View
3
Download
0
Category
Preview:
Citation preview
Tugas Akhir II5166 (Keamanan Informasi Lanjut) Kajian Keamanan Jalur Komunikasi (Transport) LTE
Semester 1 - 2012/2013
Dosen: Dr. Ir. Budi Rahardjo
Dikerjakan Oleh: 23512076 - Perdana Kusumah
Sekolah Teknik Elektro dan Informatika Institut Teknologi Bandung 2012
2
Daftar Isi
Daftar Isi .................................................................................................................................. 2
Daftar Tabel ............................................................................................................................ 3
Daftar Gambar ........................................................................................................................ 4
Abstrak .................................................................................................................................... 5
I Pendahuluan .................................................................................................................... 5
II Ancaman Jalur Komunikasi LTE ...................................................................................... 6
III Keamanan Dasar Jaringan .............................................................................................. 8
IV Keamanan Jaringan LTE - 3GPP .................................................................................. 11
IV.1 Network Domain Security (TS 33.210) .................................................................................. 11
IV.2 3GPP SAE: Security Architecture (TS 33.401) ........................................................................ 12
IV.3 Authentication Framework (TS 33.310) ................................................................................ 14
V Penentuan Teknik Keamanan Jaringan ......................................................................... 16
VI Kesimpulan .................................................................................................................... 21
Daftar Singkatan ................................................................................................................... 22
Referensi ............................................................................................................................... 22
3
Daftar Tabel
Tabel I-1. Perkembangan generasi teknologi LTE [2] ............................................................. 5 Tabel V-1. Matriks teknik pengamanan jaringan dan perangkat LTE ................................... 16
4
Daftar Gambar
Gambar I-1. Arsitektur sederhana LTE ................................................................................... 6 Gambar II-1. Denial of service attack ...................................................................................... 7 Gambar II-2. eNodeB spoofing ............................................................................................... 7 Gambar II-3. Eavesdropping of user traffic ............................................................................. 8 Gambar IV-1. Arsitektur NDS/IP-based pada TS 33.210 ...................................................... 12 Gambar IV-2. Arsitektur keamanan pada EPS ..................................................................... 13 Gambar IV-3. Arsitektur PKI pada NDS/IP based ................................................................. 15 Gambar V-1. Arsitektur solusi keamanan pada LTE ............................................................. 19 Gambar V-2. DPI pada OSI layer .......................................................................................... 21
5
Abstrak
Ancaman keamanan pada komunikasi teknologi LTE dapat memperlambat lalu lintas data,
melumpuhkan jaringan dan membatasi availability of service. Ancaman yang dimaksud
berupa denial of service attack, eNodeB spoofing, eavesdropping dan unauthorized access
pada perangkat jaringan komunikasi. Hal ini memberikan dampak negatif bagi pengguna dan
penyedia layanan LTE. Salah satu dampak bagi pengguna layanan adalah penyalahgunaan
data rahasia yang dimiliki oleh pengguna. Dampak bagi penyedia layanan adalah penurunan
pendapatan dan reputasi perusahaan. Oleh karena itu, keamanan jalur komunikasi LTE perlu
dirancang dan diterapkan untuk mencegah ancaman yang akan terjadi.
Makalah ini akan membahas mengenai bagaimana penerapan keamanan dalam jalur
komunikasi (transport) data suatu teknologi LTE. Ide dasar pengamanan dalam jalur
komunikasi LTE ini mirip dengan pengamanan yang selayaknya dilakukan pada jaringan
komunikasi komputer pada umumnya.
Kata kunci: LTE, jalur komunikasi, berbasis IP, keamanan, EPC, EPS, eNodeB, security
gateway, service gateway, VPN, IPSec, PKI
I Pendahuluan
Long Term Evolution (LTE) merupakan suatu evolusi teknologi dalam dunia jaringan
mobile. Implementasi LTE menggunakan standar yang dikeluarkan oleh 3rd Generation
Partnership Project (3GPP). Teknologi LTE muncul berawal dari penggunaan wireless
sebagai media pengiriman data dan terus berkembang sampai dengan penggunaan
infrastruktur berbasis Internet Protocol (IP) untuk melakukan komunikasi [1].
LTE menawarkan keuntungan bagi service provider dalam hal kapasitas pengiriman
data yang lebih besar, waktu delay yang diperkecil, transfer data yang lebih cepat, quality
of services yang tinggi, harga peralatan yang relatif murah dan penghematan biaya
investasi pembelian (CAPEX) serta operasional (OPEX) peralatan komunikasi.
Perkembangan generasi teknologi LTE dari waktu ke waktu dapat dijelaskan pada
Tabel I-1.
Tabel I-1. Perkembangan generasi teknologi LTE [2]
Generasi Sejarah 3GPP
1G Merupakan teknologi analog dan mulai berkembang pada tahun 1980-an. Beberapa contoh teknologi yang dihasilkan: NMT (Nordic Mobile Telephone), AMPS (Advanced Mobile Phone System), TACS (Total Access Communications System), A-Netz to E-Netz, Radiocom 2000, RTMI (Radio Telefono Mobile Integrato), JTACS (Japan Total Access Communications System) dan TZ-80n
6
Generasi Sejarah 3GPP
2G Merupakan teknologi digital pertama dan mulai berkembang pada tahun 1990-an. Pada generasi ini muncul teknologi pengiriman suara, SMS dan data services. Beberapa contoh teknologi yang dihasilkan: GSM/GPRS, CDMAOne, PDC, iDEN, IS-136 dan D-AMPS.
3G Merupakan perbaikan dari teknologi 2G. Beberapa contoh teknologi yang dihasilkan: EDGE, CDMA2000, 1X/EVDO dan UMTS-HSPA+.
Setelah 3G LTE dan LTE-Advanced merupakan teknologi next generation yang dapat memberikan high speed data transfer.
Arsitektur LTE dibuat dengan menggunakan konsep all IP network. Konsep tersebut
memiliki arti bahwa seluruh perangkat komunikasi mulai dari titik eNodeB/base station
sampai dengan RAN berbasiskan IP. Pada dasarnya, jaringan yang berbasiskan IP rawan
terhadap ancaman eavesdropping dan perubahan data. Oleh karena itu, jaringan tersebut
membutuhkan solusi yang dapat menjamin confidentiality dan integrity data yang
dikirimkan melalui RAN. Solusi tersebut dapat dicapai apabila ada alat yang ditambahkan
ke dalam sistem komunikasi LTE. Gambar I-1 memperlihatkan arsitektur LTE sederhana
yang berbasiskan IP.
Internet
OperatorServices
Sumber: Nokia Siemens Network [3]
Gambar I-1. Arsitektur sederhana LTE
II Ancaman Jalur Komunikasi LTE
Perangkat smartphone yang ada saat ini seperti windows phone, android phone dan
iPhone dapat mengakses dan memanfaatkan jaringan LTE. Perangkat tersebut dapat
7
beroperasi seperti layaknya personal computer (PC) yang mengakses jaringan melalui
koneksi broadband.
Penggunaan komunikasi berbasis IP dalam LTE memberikan keuntungan pada aspek
cost effective ketika ada kebutuhan penambahan kapasitas pengiriman data. Namun, hal
tersebut memiliki celah keamanan yang sangat potensial untuk diserang pada bagian
jaringannya. Pada akhirnya, pihak service provider akan menjadi pihak yang paling
dirugikan. Oleh karena itu, masalah keamanan yang akan muncul perlu ditanggulangi
sebelumnya dengan penerapan secure access terutama pada jalur komunikasinya
(transport network) antara eNodeB dan EPC. Pengamanan pada jaringan pengiriman
dinilai sangat penting karena perangkat jaringan umumnya ditempatkan pada area publik
seperti di pinggiran jalan dan di atas gedung yang sangat mudah diakses oleh siapapun.
Beberapa contoh ancaman yang sering terjadi di dalam teknologi jaringan berbasis IP
dapat dijelaskan sebagai berikut [1]:
• Denial of service (DOS) attack
DOS attack merupakan suatu upaya serangan yang secara eksplisit bertujuan untuk
mencegah pengguna yang sah mengakses service.
Sumber: Nokian Siemens Network [4]
Gambar II-1. Denial of service attack
• eNodeB spoofing
eNodeB spoofing merupakan suatu usaha pengiriman paket TCP/IP menggunakan IP
address pihak lain terhadap suatu eNodeB.
Sumber: Nokia Siemens Network [4]
Gambar II-2. eNodeB spoofing
• Eavesdropping of user traffic
Eavesdropping of user traffic merupakan suatu serangan pada jaringan komunikasi
yang merekam dan membaca paket yang dikirimkan oleh pihak lain yang terdapat
dalam jaringan.
8
Sumber: Nokia Siemens Network [4]
Gambar II-3. Eavesdropping of user traffic
• Unauthorized access of eNodeB and other network equipment
Unauthorized access merupakan suatu usaha untuk mengakses secara ilegal satu
atau beberapa perangkat yang terdapat dalam jaringan LTE.
Dampak ancaman di atas terhadap bisnis yang dimiliki service provider dapat berakibat
pada kerusakan billing system, banyaknya masalah yang ditangani oleh support desk
seiring timbulnya banyak masalah, rusaknya kepercayaan, tidak dapat melakukan
komunikasi dan merusak image perusahaan.
III Keamanan Dasar Jaringan
Penggunaan internet (termasuk jaringan LTE berbasis IP) yang semakin luas menjadikan
keamanan jaringan menjadi faktor yang sangat penting. Pada umumnya, network
administrator memerlukan usaha yang lebih untuk menjaga keamanan jaringannya agar
tercipta suatu kondisi jaringan yang trusted. Beberapa tools dan teknik yang digunakan untuk
mengamankan jaringan dapat dijelaskan sebagai berikut [9]:
1. Web Security
Web security merupakan keamanan pada web server dan web browser. Hal yang harus
dilakukan adalah dengan cara menguatkan dan meningkatkan level keamanan pada file
system, web server dan browser.
2. Router Security
Router security merupakan keamanan yang diterapkan pada perangkat router untuk
melindunginya dari pihak yang tidak berhak. Pada dasarnya, router melindungi jaringan yang
ada di bawah koordinasinya, apabila seseorang berhasil mengakses router maka dia akan
dengan mudah mengakses semua jaringan yang terhubung ke router tersebut. Pengaturan
pengamanan pada router dapat dilakukan pada level administrative access, service, access
list-control.
3. Firewall
Firewall didefinisikan sebagai suatu gateway atau access server yang berfungsi sebagai
pembatas antara public/untrusted network dan private/trusted network. Firewall dapat
9
berbentuk router, PC dengan software tertentu atau kombinasinya. Pada prinsipnya, firewall
dirancang untuk mengatasi ancaman dalam suatu jaringan dengan cara hanya memberikan
akses kepada lalu lintas data yang valid.
4. IDS (Intrusion Detection System)
IDS merupakan suatu alat bantu dan perangkat proaktif yang ditempatkan dalam jaringan
untuk mendeteksi dan memonitor gangguan yang terjadi. Hasil pendeteksian tersebut akan
ditindaklanjuti oleh network security administrator. IDS memiliki 2 komponen yang terdiri atas
IDS sensor dan IDS management. IDS sensor dapat ditempatkan pada host ataupun
network. IDS management berfungsi sebagai wadah penampung alert yang terjadi,
konfigurasi dan pengembangan service yang terdapat dalam IDS sensor.
5. Remote Access
Remote access merupakan suatu teknik pengamanan jaringan dengan cara memberikan
trusted access kepada pengguna yang berada di luar jaringan lokal melalui suatu untrusted
network seperti internet. Ada 3 fasa (AAA) yang digunakan untuk memastikan bahwa
pengguna yang sah dapat melakukan remote access melalui router yaitu authentication,
authorization dan accounting.
6. VPN (Virtual Private Network)
VPN merupakan suatu jaringan virtual yang dibuat pada jaringan yang telah ada (seperti
jaringan publik atau internet). VPN memberikan mekanisme komunikasi yang aman bagi data
atau informasi yang dikirimkan melalui jaringan. IPsec-based VPN merupakan salah satu
teknologi VPN yang paling aman dan banyak digunakan. VPN memiliki 3 arsitektur utama
yang terdiri atas [10]:
• Gateway-to-Gateway
• Host-to-Gateway
• Host-to-Host
IPsec merupakan kumpulan protocol yang membantu melindungi komunikasi dalam
jaringan berbasis IP. Ada 3 protocol utama yang dapat digunakan untuk membangun suatu
IPsec connection, yaitu [10]:
• Authentication Header (AH)
AH merupakan IPsec protocol yang memberikan integrity protection terhadap
header dan data dengan cara yang mirip user authentication. AH memiliki 2 model
penerapan yang terdiri atas tunnel dan transport. Model AH tunnel membuat suatu
IP header baru di setiap paket yang dikirimkan dan biasa digunakan pada IPsec
10
connection yang menggunakan gateway. Model AH transport tidak membuat IP
header baru dan biasa digunakan pada IPsec connection dengan arsitektur host-
to-host.
• Encapsulating Security Payload (ESP)
ESP merupakan IPsec protocol yang memberikan proteksi berupa enkripsi paket
data yang dikirimkan dan juga memberikan fitur tambahan berupa integrity
protection. Integrity protection tersebut mirip dengan AH akan tetapi tidak sampai
mencakup outermost IP header. ESP juga memiliki 2 model penerapan yang terdiri
atas tunnel dan transport. ESP tunnel membuat IP header baru yang mendaftarkan
semua endpoint paket asal dan tujuan dalam suatu tunnel. Oleh karena itu, ESP
tunnel dapat digunakan dalam ketiga arsitektur VPN (gateway-to-gateway, host-to-
gateway dan host-to-host). ESP transport hanya dapat melakukan enkripsi atau
proteksi data sehingga model ini umum hanya digunakan pada arsitektur host-to-
host. ESP transport juga tidak compatible dengan NAT router.
• Internet Key Exchange (IKE)
IKE merupakan IPsec protocol yang memberikan mekanisme yang aman dalam
membuat suatu koneksi IPsec-protected. IKE berfungsi untuk menegosiasi,
membuat dan mengatur security association. Security association (SA) secara
umum didefinisikan sebagai kumpulan nilai yang menyatakan proteksi dan fitur
IPsec yang digunakan oleh suatu koneksi. IKE phase 1 membuat suatu IKE SA,
IKE phase 2 membuat IPsec SA melalui channel yang diproteksi oleh IKE SA.
7. Public Key Infrastructure (PKI)
Dalam VPN, pendistribusian kunci yang digunakan untuk membentuk secure connection
tidak mudah dilakukan. Oleh karena itu, PKI digunakan untuk memfasilitasi pertukaran public
key yang aman pada algoritma enkripsi asimetris. PKI membutuhkan suatu trusted resource
untuk mengatur pertukaran public key tersebut dengan menggunakan Certificate Authorities
(CAs) dan Registration Authorities (RAs). Ada beberapa komponen penting yang perlu
dibahas dalam PKI, yaitu [11]:
• Public Key Certificates
Hal pertama yang harus dilakukan untuk membangun suatu sistem pertukaran kunci yang
aman adalah dengan membuat public key certificate. Pada praktiknya, public key
certificate mengikuti standar yang dikeluarkan oleh ITU-T. Public key certificate
digenerate oleh certificate authority.
• Registration Authorities
11
Pada suatu kondisi, CA dapat mendelegasikan beberapa tugasnya kepada RA. Tugas
tersebut yaitu verifikasi dan validasi identitas dari cryptographic endpoint yang digunakan
untuk membuat sistem PKI. Walaupun RA dapat menjalankan tugas dari CA, namun tidak
dapat menggantikannya karena RA hanya bersifat compliment.
• Certificate Authorities
CA merupakan sumber daya utama yang digunakan dalam sistem PKI karena hanya CA
yang dapat membuat public key certificate untuk suatu cryptographic endpoint. PKI dapat
menggunakan lebih dari CA untuk mengatur public key certificate.
8. Wireless Security
Penerapan keamanan ini ditujukan untuk melindungi wireless access point yang
ditempatkan pada area publik. Contoh pengamanannya yaitu dengan penggunaan
centralized user authentication atau perlindungan password.
9. Logging dan Auditing
Logging dan auditing bertujuan untuk mengetahui apa saja yang terjadi di dalam jaringan
atau router. Beberapa contoh tools yang dapat digunakan seperti: SYSLOG server, SNMP,
RMON dan SAA.
IV Keamanan Jaringan LTE - 3GPP
Ada beberapa standar yang dikeluarkan oleh 3GPP untuk menerapkan keamanan pada
teknologi jaringan LTE. Standar tersebut merupakan suatu spesifikasi teknis yang
menerangkan bagaimana dan di mana seharusnya diterapkan.
IV.1 Network Domain Security (TS 33.210)
TS (technical spesification) 33.210 merupakan dokumen yang mendefinisikan arsitektur
network domain security berbasiskan IP (NDS/IP-based). Dokumen ini membahas
bagaimana mengontrol pensinyalan pada perangkat yang berbasiskan IP [5].
Komunikasi antar perangkat dalam arsitektur berbasis IP menggunakan konsep SEG
(Security Gateway), ESP (Encapsulating Security Payload) dan IKE (Internet Key Exchange)
connection untuk menjaga keamanannya. SEG merupakan suatu entitas yang bertindak
sebagai gerbang komunikasi antar kelompok perangkat berbasis IP (NE – network entity).
Setiap SEG (contoh SEGA dan SEGB) berfungsi sebagai pintu keluar masuknya paket data
yang dikirimkan oleh setiap kelompok perangkat. Komunikasi antar SEG disimbolkan dengan
Za, sedangkan komunikasi antar komponen dalam kelompok yang sama disimbolkan dengan
Zb. ESP merupakan suatu cara komunikasi yang menggunakan model tunnel (sama halnya
12
dengan IPSec) untuk membungkus data yang dikirimkan. ESP menggunakan teknik enkripsi
dan otentikasi untuk mengamankan datanya. IKE connection merupakan suatu protokol yang
memiliki tujuan utama untuk menegosiasi, membangun dan memelihari koneksi yang aman
antar perangkat berbasis IP. Gambar IV-1 menjelaskan arsitektur komunikasi antar perangkat
berbasis IP pada TS 33.210.
Za
Zb
Zb
Zb
SEGA
Security Security
SEGB
NE A - 1
NE A - 2
Zb
Zb
Zb
NE B - 1
NE B - 2
IKE "connection" ESP Security Association
Sumber: 3GPP – TS 33.210 [5]
Gambar IV-1. Arsitektur NDS/IP-based pada TS 33.210
Aspek keamanan yang ditawarkan oleh arsitektur NDS for IP based protocol yaitu:
• Integritas data;
• Otentikasi keaslian data;
• Proteksi anti-replay; dan
• Kerahasiaan (opsional);
IV.2 3GPP SAE: Security Architecture (TS 33.401)
TS (technical spesification) 33.401 merupakan dokumen yang menjelaskan tentang
arsitektur keamanan pada LTE atau SAE. Arsitektur tersebut mencakup fitur, mekanisme dan
prosedur keamanan pada EPS (Evolved Packet System), EPC (Evolved Packet Core) dan E-
UTRAN (Evolved UTRAN) [6].
13
Home
stratum/ Serving Stratum
Transport stratum ME
Application stratum
User Application Provider Application (IV)
(III)
(II)
(I)
(I)
(I)
(I)
(I)
SN
AN
(I)
USIM
(II)
HE
Sumber: 3GPP – TS 33.401 [6]
Gambar IV-2. Arsitektur keamanan pada EPS
Gambar IV-2 menjelaskan arsitektur keamanan pada EPS yang memiliki 5 kelompok fitur
keamanan sebagai berikut:
• Network access security (I), kumpulan fitur keamanan berupa secure access pada
services yang diberikan kepada pengguna melalui radio access link; Pengamanan pada
kelompok ini dilakukan dengan cara [7]:
o User identity confidentiality, tujuannya adalah menyembunyikan identitas dari
pengguna dengan cara menggunakan identitas temporer ketika mengakses
serving network;
o Entity authentication, artinya pengguna yang menggunakan network harus selalu
diotentikasi;
o Confidentiality, artinya data yang dikirimkan melalui network harus dijamin
kerahasiaannya dengan menggunakan cipher algorithm;
o Data integrity, artinya data yang dikirimkan melalui network harus dijaga
integritasnya atau data tidak berubah; dan
o Mobile equipment identification.
• Network domain security (II), kumpulan fitur keamanan yang menyediakan services
pertukaran data (antara AN dan SN, atau antar AN) secara aman dari serangan pada
wireline network; Kelompok ini lebih lengkapnya merujuk ke dokumen TS 33.210.
• User domain security (III), kumpulan fitur keamanan yang memberikan secure access
pada mobile station;
14
• Application domain security (IV), kumpulan fitur keamanan yang memberikan keamanan
pada aplikasi yang digunakan oleh pengguna dan provider untuk saling bertukar pesan;
dan
• Visibility and configurability of security (V), kumpulan fitur yang memberikan informasi
kepada pengguna tentang apakah fitur keamanan telah ada atau tidak.
IV.3 Authentication Framework (TS 33.310)
TS (technical spesification) 33.310 merupakan dokumen yang membahas otentikasi
elemen jaringan pada sistem NDS/IP-based atau TLS. Dokumen ini memperkenalkan konsep
Public Key Infrastructure (PKI) pada teknologi LTE. PKI menggunakan mekanisme
certification authority (CA) untuk membangun suatu trust relationship antar komponen yang
berkomunikasi. Tujuan utama penggunaan certification ini adalah untuk mengamankan data
yang dikirimkan melalui jaringan. Ada 2 jenis CA yang dibahas dalam TS 33.310, yaitu [8]:
• Manual cross-certification
Merupakan suatu pendekatan CA yang dibentuk secara langsung antar authorities dan
bersifat lokal. Ketika suatu authority A akan melakukan komunikasi dengan authority B
maka A akan menandai certificate-nya B secara lokal. Kekurangan pendekatan ini adalah
semakin banyaknya certificate yang digunakan apabila banyak komunikasi yan dilakukan
antar authority karena bersifat lokal. Namun, keuntungannya adalah certificate lebih
fleksibel karena dikelola sendiri oleh authority.
• Cross-certification with a bridge CA
Merupakan pendekatan yang bertujuan untuk mengurangi jumlah certificate yang
digunakan dengan cara menempatkan certificate bersama ke dalam bridge.
Arsitektur sederhana PKI pada NDS/IP based dapat dijelaskan pada Gambar IV-3.
15
Za
Zb
Zb
Zb
SEGA
Security domain A Security domain B
SEGB
NE A - 1
NE A - 2
Zb
Zb
Zb
NE B - 1
NE B - 2
IKE "connection" ESP tunnel
SEG CAA SEG CAB
Issues a certificate
Interconnection CAA
Interconnection CAB
Sumber: 3GPP – TS 33.310 [8]
Gambar IV-3. Arsitektur PKI pada NDS/IP based
Pada Gambar IV-3, setelah dilakukan cross-certification atau saling memesan certificate,
SEGA dan SEGB dapat membentuk komunikasi yang trusted.
Aturan umum yang diterapkan dalam certificate terdiri atas:
• Algoritma hash menggunakan SHA-256;
• Algoritma signature menggunakan enkripsi RSA;
• Algoritma public key menggunakan enkripsi RSA;
• Panjang public key minimal 2048-bit;
• Panjang CA certificate public key minimal 2048-bit; dan
• Format subject dan nama pemesan seperti: (C=<country>), O=<Organization Name>,
CN=<Some distinguishing name>.
16
V Penentuan Teknik Keamanan Jaringan
Teknik pengamanan pada jalur komunikasi LTE dapat ditentukan dengan cara
membandingkan antara alternatif teknologi pengamanan jaringan pada umumnya dengan
komponen yang digunakan oleh LTE untuk melakukan komunikasi. Perbandingan tersebut
akan menentukan apakah teknologi yang digunakan available atau proper untuk diterapkan
pada peralatan komunikasi LTE. Tabel V-1 merupakan matriks yang menjelaskan
perbandingan tersebut.
Tabel V-1. Matriks teknik pengamanan jaringan dan perangkat LTE
Perangkat LTE Keterangan
Mobile Equipment
eNodeB Gateway eNodeB-to-Gateway
Tekn
ik P
enga
man
an
Web security Teknik ini merupakan pengamanan pada sisi end-user khususnya pada browser yang digunakan, sehingga hal ini tidak diterapkan pada jalur komunikasi LTE
Router security Pada arsitektur LTE tidak terdapat perangkat router
Firewall √ Dikarenakan end-user diberikan service untuk mengakses internet maka diperlukan firewall untuk memfilter paket data
IDS Penggunaan perangkat IDS bersifat optional yang berfungsi mengawasi lalu lintas jaringan. Biasanya IDS digunakan bersamaan dengan firewall
Remote access Akses secara remote ke server pada jaringan LTE tidak disediakan sehingga teknik ini tidak diterapkan
17
Perangkat LTE Keterangan
VPN √ Teknik ini diterapkan untuk melindungi komunikasi data antara eNodeB dan security gateway dengan cara membuat suatu koneksi private yang virtual. Metode VPN yang digunakan adala ESP tunnel. ESP tunnel dipilih karena lebih aman dan cocok dengan tipe arsitektur host-to-gateway, dimana host diasosiasikan dengan eNodeB sedangkan gateway diasosiasikan dengan security-gateway.
PKI √ √ Teknik PKI digunakan untuk menambahkan keamanan setelah penggunaan VPN. Tujuan utamanya adalah untuk memastikan komunikasi antar 2 atau lebih perangkat (trusted connection) dengan penggunaan certificate authorities
Wireless security
Teknik ini dapat diterapkan pada perangkat eNodeB karena terletak pada area publik. Namun, teknik ini di luar pembahasan makalah yaitu keamanan pada jalur komunikasi
Logging dan auditing
√ Teknik dapat diterapkan pada gateway untuk merekam segala aktivitas/lalu lintas data yang terjadi
3GPP – TS 33.210
√ √ Dokumen ini membahas pengamanan pada jaringan LTE menggunakan
18
Perangkat LTE Keterangan
teknologi ESP tunnel/IPsec/VPN untuk gateway dan host
3GPP – TS 33.401
√ √ √ √ Menjelaskan arsitektur keamanan pada teknologi LTE
3GPP – TS 33.310
√ Dokumen ini membahas pengamanan pada jaringan LTE menggunakan teknologi PKI atau certificate authority untuk menciptakan trusted relationship dalam gateway
Faktor confidentiality, integrity dan availability data yang dikirimkan dalam jaringan LTE
sangat perlu dijaga dari ancaman yang menyerang agar tidak merugikan pihak pengguna dan
service provider. Oleh karena itu, implementasi keamanan pada LTE sangat mutlak untuk
diterapkan. Berdasarkan Tabel V-1, solusi keamanan yang dapat diusulkan terdiri atas:
1. Firewall
Perangkat ini diletakkan berdekatan dengan service gateway yang berada dalam EPC
untuk koneksi ke dunia luar atau internet. Hal ini sangat penting karena service utama
yang diberikan oleh service provider kepada user equipement adalah koneksi internet
yang aman. Perangkat ini disarankan diletakkan pada suatu server yang memiliki fungsi
khusus firewall.
2. VPN/IPsec/ESP tunnel
Teknik ini diterapkan untuk menghubungkan security gateway yang berada dalam EPC
dengan eNodeB yang berfungsi memberikan radio acces kepada user equipment.
Perangkat ini bermanfaat untuk memproteksi atau mengenkapsulasi lalu lintas data yang
terjadi antara EPC dan eNodeB.
3. PKI
Teknik ini digunakan untuk memberikan certificate authorities kepada security gateway
dan eNodeB untuk memberikan jaminan bahwa komunikasi yang terjadi merupakan
trusted connection. Teknik ini bekerja sama dengan VPN untuk saling memperkuat
keamanan komunikasi yang terjadi antara eNodeB dan security gateway. Seluruh
certificates yang ada dalam EPC diatur oleh suatu server yang disebut CA server.
19
4. Logging dan auditing
Perangkat yang digunakan untuk melakukan logging dan auditing diletakkan pada EPC
untuk merekam segala lalu lintas yang terjadi di dalam jaringan. Fungsi ini diletakkan
pada komponen EPC yang disebut MME (Mobile Management Entity) dan HSS (Home
Subscriber Server).
Gabungan solusi untuk mengamankan komunikasi yang terjadi dalam LTE dijelaskan
pada Gambar V-1. Gabungan teknik tersebut akan mempersulit unauthorized person untuk
mengakses core network dan mempersulit usaha eavesdrop pada lalu lintas komunikasi yang
terjadi antara eNodeB dan core network.
Internet
OperatorServices
Sumber: Nokia Siemens Network [3]
Gambar V-1. Arsitektur solusi keamanan pada LTE
Penerapan sistem keamanan pada LTE yang tersebut di atas memberikan jaminan
terhadap confidentiality, integrity dan availability data. Namun, ada beberapa tantangan yang
dihadapi seiring dengan penambahan fungsi atau perangkat keamanan, yaitu:
1. Apabila penggunaan teknologi LTE menyebar luas kepada pengguna maka semakin
banyak pula eNodeB dan security gateway yang diperlukan. Hal ini berdampak semakin
banyak VPN tunnel yang harus dibentuk, sehingga service provider harus memikirkan
penambahan biaya yang timbul akibat penggunaannya;
20
2. eNodeB yang digunakan oleh service provider untuk menyediakan access point
kemungkinan berasal dari berbagai macam vendor. Tantangannya adalah harus ada
effort tambahan untuk memastikan compatibility produk yang berbeda agar tetap dapat
beroperasi dengan baik; dan
3. CA server harus dijaga dengan tingkat keamanan yang tinggi. Hal ini juga memberikan
effort tambahan karena dengan banyaknya eNodeB dan security gateway yang
digunakan maka akses terhadap perangkat tersebut semakin tinggi sehingga
mengakibatkan lebih rentan terhadap unauthorized access.
Selain solusi keamanan jaringan LTE yang telah disebutkan di atas, terdapat 1 usulan
solusi lagi yang dapat diterapkan untuk menunjang pengaturan traffic, peningkatan kualitas
dan keamanan pada jaringan berbasis IP yaitu penggunaan DPI (Deep Packet Inspection).
DPI merupakan suatu teknologi jaringan yang berfungsi untuk mendeteksi, menganalisis dan
mengatur paket data yang dikirimkan melalui jaringan. DPI memiliki 3 fungsi utama yaitu [12]:
• Recognition, melakukan pendeteksian atau pengidentifikasian bit-streams yang
dikirimkan melalui jaringan. Hal yang dideteksi dapat meliputi: protocols, applications,
URLs, media content, viruses, malware, formatted data dan lain-lain;
• Manipulation, melakukan intervensi (mengoptimasi, mengatur atau mengubah) terhadap
data yang dikirimkan melalui jaringan. Hal yang dapat dilakukan meliputi: pengaturan
kecepatan transfer data, mengganti packet header sesuai kebutuhan, memprioritaskan
paket data yang dikirimkan dan memutuskan suatu session; dan
• Notification, memberikan pemberitahuan terkait penggunaan resource jaringan yang
dapat berupa laporan statistik penggunaan, alarm atau notifikasi.
Secara teknis, DPI merupakan kombinasi fungsi firewall, IDS dan IPS (Intrusion
Prevention System). Kombinasi tersebut memiliki fungsi mengawasi, mengidentifikasi,
mendeteksi perilaku abnormal dan mencegah cyber attack terhadap lalu lintas data pada
jaringan. Salah satu contoh produk komersil yang berfungsi sebagai DPI adalah Qosmos*
ixEngine [13]. Produk ini memiliki fitur sebagai berikut:
• Dapat melakukan analisis mendalam dan real-time terhadap jaringan berbasis IP;
• Dapat melakukan identifikasi terhadap protocol dan application yang digunakan;
• Dapat melakukan ekstraksi content dan metadata dari bit-streams pada jaringan;
• Dapat menghubungkan suatu bit-streams dimiliki oleh suatu user, application atau
service.
21
Ilustrasi pengawasan paket data yang dilakukan oleh DPI pada layer protocol jaringan
(OSI layer) dijelaskan pada Gambar V-2. DPI mengawasi paket data yang terdiri atas header
(metadata) dan payload (content) pada setiap layer.
Gambar V-2. DPI pada OSI layer
Pada arsitektur LTE, perangkat DPI dapat diletakkan pada atau berdekatan dengan
security gateway, service gateway atau perangkat lain yang memiliki akses terhadap lalu
llintas data dalam EPC.
VI Kesimpulan
LTE merupakan suatu evolusi teknologi dalam dunia jaringan mobile. LTE menawarkan
keuntungan bagi service provider seperti kapasitas data yang besar, delay yang kecil,
transfer rate yang cepat, quality of services yang tinggi, dan lebih murah.
Arsitektur LTE dibuat dengan menggunakan konsep all IP network yang rawan terhadap
ancaman. Contoh ancaman yang sering terjadi di dalam teknologi jaringan berbasis IP yaitu:
DOS attack, eNodeB spoofing, eavesdropping of user traffic dan unauthorized access. Solusi
keamanan pada LTE yang dapat diterapkan dengan menggunakan firewall, VPN, PKI dan
logging and auditing. Hal lain yang dapat diusulkan untuk menambahkan fitur keamanan
pada jalur komunikasi LTE adalah penggunaan DPI yang memiliki fungsi kombinasi antara
firewall, IDS dan IPS.
22
Daftar Singkatan
AH Authentication Header MME Mobile Management Entity
CA Certificate Authority NA Network Access
CAPEX Capital Expenditure NDS Network Domain Security
EPC Evolved Packet Core NE Network Entity
EPS Evolved Packet System OPEX Operational Expenditure
ESP Encapsulating Security Payload OSS Operation Support System
E-UTRAN Evolved Universal Terrestrial Radio Access Network
PKI Publik Key Infrastructure
HE Home Environment RA Registration Authority
HSS Home Subscriber Server SA Security Association
IDS Intrusion Detection System SEG Security Gateway
IKE Internet Key Exchange SN Service Network
LTE Long Term Evolution USIM Universal Subscriber Identity Module
ME Mobile Equipment VPN Virtual Private Network
Referensi [1] Herceg, D., "LTE transport security", IEEE Conference Publications, 2011. [2] 3GPP website. [Online]. http://www.3gpp.org. [3] Torsten Musiol, “LTE Transport - Radio Access Transport Product Line Management”,
Nokia Siemens Network, 2009. [4] Jason S. Boswell, “LTE transport network security”, Nokia Siemens Network, 2012. [5] 3GPP, TS 33.210, Network Domain Security, 3rd Generation Partnership Project (3GPP). [6] 3GPP, TS 33.401, Security Architecture, 3rd Generation Partnership Project (3GPP). [7] 3GPP, TS 33.102, 3G - Security Architecture (Release 11), 3rd Generation Partnership
Project (3GPP). [8] 3GPP, TS 33.310, Authentication Framework, 3rd Generation Partnership Project
(3GPP). [9] Gert De Laet and Gert Schauwers, “Network Security Fundamentals”, Cisco Press, 2004. [10] Sheila Frankel, Karen Kent and friends, “Guide to IPsec VPNs”, NIST Special
Publication, January 2005. [11] James Henry Carmouche, “IPsec Virtual Private Network Fundamentals”, Cisco Press,
July 19, 2006. [12] Dr. Milton Mueller, “DPI Technology from the standpoint of Internet governance studies:
An introduction”, Syracuse University School of Information Studies, October 2011. [13] Intel, “Going Beyond Deep Packet Inspection (DPI) Software on Intel® Architecture”,
2012. [Online]. Available: http://www.intel.com/content/dam/www/public/us/en/ documents/white-papers/communications-qosmos-paper.pdf
Recommended