Securing Switches with Port-Security

Halo teman-teman pada artikle kali ini saya akan membahas tentang technologi port security pada switch cisco yang mana ini merupakan suatu action untuk meningkatkan keamanan pada jaringan kita, bagi teman-teman yang belum mengetahui apa itu port-security mari kita bahas.

Apa itu Port Security

Sebuah mekanisme keamanan yang digunakan pada switch Cisco. Dengan port security, kita bisa membatasi jumlah host yang dapat terkoneksi pada sebuah port yang ada di switch serta menentukan host mana saja yang bisa terkoneksi ke switch berdasarkan mac-address yang kita izinkan.

Tujuan dari Port Security

Port Security ini digunakan agar port interface perangkat cisco tidak dapat digunakan kecuali untuk PC dengan MAC Address tertentu yang sudah terdaftar jika mac-address nya berubah di port yang sudah terdaftar maka port tersebut akan melakukan tindakan sesuai violationnya, Sehingga dapat kita simpulkan dengan menggunakan port security, kemanan jaringan bisa lebih ditingkatkan dan ancaman dari host yang tidak dikenal dapat diminimalisir.

Violation pada Port Security

Violation ini dapat dikatakan sebagai action atau tindakan yang akan dilakukan oleh port interface yang sudah diterapkan port-security pada switch ketika terdapat host yang tidak terdaftar mac addressnya berusaha untuk terhubung melalui interface yang sudah disetting port security, di port-security sendiri memiliki 3 violation yaitu:

  • Protect : violation protect akan melakukan action membuang paket dari host yang tidak terdaftar mac-addressnya contoh nya pc yang tidak terdaftar ini melakukan ping ke pc lain maka hasilnya akan Time Out dikarenakan violation ini akan drop packet ping nya tetapi interface nya sendiri statusnya tetap up/on.
  • Restrict : violation restrict ini hampir sama untuk action dengan violation protect dia sama-sama akan drop paket yang dikirim oleh pc yang mac-address nya tidak terdaftar namun pada violation ini yang membedakan yaitu ketika pc yang tidak dikenal mengirimkan paket maka paket tersebut akan di drop namun disertai dengan perhitungan jumlah violation pada interface yang terjadi lewat SNMP.
  • Shutdown : violation ini akan melakukan action menonaktifkan interfaces, ketika ada pc mencoba menghubungkan koneksi pada port switch yang sudah di terapkan port security dan pc ini mac-address nya tidak terdaftar maka port ini akan melakukan action sesuai violationnya dikarenakan menggunakan violation shutdown maka switch akan menonaktifkan port interface yang digunakan oleh host yang tidak diijinkan tadi.

Cara kerja Port Security

Pada port security ini bisa dikatakan cukup simple jadi kita daftarkan terlebih dahulu mac-address client/pc untuk mendaftarkan mac-address sendiri ada 2 metode yaitu:

  • Static : Kita menentukan secara manual MAC Address PC yang diperbolehkan mengakses suatu port Interface. Jika menggunakan Static, MAC Address PC akan disimpan dalam Running-config dan jika Switch dimatikan tidak akan hilang, dan MAC Address PC juga dimasukan dalam MAC Address table.
  • Sticky : Switch akan secara otomatis mendeteksi MAC Address PC, dan memasukan MAC Address tersebut dalam MAC Address table dan Running-config, sehingga ketika Switch dimatikan MAC Address PC tidak akan hilang.

Konfigurasi Port Security

Bisa teman-teman lihat pada gambar topologi diatas kita akan implementasi port security untuk semua client yang terkoneksi/terhubung pada Switch-1 dan masing-masing client memiliki violation yang berbeda, lanjut kita konfigurasikan pada Switch-1 untuk commandnya seperti dibawah ini.

Switch>enable
Switch#configure terminal
Switch(config)#hostname Switch-1
Switch-1(config)#interface fastEthernet 0/1
Switch-1(config-if)#switchport mode access
Switch-1(config-if)#switchport port-security
Switch-1(config-if)#switchport port-security mac-address sticky
Switch-1(config-if)#switchport port-security violation restrict
Switch-1(config-if)#exit
Switch-1(config)#interface fastEthernet 0/2
Switch-1(config-if)#switchport mode access
Switch-1(config-if)#switchport port-security
Switch-1(config-if)#switchport port-security mac-address sticky
Switch-1(config-if)#switchport port-security violation shutdown
Switch-1(config-if)#exit
Switch-1(config)#interface fastEthernet 0/3
Switch-1(config-if)#switchport mode access
Switch-1(config-if)#switchport port-security
Switch-1(config-if)#switchport port-security mac-address sticky
Switch-1(config-if)#switchport port-security violation protect
Switch-1(config-if)#exit

Seperti biasa saya akan menjelaskan setiap commandnya semoga dapat dipahami:

  • switchport port-security, command ini digunakan untuk mengaktifkan fitur port security pada Switch kita.
  • switchport port-security mac-address sticky, command ini digunakan untuk mengkonfigurasikan metode dalam mendapatkan MAC Address. Ada dua metode yang dapat kita gunakan, yaitu static dan stcky. Sticky artinya switch akan mencatat MAC Address secara otomatis, MAC Address dari komputer pertama yang terhubung yang akan dicatat, jika static menambahkannya secara manual.
  • switchport port-security violation protect, Digunakan untuk menentukan policy atau tindakan yang akan diterapkan saat ada device asing terhubung ke switch.

Kita sudah selesai konfigurasi port securitynya untuk verifikasi kita coba komunikasi antar PC karena untuk mendata secara otomatis pada table mac-address switch untuk melihat apakah mac-address client sudah terdaftar atau belum menggunakan command # show mac-address-table.

Switch-1#show mac-address-table 
Mac Address Table
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0000.0cc2.ce74 STATIC Fa0/1
1 0002.178e.28c8 STATIC Fa0/3
1 0060.4754.170e STATIC Fa0/2

Selanjutnya lakukan verifikasi apakah port security kita sudah berjalan atau belum dan menguji violation pada masing-masing pc pertama kita akan mencabut link antara pc yang menerapkan violation protect kemudian ganti dengan pc-attacker dan coba ping ke pc manapun dan lihat hasilnya.

C:\\>ping 192.168.10.2

Pinging 192.168.10.2 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.10.2:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

untuk violation restrict saya sempat bilang yang membedakan dengan protect yaitu pada perhitungan jumlah violationnya untuk memverikasinya bisa menggunakan perintah dibawah ini bisa diperhatikan pada bagian paling bawah yaitu “Security Violation Count”.

Switch-1#show port-security interface fastEthernet 0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0009.7C93.1B00:1
Security Violation Count   : 2

Lanjut untuk pengujian violation shutdown untuk violation protect kita skip saja karena hasilnya sama dengan violation restrict, untuk verifikasinya bisa kita pindahkan link port yang mengarah ke pc dengan violation shutdown ke pc-attacker.

Sekarang bisa coba lakukan ping dari pc-attacker ke pc manapun dan kita lihat hasilnya

Bisa dilihat pada gambar diatas ketika pc-attacker mencoba ping ke pc lain maka link seketika akan down karena mac-address pc attacker ini tidak dikenali atau tidak terdaftar kemudian hasil ping nya pun RTO.

C:\\>ping 192.168.10.1

Pinging 192.168.10.1 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.10.1:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Teman-teman untuk pembahasannya sudah selesai karena tujuan kita sudah tercapai yaitu menjalankan masing-masing dari violationnya, jika ada yang ingin ditanyakan atau kurang paham silahkan bertanya dikolom komentar kurang lebihnya mohon maaf & terimakasih.

Tertarik mengikuti training di ID-Networkers? Kami menyediakan berbagai pilihan training yang bisa kamu ikuti, klik disini untuk info lengkapnya.

Penulis : Muhammad Sabiq Al Hadi