Open in app

Sign in

Write

Sign in

Overview Switch Security

Nadia Wartiningrum
16 min readNov 23, 2021

--

1. Port Security

Layer 2 dianggap sebagai layar terlemah dalam infrasrtuktur keamanan perusahaan. Serangan Layer 2 adalah beberapa yang paling mudah untuk disebarkan oleh peretas, tetapi ancaman ini juga dapat dikurangi dengan beberapa solusi.

1.1 Amankan Port yang Tidak Digunakan

Sederhananya, nonaktifkan semua port yang tidak digunakan pada switch. Misalnya sebuah switch memiliki 24 port dan hanya digunakan 3 port saja. Maka 21 port yang tersisa dinonaktifkan degan perintah shutdown. Jika ingin digunakan dilain waktu maka dapat diaktifkan kembali dengan perintah no shutdown.

1.2. Mengurangi Serangan Tabel MAC Address

Metode paling sederhana dan efektif untuk mencegah serangan overflow MAC address table adalah mengaktifkan keamanan port. Dengan membatasi jumlah alamat MAC valid yang diijinkan pada port, keamanan port dapat digunakan untuk mengontrol akses tidak sah ke jaringan.

Gambar dari CCNA

1.3. Aktifkan Keamanan Port

Secara default, port switch Layer 2 diatur ke otomatis dinamis (trunking aktif). Untuk keamanan port, maka konfigurasikan port trunk secara manual. Port dikonfigurasi dengan perintah konfigurasi interface switchport mode access.

Gunakan perintah show port-security interface untuk menampilkan pengaturan keamanan port. Pada contoh gambar saat ini untuk FastEthernet 0/1.

  • Status port Secure-down yang berarti tidak ada perangkat yang terpasang dan tidak ada pelanggaran yang terjadi,
  • Mode pelanggarannya adalah Shutdown,
  • Jumlah maksimum MAC addressadalah 1.

Jika perangkat terhubung ke port, status port switch akan menampilkan Secure-up dan switch akan secara otomatis menambahkan MAC address perangkat sebagai MAC yang aman. Dalam contoh ini, tidak ada perangkat yang terhubung ke port.

S1# show port-security interface f0/1
Port Security              : Enabled
Port Status                : Secure-down
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 0
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0000.0000.0000:0
Security Violation Count   : 0
S1#

1.4. Batasi dan Pelajari MAC Address

Sederhananya, atur jumlah maksimum MAC address yang diizinkan pada port dengan perintah:

Switch(config-if)# switchport port-security maximum value

Terdapat tiga cara mengkonfigurasikan switch untuk mempelajari MAC address pada port yang aman.

  • Manually Configured

Administrator secara manual mengkonfigurasi alamat MAC statis dengan menggunakan perintah berikut untuk setiap alamat MAC aman pada port:

Switch(config-if)# switchport port-security mac-address  mac-address
  • Dynamically Learned

Ketika perintah switchport port-security dimasukkan, MAC untuk perangkat yang terhubung ke port secara otomatis diamankan tetapi tidak ditambahkan ke konfigurasi startup. Jika sakelar di-boot ulang, port harus mempelajari kembali MAC address perangkat.

  • Dynamically Learned — Sticky

Administrator dapat mengaktifkan sakelar untuk mempelajari alamat MAC secara dinamis dan “menempelkannya” ke konfigurasi yang sedang berjalan dengan menggunakan perintah berikut:

Switch(config-if)# switchport port-security mac-address sticky

tujuannya agar ketika diboot ulang, port tidak mempelajari kembali MAC address perangkat.

contoh konfigurasi keamanan port pada cisco

*Mar  1 00:12:38.179: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar  1 00:12:39.194: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
S1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
S1(config)#
S1(config)# interface fa0/1
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# switchport port-security maximum 2
S1(config-if)# switchport port-security mac-address aaaa.bbbb.1234
S1(config-if)# switchport port-security mac-address sticky 
S1(config-if)# end
S1# show port-security interface fa0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 2
Total MAC Addresses        : 2
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : a41f.7272.676a:1
Security Violation Count   : 0
S1# show port-security address
               Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan    Mac Address       Type                          Ports   Remaining Age
                                                                   (mins)    
----    -----------       ----                          -----   -------------
1    a41f.7272.676a    SecureSticky                  Fa0/1        -
1    aaaa.bbbb.1234    SecureConfigured              Fa0/1        -
-----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 1
Max  Addresses limit in System (excluding one mac per port) : 8192
S1#
  • Output dari perintah show port-security interface memverifikasi bahwa keamanan port diaktifkan
  • terdapat host yang terhubung ke port (yaitu, Secure-up)
  • total 2 alamat MAC akan diizinkan
  • dan S1 telah mempelajari satu alamat MAC statis dan satu alamat MAC secara dinamis (yaitu, sticky).

Output dari perintah show port-security address mencantumkan dua alamat MAC yang dipelajari.

1.5. Port Security Aging

Sederhananya, pengaturan waktu penuaan/expired untuk secure alamat statis dan dinamis pada port. Jenis yang didukung per port adalah:

  • Absolute — Alamat aman pada port akan dihapus setelah waktu aging yang ditentukan.
  • Inactive— Alamat aman pada port dihapus hanya jika tidak aktif selama waktu aging yang ditentukan.
Switch(config-if)# switchport port-security aging { static | time time | type {absolute | inactivity}}
  • static: pengaktifan aging dikonfigurasi secara statis
  • time: menentukan waktu aging pada port. Rentangnya adalah 0 hingga 1440 menit. Jika waktunya 0, aging dinonaktifkan untuk port ini.
  • type absolute: Mengatur waktu aging mutlak. Semua alamat yang aman pada port ini habis tepat setelah waktu (dalam menit) yang ditentukan dan dihapus dari daftar alamat.
  • type inactive: Setel jenis agingtidak aktif. Alamat aman pada port ini hanya akan habis jika tidak ada lalu lintas data dari alamat sumber aman untuk jangka waktu yang ditentukan.

Contoh dibawah adalah konfigurasi tipe aging hingga 10 menit tidak aktif dan dengan menggunakan perintah show port-security interface untuk memverifikasi konfigurasi.

S1(config)# interface fa0/1
S1(config-if)# switchport port-security aging time 10 
S1(config-if)# switchport port-security aging type inactivity 
S1(config-if)# end
S1# show port-security interface fa0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 10 mins
Aging Type                 : Inactivity
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 2
Total MAC Addresses        : 2
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : a41f.7272.676a:1
Security Violation Count   : 0
S1#

1.6. Mode Port Security Violation

Jika alamat MAC perangkat yang terpasang ke port berbeda dari daftar alamat, maka terjadi pelanggaran port. Secara default, port memasuki status error-disabled.

Untuk mengatur mode pelanggaran keamanan port, gunakan perintah berikut:

Switch(config-if)# switchport port-security violation { protect | restrict | shutdown}
  • shutdown: Port segera beralih ke status error-disable, mematikan LED port, dan mengirim pesan syslog. Ini menambah penghitung pelanggaran. Ketika port aman dalam keadaan error-disabled, administrator harus mengaktifkannya kembali dengan memasukkan perintah shutdown dan no shutdown .
  • restrict: port menjatuhkan paket dengan alamat sumber yang tidak dikenal hingga Anda menghapus sejumlah alamat MAC aman yang cukup untuk turun di bawah nilai maksimum atau meningkatkan nilai maksimum. Mode ini menyebabkan penghitung Pelanggaran Keamanan bertambah dan menghasilkan pesan syslog.
  • protect: ini adalah mode pelanggaran keamanan yang paling tidak aman. Port menjatuhkan paket dengan alamat sumber MAC yang tidak diketahui hingga Anda menghapus sejumlah alamat MAC aman yang cukup untuk turun di bawah nilai maksimum atau meningkatkan nilai maksimum. Tidak ada pesan syslog yang dikirim.

1.7. Ports in error-disabled State

Ketika pelanggaran keamanan port dimatikan dan pelanggaran port terjadi, maka port secara fisik dimatikan dan ditempatkan dalam status error-disabled, dan tidak ada lalu lintas yang dikirim atau diterima pada port tersebut.

S1(config)# int fa0/1
S1(config-if)# switchport port-security violation shutdown
S1(config-if)# end
S1#
*Mar  1 00:24:15.599: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
*Mar  1 00:24:16.606: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
*Mar  1 00:24:19.114: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar  1 00:24:20.121: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
S1#
*Mar  1 00:24:32.829: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state
*Mar  1 00:24:32.838: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address a41f.7273.018c on port FastEthernet0/1.
*Mar  1 00:24:33.836: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
*Mar  1 00:24:34.843: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
S1#

Catatan : Protokol port dan status tautan diubah menjadi down dan LED port dimatikan.

Dalam contoh, perintah show interface mengidentifikasi status port sebagai err-disabled . Output dari perintah show port-security interface sekarang menunjukkan status port sebagai Secure-shutdown, bukan Secure-up. Penghitung Pelanggaran Keamanan bertambah 1.

S1# show interface fa0/1 | include down
FastEthernet0/18 is down, line protocol is down (err-disabled)
(output omitted)
S1# show port-security interface fa0/1
Port Security              : Enabled
Port Status                : Secure-shutdown
Violation Mode             : Shutdown
Aging Time                 : 10 mins
Aging Type                 : Inactivity
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 2
Total MAC Addresses        : 2
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : a41f.7273.018c:1
Security Violation Count   : 1
S1#

Administrator harus menentukan apa yang menyebabkan pelanggaran keamanan. Jika perangkat yang tidak sah terhubung ke port aman, ancaman keamanan dihilangkan sebelum mengaktifkan kembali port.

Pada contoh berikutnya, host pertama disambungkan kembali ke Fa0/1. Untuk mengaktifkan kembali port, pertama-tama gunakan perintah shutdown , kemudian gunakan perintah no shutdown untuk membuat port beroperasi, seperti yang ditunjukkan pada contoh.

S1(config)# interface fa0/1
S1(config-if)# shutdown
S1(config-if)#
*Mar  1 00:39:54.981: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
S1(config-if)# no shutdown
S1(config-if)#
*Mar  1 00:40:04.275: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar  1 00:40:05.282: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
S1(config-if)#

1.8. Verify Port Security

  • Keamanan Port untuk Semua Interface

Untuk menampilkan pengaturan keamanan port untuk switch, gunakan perintah show port-security. Contoh menunjukkan bahwa hanya satu port yang dikonfigurasi dengan perintah keamanan port switchport.

S1# show port-security
SecurePort  MaxSecureAddr  CurrentAddr  SecViolation  SecurityAction
                (Count)       (Count)          (Count)
--------------------------------------------------------------------
      Fa0/1       2             2            0           Shutdown
--------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 1
Max Addresses limit in System (excluding one mac per port) : 8192
S1#
  • Keamanan Port untuk Interface Tertentu

Gunakan perintah show port-security interface untuk melihat detail antarmuka tertentu, seperti yang ditunjukkan sebelumnya dan dalam contoh ini.

S1# show port-security interface fastethernet 0/1
Port Security          	    : Enabled
Port Status            	    : Secure-up
Violation Mode              : Shutdown
Aging Time                  : 10 mins
Aging Type                  : Inactivity
SecureStatic Address Aging  : Disabled
Maximum MAC Addresses       : 2
Total MAC Addresses         : 2
Configured MAC Addresses    : 1
Sticky MAC Addresses        : 1
Last Source Address:Vlan    : a41f.7273.018c:1
Security Violation Count    : 0
S1#
  • Verifikasi Alamat MAC yang Dipelajari

Untuk memverifikasi bahwa alamat MAC “menempel” ke konfigurasi, gunakan perintah show run seperti yang ditunjukkan pada contoh untuk FastEthernet 0/1.

S1# show run interface fa0/1
Building configuration...Current configuration : 365 bytes
!
interface FastEthernet0/1
 switchport mode access
 switchport port-security maximum 2
 switchport port-security mac-address sticky
 switchport port-security mac-address sticky a41f.7272.676a
 switchport port-security mac-address aaaa.bbbb.1234
 switchport port-security aging time 10
 switchport port-security aging type inactivity
 switchport port-security
endS1#
  • Verifikasi Alamat MAC Aman

Untuk menampilkan semua alamat MAC aman yang dikonfigurasi secara manual atau dipelajari secara dinamis pada semua interface switch, gunakan perintah show port-security address seperti yang ditunjukkan pada contoh.

S1# show port-security address
               Secure Mac Address Table
--------------------------------------------------------------------
Vlan    Mac Address     Type              Ports   Remaining Age                                                                        
----  -----------       ----              -----   -------------
   1  a41f.7272.676a    SecureSticky      Fa0/1        -
   1  aaaa.bbbb.1234    SecureConfigured  Fa0/1        -
--------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 1
Max Addresses limit in System (excluding one mac per port) : 8192
S1#

2. Mitigate VLAN Attacks

Serangan VLAN hooping dapat diluncurkan dengan tiga cara:

  • Memalsukan pesan DTP dari host yang menyerang untuk menyebabkan switch masuk ke mode trunking. Dari sini, penyerang dapat mengirim lalu lintas yang ditandai dengan VLAN target, dan sakelar kemudian mengirimkan paket ke tujuan.
  • Memperkenalkan sakelar jahat dan mengaktifkan trunking. Penyerang kemudian dapat mengakses semua VLAN pada sakelar korban dari sakelar jahat.
  • Jenis lain dari serangan hopping VLAN adalah serangan penandaan ganda (atau enkapsulasi ganda). Serangan ini memanfaatkan cara perangkat keras pada sebagian besar sakelar beroperasi.

Gunakan langkah-langkah berikut untuk mengurangi serangan melompat VLAN:

Langkah 1 : Nonaktifkan negosiasi DTP (auto trunking) pada port non-trunking dengan menggunakan perintah konfigurasi switchport mode access interface.

Langkah 2 : Nonaktifkan port yang tidak digunakan dan letakkan di VLAN yang tidak digunakan.

Langkah 3 : Aktifkan link trunk secara manual pada port trunking dengan menggunakan perintah switchport mode trunk.

Langkah 4 : Nonaktifkan negosiasi DTP (auto trunking) pada port trunking dengan menggunakan perintah switchport nonegotiate.

Langkah 5 : Atur VLAN asli ke VLAN selain VLAN 1 dengan menggunakan perintah switchport trunk native vlan vlan_number.

Misalnya, asumsikan berikut ini:

  • Port FastEthernet 0/1 hingga fa0/16 adalah port access aktif
  • Port FastEthernet 0/17 hingga 0/20 saat ini tidak digunakan
  • Port FastEthernet 0/21 hingga 0/24 adalah port trunk.

VLAN hopping dapat dikurangi dengan mengimplementasikan konfigurasi berikut.

S1(config)# interface range fa0/1 - 16
S1(config-if-range)# switchport mode access
S1(config-if-range)# exit
S1(config)# 
S1(config)# interface range fa0/17 - 20
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 1000
S1(config-if-range)# shutdown
S1(config-if-range)# exit
S1(config)# 
S1(config)# interface range fa0/21 - 24
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport nonegotiate
S1(config-if-range)# switchport trunk native vlan 999
S1(config-if-range)# end
S1#
  • Port FastEthernet 0/1 hingga 0/16 adalah port akses dan oleh karena itu trunking dinonaktifkan dengan secara eksplisit menjadikannya port akses.
  • Port FastEthernet 0/17 hingga 0/20 adalah port yang tidak digunakan dan dinonaktifkan serta ditetapkan ke VLAN yang tidak digunakan.
  • Port FastEthernet 0/21 hingga 0/24 adalah tautan trunk dan diaktifkan secara manual sebagai trunk dengan DTP dinonaktifkan. VLAN asli juga diubah dari VLAN 1 default menjadi VLAN 999 yang tidak digunakan.

3. Mitigate DHCP Attacks

Tujuan dari serangan DHCP adalah membuat Denial of Service (DoS) dan memerlukan alat serangan seperti Gobbler. Serangan ini dapat dikurangi dengan menggunakan port security karena Gobbler membutuhkan ,AC address. Berbeda dengan spoofing DHCP, pengurangan serangannya memerlukan perlindungan lebih dan dapat dikurangi dengan menggunakan DHCP snooping.

DHCP snooping tidak bergantung pada alamat MAC sumber. Sebaliknya, DHCP snooping menentukan apakah pesan DHCP berasal dari sumber tepercaya atau tidak tepercaya yang dikonfigurasi secara administratif, kemudian memfilter pesan DHCP dan membatasi lalu lintas DHCP dari sumber yang tidak tepercaya.

  • Langkah-langkah untuk Menerapkan DHCP Snooping

Gunakan langkah-langkah berikut untuk mengaktifkan DHCP snooping:

Langkah 1 . Aktifkan DHCP snooping dengan menggunakan perintah konfigurasi global ip dhcp snooping.

Langkah 2 . Pada port tepercaya, gunakan perintah konfigurasi interface ip dhcp snooping trust.

Langkah 3 . Batasi jumlah pesan discovery DHCP yang dapat diterima per detik pada port yang tidak tepercaya dengan menggunakan perintah konfigurasi interface ip dhcp snooping limit rate.

Langkah 4 . Aktifkan DHCP snooping oleh VLAN, atau dengan berbagai VLAN, dengan menggunakan perintah konfigurasi global ip dhcp snooping vlan.

contoh konfigurasi

Berikut ini adalah contoh cara mengkonfigurasi DHCP snooping pada S1. Perhatikan bagaimana DHCP snooping pertama kali diaktifkan. Kemudian interface upstream ke server DHCP secara eksplisit dipercaya. Selanjutnya, kisaran port FastEthernet dari F0/5 hingga F0/24 tidak dipercaya secara default, jadi batas kecepatan diatur ke enam paket per detik. Terakhir, pengintaian DHCP diaktifkan pada VLAN 5, 10, 50, 51, dan 52.

S1(config)# ip dhcp snooping
S1(config)# interface f0/1
S1(config-if)# ip dhcp snooping trust
S1(config-if)# exit
S1(config)# interface range f0/5 - 24
S1(config-if-range)# ip dhcp snooping limit rate 6
S1(config-if-range)# exit
S1(config)# ip dhcp snooping vlan 5,10,50-52
S1(config)# end
S1#

Gunakan perintah show ip dhcp snooping privileged EXEC untuk memverifikasi DHCP snooping dan show ip dhcp snooping binding untuk melihat klien yang telah menerima informasi DHCP, seperti yang ditunjukkan pada contoh.

S1# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
5,10,50-52
DHCP snooping is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
   circuit-id default format: vlan-mod-port
   remote-id: 0cd9.96d2.3f80 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface              Trusted    Allow option    Rate limit (pps)
-------------------    -------    ------------    ----------------   
FastEthernet0/1            yes        yes             unlimited
  Custom circuit-ids:
FastEthernet0/5            no         no              6         
  Custom circuit-ids:
FastEthernet0/6            no         no              6         
  Custom circuit-ids:
S1# show ip dhcp snooping binding
MacAddress         IpAddress    Lease(sec) Type   VLAN Interface
---------------- -------------- ---------- ------ ---- ------------
00:03:47:B5:9F:AD 192.168.10.11 193185 dhcp-snooping 5 FastEth0/5

4. Mitigate ARP Attacks

Inspeksi ARP dinamis (DAI) memerlukan DHCP snooping dan membantu mencegah serangan ARP dengan:

  • Tidak menyampaikan request ke port lain di VLAN yang sama.
  • Mencegat semua request dan replies ARP pada port yang tidak tepercaya.
  • Memverifikasi setiap paket yang dicegat untuk pengikatan IP-ke-MAC yang valid.
  • Dropping dan logging ARP request yang berasal dari sumber yang tidak valid untuk mencegah ARP poisoning.
  • Kesalahan menonaktifkan interface jika jumlah paket ARP DAI yang dikonfigurasi terlampaui.

Untuk mengurangi kemungkinan ARP spoofing dan ARP poisioning, ikuti panduan implementasi DAI ini:

  • Aktifkan DHCP snooping secara global.
  • Aktifkan DHCP snooping pada VLAN yang dipilih.
  • Aktifkan DAI pada VLAN yang dipilih.
  • Konfigurasikan antarmuka tepercaya untuk pengintaian DHCP dan pemeriksaan ARP.

Biasanya disarankan untuk mengonfigurasi semua port switch akses sebagai tidak tepercaya dan untuk mengonfigurasi semua port uplink yang terhubung ke sswitch lain sebagai tepercaya.

Contoh Konfigurasi DAI

Pada topologi sebelumnya, S1 menghubungkan dua pengguna pada VLAN 10. DAI akan dikonfigurasi untuk mengurangi serangan ARP spoofingdan ARP poisioning.

Seperti yang ditunjukkan pada contoh, DHCP snooping diaktifkan karena DAI memerlukan tabel binding DHCP snooping untuk beroperasi. Selanjutnya, DHCP snooping dan inspeksi ARP diaktifkan untuk PC di VLAN10. Port uplink ke router tepercaya, dan oleh karena itu, dikonfigurasi sebagai tepercaya untuk pengintaian DHCP dan inspeksi ARP.

S1(config)# ip dhcp snooping
S1(config)# ip dhcp snooping vlan 10
S1(config)# ip arp inspection vlan 10
S1(config)# interface fa0/24
S1(config-if)# ip dhcp snooping trust
S1(config-if)# ip arp inspection trust

DAI juga dapat dikonfigurasi untuk memeriksa alamat MAC dan IP tujuan atau sumber:

  • MAC Tujuan — Memeriksa alamat MAC tujuan di header Ethernet terhadap alamat MAC target di badan ARP.
  • Source MAC — Memeriksa alamat MAC sumber di header Ethernet terhadap alamat MAC pengirim di badan ARP.
  • Alamat IP — Memeriksa badan ARP untuk alamat IP yang tidak valid dan tidak terduga termasuk alamat 0.0.0.0, 255.255.255.255, dan semua alamat IP multicast.

ip arp inspection validate {[src-mac] [dst-mac] [ip]} adalah perintah global yang digunakan untuk mengkonfigurasi DAI untuk menjatuhkan paket ARP ketika alamat IP yang valid. Ini dapat digunakan ketika alamat MAC di badan paket ARP tidak cocok dengan alamat yang ditentukan di header Ethernet. Perhatikan pada contoh berikut bagaimana hanya satu perintah yang dapat dikonfigurasi. Oleh karena itu, memasukkan beberapa perintah ip arp inspection validate. Untuk menyertakan lebih dari satu metode validasi, masukkan metode tersebut pada baris perintah yang sama seperti yang ditunjukkan dan diverifikasi pada output berikut.

S1(config)# ip arp inspection validate ?
dst-mac  Validate destination MAC address
  ip       Validate IP addresses
  src-mac  Validate source MAC address
S1(config)# ip arp inspection validate src-mac
S1(config)# ip arp inspection validate dst-mac
S1(config)# ip arp inspection validate ip
S1(config)# do show run | include validate
ip arp inspection validate ip 
S1(config)# ip arp inspection validate src-mac dst-mac ip
S1(config)# do show run | include validate
ip arp inspection validate src-mac dst-mac ip 
S1(config)#

5. Mitigate STP Attacks

Penyerang jaringan dapat memanipulasi Spanning Tree Protocol (STP) untuk melakukan serangan dengan memalsukan bridge root dan mengubah topologi jaringan. Untuk mengurangi serangan manipulasi STP, gunakan PortFast dan Bridge Protocol Data Unit (BPDU) Guard:

  • PortFast — PortFast dengan cepat menghadirkan interface yang dikonfigurasi sebagai port akses ke status penerusan dari status pemblokiran, melewati status mendengarkan dan mempelajari. Berlaku untuk semua port pengguna akhir. PortFast hanya boleh dikonfigurasi pada port yang terpasang ke perangkat akhir.
  • BPDU Guard — BPDU guard sdengan cepat menonaktifkan port error yang menerima BPDU. Seperti PortFast, penjaga BPDU hanya boleh dikonfigurasi pada interface yang terpasang ke perangkat akhir.

PortFast mem-bypass STP listening dan learning states untuk meminimalkan waktu port akses harus menunggu STP menyatu. Jika PortFast diaktifkan pada port yang terhubung ke switch lain, ada risiko membuat loop spanning-tree.

PortFast dapat diaktifkan pada interface dengan menggunakan perintah konfigurasi antarmuka spanning-tree portfast . Atau, Portfast dapat dikonfigurasi secara global pada semua port akses dengan menggunakan perintah konfigurasi global spanning-tree portfast default .

Untuk memverifikasi apakah PortFast diaktifkan secara global, dapat menggunakan salah satu dari show running-config | begin span perintah atau perintah show spanning-tree summary. Untuk memverifikasi apakah PortFast diaktifkan sebuah interface, gunakan perintah show running-config interface type/number , seperti yang ditunjukkan pada contoh berikut. Perintah show spanning-tree interface type/number detail juga dapat digunakan untuk verifikasi.

Perhatikan bahwa ketika PortFast diaktifkan, pesan peringatan akan ditampilkan.

S1(config)# interface fa0/1
S1(config-if)# switchport mode access
S1(config-if)# spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single
 host. Connecting hubs, concentrators, switches, bridges, etc... to this
 interface when portfast is enabled, can cause temporary bridging loops.
 Use with CAUTION
%Portfast has been configured on FastEthernet0/1 but will only
 have effect when the interface is in a non-trunking mode.
S1(config-if)# exit
S1(config)# spanning-tree portfast default
%Warning: this command enables portfast by default on all interfaces. You
 should now disable portfast explicitly on switched ports leading to hubs,
 switches and bridges as they may create temporary bridging loops.
S1(config)# exit
S1# show running-config | begin span
spanning-tree mode pvst
spanning-tree portfast default
spanning-tree extend system-id
!
interface FastEthernet0/1
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
! 
(output omitted)
S1#

Konfigurasi BPDU Guard

Meskipun PortFast diaktifkan, interfacea masih dapat listen BPDU.

Jika ada BPDU yang diterima pada port yang mendukung BPDU Guard, port tersebut akan dimasukkan ke dalam status error-disabled. Ini berarti port dimatikan dan harus diaktifkan kembali secara manual atau secara otomatis dipulihkan melalui perintah global errdisable recovery cause bpduguard.

BPDU Guard dapat diaktifkan pada port dengan menggunakan perintah konfigurasi interface spanning-tree bpduguard enable atau, perintah konfigurasi global spanning-tree portfast bpduguard default untuk mengaktifkan pelindung BPDU secara global di semua port yang mendukung PortFast.

Untuk menampilkan informasi tentang status STP, gunakan perintah show spanning-tree summary. Dalam contoh, PortFast default dan BPDU Guard keduanya diaktifkan sebagai status default untuk port yang dikonfigurasi sebagai mode akses.

Catatan : Selalu aktifkan BPDU Guard di semua port yang mendukung PortFast.

S1(config)# interface fa0/1
S1(config-if)# spanning-tree bpduguard enable
S1(config-if)# exit
S1(config)# spanning-tree portfast bpduguard default
S1(config)# end
S1# show spanning-tree summary
Switch is in pvst mode
Root bridge for: none
Extended system ID           is enabled
Portfast Default             is enabled
PortFast BPDU Guard Default  is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default            is disabled
EtherChannel misconfig guard is enabled
UplinkFast                   is disabled
BackboneFast                 is disabled
Configured Pathcost method used is short
(output omitted)
S1#
Cisco
Switch

--

--

Nadia Wartiningrum

Written by Nadia Wartiningrum

6 Followers

Hello, I'm a long life learner and always improve myself to be the best I can.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams