BAB 2 LANDASAN TEORI
Bab ini berisi teori-teori pendukung yang perlu digunakan dalam pembuatan aplikasi ini, diantaranya adalah pengenalan jaringan, model referensi jaringan, peralatan jaringan, media jaringan, arsitektur jaringan, internet, serta penjelasan mengenai virtual private network dan hal-hal yang terkait dengannya.
2.1
Jaringan Jaringan (Norton, 1999, p5) adalah kumpulan dua atau lebih komputer beserta
perangkat-perangkat
lain
yang
dihubungkan
agar
dapat
saling
berkomunikasi dan bertukar informasi, sehingga membantu menciptakan efisiensi, dan optimasi dalam kerja. Jaringan komputer (Turban, 2003, p178) adalah rangkaian yang terdiri dari media komunikasi, peralatan, dan perangkat lunak yang dibutuhkan untuk menghubungkan dua atau lebih sistem komputer. Jaringan komputer diperlukan organisasi atau perusahaan maju untuk banyak alasan, antara lain untuk berbagi perangkat keras, aplikasi komputer, database dalam perusahaan.
2.2
Model Referensi Jaringan Model referensi adalah suatu konsep cetak-biru dari bagaimana seharusnya komunikasi berlangsung, menjelaskan semua proses yang diperlukan oleh komunikasi yang efektif, dan membagi proses-proses tersebut menjadi kelompok
7
8 logis yang bernama layer (Lammle, 2004, p8). Terdapat dua model jaringan, yaitu : model OSI dan model TCP/IP.
Gambar 2.1 Model Referensi Jaringan
2.2.1
OSI Model ini diciptakan berdasarkan sebuah proposal yang dibuat oleh the International Standards Organization (ISO) pada tahun 1977 sebagai langkah awal menuju standardisasi protokol internasional. Model ini disebut ISO OSI (Open System Interconnection) Reference Model karena model ini ditujukan bagi pengkoneksian open system (Tanenbaum, 2003, p37). Open system dapat diartikan sebagai suatu sistem yang terbuka untuk berkomunikasi dengan sistem-sistem lainnya. Sebagai contoh, OSI memungkinkan terjadinya transfer data di antara komputer yang menggunakan Unix dan PC atau Mac. OSI terdiri atas tujuh layer, yang dapat dijelaskan sebagai berikut:
9 Tabel 2.1 OSI Model
Layer
Application
Presentation Session Transport
Network
Data Link
Physical
2.2.2
Tugas Menyediakan user interface, bertanggung jawab mengidentifikasikan dan memastikan keberadaan partner komunikasi yang dituju serta menentukan apakah sumber daya komunikasi yang dituju cukup tersedia. Menyajikan data ke layer application dan bertanggung jawab pada penerjemahan data dan format kode (program). Menjaga terpisahnya data dari aplikasi yang satu dengan data dari aplikasi yang lain. Melakukan segmentasi dan menyatukan kembali data yang tersegmentasi menjadi sebuah arus data, menyediakan mekanisme untuk multiplexing. Mengelola pengalamatan peralatan, melacak lokasi peralatan di jaringan dan menentukan cara terbaik untuk memindahkan data. Menyediakan transmisi fisik dari data dan menangani notifikasi error, topologi jaringan dan flow control. Menentukan kebutuhan listrik, mekanis, prosedural, dan fungsional mengaktifkan, mempertahankan, dan menonaktifkan hubungan fisik antarsistem.
TCP/IP Transmission Control Protocol/Internet Protocol (TCP/IP) dibuat oleh Departemen of Defence (DoD) untuk memastikan dan menjaga integritas data (Lammle, 2004, p67). Dengan desain dan implementasi yang benar, network TCP/IP bisa menjadi sangat fleksibel dan bisa diandalkan. Pada dasarnya model TCP/IP adalah versi pemadatan model OSI, yang terdiri atas empat layer, yaitu :
10 Tabel 2.2 TCP/IP Model
Layer Application
Transport
Internet Network Access
Tugas Mengintegrasikan berbagai macam aktivitas dan tugas, mendefinisikan protokol untuk komunikasi aplikasi node-node dan juga mengontrol spesifikasi user interface. Mendefinisikan protokol untuk mengatur level service transmisi untuk aplikasi, menciptakan komunikasi end-to-end, menangani packet sequencing, dan menjaga integritas data. Menjaga pengalamatan host dengan memberikan alamat IP dan menangani routing dari paket yang melalui beberapa jaringan. Memonitor pertukaran data antara host dan jaringan.
Tabel 2.3 Protokol TCP/IP
Layer
Protokol Telnet TFTP
Application Transport
FTP SMTP
SNMP Xwindow
TCP ICMP
Internet
UDP ARP
RARP IP
Ethernet
Network Access
2.2.2.1
LPD NFS
Fast Ethernet
Toke n
FDDI Ring
Transmission Control Protocol (TCP) TCP merupakan protokol reliable connection-oriented yang mengijinkan sebuah aliran byte yang berasal pada suatu mesin untuk dikirimkan tanpa error ke sebuah mesin yang ada di internet. TCP memecah aliran byte data menjadi pesan-pesan diskret dan meneruskannya ke internet layer. Pada mesin tujuan, proses TCP penerima merakit kembali pesan-pesan yang diterimanya menjadi aliran output. TCP juga menangani
11 pengendalian aliran untuk memastikan bahwa pengirim yang cepat tidak akan membanjiri pesan-pesan yang akan diterima penerima yang lambat (Tanenbaum, 2003, p42). 2.2.2.2
Internet Protocol (IP) IP bisa dikatakan sebagai layer internet. IP melihat alamat dari tiap paket kemudian dengan menggunakan routing table menentukan ke mana selanjutnya paket itu dikirim melalui jalur yang terbaik. IP menerima segmen dari layer transport kemudian memfragmentasi mereka menjadi datagram (paket-paket) jika diperlukan. IP lalu menata kembali datagram tersebut menjadi segmen pada sisi penerima data. Setiap paket atau datagram dilengkapi dengan alamat IP dari pengirim dan penerima (Lammle, 2004, p86).
2.3
Perangkat Jaringan Peralatan yang terhubung langsung ke jaringan dapat diklasifikasikan ke dalam dua bagian. Yang pertama adalah perangkat end–user (host). Contoh perangkat end–user antara lain: komputer, printer, scanner dan perangkat lainnya yang menghasilkan service secara langsung kepada user. Klasifikasi kedua adalah perangkat jaringan. Perangkat jaringan termasuk semua peralatan yang terhubung ke perangkat end-user sehingga membuat perangkat–perangkat end–user tersebut bisa berkomunikasi (Cisco Certified Network Associate 1, 2003, modul 2.1.3). Berikut ini adalah penjabaran tentang perangkat jaringan:
12
1. Network Interface Card (NIC) NIC merupakan suatu papan sirkuit yang dirancang untuk dipakai di dalam slot ekspansi suatu PC. NIC biasa disebut juga network adapter. Setiap NIC memiliki nama atau kode yang unik, yang biasa disebut Media Access Control (MAC). Alamat inilah yang digunakan untuk mengontrol komunikasi data pada host di dalam jaringan. 2. Modem Modem (modulator demodulator) merupakan perangkat yang mampu mengubah sinyal digital menjadi analog, begitu juga sebaliknya.
Modem
banyak digunakan komputer-komputer rumah dan jaringan sederhana untuk dapat berkomunikasi dengan jutaan komputer lain dalam lalu lintas internet. 3. Repeater Repeater merupakan perangkat jaringan yang digunakan untuk membangkitkan ulang sinyal. Repeater membangkitkan ulang sinyal analog maupun sinyal digital yang mengalami distorsi sehingga menghindari kesalahan transmisi. Repeater biasa digunakan untuk menghubungkan jaringan yang jaraknya cukup jauh, sehingga sinyal yang ditransmisikan lebih reliable. Perangkat ini tidak melaksanakan routing seperti halnya bridge atau router. 4. Hub Prinsip kerja hub adalah mengkonsentrasikan sambungan. Dengan kata lain, mengambil sejumlah host kemudian membuat host–host tersebut terlihat seperti satu unit dalam jaringan. Proses ini dilakukan secara pasif, tanpa efek-
13 efek
lain
pada
transmisi
data.
Sedangkan
hub
aktif
tidak
hanya
mengkonsentrasikan host, tetapi juga membangkitkan ulang sinyal. 5. Bridge Bridge mengkonversi format data transmisi jaringan. Bridge juga memiliki kemampuan untuk melakukan pengaturan transmisi data. Seperti namanya, bridge menyediakan hubungan antar LAN. Bahkan bridge juga melakukan pengecekan data untuk menentukan apakah data itu harus melalui bridge atau tidak. Dengan fungsi ini, jaringan akan lebih efisien. 6. Switch Switch lebih “pintar” dalam mengatur transfer data. Tidak hanya menentukan kemana arah data dalam LAN, tetapi switch bisa mentransfer data hanya kepada koneksi yang memerlukan data. Perbedaan lain antara bridge dan switch adalah switch tidak mengkonversi format transmisi data. 7. Router Router memiliki semua kemampuan perangkat jaringan. Router dapat membangkitkan
ulang
sinyal,
mengkonsentrasikan
banyak
koneksi,
mengkonversi format transmisi data, dan mengatur transfer data. Router digunakan dalam jaringan WAN.
2.4
Media Jaringan Dalam perancangan jaringan komputer dibutuhkan media-media yang digunakan untuk membangun jaringan komputer. Media-media umum dalam jaringan komputer, antara lain: 2.4.1
Media Kabel
14
2.4.1.1
Twisted Pair Media transmisi yang paling umum untuk sinyal analog dan sinyal digital adalah twisted pair. Twisted pair juga merupakan media yang paling banyak digunakan dalam jaringan telepon serta bertindak sebagai ‘penopang’ untuk komunikasi di dalam suatu bangunan gedung. Selain itu, twisted pair adalah media kabel yang paling hemat dan paling banyak digunakan (Stallings, 2004, p96).
2.4.1.2
Coaxial Cable Coaxial Cable juga dipergunakan untuk mentransmisikan baik sinyal analog maupun sinyal digital, namun coaxial cable memiliki karakteristik frekuensi yang jauh lebih baik dibanding karakteristik twisted pair, karenanya mampu digunakan dengan efektif pada rate data dan frekuensi yang lebih tinggi. Coaxial cable digunakan dalam beberapa aplikasi, antara lain : distribusi siaran televisi, transmisi telepon jarak jauh, penghubung sistem komputer jangkauan pendek dan local area network (Stallings, 2004, p102).
2.4.1.3
Fiber Optic Fiber
optic
dianggap
andal
digunakan
dalam
telekomunikasi jarak jauh, dan mulai dimanfaatkan untuk keperluan militer. Peningkatan kinerja dan penurunan dalam hal
15 harga, serta manfaatnya yang besar, membuat fiber optic mulai dianggap menarik untuk local area network. Karakteristik yang membedakan fiber optic dari twisted pair ataupun coaxial cable antara lain : kapasitas yang lebih besar, ukuran yang lebih kecil dan bobot yang lebih ringan, atenuasi yang lebih rendah, dan jarak repeater yang lebih besar (Stallings, 2004, p103). 2.4.2
Media Nirkabel Untuk media nirkabel, transmisi dan penangkapan diperoleh melalui sebuah alat yang disebut dengan antena. Untuk transimisi, antena menyebarkan energi elektromagnetik ke dalam media (biasanya udara), sedangkan untuk penerimaan sinyal, antena menangkap gelombang elektromagnetik dari media. Pada dasarnya terdapat dua jenis konfigurasi untuk transmisi nirkabel, yaitu searah dan segala arah. Beberapa contoh media nirkabel, antara lain : gelombang mikro terrestrial, gelombang mikro satelit, radio broadcast, gelombang inframerah dan millimeter, serta transmisi lightwave.
2.5
Bandwidth dan Throughput Bandwidth
didefinisikan
sebagai
sejumlah
informasi
yang
bisa
ditransmisikan melalui koneksi jaringan dalam suatu periode waktu tertentu (Cisco Certified Network Associate 1, 2003, modul 2.2.1). Satuan ukuran bandwidth adalah bits per second (bps). Sedangkan throughput merupakan actual bandwidth, dalam periode waktu tertentu dalam suatu hari. Ukuran throughput pasti jauh lebih kecil dari ukuran
16 maksimum bandwidth pada suatu media. (Cisco Certified Network Associate 1, 2003, modul 2.2.5) 2.6
Macam Jaringan Berdasarkan ukuran, jarak yang dapat dijangkau, dan arsitektur fisiknya, jaringan dapat dibagi menjadi tiga kategori umum yaitu LAN, MAN, dan WAN (Forouzan, 2004, p13). 2.6.1
Local Area Network (LAN) LAN adalah sejumlah komputer yang saling terhubung satu sama lain didalam suatu areal tertentu yang tidak begitu luas, seperti didalam satu kantor, gedung atau kampus (Forouzan, 2004, p13). Secara tradisional, LAN mempunyai kecepatan transfer data dari 4 sampai 16 Mbps, namun dalam perkembangannya, kecepatan transfer data meningkat dan dapat mencapai 100 Mbps. LAN menyediakan koneksi yang sifatnya full-time. Jaringan yang sifatnya lokal menyediakan kontrol jaringan secara private di bawah kendali administrasi lokal.
Gambar 2.2 Local Area Network (LAN)
2.6.2
Metropolitan Area Network (MAN) Sebuah MAN (Metropolitan Area Network), biasanya mencakup area yang lebih besar dari LAN, misalnya antar wilayah dalam satu propinsi atau MAN ditujukan untuk menghubungkan jaringan komputer dalam satu kota. MAN bisa berupa satu jaringan tunggal seperti jaringan televisi kabel,
17 atau bisa berupa penggabungan sejumlah LAN menjadi jaringan yang lebih besar. MAN biasanya dimiliki dan dioperasikan oleh sebuah perusahaan tertentu, seperti perusahaan publik atau perusahaan telepon lokal (Forouzan, 2004, p14).
Gambar 2.3 Metropolitan Area Network (MAN)
2.6.3
Wide Area Network (WAN) WAN menyediakan transmisi data, suara, gambar atau informasi video untuk jarak yang sangat jauh di lingkup geografi yang besar, seperti negara, benua, atau mungkin seluruh dunia (Forouzan, 2004, p15). WAN menghubungkan beberapa LAN yang terpisahkan pada jarak yang jauh. Koneksi WAN menyediakan koneksi jaringan yang sifatnya full-time ataupun part-time.
Gambar 2.4 Wide Area Network (WAN)
Sebuah WAN dapat menggunakan sejumlah jenis koneksi yang berbeda. Beberapa jenis koneksi WAN (Lammle, 2005, pp557-559) :
18
1. Leased line Leased line disebut sebagai koneksi titik-ke-titik (point-to-point) atau koneksi yang dedicated (artinya koneksi yang disediakan khusus untuk pelanggan, dimana bandwidthnya khusus untuk satu pelanggan saja). Sebuah leased line adalah sebuah alur komunikasi WAN dari CPE (Customer Premises Equipment ) yang telah ditetapkan sebelumnya oleh service provider. Koneksi leased line menghubungkan CPE lokal dengan CPE di lokasi remote melalui DCE device. Hal ini memungkinkan jaringan-jaringan DTE berkomunikasi pada setiap saat dengan tanpa melalui prosedur setup terlebih dahulu sebelum melakukan transmisi data. Leased line menggunakan sambungan serial yang synchronus yang dapat mencapai 45 Mbps.
Gambar 2.5 Leased Line
2. Circuit switching Koneksi
circuit
switching
bekerja
dengan
membangun
dedicated circuit yang sifatnya sementara. Dedicated circuit tersebut digunakan untuk setiap session komunikasi data yang terbentuk. Pada awalnya circuit switching dikembangkan untuk mengirimkan paket suara, akan tetapi sekarang juga digunakan untuk pengiriman paket
19 data. Circuit switching menggunakan modem dial-up atau ISDN, dan digunakan untuk transfer data dengan bandwidth kecil.
Gambar 2.6 Circuit Switching
3. Packet switching Packet switching adalah metode pengiriman paket data dengan cara memecah-pecah paket menjadi paket-paket yang lebih kecil. Packet switching tidak bekerja berdasarkan dedicated circuit. Metode ini
merupakan
sebuah
metode
switching
pada
WAN
yang
memungkinkan berbagi lines dengan perusahaan lain untuk menghemat biaya.
Gambar 2.7 Packet Switching
Sedangkan beberapa protokol-protokol WAN yang paling banyak digunakan dewasa ini (Lammle, 2005, pp559-560) antara lain : 1. Frame Relay Sebuah teknologi packet-switched yang muncul pada awal tahun 1990. Frame relay adalah penerus dari X.25 yang dulu digunakan untuk melakukan kompensasi terhadap physical error. Frame relay dapat lebih efektif dari segi biaya dibandingkan sambungan titik-ke-
20 titik, dapat berjalan pada kecepatan 64 Kbps, dan dapat mencapai 45Mbps (T3). Frame relay menyediakan fungsi-fungsi tambahan untuk alokasi bandwidth dinamis dan pengendalian congestion. 2. Integrated Services Digital Network (ISDN) ISDN adalah sekumpulan layanan digital yang memindahkan suara dan data melalui sambungan telepon yang ada. ISDN
dapat
menyediakan sebuah solusi yang efektif dari segi biaya untuk penggunaan remote yang membutuhkan koneksi yang lebih cepat daripada yang ditawarkan oleh sambungan dial-up. ISDN adalah pilihan yang baik sebagai link back-up untuk jenis koneksi lain seperti frame relay atau koneksi T-1. 3. Link Access Procedure Balanced (LAPB) LAPB diciptakan untuk menjadi sebuah protokol congestionoriented pada layer data link untuk digunakan dengan X.25. LAPB juga dapat digunakan sebagai sebuah transport data link yang sederhana. 4. High-Level Data-Link Control (HDLC) HDLC dikembangakan dari Synchronus Data Link Control (SDLC) yang diciptakan oleh IBM sebagai sebuah protokol koneksi data link. HDLC adalah sebuah protokol di layer data link yang memiliki overhead yang kecil dibandingkan dengan LAPB. HDLC tidak dimaksudkan untuk membungkus protokol-protokol layer network yang berbeda-beda melalui link yang sama. 5. Point-to-Point Protocol (PPP)
21 PPP adalah sebuah protokol standard industri. Karena semua versi multiprotokol HDLC bersifat proprietary, maka PPP dapat digunakan
untuk
menciptakan
sambungan
titik-ke-titik
antara
perlengkapan dari vendor-vendor yang berbeda. PPP menggunakan sebuah field Network Control Protocol di header data link untuk melakukan identifikasi protokol layer network. PPP mengizinkan otentikasi dan koneksi multilink dan dapat berjalan melalui link yang asynchronus dan synchronus 6. Asynchronus Transfer Mode (ATM) ATM diciptakan untuk lalulintas data yang sensitif terhadap waktu, menyediakan transmisi suara, video, dan data yang serentak. ATM menggunakan cell yang panjangnya 53 byte. ATM juga dapat menggunakan
isochronus
clocking
(clocking
external)
untuk
mempercepat perpindahan data.
2.7
Arsitektur Jaringan 2.7.1
Peer-to-Peer Networks Sebuah jaringan peer-to-peer mendukung akses tak terstruktur ke sumber-sumber daya jaringan. Setiap peralatan di dalam jaringan peer-topeer dapat menjadi client dan server secara bersamaan (Norton, 1999, p133). Semua peralatan di dalam jaringan dapat mengakses data, software, dan semua sumber daya jaringan lain secara langsung. Keuntungan dari jaringan peer-to-peer antara lain : relatif mudah diimplementasikan dan dioperasikan, tidak mahal dalam pengoperasiannya,
22 dapat dibuat dengan sistem operasi yang lazim, seperti Windows 95/98, Windows NT/2000, dan Windows untuk workgroups. Tetapi jaringan peerto-peer memiliki beberapa keterbatasan dalam hal tingkat keamanan, daya guna dan pelaksanaan.
Gambar 2.8 Peer-to-Peer Network
2.7.2
Client-Server Networks Dalam sistem ini setiap pengguna mendapatkan sebuah komputer, dengan data yang disimpan pada satu atau lebih mesin file server yang dapat dipakai bersama-sama. Para pengguna biasa disebut client. Umumnya komunikasi pada model client-server berbentuk pesan permintaan untuk melaksanakan berbagai pekerjaan dari client kepada server. Setelah server melaksanakan tugasnya, kemudian hasilnya akan dikirimkan kembali ke client (Tanenbaum, 2003, pp4-5). Jaringan client-server juga sering dikenal dengan server-based networks. Jaringan client-server dapat dibuat, dan dijaga dengan lebih aman daripada jaringan peer-to-peer, karena keamanan dikontrol secara terpusat. Keuntungan yang lain adalah tugas administrasi, seperti backup, dapat dilakukan secara konsisten dan handal. Kelemahan yang ada adalah jaringan ini membutuhkan biaya yang lebih besar dibandingkan jaringan peer-to-peer.
23 Gambar 2.9 Client-Server Network
2.8
Kepemilikan Jaringan Jaringan hardware dan software dapat dimiliki oleh perusahaan ataupun perseorangan, atau juga dapat dimiliki oleh perusahaan telekomunikasi. Sebuah jaringan dimiliki dan digunakan oleh perusahaan tunggal atau perseorangan disebut private networks, dan jaringan yang dimiliki oleh umum disebut public networks (Comer, 2004, p236). 2.8.1 Private Networks Teknologi LAN merupakan bentuk umum private network. Perusahaan kecil kemungkinan besar memiliki satu atau lebih private LAN yang menghubungkan komputer dalam gedung tunggal atau lokasi tunggal. Sedangkan perusahaan besar mempunyai ratusan private LAN. Untuk menjalankan sebuah private network, sebuah perusahaan membutuhkan karyawan yang dapat menciptakan dan mengoperasikan jaringan. Sebuah jaringan dikatakan private jika pengguna jaringan terbatas hanya pada perusahaan atau pemilik tunggal. Keuntungan dari private networks antara lain pemilik mempunyai kuasa penuh dan keamanan data perusahaan lebih terjamin. Sedangkan kelemahannya, private networks mahal untuk penginstalan dan pemeliharaan. 2.8.2
Public Networks
24 Kebalikan dari private network, sebuah public network dianalogikan sebagai sistem telepon − jaringan dijalankan sebagai layanan yang tersedia bagi pelanggan. Karena itu, perusahaan atau perseorangan manapun dapat berlangganan dan memperoleh sebuah koneksi ke komputer mereka. Jadi, sebuah public network yang tersedia untuk banyak pelanggan di banyak lokasi lebih atraktif daripada yang hanya melayani area geografi yang sempit. Hampir semua public networks adalah WAN. Keuntungan dari public networks antara lain kefleksibelan dan kemampuan untuk digunakan tanpa pemeliharaan teknisi ahli. Sedangkan yang menjadi kelemahannya adalah tingkat keamanan yang rendah.
2.9
Internet Setelah TCP/IP dinyatakan sebagai satu-satunya protokol resmi pada 1 Januari 1983, jumlah jaringan, mesin, dan pengguna yang terhubung ke ARPANET bertambah dengan pesatnya. Pada saat NSFNET dan ARPANET diinterkoneksikan, pertumbuhannya menjadi eksponensial. Banyak jaringan regional yang bergabung dan koneksi-koneksipun dibuat untuk membangun jaringan di Kanada, Eropa, dan Pasifik. Pada pertengahan tahun 1980-an, orang mulai memandang kumpulan jaringan-jaringan tersebut sebagai internet, dan kemudian disebut Internet (Tanenbaum, 2003, p56). Sebuah mesin dikatakan berada di internet bila mesin itu mengoperasikan stack protokol TCP/IP, memilik alamat IP, dan memiliki kemampuan untuk mengirim paket IP ke semua mesin lainnya di Internet. Secara tradisional, Internet memiliki empat aplikasi utama sebagai berikut (Tanenbaum, 2003, p57) :
25 1. E-mail Kemampuan menyusun, mengirim, dan menerima e-mail telah ada sejak awal ARPANET dan sangat popular. E-mail dianggap sebagi cara utama berinteraksi dengan dunia luar, lebih jauh daya jangkaunya dibanding telepon dan snail mail (surat pos). 2. News Newsgroup merupakan forum khusus dimana pengguna yang memiliki kesenangan yang sama dapat saling bertukar pesan. 3. Remote Login Pemakaian Telnet, Rlogin, atau program-program lainnya, pengguna yang berada dimanapun di Internet dapat melakukan log ke mesin lainnya dimana ia mempunyai account. 4. Transfer File Penggunaan program FTP adalah memungkinkan pengguna untuk menyalin file dari satu mesin di Internet ke mesin lainnya. Sejumlah artikel, database, dan informasi lainnya bisa diperoleh dengan cara ini.
2.10 Virtual Private Network (VPN) 2.10.1 Pengertian VPN VPN (Virtual Private Network) didefinisikan sebagai suatu konektifitas jaringan yang dibangun pada suatu infrastruktur jaringan internet, namun dengan kebijakan-kebijakan dan sekuritas seperti layaknya pada jaringan private. (Cisco Certified Network Profesional 2, 2003, Modul 13.1.1). VPN adalah komunikasi jaringan, yang dibangun untuk
26 penggunaan pribadi terhadap suatu enterprise, melalui suatu infrastruktur bersama.
“Infrastruktur
bersama”
yang
dimaksud
adalah
internet
(Perlmutter, 2000, p10).
Gambar 2.10 Virtual Private Network
Tiga fungsi utama VPN : (Cisco Certified Network Profesional 2, 2003, Modul 13.1.1) 1. Enkripsi Pengirim dapat mengenkripsi paket data sebelum dikirim melewati jaringan, sehingga jika paket data disadap tidak akan terbaca. 2. Integritas Data Penerima dapat memastikan bahwa data dikirimkan melalui jaringan internet tanpa mengalami perubahan. 3. Otentikasi Sumber Data Penerima dapat membuktikan keaslian sumber paket data, menjamin sumber informasi. VPN menawarkan banyak keuntungan dibandingkan konektifitas dengan metode leased line. Beberapa keuntungan yang ditawarkan antara lain : 1. Biaya yang lebih murah 2. Fleksibilitas 3. Pengelolaan yang lebih sederhana 4. Tunneled Network Topology 2.10.2 Komponen Kunci VPN
27 Komponen-komponen inti yang biasanya digunakan pada VPN antara lain : (Cisco Certified Network Profesional 2, 2003, Modul 13.1.5)
1. Tunnel Koneksi point-to-point semu yang digunakan untuk membawa data dari suatu protokol (seperti ciphertext terenkripsi) yang dibungkus ke dalam protokol lain (seperti IP). 2. Encryption dan Decryption Enkripsi merupakan suatu proses mengubah isi informasi, yang biasa disebut clear text (atau plain text) menjadi bentuk yang tersembunyi yang biasa disebut ciphertext sehingga tidak bisa dibaca oleh orang-orang yang tidak diberi kuasa. Dekripsi mengubah ciphertext menjadi bentuk clear text kembali seperti semula sehingga dapat dibaca oleh orang-orang yang diberi kuasa. 3. Cryptosystem Suatu sistem untuk mengaktifkan enkripsi dan dekripsi, otentikasi user, hashing, dan proses pertukaran key. 4. Hashing Suatu teknologi integritas data yang menggunakan suatu algoritma untuk mengkonversikan pesan dengan panjang yang bervariasi dan key yang digunakan bersama menjadi sebuah string
28 dengan panjang yang tetap atau disebut juga dengan hash. Di tempat tujuan, hash dikalkulasi ulang untuk melakukan verifikasi bahwa pesan dan key yang dikirimkan tidak berubah.
5. Authentication Suatu proses mengidentifikasi pengguna atau proses yang mencoba mengakses sistem komputer atau sumber daya yang ada pada jaringan. 6. Authorization Suatu proses memberikan akses menuju sistem komputer atau sumber daya yang ada pada jaringan bagi pengguna atau proses yang telah diotentikasi. 7. Key management Key merupakan suatu informasi (serangkaian digit biner) yang digunakan untuk membentuk dan secara periodik mengubah operasioperasi yang dijalankan pada cryptosystem. Key management digunakan untuk mengontrol proses dimana key dibuat, disimpan, diproteksi, dipertukarkan, diaktifkan, digunakan, dan dihancurkan. 8. Certification Authority (CA) Service Service third-party yang dipercayakan untuk membantu mengamankan komunikasi antara entitas-entitas atau pengguna-
29 pengguna yang ada pada jaringan dengan cara membuat dan menentukan digital certificate untuk keperluan enkripsi. 2.10.3 Tipe-Tipe VPN Ada 2 tipe utama VPN yaitu : (Cisco Certified Network Profesional 2, 2003, Modul 13.1.3)
1. Remote-Access VPN Menghubungkan remote user, seperti mobile user dan telecommuter, ke suatu perusahaan secara aman. Pangkal dari RemoteAccess VPN adalah device-device seperti router Cisco, PIX firewall, dan concentrator.
Gambar 2.11 Remote Access VPN
Ada 2 tipe Remote-Access VPN, yaitu : 1. Client-Initiated Remote user menggunakan komputer klien, membentuk suatu tunnel yang aman sepanjang jaringan ISP menuju ke perusahaan. 2. Network Access Server (NAS)-Initiated
30 Remote user melakukan koneksi ke ISP. NAS membentuk suatu tunnel yang aman menuju ke private network pada perusahaan yang mungkin mendukung banyak sesi remote userinitiated. 2. Site-to-Site VPN Menghubungkan kantor cabang ke suatu perusahaan secara aman (disebut juga intranet VPN), juga untuk menghubungkan pihakpihak ketiga seperti pelanggan, supplier, dan mitra-mitra bisnis ke suatu perusahaan (disebut juga extranet VPN). Site-to-Site VPN dapat dibangun menggunakan router Cisco, PIX firewall, dan concentrator.
Gambar 2.12 Site-to-Site VPN
Ada 2 tipe Site-to-Site VPN, yaitu : 1. Intranet VPN Menghubungkan serikat-serikat perusahaan, kantor-kantor yang berjauhan, dan kantor-kantor cabang melalui suatu public infrastructure. 2. Extranet VPN Menghubungkan pelanggan, supplier, mitra bisnis, ke suatu intranet melalui suatu public infrastructure.
31
2.11 Tunneling 2.11.1 Pengertian Tunneling Tunneling adalah enkapsulasi atau pembungkusan suatu paket protokol ke dalam paket protokol lain (Perlmutter, 2000, p12). Tunneling menyediakan suatu koneksi point-to-point logis sepanjang jaringan IP yang bersifat connectionless. Tunneling pada VPN menggunakan enkripsi untuk melindungi data agar tidak dapat dilihat oleh pihak-pihak yang tidak diberi kuasa, dan untuk membuat suatu encapsulation multiprotocol, jika diperlukan. Tunnel pada VPN dapat membawa paket data yang dienkripsi melalui 4 topologi : (Cisco Certified Network Profesional 2, 2003, Modul 13.1.3) 1. Dari router ke router
Gambar 2.13 Router to Router
2. Dari satu router ke banyak router
Gambar 2.14 One Router to Many Routers
3. Dari PC ke router atau VPN Concentrator
32
Gambar 2.15 PC to Router/Concentrator
4. Dari router ke firewall dan dari PC ke firewall
Gambar 2.16 PC to Firewall
2.11.2 Tunneling Protocol Berbagai macam teknologi pada network layer dapat digunakan untuk membuat tunneling protocol melalui suatu jaringan untuk membentuk VPN, beberapa (tunneling protocol) diantaranya adalah : 1. GRE (Generic Routing Encapsulation) Dengan tunneling protocol GRE, router-router Cisco pada masing-masing
site
mengenkapsulasi
paket-paket
data
(yang
menggunakan protokol-protokol tertentu) dengan menggunakan header IP, dan menciptakan hubungan point-to-point semu. GRE tidak menyediakan enkripsi sehingga dapat dimonitor dengan protocol analyzer. (Cisco Certified Network Profesional 2, 2003, Modul 13.1.4) 2. PPTP (Point to Point Transport Protocol) Dikembangkan oleh team Microsoft, ECI/Telematics, Ascend Communication, dan US. Robotics (yang sekarang menjadi bagian dari 3Com Communication). PPTP membuat suatu jalur koneksi VPN
33 dengan melakukan tunneling terhadap frame PPP (Point to Point Protocol) melalui suatu jaringan dengan data berbasiskan TCP/IP seperti internet (Perlmutter, 2000, p114) 3. L2F (Layer 2 Forwarding) Dikembangkan oleh Cisco System untuk membuat suatu mekanisme untuk membangun suatu tunnel berbasiskan enkapsulasi UDP, antara peralatan remote access dengan router Cisco. Sekarang ini L2F sudah tidak digunakan lagi (Perlmutter, 2000, p125).
4. L2TP (Layer 2 Tunneling Protocol) Sebelum dipublikasikannya standar L2TP, Cisco menggunakan Layer 2 Forwarding (L2F) sebagai proprietary tunneling protocolnya. L2TP kompatibel dengan L2F, tetapi tidak sebaliknya. L2TP, didefinisikan pada RFC 2661, merupakan kombinasi dari tunneling protocol L2F milik Cisco dan tunneling protocol PPTP (Point-to-Point Tunneling Protocol) milik Microsoft. L2TP pada Windows didukung mulai dari sistem operasi Windows NT. L2TP tidak menyediakan enkripsi sehingga dapat dimonitor dengan protocol analyzer. (Cisco Certified Network Profesional 2, 2003, Modul 13.1.4) 5. IPSec (Internet Protocol Security) IPSec memastikan kerahasiaan data, integritas data, dan otentikasi data antara peer yang saling bertukar data. IPSec menyediakan service-service tersebut menggunakan Internet Key Exchange (IKE) untuk mengatur negosiasi dari protokol-protokol yang
34 saling berkomunikasi dan algoritma untuk menghasilkan kunci enkripsi dan otentikasi yang akan digunakan. IPSec hanya mendukung lalu lintas IP unicast. IPSec didukung oleh router Cisco seri 1600, 2x00, 36x0, 4x00, 5x00, dan 7x00 yang menggunakan IOS versi 12.0(x), firewall Cisco PIX, serta VPN Client dan VPN Concentrator. (Cisco Certified Network Profesional 2, 2003, Modul 13.3.1). 6. ATMP (Ascend Tunnel Management Protocol) Hanya digunakan oleh vendor Ascend Communication.
L2TP dan GRE digunakan untuk jaringan multiprotokol atau lalu lintas IP multicast. L2TP dan GRE tidak mendukung enkripsi dan integritas data. Untuk fungsi-fungsi ini, kedua protokol ini dapat dikombinasikan dengan IPSec, sehingga L2TP atau GRE dapat menyediakan enkripsi IPSec, seperti L2TP/IPSec atau GRE/IPSec.
2.12 Security Association (SA) Security Association (SA) merupakan representasi kebijaksanaan antara dua host dan menjelaskan bagaimana kedua host tersebut menggunakan IPSec untuk memproteksi lalu lintas data pada jaringan (Cisco Certified Network Profesional 2, 2003, Modul 13.3.3). Security Association adalah hubungan antara pengirim dan penerima yang menggunakan IPSec. Sebuah SA mencakup parameter-parameter seperti dibawah ini (Perlmutter, 2000, p109) : 1. Algoritma enkripsi otentikasi, panjang key, dan parameter enkripsi lainnya (seperti umur key) yang digunakan oleh paket yang diproteksi.
35 2. Key-key yang digunakan untuk otentikasi pada sesi yang sedang berlangsung (Hash-based Message Authentication Codes [HMACs]) dan enkripsi yang akan digunakan pada algoritma diatas. Key-key ini dapat dicantumkan secara manual maupun dengan cara melakukan negosiasi secara otomatis dengan menggunakan bantuan protokol Internet Key Exchange (IKE). 3. Spesifikasi dari lalu lintas network dimana SA akan diterapkan (misalnya pada semua lalu lintas IP, hanya pada sesi telnet, dan sebagainya). 4. Protokol enkapsulasi (AH atau ESP) dan mode (tunnel atau transport) yang digunakan pada IPSec. 2.13 Internet Key Exchange (IKE) 2.13.1 Pengertian IKE Internet Key Exchange (IKE), yang didefinisikan sebagai RFC 2409, merupakan protokol cangkokan yang
mengimplementasikan
pertukaran key Oakley dan pertukaran key Skeme didalam kerangka kerja Internet Security Association Key Management Protocol (ISAKMP). (Cisco Certified Network Profesional 2, 2003, Modul 13.3.5). ISAKMP didefinisikan sebagai RFC 2408. ISAKMP, Oakley, dan Skeme merupakan protokol keamanan yang diimplementasikan oleh IKE. IKE menyediakan otentikasi bagi host-host yang berkomunikasi menggunakan IPSec, menegosiasikan key yang akan digunakan pada IPSec, dan menegosiasikan SA yang digunakan pada IPSec.
36
Gambar 2.17 Internet Key Exchange
Keuntungan penggunaan IKE antara lain : (Cisco Certified Network Profesional, 2003, Semester 2 Modul 13.3.5) 1. Mengeliminasi
kebutuhan
untuk
menentukan
semua
parameter
keamanan yang digunakan pada IPSec dalam cryptomap pada kedua peer secara manual. 2. Memungkinkan pengguna untuk menentukan umur key yang digunakan pada SA IPSec. 3. Memungkinkan pengguna untuk mengganti key yang digunakan untuk enkripsi selama sesi IPSec berlangsung. 4. Memungkinkan IPSec untuk menyediakan anti-replay service. 5. Memperbolehkan penggunaan Certification Authority (CA) untuk mendukung implementasi IPSec yang dapat dikendalikan dan dapat diperluas. 6. Memungkinkan otentikasi tiap-tiap peer secara dinamis. 2.13.2 Komponen-Komponen Teknologi IKE
37 Komponen-komponen teknologi yang diimplementasikan untuk digunakan oleh IKE meliputi : (Cisco Certified Network Profesional 2, 2003, Modul 13.3.5) 1. DES Digunakan
untuk
mengenkripsi
paket
data.
IKE
mengimlementasikan 56-bit DES-CBC menggunakan standar Explicit Initialization Value (IV). 2. 3DES Pengembangan terhadap teknologi enkripsi DES. Menggunakan metode enkripsi 168-bit.
3. Cipher Block Chaining (CBC) Memerlukan sebuah Initialization Value (IV) untuk memulai enkripsi. IV secara eksplisit disertakan pada paket IPSec. 4. Diffie-Hellman Protokol public-key crypthografy yang memungkinkan dua pihak saling membuat sebuah rahasia yang akan digunakan bersama melalui channel komunikasi yang tidak aman. Difie-Hellman digunakan pada IKE untuk membangun sesi key . 5. MD5 (varian dari HMAC) Message Digest 5 (MD5) merupakan sebuah algoritma hash yang digunakan untuk melakukan otentikasi terhadap paket data. 6. SHA (varian dari HMAC)
38 Secure Hash Algorithm (SHA) merupakan sebuah algoritma hash yang digunakan untuk melakukan otentikasi terhadap paket data. 7. RSA signature dan RSA encrypted nonce RSA
merupakan
sistem
public-key
cryptography
yang
dikembangkan oleh Ron Rivest, Adi Shamir, dan Leonard Adleman. X.509v3 certificate digunakan oleh protokol IKE ketika otentikasi memerlukan public key.
2.14 Internet Protocol Security (IPSec) 2.14.1 Mode Proteksi IPSec IPSec mencakup
dua protokol dan dua mode proteksi, yaitu :
(Cisco Certified Network Profesional 2, 2003, Modul 13.3.1) 1. Authentication Header (AH) Memverifikasi otentikasi dan integritas datagram IP dengan cara menyertakan MAC pada header. AH memastikan integritas dan otentikasi data (h_7VPN.pdf, p25). 2. Encapsulating Security Payload (ESP) Mengenkapsulasi
dan
mengotentikasi
data
tetapi
tidak
menyediakan proteksi pada header. ESP memastikan integritas dan keamanan data (h_7VPN.pdf, p25).
39
Gambar 2.18 Encapsulating Security Payload
IPSec membuat suatu jalur terproteksi menggunakan 2 metode yaitu : 1. Tunnel Mode Pada mode ini paket IP asli dienkapsulasi didalam paket IP lain (Perlmutter, 2000, p107). Pada mode transport, masing-masing end-host yang berbeda mengenkapsulasi data mereka masing-masing dengan IPSec, oleh karena itu IPSec harus diimplementasikan pada masingmasing end-host tersebut. (Cisco Certified Network Profesional 2, 2003, Modul 13.3.2) 2. Transport Mode Pada mode ini paket asli ditambahkan dengan header ESP sebelum paket dikirimkan (Perlmutter, 2000, p107). Pada mode tunnel, terdapat beberapa IPSec gateway yang menyediakan service IPSec bagi host-host lain pada tunnel peer-to-peer, tanpa disadari oleh masingmasing
end-host
bahwa
sebenarnya
IPSec
digunakan
untuk
memproteksi lalu lintas data mereka. IPSec gateway meyediakan
40 mekanisme proteksi lalu lintas data yang transparan melalui public network. (Cisco Certified Network Profesional 2, 2003, Modul 13.3.2) 2.14.2 Metode Enkripsi IPSec Ada 3 metode enkripsi yang digunakan pada IPSec, yaitu : 1. Symmetrical Algorithm Metode algoritma yang menggunakan key yang sama untuk mengenkripsi dan mendekripsi data.
Gambar 2.19 Symmetrical Algorithm
Beberapa metode symmetrical algorithm antara lain 56-bit Data Encryption Standard (DES), 168-bit Triple DES (3DES), dan 128-bit atau 256-bit Advanced Encryption Standard (AES). Keuntungan symmetrical algorithm antara lain : 1. Mengenkripsi informasi dalam jumlah yang sangat banyak dengan sangat cepat. 2. Panjang key biasanya hanya 40 sampai 168 bit. 3. Komputasi matematik dapat diimplementasikan pada perangkat keras dengan mudah, sehingga beban pemrosesan dapat dikerjakan dengan lebih mudah dan lebih murah.
41 4. Pengirim dan penerima menggunakan suatu key secara bersama. Kelemahan dari penggunaan key secara bersama adalah adanya resiko key yang saling dipertukarkan antara masing-masing device melalui jaringan disadap oleh hacker. 2. Asymmetrical Algorithm Metode algoritma yang menggunakan sebuah key untuk mengenkripsi data (public key) dan sebuah key lain (tetapi masih berhubungan) untuk mendekripsi data (private key).
Gambar 2.20 Asymmetrical Algorithm
Beberapa metode asymmetrical algorithm antara lain algoritma Ron Rivest, Adi Shamir, and Leonard Adleman (RSA) dan algoritma El Gamal. (Cisco Certified Network Profesional 2, 2003, Modul 13.2.3) Keuntungan asymmetrical algorithm antara lain : 1. Dapat digunakan dengan lebih baik untuk otentikasi karena sebuah key selalu dirahasiakan (private key) . 2. Pengaturan key menjadi lebih mudah (satu public key untuk semua orang). 3. Dapat digunakan sebagai digital signature, pertukaran key untuk otentikasi, e-mail, atau sejumlah kecil data.
42 4. Berdasarkan pada persamaan matematik yang sangat rumit. Kelemahan dari penggunaan public key adalah proses enkripsi informasi yang sangat lambat dibandingkan dengan symmetrical algorithm. 3. Hashing Algorithm Metode algoritma yang menghasilkan suatu variable output berukuran tetap tanpa memperhatikan berapa besar ukuran variable input. Ada 2 metode hashing algorithm yaitu MD5 (outputnya berupa key 128-bit) dan SHA-1 (outputnya berupa key 160-bit).
2.15 Authentication, Authorization, Accounting (AAA) AAA adalah sebuah sistem yang dibuat oleh Cisco untuk menyediakan keamanan jaringan, yang meliputi : (Thomas, 2004, pp137-140) 1. Otentikasi Otentikasi dilakukan untuk memastikan siapa pengguna jaringan sebenarnya. Data rahasia yang di-share atau aplikasi software trusted thirdparty secara umum menyediakan otentikasi. Otentikasi mengizinkan administrator jaringan untuk mengidentifikasi user yang dapat terkoneksi ke peranti jaringan atau internet dengan memasukkan username dan password. 2. Otorisasi Yang terkait dengan otentikasi adalah otorisasi, yang memainkan otentikasi sekali secara lengkap. Sesudah user diotentikasi, dibutuhkan cara untuk memastikan bahwa user diotorisasikan untuk mengerjakan hal yang
43 dibutuhkan. Otorisasi mengizinkan administrator untuk mengontrol tingkatan akses pengguna sesudah user dapat mengumpulkan akses ke router. Otorisasi juga dapat mendiktat tipe-tipe kegiatan protokol pengguna pesan, seperti mengizinkan user untuk meng-invoke hanya FTP, telnet, atau HTTP traffic. 3. Accounting Accounting terjadi sesudah langkah-langkah otentikasi dan otorisasi terpenuhi. Accounting mengizinkan administrator untuk mengumpulkan informasi mengenai pengguna dan tindakan yang mereka lakukan saat terkoneksi ke peranti jaringan. Administrator dapat melacak user yang log ke suatu router, IOS command yang user gunakan, dan banyak byte yang ditransfer user. AAA menyediakan skalabilitas, meningkatkan tingkat kefleksibelan, dan mengijinkan adanya sistem multiple backup. AAA mendukung tiga protokol keamanan, yaitu : (Cisco Certified Network Profesional 2, 2003, Modul 11.1.2) 1. TACACS+ TACACS+ adalah aplikasi keamanan yang digunakan dengan AAA yang menyediakan sistem keamanan terpusat untuk user mendapatkan akses ke router atau network access server. TACACS+ berjalan pada sistem operasi UNIX, Windows NT, atau Windows 2000. TACACS+ menyediakan fasilitas modul otentikasi, otorisasi, dan accounting secara terpisah. 2. RADIUS RADIUS adalah sistem berbasis client-server yang menggunakan AAA yang mengamankan jaringan dari akses yang tak terotorisasi. Dalam
44 implementasi Cisco, RADIUS clients berjalan pada router Cisco dan mengirimkan permintaan otentikasi ke pusat RADIUS server. 3. Kerberos Kerberos adalah sebuah metode otentikasi dan enkripsi yang dapat digunakan oleh router Cisco untuk memastikan data tidak dapat di-sniff dari network. Kerberos dikembangkan di MIT dan dirancang untuk menyediakan kemananan yang kuat menggunakan algoritma kriptografi Data Encryption Standard (DES).
2.16 Remote Authentication Dial-In User Service (RADIUS) Protokol RADIUS dikembangkan oleh Livingston Enterprises sebagai sebuah protokol otentikasi dan accounting untuk digunakan dengan access server. RADIUS ditetapkan dalam RFCs 2865, 2866 dan 2868. RADIUS adalah sebuah standard bebas, dan secara khusus menggunakan lebih sedikit CPU cycle. Sekarang ini, RADIUS adalah satu-satunya protokol keamanan yang didukung oleh munculnya protokol otentikasi wireless (Cisco Certified Network Profesional 2, 2003, Modul 11.1.4). Komunikasi di antara network access server dan server RADIUS berbasiskan UDP. Secara umum, RADIUS adalah clients-server protokol connectionless. RADIUS client secara umum adalah Network Access Server (NAS). Server RADIUS biasanya adalah sebuah proses daemon yang berjalan pada mesin UNIX atau Windows. Klien memberikan informasi user untuk menunjuk server RADIUS dan menjalankan respon yang dikembalikan. Server RADIUS menerima permintaan koneksi user, mengotentikasi user, dan mengembalikan konfigurasi
45 informasi yang dibutuhkan klien untuk mengirim layanan kepada user. Sebuah server RADIUS dapat bertindak sebagai sebuah proxy client untuk server RADIUS lain atau jenis otentikasi server yang lain. Saat server RADIUS mengotentikasi pengguna, event yang dijalankan sebagai berikut : (Thomas, 2004, p141) 1. Remote user disarankan untuk menuliskan username dan password. 2. Username dan password dienkripsikan dan dikirim melalui jaringan data. 3. Server RADIUS menerima atau menolak username dan password. Langkah-langkah yang dijalankan untuk memampukan RADIUS pada router Cisco adalah sebagai berikut : (Thomas, 2004, p142) 1. Gunakan aaa new-model command. AAA harus digunakan dalam RADIUS. 2. Tentukan server RADIUS dengan radius-server host command. 3. Tentukan password yang akan digunakan antara router dan server RADIUS.
