Sunday 4 May 2014

Hands-on Lab: Basic Security Configuration

Pada lab ini, kamu akan belajar cara mengkonfigurasi keamanan jaringan dasar menggunakan jaringan pada gambar topologi dibawah ini. Kamu akan belajar bagaimana cara mengkonfigurasi kemanan ruter dalam 3 cara yang berbeda: menggunakan CLI, menggunakan fitur auto-secure, dan menggunakan Cisco SDM. Kamu juga belajar bagaimana mengelola software Cisco IOS.


Secure router dari akses yang tidak terotorisasi
R1(config)# enable secret ciscoccna
R1(config)# username ccna password ciscoccna
R1(config)# aaa new-model
R1(config)# aaa authentication login LOCAL_AUTH local
R1(config)# line con 0
R1(config-lin)# login authentication LOCAL_AUTH
R1(config-lin)# line vty 0 4
R1(config-lin)# login authentication LOCAL_AUTH
R1(config)# service password-encryption

Apa enaknya menggunakan aaa new-model? Dengan menggunakan aaa new-model kita bisa membuat banyak pasangan username dan password yang banyak dan privilege ketimbang tanpa menggunakan aaa new-model. Sehingga banyak orang bisa login ke router dengan menggunakan username dan password masing-masing.



Secure the console and VTY lines (more)
R1(config)# line console 0
R1(config-lin)# exec-timeout 5 0
R1(config-lin)# line vty 0 4
R1(config-lin)# exec-timeout 5 0

Menghalangi serangan brute force pada ruter kita
R1(config)# login block-for 300 attempt 2 within 120
R1(config)# security authentication failure rate 5 log

Untuk mengetes command diatas coba telnet ke R1 dari R2 dengan menggunakan username dan password yang salah sebanyak 2 kali percobaan. Setelah salah memasukkan username dan password 2 kali, di R1 akan muncul log.

Mencegah agar routing update dari RIP tidak dikirim ke interface yang tidak membutuhkan
Contoh:
PC1 atau S1 tidak membutuhkan penerimaan paket RIP update bukan? Kan mereka tidak menjalankan RIP. Jadi, interface R1 yang mengarah ke PC1 dan S1 yaitu interface fa0/1 baiknya di "passive" kan. Begitu juga dengan R3, PC3 dan S3 tidak memerlukan penerimaan paket RIP update, jadi interface fa0/1 R3 juga baiknya di "passive" kan.

R1(config)# router rip
R1(config-router)# passive-interface default
R1(config-router)# no passive-interface s0/0/0

R2(config)# router rip
R2(config-router)# passive-interface default
R2(config-router)# no passive-interface s0/0/0
R2(config-router)# no passive-interface s0/0/1

R3(config)# router rip
R3(config-router)# passive-interface default
R3(config-router)# no passive-interface s0/0/1

Mencegah ruter-ruter yang menjalankan RIP menerima RIP update yang sembarangan
R1(config)# key chain RIP_KEY
R1(config-keychain)# key 1
R1(config-keychain-key)# key-string cisco

R2(config)# key chain RIP_KEY
R2(config-keychain)# key 1
R2(config-keychain-key)# key-string cisco

R3(config)# key chain RIP_KEY
R3(config-keychain)# key 1
R3(config-keychain-key)# key-string cisco

Setiap interface router yang berpartisipasi dalam pengiriman RIP update harus dikonfigurasi supaya menggunakan key yang baru dibuat diatas, caranya:
R1(config)# int s0/0/0
R1(config-if)# ip rip authentication mode md5
R1(config-if)# ip rip authentication key-chain RIP_KEY

Sampai disini, R1 akan menolak setiap RIP update dari R2, kenapa? Karena RIP update yang diterima dari R2 dianggap oleh R1 tidak absah, karena tidak berpassword (R1 hanya menerima update yang berpassword saja setelah dikonfigurasi seperti diatas). Oleh karena itu di R2 juga harus dikonfigurasi untuk menggunakan key untuk routing update yang dikirimkannya. Selanjutnya ialah konfigurasi R2 dan R3.

R2(config)# int s0/0/0
R2(config-if)# ip rip authentication mode md5
R2(config-if)# ip rip authentication key-chain RIP_KEY
R2(config-if)# int s0/0/1
R2(config-if)# ip rip authentication md5
R2(config-if)# ip rip authentication key-chain RIP_KEY

R3(config)# int s0/0/1
R3(config-if)# ip rip authentication mode md5
R3(config-if)#  ip rip authentication key-chain RIP_KEY

Sekarang R1 seharusnya sudah mempunyai semua routes melalui RIP.

Mencatat (logging) aktivitas (kegiatan-kegiatan atau kejadian) router dengan protokol SNMP
R1# configure terminal
R1# logging 192.168.20.254
R1# logging trap warnings

Mematikan semua interface yang tidak digunakan dalam suatu router

R1# configure terminal
R1(config)# interface f0/0
R1(config-if)# shutdown
R1(config)# interface s0/0/1
R1(config-if)# shutdown

R2# configure terminal
R2(config)# interface fa0/0
R2(config-if)# shutdown

R3# configure terminal
R3(config)# interface fa0/0
R3(config-if)# shutdown
R3(config-if)# interface s0/0/0
R3(config-if)# shutdown

Menonaktifkan service / layanan global yang tidak digunakan
R1(config)# no service pad
R1(config)# no service finger
R1(config)# no service udp-small-server
R1(config)# no service tcp-small-server
R1(config)# no ip bootp server
R1(config)# no ip http server
R1(config)# no ip finger
R1(config)# no ip source-route
R1(config)# no ip gratuitous-arps
R1(config)# no cdp run

Melumpuhkan layanan interface yang tidak digunakan dari suatu interface
Note: Interface R1 yang aktif hanya tinggal fa0/0 dan s0/0/0 setelah yang lain dinonaktifkan. Jadi hanya layanan pada interface ini saja yang dinonaktifkan. Berikut konfigurasinya:

R1(config)# interface fa0/0
R1(config-if)# no ip-redirects
R1(config-if)# no ip proxy-arp
R1(config-if)# no ip unreachables
R1(config-if)# no ip directed-broadcast
R1(config-if)# no ip mask-reply
R1(config-if)# no mop enabled

Cara lain mengamankan Router selain menggunakan mengetikkan command-command CLI satu persatu seperti diatas yaitu dengan fitur autosecure

Pada contoh konfigurasi dibawah ini, router R3 akan kita jalankan fitur autosecure-nya karena R1 telah selesai kita konfigurasi sekuritinya.

R3# auto secure

Kemudian Isilah pertanyaan-pertanyaan berikut:
Is this router connected to internet? [no]: yes
Enter the number of interfaces facing the internet [1]: 1
Enter the interface name that is facing the internet: serial 0/0/1
Enter the new enable password: ciscoccna
Confirm the enable password: ciscoccna
Enter the new enable password: ccnacisco
Confirm the enable password: ccnacisco
Enter the username: ccna
Enter the password: ciscoccna
Confirm the password ciscoccna
Blocking period when Login Attack detected: 300
Maximum Login failures with the device: 5
Maximum time period for crossing the failed login attempts: 120
Configure SSH server? Yes
Enter domain-name: cisco.com
Configure CBAC firewall feature: no
Enable TCP intercept feature: yes
Apply this configuration to running-config? [yes]: yes

Mengelola file IOS dan file konfigurasi
Quiz:
1. Di direktori mana pada router file IOS disimpan?
a). NVRAM b). Flash c). archive d). system
2. Di direktori mana pada router file konfigurasi start-up config disimpan?
a). NVRAM b). Flash c). archive d). system
3. Di direktori mana pada router file konfigurasi running-config disimpan?
a). NVRAM b). Flash c). archive d). system

Jawab: 1). b, 2). a, 3). d

Apa itu IOS (Internetworking operating system)? IOS adalah sama seperti Windows; sama-sama perangkat lunak (software) yang diciptakan sebagai operating system. Bila operating system Windows disimpan di Drive C, IOS disimpan di direktori Flash.

Oke, langsung saja

Cek direktori flash
R1#show flash

System flash directory:
File  Length   Name/status
  3   50938004 c2800nm-advipservicesk9-mz.124-15.T1.bin
  2   28282    sigdef-category.xml
  1   227537   sigdef-default.xml
[51193823 bytes used, 12822561 available, 64016384 total]
63488K bytes of processor board System flash (Read/Write)


Kamu bisa lihat ada file IOS di dalam direktori flash itu? Yup, c2800nm-advipservicesk9-mz.124-15.T1.bin adalah file IOS.

Cek direktori NVRAM (dan juga sekaligus direktori-direktori lainnya: flash:/, archive:/, system:/, nvram:/ (tidak ada command khusus untuk show NVRAM))
R2#dir all
Directory of archive:/
No files in directory
No space information available
Directory of system:/
3 dr-x 0 <no date> memory
1 -rw- 979 <no date> running-config
2 dr-x 0 <no date> vfiles
No space information available
Directory of nvram:/
189 -rw- 979 <no date> startup-config
190 ---- 5 <no date> private-config
191 -rw- 979 <no date> underlying-config
1 -rw- 0 <no date> ifIndex-table
196600 bytes total (194540 bytes free)
Directory of flash:/
1 -rw- 13937472 May 05 2007 20:08:50 +00:00 c1841-ipbase-mz.124-1c.bin
2 -rw- 1821 May 05 2007 20:25:00 +00:00 sdmconfig-18xx.cfg
3 -rw- 4734464 May 05 2007 20:25:38 +00:00 sdm.tar
4 -rw- 833024 May 05 2007 20:26:02 +00:00 es.tar
5 -rw- 1052160 May 05 2007 20:26:30 +00:00 common.tar
6 -rw- 1038 May 05 2007 20:26:56 +00:00 home.shtml
7 -rw- 102400 May 05 2007 20:27:20 +00:00 home.tar
8 -rw- 491213 May 05 2007 20:27:50 +00:00 128MB.sdf
9 –rw- 398305 May 05 2007 20:29:08 +00:00 sslclient-win-1.1.0.154.pkg
10 -rw- 1684577 May 05 2007 20:28:32 +00:00 securedesktop-ios-3.1.1.27-k9.pkg
31932416 bytes total (8679424 bytes free)

Apa yang kamu lihat?

Di direktori archive:/ tidak ada file apapun karena penulis memang belum pernah melakukan pengarsipan file (file archiving).
Di direktori system:/ ada file running-config yang sifatnya bisa dibaca dan ditulis (rw: read and write),
Di direktori nvram:/ ada file startup-config yang sifatnya juga bisa dibaca dan ditulis,
Di direktori flash:/ ada 3 file yang menarik yaitu:
Pertama, file IOS router: c1841-ipbase-mz.124-1c.bin
Kedua, file konfigurasi SDM: sdmconfig-18xx.cfg
Ketiga, file software SDM:  sdm.tar

Saya juga kaget ternyata di ruter GNS3 yang penulis punya sudah ada file SDM nya. Apa itu SDM sebentar lagi akan kita jelaskan.

Cukup mengenai observasi direktori router dan melihat apa saja file yang terkandung didalamnya. Berikutnya kita coba bagaimana cara mentransfer file-file tersebut dari satu ruter ke ruter yang lain atau dari satu server ke suatu ruter atau dari suatu ruter ke suatu server dengan menggunakan protokol TFTP.

Mengupload dan mendownload file (transfer file) dengan protokol TFTP
File apapun yang akan ditransfer (mau kamu download atau mau kamu upload), syntax command-nya sama di semua ruter:  
 R1# copy dari ke
Topologi 1:


 Topologi 2:

Topologi 3 (Equivalent dengan topologi 2):


Download file konfigurasi dari server ke R1
R1# copy tftp flash(tekan enter)


Contoh penggunaan command copy dari direktori flash ruter ke tftpserver (uploading)
R1# copy flash tftp (tekan enter)
Selanjutnya isi data berikut:
Source filename[]?
Address or name of remote host []?
Destination filename[]?

Contoh penggunaan copy dari tftpserver ke direktori flash ruter (downloading)
R1# copy tftp flash
Selanjutnya isi data berikut:
Address or name of remote host[]?
Source filename[]?
Destination filename[]?

Membuat ruter sebagai tftp server

R1# configure terminal
R1(config)# tftp-server flash:

Udah asal dari ruter R1, R2, R3 dapat ping ke alamat ip server server dan firewall di server di turn-off atau port 69 (port tftp) di buka dan nama file yang akan dicopy percis, transfer file pasti berhasil.



No comments:

Post a Comment