Konfigurasi Password
Last updated: September 8, 2018 by fathurhoho
Leave a comment
Setelah 1 semester cuti, akhirnya saya bisa melanjutkan tulisan seri Cisco
IOSini lagi. Ada 5 jenis password yang akan kita bahas di bab ke tiga ini,
yaitu enable password, enable secret, password line vty, password line
console, dan password line auxilary.
Tapi menurut saya ini sangat penting dipahami, terutama jika kamu
sedang mempersiapkan CCNA. Juga tidak jarang kesalahan terjadi yang
berakibat perangkat tidak bisa diakses karena lupa mengkonfigurasi
password.
Lah kok bisa? Gimana ceritanya? (*kedip mata buat yang udah pernah
ngalamin)
Semuanya, akan kita bahas satu-per-satu, hingga tuntas. Namun seperti
biasa, saya harap kamu sudah menyelesaikan bab sebelumnya:
[Enter pressed]
Switch>en
Switch#
Kita mulai dari mengkonfigurasi enable password dan enable secret untuk
mengamankan privileged mode (user mode), jadinya seperti ini:
Gambar 2: Setelah dikonfigurasi password untuk privileged mode
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#enable password cisco
Switch(config)#^Z
Switch#
*Aug 22 08:11:30.744: %SYS-5-CONFIG_I: Configured from console by
console
Switch#disable
Switch>en
Password:
Switch#
Switch(config)#enable secret ?
0 Specifies an UNENCRYPTED password will follow
5 Specifies a MD5 HASHED secret will follow
8 Specifies a PBKDF2 HASHED secret will follow
9 Specifies a SCRYPT HASHED secret will follow
LINE The UNENCRYPTED (cleartext) 'enable' secret
level Set exec level password
Switch(config)#
c. Bagaimana Jika Menggunakan Enable Password dan Enable Secret
Bersamaan?
Switch(config)#
Dengan cara ini, berarti kita sudah membuka jalan bagi seseorang untuk
mengetahui password enable secret. Muncul peringatan untuk meminta
kita mengubah password enable password.
Building configuration...
!
! Last configuration change at 16:02:15 WIB Wed Aug 22 2018
version 15.2
service password-encryption
service compress-config
hostname Switch
boot-start-marker
boot-end-marker
no aaa new-model
Password yang dibuat tadi tidak akan tampil, karena diganti dengan
teks <removed>. Ini bisa berguna suatu saat. Lalu rencanakan jadwal untuk
migrasi ke enable secret.
Gambar 5: Setelah dikonfigurasi password untuk line console, line vty, dan
line auxilary
Switch(config)#line console 0
Switch(config-line)#password cisco
Switch(config-line)#login
Konfigurasi password dengan perintah password <passwordnya>, kemudian
gunakan perintah login agar switch memeriksa password setiap kali ada
yang terhubung melalui port console. Berikut hasilnya:
Tapi tetap aja, bisa dengan mudah didecrypt. Ingat perintah tech-
support yang saya singgung diatas? Gunakan ini jika ingin share
konfigurasi dan menjaga password kamu tetap aman.
Logging Synchronous
Perintah logging synchronous diatas berfungsi agar output yang keluar dari
CLI disynchronized, nantinya tidak akan mengganggu kamu saat
melalukan konfigurasi, karena apa yang kamu sedang ketik tidak akan
diinterupsi oleh output yang sedang berjalan.
Exec-timeout
Switch(config)#line console 0
Switch(config-line)#exec-timeout ?
<0-35791> Timeout in minutes
Switch(config-line)#exec-timeout 0 ?
<0-2147483> Timeout in seconds
Switch(config-line)#exec-timeout 0 0
Switch(config-line)#exit
Saya buat exec-timout 0 0 berarti tidak ada batasan waktu di sesi console.
Jadi bisa berlama-lama tanpa logout. Hehe. Ini not recommended ya.
Switch(config)#line aux 0
Switch(config-line)#exec-timeout 0 0
Switch(config-line)#password cisco2
Switch(config-line)#login
Switch(config-line)#exit
Switch(config)#do show run | section line aux 0
line aux 0
exec-timeout 0 0
password 7 094F471A1A0A45
login
Switch(config)#
C:\>telnet 192.168.10.10
Trying 192.168.10.10 ...Open
Password:
Switch>en
Password:
Switch#
Hanya perlu diingat kalau switch, kamu harus konfigurasi interface VLAN
nya. Karena dia membutuhkan IP address untuk bekerja dengan IP-Based
Protocol , dalam hal ini telnet — dan pastikan interface tersebut sudah up.
Line vty numbernya saya konfigurasi dari 0 hingga 15. Artinya nanti bisa 16
user mengakses perangkat melalui telnet. Ini bisa dilihat dengan
perintah show users:
Switch#show users
Line User Host(s) Idle Location
* 0 con 0 idle 00:00:00
2 vty 0 idle 00:03:17
192.168.10.20
Interface User Mode Idle Peer Address
Switch#
Oleh karena itu, kita disarankan menggunakan SSH. Cara konfigurasi SSH
di Cisco IOS berbeda dengan konfigurasi telnet. Berikut topologi yang kita
gunakan.
Oh ya, ini saya bahas basicnya saja ya, biar engga bikin bingung. Nanti
diulas lebih rinci jika sudah sampai ke sesi sekuritas lanjutan. Berikut
tahapan (wajib) konfigurasi SSH di router dan switch Cisco IOS.
Switch(config)#hostname sw1
sw1(config)#ip domain-name ngonfig.net
Nilai modulus untuk menentukan seberapa lebar key yang kita gunakan.
Makin besar, maka waktu yang dibutuhkan untuk men-generatenya
semakin lama, dan semakin secure. Silakan cek punya masing-masing,
maksimal berapa bits modulus yang didukung.
Biasanya akan muncul log seperti baris terakhir, berarti status SSH sudah
enabled.
Beda dengan line console, dan telnet yang sudah kita bahas diatas.
Koneksi melalui SSH membutuhkan username. Kalau mau konek SSH,
format umumnya seperti ini, di windows OS atau di Cisco IOS:
C:\>ssh
Usage: SSH -l username target
nux@ngonfig:~$ ssh
sw1(config)#line vty 0 15
sw1(config-line)#login local
sw1(config-line)#transport input ?
all All protocols
none No protocols
ssh TCP/IP SSH protocol
telnet TCP/IP Telnet protocol
sw1(config-line)#
Perintah login local diatas berarti switch akan melihat database (username
dan password) di lokalnya untuk autentikasi. (Saya katakan begini karena
memungkinkan kita menggunakan server eksternal untuk autentikasi).
Berikut jika ingin melihat cara konfigurasi SSH cisco IOS dalam bentuk
video.
Hal yang sudah saya jelaskan diatas kita sebut ‘simple password’ atau
‘shared password’. Alias: satu password dipakai bareng-bareng. Ini tidak
direkomendasikan.
… dan aksesnya bisa dari console, auxilary, atau remote ssh/telnet (line
vty). Sehingga konfigurasinya seperti ini:
sw1(config)#line console 0
sw1(config-line)#login local
sw1(config-line)#line vty 0 15
sw1(config-line)#login local
sw1(config-line)#line aux 0
sw1(config-line)#login local
sw1(config-line)#^Z
sw1#
*Aug 24 16:26:47.560: %SYS-5-CONFIG_I: Configured from console by
ngonfig on console
Saya konfigurasi line console, aux, dan vty agar login menggunakan
username dan password local yang tersimpan di router/switch. Maka
hasilnya menjadi seperti ini:
Username: ngonfig
Password:
sw1>
Oke sip. Sekarang kamu sudah bisa mengakses router dan switch dengan
menggunakan username dan password masing-masing.
sw(config)#tacacs ?
sw(config)#tacacs host ?
sw(config)#
sw(config)#tacacs key ?
LINE The UNENCRYPTED (cleartext) shared key
sw(config)#
Sesuaikan host (IP server tacacs) dan key sesuai dengan konfigurasi
server tacacs diatas.
3. Konfigurasi AAA dengan tacacs sebagai server authentikasi login dan enable
di switch/router cisco
Pertama, kita perlu mengaktifkan fitur AAA di switch, karena secara default
AAA disabled. Oh ya, cisco switch 2960 di packet tracer tidak mendukung
fitur ini. Silakan ganti router atau L3 switch 3560.
sw(config)#aaa new-model
sw(config)#aaa authentication ?
none NO authentication.
sw(config)#
Perhatikan opsi-opsi yang tampil dari question mark diatas. Enable artinya
untuk masuk ke privileged mode, ada login juga. Enable untuk mengaktifkan
autentikasi default (ada fitur untuk named list, daftar yg kita buat sendiri).
Karena mostly, network zaman sudah pasti disubnet, baik secara network
address, maupun VLAN. Contoh-contoh diatas, cuma 1 network, dan 1
vlan.
Ini intinya: switch perlu dikonfigurasi IP address agar mendukung protocol
manajemen IP based (ssh/telnet/icmp/snmp/dll). Dalam hal ini khususnya
SVI (switch virtual interface) alias interface VLAN di switch layer 2.
… karena bisa juga pakai interface fisik (no switchport – layer 3), atau
interface loopback. Nah kita fokus di switch layer 2.
Karena layer 2, tidak punya kemampuan routing, dan secara default tidak
bisa diakses/mengakses network yang berbeda, maka switch perlu
dikonfigurasi ip-default gateway.
Seperti gambar diatas. Prinsip switch layer 2 disini, anggap saja sama
dengan kebutuhan host (client). Sama-sama membutuhkan gateway.
(Secara teknikal ‘frame-ip-route-etc’ ini berbeda).
Karena kalau sudah seperti itu, terpaksa kita harus mereset password. Ini
akan sulit jika perangkat sudah berada ditempat lain (atau bahkan sudah
dimounting ke rak).
Simpulan
Hal yang masih kurang di bab kali ini adalah tentang level privilege user
(tingkatan otorisasi) akses seorang user terhadap perangkat router/switch
Cisco. Next time, jika ada kesempatan akan kita ulas.
Diatas kita sudah belajar mengamankan user mode dan privileged mode,
baik menggunakan shared password, username dan password, bahkan
menggunakan server autentikasi eksternal dengan tacacs.
Ada tanggapan atau yang ingin ditanyakan? Silakan beri komentar kamu
dibawah.