IEEE 802.10 LAN/MAN SECURITY

MENGUNGKAP TABIR IEEE 802.10 LAN/MAN SECURITY

Standarisasi IEEE 802 yang mengatur jaringan wireless Local Area Network ini mempunyai banyak macamnya  dimulai dari 802.1 yang mengatur Local Area Network tentang Management dan Media Access Control Bridge sampai 802.12 tentang Demand Priority Access Method. Adapun sejarah penamaan standarisasi 802 bermula pada saat IEEE mempunyai subkomite yang bekerja  untuk melakukan standarisasi jaringan baik local maupun metropolitan, dan mereka bertemu untuk melakukan standarisasi pada bulan februari 1980, disinilah nama standarisasi diambil “80” diambil dari tahun dan “2” diambil dari bulan februari mereka melakukan pertemuan.

Dari sekian banyak macam standarisasi IEEE 802 ketika kita searching di google atau sejenisnya kebanyakan muncul pembahasan yang hanya menjelaskan dengan gamblang standarisasi 802.11 Wireless LAN, sementara yang lainnya hanya sedikit sekali hanya sekedarnya dan sekalinya ada menggunakan Bahasa yang tidak semua orang mengerti.

Pada artikel ini saya tertarik dengan standarisasi IEEE 802.10 yang mengatur LAN/MAN security.  Standarisasi ini menyediakan keamanan jalur data yang dilewati untuk penerapannya digunakan pada internet public sebagai backbone untuk private interconnection antar lokasi (VPN). Adapun ruang lingkup dan tujuan standar ini dikembangkan  untuk memberikan keamanan di IEEE 802 Local Area Network  (LAN) dan  Jaringan Metropolitan (MAN). 

Teknologi baru terus menerus diperkenalkan ke perusahaan. Akses jaringan perusahaan tidak terbatas hanya pada koneksi menggunakan kabel  atau menggunakan koneksi  akses dial-up. Koneksi nirkabel LAN di kantor serta akses jaringan nirkabel melalui layanan Hot Spot dan jaringan seluler   seperti CDMA 1x (Code Division MultipleAccess 1xRTT) , GPRS (General Packet Radio Service) dan EDGE (Enhanced Data Rates for Global Evolution)yang  menjadi metode umum  untuk mengakses jaringan di Perusahaan. Di dalam jaringan perusahaan tradisional didedikasikan untuk koneksi hubungan inter-office telah digantikan oleh metropolitan optik bersama pelayanan jaringan seperti jaringan PON ( Passive Optical Network ), Metro Ethernet dan layanan Transparent  LAN . Para penyedia layanan  sedang mencari jalan sebagai  usaha meningkatkan kapasitas jaringannya tanpa menimbulkan tambahan biaya operasional untuk perusahaan pengguna LAN-to-LAN   .Di dalam perusahaan , jaringan mudah untuk diakses, bukan hanya dari desktop anda, tetapi juga dari ruang konferensi,.Jaringan yang saling berhubungan  yang dimaksud  terdapat di mana mana di dalam perusahaan, kampus dan gedung sehingga  menawarkan kenyamanan bagi karyawan untuk meningkatkan produktivitas mereka. Teknologi baru seperti IP Telepon digunakan di perusahaan infrastruktur untuk  berkomunikasi, dan video call.  Teknologi baru ini telah dilakukan untuk meningkatkan kolaborasi dan komunikasi antara karyawan .Menyertai teknologi baru ini , beberapa perangkat  terbaru seperti IP telepon yang digunakan .IP  telepon yang sangat simple pada Mini-PC yang diletakan di meja dan mereka dapat menangani lebih dari sekedar  percakapan.

Di tengah meningkatnya kebutuhan akan keamanan penggunaan jaringan LAN ketika penggunaan LAN menjadi popular di akhir tahun 80an.  Meskipun terdapat MAC yang berfungsi sebagai filter  yang dapat  mengendalikan akses yang tidak sah/illegal. Selain itu , tidak ada control tambahan  kepada  pengguna yang diberi kewenangan . Pada tahun 1988 , kelompok baru dalam  standar  IEEE 802  dibentuk  pengalamatan keamanan Jaringan LAN .Standar ini untuk keamanan interoperable LAN  atau disebut   kelompok  SILS.  Kelompok ini ditunjuk sebagai IEEE 802.10 . Tujuan dari kelompok kerja ini , sebagaimana yang sudah tersirat , adalah untuk mengembangkan sebuah interoperable standar keamanan untuk jaringan area lokal , seperti ethernet ,Token Passing dan Ring . Tujuan utama dikembangkan standar dan spesifikasi ini untuk pengamanan di Layer 2 . Untuk memenuhi kebutuhan layanan keamanan yang di butuhkan  di Layer 2 seperti kunci yang digunakan untuk proses  enkripsi dan pemecahan kode. Mereka juga mengembangkan kunci manajemen protokol, yang merupakan lapisan 7 protokol yang   berkomunikasi dengan protokol layer 2.

Beberapa karakteristik implisit LAN yang berpotensi menciptakan vulnerabilities di lingkungan LAN . Pertama tama , karena ruang alamat  LAN adalah datar,  tidak ada struktur hirarkis di alamat  LAN.  Jaringan administrator tidak dapat menspesifikasikan alamat setiap segmen yang dibutuhkan jaringan . untuk mengendalikan akses sumber daya LAN. Meski LAN mempunyai  stasiun  alamat yang unik , setiap stasiun dapat dengan mudah meniru alamat  LAN selama alamat tidak digunakan di segmen yang sama. Sumber dari sebuah paket LAN tidak dapat diotentikasi , ketika sebuah data terdapat di suatu jaringan , setiap stasiun di  LAN dapat melihat paket yang dilewati .ketika  setiap stasiun  dapat melihat lalu lintas data  , tidak ada jaminan bahwa  data yang diperoleh oleh penerima belum diubah atau masih asli .Oleh karena itu untuk mengurangi potensi ancaman yang muncul di sebuah LAN, termasuk : tidak ada adanya penyelundup yang menyamar , data modifikasi yang tidak sah dan penggunaan dari sumber yang tidak sah. Untuk keamanan  pengalamtan  pada LAN maka layanan keamanan di perlukan terutama untuk:  ketika tidak adanya jaringan yang sah, kenyamanan, keabsahan, integritas sebuah jaringan dan akses control.

IEEE 802.10 dikembangkan di bawah standar SILS yang terdiri dari:

Part a Security Architecture Framework

Part b Secure Data Exchange (SDE) protocol

Part c Key Management Protocol

Part d Security Management

Part e SDE on Ethernet 2.0

Part f SDE Sublayer Management

Part g SDE Security Labels

Part h SDE PICS Conformance

Secure Data Exchange ( SDE ) adalah kerja pertama yang didefinisikan oleh kelompok kerja  SILS. Protokol didefinisikan sebagai kerangka pada metode dengan dua stasiun yang bisa berkomunikasi satu sama lain dalam cara yang aman. Standar ini didefinisikan sebagai mekanisme protocol dengan format  frame.   SDE didefinisikan sebagai lapisan entitas 2 .Entitas yang terletak di atas MAC sublayer di  802 LAN dan MAN, dan bagian dari sublayer LLC ( Logical Link Control ). Angka 1 menunjukkan lokasi entitas referensi model SDE di IEEE 802

Gambar 1 

 

SDE protocol menawarkan keamanan jaringan untuk semua MAC layer di dalam keluarga IEEE 802 dan lapisan MAC protokol lain , seperti FDDI ( Fiber Distribution Data Interface ).SDE protokol menentukan penyediaan empat layanan keamanan di data link layer : data lapisan kerahasiaan, integritas tanpa jaringan , data otentikasi dan akses kontrol.

Menjelaskan bahwa empat layanan keamanan yang disarankan SILS  pada waktu itu adalah sangat unik. Sebelum SILS , ISO 7498-2 3 didefinisikan sebagai satu set layanan keamanan yang diperlukan di berbagai lapisan referensi model OSI. pada link layer ( lapisan lapisan 2 dari model OSI referensi ) , ISO 7498-2 khusunya Data Confidentality  layanan ini satu satunya jasa pengamanan yang dibutuhkan di lapisan 2 karena alasan sejarah . Tiga lainnya dari layanan  keamanan yang ditentukan oleh SILS bekerja kelompok yang dilihat oleh ISO 7498-2 sebagai layanan yang dapat ditawarkan di  lapisan atasnya . Dengan pengaruh kerja SILS  , ISO 7498-2 kemudian mengeluarkan sebuah Amandemen  untuk menentukan kebutuhan layanan dan mekanisme baru  LAN. Juga diperhatikan bahwa di antara layanan otentikasi, hanya data yang asli yang dibutuhkan oleh LAN.

Di bagian selanjutnya, memeriksa protokol yang dikembangkan oleh 802.10 , yang akan mendukung   layanan keamanan untuk mengatasi ancaman pengalamatan pada LAN .Sebelum kita mulai untuk menggambarkan fungsinya , pertama marilah kita melihat susunan SDE PDU  (  Protokol Data Unit), yang ditunjukkan pada gambar 2 .Seperti terlihat pada gambar 1 , yang selalu berada di atas SDE MAC sublayer, dan ada dalam LLC sublayer .

Gambar 2

Pada bagian paling atas adalah kepala pembersih. Sebagai nama yang  tersirat, header ini tidak terenkripsi sejak informasi ini dipakai untuk menentukan jenis fungsi  keamanan yang diperlukan. Di dalam header, ada tiga bidang, yaitu SDE Designator, SAID dan MDF (Management Defined Field ). Penggunaan SDE Designator ini adalah untuk mengidentifikasi SDE paket dari non-SDE paket, Yang akan memungkinkan proses SDE  di stasiun SDE PDU serta non-SDE PDU untuk tujuan interoperability. SDE Designator ini ditengarai badan yang dilindungi undang undang LSAP ( Link Services Accsess Point).

Jalur komunikasi yang aman diantara dua stasiun yang tergantung pada pembentukan asosiasi keamanan yang telah disepakati .Dalam rangka untuk mendapatkan asosiasi keamanan , skema kunci manajemen yang ada seperti didefinisikan dalam 802.10C IEEE  dapat digunakan untuk bernegosiasi untuk satu set atribut  dan parameter persetujuan  .Setelah asosiasi keamanan mendirikan sebuah SAID  yang dibuat untuk sesi  keamanan mereka selanjutnya .Yang disetujui sehingga  menjadi kunci sebuah informasi dan  atribut yang akan disimpan di  database local yang disebut SMIB ( Security Management Information Base). SAID  adalah  indeks penunjuk    di SMIB ini. SAID digunakan untuk memastikan keaslian dari dua badan yang saling komunikasi. Ketika kedua badan komunikasi yang sama berkata, mereka yang terjaring langsung berwenang terhadap keamanan  untuk berkomunikasi satu sama lain. Selain itu , stasiun ID dalam Protected Header  dari SDE  PDU  juga dapat digunakan untuk mengidentifikasi yang diinginkan oleh stasiun untuk seperti komunikasi . Header ini terenkripsi menggunakan kunci melalui negosiasi selama pembentukan asosiasi keamanan .Oleh karena itu , asal otentikasi data pelayanan yang diberikan . MDF lapangan yang tidak lain hanyalah seorang yang menyediakan ruang ekspansi melalui usaha pengembangan di masa yang akan datang.

Sebelum  SDE memungkinkan station bisa berkomunikasi dengan rekan yang dalam sebuah lingkungan  SILS LAN, penciptaan Asosiasi keamanan akan memastikan bahwa stasiun ini yang sah sehingga mereka bisa menggunakan LAN .Ini memberlakukan layanan akses kontrol.  SILS tidak menentukan  akses kontrol atas kontrol kebijakan  yang  unik  dalam lingkungan  pelaksanaan  dan diluar dari batas standar ini.

Layanan  Kerahasiaan yang disediakan dengan mengekripsi SDE PDU (Excluding the Clear Header) menggunakan kunci  yang terkait dengan  atribut yang disimpan di dalam  SMIB. Standar ini tidak sesuai  mandat tertentu dalam algoritma kriptografi untuk mengacak data.Ini adalah pilihan yang harus dilaksanakan. Namun, standar ini menyediakan platform untuk menampung multiple tipe kunci standar dan algoritma. Integritas layanan diberikan oleh komputasi ICV (Integrity Check Value) dari SDE PDU (excluding the Clear Header ).Bidang ini memberikan mekanisme untuk mendeteksi data modifikasi.Standar tidak disebutkan jenis algoritma dalam memproduksi ICV. Itu dinegosiasikan antara dua badan berkomunikasi dan parpol disimpan di dalam  SMIB.

Selain protokol  SDE, SILS  juga mengembangkan spesifikasi lain seperti kunci  manajemen protokol , keamanan label , PICS (Protocol Implementation Conformance Statement), manajemen keamanan dan pemodelan  keamanan. Standar  802.10 adalah bagian yang sangat komprehensif untuk perlindungan pada protokol LAN. Awalnya, masing masing protokol ini dikembangkan sebagai salah satu bagian dari keseluruhan standar . Bagian ini yang kemudian digabungkan menjadi salah satu bagian standar yang lengkap.

Selama pertengahan 90an , kebutuhan akan perlindungan LAN pada dasarnya tidak terdapat di wilayah aplikasi komersial. Keprihatinan keamanan sebagian besar adalah dibahas dalam lembaga pemerintah .Dengan demikian , berbagai macam produk yang dikembangkan oleh pemerintah atau  militer dan sangat sedikit produk-produk komersial yang tersedia.

Kesimpulan

Standar IEEE 802,10 memberikan spesifikasi untuk data link protokol lapisan keamanan interoperable dan layanan keamanan terkait . Pertukaran data yang aman ( SDE ) protokol didukung oleh protokol lapisan aplikasi manajemen kunci ( KMP ) yang menetapkan asosiasi keamanan untuk SDE dan protokol keamanan lainnya . Sebuah pilihan label keamanan ditentukan yang memungkinkan kontrol berbasis aturan akses untuk diimplementasikan menggunakan protokol SDE .

      Sebuah metode untuk memungkinkan interoperabilitas dengan kontrol akses media jenis - dikodekan ( MAC ) klien juga disediakan , serta satu set kelas objek yang dikelola untuk digunakan dalam pengelolaan sublayer SDE dan pertukaran protokol .

Sumber : -  http://www.ica.luz.ve/cstufano/CursoDeRedes/IEEE/802.10-1998.pdf

                -   Global Information Assurance Certification Paper: An Overview of Link Security                        Protocols and Standards,Wen-Pai Lu, February 18, 2004.

                -  http://louisastephanie.weebly.com/ieee.html  

                -  http://mahasiswa.ung.ac.id/532413010 

                -  http://shinigami45blog.blogspot.co.id/2015/10/sejarah-ieee-ieee-institute-of.html