MODUL 2
Securing Router and Layer 2 Computer Network
Oleh :
Muhammad Ridani
201010370311025
Miftahurrahman
201010370311024
M. Indra Jaya
201010370311020
Ferry R
201010370311433
Network Security
Topology
IP addressing table
Device
R1
Interface
IP Address
Subnet Mask
Default Gateway
Switch Port
FA0/1
192.168.1.1
255.255.255.0
N/A
S1 FA0/5
S0/0/0(DCE)
10.1.1.1
255.255.255.252
N/A
N/A
S0/0/0
10.1.1.2
255.255.255.252
N/A
N/A
S0/0/1(DCE)
10.2.2.2
255.255.255.252
N/A
N/A
FA0/1
192.168.3.1
255.255.255.0
N/A
S3 FA0/5
S0/0/1
10.2.2.1
255.255.255.252
N/A
N/A
S1
VLAN 1
192.168.1.2
255.255.255.0
N/A
N/A
S2
VLAN 1
192.168.3.2
255.255.255.0
N/A
N/A
PC-A
NIC
192.168.1.3
255.255.255.0
192.168.1.1
S1 FA0/6
PC-C
NIC
192.168.3.3
255.255.255.0
192.168.3.1
S3 FA0/18
R2
R3
Objectivity
Part 1 : Basic Network Device Configuration
Membuat topologi sesuai dengan gambar.
Melakukan konfigurasi IP untuk router dan PC.
Mengkonfigurasi static routing, termasuk default routes.
Memverifikasi konektvitas antara hosts dan router.
Part 2 : Control Administrative Access For Router
Mengkonfigurasi dan mengenkripsi semua password.
Mengkonfigurasi login warning banner.
Mengkonfigurasi keamanan username dan password.
Mengkonfigurasi keamanan virtual login.
Mengkonfigurasi SSH server pada router.
Mengkonfigurasi SSH client dan memverifikasi konektivitas.
Part 3 : Configure SSH Access to The Switch
Mengkonfigurasi akses SSH ke switch.
Mengkonfigurasi akses SSH client ke switch.
Part 4 : Secure Trunks and Access Ports
Mengkonfigurasi trunk port mode.
Merubah native VLAN untuk trunk ports.
Verifikasi konfigurasi trunk.
Enable storm control untuk broadcast.
Mengkonfigurasi port akses.
Enable PortFast dan perlindungan BPDU.
Verifikasi perlindugnan BPDU.
Mengkonfigurasi keamanan port.
Mematikan port yang tidak digunakan.
Part 5 : Konfigurasi SPAN dan Monitor Traffic
Mengkonfigurasi Switch Port Analyzer (SPAN)
Monitor aktifitas port dengan wireshark
Analyze sebuah serangan
R1(config)#interface S0/0/0
R1(config-if)#clock rate 64000
konfigurasi dari static routing telah benar. Jika anda tidak dapat melakukan ping
tapi antarmuka(interface) alat sudah menyala(up) dan IP address sudah benar, lakukanlah show
run dan show ip route untuk membantu anda untuk mengidentifikasi masalah pada routing
protocol
Step 6 : Save the basic running configuration for each router.
simpan konfigurasi yang telah anda lakukan dengan melakukan beberapa metode penyimpanan
yang salah satunya adalah copy running-config startup-config
Pada bagian kedua praktik ini anda akan melakukan hal sebagai berikut :
Konfigurasi dan encrypt password.
Konfigurasi login warning banner.
Konfigurasi keamanan untuk username dan password yang sudah ada / di set sebelumnya.
Konfigurasi keamanan untuk virtual login
Konfigurasi sebuah SSH server pada router R1 menggunakan CLI
Meneliti terminal emulation pada perangkat lunak client dan konfigurasi SSH client
Catatan : kerjakan semua tugas pada kedua R1 dan R3. Prosedur dan output dari R1 dituliskan disini.
Gunakan perintah security password untuk menetapkan panjang minimum password sepanjang
10 karakter.
R1(config)#security passwords min-length 10
Bagaimana bisa dengan cara mengkonfigurasi enable secret encrypted password membantu
sebuah router lebih aman dari serangan?
Tujuannya adalah untuk selalu mencegah pengguna yang tidak sah dari mengakses
perangkat menggunakan Telnet, SSH, atau melalui konsol. Jika penyerang mampu
menembus lapisan pertahanan pertama, menggunakan password rahasia enable
mencegah mereka mampu mengubah konfigurasi perangkat. Kecuali password
enable secret diketahui, pengguna tidak dapat masuk ke modus privileged EXEC di
mana mereka dapat menampilkan konfigurasi berjalan dan masukkan perintah
konfigurasi berbagai untuk membuat perubahan ke router. Ini memberikan lapisan
tambahan keamanan.
Step 3 : Configure basic console, auxiliary port, and virtual access lines.
Catatan : Password dalam praktik ini telah diset dengan panjang minimal adalah 10 karakter tapi
relatif dibuat sederhana dan hanya untuk keperluan praktikum. Password yang complex sangat
disarankan untuk produksi nyata.
a. Konfigurasi sebuah password console dan aktifkan login untuk router. Untuk tambahan
opsi keamanan, perintah exec-timeout memberikan waktu kepada line untuk logout setelah
5 menit tidak aktif. Perintah loggin-synchronous mencegah pesan console untuk di interupsi.
Catatan : Untuk menghindari pengulangan login pada kegiatan praktikum ini, exec-timeout
dapat
di set dengan nilai 0 0, yang berarti mencegah login kadaluarsa, walau hal ini bukan praktik
yang baik.
R1(config)#line console 0
R1(config-line)#password ciscocon
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
R1(config-line)#logging synchronous
ketika anda konfigurasi password untuk console line, pesan apa yang ditampilkan?
d. Telnet dari R2 ke R1
R2 >telnet 10.1.1.1
R1(config-line)#password ciscovtypass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
g. Masuk ke mode EXEC dan jalankan perintah show run. Dapatkah anda membaca enable
secret password? Kenapa? Tidak,
karena mereka
b. Jalankan perintah show run. Dapatkan anda membaca password console, aux dan vty? Kenapa?
e. Pada level berapa enkripsi semakin susah untuk dipecahkan (crack)? Kenapa? 5,
karena
b. Jalankan perintah show run. Pada output, apa hasil konversi dari tanda $?
$ diubah menjadi ^
Ya
Catatan : Jika MOTD banner tidak menunjukkan hasil yang sesuai anda berikan, buatlah ulang
b. Gunakan perintah show run untuk menapilkan konfigurasi yang sedang berjalan dan cek
password yang sudah diberikan.
Anda tidak dapat membaca passwrod untuk user yang baru walau terspesifikasi unencrypted (0).
Hal ini dikarenakan perintah service password-encrypted yang sebelumnya di set memberikan
dampak.
Step 3 : Create a new user accont with a secret password
a. Buat akun pengguna dengan MD5 hash untuk mengenkripsi
password. b. Keluar dari menu global configuration dan simpan
konfigurasi anda.
c. Tampilkan konfigurasi yang sedang berjalan. Metode hashing mana yang digunakan untuk
password?
b. Keluar ke tampilan awal router dengan tampilan : R1 con0 is now available, Press RETURN to
get started.
c. Log in menggunakan user01 dan password yang telah ditetapkan sebelumnya.
Apa perbedaan antara logging pada console saat ini dan sebelumnya?
Apakah anda diminta untuk memberikan akun sebuah user? Kenapa? Tidak,
R1(config-line)#login local
Ya, garis vty sekarang diatur untuk menggunakan account lokal yang pasti
d. Masuk sebagai user01 dengan password user01pass
e. Saat dalam kondisi telnet ke R1, akses mode previleged EXEC dengan perintah
enable. Password apa yang anda gunakan?
cisco 12345
f. Untuk menambahkan keamanan, tetapkan port AUC agar dapat digunakan oleh akun lokal.
R1(config)#line aux 0
R1(config-line)#login local
login dari
koneksi virtual seperti Telnet, SSH atau HTTP. Hal ini dapat mengurangi resiko dictionary attack dan
membantu melindungi router dari DoS attack.
a. Dari mode previlege EXEC promp, inputkan perintah show login untuk melihat pengaturan
serangan terhadap login.
R1#show login
No login delay has been applied.
No Quiet-Mode access list has been configured. Router NOT enabled to watch for
login
Attacks
b. Gunakan login block-for untuk mengkonfigurasi waktu login dimatikan 60 detik jika terdapat
dua kesalahan login dalam waktu kurang dari 30 detik.
R1(config)#login block-for 60 attempts 2 within 30
c. Keluar dari mode global configuration dan perintahkan show login. Apakah router sudah siap
untuk melihat serangan terhadap login?
Apa nilai awal dari login delay?
Ya
R1#show login
A default login delay of 1 second is applied.
No Quiet-Mode access list has been configured.
Router enabled to watch for login Attacks.
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
Router presently in Normal-Mode.
Current Watch Window
Time remaining: 29 seconds.
Login failures for current window: 0.
Total login failures: 0.
Step 2 : Configure the router to login activity.
a. Konfigurasi router untuk menciptakan system logging message baik untuk login yang sukses
dan yang gagal.
R1(config)#login on-success log
b. cetak perintah show login. Informasi tambahan apa saya yang ditampilkan?
b. Masukkan akun user yang salah sebanyak dua kali dalam waktu kurang dari 30 detik. Pesan
apa yang ditampilkan pada PC-A setelah upaya login kedua gagal ?
*Oct
12 22:45:22.851: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: x]
[Source:
192.168.1.3] [localport: 23] [Reason: Login Authentication Failed - BadUser] at
22:45:22 UTC Friday Oct 12 2012
Pesan apa yang ditampilkan pada router R1 setelah mencoba menerima konektivitas Telnet?
c. Dari PC-A, ciptakan koneksi Telnet lain ke R1 dengan waktu 60 detik. Pesan apa yang
ditampilkan
pada PC-A setelah mencoba untuk membuka koneksi Telnet?
Connecting To 10.1.1.1...Could not open connection to the host, on port 23: Connect failed
Pesan apa yang ditampilkan pada router R1 setelah mencoba menerima konektivitas Telnet?
*Oct
d. Tampilkan hasil dari show login dalam waktu 60 detik tersebut. Informasi tambahan apa saja
yang muncul?
R1#show login
A default login delay of 1 seconds is applied.
No Quiet-Mode access list has been configured.
Router enabled to watch for login Attacks.
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
Router presently in Quiet-Mode.
Will remain in Quiet-Mode for 34 seconds.
Denying logins from all sources.
Step 2 : Configure a privilege user for login from the SSH client
a. Gunakan perintah username untuk membuat user ID dengan level previlege tertinggi
dan
secret password
R1(config)#username admin privilege 15 secret cisco
b. Keluar menuju router login screen dan login dengan username ini. Apa yang ditampilkan di
router setelah login ?
R1(config-line)#privilege level 15
R1(config-line)#login local
R1(config-line)#transport input
ssh R1(config-line)#exit
S1(config-line)#password ciscoconpass
S1(config-line)#exec-timeout 5 0
S1(config-line)#login
S1(config-line)#logging synchronous
c. HTTP akses sejak awal berstatus aktif. Untuk mencegah akses HTTP, disable HTTP server dan
HTTP
secure server.
S1(config)#no ip http server
Step 2 : Configure a privileged user for login from the SSH client.
S1(config)#username admin privilege 15 secret cisco12345
S1(config-line)#transport input
ssh S1(config-line)#exit
S1(config-line)#no login
Step 4 : Generate the RSA encryption key pair for the router
S1(config)#crypto key generate rsa general-keys modulus 1024 The name for the
keys will be: S1.ccnasecurity.com
Step 3 : Change the native VLAN for the trunk ports on S1 and S2.
S1(config)#interface Fa0/1
b. Pada S1, konfigurasi port Fa0/6 (yang terhubung dengan PC-A) dengan mode akses.
S1(config)#interface FastEthernet 0/6
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx
S1(config-if)#no shutdown