. 4. Kemudian, LAC mendirikan LAC-LNS tunnel melalui intermediate internetwork diantara dua ujung. Media tunnel media dapat berupa ATM, Frame Relay, or IP/UDP. 5. Setelah tunnel berhasil didirikan, LAC mengalokasikan Call ID (CID) ke koneksi dan mengirim sebuah pesan peringatan ke LNS. Pesan peringatan ini berisi informasi yang dapat digunakan untuk autentikasi pengguna jarak jauh. Pesan ini juga membawa opsi LCP yang telah dirundingkan antara user dan LAC. 6. LNS menggunakan informasi yang diterima untuk autentikasi pengguna. Jika autentikasi user berhasil dan LNS menerima
71 permintaan tunnel, sebuah interface virtual PPP (L2TP tunnel) didirikan dengan bantuan dari opsi LCP dalam menerima pesan peringatan. 7. remote user dan LNS kemudian mulai melakukan pertukaran data melalui tunnel.
2.2.4.5 Internet Protocol SECurity (IPSec) IPSec mengacu pada sebuah protokol suite (AH, ESP, FIP-140-1, dan standar yang lain) yang dikembangkan oleh Internet Engineering Task Force (IETF). Tujuan utama dibalik pengembangam IPSec adalah untuk menyediakan sebuah framework keamanan pada leyer ketiga (Network layer) dari OSI model. Security Associations (SAs) adalah konsep dasar dari IPSec protocol suite. Pengertian IPSec SA: •
Protokol authentication, kunci, dan algorithma.
•
mode
dan
kunci
untuk
authentication
algorithma
menggunakan protokol Authentication Header (AH) atau Encapsulation Security Payload (ESP) dari IPSec suite. •
Algoritma dan kunci encryption and decryption.
•
Informasi yang berkaitan dengan kunci, seperti interval perubahan dan interval waktu hidup dari kunci.
•
Informasi yang berhubungan dengan SA itu sendiri, dimana termasuk alamat sumber SA dan interval waktu untuk hidup.
72 •
Penggunaan dan ukuran dari cryptographic synchronization yang digunakan. IPSec SA terdiri dari 3 field, antara lain:
•
SPI
(Security
Parameter
Index).
Field
32-bit
ini
menindetifikasikan protokol keamanan. SPI dibawa sebagai bagian dari header dari protokol keamaann dan secara normal dipilih dengan sistem tujuan ketika SA dirundingkan. •
Destination IP address. Alamat IP dari node tujuan. Meskipun ini mungkin alamat broadcast, unicast, atau multicast, mekanisme management SA didefinisikan hanya pada sistem unicast.
•
Security protocol. Ini merepresentasikan protokol keamanan IPSec, dimana dapat AH atau ESP. Sebuah IPSec SA menggunakan 2 database. Security
Association
Database
(SAD)
mengatur
informasi
yang
berhubungan dengan setiap SA. Informasi ini termasuk kunci algoritma, SA lifespan, dan urutan angka. IPSec database yang kedua Security Policy Database (SPD), mengatur informasi tentang layanan keamanan dengan list of inbound and outbound policy entries. Mirip dengan peraturan firewall dan packet filters, masukan-masukan ini mendefinisikan traffic apa yang harus diproses dan traffic apa yang harus di biarkan dari tiap standar IPSec.
73 Protokol keamanan dari IPsec menawarkan 3 kapabilitas utama : •
Authentication and Data Integrity. IPSec menyediakan mekanisme kuat untuk mengecek autentikasi dari pengirim dan mengidentifikasi modifikasi yang tidak terdeteksi dari isi paket oleh penerima. Protokol IPSec menawarkan proteksi kuat melawan spoofing, sniffing and denial-of-service.
•
Confidentiality. Protokol IPSec protocols mengenkripsi data menggunakan
teknik
advanced
cryptographic,
dimana
mencegah user yang tidak memiliki hak mengakses data ketika data dikirim. IPSec juga menggunakan mekanisme tunneling untuk menyembunyikan alamat IP ke dari sumber dan penerima dari eavesdroppers. •
Key management. IPSec menggunakan protokol Internet Key Exchange (IKE), untuk menegosiasikan protokol keamana dan algoritma enkripsi sebelum dan ketika sesi komunikasi. Dua kapabilitas pertama dari IPSec suite —authentication
,data integrity, dan confidentiality disediakan dengan 2 kunci protokol dalam IPSec suite. Protocol ini termasuk Authentication Header (AH) dan Encapsulating Security Payload (ESP). Kapabilitas ketiga, dinamakan management kunci, yang diturunkan dari protokol yang lain, yang diadopsi dengan IPSec suite Karena layanan management kunci yang kuat. Protokol ini dinamakan IKE.
74 Protokol
Authentication Header (AH) menambahkan
header tambahan ke IP datagram. Header ini melayani untuk autentikasi IP asal pada penerima. Header ini membantu mengidentifikasi setiap modifikasi yang tidak terdeteksi dari isi datagram oleh user yang tidak memiliki hak ketika terkirim. Tujuan utama dari ESP adalah untuk menyediakan confidentiality sebagai tambahan ke pengirim autentikasi dan verifikasi dari keutuhan data ketika transit. ESP mengenkripsi isi dari datagram menggunakan alogritma advanced encryption, seperti yang telah dispesifikasi oleh SA. Beberapa algoritma enkripsi digunakan oleh ESP termasuk DES-CBG, NULL, CAST128, IDEA, and 3DES. Internet Key Exchange (IKE) membantu komunikasi antar anggota menegosiasi parameter keamanan dan kunci autentikasi sebelum sesi IPSec diimplementasikan. Parameter keamanan yang ternegosiasi adalah salah satu yang didefinisikan dalam SA. Disamping negosiasi dan mendirikan parameter keamanan dan kunci cryptographic. IKE juga bertanggung jawab untuk menghapus SA tersebut dan kunci setelah sebuah sesi yang berbasiskan IPSec selesai. Internet Key Exchange (IKE) terdiri dari 2 phase, antara lain:
75 I. IKE Phase I IKE Phase I pertama autentikasi dan kemudian mendirikan sebuah kanal IKE yang aman. Secara umum, anggota menegosiasi sebuah persetujuaan ISAKMP SA, yang menyusun algoritma enkripsi, fungsi hash, dan metode autentikasi yang kunci enkripsi. Framework ISAKMP ini menggunakan assosiasi keamanan yang telah didirikan. Setelah mekasnisme enkripsi dan fungsi hash disetujui, sebuah kunci master rahasia dihasilkan. Informasi berikut digunakan untuk menghasilkan kunci rahasia : •
Nilai Diffie-Hellman
•
SPI dari ISAKMP SA dalam bentuk cookies
•
Angka acak yang dikenal sebagai nonces Jika 2 anggota setuju untuk menggunakan kunci public
autentikasi, mereka juga perlu untuk menukarkan ID mereka. Setelah menukarkan informasi mereka, mereka menghasilkan set kunci mereka menggunakan shared secret. II. IKE Phase II Meskipun fase I mendirikan SA untuk ISAKMP, Phase II berhunbungan dengan pendirian dari SAs untuk IPSec. Pada phase ini, SA digunakan oleh servis yang berbagai jenis. Mekanisme autentikasi, fungsi hash, dan algoritma enkripsi yang melindungi paket IPSec (menggunakan AH dan ESP) dari sebuah bagian dari phase SA.
76 Phase II negosiasi terjadi lebih sering dari Phase I. Secara umum, negosiasi dapat diulangi setiap 4 – 5 menit. Modifikasi yang sering dari kunci enkripsi ini mencegah hacker dari membobol kunci dan subsequently, isi dari paket yang asli. Secara umum, sesi fase II korensponden dengan sebuah sesi Phase I tunggal. lagipula, multiple Phase II pertukaran dapat juga didukung oleh sebuah turunan Phase I tunggal. ini membuat transaksi IKE melambat secara cepat.
