Oleh : Muhammad Ridani Miftahurrahman M. Indra Jaya Ferry R 201010370311025 201010370311024 201010370311020 201010370311433
Network Security
Topology
IP addressing table
Device R1 R2 R3 S1 S2 PC-A PC-C Interface FA0/1 S0/0/0(DCE) S0/0/0 S0/0/1(DCE) FA0/1 S0/0/1 VLAN 1 VLAN 1 NIC NIC IP Address 192.168.1.1 10.1.1.1 10.1.1.2 10.2.2.2 192.168.3.1 10.2.2.1 192.168.1.2 192.168.3.2 192.168.1.3 192.168.3.3 Subnet Mask 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Default Gateway N/A N/A N/A N/A N/A N/A N/A N/A 192.168.1.1 192.168.3.1 Switch Port S1 FA0/5 N/A N/A N/A S3 FA0/5 N/A N/A N/A S1 FA0/6 S3 FA0/18
Objectivity
Part 1 : Basic Network Device Configuration Membuat topologi sesuai dengan gambar. Melakukan konfigurasi IP untuk router dan PC. Mengkonfigurasi static routing, termasuk default routes. Memverifikasi konektvitas antara hosts dan router. Part 2 : Control Administrative Access For Router Mengkonfigurasi dan mengenkripsi semua password. Mengkonfigurasi login warning banner. Mengkonfigurasi keamanan username dan password. Mengkonfigurasi keamanan virtual login. Mengkonfigurasi SSH server pada router. Mengkonfigurasi SSH client dan memverifikasi konektivitas. Part 3 : Configure SSH Access to The Switch Mengkonfigurasi akses SSH ke switch. Mengkonfigurasi akses SSH client ke switch. Part 4 : Secure Trunks and Access Ports Mengkonfigurasi trunk port mode. Merubah native VLAN untuk trunk ports. Verifikasi konfigurasi trunk. Enable storm control untuk broadcast. Mengkonfigurasi port akses. Enable PortFast dan perlindungan BPDU. Verifikasi perlindugnan BPDU. Mengkonfigurasi keamanan port. Mematikan port yang tidak digunakan. Part 5 : Konfigurasi SPAN dan Monitor Traffic Mengkonfigurasi Switch Port Analyzer (SPAN) Monitor aktifitas port dengan wireshark Analyze sebuah serangan
b. Konfigurasi IP address sebagaimana yang tercantum pada tabel IP Addressing c. Konfigurasi host name sesuai dengan topologi d. Untuk mencegah router untuk melakukan penterjemahan yang salah terhadap command yang dianggap sebagai host names, maka diperlukan disable DNS lookup. Berikut ini adalah contoh terhadap router
R1 (config) # no ip domain-lookup
Step 3 : Configure static routing on the routers. a. Konfigurasi static default route dari R1 ke R2 dan dari R3 ke R2 b. Konfigurasi sebuah static route dari R2 ke R1 LAN dan dari R2 ke R3 LAN Step 4 : Konfigurasi PC Host IP Setting Konfigurasi static IP address, subnet mask, and default gateway untuk PC-A dan PC-C yang ditunjukkan pada tabel IP Adressing Step 5 : Verify connectivity between PC-A dan R3 a. Ping dari R1 ke R3. Apakah ping berhasil dilakukan? Ya Jika ping tidak berhasil, cermati ulang konfigurasi yang anda lakukan sebelum lanjut ke tahap selanjutnya. b. Ping dari PC-A pada R1 LAN ke PC-C pada R3 LAN. Apakah ping berhasil dilakukan? Ya Jika ping tidak berhasil, cermati ulang konfigurasi yang anda lakukan sebelum lanjut ke tahap selanjutnya. Catatan : Jika anda dapat melakukan ping dari PC-A ke PC-C, anda telah mendemostrasikan bahwasannya konfigurasi dari static routing telah benar. Jika anda tidak dapat melakukan ping tapi antarmuka(interface) alat sudah menyala(up) dan IP address sudah benar, lakukanlah show run dan show ip route untuk membantu anda untuk mengidentifikasi masalah pada routing protocol Step 6 : Save the basic running configuration for each router. simpan konfigurasi yang telah anda lakukan dengan melakukan beberapa metode penyimpanan yang salah satunya adalah copy running-config startup-config Pada bagian kedua praktik ini anda akan melakukan hal sebagai berikut : Konfigurasi dan encrypt password. Konfigurasi login warning banner. Konfigurasi keamanan untuk username dan password yang sudah ada / di set sebelumnya. Konfigurasi keamanan untuk virtual login Konfigurasi sebuah SSH server pada router R1 menggunakan CLI Meneliti terminal emulation pada perangkat lunak client dan konfigurasi SSH client Catatan : kerjakan semua tugas pada kedua R1 dan R3. Prosedur dan output dari R1 dituliskan disini.
Gunakan perintah security password untuk menetapkan panjang minimum password sepanjang 10 karakter.
R1(config)#security passwords min-length 10
Step 2 : Configure the enable secret password. konfigurasi enable secret encrypted password pada kedua router.
R1(config)#enable secret cisco12345
Bagaimana bisa dengan cara mengkonfigurasi enable secret encrypted password membantu sebuah router lebih aman dari serangan?
Tujuannya adalah untuk selalu mencegah pengguna yang tidak sah dari mengakses perangkat menggunakan Telnet, SSH, atau melalui konsol. Jika penyerang mampu menembus lapisan pertahanan pertama, menggunakan password rahasia enable mencegah mereka mampu mengubah konfigurasi perangkat. Kecuali password enable secret diketahui, pengguna tidak dapat masuk ke modus privileged EXEC di mana mereka dapat menampilkan konfigurasi berjalan dan masukkan perintah konfigurasi berbagai untuk membuat perubahan ke router. Ini memberikan lapisan tambahan keamanan.
Step 3 : Configure basic console, auxiliary port, and virtual access lines. Catatan : Password dalam praktik ini telah diset dengan panjang minimal adalah 10 karakter tapi relatif dibuat sederhana dan hanya untuk keperluan praktikum. Password yang complex sangat disarankan untuk produksi nyata. a. Konfigurasi sebuah password console dan aktifkan login untuk router. Untuk tambahan opsi keamanan, perintah exec-timeout memberikan waktu kepada line untuk logout setelah 5 menit tidak aktif. Perintah loggin-synchronous mencegah pesan console untuk di interupsi. Catatan : Untuk menghindari pengulangan login pada kegiatan praktikum ini, exec-timeout dapat di set dengan nilai 0 0, yang berarti mencegah login kadaluarsa, walau hal ini bukan praktik yang baik.
R1(config)#line console 0 R1(config-line)#password ciscocon R1(config-line)#exec-timeout 5 0 R1(config-line)#login R1(config-line)#logging synchronous
ketika anda konfigurasi password untuk console line, pesan apa yang ditampilkan? b. Konfigurasi ulang password untuk console line dengan nilai ciscoconpass c. Konfigurasi password untuk AUX port pada router R1
R1(config)#line aux 0 R1(config-line)#password ciscoauxpass R1(config-line)#exec-timeout 5 0 R1(config-line)#login
d. Telnet dari R2 ke R1
R2 >telnet 10.1.1.1
Mencoba 10.1.1.1 ... Buka Sandi diperlukan, namun tidak ada set [Koneksi ke 10.1.1.1 ditutup oleh host asing]
e. Konfigurasi password untuk line vty untuk router R1
R1(config)#line vty 0 4 R1(config-line)#password ciscovtypass R1(config-line)#exec-timeout 5 0 R1(config-line)#login
f. Telnet kembali dari R2 ke R1. Apakah anda dapat login? secret password? Kenapa? Tidak,
g. Masuk ke mode EXEC dan jalankan perintah show run. Dapatkah anda membaca enable
b. Jalankan perintah show run. Dapatkan anda membaca password console, aux dan vty? Kenapa?
c. Pada level (number) berapa enable secret password dienkripsi? d. Pada level (number) berapa password yang lain dienkripsi?
5 karena
e. Pada level berapa enkripsi semakin susah untuk dipecahkan (crack)? Kenapa? 5,
b. Jalankan perintah show run. Pada output, apa hasil konversi dari tanda $?
$ diubah menjadi ^
Ya
Catatan : Jika MOTD banner tidak menunjukkan hasil yang sesuai anda berikan, buatlah ulang
0 Menentukan password terenkripsi akan mengikuti 7 Menentukan password HIDDEN akan mengikuti GARIS tidak terenkripsi (teks yang jelas) password user
Step 2 : Create a new user account using the username command a. Buat akun user01, spesifikasikan password tanpa enkripsi.
R1(config)#username user01 password 0 user01pass
b. Gunakan perintah show run untuk menapilkan konfigurasi yang sedang berjalan dan cek password yang sudah diberikan. Anda tidak dapat membaca passwrod untuk user yang baru walau terspesifikasi unencrypted (0). Hal ini dikarenakan perintah service password-encrypted yang sebelumnya di set memberikan dampak. Step 3 : Create a new user accont with a secret password a. Buat akun pengguna dengan MD5 hash untuk mengenkripsi password. b. Keluar dari menu global configuration dan simpan konfigurasi anda. c. Tampilkan konfigurasi yang sedang berjalan. Metode hashing mana yang digunakan untuk password?
b. Keluar ke tampilan awal router dengan tampilan : R1 con0 is now available, Press RETURN to get started. c. Log in menggunakan user01 dan password yang telah ditetapkan sebelumnya. Apa perbedaan antara logging pada console saat ini dan sebelumnya?
Ya, pengguna baru yang dibuat masih akan diminta untuk memasukkan sandi rahasia untuk masuk ke modus privileged EXEC
password? Kenapa?
Step 5 : Test the new account by logging in from a Telnet session a. Dari PC-A, ciptakan koneksi Telnet dengan R1.
PC-A>telnet 192.168.1.1
Apakah anda diminta untuk memberikan akun sebuah user? Kenapa? Tidak,
garis vty tidak diatur untuk menggunakan account lokal didefinisikan sebagai konsol garis 0
b. Tetapkan vty lines untuk menggunakan akun lokal yang sudah didefinisikan.
R1(config)#line vty 0 4 R1(config-line)#login local
Ya, garis vty sekarang diatur untuk menggunakan account lokal yang pasti
d. Masuk sebagai user01 dengan password user01pass e. Saat dalam kondisi telnet ke R1, akses mode previleged EXEC dengan perintah enable. Password apa yang anda gunakan?
cisco 12345
f. Untuk menambahkan keamanan, tetapkan port AUC agar dapat digunakan oleh akun lokal.
R1(config)#line aux 0 R1(config-line)#login local
login dari
koneksi virtual seperti Telnet, SSH atau HTTP. Hal ini dapat mengurangi resiko dictionary attack dan
b. Gunakan login block-for untuk mengkonfigurasi waktu login dimatikan 60 detik jika terdapat dua kesalahan login dalam waktu kurang dari 30 detik.
R1(config)#login block-for 60 attempts 2 within 30
c. Keluar dari mode global configuration dan perintahkan show login. Apakah router sudah siap untuk melihat serangan terhadap login? Apa nilai awal dari login delay?
Ya
R1#show login A default login delay of 1 second is applied. No Quiet-Mode access list has been configured. Router enabled to watch for login Attacks. If more than 2 login failures occur in 30 seconds or less, logins will be disabled for 60 seconds. Router presently in Normal-Mode. Current Watch Window Time remaining: 29 seconds. Login failures for current window: 0. Total login failures: 0.
Step 2 : Configure the router to login activity. a. Konfigurasi router untuk menciptakan system logging message baik untuk login yang sukses dan yang gagal.
R1(config)#login on-failure log every 2 R1(config)#exit R1(config)#login on-success log
b. cetak perintah show login. Informasi tambahan apa saya yang ditampilkan?
All successful logins are logged. Every 2 failed logins are logged
Step 3 : Test the enhanced login security login configuration. a. Dari PC-A, lakukanlah Telnet ke R1
PC-A> telnet 10.1.1.1
b. Masukkan akun user yang salah sebanyak dua kali dalam waktu kurang dari 30 detik. Pesan apa yang ditampilkan pada PC-A setelah upaya login kedua gagal ?
*Oct 12 22:45:22.851: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: x] [Source: 192.168.1.3] [localport: 23] [Reason: Login Authentication Failed - BadUser] at 22:45:22 UTC Friday Oct 12 2012
Pesan apa yang ditampilkan pada router R1 setelah mencoba menerima konektivitas Telnet? c. Dari PC-A, ciptakan koneksi Telnet lain ke R1 dengan waktu 60 detik. Pesan apa yang ditampilkan pada PC-A setelah mencoba untuk membuka koneksi Telnet? Connecting To 10.1.1.1...Could not open connection to the host, on port 23: Connect failed Pesan apa yang ditampilkan pada router R1 setelah mencoba menerima konektivitas Telnet?
12 22:24:48.171: %SEC-6-IPACCESSLOGP: list sl_def_acl denied tcp 192.168.1.3 (1068) -> 0.0.0.0(23), 1 packet
*Oct
d. Tampilkan hasil dari show login dalam waktu 60 detik tersebut. Informasi tambahan apa saja yang muncul?
R1#show login A default login delay of 1 seconds is applied. No Quiet-Mode access list has been configured. Router enabled to watch for login Attacks. If more than 2 login failures occur in 30 seconds or less, logins will be disabled for 60 seconds. Router presently in Quiet-Mode. Will remain in Quiet-Mode for 34 seconds. Denying logins from all sources.
Step 2 : Configure a privilege user for login from the SSH client a. Gunakan perintah username untuk membuat user ID dengan level previlege tertinggi secret password
R1(config)#username admin privilege 15 secret cisco
dan
b. Keluar menuju router login screen dan login dengan username ini. Apa yang ditampilkan di router setelah login ?
Step 4 : Erase existing key pairs on the router Step 5 : Generate the RSA encryption key pair Router menggunakan pasangan kunci RSA untuk autentikasi dan enkripsi untuk mentransmisikan data SSH. Konfigurasikan kunci RSA dengan 1024 sebagai angka dari modulus bit. Nilai awal adalah 512 dan jangkauan yang disediakan dari 360 hingga 2048.
R1(config)#crypto key generate rsa general-keys modulus 1024 R1(config)#exit R1(config)#crypto key zeroize rsa
% The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be nonexportable...[OK] R1(config)# *Dec 16 21:24:16.175: %SSH-5-ENABLED: SSH 1.99 has been enabled
Step 6 : Verify the SSH configuration a. Tuliskan perintah show ip ssh b. Lengkapi informasi berikut ini sesuai dengan hasil output dari perintah show ip ssh. SSH version enable : Authentication timeout : Authentication retries :
S1(config-line)#logging synchronous
c. HTTP akses sejak awal berstatus aktif. Untuk mencegah akses HTTP, disable HTTP server dan HTTP secure server.
S1(config)#no ip http server S1(config)#no ip http secure-server
Step 2 : Configure a privileged user for login from the SSH client.
S1(config)#username admin privilege 15 secret cisco12345
Step 3 : Configure the incoming vty lines. a. Konfigurasikan vty akses pada jalur 0 hingga 5. Tetapkan juga privilege level menjadi 15 sehingga user dengan privilege tertinggi akan mempunyai akses standar pada mode privileged
Step 4 : Generate the RSA encryption key pair for the router
S1(config)#crypto key generate rsa general-keys modulus 1024 The name for the keys will be: S1.ccnasecurity.com % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be nonexportable...[OK] S1(config)# 00:15:36: %SSH-5-ENABLED: SSH 1.99 has been enabled
Step 3 : Change the native VLAN for the trunk ports on S1 and S2.
Step 5 : Verify the trunking configuration on port Fa0/1. S1#show interface fa0/1 trunk Step 6 : Enable storm control for broadcast.
S1(config)#interface FastEthernet 0/1 S1(config-if)#storm-control broadcast level 50 S2(config)#interface FastEthernet 0/1 S2(config-if)#storm-control broadcast level 50
b. Pada S1, konfigurasi port Fa0/6 (yang terhubung dengan PC-A) dengan mode akses.
S1(config)#interface FastEthernet 0/6 S1(config-if)#switchport mode access
Step 1 : Enable PortFast on S1 and S2 access ports. a. Aktifkan PortFast pada port akses Fa0/5 S1. S1(config)#interface FastEthernet 0/5 S1(config-if)#spanning-tree portfast b. Aktifkan PortFast pada port akses Fa0/6 S1.
S1(config)#interface FastEthernet 0/6 S1(config-if)#spanning-tree portfast
S1(config-if)#no shutdown
Step 2 : Disable unused ports on S1 and S2 a. Port yang digunakan di S1 adalah Fa0/1, Fa0/5 dan Fa0/6. Port lain yang tidak digunakan akan dimatikan.
S1(config)#interface range Fa0/2 - 4 S1(config-if-range)#shutdown S1(config-if-range)#interface range Fa0/7 - 24 S1(config-if-range)#shutdown