Mengenal Protokol L2TP

bundet

Protokol L2TP sering juga disebut sebagai protokol dial-up virtual, karena L2TP memperluas suatu session PPP (Point-to-Point Protocol) dial-up melalui jaringan publik internet, atau sering juga digambarkan seperti koneksi virtual PPP.

1. Perangkat L2TP

Gambar 4.16. L2TP

Perangkat dasar L2TP :

Remote Client. Suatu end system atau router pada jaringan remote access (mis. : dial-up client).
L2TP Access Concentrator (LAC). Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LNS. Berada pada sisi remote client/ ISP. Sebagai pemrakarsa incoming call dan penerima outgoing call.
L2TP Network Server (LNS). Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LAC. Berada pada sisi jaringan korporat. Sebagai pemrakarsa outgoing call dan penerima incoming call.
Network Access Server (NAS). NAS dapat berlaku seperti LAC atau LNS atau kedua-duanya.

2. Tunnel L2TP

Skenario L2TP adalah untuk membentuk tunnel atau terowongan frame PPP antara remote client dengan LNS yang berada pada suatu jaringan korporat. Terdapat 2 model tunnel L2TP yang dikenal , yaitu compulsory dan voluntary. Perbedaan utama keduanya terletak pada endpoint tunnel-nya. Pada compulsory tunnel, ujung tunnel berada pada ISP, sedangkan pada voluntary ujung tunnel berada pada client remote.

2.1. Model Cumpulsory L2TP

Gambar 4.17. Model Compulsory L2TP

Remote client memulai koneksi PPP ke LAC melalui PSTN. Pada Gambar 4.17 diatasLAC berada di ISP.
ISP menerima koneksi tersebut dan link PPP ditetapkan.
ISP melakukan partial authentication (pengesahan parsial)untuk mempelajari username. Database map user untuk layanan-layanan dan endpoint tunnel LNS, dipelihara oleh ISP.
LAC kemudian menginisiasi tunnel L2TP ke LNS.
Jika LNS menerima koneksi, LAC kemudian mengencapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel yang tepat.
LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa.
LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.

2.2. Model Voluntary L2TP

Gambar 4.18. Model Voluntary L2TP

Remote client mempunyai koneksi pre- established ke ISP. Remote Client befungsi juga sebagai LAC. Dalam hal ini, host berisi software client LAC mempunyai suatu koneksi ke jaringan publik (internet) melalui ISP.
Client L2TP (LAC) menginisiasi tunnel L2TP ke LNS.
Jika LNS menerima koneksi, LAC kemudian meng-encapsulasi PPP dengan L2TP, dan meneruskannya melalui tunnel.
LNS menerima frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa.
LNS kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian menetapkan alamat IP.

3. Cara Kerja L2TP

Komponen-komponen pada tunnel, yaitu :

Control channel, fungsinya :

Setup (membangun) dan teardown (merombak) tunnel
Create (menciptakan) dan teardown (merombak) payload (muatan) calls dalam tunnel.
Menjaga mekanisme untuk mendeteksi tunnel yang outages.

Sessions (data channel) untuk delivery data :

Layanan delivery payload
Paket PPP yang di-encapsulasi dikirim pada sessions
Create (menciptakan) dan teardown (merombak) payload (muatan) calls dalam tunnel.
Menjaga mekanisme untuk mendeteksi tunnel yang outages.

Sessions (data channel) untuk delivery data :

Layanan delivery payload
Paket PPP yang di-encapsulasi dikirim pada sessions.

Gambar 4.19. Cara Kerja L2TP

Ada 2 langkah untuk membentuk tunnel untuk session PPP pada L2TP :

Pembentukan koneksi kontrol untuk suatu tunnel.
Sebelum incoming atau outgoing call dimulai, tunnel dan koneski kontrol harus terbentuk.
Pembentukan session yang dipicu oleh permintaan incoming atau outgoing call.

Suatu session L2TP harus terbentuk sebelum frame PPP dilewatkan pada tunnel L2TP. Multiple session dapat dibentuk pada satu tunnel, dan beberapa tunnel dapat dibentuk diantara LAC dan LNS yang sama.

4. Pembentukan Koneksi Kontrol

Gambar 4.20. Pembentukan Koneksi Kontrol

Koneksi kontrol adalah koneksi yang paling pertama dibentuk antara LAC dan LNS sebelum session terbentuk. Pembentukan koneksi kontrol termasuk menjamin identitas dari peer, seperti pengidentifikasikan versi L2TP peer, framing, kemampuan bearer, dan sebagainya.

Ada tiga message dipertukarkan yang dilakukan untuk membangun koneksi kontrol (SCCRQ, SCCRP, dan SCCN). Jika tidak ada message lagi yang menunggu dalam antrian peer tersebut, ZLB ACK dikirimkan.

5. Autentifikasi Tunnel Pada L2TP

Sistem autentifikasi yang digunakan L2TP, hampir sama dengan CHAP selama pembentukan koneksi kontrol. Autentifikasi tunnel L2TP menggunakan Challenge AVP yang termasuk di dalam message SCCRQ atau SCCRP :

Jika challenge AVP diterima di SCCRQ atau SCCRP, maka AVP challenge respon harus dikirimkan mengikuti SCCRP atau SCCCN secara berturut-turut.
Jika respon yang diharapkan dan respon yang diterima tidak sesuai, maka pembentukan tunnel tidak diijinkan.

Untuk dapat menggunakan tunnel, sebuah password single share harus ada diantara LAC dan LNS.

6. Incomong Call Pada L2TP

Gambar 4.21. Incoming Call pada L2TP

Session individu dapat terbentuk, setelah koneksi kontrol terbentuk dengan berhasil. Setiap session berhubungan dengan satu aliran PPP antara LAC dan LNS.

Pembentukan session memiliki arah yang sesuai dengan LAC dan LNS. LAC meminta LNS menerima session untuk incoming call, dan LNS meminta LAC menerima session untuk menempatkan outgoing call.

Terdapat 3 message yang terlibat dalam pembentukan session (ICRQ, ICRP, ICCN). Jika tidak ada message lagi yang menunggu dalam antrian peer tersebut, ZLB ACK dikirimkan.

7. Pengiriman PPP

Setiap kali tunnel terbentuk secara lengkap , maka :

Frame PPP dari remote client diterima pada LAC
Stripped (pemotongan) CRC
Menghubungkan frame
Transparansi byte
Di-enkapsulasi dalam L2TP
Diteruskan melalui tunnel yang terkait.

LNS menerima paket L2TP dan memproses frame PPP yang terenkapsulasi jika paket tersebut diterima di interface PPP local. Pengirim message dihubungkan dengan session dan tunnel-nya menempatkan session ID dan tunnel ID pada header session ID dan tunnel ID untuk semua outgoing message. Dengan cara ini frame PPP di multiplex dan demultiplex melalui single tunnel antara LAC dan LNS.

Multiple tunnel dapat terbentuk pada sebuah pasangan LAC-LNS, dan multiple session dapat terbentuk dalam sebuah session.

8. Pemutusan Session

Dengan cara mengirimkan control message CDN¸ pemutusan session dapat dilakukan oleh LAC atau LNS. Setelah session terakhir terputus, maka koneksi kontrol dapat diputuskan.

Gambar 4.22. Pemutusan Session

9. L2TP Over UDP/IP

L2TP menggunakan port UDP 1701 yang teregister. Inisiator tunnel L2TP akan mengambil satu port UDP source/asal (yang bukan 1701) dan mengirimkan ke tujuan yang dikehendaki dengan alamat port 1701.

Demikian pula penerima akan mengambil sebuah port yang bebas (selain 1701) pada sistemnya, dan mengirim balik kepada inisiator dengan alamat port UDP (port 1701). Setiap kali port asal dan tujuan ,dan alamat terbentuk maka alamat port yang digunakan pun akan tetap/static. Jika port yang digunakan berubah-rubah, maka mekanisme L2TP melewati perangkat NAT akan lebih kompleks.

Fragmentasi IP dapat terjadi pada L2TP seperti paket L2TP melewati melalui substrat IP. L2TP tidak mempunyai perlakuan khusus untuk mengoptimalkannya. Implementasi LAC dapat menyebabkan LCP bernegoisasi nilai MRU, yang mengoptimalkan lingkungan LAC sehingga paket L2TP dapat dilewatkan dengan nilai MTU yang konsisten.

Secara default pada beberapa implementasi L2TP UDP checksum harus digunakan untuk kontol dan data message. UDP checksum pada data message boleh tidak digunakan, tetapi penggunaan checksum pada control message direkomendasikan.

10. Keamanan Informasi Pada L2TP

L2TP membentuk tunnel LAC hingga LNS, sehingga data yang dilewatkan tidak dapat terlihat secara transparan oleh pengguna jaringan publik.

Ada beberapa bentuk keamanan yang diberikan oleh L2TP, yaitu :

10.1 Keamanan Tunnel Endpoint

Prosedur autentifikasi tunnel endpoint selama pembentukan tunnel, memiliki atribut yang sama dengan CHAP (Challenge Handshake Authentication Protocol). Mekanisme ini tidak di desain untuk menyediakan autentifikasi setelah proses pembentukan tunnel. Karena bisa saja pihak ketiga yang tidak berhak dapat melakukan pengintaian terhadap aliran data pada tunnel L2TP dan melakukan injeksi terhadap paket L2TP, jika setelah proses pembentukan tunnel terjadi.

10.2 Keamanan Level Paket

Pengamanan L2TP memerlukan keterlibatan transport lapisan bawah melakukan layanan enkripsi, integritas, dan autentifikasi untuk semua trafik L2TP. Transport yang aman tersebut akan beroperasi pada seluruh paket L2TP dan tidak tergantung fungsi PPP dan protokol yang dibawa oleh PPP.

10.3 Keamanan End to End

Memproteksi aliran paket L2TP melalui transport yang aman berarti juga memproteksi data di dalam tunnel PPP pada saat diangkut dari LAC menuju LNS. Proteksi seperti ini bukan merupakan pengganti keamanan end-to-end antara host atau aplikasi yang berkomunikasi.

10.4 Kombinasi antara L2TP dan IPsec

Pada saat berjalan pada IP (layer 3), IPSec dipergunakan untuk mengenkapsulasi paket dan bisa juga dipergunakan untuk enkripsi dalam protokol tunneling lainnya. IPSec menyediakan keamanan level paket menggunakan 2 protokol, yaitu :

AH (Authentication Header). Memungkinkan verifikasi identitas pengirim dan ada pengecekkan integritas dari pesan/ informasi.
ESP (Encapsulating Security Payload). Memungkinkan enkripsi informasi sehingga tetap rahasia. IP original dibungkus dan outer IP header biasanya berisi gateway tujuan. Tidak ada jaminan integrity dari outer IP header, maka digunakan bersama dengan protokol AH.

IPsec menyediakan mode operasi yang dapat melakukan tunneling paket IP. Enkripsi dan autentifikasi pada level paket disediakan oleh mode IPSec tunnel.

Jadi untuk menjamin keamanan L2TP yang lebih handal digunakan transport yang aman dan juga mengimplementasikan IPSec pada tunneling layer 3. Metode ini dikenal dengan L2TP over IPSec. (lihat tugas : R M Dikshie Fauzie, NIM : 23201093, "Tinjauan Mekanisme dan Aplikasi IPSec : Studi Kasus VPN").

11. Kesimpulan

Virtual Private Network ( VPN) dapat memberikan solusi bagi berbagai persoalan yang ada. Karena dengan adanya VPN, hubungan yang dilakukan antara kantor pusat dan cabang serta partner bisnis perusahaan lebih ekonomis. Selain itu koneksi dengan VPN tidak terbatas hanya pada hubungan antara kantor pusat dan cabang saja, tetapi VPN juga memberikan keuntungan lebih dengan memberikan security hubungan untuk pengguna yang berpindahpindah.

IP VPN berbasis jaringan publik yang berjalan di platform IP sehingga pengiriman layanan lebih bersifat connectionless, dalam artian data terkirim begitu saja tanpa ada proses pembentukan jalur terlebih dahulu (connection setup). IP bertugas untuk menangani masalahmasalah pengiriman, juga menjadi tanggung jawab IP untuk menangani masalah pengenalan datagram atau reassembly datagram sebagai akibat langsung proses fragmentasi. Penggunaan jaringan publik internet dalam layanan VPN menuntut jaminan security yang lebih baik dibandingkan dengan layanan internet yang biasa. Sharing infrastruktur jaringan publik untuk suatu hal yang namanya privat menuntut pengamanan-pengamanan tersendiri. Dengan adanya jaminan security tersebut, pelanggan dapat mengirimkan dan mengakses informasi secara aman dan terlindung dari kemungkinan disusupi oleh pengakses yang tidak diinginkan.

12. SOAL

Protokol apa saja yang digunakan untuk mengimplementasikan VPN di internet ?
Apakah yang dimaksud dengan Ipsec dan jelaskan tentang layanan yang ada didalam IPSec ?
Gambarkan dan jelaskan setiap bagian pada arsitektur IPSec ?
Gambarkan dan jelaskan perangkat dalam L2TP ?
Sebutkan beberapa bentuk keamanan yang diberikan oleh L2TP?