Tinjauan Umum tentang Penyedia Virtual Private Networks (PPVPN)

Penyedia Jaringan Privat Virtual (PPVPN) yang disediakan oleh Penyedia adalah VPN tingkat perusahaan yang terutama digunakan oleh perusahaan untuk memungkinkan staf mengamankan akses jarak jauh ke jaringan perusahaan mereka. PPVPN juga digunakan untuk menghubungkan situs dan jaringan yang terpisah secara fisik dengan aman di Internet.


Dengan cara ini, berbagai situs muncul kepada pengguna sebagai satu jaringan tunggal yang sepenuhnya terintegrasi. Perusahaan yang ingin menjalankan VPN korporat dapat membangun dan mengoperasikan VPN khususnya sendiri. Atau, dapat menyewa layanan PPVPN dari penyedia telekomunikasi atau ISP yang melayani bisnis ke sektor bisnis.

VPN yang Diberikan oleh Penyedia memiliki keuntungan dari kemudahan implementasi dan operasi. Jaringan VPN biasanya transparan bagi pengguna tanpa diperlukan otentikasi pengguna terpisah. Tergantung pada protokol dan arsitektur VPN, setelah dikonfigurasi, mesin host pengguna akhir yang berpartisipasi di kedua sisi VPN mungkin tidak memerlukan perangkat lunak VPN khusus yang diinstal untuk menggunakan VPN yang disediakan oleh penyedia.

kw1kw1

Di artikel ini

Bagaimana Cara Kerja PPVPN

PPVPN menggunakan tautan lalu lintas virtual di Internet. dikenal sebagai "terowongan" yang dibuat menggunakan protokol seperti GRE, MPLS, PPTP, L2TP dan Ipsec. Protokol-protokol ini memungkinkan lalu lintas perusahaan swasta untuk melintasi Internet publik tanpa koneksi atau data yang dikompromikan.

Untuk VPN akses jarak jauh yang menghubungkan satu pengguna ke jaringan perusahaan melalui dial-in, router DLS atau LAN nirkabel, protokol yang digunakan biasanya adalah PPTP atau L2TP. Untuk VPN yang menghubungkan dua atau lebih jaringan situs satu sama lain, protokol biasanya akan menjadi GRE, IPsec atau MPLS.

Terowongan VPN dibuat antara gateway jaringan VPN dari setiap situs, yang disebut sebagai “Edge Provider” dan “Tepi Pelanggan” perangkat. Terowongan VPN beroperasi di satu atau dua Layers Cmmunication yang ditentukan OSI.

Ini biasanya OSI Layer 2 atau Layer 3. Tunnels layer 2 menggunakan PPTP dan L2TP. Ini adalah Layer Frame di mana frame Ethernet sederhana diangkut melalui VPN. Ini juga memungkinkan paket siaran melewati VPN. VPN MPLS juga beroperasi pada Layer ini.

Contoh terowongan Layer 3 adalah Enkapsulasi Rute Generik (GRE), digunakan untuk merangkum lalu lintas non-IP untuk transportasi melalui Internet tanpa enkripsi. Layer 3 juga digunakan oleh protokol IPsec yang menggabungkan fungsi tunneling dan enkripsi.

Topologi VPN

Ada dua topologi utama yang mungkin untuk mengatur VPN. - Berbasis jala, di mana setiap set perangkat akhir berkomunikasi satu sama lain secara langsung, tanpa perlu melewati titik pusat. Ini membuat kemampuan routing yang lebih baik, tetapi juga berarti lebih banyak terowongan diperlukan.

Hub dan berbasis bicara, di mana setiap set perangkat akhir berkomunikasi satu sama lain melalui titik pusat. Konfigurasi ini mengurangi kerumitan dan jumlah terowongan, tetapi juga menempatkan tuntutan yang lebih tinggi pada keandalan dan menghasilkan overhead lalu lintas yang lebih berat di titik pusat. Ini juga berarti satu titik kegagalan diperkenalkan ke sistem.

Jenis topologi yang dipilih akan tergantung pada sifat jaringan yang terlibat, jumlah situs yang akan ditautkan dan persyaratan konektivitas masing-masing. Untuk diskusi mendalam tentang topologi dan arsitektur yang digunakan oleh VPN, lihat makalahnya Analisis Solusi Jaringan Pribadi Virtual diterbitkan oleh The University of New South Wales.

Aspek Keamanan VPN

Keamanan VPN membutuhkan fungsi otorisasi, otentikasi, dan enkripsi data pengguna. Terowongan VPN sendiri tidak selalu memberikan keamanan yang memadai. Itu tergantung pada protokol spesifik yang digunakan. Beberapa protokol transport berisi fungsionalitas enkripsi. Yang lain tidak.

Bahkan jika itu diamankan, data yang melewati VPN akan tetap normal hanya dilindungi antara dua perangkat tepi gateway. Ini berarti data yang bepergian antara host dan tepi gateway di setiap ujung VPN tidak dilindungi.

Protokol Transport VPN

Karena VPN beroperasi melalui internet publik, protokol transportasi yang digunakan sangat penting dalam hal keamanan data dan koneksi. Berikut ini adalah protokol VPN yang paling sering dijumpai saat ini yang digunakan untuk PPVPN.

Enkapsulasi Routing Generik (GRE) GRE digunakan untuk merangkum semua protokol ke dalam IP. Versi GRE yang lebih baru dikenal sebagai GRE yang ditingkatkan memungkinkan untuk transmisi yang lebih efisien. GRE digunakan bersama dengan PPTP untuk membuat terowongan VPN.

Protokol Tunneling Titik-ke-Titik (PPTP) PPTP adalah protokol Layer 2 yang digunakan untuk koneksi point-to-point. Biasanya ini adalah dial-up atau ISDN yang menggunakan Protokol Point-to-Point (PPP). PPTP adalah pengembangan lebih lanjut dari PPP dan menggunakan mekanisme keamanan milik Microsoft CHAP (Challenge Handshake Authentication Protocol) untuk otentikasi. PPTP menyediakan terowongan VPN antara klien akhir PPTP seperti PC atau laptop dan server yang mendukung PPTP.

Setiap perangkat yang ingin menggunakan PPTP perlu menginstal dan mengonfigurasi perangkat lunak klien PPTP. PPTP pada gilirannya menggunakan GRE untuk merangkum frame PPP ke dalam paket IP. Perhatikan bahwa banyak perangkat firewall packet filtering memblokir port PPTP secara default, sehingga mereka mungkin perlu mengkonfigurasi ulang untuk memungkinkan lalu lintas PPTP melewatinya. Masalah lain dengan PPTP adalah bahwa protokol tersebut telah lama terbukti tidak aman secara intrinsik.

Secara umum, Anda tidak ingin menggunakan PPTP dengan penyedia VPN yang disediakan. Protokol Tunneling Lapisan 2 (L2TP) L2TP adalah pengganti PPTP. Seperti halnya PPTP, L2TP menyediakan komunikasi antara klien L2TP dan server yang mendukung L2TP. Ini membutuhkan perangkat lunak klien L2TP untuk diinstal dan dikonfigurasi pada setiap sistem.

Namun, tidak seperti PPTP, yang menggunakan GRE untuk data terowongan, L2TP memiliki protokol tunneling sendiri yang berjalan pada port UDP 1701. Ini membuatnya lebih mudah bagi L2TP untuk melewati tanpa hambatan melalui perangkat packet filtering daripada halnya dengan PPTP. Sebuah terowongan L2TP mengemulasi koneksi PPP dan setiap terowongan L2TP terdiri dari dua saluran: saluran kontrol yang mengelola sesi komunikasi dan saluran data yang membawa paket data aktual dalam format PPP. Pesan kontrol yang hilang selalu dikirim ulang.

Namun, seperti halnya PPTP, selain otentikasi berbasis tantangan awal yang menggunakan CHAP pada awal sesi, L2TP tidak menyediakan keamanan apa pun sehingga L2TP tidak boleh digunakan sendiri untuk VPN. Salah satu cara umum untuk menambahkan keamanan ke L2TP adalah dengan membundelnya dengan IPsec untuk menyediakan enkripsi melalui terowongan L2TP.

Keamanan Protokol Internet (IPsec) IPsec adalah seperangkat protokol yang dibuat dan terbukti terdiri dari tiga komponen utama: the Authentication Header (AH), Encapsulating Security Payload (ESP), dan Internet Key Exchange (IKE) yang menangani enkripsi data untuk IPsec. IPsec memberikan keamanan di Layer paket IP.

IPsec adalah protokol tingkat jaringan yang dapat dimasukkan ke dalam server, klien dan perangkat lain misalnya di router, konsentrator VPN khusus, atau firewall. Semua versi Windows sejak 2000 / XP dan Mac OSX 10.3+ dan sebagian besar sistem operasi seluler datang dengan dukungan asli untuk L2TP dan IPsec. IPsec mengamankan setiap paket IP terlepas dari apakah itu paket TCP, UDP atau jenis lainnya. IPsec umumnya dianggap sebagai protokol transportasi VPN yang paling aman dan efisien, tetapi ia juga memiliki beberapa keterbatasan.

Header Otentikasi (AH) AH menyediakan otentikasi pengguna serta perlindungan integritas untuk header paket dan data. Namun, AH tidak melakukan enkripsi paket apa pun. Karena alasan ini, AH dan ESP cenderung digabungkan menjadi satu. Karena kemampuan otentikasi ditambahkan ke ESP, AH menjadi kurang signifikan dan beberapa sistem IPsec tidak lagi memasukkannya.

Namun, AH masih merupakan fitur yang berguna karena menyediakan kompatibilitas mundur dengan perangkat dan perangkat lunak yang masih mengandalkannya. Penting untuk dicatat bahwa AH memiliki dua mode: transportasi dan terowongan. Dalam mode terowongan, AH membuat header IP baru untuk setiap paket data. Dalam mode transport, yang umumnya digunakan untuk koneksi langsung host-ke-host (misalnya PC-ke-server atau server-ke-server), AH tidak mengubah header IP asli atau membuat header IP baru. Ini berarti bahwa jika Anda menggunakan VPN gateway-to-gateway atau host-to-gateway, Anda harus memastikan perangkat Anda diatur untuk mengkonfigurasi ulang sumber atau alamat IP tujuan untuk paket-paket yang mengarah ke alamat IP gateway. Jika tidak, paket tidak akan mencapai tujuannya.

Encapsulating Payload Keamanan (ESP) Awalnya, ESP hanya menyediakan enkripsi untuk data paket dengan perlindungan integritas yang dijaga oleh protokol AH. Dalam versi IPsec yang lebih baru, ESP sekarang dapat melakukan enkripsi, perlindungan integritas atau enkripsi dan perlindungan integritas secara bersamaan. Seperti halnya AH, ESP memiliki mode transportasi dan terowongan. Untuk sebagian besar VPN, mode terowongan digunakan. Dalam hal ini ESP menambahkan header IP baru untuk setiap paket yang berisi alamat titik akhir terowongan.

Potensi Masalah dengan IPsec

Menggunakan IPsec dengan gateway NAT (Network Address Translation) bisa menjadi masalah. AH seharusnya hanya digunakan dalam mode terowongan jika lalu lintas melintasi gateway NAT karena mode transportasi AH tidak kompatibel dengan NAT. Masalah lain adalah bahwa AH mengotentikasi seluruh paket IPsec, termasuk header IP, sedangkan NAT harus dapat memodifikasi alamat IP paket.

Akibatnya, otentikasi IPsec dalam mode terowongan mungkin tidak berfungsi dengan lalu lintas protokol aplikasi tertentu seperti FTP, SIP / VOIP atau IRC yang bergantung pada alamat IP yang disematkan untuk berfungsi dengan benar. Salah satu solusi untuk ini adalah untuk melakukan fungsi NAT sebelum IPsec diterapkan. Ini dapat dilakukan dengan menggunakan gateway IPsec yang juga melakukan NAT.

Alternatif lain adalah menerapkan enkapsulasi UDP dari paket ESP dengan menambahkan header UDP untuk setiap paket, yang menyediakan alamat IP dan port UDP yang dapat digunakan oleh NAT. IPsec sangat berguna untuk ujung luar akhir di mana enkripsi secara eksplisit diinginkan saat menghubungkan ke PC pengguna dan laptop. IPsec juga merupakan satu-satunya protokol yang menawarkan akses VPN aman untuk host login jarak jauh. Institut Nasional Standar dan Teknologi (NIST) telah menerbitkan rincian Panduan untuk VPN Ipsec yang layak dibaca jika Anda serius mempertimbangkan untuk mengimplementasikan VPN berbasis IPsec.

Multiprotocol Label Switching (MPLS)

Hingga awal 2000-an, IPsec adalah protokol penyedia layanan VPN default yang ditawarkan kepada bisnis oleh telekomunikasi dan ISP. Namun sejak itu MPLS telah mulai menjadi lebih populer. MPLS sering digambarkan sebagai pemasangan antara OSI Layers 2 dan 3. Ini karena MPLS memahami kedua IP routing pada Layer 3 serta fungsionalitas packet-switching Layer 2. MPLS, sebagai “Multiprotocol” namanya, dapat membawa paket dari beragam protokol jaringan yang berbeda. MPLS sekarang ditawarkan oleh banyak jaringan penyedia layanan, serta digunakan untuk tulang punggung Internet mereka sendiri.

MPLS meneruskan paket pada Layer 2 (layer switching). Perlunya perutean IP pada tahap ini dihindari karena setiap paket diberi label saat masuk ke jaringan penyedia layanan oleh Label Edge Router atau LER yang masuk atau “masuk”. Semua Label Switching Routers (LSRs) MPLS berikutnya yang berpartisipasi melakukan penerusan paket hanya sesuai dengan label ini, tanpa referensi ke alamat di header IP.

Akhirnya, router LER keluar atau “keluar” menghapus label MPLS dan meneruskan paket IP ke tujuan akhir. VPN MPLS kadang-kadang disebut oleh penyedia layanan sebagai Layanan Virtual Private LAN (VPLS) atau Virtual Private Routed Network (VPRN). MPLS menawarkan sejumlah keunggulan dibandingkan IPsec.

Pertama, daripada mengandalkan serangkaian pencarian tabel router di sepanjang jalan untuk setiap paket, MPLS menggunakan jalur yang telah ditentukan sebelumnya yang disebut Label-Switched Paths untuk memilih rute optimal di muka untuk semua paket. Ini sangat mempercepat transfer data.

MPLS juga memiliki kemampuan Quality of Service (QoS) yang sangat baik. MPLS mendukung definisi beberapa tingkat layanan dengan menggunakan rute Label Switching Protocol (LSP) sendiri untuk memenuhi perjanjian tingkat layanan tertentu berdasarkan karakteristik lalu lintas, latensi, kehilangan paket, dan masalah waktu henti. Misalnya, jaringan dapat menetapkan tiga tingkat layanan - satu untuk lalu lintas VOIP, satu untuk lalu lintas yang sensitif terhadap waktu, dan satu lagi untuk lalu lintas data standar. EETimes telah menerbitkan artikel yang mendalam tentang implementasi solusi PPVPN berbasis MPLS.

Jadi Protokol Yang Terbaik untuk PPVPN?

IPsec cenderung disukai oleh bisnis kecil untuk VPN di OSI layer 3 dan khususnya untuk host akses jarak jauh. Dalam kasus ini, IPsec dengan L2TP atau IPsec dengan GRE akan menjadi protokol yang lebih disukai. PPTP memiliki keuntungan karena mudah diimplementasikan karena tersedia sebagai built-in dengan MS-Windows dan banyak sistem lainnya.

Namun, karena kelemahan keamanan, menggunakan PPTP tidak disarankan untuk VPN yang aman. Ingatlah bahwa IPsec dan GRE tidak mendukung fungsionalitas QoS sendiri. IPSec lebih jarang ditemui di antara perusahaan skala menengah dan besar karena kompleksitas persyaratan konektivitas jaringan mereka.

Untuk pengguna seluler dan login akses jarak jauh MPLS bukanlah suatu pilihan. MPLS berhenti di "tepi pelanggan" atau perangkat CE (biasanya router). MPLS paling cocok untuk penyebaran VPN dari satu lokasi ke lokasi lainnya di antara tepi router dari situs jaringan dan untuk perusahaan yang lebih besar, dan terutama untuk jaringan dengan volume lalu lintas yang lebih tinggi dan lalu lintas dari berbagai jenis yang mendapat manfaat dari pemisahan QoS. Jika Anda mencari penyedia VPN MPLS yang cocok, lihat Daftar Penyedia Layanan Komersial VPN Inggris dan Global MPLS dikelola oleh The Network Union.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me