Langsung ke konten utama

Top10VPN bersifat independen. Kami dapat memperoleh komisi jika Anda membeli VPN dari situs ini.

Bagaimana Cara Kerja VPN? Penjelasan tentang Enkripsi dan Terowongan VPN

JP Jone's profile image
JP Jones

JP Jones adalah CTO kami. Ia memiliki lebih dari 25 tahun pengalaman di bidang rekayasa perangkat lunak dan jaringan, serta mengawasi semua aspek teknis proses pengujian VPN kami.

Pengecekan Fakta oleh Simon Migliano

  2. Apa Itu VPN?
  3. Bagaimana Cara Kerja VPN?

Keputusan Kami

VPN bekerja dengan membuat terowongan terenkripsi antara perangkat Anda dan server VPN privat di lokasi pilihan Anda. Terowongan ini mengenkripsi lalu lintas web, menyembunyikan alamat IP, serta mencegah ISP dan pihak ketiga lainnya memata-matai aktivitas Anda.

Cara kerja Virtual Private Network (VPN)

Perangkat lunak VPN merutekan lalu lintas web Anda ke server jarak jauh melalui terowongan terenkripsi.

Virtual Private Network (VPN) adalah alat yang penting untuk melindungi privasi, keamanan, dan kebebasan Anda di internet.

Dalam panduan ini, kami menjelaskan cara kerja perangkat lunak VPN untuk menyembunyikan alamat IP publik Anda dan mengenkripsi koneksi internet.

Jika Anda lebih tertarik dengan apa saja yang dapat dilakukan dengan VPN, bacalah panduan kami tentang kegunaan VPN.

Ringkasan Cepat: Cara Kerja VPN

VPN bekerja dengan mengenkripsi koneksi Anda dan merutekannya kembali melalui server VPN jarak jauh.

Berikut ini alur proses yang terjadi pada lalu lintas web Anda saat VPN digunakan:

  1. Anda mengunduh, menginstal, dan mengaktifkan aplikasi VPN di komputer, smartphone, atau TV Anda.
  2. Anda mengetik situs web yang akan diakses di browser (misalnya, example.com).
  3. Perangkat lunak VPN di perangkat Anda mengenkripsi permintaan koneksi tersebut. Alhasil, lokasi dan konten permintaan Anda tidak dapat dipahami oleh siapa pun yang melihatnya.
  4. Data koneksi dikirimkan ke server VPN pilihan Anda, tempat data tersebut didekripsi.
  5. Server VPN terhubung ke situs web atas nama Anda, lalu situs web tersebut mengirimkan informasi yang diminta kembali ke server VPN.
  6. Informasi ini dienkripsi oleh server VPN dan diteruskan ke perangkat Anda.
  7. Aplikasi VPN mendekripsi informasi tersebut dan situs web yang diminta akan ditampilkan di browser Anda.

Dengan mengikuti proses di atas, VPN memungkinkan Anda menyamarkan alamat IP dari situs web yang dikunjungi.

Selain itu, perangkat lunak VPN membuat Anda bisa menyembunyikan aktivitas online dari ISP, administrator Wi-Fi, pemerintah, atau siapa pun yang memantau koneksi.

Meskipun semua perangkat lunak VPN agak mirip, proses ini berlaku khusus untuk layanan VPN pribadi atau “konsumen”.

Untuk mempelajari cara kerja VPN situs-ke-situs dan akses jarak jauh, buka panduan jenis VPN dari kami.

Apa itu Terowongan VPN?

‘Terowongan VPN’ adalah cara umum untuk menguraikan rangkaian proses yang terjadi saat Anda menyiapkan koneksi VPN. Dengan kata lain, terowongan VPN adalah komunikasi terenkripsi antara perangkat Anda dengan server VPN.

Komunikasi ini disebut sebagai terowongan karena lalu lintas Anda yang sebenarnya dienkripsi dan dilindungi dalam lapisan lalu lintas yang tidak terenkripsi.

Ibarat sebuah amplop yang berisi surat tertulis, lalu amplop tersebut dimasukkan lagi ke dalam amplop lain dengan alamat baru. Jadi, pesan Anda yang sebenarnya betul-betul tersembunyi dari dunia luar—seakan berada di dalam sebuah terowongan.

Proses ini dikenal sebagai enkapsulasi dan dilakukan oleh protokol tunneling khusus.

Pelajari selengkapnya tentang protokol tunneling di bagian enkripsi VPN di bawah ini atau di panduan protokol VPN khusus kami.

Bagaimana Cara VPN Menyembunyikan Alamat IP Anda?

Saat Anda menelusuri web tanpa VPN, koneksi Anda ditransmisikan langsung dari perangkat ke server yang meng-hosting situs web atau layanan yang ingin diakses.

Untuk mengirimkan kembali konten yang relevan, server web ini perlu mengetahui alamat IP Anda.

Pada dasarnya, alamat IP merupakan paspor Anda di internet. Alamat IP adalah pengidentifikasi unik yang memberi tahu komputer lain tujuan informasi yang diminta harus dikirimkan.

Gunakan alat pemeriksa ‘Berapa IP Saya’ untuk mengetahui alamat IP publik Anda.

Alamat IP Anda memiliki banyak informasi pribadi yang terkait. Selain itu, alamat IP juga memperlihatkan lokasi geografis dan dapat digunakan untuk membuat gambaran keseluruhan aktivitas online yang Anda lakukan.

Oleh karena itu, banyak orang menggunakan VPN untuk menyembunyikan alamat IP mereka.

Saat Anda menelusuri web dengan VPN dalam kondisi aktif, koneksi Anda selalu ditransmisikan ke server VPN jarak jauh sebelum masuk server web yang meng-hosting situs web atau layanan yang ingin diakses.

Selanjutnya, server web tersebut mengirimkan informasi kembali melalui server VPN jarak jauh yang kemudian meneruskannya kepada Anda. Artinya, situs web yang dikunjungi tidak pernah berhubungan dengan alamat IP Anda yang sebenarnya.

diagram yang menunjukkan cara VPN menyembunyikan alamat IP Anda dari situs web yang Anda kunjungi

 

Situs web yang Anda kunjungi hanya melihat permintaan koneksi yang berasal dari server VPN. Situs web tersebut kemudian mengirim informasi ke server VPN.

RINGKASAN: VPN bertindak sebagai perantara antara perangkat Anda dan internet. Saat Anda menelusuri internet dengan VPN, situs web yang dikunjungi akan melihat alamat IP server VPN yang terhubung, bukan alamat IP publik Anda yang sebenarnya.

SARAN AHLI: Layanan VPN yang bagus memiliki server di berbagai lokasi. Anda dapat mengelabui situs web agar mengira Anda berada di negara lain dengan terhubung ke server VPN di sana. Beginilah cara orang menggunakan VPN untuk membuka blokir konten yang ‘tersembunyi’ di layanan streaming seperti Netflix.

Bagaimana Cara VPN Mengenkripsi dan Mengamankan Data Anda?

Enkripsi adalah proses mengubah data teks biasa yang normal menjadi kode rahasia yang hanya dapat dipahami oleh mereka yang tahu cara mendekripsinya.

Tujuan enkripsi adalah untuk mencegah orang yang tidak diinginkan membaca pesan Anda.

VPN menggunakan enkripsi untuk menyembunyikan detail aktivitas penelusuran Anda saat ditransmisikan dari perangkat ke server VPN.

Penggunaan VPN mencegah ISP, pemerintah, administrator Wi-Fi, peretas, dan pihak ketiga pengintai yang berupaya memata-matai koneksi Anda.

Namun, bagaimana sebenarnya cara kerja VPN? Bagaimana cara VPN mengenkripsi dan mengamankan data Anda?

Di bagian setelah ini, kita akan melihat lebih dekat berbagai komponen dan proses yang menghasilkan enkripsi VPN, dimulai dengan sandi enkripsi.

Sandi Enkripsi

Aplikasi Private Internet Access yang menunjukkan cara menyesuaikan pengaturan enkripsi VPN Anda.

Untuk mengubah aktivitas online Anda menjadi kode yang tidak dapat dipahami, VPN perlu menggunakan sandi enkripsi.

Sandi hanyalah sebuah algoritma (yaitu seperangkat aturan) yang mengenkripsi dan mendekripsi data.

CONTOH: Sandi yang sangat sederhana dapat mengenkripsi data Anda menggunakan aturan ‘tukar setiap huruf dalam pesan dengan huruf sebelumnya dalam urutan alfabet’. Misalnya, privacy akan menjadi oqhuzbx.

Sandi biasanya dipasangkan dengan key length (panjang kunci) tertentu. Umumnya, semakin panjang kuncinya, semakin aman enkripsinya. Misalnya, AES-256 dianggap lebih aman daripada AES-128.

Sandi yang paling umum digunakan dalam layanan VPN antara lain:

1Advanced Encryption Standard (AES)

Advanced Encryption Standard (AES) adalah salah satu sandi paling aman yang tersedia. Sandi ini merupakan standar terbaik untuk protokol enkripsi online dan banyak digunakan dalam industri VPN.

AES dibuat oleh National Institute of Standards and Technology (NIST) AS pada tahun 2001 dan kadang juga dikenal sebagai algoritma Rijndael. Sandi ini dirancang untuk menangani file yang lebih besar daripada sandi lain, seperti Blowfish, karena ukuran bloknya yang lebih besar.

AES biasanya tersedia dalam panjang kunci 128-bit dan 256-bit. Meskipun AES-128 masih dianggap aman, kami menyadari bahwa sejumlah organisasi seperti NSA selalu berusaha untuk melemahkan standar enkripsi. Oleh karena itu, AES-256 lebih baik karena bisa menawarkan perlindungan yang jauh lebih besar.

Saat Anda membaca tentang enkripsi ‘level militer‘ atau ‘level perbankan‘ di situs web sebuah layanan VPN, umumnya label tersebut mengacu pada penggunaan AES-256. Pemerintah AS menggunakan enkripsi AES-256 untuk mengamankan data sensitifnya sendiri, dan enkripsi inilah yang kami cari saat menguji dan mengulas VPN.

2Blowfish

Blowfish adalah sandi yang dirancang oleh kriptografer Amerika, Bruce Schneier, pada tahun 1993. Sebelumnya, Blowfish adalah sandi default yang digunakan di sebagian besar koneksi VPN, tetapi kini sebagian besar telah digantikan oleh AES-256.

Biasanya, Anda akan melihat Blowfish digunakan dengan panjang kunci 128-bit meskipun dapat berkisar antara 32 bit hingga 448 bit.

Blowfish memiliki beberapa kelemahan. Yang paling terkenal adalah kerentanannya terhadap serangan kriptografi yang dikenal sebagai ‘birthday attack‘. Karena itulah, Blowfish hanya boleh digunakan sebagai alternatif untuk AES-256.

3ChaCha20

Diluncurkan pada tahun 2008 oleh Daniel Bernstein, ChaCha20 adalah sandi enkripsi VPN yang relatif baru. Walaupun demikian, ChaCha20 makin populer karena merupakan satu-satunya sandi yang kompatibel dengan protokol WireGuard yang baru muncul.

Seperti AES, ChaCha20 menggunakan panjang kunci 256-bit yang dinilai sangat aman. Sejumlah laporan juga menunjukkan bahwa ChaCha20 tiga kali lebih cepat daripada AES.

Hingga saat ini, belum ditemukan kerentanan pada ChaCha20. Oleh sebab itu, sandi ini menjadi alternatif untuk AES yang disambut positif mengingat teknologi enkripsi bersiap menghadapi tantangan komputasi kuantum dalam waktu yang tidak lama lagi.

4Camellia

Camellia adalah sandi yang sangat mirip dengan AES dalam segi keamanan dan kecepatan. Walaupun menggunakan opsi panjang kunci yang lebih kecil (128 bit), mengingat perkembangan teknologi saat ini, sandi ini dianggap tidak mungkin dipecahkan dengan serangan brute-force. Hingga kini, belum ada serangan yang efektif melemahkan sandi Camellia.

Perbedaan utamanya dengan AES adalah Camellia tidak disertifikasi oleh NIST, lembaga AS yang menciptakan AES.

Walau selalu terdapat argumen untuk menggunakan sandi yang tidak terkait dengan pemerintah AS, Camellia jarang tersedia di perangkat lunak VPN dan juga belum teruji secara menyeluruh seperti AES.

RINGKASAN: VPN sebaiknya tidak menggunakan sandi dengan kualitas di bawah AES-256 untuk mengenkripsi data Anda. ChaCha20 dan Camellia adalah alternatif yang aman, tetapi VPN Anda setidaknya harus menawarkan pilihan AES.

Protokol VPN

Protokol VPN adalah serangkaian aturan dan proses yang diikuti perangkat Anda untuk membuat koneksi yang aman dengan server VPN.

Dengan kata lain, protokol VPN menentukan cara terowongan VPN dibuat, sedangkan sandi enkripsi digunakan untuk mengenkripsi data yang ditransmisikan melalui terowongan tersebut.

VPN akan memiliki kecepatan, kemampuan, dan kerentanan yang berbeda tergantung pada protokol yang digunakan. Sebagian besar layanan VPN mengizinkan Anda memilih protokol yang ingin digunakan di pengaturan aplikasi.

Terdapat beberapa protokol VPN yang tersedia, tetapi tidak semuanya aman untuk digunakan. Berikut ini gambaran umum singkat tentang protokol yang paling umum:

  • OpenVPN: Sumber terbuka, sangat aman, dan kompatibel dengan hampir semua perangkat yang mendukung VPN.
  • WireGuard: Sangat cepat dan efisien, tetapi belum dipercaya oleh industri VPN sepenuhnya karena rilisnya masih relatif baru.
  • IKEv2/IPsec: Protokol sumber tertutup yang luar biasa untuk pengguna VPN seluler, tetapi diduga telah disusupi oleh NSA.
  • SoftEther: Tidak didukung oleh banyak layanan VPN, tetapi cepat, aman, dan bagus untuk melewati penyensoran.
  • L2TP/IPsec: Protokol lebih lambat yang juga diduga telah diretas oleh NSA.
  • SSTP: Mengatasi firewall dengan baik, tetapi berprotokol sumber tertutup dan berpotensi rentan terhadap serangan MITM (Man-in-the-Middle).
  • PPTP: Usang, tidak aman, dan bagaimanapun juga harus dihindari.

PELAJARI SELENGKAPNYA: Untuk ulasan lebih mendalam tentang berbagai jenis protokol VPN dan untuk mengetahui opsi yang terbaik, baca panduan lengkap protokol VPN dari kami.

Handshake VPN

Selain protokol dan sandi, VPN juga menggunakan proses yang dikenal sebagai handshake dan autentikasi hash untuk lebih mengamankan dan mengautentikasi koneksi Anda.

Handshake mengacu pada koneksi awal antara dua komputer. Proses ini adalah semacam perkenalan antara kedua komputer untuk mengautentikasi satu sama lain serta ditetapkannya aturan untuk berkomunikasi.

Selama proses handshake, klien VPN (yaitu perangkat Anda) akan menjalin koneksi awal dengan server VPN.

Koneksi ini kemudian digunakan untuk berbagi kunci enkripsi dengan aman antara klien dan server. Kunci inilah yang digunakan untuk mengenkripsi dan mendekripsi data di kedua ujung terowongan VPN di seluruh sesi penelusuran Anda.

diagram yang menunjukkan proses langkah demi langkah handshake VPN antara klien VPN dan server VPN

 

Handshake VPN cenderung menggunakan algoritma RSA (Rivest-Shamir-Adleman). RSA telah menjadi basis untuk keamanan internet selama dua dekade terakhir.

Meskipun belum ada bukti kuat telah dibobol, RSA-1024 umumnya dianggap menimbulkan risiko keamanan mengingat daya pemrosesannya yang tersedia saat ini.

RSA-2048 adalah alternatif yang jauh lebih aman dan memiliki perlambatan komputasi yang relatif kecil. Dengan begitu, sebagian besar layanan VPN telah berpaling dari RSA-1024.

Anda sebaiknya hanya memercayai layanan VPN yang menggunakan RSA-2048 atau RSA-4096.

Meskipun proses handshake berjalan dengan baik dan menghasilkan enkripsi yang aman, setiap sesi yang dihasilkan bisa didekripsi dengan kunci privat yang digunakan dalam handshake RSA. Artinya, RSA adalah seperti ‘kunci master’.

Jika pernah disusupi, kunci master dapat digunakan untuk mendekripsi setiap sesi aman di server VPN tersebut, sesi terdahulu ataupun sesi yang berlangsung saat ini. Penyerang dapat meretas server VPN dan mendapatkan akses ke semua data yang ditransmisikan melalui terowongan VPN.

Untuk menghindarinya, sebaiknya gunakan layanan VPN yang disiapkan dengan Perfect Forward Secrecy.

Perfect Forward Secrecy

 

ilustrasi klien VPN dan server VPN di ruang terpisah, keduanya menghasilkan kunci sementara yang sama untuk mengenkripsi sesi

Perfect Forward Secrecy adalah fitur protokol yang menggunakan algoritma pertukaran kunci Diffie-Hellman (DH) atau Elliptic Curve Diffie-Hellman (ECDH) guna menghasilkan kunci sesi sementara.

Perfect Forward Secrecy memastikan bahwa kunci enkripsi tersebut tidak pernah dipertukarkan di seluruh koneksi.

Sebaliknya, server VPN dan klien VPN menghasilkan kunci sendiri menggunakan algoritma DH atau ECDH secara independen.

Secara matematis, proses ini sangat rumit. Akan tetapi, Perfect Forward Secrecy pada dasarnya menghilangkan potensi ancaman dari satu kunci privat yang, jika disusupi, bisa mengekspos setiap sesi aman yang pernah di-hosting di server.

Namun, kunci ini bersifat sementara. Artinya, kunci tersebut hanya mampu mengungkapkan satu sesi tertentu, tidak lebih.

Perlu diperhatikan bahwa RSA sendiri tidak dapat menyediakan Perfect Forward Secrecy. DH atau ECDH juga harus disertakan dalam rangkaian sandi RSA agar dapat diterapkan.

ECDH sebenarnya dapat digunakan secara mandiri—sebagai pengganti RSA—untuk menghasilkan Handshake VPN yang aman dengan Perfect Forward Secrecy. Namun, waspadai layanan VPN yang hanya menggunakan DH karena rentan terhadap pembobolan. Masalah ini tidak akan timbul apabila digunakan bersama RSA.

Tiga protokol VPN teratas yang kami rekomendasikan—OpenVPN, WireGuard, dan IKEv2—semuanya mendukung Perfect Forward Secrecy.

Autentikasi Hash

Secure Hash Algorithms (SHA) digunakan untuk mengautentikasi integritas data yang ditransmisikan dan koneksi klien-server. Algoritma ini memastikan bahwa informasi tidak diubah saat ditransmisikan dari sumber ke tujuan.

SHA bekerja dengan mengedit data sumber menggunakan sarana yang dikenal sebagai fungsi hash. Pesan sumber asli dijalankan melalui algoritma dan hasilnya berupa string karakter dengan panjang konstan yang tidak terlihat seperti pesan aslinya. String karakter ini dikenal sebagai “nilai hash“.

Fungsi ini bersifat satu arah, jadi Anda tidak dapat menjalankan proses de-hash untuk menentukan pesan asli dari nilai hash.

Proses hash berguna karena hanya dengan mengubah satu karakter dari data sumber input, nilai hash yang dihasilkan dari fungsi hash akan berubah total.

Klien VPN akan menjalankan data yang diterima dari server, dikombinasikan dengan kunci rahasia, melalui fungsi hash yang disetujui selama proses Handshake VPN.

Jika nilai hash yang dihasilkan klien berbeda dengan nilai hash pada pesan, data akan dibuang karena pesan telah diubah.

Autentikasi hash SHA mencegah serangan MITM karena mampu mendeteksi pengubahan apa pun dengan sertifikat yang valid.

Tanpa autentikasi ini, peretas dapat menyamar sebagai server VPN yang sah dan mengelabui Anda supaya terhubung ke server yang tidak aman sehingga aktivitas dapat dipantau oleh peretas.

SHA-1 terbukti memiliki kelemahan yang dapat membahayakan keamanan. Jadi, untuk memastikan keamanan maksimum, sebaiknya gunakan layanan VPN yang menggunakan SHA-2 atau yang lebih tinggi.

Panduan terkait

  1. Penjelasan tentang Protokol VPN: Manakah yang Terbaik?

    Penjelasan tentang Protokol VPN: Manakah yang Terbaik?

  2. Apa yang Bisa Anda Lakukan dengan VPN?

    kegunaan VPN