Pada Switch Cisco Catalyst terdapat fitur keamanan yaitu Port Security, yang dapat mengamankan setiap Port Interface Switch agar tidak dapat dimasuki oleh PC penyerang. Cara kerja Port Security adalah dengan menentukan MAC Address PC yang boleh memasuki atau mengakses suatu Port Interface Switch, terdapat beberapa metode untuk menentukannya yaitu :
Kemudian kita aktifkan port security pada Interface ini
Dan masukan MAC Address PC yang diperbolehkan mengakses Interface ini.
Lalu tentukan violation yang akan dilakukan pada Switch jika ada penyusup.
Kita konfigurasi Switch dengan port-security pada masing-masing port :
- Static : Kita menentukan secara manual MAC Address PC yang diperbolehkan mengakses suatu port Interface. Jika menggunakan Static, MAC Address PC akan disimpan dalam Running-config dan jika Switch dimatikan tidak akan hilang, dan MAC Address PC juga dimasukan dalam MAC Address table.
- Dynamic : Switch secara otomatis mendeteksi MAC Address PC yang terhubung dengan suatu port Interface saat pertama kali. Kelemahan metode ini MAC Address PC akan hilang ketika Switch dimatikan.
- Sticky : Ini pergabungan antara Static dan Dynamic, Switch akan secara otomatis mendeteksi MAC Address PC, dan memasukan MAC Address tersebut dalam MAC Address table dan Running-config, sehingga ketika Switch dimatikan MAC Address PC tidak akan hilang.
- Protect : Switch akan men-drop frame tersebut, tanpa notifikasi.
- Restrict : Switch akan mend-drop frame dan akan muncul notifikasi.
- Shutdown : Swicth akan mend-drop frame dan mematikan port Interface tersebut.
- Pertama masuk konfigurasi Interface Switch yang ingin diamankan.
Switch(config)#interface [slot/number]
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address [H.H.H]Jika ingin menggunakan Stiky
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation [protect/restrict/shutdown]Dan Sekarang kita akan coba mempraktekan pada topologi dibawah ini :
Kita konfigurasi Switch dengan port-security pada masing-masing port :
SW1(config)#int e0/0 SW1(config-if)#sw mo acc SW1(config-if)#sw port-securi SW1(config-if)#sw port-securi mac-addr stick SW1(config-if)#sw port-securi vio protect
SW1(config)#int e0/1 SW1(config-if)#sw mo acc SW1(config-if)#sw port-securi SW1(config-if)#sw port-securi mac-addr 0050.7966.6801 SW1(config-if)#sw port-securi vio restrict SW1(config-if)#ex
SW1(config)#int e0/2 SW1(config-if)#sw mo acc SW1(config-if)#sw port-securi SW1(config-if)#sw port-securi mac-addr stick SW1(config-if)#sw port-securi vio shut SW1(config-if)#exiKemudian kita konfigurasi IP Address pada masing-masing PC. PC yang saya gunakan sekarang merupakan VPCS.
PC1> ip 10.10.10.1/24 Checking for duplicate address... PC1 : 10.10.10.1 255.255.255.0 PC2> ip 10.10.10.2/24 Checking for duplicate address... PC1 : 10.10.10.2 255.255.255.0 PC3> ip 10.10.10.3/24 Checking for duplicate address... PC1 : 10.10.10.3 255.255.255.0Setelah itu kita lakukan PING dari salah satu PC ke PC lainnya.
PC1> ping 10.10.10.2 84 bytes from 10.10.10.2 icmp_seq=1 ttl=64 time=0.274 ms 84 bytes from 10.10.10.2 icmp_seq=2 ttl=64 time=0.849 ms 84 bytes from 10.10.10.2 icmp_seq=3 ttl=64 time=0.914 ms 84 bytes from 10.10.10.2 icmp_seq=4 ttl=64 time=0.739 ms 84 bytes from 10.10.10.2 icmp_seq=5 ttl=64 time=0.814 ms PC1> ping 10.10.10.3 84 bytes from 10.10.10.3 icmp_seq=1 ttl=64 time=0.241 ms 84 bytes from 10.10.10.3 icmp_seq=2 ttl=64 time=0.520 ms 84 bytes from 10.10.10.3 icmp_seq=3 ttl=64 time=0.573 ms 84 bytes from 10.10.10.3 icmp_seq=4 ttl=64 time=0.716 ms 84 bytes from 10.10.10.3 icmp_seq=5 ttl=64 time=1.011 msDan kita coba lihat status port-security pada Switch.
SW1#sh port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) --------------------------------------------------------------------------- Et0/0 1 1 0 Protect Et0/1 1 1 0 Restrict Et0/2 1 1 0 Shutdown --------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 4096Setelah selesai konfigurasi, untuk melihat apa yang terjadi jika MAC Address tidak valid, maka coba tukar posisi PC pada tempat lain yang berlawanan, dan lakukan PING lagi.
PC1> ping 10.10.10.2 host (10.10.10.2) not reachable PC1> ping 10.10.10.3 host (10.10.10.3) not reachableDan inilah yang terjadi pada Switch, akan muncul notifikasi pada port security restrict dan shutdown.
SW1# *Mar 29 01:18:10.019: %PM-4-ERR_DISABLE: psecure-violation error detected on Et0/2, putting Et0/2 in err-disable state SW1# *Mar 29 01:18:10.020: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6800 on port Ethernet0/2. *Mar 29 01:18:11.025: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/2, changed state to down SW1# *Mar 29 01:18:12.021: %LINK-3-UPDOWN: Interface Ethernet0/2, changed state to down SW1# *Mar 29 01:18:59.408: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6802 on port Ethernet0/1.
Komentar
Posting Komentar