Assalamu'alaikum Wr. Wb.
A. Pendahuluan
Nah kali ini aku akan share pengalamanku. Pada hari ini masih training Cicso dari BestPath Network, orang dari BestPath Network adalah Mas Fatchurohman dan Mas Rizka Budiman. Hari ini adalah pembahasan mengenai Port Security di Cisco.
B. Latar Belakang
Diadalaknnya training ini agar dapat mendapatkan ilmu tentang Cisco dan juga dapat kesempatan untuk ikut sertifikasinya.
C. Maksud & Tujuan
Agar dapat memiliki pengalaman dan basic mengenai Cisco dan perangkatnya. Lalu dapat mengimplementasikannya didunia kerja.
D. Waktu Pelaksanaan
- 08.00 - 12.00 < Training
- 13.00 - 15.30 < Training
- 16.00 - 17.30 < Training
- 19.30 - 22.00 < Training
Port Security dengan Alamat MAC yang Dinamis dan Static
kalian dapat menggunakan keamanan port dengan alamat MAC yang dipelajari secara dinamis dan statis untuk membatasi lalu lintas ingress port dengan membatasi alamat MAC yang diizinkan untuk mengirim lalu lintas ke port.
Ketika ketika menetapkan alamat MAC aman ke port aman, port tidak meneruskan lalu lintas masuk yang memiliki alamat sumber di luar grup alamat yang ditetapkan. Jika kalian membatasi jumlah alamat MAC yang aman ke satu dan menetapkan satu alamat MAC yang aman, perangkat yang terhubung ke port tersebut memiliki bandwidth penuh dari port.
Pelanggaran keamanan terjadi di salah satu situasi berikut:
- Ketika jumlah maksimum alamat MAC aman tercapai pada port aman dan alamat MAC sumber dari lalu lintas ingress berbeda dari alamat MAC aman yang teridentifikasi, keamanan port menerapkan mode pelanggaran yang dikonfigurasi.
- Jika lalu lintas dengan alamat MAC aman yang dikonfigurasi atau dipelajari pada satu port aman berusaha mengakses port aman lain dalam VLAN yang sama, menerapkan mode pelanggaran yang dikonfigurasi.
Catatan : Setelah alamat MAC aman dikonfigurasi atau dipelajari pada satu port aman, urutan kejadian yang terjadi ketika keamanan port mendeteksi bahwa alamat MAC aman pada port yang berbeda di VLAN yang sama dikenal sebagai pelanggaran bergerak MAC.
setelah kalian menetapkan jumlah maksimum alamat MAC aman pada port, keamanan port meliputi alamat aman di tabel alamat dengan salah satu cara berikut:
- konfigurasi semua alamat MAC yang aman dengan menggunakan switchport port-security mac-address mac_address antarmuka konfigurasi perintah.
- mengizinkan port untuk secara dinamis mengkonfigurasi alamat MAC yang aman dengan alamat MAC perangkat yang terhubung.
- dapat secara statis mengkonfigurasi sejumlah alamat dan memungkinkan sisanya untuk dikonfigurasi secara dinamis.
Jika port memiliki kondisi tautan bawah, semua alamat yang dipelajari secara dinamis dihapus.
- Setelah bootup, reload, atau kondisi link-down, keamanan port tidak mengisi tabel alamat dengan alamat MAC yang dipelajari secara dinamis sampai port menerima lalu lintas masuk.
- Pelanggaran keamanan terjadi jika jumlah maksimum alamat MAC aman telah ditambahkan ke tabel alamat dan port menerima lalu lintas dari alamat MAC yang tidak ada dalam tabel alamat.
- konfigurasi port untuk salah satu dari tiga mode pelanggaran: melindungi, membatasi, atau mematikan.
- Untuk memastikan bahwa perangkat yang terpasang memiliki lebar pita penuh dari port, atur jumlah maksimum alamat ke satu dan konfigurasikan alamat MAC perangkat yang dilampirkan.
Port Security with Sticky MAC Addresses
Port keamanan dengan alamat MAC yang lengket memberikan banyak manfaat yang sama seperti keamanan port dengan alamat MAC statis, tetapi alamat MAC yang lengket dapat dipelajari secara dinamis. Port keamanan dengan alamat MAC yang lengket mempertahankan alamat MAC yang dipelajari secara dinamis selama kondisi link-down.Default Port Security Configuration
- Port security > Disabled.
- Maximum number of secure MAC addresses > 1.
- Violation mode > Matikan. Port akan mati ketika jumlah maksimum alamat MAC aman terlampaui, dan pemberitahuan perangkap SNMP dikirim.
Pada Switch Cisco Catalyst terdapat fitur keamanan yaitu Port Security, yang dapat mengamankan setiap Port Interface Switch agar tidak dapat dimasuki oleh PC penyerang. Cara kerja Port Security adalah dengan menentukan MAC Address PC yang boleh memasuki atau mengakses suatu Port Interface Switch, terdapat beberapa metode untuk menentukannya yaitu :
- Static : Kita menentukan secara manual MAC Address PC yang diperbolehkan mengakses suatu port Interface. Jika menggunakan Static, MAC Address PC akan disimpan dalam Running-config dan jika Switch dimatikan tidak akan hilang, dan MAC Address PC juga dimasukan dalam MAC Address table.
- Dynamic : Switch secara otomatis mendeteksi MAC Address PC yang terhubung dengan suatu port Interface saat pertama kali. Kelemahan metode ini MAC Address PC akan hilang ketika Switch dimatikan.
- Sticky : Ini pergabungan antara Static dan Dynamic, Switch akan secara otomatis mendeteksi MAC Address PC, dan memasukan MAC Address tersebut dalam MAC Address table dan Running-config, sehingga ketika Switch dimatikan MAC Address PC tidak akan hilang.
Jika ada sebuah frame masuk pada suatu Interface Switch dan MAC Address pengirim valid (yang boleh mengakses) maka Switch akan meneruskan Frame tersebut pada tujuannya, jika tidak maka Frame tersebut akan didrop dan Switch akan melakukan hukuman atau violation yaitu :
- Protect : Switch akan men-drop frame tersebut, tanpa notifikasi.
- Restrict : Switch akan mend-drop frame dan akan muncul notifikasi.
- Shutdown : Swicth akan mend-drop frame dan mematikan port Interface tersebut.
sekarang kita cari tahu cara konfigurasi-nya pada Switch Cisco. Pertama masuk konfigurasi Interface Switch yang ingin diamankan. Kemudian kita aktifkan port Dan masukan MAC Address PC yang diperbolehkan mengakses Interface ini.security pada Interface ini. Jika ingin menggunakan Stiky. Lalu tentukan violation yang akan dilakukan pada Switch jika ada penyusup.
Switch(config)#interface [slot/number]
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address [H.H.H]
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation [protect/restrict/shutdown]
Kita konfigurasi Switch dengan port-security pada masing-masing port :
SW1(config)#int e0/0Kemudian kita konfigurasi IP Address pada masing-masing PC. PC yang saya gunakan sekarang merupakan VPCS.
SW1(config-if)#sw mo acc
SW1(config-if)#sw port-securi
SW1(config-if)#sw port-securi mac-addr stick
SW1(config-if)#sw port-securi vio protect
SW1(config)#int e0/1
SW1(config-if)#sw mo acc
SW1(config-if)#sw port-securi
SW1(config-if)#sw port-securi mac-addr 0050.7966.6801
SW1(config-if)#sw port-securi vio restrict
SW1(config-if)#ex
SW1(config)#int e0/2
SW1(config-if)#sw mo acc
SW1(config-if)#sw port-securi
SW1(config-if)#sw port-securi mac-addr stick
SW1(config-if)#sw port-securi vio shut
SW1(config-if)#exit
PC1> ip 10.10.10.1/24
Checking for duplicate address...
PC1 : 10.10.10.1 255.255.255.0
PC2> ip 10.10.10.2/24
Checking for duplicate address...
PC1 : 10.10.10.2 255.255.255.0
PC3> ip 10.10.10.3/24
Checking for duplicate address...
PC1 : 10.10.10.3 255.255.255.0
Setelah itu kita lakukan PING dari salah satu PC ke PC lainnya.
PC1> ping 10.10.10.2
84 bytes from 10.10.10.2 icmp_seq=1 ttl=64 time=0.274 ms
84 bytes from 10.10.10.2 icmp_seq=2 ttl=64 time=0.849 ms
84 bytes from 10.10.10.2 icmp_seq=3 ttl=64 time=0.914 ms
84 bytes from 10.10.10.2 icmp_seq=4 ttl=64 time=0.739 ms
84 bytes from 10.10.10.2 icmp_seq=5 ttl=64 time=0.814 ms
PC1> ping 10.10.10.3Dan kita coba lihat status port-security pada Switch.
84 bytes from 10.10.10.3 icmp_seq=1 ttl=64 time=0.241 ms
84 bytes from 10.10.10.3 icmp_seq=2 ttl=64 time=0.520 ms
84 bytes from 10.10.10.3 icmp_seq=3 ttl=64 time=0.573 ms
84 bytes from 10.10.10.3 icmp_seq=4 ttl=64 time=0.716 ms
84 bytes from 10.10.10.3 icmp_seq=5 ttl=64 time=1.011 ms
SW1#sh port-securitySetelah selesai konfigurasi, untuk melihat apa yang terjadi jika MAC Address tidak valid, maka coba tukar posisi PC pada tempat lain yang berlawanan, dan lakukan PING lagi.
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Et0/0 1 1 0 Protect
Et0/1 1 1 0 Restrict
Et0/2 1 1 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 4096
PC1> ping 10.10.10.2Dan inilah yang terjadi pada Switch, akan muncul notifikasi pada port security restrict dan shutdown.
host (10.10.10.2) not reachable
PC1> ping 10.10.10.3
host (10.10.10.3) not reachable
SW1#
*Mar 29 01:18:10.019: %PM-4-ERR_DISABLE: psecure-violation error detected on Et0/2, putting Et0/2 in err-disable state
SW1#
*Mar 29 01:18:10.020: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6800 on port Ethernet0/2.
*Mar 29 01:18:11.025: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/2, changed state to down
SW1#
*Mar 29 01:18:12.021: %LINK-3-UPDOWN: Interface Ethernet0/2, changed state to down
SW1#
*Mar 29 01:18:59.408: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6802 on port Ethernet0/1.
F. Penutup
Nah itu saja sih yang telah aku lakukan selama seharian ini mungkin beberapa materi yang disampaikan oleh Mas Fatchurohman dan Rizka Budiman. Sekian dari saya terima kasih.
Wassamu'alaikum Wr. Wb.
No comments:
Post a Comment