Langkah
pertama dalam proses menggunakan IPsec terjadi ketika sebuah host mengakui
bahwa suatu paket harus dikirim menggunakan IPsec. Ini dapat dilakukan dengan
memeriksa alamat IP sumber atau tujuan terhadap konfigurasi kebijakan untuk
menentukan apakah lalu lintas harus dianggap "menarik" untuk tujuan
IPsec. Lalu lintas yang menarik memicu kebijakan keamanan untuk paket, yang
berarti bahwa sistem yang mengirim paket menerapkan enkripsi dan / atau
otentikasi yang sesuai untuk paket tersebut. Ketika sebuah paket masuk dianggap
"menarik," host memverifikasi bahwa paket yang masuk telah dienkripsi
dan / atau diautentikasi dengan benar.
Langkah
kedua dalam proses IPsec, yang disebut IKE Phase 1, memungkinkan kedua host
menggunakan IPsec untuk menegosiasikan set kebijakan yang mereka gunakan untuk
sirkuit yang diamankan, saling mengautentikasi satu sama lain, dan memulai
saluran aman antara kedua host.
IKE
Phase 1 mengatur saluran aman awal antara host menggunakan IPsec; bahwa saluran
aman kemudian digunakan untuk menegosiasikan dengan aman cara sirkuit IPsec
akan mengenkripsi dan / atau mengotentikasi data yang dikirim di seluruh
rangkaian IPsec.
Ada dua
opsi selama IKE Phase 1: Mode utama atau mode Agresif. Mode utama memberikan
keamanan yang lebih besar karena mengatur terowongan yang aman untuk bertukar
algoritma dan kunci sesi, sementara mode Aggressive memungkinkan beberapa data
konfigurasi sesi diteruskan sebagai plaintext tetapi memungkinkan host untuk
membuat sirkuit IPsec lebih cepat.
Di bawah
mode Utama, tuan rumah yang memulai sesi mengirim satu atau lebih proposal
untuk sesi tersebut, menunjukkan algoritma enkripsi dan otentikasi yang lebih
disukai untuk digunakan, serta aspek-aspek lain dari koneksi; tuan rumah yang
menanggapi melanjutkan negosiasi sampai kedua tuan rumah setuju dan membentuk
Asosiasi Keamanan IKE (SA), yang mendefinisikan rangkaian IPsec.
Ketika
mode Agresif digunakan, tuan rumah yang memulai rangkaian menentukan data
asosiasi keamanan IKE secara sepihak dan jelas, dengan tuan rumah yang
merespons merespons dengan mengotentikasi sesi.
Langkah
ketiga dalam menyiapkan sirkuit IPsec adalah IKE Phase 2, yang dengan
sendirinya dilakukan di atas pengaturan saluran aman di IKE Phase 1. Ini
membutuhkan dua host untuk bernegosiasi dan memulai asosiasi keamanan untuk
sirkuit IPsec yang membawa data jaringan aktual. Pada fase kedua, kedua host
menegosiasikan jenis algoritma kriptografi yang akan digunakan pada sesi, serta
menyepakati materi kunci rahasia untuk digunakan dengan algoritma tersebut.
Nonces, nomor yang dipilih secara acak yang hanya digunakan satu kali untuk
memberikan otentikasi sesi dan perlindungan replay, dipertukarkan dalam fase
ini. Tuan rumah juga dapat bernegosiasi untuk menegakkan kerahasiaan maju
sempurna pada pertukaran dalam fase ini.
Langkah
empat dari koneksi IPsec adalah pertukaran data aktual melintasi terowongan
terenkripsi IPsec yang baru dibuat. Dari titik ini, paket dienkripsi dan
didekripsi oleh dua titik akhir menggunakan pengaturan IPsec SAs dalam tiga
langkah sebelumnya.
makasih sharingnya
ReplyDeleteSama2...
Delete