PRAKTIKUM KEAMANAN JARINGAN

MODUL 2
Securing Router and Layer 2 Computer Network

Oleh :
Muhammad Ridani

201010370311025

Miftahurrahman

201010370311024

M. Indra Jaya

201010370311020

Ferry R

201010370311433

LABORATORIUM TEKNIK INFORMATIKA

FAKULTAS TEKNIK
UNIVERSITAS MUHAMMADIYAH MALANG
2012

Network Security

Lab. Modul 2 -- Enhancement : Securing Router and Layer 2 Computer Network

Topology

IP addressing table
Device
R1

Interface

IP Address

Subnet Mask

Default Gateway

Switch Port

FA0/1

192.168.1.1

255.255.255.0

N/A

S1 FA0/5

S0/0/0(DCE)

10.1.1.1

255.255.255.252

N/A

N/A

S0/0/0

10.1.1.2

255.255.255.252

N/A

N/A

S0/0/1(DCE)

10.2.2.2

255.255.255.252

N/A

N/A

FA0/1

192.168.3.1

255.255.255.0

N/A

S3 FA0/5

S0/0/1

10.2.2.1

255.255.255.252

N/A

N/A

S1

VLAN 1

192.168.1.2

255.255.255.0

N/A

N/A

S2

VLAN 1

192.168.3.2

255.255.255.0

N/A

N/A

PC-A

NIC

192.168.1.3

255.255.255.0

192.168.1.1

S1 FA0/6

PC-C

NIC

192.168.3.3

255.255.255.0

192.168.3.1

S3 FA0/18

R2
R3

Objectivity
Part 1 : Basic Network Device Configuration
Membuat topologi sesuai dengan gambar.
Melakukan konfigurasi IP untuk router dan PC.
Mengkonfigurasi static routing, termasuk default routes.
Memverifikasi konektvitas antara hosts dan router.
Part 2 : Control Administrative Access For Router
Mengkonfigurasi dan mengenkripsi semua password.
Mengkonfigurasi login warning banner.
Mengkonfigurasi keamanan username dan password.
Mengkonfigurasi keamanan virtual login.
Mengkonfigurasi SSH server pada router.
Mengkonfigurasi SSH client dan memverifikasi konektivitas.
Part 3 : Configure SSH Access to The Switch
Mengkonfigurasi akses SSH ke switch.
Mengkonfigurasi akses SSH client ke switch.
Part 4 : Secure Trunks and Access Ports
Mengkonfigurasi trunk port mode.
Merubah native VLAN untuk trunk ports.
Verifikasi konfigurasi trunk.
Enable storm control untuk broadcast.
Mengkonfigurasi port akses.
Enable PortFast dan perlindungan BPDU.
Verifikasi perlindugnan BPDU.
Mengkonfigurasi keamanan port.
Mematikan port yang tidak digunakan.
Part 5 : Konfigurasi SPAN dan Monitor Traffic
Mengkonfigurasi Switch Port Analyzer (SPAN)
Monitor aktifitas port dengan wireshark
Analyze sebuah serangan

Part 1: Basic Router Configuration

Pada bagian ini anda membangun topologi jaringan dan mengkonfigurasi seting dasar seperti IP
address dan static routing
Step 1 : Cable The Network
Hubungkanlah setiap device sesuai kebutuhan pada gambar topologi
Step 2 : Configure basic setting for each router
a. Konfigurasi clock rate untuk router dengan kabel serial (DCE) yang terhubung ke port serial
interface pada setiap router. Contoh router R1:

R1(config)#interface S0/0/0
R1(config-if)#clock rate 64000

b. Konfigurasi IP address sebagaimana yang tercantum pada tabel IP Addressing

c. Konfigurasi host name sesuai dengan topologi
d. Untuk mencegah router untuk melakukan penterjemahan yang salah terhadap command
yang dianggap sebagai host names, maka diperlukan disable DNS lookup. Berikut ini adalah
contoh terhadap router
R1 (config) # no ip domain-lookup

Step 3 : Configure static routing on the routers.

a. Konfigurasi static default route dari R1 ke R2 dan dari R3 ke R2
b. Konfigurasi sebuah static route dari R2 ke R1 LAN dan dari R2 ke R3 LAN
Step 4 : Konfigurasi PC Host IP Setting
Konfigurasi static IP address, subnet mask, and default gateway untuk PC-A dan PC-C
yang ditunjukkan pada tabel IP Adressing
Step 5 : Verify connectivity between PC-A dan R3
a. Ping dari R1 ke R3.
Apakah ping berhasil dilakukan? Ya
Jika ping tidak berhasil, cermati ulang konfigurasi yang anda lakukan sebelum lanjut ke
tahap selanjutnya.
b. Ping dari PC-A pada R1 LAN ke PC-C pada R3
LAN. Apakah ping berhasil dilakukan? Ya
Jika ping tidak berhasil, cermati ulang konfigurasi yang anda lakukan sebelum lanjut ke
tahap selanjutnya.
Catatan : Jika anda dapat melakukan ping dari PC-A ke PC-C, anda telah mendemostrasikan
bahwasannya

konfigurasi dari static routing telah benar. Jika anda tidak dapat melakukan ping

tapi antarmuka(interface) alat sudah menyala(up) dan IP address sudah benar, lakukanlah show
run dan show ip route untuk membantu anda untuk mengidentifikasi masalah pada routing
protocol
Step 6 : Save the basic running configuration for each router.
simpan konfigurasi yang telah anda lakukan dengan melakukan beberapa metode penyimpanan
yang salah satunya adalah copy running-config startup-config
Pada bagian kedua praktik ini anda akan melakukan hal sebagai berikut :
Konfigurasi dan encrypt password.
Konfigurasi login warning banner.
Konfigurasi keamanan untuk username dan password yang sudah ada / di set sebelumnya.
Konfigurasi keamanan untuk virtual login
Konfigurasi sebuah SSH server pada router R1 menggunakan CLI
Meneliti terminal emulation pada perangkat lunak client dan konfigurasi SSH client
Catatan : kerjakan semua tugas pada kedua R1 dan R3. Prosedur dan output dari R1 dituliskan disini.

Task 1. Configure and Encrypt Password on Routers R1 and R3

Step 1 : Configure a minimum password length for all router password.

Gunakan perintah security password untuk menetapkan panjang minimum password sepanjang
10 karakter.
R1(config)#security passwords min-length 10

Step 2 : Configure the enable secret password.

konfigurasi enable secret encrypted password pada kedua router.
R1(config)#enable secret cisco12345

Bagaimana bisa dengan cara mengkonfigurasi enable secret encrypted password membantu
sebuah router lebih aman dari serangan?

Tujuannya adalah untuk selalu mencegah pengguna yang tidak sah dari mengakses
perangkat menggunakan Telnet, SSH, atau melalui konsol. Jika penyerang mampu
menembus lapisan pertahanan pertama, menggunakan password rahasia enable
mencegah mereka mampu mengubah konfigurasi perangkat. Kecuali password
enable secret diketahui, pengguna tidak dapat masuk ke modus privileged EXEC di
mana mereka dapat menampilkan konfigurasi berjalan dan masukkan perintah
konfigurasi berbagai untuk membuat perubahan ke router. Ini memberikan lapisan
tambahan keamanan.

Step 3 : Configure basic console, auxiliary port, and virtual access lines.
Catatan : Password dalam praktik ini telah diset dengan panjang minimal adalah 10 karakter tapi
relatif dibuat sederhana dan hanya untuk keperluan praktikum. Password yang complex sangat
disarankan untuk produksi nyata.
a. Konfigurasi sebuah password console dan aktifkan login untuk router. Untuk tambahan
opsi keamanan, perintah exec-timeout memberikan waktu kepada line untuk logout setelah
5 menit tidak aktif. Perintah loggin-synchronous mencegah pesan console untuk di interupsi.
Catatan : Untuk menghindari pengulangan login pada kegiatan praktikum ini, exec-timeout
dapat
di set dengan nilai 0 0, yang berarti mencegah login kadaluarsa, walau hal ini bukan praktik
yang baik.
R1(config)#line console 0

R1(config-line)#password ciscocon
R1(config-line)#exec-timeout 5 0
R1(config-line)#login

R1(config-line)#logging synchronous

ketika anda konfigurasi password untuk console line, pesan apa yang ditampilkan?

Sandi terlalu pendek, setidaknya harus 10 karakter. Konfigurasi Sandi gagal

b. Konfigurasi ulang password untuk console line dengan nilai ciscoconpass

c. Konfigurasi password untuk AUX port pada router R1
R1(config)#line aux 0
R1(config-line)#password ciscoauxpass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login

d. Telnet dari R2 ke R1
R2 >telnet 10.1.1.1

Apakah anda dapat login? Kenapa? Tidak,

pada garis vty

karena tidak ada sandi yang telah ditetapkan

Pesan apa yang ditampilan setelah perintah tersebut diberikan?

Mencoba 10.1.1.1 ... Buka

Sandi diperlukan, namun tidak ada set
[Koneksi ke 10.1.1.1 ditutup oleh host asing]
e. Konfigurasi password untuk line vty untuk router R1
R1(config)#line vty 0 4

R1(config-line)#password ciscovtypass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login

f. Telnet kembali dari R2 ke R1. Apakah anda dapat login?

Ya. Sandi telah ditetapkan

g. Masuk ke mode EXEC dan jalankan perintah show run. Dapatkah anda membaca enable
secret password? Kenapa? Tidak,

kemungkinan rahasia sandi dienkripsi secara

otomatis dengan menggunakan algoritma hash MD5.

Dapatkah anda membaca password dari console, aux dan vty? Kenapa? Ya,

semua dalam bentuk teks

karena mereka

h. Lakukan langkah 3a hingga 3g pada router R3.

Step 4 : Encrypt clear text password
a. Gunakan perintah service password-encryption untuk mengenkripsi password console, aux dan vty.
R1(config)# service password-encryption

b. Jalankan perintah show run. Dapatkan anda membaca password console, aux dan vty? Kenapa?

Tidak, karena sandi telah dienkripsi

c. Pada level (number) berapa enable secret password dienkripsi?

d. Pada level (number) berapa password yang lain dienkripsi?

e. Pada level berapa enkripsi semakin susah untuk dipecahkan (crack)? Kenapa? 5,

algoritma yang lebih kuat adalah 7

karena

Task 2. Configure a Login Banner on Routers R1 and R3

Step 1 : Configuring a warning message to display prior login
a. Konfigurasi sebuah peringatan (warning) kepada pengguna yang tidak berhak mengakses
dengan message-of-the-day(MOTD) menggunakan perintah banner motd. Ketika pengguna
terhubung dengan salah satu router, MOTD banner muncul sebelum login prompt. Pada contoh
ini, tanda dollar ($) digunakan untuk mengawali dan mengakhiri pesan.
R1(config)#banner motd $Unauthorized access strictly prohibited and prosecuted
to
the full extent of the law$
R1(config)#exit

b. Jalankan perintah show run. Pada output, apa hasil konversi dari tanda $?

$ diubah menjadi ^

C ketika running-config ditampilkan

c. Keluarkah dari mode previlege EXEC menggunakan perintah disable atau exit dan tekan
Enter untuk memulai kembali. Apakah MOTD sudah terlihat seperti apa yang sudah anda buat?

Ya
Catatan : Jika MOTD banner tidak menunjukkan hasil yang sesuai anda berikan, buatlah ulang

banner tersebut dengan perintah yang sama di 1.a

Task 3. Configure Enhanced Username Passord Security on Router R1 and R3

Step 1 : Investigate the options for the username command.
Pada mode global configuration, masukkan perintah berikut :
R1(config)#username user01 password ?

Opsi apa saja yang tersedia?

0 Menentukan password terenkripsi akan mengikuti

7 Menentukan password HIDDEN akan mengikuti
GARIS tidak terenkripsi (teks yang jelas) password user
Step 2 : Create a new user account using the username command
a. Buat akun user01, spesifikasikan password tanpa enkripsi.
R1(config)#username user01 password 0 user01pass

b. Gunakan perintah show run untuk menapilkan konfigurasi yang sedang berjalan dan cek
password yang sudah diberikan.
Anda tidak dapat membaca passwrod untuk user yang baru walau terspesifikasi unencrypted (0).
Hal ini dikarenakan perintah service password-encrypted yang sebelumnya di set memberikan
dampak.
Step 3 : Create a new user accont with a secret password
a. Buat akun pengguna dengan MD5 hash untuk mengenkripsi
password. b. Keluar dari menu global configuration dan simpan
konfigurasi anda.
c. Tampilkan konfigurasi yang sedang berjalan. Metode hashing mana yang digunakan untuk
password?

MD5, karena sandi rahasia telah dikonfigurasi

Step 4 : Test the new account by loggin in to the console
a. Tetapkan console line untuk digunakan secara lokal oleh akun login.
R1(config)#line console 0
R1(config-line)#login local
R1(config-line)#end
R1#exit

b. Keluar ke tampilan awal router dengan tampilan : R1 con0 is now available, Press RETURN to
get started.
c. Log in menggunakan user01 dan password yang telah ditetapkan sebelumnya.
Apa perbedaan antara logging pada console saat ini dan sebelumnya?

Anda akan diminta untuk memasukkan nama pengguna serta password

d. Setelah masuk, jalankan perintah show run. Dapatkah anda melakukannya? Kenapa?

Tidak, itu membutuhkan tingkat Keistimewaan level EXEC

e. Masuk ke mode EXEC menggunakan perintah enable. Apakah anda diminta untuk memberikan

Ya, pengguna baru yang dibuat masih akan diminta untuk

memasukkan sandi rahasia untuk masuk ke modus privileged EXEC
password? Kenapa?

Step 5 : Test the new account by logging in from a Telnet session

a. Dari PC-A, ciptakan koneksi Telnet dengan R1.
PC-A>telnet 192.168.1.1

Apakah anda diminta untuk memberikan akun sebuah user? Kenapa? Tidak,

garis vty tidak

diatur untuk menggunakan account lokal didefinisikan sebagai konsol garis 0
b. Tetapkan vty lines untuk menggunakan akun lokal yang sudah didefinisikan.
R1(config)#line vty 0 4

R1(config-line)#login local

c. Dari PC-A, lakukanlah kembali telnet ke R1

PC-A>telnet 192.168.1.1

Apakah anda diminta untuk memberikan akun sebuah user? Kenapa?

Ya, garis vty sekarang diatur untuk menggunakan account lokal yang pasti
d. Masuk sebagai user01 dengan password user01pass
e. Saat dalam kondisi telnet ke R1, akses mode previleged EXEC dengan perintah
enable. Password apa yang anda gunakan?

Memungkinakan rahasia sandi,

cisco 12345
f. Untuk menambahkan keamanan, tetapkan port AUC agar dapat digunakan oleh akun lokal.
R1(config)#line aux 0

R1(config-line)#login local

g. Akhiri telnet dengan perintah

exit

Task 4. Configure Enhanced Virtual Login Security on Routers R1 and R3

Step 1 : Configure the router to watch for login attacks.
Gunakan perintah login block-for untuk membantu mencegah upaya brute-force

login dari

koneksi virtual seperti Telnet, SSH atau HTTP. Hal ini dapat mengurangi resiko dictionary attack dan
membantu melindungi router dari DoS attack.
a. Dari mode previlege EXEC promp, inputkan perintah show login untuk melihat pengaturan
serangan terhadap login.
R1#show login
No login delay has been applied.

No Quiet-Mode access list has been configured. Router NOT enabled to watch for
login
Attacks

b. Gunakan login block-for untuk mengkonfigurasi waktu login dimatikan 60 detik jika terdapat
dua kesalahan login dalam waktu kurang dari 30 detik.
R1(config)#login block-for 60 attempts 2 within 30

c. Keluar dari mode global configuration dan perintahkan show login. Apakah router sudah siap
untuk melihat serangan terhadap login?
Apa nilai awal dari login delay?

Ya

1 detik antara suksesnya percobaan

R1#show login
A default login delay of 1 second is applied.
No Quiet-Mode access list has been configured.
Router enabled to watch for login Attacks.
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
Router presently in Normal-Mode.
Current Watch Window
Time remaining: 29 seconds.
Login failures for current window: 0.
Total login failures: 0.
Step 2 : Configure the router to login activity.
a. Konfigurasi router untuk menciptakan system logging message baik untuk login yang sukses
dan yang gagal.
R1(config)#login on-success log

R1(config)#login on-failure log every 2

R1(config)#exit

b. cetak perintah show login. Informasi tambahan apa saya yang ditampilkan?

All successful logins are logged.

Every 2 failed logins are logged

Step 3 : Test the enhanced login security login configuration.

a. Dari PC-A, lakukanlah Telnet ke R1
PC-A> telnet 10.1.1.1

b. Masukkan akun user yang salah sebanyak dua kali dalam waktu kurang dari 30 detik. Pesan
apa yang ditampilkan pada PC-A setelah upaya login kedua gagal ?

Koneksi ke host hilang

*Oct
12 22:45:22.851: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: x]
[Source:
192.168.1.3] [localport: 23] [Reason: Login Authentication Failed - BadUser] at
22:45:22 UTC Friday Oct 12 2012
Pesan apa yang ditampilkan pada router R1 setelah mencoba menerima konektivitas Telnet?

c. Dari PC-A, ciptakan koneksi Telnet lain ke R1 dengan waktu 60 detik. Pesan apa yang
ditampilkan
pada PC-A setelah mencoba untuk membuka koneksi Telnet?
Connecting To 10.1.1.1...Could not open connection to the host, on port 23: Connect failed
Pesan apa yang ditampilkan pada router R1 setelah mencoba menerima konektivitas Telnet?

12 22:24:48.171: %SEC-6-IPACCESSLOGP: list sl_def_acl denied tcp

192.168.1.3
(1068) -> 0.0.0.0(23), 1 packet

*Oct

d. Tampilkan hasil dari show login dalam waktu 60 detik tersebut. Informasi tambahan apa saja
yang muncul?

Quiet-Mode status. Router is currently denying logins from all sources.

R1#show login
A default login delay of 1 seconds is applied.
No Quiet-Mode access list has been configured.
Router enabled to watch for login Attacks.
If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
Router presently in Quiet-Mode.
Will remain in Quiet-Mode for 34 seconds.
Denying logins from all sources.

Task 5. ConfigureThe SSH Server on Routers R1 and R2 Using the CLI

Step 1 : Configure a domain name.
Masuk mode konfigurasi global dan set domain name.
R1#conf t
R1(config)#ip domain-name ccnasecurity.com

Step 2 : Configure a privilege user for login from the SSH client
a. Gunakan perintah username untuk membuat user ID dengan level previlege tertinggi

dan

secret password
R1(config)#username admin privilege 15 secret cisco

b. Keluar menuju router login screen dan login dengan username ini. Apa yang ditampilkan di
router setelah login ?

The EXEC istimewa (mungkin) meminta tanda #. Dengan tingkat

perlakuan dari 15, login default ke mode privileged EXEC

Step 3 : Configure the incoming vty lines.
Tetapkan level privilege dengan nilai 15 sehingga user dengan previlege tertinggi (15) dapat
langsung masuk ke mode EXEC via jalur vty.
R1(config)#line vty 0 4

R1(config-line)#privilege level 15
R1(config-line)#login local

R1(config-line)#transport input
ssh R1(config-line)#exit

Step 4 : Erase existing key pairs on the router

R1(config)#crypto key zeroize rsa

Step 5 : Generate the RSA encryption key pair

Router menggunakan pasangan kunci RSA untuk autentikasi dan enkripsi untuk mentransmisikan
data
SSH.
Konfigurasikan kunci RSA dengan 1024 sebagai angka dari modulus bit. Nilai awal adalah 512
dan jangkauan yang disediakan dari 360 hingga 2048.
R1(config)#crypto key generate rsa general-keys modulus 1024
R1(config)#exit

% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be nonexportable...[OK] R1(config)#

*Dec 16 21:24:16.175: %SSH-5-ENABLED: SSH 1.99 has been enabled

Step 6 : Verify the SSH configuration

a. Tuliskan perintah show ip ssh
b. Lengkapi informasi berikut ini sesuai dengan hasil output dari perintah show ip
ssh. SSH version enable :
Authentication timeout :
Authentication retries :

Most likely 1.5 to 1.99

Default is 120 seconds

Default is 3 tries

Step 7 : Configure SSH timeouts and authetication parameters

R1(config)#ip ssh time-out 90

R1(config)#ip ssh authentication-retries 2

Step 8 : Save the running-config to the startup-config

R1#copy running-config startup-config

Part 3 : SSH Configuration

Task 1 : Configure the SSH Server on Switch S1 and S2 Using CLI

Pre : Basic Device Configuration
catatan : lakukan ini pada kedua switch S1 dan S2. Prosedur untuk S1 akan ditunjukkan berikut
ini sebagai contoh.
a. Konfigurasikan IP address pada interface seperti yang ditunjukkan pada tabel IP address.
S1(config)#interface vlan 1

S1(config-if)#ip address 192.168.1.2 255.255.255.0

S1(config-if)#no shutdown

b. Konfigurasikan enable secret dan password console.

S1(config)#enable secret cisco12345
S1(config)#line console 0

S1(config-line)#password ciscoconpass
S1(config-line)#exec-timeout 5 0
S1(config-line)#login

S1(config-line)#logging synchronous

c. HTTP akses sejak awal berstatus aktif. Untuk mencegah akses HTTP, disable HTTP server dan
HTTP
secure server.
S1(config)#no ip http server

S1(config)#no ip http secure-server

Step 1 : Configure a domain name.

S1#conf t
S1(config)#ip domain-name ccnasecurity.com

Step 2 : Configure a privileged user for login from the SSH client.
S1(config)#username admin privilege 15 secret cisco12345

Step 3 : Configure the incoming vty lines.

a. Konfigurasikan vty akses pada jalur 0 hingga 5. Tetapkan juga privilege level menjadi 15
sehingga user dengan privilege tertinggi akan mempunyai akses standar pada mode privileged

EXEC saat menggunakan jalur vty.

S1(config)#line vty 0 4
S1(config-line)#privilege level 15
S1(config-line)#exec-timeout 5 0
S1(config-line)#login local

S1(config-line)#transport input
ssh S1(config-line)#exit

b. Disable login untuk switch dari jalur 5 hingga 15.

S1(config)#line vty 5 15

S1(config-line)#no login

Step 4 : Generate the RSA encryption key pair for the router
S1(config)#crypto key generate rsa general-keys modulus 1024 The name for the
keys will be: S1.ccnasecurity.com

% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be nonexportable...[OK] S1(config)#

00:15:36: %SSH-5-ENABLED: SSH 1.99 has been enabled

Step 5 : Verify the SSH configuration

S1#show ip ssh

Step 6 : Configure SSH timeouts and authentication parameters

S1(config)#ip ssh time-out 90
S1(config)#ip ssh authentication-retries 2

Step 7 : Save the running-config to startup-config

S1#copy running-config startup-config

Part 4 : Secure Trunks and Access Ports

Task 1 : Secure Trunks and Access Ports
Catatan : Berikut ini adalah sebuah kondisi jika antara switch S1 dan S2 saling terhubung secara langsung.
Dalam kasus ini sama-sama terhubung melalui port Fa0/1. Konfigurasi dilakukan di kedua switch dan berikut
ini adalah contoh pada S1.
Step 1 : Configure switch S1 as the root switch.
a. Dari console yang ada pada S1, masuk ke mode privileged EXEC dan kemudian mode
global configuration
b. Nilai awal priority switch adalah 32769 (32768+1 ekstensi id system). Ubah nilai menjadi 0
untuk membuat switch tersebut sebagai root.
S1(config)#spanning-tree vlan 1 priority 0
S1(config)#exit

c. Lihat statusnya dengan show spanning-tree

S1#show spanningtree

Step 2 : Configure trunk ports on S1 and S2 [optional].

S1(config)#interface FastEthernet 0/1
S1(config-if)#switchport mode trunk

Step 3 : Change the native VLAN for the trunk ports on S1 and S2.
S1(config)#interface Fa0/1

S1(config-if)#switchport trunk native vlan 99

S1(config-if)#end

Step 4 : Prevent the use of DTP on S1 and S2.

S1(config)#interface Fa0/1
S1(config-if)#switchport nonegotiate

Step 5 : Verify the trunking configuration on port Fa0/1.

S1#show interface fa0/1 trunk

S1#show interface fa0/1 switchport

Step 6 : Enable storm control for broadcast.
S1(config)#interface FastEthernet 0/1
S1(config-if)#storm-control broadcast level 50
S2(config)#interface FastEthernet 0/1

S2(config-if)#storm-control broadcast level 50

Step 7 : Verify your configuration with the show run command.

S1#show run | beg 0/1

Task 2 : Secure Access Ports

Step 1 : Disable trunking on S1 access ports.
Lakukan setting juga pada S2 dengan spesifikasi yang hampir sama.
a. Pada S1, konfigurasi port Fa0/5 (yang terhubung dengan R1) dengan mode akses.
S1(config)#interface FastEthernet 0/5
S1(config-if)#switchport mode access

b. Pada S1, konfigurasi port Fa0/6 (yang terhubung dengan PC-A) dengan mode akses.
S1(config)#interface FastEthernet 0/6
S1(config-if)#switchport mode access

Task 3 : Protect Againts STP Attacks

Step 1 : Enable PortFast on S1 and S2 access ports.

a. Aktifkan PortFast pada port akses Fa0/5 S1.
S1(config)#interface FastEthernet 0/5
S1(config-if)#spanning-tree portfast
b. Aktifkan PortFast pada port akses Fa0/6 S1.
S1(config)#interface FastEthernet 0/6
S1(config-if)#spanning-tree portfast

Step 2 : Enable BPDU guard on the S1 and S2 access

ports.
S1(config)#interface FastEthernet 0/5

S1(config-if)#spanning-tree bpduguard enable

S1(config)#interface FastEthernet 0/6

S1(config-if)#spanning-tree bpduguard enable

Task 4 : Configure Port Security and Disable Unused Ports

Step 1 : Configure basic port security
S1(config)#interface FastEthernet 0/5
S1(config-if)#shutdown

S1(config-if)#switchport port-security
S1(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx

S1(config-if)#no shutdown

Step 2 : Disable unused ports on S1 and S2

a. Port yang digunakan di S1 adalah Fa0/1, Fa0/5 dan Fa0/6. Port lain yang tidak digunakan
akan dimatikan.
S1(config)#interface range Fa0/2 - 4
S1(config-if-range)#shutdown

S1(config-if-range)#interface range Fa0/7 - 24

S1(config-if-range)#shutdown