Layer 2 Security

Considerations
 Anggota Kelompok

• J0304211078 Tiara Safitrah

• J0304211055 Dea Ummul Khabibah
• J0304211097 Angga Eben Ezer
• J0304211145 Herlambang Nurasyid
• J0304211087 M. Karim Bachtiar
• J0304211197 Muchammad Alifandino Satrio
• J0304211157 M. Hafizh Maulidan
 Layer 2 adalah layer paling lemah pada
sistem jaringan. Ada macam-macam tipe
serang pada layer 2 yaitu:

Ancaman 1.
2.
3.
Serangan tabel MAC
Serangan VLAN
Serangan DHCP

Serangan pada 4.
5.
Serangan ARP
Serangan pemalsuan alamat

Data Link Layer

Agar perangkat lebih aman terhadap
serangan, maka berikut langkah-langkah
yang dapat dilakukan:
1. Selalu menggunakan protokol yang aman
(SSH, SCP, dan SSL)
2. Menggunakan out-of-band (OOB)
management
3. Menggunakan VLAN spesifik untuk
mengelola perangkat
4. Mengimplementasikan ACL untuk
memfilter akses
Serangan Tabel Contoh serangan pada table alamat MAC
adalah alamat MAC Table Flooding.

MAC Penyerang melakukan penyerangan

dengan mengirim alamat MAC palsu
sehingga tabel alamat MAC pada switch
penuh.

Untuk mencegah terjadinya serangan tabel

alamat MAC, admin jaringan dapat
mengimplementasikan port security. Port
security pada switch dapat membatasi
sumber alamat MAC yang dipelajari pada
port.
 Contoh serangan VLAN pada switch adalah
VLAN Hopping dan VLAN double tagging.
VLAN hopping adalah serangan pemalsuan
perangkat switch baru yang tersambung
dan membuat sambungan trunk.
Penyerang dapat mengakses semua VLAN
setelah mendapatkan sambungan trunk
pada switch.
VLAN double tagging adalah serangan yang

Serangan VLAN dilakukan dengan cara memodifikasi tag

pada frame ethernet untuk mengirim paket
pada VLAN.
Untuk mencegah serangan, admin dapat
melakukan hal-hal berikut:
1. Menonaktifkan DTP
2. Mematikan port yang tidak digunakan
dan memasukan port tersebut ke
VLAN yang tidak aktif.
3. Menyambungkan trunk secara
manual
4. Memindahkan native VLAN dari VLAN
1 ke VLAN lain.
Private VLAN juga dapat digunakan untuk
membatasi hubungan antara perangkat
akhir dalam satu vlan.
 Ada dua tipe serangan DHCP yaitu:
1. DHCP Starvation Attack
Membuat DoS yang membuat
perangkat lain tidak dapat terhubung.
2. DHCP Spoofing Attack
Server DHCP palsu yang
terhubung ke jaringan lalu memberikan
Alamat IP yang salah ke perangkat yang
terhubung.

Serangan DHCP
 Cara untuk mencegah serangan DHCP
adalah dengan menggunakan DHCP
snooping. Berikut Langkah yang harus
dilakukan untuk mengaktifkan DHCP
snooping :
1. Aktifkan DHCP snooping dengan perintah
ip dhcp snooping
2. Pada port yang dipercaya aman,
jalankan perintah ip dhcp snooping trust
3. Batasi jumlah pesan penemuan DHCP

DHCP Snooping yang dapat diterima perdetik pada port

yang tidak dipercaya dengan
menggunakan perintah ip dhcp snooping
rate limit
4. Aktifkan DHCP snooping pada VLAN
dengan perintah ip dhcp snooping vlan
 ARP spoofing atau ARP poisoning adalah
serangan Man in the Middle yang
memungkinkan penyerang mencegat
komunikasi antar perangkat jaringan.
Serangan ini dapat dicegah dengan
menggunakan Dynamic ARP Inspection
(DAI). Dynamic ARP Inspection dapat
diaktifkan pada konfigurasi DHCP
snooping.

Serangan ARP
 Serangan pemalsuan alamat atau address
spoofing attack dilakukan dengan cara
menyamakan alamat MAC perangkat yang

Serangan terhubung ke jaringan dengan alamat MAC

perangkat yang dimiliki oleh penyerang.
Serangan ini dapat dicegah dengan

pemalsuan memfilter alamat IP dan alamat MAC.

alamat
 Spanning Tree Protocol (STP) adalah
protokol yang digunakan untuk mencegah
looping pada jaringan. Tanpa STP yang
diaktifkan, loop Layer 2 dapat terbentuk,
menyebabkan broadcast, multicast, dan
frame unicast untuk mengulang tanpa

Spanning Tree henti. Hal ini dapat menurunkan jaringan

dalam waktu yang sangat singkat. Port-
port STP memiliki perannya sendiri yaitu :

Protocol 1. Alternate
2. Root
3. Designated