Tugas ini ditujukan sebagai pemenuhan tugas mata pelajaran SKDTKB pada semester genap. Tahun
pelajaran 2020-2021
HASIL TERJEMAHAN
11.0.1
MENGAPA SAYA HARUS MENGAMBIL MODUL INI?
Bagian penting dari tanggung jawab Anda sebagai profesional jaringan adalah
menjaga keamanan jaringan. Seringkali kita hanya memikirkan serangan
keamanan yang datang dari luar jaringan, tetapi ancaman juga dapat datang dari
dalam jaringan. Ancaman ini dapat berkisar dari karyawan yang secara tidak
sengaja menambahkan sakelar Ethernet ke jaringan perusahaan sehingga mereka
dapat memiliki lebih banyak port, hingga serangan jahat yang disebabkan oleh
karyawan yang tidak puas. Adalah tugas Anda untuk menjaga jaringan tetap aman
dan memastikan bahwa operasi bisnis terus berlanjut tanpa gangguan.
Bagaimana kami menjaga jaringan tetap aman dan stabil? Bagaimana cara kami
melindunginya dari serangan jahat dari dalam jaringan? Bagaimana cara kami
memastikan karyawan tidak menambahkan sakelar, server, dan perangkat lain ke
jaringan yang dapat membahayakan operasi jaringan?
Modul ini adalah pengantar Anda untuk menjaga keamanan jaringan Anda dari dalam!
11.0.2
APA YANG AKAN SAYA PELAJARI DALAM MODUL INI?
11.1.1
MENGAMANKAN PORT YANG TIDAK DIGUNAKAN PERANGKAT
Semua port sakelar (antarmuka) harus diamankan sebelum sakelar digunakan untuk
penggunaan produksi. Bagaimana sebuah port diamankan bergantung pada
fungsinya.
2
S1 (config) # range interface fa0 / 8 - 24
S1 (config-if-range) # shutdown
% LINK-5-CHANGED: Interface FastEthernet0 / 8, status berubah menjadi
secara administratif turun
(keluaran dihilangkan)
% LINK-5-CHANGED: Antarmuka FastEthernet0 / 24, mengubah status ke bawah
secara administratif
S1 (config-if-range) #
11.1.2
MENGURANGI SERANGAN TABEL ALAMAT MAC
Metode paling sederhana dan efektif untuk mencegah serangan overflow tabel
alamat MAC adalah dengan mengaktifkan keamanan port.
Keamanan port membatasi jumlah alamat MAC valid yang diperbolehkan pada
sebuah port. Hal ini memungkinkan administrator untuk secara manual
mengkonfigurasi alamat MAC untuk sebuah port atau untuk mengizinkan switch
untuk secara dinamis mempelajari alamat MAC dalam jumlah terbatas. Saat port
yang dikonfigurasi dengan keamanan port menerima bingkai, alamat MAC
sumber bingkai dibandingkan dengan daftar alamat MAC sumber aman yang
dikonfigurasi secara manual atau dipelajari secara dinamis di port.
Dengan membatasi jumlah alamat MAC yang diizinkan pada satu port menjadi
satu, keamanan port dapat digunakan untuk mengontrol akses tidak sah ke
jaringan, seperti yang ditunjukkan pada gambar.
3
11.1.3
AKTIFKANKEAMANAN PORT
S1 (config) # interface f0 / 1
S1 (config-if) # end
S1 #
S1 #
11.1.4
keamanan port default adalah 1. Jumlah maksimum alamat MAC aman yang
dapat dikonfigurasi bergantung pada sakelar dan IOS. Dalam contoh ini,
maksimumnya adalah 8192.
S1 (config) # interface f0 / 1
Switch dapat dikonfigurasi untuk mempelajari tentang alamat MAC pada port
aman dengan salah satu dari tiga cara:
Ketika perintah switchport port-security dimasukkan, MAC sumber saat ini untuk
perangkat yang terhubung ke port diamankan secara otomatis tetapi tidak
6
ditambahkan ke konfigurasi startup. Jika sakelar di-boot ulang, port harus
mempelajari kembali alamat MAC perangkat.
Contoh berikut menunjukkan konfigurasi keamanan port lengkap untuk FastEthernet 0/1
dengan host yang terhubung ke port Fa0 / 1. Administrator menentukan maksimal 2
alamat MAC, secara manual mengkonfigurasi satu alamat MAC aman, dan kemudian
mengkonfigurasi port untuk secara dinamis mempelajari alamat MAC aman tambahan
hingga maksimal 2 alamat MAC aman. Gunakan antarmuka show port-security dan
perintah show port-security address untuk memverifikasi konfigurasi.
(menit)
Batas Alamat Maks di Sistem (tidak termasuk satu mac per port): 8192
S1 #
Output dari perintah show port-security address mencantumkan dua alamat MAC
yang dipelajari.
11.1.5
keamanan port dapat digunakan untuk mengatur waktu penuaan untuk alamat
aman statis dan dinamis pada port. Dua jenis penuaan didukung per port:
∙ Absolute - Alamat aman di port dihapus setelah waktu penuaan yang ditentukan.
∙ Ketidakaktifan - Alamat aman di port akan dihapus hanya jika tidak aktif selama
∙ waktu penuaan yang ditentukan.
∙
∙ Gunakan penuaan untuk menghapus alamat MAC aman pada port
aman tanpa menghapus alamat MAC aman yang ada secara manual. Batas
9
waktu penuaan juga dapat ditingkatkan untuk memastikan alamat MAC aman
sebelumnya tetap ada, bahkan saat alamat MAC baru ditambahkan. Penuaan
alamat aman yang dikonfigurasi secara statis dapat diaktifkan atau
dinonaktifkan pada basis per port.
∙
∙ Gunakan penuaan keamanan port switchport perintahuntuk
mengaktifkan atau menonaktifkan penuaan statis untuk port aman, atau
untuk menyetel waktu atau jenis penuaan.
∙
∙ Switch (config-if) # switchport port-security aging { statis | waktu
waktu | ketik {absolut | inaktivitas}}
∙
∙ Parameter untuk perintah dijelaskan dalam tabel.
∙
Parameter Deskripsi
S1 #
11.1.6
Jika alamat MAC perangkat yang terpasang ke port berbeda dari daftar
alamat aman, maka a pelanggaran pelabuhan terjadi. Secara default, port
memasuki status error-disabled.
11
Switch (config-if) # switchport port-security breaking { protect | batasi |
shutdown}
Mode Deskripsi
Batasi Ya Ya Ya Tidak
Shutdown Ya Ya Ya Ya
12
Contoh berikut menunjukkan administrator mengubah pelanggaran keamanan
untuk "membatasi". Output dari perintah show port-security interface
mengkonfirmasi bahwa perubahan telah dilakukan.
S1 (config) # interface f0 / 1
S1 (config-if) # end
S1 #
S1 #
11.1.7
13
PORT DALAMERROR-NONAKTIF
Apa yang terjadi jika pelanggaran keamanan port dimatikan dan terjadi
pelanggaran port? Port secara fisik dimatikan dan ditempatkan dalam status
error-nonaktif, dan tidak ada lalu lintas yang dikirim atau diterima di port tersebut.
S1 (config-if) # end
S1 #
S1 #
14
* 1 Mar 00: 24: 33.836:% LINEPROTO-5-UPDOWN: Protokol baris pada
Interface FastEthernet0 / 1, berubah status menjadi down
S1 #
Catatan: Protokol port dan status tautan diubah ke bawah dan LED port dimatikan.
(output dihilangkan)
15
Alamat Sumber Terakhir: Vlan: a41f.7273.018c: 1
S1 #
S1 (config-if) # shutdown
S1 (config-if) #
S1 (config-if) # no shutdown
S1 (config-if) #
S1 (config-if) #
11.1.8
16
Setelah mengkonfigurasi keamanan port pada sebuah sakelar, periksa setiap
antarmuka untuk memastikan bahwa keamanan port telah diatur dengan benar, dan
periksa untuk memastikan bahwa alamat MAC statis telah dikonfigurasi dengan benar.
S1 # show port-security
---------------------------- -----------------------------------------------
Fa0 / 1 2 2 0 Shutdown
---------------------------------------------- -----------------------------
Batas Alamat Maks di Sistem (tidak termasuk satu mac per port): 8192
S1 #
17
Aging Type: Inactivity
S1 #
antarmuka FastEthernet0 / 1
18
switchport port-security mac-address sticky
S1 #
--------------------------------------- --------------------------------------
(menit)
-------------------------------------------- ---------------------------------
Batas Alamat Maks Sistem (tidak termasuk satu mac per port): 8192
S1 #
19
11.1.9
S1 (config-if) #
11.1.10
Dalam aktivitas ini, Anda akan mengkonfigurasi dan memverifikasi keamanan port
pada sakelar. Keamanan port memungkinkan Anda membatasi lalu lintas masuk port
dengan membatasi alamat MAC yang diizinkan untuk mengirim lalu lintas ke port.
11.2.1
20
TINJAUAN SERANGAN VLAN
11.2.2
∙ Port FastEthernet 0/1 hingga fa0 / 16 adalah port akses aktif Port
∙ FastEthernet 0/17 hingga 0/20 saat ini tidak digunakan
∙ Port FastEthernet 0/21 hingga 0/24 adalah port trunk.
21
VLAN hopping dapat dikurangi dengan mengimplementasikan konfigurasi berikut.
S1 (config-if-range) # keluar
S1 (config) #
S1 (config-if-range) # shutdown
S1 (config-if-range) # exit
S1 (config) #
S1 (config-if-range) # end
S1 #
∙ Port FastEthernet 0/1 hingga 0/16 adalah port akses dan oleh karena itu
trunking dinonaktifkan dengan menjadikannya port akses secara eksplisit.
∙ Port FastEthernet 0/17 hingga 0/20 adalah port yang tidak digunakan
dan dinonaktifkan serta ditetapkan ke VLAN yang tidak digunakan.
∙ Port FastEthernet 0/21 hingga 0/24 adalah tautan trunk dan secara
manual diaktifkan sebagai trunk dengan DTP dinonaktifkan. VLAN asli
juga diubah dari VLAN 1 default ke VLAN 999 yang tidak digunakan.
22
11.2.3
Anda saat ini masuk ke S1. Status port dari port adalah sebagai berikut:
∙ Port FastEthernet 0/1 hingga 0/4 digunakan untuk trunking dengan sakelar lain.
∙ Port FastEthernet 0/5 hingga 0/10 tidak digunakan.
∙ Port FastEthernet 0/11 hingga 0/24 adalah port aktif yang saat ini digunakan.
Gunakan rentang fa0 / 1 - 4 untuk masuk ke mode konfigurasi antarmuka untuk trunk.
S1 (config) #
11.3.1
Tujuan dari serangan kelaparan DHCP adalah untuk membuat Denial of Service (DoS)
untuk menghubungkan klien. Serangan kelaparan DHCP membutuhkan alat serangan
seperti Gobbler. Ingatlah bahwa serangan kelaparan DHCP dapat dikurangi secara
efektif dengan menggunakan keamanan port karena Gobbler menggunakan alamat
MAC sumber unik untuk setiap permintaan DHCP yang dikirim.
11.3.2 Pengintaian
DHCP PENGINTAIAN
DHCP tidak bergantung pada alamat MAC sumber. Sebaliknya, pengintaian DHCP
menentukan apakah pesan DHCP berasal dari sumber tepercaya atau tidak
tepercaya yang dikonfigurasi secara administratif. Kemudian menyaring pesan
DHCP dan lalu lintas DHCP batas-kecepatan dari sumber yang tidak tepercaya.
Diagram menunjukkan server DHCP di sisi kanan atas topologi yang terhubung ke
sakelar distribusi di bawahnya. Sakelar distribusi terhubung ke sakelar distribusi lain
di sebelah kiri diagram dan sakelar akses di bawahnya. Sakelar distribusi lainnya
memiliki sakelar akses yang terhubung di bawahnya. Kedua sakelar akses memiliki
koneksi ke kedua sakelar distribusi, tetapi satu sama lain. Tombol akses di sebelah
kanan memiliki PC di bawahnya dan tombol akses lainnya memiliki PC dengan
karakter jahat di bawahnya. Diagram menunjukkan kotak ungu untuk port tepercaya
dan lingkaran merah untuk port tidak tepercaya. Ada kotak ungu antara server DHCP
dan sakelar distribusi, serta di antara setiap tautan di antara semua sakelar. Namun,
ada lingkaran merah antara dua PC dan sakelar akses.
Perhatikan bahwa server DHCP penipu akan berada di port yang tidak tepercaya
setelah mengaktifkan pengintaian DHCP. Semua antarmuka diperlakukan
sebagai tidak tepercaya secara default. Antarmuka tepercaya biasanya berupa
tautan trunk dan port yang langsung terhubung ke server DHCP yang sah.
Antarmuka ini harus secara eksplisit dikonfigurasi sebagai tepercaya.
24
Tabel DHCP dibuat yang menyertakan alamat MAC sumber perangkat pada port yang
tidak tepercaya dan alamat IP yang ditetapkan oleh server DHCP ke perangkat itu.
Alamat MAC dan alamat IP terikat bersama. Oleh karena itu, tabel ini disebut tabel
11.3.3Pengintaian
LANGKAH 3. Batasi jumlah pesan penemuan DHCP yang dapat diterima per
detik pada port yang tidak tepercaya dengan menggunakan tingkat batas
pengintaian ip dhcp perintah konfigurasi antarmuka.
LANGKAH 4. Aktifkan pengintaian DHCP oleh VLAN, atau dengan berbagai VLAN,
dengan menggunakan pengintaian ip dhcp vlan perintah konfigurasi global.
11.3.4Pengintaian
CONTOH KONFIGURASIDHCP
Topologi referensi untuk contoh pengintaian DHCP ini ditunjukkan pada gambar.
Perhatikan bahwa F0 / 5 adalah port yang tidak tepercaya karena terhubung ke
PC. F0 / 1 adalah port tepercaya karena terhubung ke server DHCP.
Grafik memiliki legenda dengan Port Tepercaya persegi Ungu dan lingkaran
merah Pelabuhan Tidak Tepercaya di bawah diagram topologi. Kemudian grafik
menunjukkan jaringan LAN dengan sakelar dengan port tepercaya dan tidak
tepercaya. Sakelar memiliki PC yang terhubung ke kiri dan DHCP yang terhubung
ke sana di sebelah kanan. Pada antarmuka yang menghubungkan ke PC adalah
lingkaran merah untuk antarmuka yang tidak tepercaya dan pada antarmuka yang
terhubung ke Server DHCP adalah kotak ungu untuk port tepercaya.
25
DHCP ServerTrusted PortUntrusted Port
Berikut ini adalah contoh cara mengkonfigurasi DHCP snooping pada S1. Perhatikan
bagaimana pengintaian DHCP pertama kali diaktifkan. Kemudian antarmuka hulu ke
server DHCP dipercaya secara eksplisit. Selanjutnya, kisaran port FastEthernet dari F0 /
5 hingga F0 / 24 tidak dipercaya secara default, jadi batas kecepatan disetel ke enam
paket per detik. Terakhir, pengintaian DHCP diaktifkan di VLANS 5, 10, 50, 51, dan 52.
S1 (config) # interface f0 / 1
S1 (config-if-range) # exit
S1 (config) # end
S1 #
Sakelar
26
Pengintaiandiaktifkan Pengintaian5,10,50-52
FastEthernet0 / 1 ya yaterbatas
Kustomcircuit-ids:
FastEthernet0 / 5 no no 6
Custom circuit-ids:
FastEthernet0 / 6 no no 6
Custom circuit-id:
11.3.5
Pemeriksa sintaks memiliki topologi yang memiliki sakelar distribusi yang terhubung ke
sakelar akses antarmuka G0 / 1. Antarmuka sakelar akses F0 / 1 terhubung ke PC di
sebelah kiri dan di sisi kanan antarmuka sakelar G0 / 2 terhubung ke server.
DHCP Server
Anda saat ini login ke S1. Aktifkan pengintaian DHCP secara global untuk pengalihan.
S1 (config) #
Dalam serangan ARP tipikal, pelaku ancaman dapat mengirim permintaan ARP
yang tidak diminta ke host lain di subnet dengan Alamat MAC pelaku ancaman
dan alamat IP dari gateway default. Untuk mencegah spoofing ARP dan
keracunan ARP yang dihasilkan, sakelar harus memastikan bahwa hanya
Permintaan dan Balasan ARP yang valid yang diteruskan.
28
11.4.2
Contoh topologi pada gambar mengidentifikasi port tepercaya dan tidak tepercaya.
Grafik menunjukkan legenda dengan Port Tepercaya persegi Ungu dan lingkaran merah
Untrusted Port, di atasnya adalah diagram LAN yang menunjukkan Dynamic ARP
Inspection Trust. Diagram menggambarkan jaringan LAN dengan port tepercaya dan
tidak tepercaya. Di satu antarmuka di kiri bawah adalah penyerang di satu PC dan di kiri
atas adalah PC biasa. Kedua perangkat terhubung ke sakelar dan keduanya memiliki
lingkaran merah pada port sakelar untuk port yang tidak tepercaya. Di sebelah kanan
sakelar adalah router yang juga terhubung ke sakelar. Koneksi router memiliki kotak
ungu pada sakelar yang melambangkan koneksi tepercaya untuk ARP.
PC-AS1R1F0/1F0/2
F0/24
Untrusted PortTrusted PortVLAN 10
11.4.3
Dalam topologi sebelumnya, S1 menghubungkan dua pengguna pada VLAN 10. DAI akan
dikonfigurasi untuk mitigasi terhadap ARP spoofing dan keracunan ARP serangan.
Seperti yang ditunjukkan pada contoh, pengintaian DHCP diaktifkan karena DAI
memerlukan tabel pengikatan pengintaian DHCP untuk beroperasi. Selanjutnya,
29
pengintaian DHCP dan inspeksi ARP diaktifkan untuk PC di VLAN10. Port uplink
ke router dipercaya, dan oleh karena itu, dikonfigurasi sebagai dipercaya untuk
pengintaian DHCP dan inspeksi ARP.
DAI juga dapat dikonfigurasi untuk memeriksa tujuan atau sumber MAC dan alamat IP:
ip Validasi alamat IP
30
S1 (config) # ip arp inspeksi validasi dst-mac
S1 (config) #
11.4.4
Pemeriksa sintaks memiliki topologi yang memiliki sakelar distribusi yang terhubung ke
sakelar akses antarmuka G0 / 1. Antarmuka sakelar akses F0 / 1 terhubung ke PC ke kiri
dan di sisi kanan antarmuka sakelar G0 / 2 terhubung ke server.
31
Anda saat ini masuk ke S1. Aktifkan pengintaian DHCP secara global untuk pengalihan.
S1 (config) #
11.5.1
Ingatlah bahwa penyerang jaringan dapat memanipulasi Spanning Tree Protocol (STP)
untuk melakukan serangan dengan melakukan spoofing pada root bridge dan
mengubah topologi jaringan. Untuk mengurangi serangan manipulasi Spanning Tree
Protocol (STP), gunakan PortFast dan Bridge Protocol Data Unit (BPDU) Guard:
Pada gambar, port akses untuk S1 harus dikonfigurasi dengan PortFast dan
BPDU Guard.
32
11.5.2
KONFIGURASI PORTFAST
PortFast melewati status mendengarkan dan belajar STP untuk meminimalkan waktu
saat port akses harus menunggu STP untuk berkumpul. Jika PortFast diaktifkan pada
port yang menghubungkan ke sakelar lain, ada risiko membuat loop spanning-tree.
% Peringatan: portfast sebaiknya hanya diaktifkan pada port yang terhubung ke satu
host. Menghubungkan hub, konsentrator, sakelar, jembatan, dll ... keini
S1 (config-if) # exit
33
S1 (config) # spanning-tree portfast default
S1 (config) # exit
antarmuka FastEthernet0 / 1
spanning-tree portfast
antarmuka FastEthernet0 / 2
antarmuka FastEthernet0 / 3
!
antarmuka FastEthernet0 / 4
antarmuka FastEthernet0 / 5
34
!
(keluaran dihilangkan)
S1 #
11.5.3
Jika ada BPDU yang diterima di port yang mendukung BPDU Guard, port
tersebut dimasukkan ke dalam status nonaktif kesalahan. Ini berarti port
dimatikan dan harus diaktifkan kembali secara manual atau dipulihkan secara
otomatis melalui perintah errdisable recovery cause bpduguard global.
BPDU Guard dapat diaktifkan pada port dengan menggunakan aktifkan bpduguard
spanning-tree perintah konfigurasi antarmuka. Alternatifnya, Gunakan default
bpduguard spanning-tree portfast perintah konfigurasi globaluntuk mengaktifkan
BPDU guard secara global di semua port yang mendukung PortFast.
Untuk menampilkan informasi tentang status spanning tree, gunakan perintah show
spanning-tree summary . Dalam contoh, PortFast default dan BPDU Guard keduanya
diaktifkan sebagai status default untuk port yang dikonfigurasi sebagai mode akses.
Catatan: Selalu aktifkan BPDU Guard di semua port yang mendukung PortFast.
S1 (config-if) # exit
S1 (config) # end
35
Switch dalam mode pvst
UplinkFast dinonaktifkan
BackboneFast dinonaktifkan
S1 #
11.5.4
36
Anda saat ini masuk ke S1. Selesaikan langkah-langkah berikut untuk
mengimplementasikan PortFast dan BPDU Guard di semua port akses:
S1 (config) #
37