Sebuah
VPN (Virtual Private Network) adalah koneksi yang aman antara dua atau lebih
titik akhir. Hal ini juga dapat dilihat sebagai perpanjangan ke jaringan
pribadi.
Sebuah
VPN biasanya digunakan untuk menyediakan konektivitas aman ke sebuah situs. Ada
dua jenis utama dari skenario VPN, Situs ke Situs VPN dan Remote Access VPN.
1. Situs
untuk situs VPN
Dalam
situs ke situs VPN data dienkripsi dari satu gateway VPN ke yang lain,
menyediakan sambungan aman antara dua situs di internet. Hal ini akan memungkinkan
kedua situs untuk berbagi sumber daya seperti dokumen dan jenis-jenis data
melalui link VPN.
Dalam
akses remote VPN skenario yang juga dikenal sebagai mobile VPN koneksi yang
aman akan dibuat dari komputer individu untuk gateway VPN. Hal ini akan
memungkinkan pengguna untuk mengakses e-mail mereka, file dan sumber daya
lainnya di tempat kerja dari mana pun mereka berada, asalkan mereka memiliki
koneksi internet. Ada dua bentuk umum dari teknologi yang ada di akses remote VPN
dikenal sebagai IPSec dan SSL yang dibahas lebih lanjut di bawah.
3. Mengapa
memiliki VPN
Sebuah
VPN menghemat organisasi \ perusahaan dari menyewa mahal didedikasikan leased
line, VPN memberikan kemampuan bagi pengguna untuk bekerja dari rumah dan
menghemat biaya sumber daya seperti server e-mail, file server, dll, karena
semua ini bisa diakses pada koneksi VPN di lokasi pusat.
Sebuah
contoh dunia nyata akan jika perusahaan dibagi menjadi dua lokasi (Ketika
mengacu ke situs yang kita maksud kantor), situs utama di AS dan situs yang
lebih kecil di Inggris. Situs AS memiliki sudah jaringan dan penyimpanan
infrastruktur penuh di tempat yang terdiri dari direktori aktif, server
exchange, server file dan sebagainya. Situs Inggris hanya terdiri dari sejumlah
kecil pengguna, katakanlah 10 karyawan. Untuk membuat biaya ini skenario
tertentu efektif koneksi VPN dari situs ke situs akan menjadi solusi terbaik.
Menyediakan sebuah terowongan VPN dari situs Inggris ke situs AS akan menghemat
biaya dari keharusan untuk menginstal infrastruktur lain jaringan, exchange
server, direktori server aktif dan sebagainya. Sebagai situs AS sudah akan
memiliki administrator menjaga server dan infrastruktur dan sekarang dapat
mempertahankan koneksi VPN serta sumber daya lainnya akan membuktikan daerah
lain di mana tabungan akan dibuat.
Biaya
lain tabungan skenario untuk contoh di atas akan menutup situs Inggris down di
mana karyawan yang berbasis di Inggris bisa bekerja dari rumah. Sebuah skenario
VPN akses remote akan cocok jika pengguna 10 tidak berdasarkan di mana saja
pada khususnya, dan tidak ada kantor yang berbasis di Inggris. Dalam hal ini
mereka hanya akan membutuhkan koneksi internet dan perangkat lunak klien VPN
dikonfigurasi memungkinkan mereka untuk aman terhubung ke jaringan perusahaan
mereka di Amerika Serikat. Jika mereka menggunakan SSL VPN maka mereka bahkan
tidak akan memerlukan perangkat lunak sisi client dikonfigurasi, mereka hanya
akan membutuhkan alamat URL untuk menghubungkan ke portal VPN.
Jadi
VPN memberikan solusi yang luar biasa dan biaya yang efektif bagi perusahaan
dengan beberapa kantor cabang, mitra, dan pengguna jauh untuk berbagi data dan
terhubung ke jaringan perusahaan mereka dengan cara yang aman dan swasta.
Dengan
lalu lintas internet normal, paket dapat mengendus dan dibaca oleh siapa pun.
Namun pengiriman data melalui terowongan VPN merangkum semua paket data
menyediakan tingkat keamanan yang tinggi. Jika paket yang dikirim dengan aman
melalui internet yang mengendus, mereka akan dibaca dan jika dimodifikasi ini
juga akan terdeteksi oleh gateway VPN.
4. VPN
Jaringan Protokol
Terowongan
VPN menggunakan salah satu dari empat protokol jaringan utama, yang memberikan
tingkat yang cukup keamanan seperti yang ditunjukkan di bawah ini;
a. PPTP (Point to Point protocol tunneling)
PPTP
merupakan protokol atau teknologi yang mendukung penggunaan VPN. Menggunakan
PPTP, pengguna jarak jauh dapat mengakses jaringan perusahaan mereka aman
menggunakan Platform Microsoft Windows dan lainnya PPP (Point to Point Protokol
tunneling) sistem diaktifkan. Hal ini dicapai dengan pengguna jauh panggilan ke
penyedia keamanan internet lokal mereka untuk terhubung dengan aman ke jaringan
mereka melalui internet.
PPTP
memiliki masalah dan dianggap sebagai protokol keamanan yang lemah menurut
banyak ahli, meskipun Microsoft terus meningkatkan penggunaan PPTP dan
mengklaim masalah dalam PPTP kini telah diperbaiki. Meskipun PPTP lebih mudah
digunakan dan mengkonfigurasi dari IPSec, IPSec melebihi PPTP di daerah lain
seperti menjadi lebih aman dan protokol yang kuat.
b. L2TP (Layer 2 Tunneling Protocol)
L2TP
adalah perpanjangan dari PPTP (Point to point protokol tunneling), yang
digunakan oleh penyedia layanan internet untuk menyediakan layanan VPN melalui
internet. L2TP menggabungkan fungsi PPTP dan L2F (Layer 2 protokol forwarding)
dengan beberapa fungsi tambahan menggunakan beberapa fungsi IPSec. Juga L2TP
dapat digunakan bersama dengan IPSec untuk menyediakan enkripsi, otentikasi dan
integritas. IPSec adalah jalan ke depan dan dianggap lebih baik dari lapisan 2
VPN seperti PPTP dan L2TP.
c. IPSec (IP Security)
IPSec
beroperasi pada layer 3 dan sehingga dapat melindungi setiap protokol yang
berjalan di atas IP. IPSec adalah kerangka kerja yang terdiri dari berbagai
protokol dan algoritma yang dapat ditambahkan ke dan dikembangkan. IPSec
menyediakan fleksibilitas dan kekuatan secara mendalam, dan merupakan solusi
hampir sempurna untuk mengamankan VPN. Satu-satunya kelemahan adalah IPSec
memerlukan pengaturan pada jaringan perusahaan dan pada akhirnya klien dan
kerangka kerja yang kompleks untuk bekerja dengan. IPSec digunakan untuk kedua
situs ke situs dan konektivitas remote user
d. SSL VPN (Secure Socket Layer)
SSL
VPN memberikan keamanan yang sangat baik bagi pengguna akses remote serta kemudahan
penggunaan. SSL sudah banyak digunakan seperti ketika Anda berbelanja online,
mengakses rekening bank Anda secara online, Anda akan melihat sebuah halaman
yang dilindungi SSL ketika Anda melihat "https" di URL bar browser
Anda sebagai lawan "http".
Perbedaan
dalam menggunakan SSL VPN ke IPSec adalah dengan IPSec remote user akan
memerlukan perangkat lunak klien yang akan membutuhkan instalasi, konfigurasi
dan kadang-kadang pemecahan masalah. Namun dengan SSL tidak ada perangkat lunak
klien jika pengguna menggunakan portal SSL. Portal adalah antarmuka GUI yang
diakses melalui web browser dan berisi peralatan dan utilitas untuk mengakses
aplikasi pada jaringan seperti RDP dan Outlook. SSL juga bisa meniru cara IPSec
bekerja melalui software ringan. Jika pengguna diperlukan perangkat lunak klien
SSL, dapat diinstal dengan sedikit usaha melalui browser yang menyederhanakan
proses di aman mengakses ke jaringan perusahaan.
Menggunakan
SSL VPN akan berarti ribuan pengguna akhir akan dapat mengakses jaringan perusahaan
tanpa dukungan administrator dan kemungkinan jam mengkonfigurasi dan trouble
shooting, tidak seperti IPSec. Pengguna akhir hanya akan perlu tahu alamat
portal SSL VPN. Keuntungan lain adalah mereka dapat melakukan ini dari komputer
manapun karena mereka tidak harus bergantung pada perangkat lunak sisi client
dikonfigurasi.
5. Keuntungan
dan Kerugian menggunakan VPN
a. Keuntungan
VPN
menghilangkan kebutuhan untuk leased line mahal. Secara historis T1 baris telah
digunakan menghubungkan lokasi kantor bersama-sama dengan cara yang aman. Jika
lokasi kantor yang lebih jauh, biaya sewa garis-garis paling tidak bisa
tertahankan. Sebuah VPN meskipun, hanya mengharuskan Anda untuk memiliki
koneksi internet broadband, dan menghindari membayar jumlah besar dan kuat dari
sewa bulanan pada dedicated leased lines. VPN juga pengganti untuk akses jarak
jauh server dan koneksi dial up jaringan meskipun jarang digunakan lagi
Memiliki
banyak kantor cabang seluruh dunia membutuhkan banyak leased line, dan jadi
tidak baik skala. Setiap kantor akan memerlukan leased line untuk semua kantor
lainnya. VPN menghubungkan melalui Internet adalah solusi yang jauh lebih
terukur, sebagai lawan leased line.
Melalui
penggunaan link balancing dan hubungan ikatan VPN dapat menggunakan dua atau
lebih koneksi internet, jadi jika satu koneksi di perusahaan Anda memiliki
masalah semua lalu lintas VPN dapat dikirim melalui koneksi yang tersisa, dan
secara otomatis akan menggunakan koneksi asli ketika itu kembali lagi.
b. Kekurangan
Anda
harus ingat meskipun, memiliki VPN berarti harus bergantung pada Internet, dan
harus bergantung bahwa ISP (Internet Service Provider) yang handal, meskipun
masalah ini dapat dikurangi dengan memiliki dua atau lebih ISP dan menggunakan
2 dalam VPN skenario failover.
Juga
VPN ini memerlukan konfigurasi hati-hati, mungkin beberapa tips dan terminologi
dapat banyak untuk administrator tidak akrab dengan teknologi.
6. Menyiapkan
VPN dengan IPSec
Di
bawah ini adalah gambaran dasar dalam cara yang khas situs ke situs VPN
dikonfigurasi menggunakan IPSec. IPSec dipilih sebagai contoh karena teknologi
yang paling umum digunakan dan dikenal sebagai teknologi VPN yang solid, kuat
dan aman.
Anda
mungkin baru untuk semua terminologi VPN, sehingga mengklik link dalam artikel
VPN ini akan memberikan Anda pemahaman yang baik tentang makna dalam panduan di
bawah ini.
a. Dasar-dasar dalam mendirikan sebuah situs
ke situs VPN dengan IPSec
Di
bawah meliputi apa yang diperlukan untuk mengatur koneksi VPN pada gateway VPN
dengan IPSec. Hal ini tidak benar-benar ditujukan untuk vendor tertentu dan
cukup umum.
Pertama
Anda akan memutuskan bagaimana Anda akan mengotentikasi baik rekan-rekan VPN
satu sama lain. Baik pilih Kunci pra-berbagi atau menginstal sertifikat
digital. Ini digunakan untuk otentikasi dan untuk memastikan VPN gateway
berwenang. Ini akan membuktikan identitas mereka satu sama lain. Kedua gateway
harus menggunakan jenis yang sama dari mandat, sehingga baik keduanya
menggunakan kunci pra-berbagi atau keduanya menggunakan sertifikat digital.
Juga jika Anda menggunakan kunci pra-berbagi, maka kedua tombol harus sesuai.
-
Tahap 1
VPN
dikonfigurasi dan diproses dalam dua tahap, tahap 1 dan 2. Pada tahap 1
menggunakan modus utama atau modus Agresif Anda akan mengatur saluran aman dan
terenkripsi, untuk melindungi negosiasi tahap 2 Anda.
1) Anda akan perlu
untuk menentukan baik alamat gateway. Jadi, Anda akan menentukan alamat dari
gateway VPN lokal dan Anda juga akan menentukan alamat dari gateway VPN remote.
Anda juga dapat menentukan alamat IP atau nama domain. Pada beberapa gateway
VPN Anda juga bisa menentukan alamat e-mail, atau jika Anda menggunakan
sertifikat digital Anda bisa menentukan sertifikat bidang subjek.
2) Modus utama atau
modus agresif dapat dipilih tergantung pada mana yang Anda ingin menggunakan.
Modus utama lebih aman, tetapi lebih lambat dari modus agresif. Dalam modus
utama mengintip identitas pertukaran dengan enkripsi, dan modus Agresif,
meskipun bursa cepat identitas tanpa enkripsi. Modus utama adalah lebih umum
digunakan. Modus agresif biasanya ketika salah satu atau kedua VPN gateway
memiliki alamat IP dinamis.
3) Tentukan apakah
akan menggunakan Nat-Traversal. Ini dipilih jika gateway VPN Anda berada di
belakang perangkat NAT. Juga menentukan apakah Anda ingin kedua rekan-rekan
menggunakan IKE tetap-hidup. Hal ini memastikan bahwa jika antarmuka gateway
VPN tidak menanggapi hal itu akan failover ke antarmuka kedua. Hal ini berlaku
ketika ISP Anda turun dan antarmuka sekunder Anda adalah ISP cadangan.
4) Anda sekarang
akan memutuskan Anda transformasi set. Ini termasuk jenis enkripsi, otentikasi
dan berapa lama Anda asosiasi keamanan akan bertahan. Untuk otentikasi Anda,
Anda bisa menggunakan SHA1 atau MD5. Sha1 adalah algoritma otentikasi kuat.
Untuk
enkripsi Anda Anda dapat memilih DES, 3DES atau AES 128, 192, 256 bit kunci
kekuatan. AES adalah protokol terkuat.
Anda
dapat menentukan batas sebelum SA Anda berakhir, yang akan menambah keamanan
untuk VPN Anda jika kunci Anda telah dibajak. Meskipun ini juga akan memiliki
sedikit mempengaruhi kinerja juga.
Anda
akan perlu untuk menentukan Diffie-Hellman kelompok kunci, biasanya 1, 2, 5
atau 14 di mana 14 adalah kelompok yang paling aman.
Anda
dapat opsional mengatur ekstra mengubah set jika diperlukan. Jika Anda tidak
yakin pada rekan-rekan Anda mengubah pengaturan, maka Anda mungkin ingin
mengatur lebih mengubah set. Meskipun dianjurkan untuk mengetahui pengaturan
rekan-rekan Anda dan membuat minimum transformasi set ini diperlukan karena
lebih aman dengan cara ini.
-
Tahap 2
Pada
fase 2 menggunakan modus Cepat Anda akan menetapkan IPSec SA. Anda akan
memberitahu gateway apa yang lalu lintas Anda akan mengirim lebih dari VPN,
bagaimana untuk mengenkripsi dan mengotentikasi itu.
1) Anda akan perlu
menentukan apa yang lalu lintas akan pergi ke seberang VPN. Jadi, Anda akan
menentukan alamat IP, alamat jaringan, atau kisaran alamat IP. Ini adalah akses
ke jaringan internal Anda, sehingga baik pengguna jauh dari rumah, atau kantor
rekan dapat memiliki akses ke sumber daya di belakang gateway VPN.
2) Anda dapat
memilih apakah akan menggunakan PFS (Sempurna maju kerahasiaan), untuk opsional
dan lapisan tambahan keamanan. Jika Anda akan menggunakan PFS, ingat bahwa
kedua rekan VPN harus mendukung dan menggunakan PFS. Anda dapat memilih
Diffie-Hellman kelompok digunakan untuk material kunci baru. Semakin tinggi
kelompok Anda pilih, semakin kuat kuncinya.
Anda
sekarang akan perlu menentukan beberapa parameter lebih dalam mengamankan data
Anda dalam IPSec SA (Tahap 2), juga dikenal sebagai fase 2 proposal. Parameter
yang terdiri dari enkripsi dan otentikasi algoritma.
3) Di sini Anda
pertama menentukan jenis usulan, baik memilih AH atau ESP. AH hanya menyediakan
otentikasi, dan ESP menyediakan otentikasi dan enkripsi.
4) Jika Anda telah
menetapkan ESP, yang mayoritas akan memilih, maka Anda akan menentukan
otentikasi dan enkripsi. Untuk otentikasi dan integritas Anda dapat memilih
SHA1 atau MD5, SHA1 mana adalah algoritma terkuat. Untuk enkripsi Anda dapat
memilih DES, 3DES atau AES 128, 192, atau 256-bit kunci kekuatan. AES 256
adalah protokol enkripsi terkuat.
5) Anda mungkin
ingin menentukan nilai ketika kunci Anda akan berakhir. Hal ini akan memastikan
kunci enkripsi Anda akan berubah selama periode waktu, menambahkan lebih banyak
keamanan, serta memiliki sedikit mempengaruhi kinerja. Mayoritas meninggalkan
pengaturan ini sebagai default. Namun jika Anda bank atau perusahaan lain yang
berhubungan dengan data rahasia maka Anda mungkin ingin memaksa kunci berakhir,
dan mereka kembali menciptakan.
b. Langkah akhir
Sekarang
Anda mungkin perlu membuat kebijakan atau aturan untuk mengizinkan lalu lintas
VPN Anda masuk dan keluar dari firewall Anda. Ini mungkin sudah dilakukan untuk
Anda ketika Anda telah menyelesaikan konfigurasi gateway, dan Anda mungkin
memiliki pilihan untuk mengaktifkan atau menonaktifkan gateway VPN Anda untuk
secara otomatis melakukan hal ini untuk Anda, semua tergantung pada fungsi
produk.
Sekarang Anda dapat
menyimpan semua perubahan ke gateway VPN Anda.
Anda
selesai dalam mengkonfigurasi gateway VPN Anda, dan Anda sekarang dapat
mengkonfigurasi gateway rekan VPN. Ingatlah untuk mengkonfigurasi gateway VPN
rekan Anda dengan pengaturan yang sama persis seperti Anda dikonfigurasi
gateway lokal Anda atau terowongan VPN tidak akan membentuk berhasil.
Diambil dari sumber :
Diambil dari sumber :
Tidak ada komentar:
Posting Komentar