Abstrak:
Dalam lingkungan bisnis yang bergerak cepat saat ini, suatu perusahaan membutuhkan sarana komunikasi yang memiliki cakupan dan tingkat ketersediaan yang tinggi. SSL VPN merupakan salah satu solusi dengan menggunakan jaringan internet yang sudah tersedia. Dibandingkan jaringan leased lines atau frame relay, SSL VPN menggunakan infrastruktur yang sudah ada di internet untuk melakukan pertukaran data antara kantor pusat sebuah perusahaan dan kantor cabangnya.
1. LATAR BELAKANG
Kebutuhan bisnis dimasa sekarang menuntut persyaratan variasi jaringan komunikasi yang luas. Para karyawan di suatu perusahaan memiliki kebutuhan untuk mengakses sumberdaya perusahaan dalam rangka mendukung pekerjaan mereka melalui jaringan komunikasi yang dimiliki oleh perusahaan. Disamping itu ada pula rekanan bisnis perusahaan yang turut mengakses sumberdaya perusahaan dengan jaringan yang lain dalam rangka kerja sama membagi informasi bisnis, perencanaan bisnis bersama, dan lainnya. Beberapa aplikasi yang dapat diberikan oleh SSL VPN diantaranya Web-based e-mail, bisnis dan direktorat pemerintahan government directories, databases for educational institutions, file sharing, remote backup, remote system management and consumer-level e-commerce.
Pada umumnya perusahaan menggunakan jaringan komunikasi berbasis leased lines atau sirkit frame relay untuk menghubungkan kantor pusat dengan kantor cabang yang ada. Hal ini dinilai tidak fleksibel mengingat kebutuhan mobilitas yang sangat tinggi dalam berkomunikasi dengan rekanan bisnis atau untuk mendukung karyawan yang sedang bekerja mengerjakan proyek di lokasi lain (di lapangan).
2. KONSEP SSL VPN
SSL adalah suatu protokol komunikasi pada Internet yang menyediakan fasilitas keamanan seperti kerahasiaan, keutuhan dan keabsahan. Lapisan aplikasi diatasnya dapat memanfaatkan kunci yang telah dinegosiasikan oleh SSL.
Konsep dan Teknologi SSL (Secure Socket Layer) VPN dapat menjawab kebutuhan untuk mengakses sumberdaya perusahaan melalui penggunaan jaringan internet yang sudah tersedia dan bercakupan luas. Dibandingkan jaringan leased lines atau frame relay, SSL VPN menggunakan infrastruktur publik yang sudah ada di internet untuk melakukan pertukaran data antara kantor pusat sebuah perusahaan dan kantor cabangnya. Deskripsi singkat mengenai SSL VPN dapat dilihat pada gambar 1 dan gambar 2 dibawah ini.
Gambar 1. Jaringan Private Melalui Leased Line
Gambar 2. Jaringan Privat Melalui Internet
Karena dilewatkan pada jaringan internet publik, permasalahan konsep SSL VPN muncul sama seperti jaringan IP pada umumnya. Salah satu masalah jaringan internet (IP public) adalah tidak mempunyai dukungan yang baik terhadap keamanan. SSL VPN muncul untuk mengatasi persoalan tersebut
.
Dasar dari konsep SSL VPN ini adalah penggunaan infrastruktur IP untuk hubungan suatu perusahaan dengan kantor cabangnya dengan cara pengalamatan secara private dengan melakukan pengamanan terhadap transmisi paket data.
3. SPESIFIKASI TEKNIS SSL VPN
SSL juga digunakan sebagai protokol kriptografi yang digunakan sebagai protokol keamanan komunikasi data di internet. Di dalam proses kerjanya, SSL terdiri dari beberapa fase yakni:
- Negosiasi antar peer terhadap algoritma yang didukung oleh masing-masing peer/endpoint tersebut.
- Pertukaran Public key (PKI) untuk mekanisme enkripsi dan autentifikasi berbasis sertifikat.
- Enkripsi simetris enkripsi.
SSL VPN gateway memegang peranan penting untuk pengawasan transaksi pertukaran data/ akses sehingga harus mempunyai mekanisme untuk memblokir akses ke jaringan privat perusahaan ketika jumlah akses bersamaan melebihi batas yang telah ditentukan (tersedia dalam profil pelanggan korporasi). Disamping itu, SSL VPN gateway harus mempunyai mekanisme sehingga setiap pelanggan korporasi memiliki administratornya sendiri yang mempunyai kewenangan seperti mengkastemisasi halaman situs web, mengatur akses user pada sumber daya mereka. Tujuan pengawasan tersebut agar mencegah serangan yang dilakukan terhadap pesan yang disandikan, serta dibobolnya public key oleh pihak yang tidak berkepentingan. Klien perlu memeriksa sertifikat yang diterimanya agar lebih yakin bahwa dia sedang berkomunikasi dengan provider yang diinginkan. Klien memeriksa sertifikat digital itu dengan membandingkan tanda tangan OS (otoritas sertifikat) pada sertifikat digital itu dengan daftar OS yang dimiliki. Penyertaan serfikat digital OS utama pada browser akan menghindarkan klien dari pemalsuan sertifikat OS utama.
SSL memanfaatkan teknologi kunci publik 40-bit dari RSA, yang ternyata dapat dijebol dalam waktu 1,3 hari dengan 100 komputer menggunakan brute-force attack. Ini tidak berarti teknologi SSL tidak bermanfaat. Tujuannya jelas, yakni agar biaya yang dikeluarkan oleh pihak penyerang lebih besar dari pada 'harga' informasi yang dienkripsi melalui SSL, sehingga secara ekonomi tidak menguntungkan.
Adapun mekanisme profiling terhadap remote access, SSL VPN berdasarkan pada previledge access per pelanggan korporasi. SSL VPN bersama dengan sistem sekuriti harus mampu mengolah dan menerapkan kebijakan yang sesuai terhadap akses incoming berdasarkan pada pilihan IP address (source, destination address), protokol yang digunakan oleh trafik (TCP, UDP).
Adapun algoritma kriptografi yang saat ini umumnya digunakan adalah:
- Untuk kriptografi Public Key: RSA, Diffie-Hellman, DSA atau Fortezza;
- Untuk enkripsi simetris: RC2, RC4, IDEA, DES, Triple DES atau AES;
- Untuk fungsi hash searah: MD5 atau SHA.
3.1 Protokol
Ada empat protokol yang biasa digunakan untuk mendukung implementasi SSL VPN di internet, yaitu:
- Point-to-point tunneling protocol (PPTP)
- Layer-2 forwarding (L2F)
- Layer-2 tunneling protocol (L2TP)
- IP security protocol
Berbeda dengan penerapan masing-masing protokol di atas secara stand alone, penerapan SSL VPN lebih menberikan kebijakan security di dalam setiap koneksi yang dibangun untuk dapat melakukan akses ke sumber daya yang spesifik sesuai dengan kebutuhan, lokasi dan perangkat user, tanpa keharusan untuk menginstall software tertentu di sisi client.
3.2 Fungsi
Beberapa Spesifikasi Fungsi yang umumnya ada dalam perangkat SSL VPN antara lain adalah:
1. Mode Operasi
Ada dua mode operasi yang biasanya ada pada perangkat SSL VPN yaitu:
- Static routes : untuk mendukung pembentukan VPN dengan menggunakan rute statis yang di assign oleh admin secara permanent dengan software operasi.
- Unrestricted : untuk mendukung pembentukan VPN dengan menggunakan mode berdasarkan kebutuhan support dari user, biasanya dilakukan secara dinamis dan on demand.
2. Atribut SSL VPN
Beberapa atribut yang dimiliki secara umum oleh perangkat SSL VPN yang menunjukkan kapabilitas system tersebut adalah:
- Kapabilitas kreasi jumlah tunnel SSL VPN Tunnels
- Kemampuan mendukung Versi SSL
- Kemampuan melakukan Encryption dan dukungannya terhadap meotde enkripsi yang saat ini ada.
- SSL Message Integrity
- Certificate Support
3. Mode Akses
Dalam mendukung kerja SSL VPN beberapa mode akses dimiliki oleh perangkat SSL VPN secara umum, yaitu:
- Browser Support
- Full Network Access Support
- Port Forwarding
- Support for Terminal Services and VNC
- WebCIFS, Telnet, FTP, SSH, WebFTP
- User- and group-level
- Supports automatic cache cleanup after session termination
4. User Repository Support, yang diantaranya adalah kemampuan untuk:
- Local user database
- Microsoft Active Directory
- LDAP directory
- NT domains
- RADIUS (PAP, CHAP, MSCHAP, MSCHAPv2)
5. System Management, yang mendukung pengoperasian dan pemeliharaan system yang diantaranya adalah fungsi-fungsi sebagai berikut: o E-mail notification o NTP support o Remote logging o Telnet o Web GUI
4. REFERENSI STANDAR
Standar untuk SSL didefinisikan oleh IETF melalui RFC 2246 (TLS Protocol), RFC 2818 (HTTP Over TLS), RFC 3546 (TLS Extensions). TLS adalah teknologi awal yang kemudian dikembangkan menjadi SSL. Layer kerja SSL berada diantara layer transport (TCP/UDP) dan layer aplikasi (HTTP, FTP, SMTP).
5. DUKUNGAN PEMASOK
Dalam hal dukungan pemasok, beberapa pemasok utama produk perangkat berbasis IP telah memiliki produk perangkat untuk solusi SSL VPN. Beberapa diantaranya adalah:
5.1 Juniper
Juniper network secure access 700 (SA 700) SSL VPN, menyediakannya dari kapasitas kecil ke kapasitas sedang ke dalam suatu perusahaan secure access, cara hemat biaya untuk menyebar akses remote kepada jaringan perusahaan. Sebab SA 700 Secure access Secure Sockets Layer (SSL) untuk menyediakan transport encrypted, itu memungkinkan akses remote hanya dari suatu web browser. Arsitektur yang tanpa klien ini menghapuskan biaya yang mahal untuk menginstall, konfigurasi, dan memelihara perangkat lunak klien pada tiap-tiap alat, yang dengan mantap mengurangi total biaya kepemilikan VPN solusi tradisional. Penyerahan SSL juga menghapuskan Network Address Translation (NAT) dan firewall traversal dengan produk akses remote tradisional, membiarkan user remote yang dapat dipercaya dan diakses ada dimana mana dari jaringan eksternal seperti rumah atau hotel. SA 700 datang dengan Juniper, jaringan yang menghubungkan metode akses, yang menciptakan suatu secure access network-layer koneksi via, cross-platform download dinamis. SA 700 juga diupgrade untuk meliputi Juniper's metode akses tanpa klien, Yang memungkinkan koneksi dari manapun di manapun PC ke aplikasi Web-enabled, mencakup mereka yang mempunyai XML dan isi kilat, File, e-mail standards-based, dan telnet/SSH sesi. yang dibangun pada juniper's market-leading IVE platform, Secure access Akses 700 mengirimkan enterprise-strength AAA (authentication, authorization, auditing) endpoint pertahanan, dan suatu arsitektur keamanan inti yang telah teraudit oleh CyberTrust dan yang bersertifikat oleh ICSA laboratorium.
5.2 Cisco
Cisco IOS SSL VPN adalah solusi untuk suatu router-based yang menawarkan SSL VPN remote-access konektifitas yang mengintegrasikan dengan keamanan industry-leading dan menaklukkan corak pada suatu data pusat, suara, dan platform wireless. SSL VPN akan mengaktifkan keamanan transparan kepada pemakai akhir dan gampang untuk para IT untuk mengurusnya.
Cisco IOS SSL VPN mendukung mode tanpa klien dan full-network-access SSL VPN, yang mana kemampuan akses tanpa klien menggunakan suatu Web browser untuk menghubungkan ke aplikasi seperti intranet yang mengisi HTML-based, e-mail, dan lainnya. Suatu alat bantu aplikasi Java-based menyediakan dukungan untuk aplikasi TCP-based tambahan yang memungkinkan Web-enabled. Cisco IOS SSL VPN juga mendukung cisco SSL VPN klien, membantu memungkinkan akses jaringan penuh yang dinamis untuk setiap manapun aplikasi. Sebagai bagian dari cisco IOS SSL VPN, cisco secure desktop menyediakan endpoint bantuan dan keamanan untuk mencegah data seperti cookies, browser, file temporer, dan isi downloaded dari suatu SSL VPN sesi akhir. Penyebaran cisco IOS SSL VPN sederhana dengan cisco router dan security device manager (SDM). Cisco SDM juga melaksanakan real-time yang memonitoring dan memanajemen sesi SSL VPN.
Cisco IOS SSL VPN adalah suatu single-box solusi, tidak sama dengan produk lain yang memerlukan berbagai alat dan sistem manajemen. Suatu solusi terintegrasi lebih mudah untuk pembelajaran, penggelaran, provisioning, pengelolaan, pemeliharaan, dan mempunyai ketersediaan lebih tinggi. Solusi terintegrasi ini mempunyai pengeluaran modal awal, menurunkan biaya-biaya penyebaran, dan menurunkan biaya operasi seumur hidup pada solusi itu. Juga menyediakan investasi yang protection-existing cisco mengintegrasikan dukungan penerus jasa cisco IOS SSL VPN melalui suatu skema untuk meningkatkan mutu lisensi dan perangkat lunak.
5.3 Alcatel-Lucent
Alcatel-Lucent 7250 Service Akses Switch (SAS) menetapkan suatu skema baru dengan menyediakan akses lebih mengedepankan bisnis Ethernet jasa VPN ke perusahaan. Alcatel-Lucent 7250 SAS menyediakan provider jasa dan kabel MSO suatu harga kompetitif juga secara efektif memperpanjang kecerdasan layanan kepada pelanggan. Dengan ditingkatkannya kecerdasan pendapat pelanggan, Alcatel-Lucent 7250 SAS menyediakan akses ke berbagai jasa virtuan private LAN (VPLS) dan virtual private wire service (VPWS). Sebagai tambahan, Alcatel-Lucent 7250 SAS mendukung jasa cirkuit emulation service (CES) untuk mengijinkan penyedia layanan untuk dengan jelas membawa aplikasi data dan suara TDM-based ke jalur IP/MPLS backbone.
Untuk pelanggan perusahaan, Alcatel-Lucent 7250 SAS memberikan suatu manfaat kompetisi dengan mengurangi biaya-biaya garis sewa mereka jika koneksi mereka dilakukan dengan atau kabel MSO seperti halnya meningkatkan jasa yang mereka dapat sediakan ke pelanggan internal mereka sendiri.
Dengan MPLS, cirkuit emulator, mutu jasa hirarkis (H-QoS), IEEE 802.1q LAN virtual (VLAN) dan arsitektur wire-speed non blocking, Alcatel-Lucent 7250 SAS mampu memberikan yang fleksibilitas dan keandalan untuk menyediakan akses, serta membuka pendapatan baru untuk penyedia jasa dan peningkatan corak akses ke jaringan private. Kemampuan lebih lanjut dari Alcatel-Lucent 7250 SAS dikembangkan ke Alcatel-Lucent 7450 Ethernet service sitch (ESS), Alcatel-Lucent 7710 service router (SR) dan Alcatel-Lucent 7750 service router (SR) lokasi titik dimana ditempatkan di core IP/MPLS, bridge dan jaringan akses.
6. MODEL IMPLEMENTASI
Salah satu contoh model implementasi SSL VPN adalah sebagai berikut dibawah ini.
Gambar 3. Contoh Implementasi SSL VPN
Konfigurasi diatas menujukkan bagaimana mobile employee dapat memanfaatkan sumber daya internet untuk menjadi jalan melakukan akses ke jaringan internal perusahaannya (VPN A dan VPN B) dengan aman, karena didukung oleh kapabilitas SSL GW yang mengatur enkripsi dan kriptografi untuk mengakses resource internal secara aman melalui jaringan publik.
SSL VPN menggunakan algoritma cryptographic untuk mengencrypt data sehingga hanya dua komputer yang berkomunikasi yang dapat membaca dan mengerti message. SSL mendukung berbagai algoritma encryption, tergantung versi SSL, kebijakan perusahaan, dan batasan pemerintahan.
Pada umumnya ada dua tipe cryptography yang sering digunakan di setiap sesi SSL, yakni Symmetric dan Asymmetric. Dimana Symmetric digunakan untuk encrypting semua komunikasi di dalam sesi SSL. Adapun Asymmetricc digunakan untuk mensharing key sesi symmetric secara aman antara user dan SSL VPN.
6.1 Symmetric Cryptography : Data Confidentiality
Algoritma symmetric menggunakan key/ kunci yang sama untuk encryption dan decryption, sehingga kedua belah pihak yang berkomunikasi harus menshare common key. Gambar 4 berikut memperlihatkan algoritma symmetric.
Gambar 4. Symmetric Cryptography
6.2 Asymmetric Cryptography : Data Confidentiality
Asymmetric cryptography mengatasi masalah pertukaran key. Asymmetric cryptography menggunakan sepasang key/ kunci, satu dalam pasangan tersebut dinamakan public key dan yang lain dinamakan private key.
Gambar 5. Asymmetric Cryptography
Bagaimanapun asymmetric cryptography sangat tergantung kepada processor dan kurang praktis untuk melakukan encrypting data dalam jumlah yang cukup besar. Asymmetric cryptography juga tidak dapat digunakan untuk melakukan encrypt keseluruhan sesi SSL, akan tetapi asymmetric cryptography ideal digunakan sebagai mekanisme untuk mentransfer symmetric key dengan aman melintasi jaringan yang tidak terjamin keamanannya (insecure), untuk hal inilah SSL digunakan. Oleh sebab itu SSL menggunakan metode asymmetric cryptograpy untuk menshare secret kiey antara remote user dan server, kemudian menggunakan key tersebut untuk mengaktifkan symmetric encryption/ decryption di dalam pengiriman data selama sesi SSL. Hal ini ditunjukkan dengan gambar 6.
Gambar 6. Asymmetric Cryptography - Symmetric Key
6.3 Asymmetric Cryptography : Server Authentication
Selain encryption, asymmetric cryptography juga memberikan kemampuan untuk menandai message. Apabila user melakukan encrypt message dengan private key-nya, siapa saja yang mendecrypt message tersebut dengan menggunakan public key pengirim, akan yakin bahwa pengirimlah yang betul-betul berhak mengirimkan message. Tidak ada orang lain yang dapat mengirimkan message yang dapat didecrypt dengan public key tersebut. Sertifikasi SSL diatur di web server, atau dapat juga pihak ketiga yang dipercaya yang menyediakan sertikat untuk public key, terkait dengan perusahaan yang bekerjasama.
6.4 Asymmetric Cryptography : Client Authentication
Sebagaimana telah disebutkan sebelumnya bahwa SSL adalah untuk authentication pelanggan ke server melalui penggunaan sertifikat. Untuk membuktikan identitas pelanggan, maka digunakanlah sertifikat.
7. REKOMENDASI
Teknologi SSL VPN merupakan teknologi yang memungkinkan bagi pengguna/remote site dalam bentuk PC (personal computer, termasuk PDA dengan kapabilitas SSL). Dengan diimplementasikannya teknologi SSL maka operator IP perlu melakuan kajian dan analisa terhadap peluang pendapatan dan keuntungan terhadap kebutuhan investasi teknologi tersebut, melalui beberapa informasi vendor (RFI), trial performansi sistem ataupun POC (Prove of Concept) untuk kebutuhan implementasi akan berjalan dengan baik.
8. REFERENSI