Modul 2a
Modul 2a
Topology
IP addressing table
Device
R1
Interface
IP Address
Subnet Mask
Default Gateway
Switch Port
FA0/1
192.168.1.1
255.255.255.0
N/A
S1 FA0/5
S0/0/0(DCE)
10.1.1.1
255.255.255.252
N/A
N/A
S0/0/0
10.1.1.2
255.255.255.252
N/A
N/A
S0/0/1(DCE)
10.2.2.2
255.255.255.252
N/A
N/A
FA0/1
192.168.3.1
255.255.255.0
N/A
S3 FA0/5
S0/0/1
10.2.2.1
255.255.255.252
N/A
N/A
S1
VLAN 1
192.168.1.2
255.255.255.0
N/A
N/A
S2
VLAN 1
192.168.3.2
255.255.255.0
N/A
N/A
PC-A
NIC
192.168.1.3
255.255.255.0
192.168.1.1
S1 FA0/6
PC-C
NIC
192.168.3.3
255.255.255.0
192.168.3.1
S3 FA0/18
R2
R3
Objectivity
Part 1 : Basic Network Device Configuration
Membuat topologi sesuai dengan gambar.
Melakukan konfigurasi IP untuk router dan PC.
Mengkonfigurasi static routing, termasuk default routes.
Memverifikasi konektvitas antara hosts dan router.
Part 2 : Control Administrative Access For Router
Mengkonfigurasi dan mengenkripsi semua password.
Mengkonfigurasi login warning banner.
Mengkonfigurasi keamanan username dan password.
Mengkonfigurasi keamanan virtual login.
Mengkonfigurasi SSH server pada router.
Mengkonfigurasi SSH client dan memverifikasi konektivitas.
Part 3 : Configure SSH Access to The Switch
Mengkonfigurasi akses SSH ke switch.
Mengkonfigurasi akses SSH client ke switch.
Part 4 : Secure Trunks and Access Ports
Mengkonfigurasi trunk port mode.
Merubah native VLAN untuk trunk ports.
Verifikasi konfigurasi trunk.
Enable storm control untuk broadcast.
Mengkonfigurasi port akses.
Enable PortFast dan perlindungan BPDU.
Verifikasi perlindugnan BPDU.
Mengkonfigurasi keamanan port.
Mematikan port yang tidak digunakan.
Part 5 : Konfigurasi SPAN dan Monitor Traffic
Mengkonfigurasi Switch Port Analyzer (SPAN)
Monitor aktifitas port dengan wireshark
Analyze sebuah serangan
Pada bagian ini anda membangun topologi jaringan dan mengkonfigurasi seting dasar seperti IP
R1(config)#interface S0/0/0
R1(config-if)#clock rate 64000
R1 (config) # no ip domain-lookup
Bagaimana bisa dengan cara mengkonfigurasi enable secret encrypted password membantu sebuah
router lebih aman dari serangan?
____________________________________________________________________________________________
____________________________________________________________________________________________
____________________________________________________________________________________________
Step 3 : Configure basic console, auxiliary port, and virtual access lines.
Catatan : Password dalam praktik ini telah diset dengan panjang minimal adalah 10 karakter tapi relatif
dibuat sederhana dan hanya untuk keperluan praktikum. Password yang complex sangat disarankan
untuk produksi nyata.
a. Konfigurasi sebuah password console dan aktifkan login untuk router. Untuk tambahan opsi
keamanan, perintah exec-timeout memberikan waktu kepada line untuk logout setelah 5 menit
tidak aktif. Perintah loggin-synchronous mencegah pesan console untuk di interupsi.
Catatan : Untuk menghindari pengulangan login pada kegiatan praktikum ini, exec-timeout dapat
di set dengan nilai 0 0, yang berarti mencegah login kadaluarsa, walau hal ini bukan praktik yang
baik.
R1(config)#line console 0
R1(config-line)#password ciscocon
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
R1(config-line)#logging synchronous
ketika anda konfigurasi password untuk console line, pesan apa yang ditampilkan?
__________________________________________________________________________________________
__________________________________________________________________________________________
b. Konfigurasi ulang password untuk console line dengan nilai ciscoconpass
d. Telnet dari R2 ke R1
R2 >telnet 10.1.1.1
b. Jalankan perintah show run. Dapatkan anda membaca password console, aux dan vty? Kenapa?
__________________________________________________________________________________________
c. Pada level (number) berapa enable secret password dienkripsi? _____
d. Pada level (number) berapa password yang lain dienkripsi? _____
e. Pada level berapa enkripsi semakin susah untuk dipecahkan (crack)? Kenapa? ___________________
__________________________________________________________________________________________
b. Jalankan perintah show run. Pada output, apa hasil konversi dari tanda $? _______________________
c. Keluarkah dari mode previlege EXEC menggunakan perintah disable atau exit dan tekan Enter
untuk memulai kembali. Apakah MOTD sudah terlihat seperti apa yang sudah anda buat? _____
Catatan : Jika MOTD banner tidak menunjukkan hasil yang sesuai anda berikan, buatlah ulang
banner tersebut dengan perintah yang sama di 1.a
b. Gunakan perintah show run untuk menapilkan konfigurasi yang sedang berjalan dan cek password
yang sudah diberikan.
Anda tidak dapat membaca passwrod untuk user yang baru walau terspesifikasi unencrypted (0). Hal
ini dikarenakan perintah service password-encrypted yang sebelumnya di set memberikan dampak.
Step 3 : Create a new user accont with a secret password
a. Buat akun pengguna dengan MD5 hash untuk mengenkripsi password.
b. Keluar dari menu global configuration dan simpan konfigurasi anda.
c. Tampilkan konfigurasi yang sedang berjalan. Metode hashing mana yang digunakan untuk
password?
__________________________________________________________________________________________
__________________________________________________________________________________________
__________________________________________________________________________________________
Step 4 : Test the new account by loggin in to the console
a. Tetapkan console line untuk digunakan secara lokal oleh akun login.
R1(config)#line console 0
R1(config-line)#login local
R1(config-line)#end
R1#exit
b. Keluar ke tampilan awal router dengan tampilan : R1 con0 is now available, Press RETURN to get
started.
c. Log in menggunakan user01 dan password yang telah ditetapkan sebelumnya.
Apa perbedaan antara logging pada console saat ini dan sebelumnya?
__________________________________________________________________________________________
d. Setelah masuk, jalankan perintah show run. Dapatkah anda melakukannya? Kenapa?
__________________________________________________________________________________________
e. Masuk ke mode EXEC menggunakan perintah enable. Apakah anda diminta untuk memberikan
password? Kenapa? _______________________________________________________________________
Dokumen Laboratorium Teknik Informatika
Universitas Muhammadiyah Malang @ 2012 -- Modul Praktikum Keamanan Jaringan
Apakah anda diminta untuk memberikan akun sebuah user? Kenapa? _________________________
__________________________________________________________________________________________
b. Tetapkan vty lines untuk menggunakan akun lokal yang sudah didefinisikan.
R1(config)#line vty 0 4
R1(config-line)#login local
b. Gunakan login block-for untuk mengkonfigurasi waktu login dimatikan 60 detik jika terdapat dua
kesalahan login dalam waktu kurang dari 30 detik.
R1(config)#login block-for 60 attempts 2 within 30
b. cetak perintah show login. Informasi tambahan apa saya yang ditampilkan?
__________________________________________________________________________________________
__________________________________________________________________________________________
__________________________________________________________________________________________
Step 3 : Test the enhanced login security login configuration.
a. Dari PC-A, lakukanlah Telnet ke R1
PC-A> telnet 10.1.1.1
b. Masukkan akun user yang salah sebanyak dua kali dalam waktu kurang dari 30 detik. Pesan apa
yang ditampilkan pada PC-A setelah upaya login kedua gagal ? ________________________________
__________________________________________________________________________________________
Pesan apa yang ditampilkan pada router R1 setelah mencoba menerima konektivitas Telnet? ______
__________________________________________________________________________________________
c. Dari PC-A, ciptakan koneksi Telnet lain ke R1 dengan waktu 60 detik. Pesan apa yang ditampilkan
pada PC-A setelah mencoba untuk membuka koneksi Telnet?
__________________________________________________________________________________________
Pesan apa yang ditampilkan pada router R1 setelah mencoba menerima konektivitas Telnet? ______
__________________________________________________________________________________________
d. Tampilkan hasil dari show login dalam waktu 60 detik tersebut. Informasi tambahan apa saja yang
muncul?
__________________________________________________________________________________________
Step 2 : Configure a privilege user for login from the SSH client
a. Gunakan perintah username untuk membuat user ID dengan level previlege tertinggi dan secret
password
R1(config)#username admin privilege 15 secret cisco
b. Keluar menuju router login screen dan login dengan username ini. Apa yang ditampilkan di router
setelah login ? __________________________________________________________________________
Step 3 : Configure the incoming vty lines.
Tetapkan level privilege dengan nilai 15 sehingga user dengan previlege tertinggi (15) dapat langsung
masuk ke mode EXEC via jalur vty.
R1(config)#line vty 0 4
R1(config-line)#privilege level 15
R1(config-line)#login local
R1(config-line)#transport input ssh
R1(config-line)#exit
c. HTTP akses sejak awal berstatus aktif. Untuk mencegah akses HTTP, disable HTTP server dan HTTP
secure server.
S1(config)#no ip http server
S1(config)#no ip http secure-server
Step 2 : Configure a privileged user for login from the SSH client.
S1(config)#username admin privilege 15 secret cisco12345
Step 4 : Generate the RSA encryption key pair for the router
S1(config)#crypto key generate rsa general-keys modulus 1024 The name for the keys
will be: S1.ccnasecurity.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
S1(config)#
00:15:36: %SSH-5-ENABLED: SSH 1.99 has been enabled
Step 3 : Change the native VLAN for the trunk ports on S1 and S2.
S1(config)#interface Fa0/1
S1(config-if)#switchport trunk native vlan 99
S1(config-if)#end
b. Pada S1, konfigurasi port Fa0/6 (yang terhubung dengan PC-A) dengan mode akses.
S1(config)#interface FastEthernet 0/6
S1(config-if)#switchport mode access