Layer Two Tunneling Protocol (L2TP)
Pendahuluan
L2TP adalah suatu standard IETF (RFC 2661) pada layer 2 yang merupakan kombinasi dari keunggulan-keunggulan fitur dari protokol L2F (dikembangkan oleh Cisco) dan PPTP (dikembangkan oleh Microsoft), yang didukung oleh vendor-vendor : Ascend, Cisco, IBM, Microsoft dan 3Com. Untuk mendapatkan tingkat keamanan yang lebih baik , L2TP dapat dikombinasikan dengan protocol tunneling IPSec pada layer 3. Seperti PPTP, L2TP juga mendukung protokol-protokol non-IP. L2TP lebih banyak digunakan pada VPN non-internet (frame relay, ATM, dsb).
Protokol L2TP sering juga disebut sebagai protokol dial-up virtual, karena L2TP memperluas suatu session PPP (Point-to-Point Protocol) dial-up melalui jaringan publik internet, sering juga digambarkan seperti koneksi virtual PPP.
Perangkat L2TP
- Remote Client: Suatu end system atau router pada jaringan remote access (mis. : dial-up client).
- L2TP Access Concentrator (LAC) Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LNS. Berada pada sisi remote client/ ISP. Sebagai pemrakarsa incoming call dan penerima outgoing call.
- L2TP Network Server (LNS) Sistem yang berada disalah satu ujung tunnel L2TP dan merupakan peer ke LAC. Berada pada sisi jaringan korporat. Sebagai pemrakarsa outgoing call dan penerima incoming call.
- Network Access Server (NAS) NAS dapat berlaku seperti LAC atau LNS atau kedua-duanya.
Skenario L2TP adalah untuk membentuk tunnel atau terowongan frame PPP antara remote client dengan LNS yang berada pada suatu jaringan korporat. Terdapat 2 model tunnel L2TP yang dikenal , yaitu compulsory dan voluntary. Perbedaan utama keduanya terletak pada endpoint tunnel-nya. Pada compulsory tunnel, ujung tunnel berada pada ISP, sedangkan pada voluntary ujung tunnel berada pada client remote.
Model Compulsory L2TP
Remote client memulai koneksi PPP ke LAC melalui PSTN. Pada gambar
diatas LAC berada di ISP. Kemudian ISP menerima koneksi tersebut dan
link PPP ditetapkan. Lalu ISP melakukan partial authentication
(pengesahan parsial)untuk mempelajari user name. Database map user untuk
layanan-layanan dan endpoint tunnel LNS, dipelihara oleh ISP. LAC
kemudian menginisiasi tunnel L2TP ke LNS. Jika LNS menerima koneksi,
LAC kemudian mengencapsulasi PPP dengan L2TP, dan meneruskannya melalui
tunnel yang tepat. Kemudian LNS menerima frame-frame tersebut, kemudian
melepaskan L2TP, dan memprosesnya sebagai frame incoming PPP biasa. LNS
kemudian menggunakan pengesahan PPP untuk memvalidasi user dan kemudian
menetapkan alamat IP.
Model Voluntary L2TP
Remote client mempunyai koneksi pre- established ke ISP. Remote
Client befungsi juga sebagai LAC. Dalam hal ini, host berisi software
client LAC mempunyai suatu koneksi ke jaringan publik (internet)
melalui ISP. Client L2TP (LAC) lalu menginisiasi tunnel L2TP ke LNS.
Jika LNS menerima koneksi, LAC kemudian meng-encapsulasi PPP dengan
L2TP, dan meneruskannya melalui tunnel. Kemudian LNS menerima
frame-frame tersebut, kemudian melepaskan L2TP, dan memprosesnya sebagai
frame incoming PPP biasa. LNS kemudian menggunakan pengesahan PPP untuk
memvalidasi user dan kemudian menetapkan alamat IP.Struktur Protokol L2TP
Struktur Protokol L2TP
Dua jenis messages pada L2TP : control messages dan data messages.
Cara Kerja L2TP
Komponen-komponen pada tunnel, yaitu :
1. Control channel, fungsinya :
- Setup (membangun) dan teardown (merombak) tunnel
- Create (menciptakan) dan teardown (merombak) payload (muatan) calls dalam tunnel.
- Menjaga mekanisme untuk mendeteksi tunnel yang outages.
- Layanan delivery payload
- Paket PPP yang di-encapsulasi dikirim pada sessions
- Pembentukan koneksi kontrol untuk suatu tunnel. Sebelum incoming atau outgoing call dimulai, tunnel dan koneski kontrol harus terbentuk. Koneksi kontrol adalah koneksi yang paling pertama dibentuk antara LAC dan LNS sebelum session terbentuk. Pembentukan koneksi kontrol termasuk menjamin identitas dari peer, seperti pengidentifikasikan versi L2TP peer, framing, kemampuan bearer, dan sebagainya. Ada tiga message dipertukarkan yang dilakukan untuk membangun koneksi kontrol (SCCRQ, SCCRP, dan SCCN). Jika tidak ada message lagi yang menunggu dalam antrian peer tersebut, ZLB ACK dikirimkan.
- Pembentukan session yang dipicu oleh permintaan incoming atau outgoing call. Suatu session L2TP harus terbentuk sebelum frame PPP dilewatkan pada tunnel L2TP. Multiple session dapat dibentuk pada satu tunnel, dan beberapa tunnel dapat dibentuk diantara LAC dan LNS yang sama.
Sistem autentifikasi yang digunakan L2TP, hampir sama dengan CHAP selama pembentukan koneksi kontrol. Autentifikasi tunnel L2TP menggunakan Challenge AVP yang termasuk di dalam message SCCRQ atau SCCRP : Jika challenge AVP diterima di SCCRQ atau SCCRP, maka AVP challenge respon harus dikirimkan mengikuti SCCRP atau SCCCN secara berturut-turut. Jika respon yang diharapkan dan respon yang diterima tidak sesuai, maka pembentukan tunnel tidak diijinkan. Untuk dapat menggunakan tunnel, sebuah password single share harus ada diantara LAC dan LNS.
Keamanan Informasi Pada L2TP
L2TP membentuk tunnel LAC hingga LNS, sehingga data yang dilewatkan tidak dapat terlihat secara transparan oleh pengguna jaringan publik.
Ada beberapa bentuk keamanan yang diberikan oleh L2TP, yaitu :
1. Keamanan Tunnel Endpoint
Prosedur autentifikasi tunnel endpoint selama pembentukan tunnel, memiliki atribut yang sama dengan CHAP (Challenge Handshake Authentication Protocol). Mekanisme ini tidak di desain untuk menyediakan autentifikasi setelah proses pembentukan tunnel. Karena bisa saja pihak ketiga yang tidak berhak dapat melakukan pengintaian terhadap aliran data pada tunnel L2TP dan melakukan injeksi terhadap paket L2TP, jika setelah proses pembentukan tunnel terjadi.
2. Keamanan Level Paket
Pengamanan L2TP memerlukan keterlibatan transport lapisan bawah melakukan layanan enkripsi, integritas, dan autentifikasi untuk semua trafik L2TP. Transport yang aman tersebut akan beroperasi pada seluruh paket L2TP dan tidak tergantung fungsi PPP dan protokol yang dibawa oleh PPP.
3. Keamanan End to End
Memproteksi aliran paket L2TP melalui transport yang aman berarti juga memproteksi data di dalam tunnel PPP pada saat diangkut dari LAC menuju LNS. Proteksi seperti ini bukan merupakan pengganti keamanan end-to-end antara host atau aplikasi yang berkomunikasi.
good men (y)
ReplyDeleteoh yeah..
Delete