Konfigurasi Port Security pada Switch Cisco

Pada Switch Cisco Catalyst terdapat fitur keamanan yaitu Port Security, yang dapat mengamankan setiap Port Interface Switch agar tidak dapat dimasuki oleh PC penyerang. Cara kerja Port Security adalah dengan menentukan MAC Address PC yang boleh memasuki atau mengakses suatu Port Interface Switch, terdapat beberapa metode untuk menentukannya yaitu :
  • Static : Kita menentukan secara manual MAC Address PC yang diperbolehkan mengakses suatu port Interface. Jika menggunakan Static, MAC Address PC akan disimpan dalam Running-config dan jika Switch dimatikan tidak akan hilang, dan MAC Address PC juga dimasukan dalam MAC Address table.
  • Dynamic : Switch secara otomatis mendeteksi MAC Address PC yang terhubung dengan suatu port Interface saat pertama kali. Kelemahan metode ini MAC Address PC akan hilang ketika Switch dimatikan.
  • Sticky : Ini pergabungan antara Static dan Dynamic, Switch akan secara otomatis mendeteksi MAC Address PC, dan memasukan MAC Address tersebut dalam MAC Address table dan Running-config, sehingga ketika Switch dimatikan MAC Address PC tidak akan hilang.
Jika ada sebuah frame masuk pada suatu Interface Switch dan MAC Address pengirim valid (yang boleh mengakses) maka Switch akan meneruskan Frame tersebut pada tujuannya, jika tidak maka Frame tersebut akan didrop dan Switch akan melakukan hukuman atau violation yaitu :
  • Protect : Switch akan men-drop frame tersebut, tanpa notifikasi.
  • Restrict : Switch akan mend-drop frame dan akan muncul notifikasi.
  • Shutdown : Swicth akan mend-drop frame dan mematikan port Interface tersebut.
Setelah saya bahas sedikit teori tentang Port Security, sekarang kita cari tahu cara konfigurasi-nya pada Switch Cisco Catalyst :
  • Pertama masuk konfigurasi Interface Switch yang ingin diamankan.
  • Switch(config)#interface [slot/number]
    
  • Kemudian kita aktifkan port security pada Interface ini
  • Switch(config-if)#switchport port-security
    
  • Dan masukan MAC Address PC yang diperbolehkan mengakses Interface ini.
  • Switch(config-if)#switchport port-security mac-address [H.H.H]
    
    Jika ingin menggunakan Stiky
    Switch(config-if)#switchport port-security mac-address sticky
    
  • Lalu tentukan violation yang akan dilakukan pada Switch jika ada penyusup.
  • Switch(config-if)#switchport port-security violation [protect/restrict/shutdown]
    
Dan Sekarang kita akan coba mempraktekan pada topologi dibawah ini :
Kita konfigurasi Switch dengan port-security pada masing-masing port :
    SW1(config)#int e0/0
    SW1(config-if)#sw mo acc    
    SW1(config-if)#sw port-securi
    SW1(config-if)#sw port-securi mac-addr stick
    SW1(config-if)#sw port-securi vio protect
    
    SW1(config)#int e0/1
    SW1(config-if)#sw mo acc
    SW1(config-if)#sw port-securi
    SW1(config-if)#sw port-securi mac-addr 0050.7966.6801
    SW1(config-if)#sw port-securi vio restrict
    SW1(config-if)#ex
    
    SW1(config)#int e0/2
    SW1(config-if)#sw mo acc
    SW1(config-if)#sw port-securi
    SW1(config-if)#sw port-securi mac-addr stick
    SW1(config-if)#sw port-securi vio shut
    SW1(config-if)#exi
    
Kemudian kita konfigurasi IP Address pada masing-masing PC. PC yang saya gunakan sekarang merupakan VPCS.
    PC1> ip 10.10.10.1/24
    Checking for duplicate address...
    PC1 : 10.10.10.1 255.255.255.0
    
    PC2> ip 10.10.10.2/24
    Checking for duplicate address...
    PC1 : 10.10.10.2 255.255.255.0
    
    PC3> ip 10.10.10.3/24
    Checking for duplicate address...
    PC1 : 10.10.10.3 255.255.255.0
    
    
Setelah itu kita lakukan PING dari salah satu PC ke PC lainnya.
    PC1> ping 10.10.10.2
    
    84 bytes from 10.10.10.2 icmp_seq=1 ttl=64 time=0.274 ms
    84 bytes from 10.10.10.2 icmp_seq=2 ttl=64 time=0.849 ms
    84 bytes from 10.10.10.2 icmp_seq=3 ttl=64 time=0.914 ms
    84 bytes from 10.10.10.2 icmp_seq=4 ttl=64 time=0.739 ms
    84 bytes from 10.10.10.2 icmp_seq=5 ttl=64 time=0.814 ms
    
    PC1> ping 10.10.10.3
    
    84 bytes from 10.10.10.3 icmp_seq=1 ttl=64 time=0.241 ms
    84 bytes from 10.10.10.3 icmp_seq=2 ttl=64 time=0.520 ms
    84 bytes from 10.10.10.3 icmp_seq=3 ttl=64 time=0.573 ms
    84 bytes from 10.10.10.3 icmp_seq=4 ttl=64 time=0.716 ms
    84 bytes from 10.10.10.3 icmp_seq=5 ttl=64 time=1.011 ms
    
    
    Dan kita coba lihat status port-security pada Switch.
    SW1#sh port-security               
    Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
                    (Count)       (Count)          (Count)
    ---------------------------------------------------------------------------
          Et0/0              1            1                  0          Protect
          Et0/1              1            1                  0         Restrict
          Et0/2              1            1                  0         Shutdown
    ---------------------------------------------------------------------------
    Total Addresses in System (excluding one mac per port)     : 0
    Max Addresses limit in System (excluding one mac per port) : 4096
    
Setelah selesai konfigurasi, untuk melihat apa yang terjadi jika MAC Address tidak valid, maka coba tukar posisi PC pada tempat lain yang berlawanan, dan lakukan PING lagi.
    PC1> ping 10.10.10.2
    
    host (10.10.10.2) not reachable
    
    PC1> ping 10.10.10.3
    
    host (10.10.10.3) not reachable
    
    
    Dan inilah yang terjadi pada Switch, akan muncul notifikasi pada port security restrict dan shutdown.
    SW1#
    *Mar 29 01:18:10.019: %PM-4-ERR_DISABLE: psecure-violation error detected on Et0/2, putting Et0/2 in err-disable state
    SW1#
    *Mar 29 01:18:10.020: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6800 on port Ethernet0/2.
    *Mar 29 01:18:11.025: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/2, changed state to down
    SW1#
    *Mar 29 01:18:12.021: %LINK-3-UPDOWN: Interface Ethernet0/2, changed state to down
    SW1#
    *Mar 29 01:18:59.408: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6802 on port Ethernet0/1.
    

Komentar