chapter 3: penerapan keamanan...
TRANSCRIPT
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 1
Chapter 3: Penerapan Keamanan VLAN
Routing and Switching
Presentation_ID 2 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Bab 3 3.1 Segmentasi VLAN
3.2 Implementasi VLAN
3.3 Keamanan Dan Desain VLAN
3.4 RINGKASAN
Presentation_ID 3 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Bab 3: Tujuan ! Menjelaskan tujuan VLAN dalam switch jaringan
! Menganalisis bagaimana switch meneruskan frame berbasis konfigurasi VLAN di lingkungan multi-switched
! Mengkonfigurasi switch port yang akan ditugaskan ke VLAN tertentu
berdasarkan kebutuhan
! Mengkonfigurasi port trunk pada switch LAN
! Mengkonfigurasi Dinamic Trunk Protocol (DTP)
! Troubleshoot VLAN dan konfigurasi trunk pada switch jaringan
! Mengkonfigurasi fitur keamanan untuk mengurangi serangan dalam lingkungan yang ter-segmentasi VLAN
! Menjelaskan praktek terbaik untuk pengamanan lingkungan yang ter-segmentasi VLAN
Presentation_ID 4 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Tinjauan Dari VLAN
Definisi VLAN ! VLAN (Virtual LAN) adalah partisi logic dari network layer 2
! Beberapa partisi dapat dibuat, yang memungkinkan beberapa VLAN untuk aktif secara berdampingan
! Masing-masing VLAN adalah domain broadcast, biasanya dengan IP network-nya sendiri
! VLAN yang saling terisolasi dan paket-paket yang hanya bisa lewat antar VLAN melalui router
! Partisi di layer 2 network berasal dari perangkat layer 2 (biasanya sebuah switch).
! Host yang dikelompokkan dalam VLAN tidak menyadari keberadaan VLAN lain-nya
Presentation_ID 5 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Tinjauan Dari VLAN
Definisi VLAN
Presentation_ID 6 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Tinjauan Dari VLAN
Manfaat VLAN ! Keamanan
! Pengurangan biaya
! Kinerja yang lebih baik
! Mengurangi broadcast domain
! Peningkatan efisiensi Staf TI
! Pengelolaan jaringan dan aplikasi lebih mudah
Presentation_ID 7 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Tinjauan Dari VLAN
Jenis VLAN ! Data VLAN
! Default VLAN
! Native VLAN
! Management VLAN
Presentation_ID 8 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Tinjauan Dari VLAN
Jenis VLAN
Presentation_ID 9 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Tinjauan Dari VLAN
Voice VLAN ! Trafik VoIP adalah waktu-sensitif dan membutuhkan:
• Bandwidth yang cukup untuk memastikan kualitas suara • Prioritas transmisi lebih dari jenis paket lainnya di traffic network • Kemampuan untuk diteruskan di sekitar area padat pada jaringan • Toleransi keterlambatan kurang dari 150 ms di seluruh network
! Fitur Voice VLAN ini memungkinkan akses ke port untuk membawa IP voice traffic dari IP phone
! Switch dapat terhubung ke IP phone Cisco 7960 dan membawa trafik IP voice
! Karena kualitas suara panggilan IP phone dapat memburuk jika data tidak dikirim merata, maka switch mendukung Quality of Service (QoS)
Presentation_ID 10 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Tinjauan Dari VLAN
Suara VLAN ! IP phone Cisco 7960 terintegrasi tiga-port 10/100
switch: • Port 1 terhubung ke switch • Port 2 adalah 10/100 interface internal yang membawa trafik
IP phone • Port 3 (port akses) menghubungkan ke PC atau perangkat
lain.
Presentation_ID 11 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
VLAN dalam Lingkungan Multi-Switched
TRUNK VLAN ! Trunk VLAN dapat membawa lebih dari satu VLAN
! Biasanya didirikan antara switch sehingga perangkat di VLAN yang sama dapat berkomunikasi walaupun secara fisik terhubung ke switch yang berbeda
! Trunk VLAN tidak dikaitkan ke setiap VLAN. Termasuk trunk port yang digunakan untuk membangun link trunk
! Cisco IOS mendukung IEEE 802.1q, yang merupakan VLAN trunk protocol yang populer.
Presentation_ID 12 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
VLAN dalam Lingkungan Multi-Switched
TRUNK VLAN
Presentation_ID 13 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
VLAN dalam Lingkungan Multi-Switched Mengontrol Broadcast Domain dengan VLAN
! VLAN dapat digunakan untuk membatasi jangkauan broadcast frame
! Sebuah VLAN adalah domain broadcast dirinya sendiri
! Oleh karena itu, broadcast frame yang dikirim oleh perangkat dalam VLAN tertentu diteruskan dalam VLAN itu saja.
! Bantuan ini mengendalikan jangkauan broadcast frame yang dapat berdampak dalam jaringan
! Unicast and multicast frame akan diteruskan dalam native VLAN juga
Presentation_ID 14 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
VLAN dalam Lingkungan Multi-Switched Melabeli Ethernet Frame untuk Identifikasi VLAN
! Frame tagging (pelabelan frame) digunakan untuk mengirimkan beberapa VLAN frame melalui trunk link
! Switch semestinya akan melabeli frame untuk mengidentifikasi VLAN. Berbeda dengan tagging protocols, dengan IEEE 802.1q merupakan salah satu protocol trunk yang sangat populer
! Protokol mendefinisikan struktur tagging header yang ditambahkan ke frame
! Switch akan menambah label VLAN ke frame sebelum menempatkan VLAN ke dalam trunk link dan menghapus label tsb sebelum meneruskan frame melalui port non-trunk
! Setelah ditandai dengan benar, frame dapat melintas ke sejumlah switch melalui link trunk dan masih bisa meneruskan ke tempat VLAN tujuan dengan benar
Presentation_ID 15 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
VLAN dalam Lingkungan Multi-Switched Melabeli Ethernet Frame untuk Identifikasi VLAN
Presentation_ID 16 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
VLAN dalam Lingkungan Multi-Switched Native VLAN dan Label 802.1q ! Sebuah frame yang dimiliki oleh native VLAN tidak
akan ditandai (dilabeli)
! Sebuah frame yang diterima tanpa label ditempatkan di native VLAN dan diteruskan
! Jika tidak ada port yang berhubungan dengan native VLAN dan tidak ada trunk link lain, frame yang tidak ditandai akan di dropp
! Secara default pada switch Cisco,native VLAN adalah VLAN 1
Presentation_ID 17 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
VLAN dalam Lingkungan Multi-Switched Label Voice VLAN
Presentation_ID 18 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Penugasan VLAN
Rentang VLAN pada Catalyst Switch ! Catalyst 2960 dan 3560 Series switch mendukung lebih
dari 4.000 VLAN
! VLAN dibagi menjadi 2 kategori:
! Rentang normal VLAN • Nomor VLAN dari 1 sampai 1005 • Konfigurasi disimpan dalam vlan.dat (di flash) • VTP hanya bisa dan menyimpan rentang normal VLAN
! Rentang perpanjangan VLAN • VLAN nomor dari 1006 sampai 4096 • Konfigurasi disimpan di running-config (Dalam NVRAM) • VTP tidak bisa memperpanjang rentang VLAN
Presentation_ID 19 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Penugasan VLAN
Membuat VLAN
Presentation_ID 20 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Penugasan VLAN
Menetapkan Ports Untuk VLAN
Presentation_ID 21 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Penugasan VLAN
Menetapkan Ports Untuk VLAN
Presentation_ID 22 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Penugasan VLAN
Mengubah Keanggotaan Port VLAN
Presentation_ID 23 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Penugasan VLAN Mengubah Keanggotaan Port VLAN
Presentation_ID 24 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Penugasan VLAN
Menghapus VLAN
Presentation_ID 25 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Penugasan VLAN
Memverifikasi Informasi VLAN
Presentation_ID 26 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Penugasan VLAN
Memverifikasi Informasi VLAN
Presentation_ID 27 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Penugasan VLAN
Konfigurasi IEEE 802.1q Trunk Link
Presentation_ID 28 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Penugasan VLAN
Reset Trunk Untuk Default Negara
Presentation_ID 29 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Penugasan VLAN
Reset Trunk Untuk Default Negara
Presentation_ID 30 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Penugasan VLAN
Memverifikasi Konfigurasi Trunk
Presentation_ID 31 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Dinamis Trunking Protokol Pengantar DTP ! Port switch dapat dikonfigurasi secara manual untuk
membentuk trunk
! Port switch juga dapat dikonfigurasi untuk berunding dan membangun trunk link dengan di koneksi peer
! Dynamic Trunking Protocol (DTP) adalah protokol yang digunakan untuk mengelola trunk negotiation
! DTP adalah protokol milik Cisco dan diaktifkan secara default di Cisco Catalyst Switch 2960 dan 3560
! Jika port pada switch tetangga dikonfigurasi dalam mode trunk yang mendukung DTP, itu untuk mengelola negotiation
! Default DTP configuration untuk Cisco Catalyst 2960 dan 3560 switch adalah auto dynamic
Presentation_ID 32 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Dinamis Trunking Protokol Negotiated Interface Modes
! Cisco Catalyst 2960 dan 3560 mendukung mode trunk berikut:
• switchport mode dynamic auto • switchport mode dynamic desirable • switchport mode trunk • switchport nonegotiate
Presentation_ID 33 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Pemecahan Masalah VLAN dan Trunks Mengatasi Masalah dengan VLAN
! Praktek sangat umum untuk mengasosiasikan VLAN dengan IP network
! Karena jika berbeda IP network hanya bisa berkomunikasi melalui router, semua perangkat dalam VLAN harus menjadi bagian dari IP network yang sama untuk dapat berkomunikasi
! Pada gambar di bawah ini, PC1 tidak dapat berkomunikasi ke server karena memiliki IP address yang salah konfigurasi
Presentation_ID 34 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Pemecahan Masalah VLAN dan Trunks Missing VLANs (Kehilangan VLAN)
! Jika semua IP address mismatch telah dipecahkan tetapi perangkat masih tidak dapat terhubung, periksa apakah VLAN ada di switch.
Presentation_ID 35 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Pemecahan Masalah VLAN dan Trunks Pengantar Troubleshooting Trunks
Presentation_ID 36 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Pemecahan Masalah VLAN dan Trunks Masalah Umum Dengan Trunks
! Masalah trunking biasanya berhubungan dengan konfigurasi yang salah.
! Jenis kesalahan konfigurasi trunk paling umum adalah: 1. Native VLAN mismatches 2. Trunk mode mismatches 3. Allowed VLANs on trunks
! Jika masalah trunk terdeteksi, pedoman praktek terbaik yang direkomendasikan untuk memecahkan troubleshoot dari urutan teratas.
Presentation_ID 37 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Pemecahan Masalah VLAN dan Trunks Trunk Mode Mismatches
! Jika port pada trunk link dikonfigurasi dengan mode trunk yang tidak kompatibel dengan trunk port lainnya, trunk link gagal untuk dibentuk antara dua switch
! Periksa status trunk port pada switch menggunakan perintah show interface trunk
! Untuk mengatasi masalah, konfigurasi interface sebaiknya menggunakan mode trunk.
Presentation_ID 38 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Pemecahan Masalah VLAN dan Trunks Incorrect VLAN List
! VLAN harus diperbolehkan di trunk sebelum frame-nya dapat ditransmisikan melalui link
! Menggunakan perintah switchport trunk allowed vlan untuk menentukan VLAN yang diizinkan dalam trunk link
! Untuk memastikan/melihat apakah benar VLAN diizinkan di trunk, gunakan perintah show interfaces trunk
Presentation_ID 39 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Serangan terhadap VLAN Switch spoofing Attack ! Ada sejumlah perbedaan tipe serangan VLAN dalam
jaringan switch modern. VLAN hopping adalah salah satunya
! Default configuration dari switch port adalah auto dynamic
! Dengan mengkonfigurasi host untuk bertindak sebagai switch dan membentuk trunk, penyerang bisa mendapatkan akses ke setiap VLAN network.
! Karena penyerang sekarang dapat mengakses VLAN lain, Ini disebut VLAN hopping attack
! Untuk mencegah basic switch spoofing attack, matikan trunking pada semua port, kecuali port-port yang secara khusus membutuhkan trunking
Presentation_ID 40 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Serangan terhadap VLAN Double-Tagging Attack ! Double-tagging attack mengambil keuntungan melalui
hardware pada kebanyakan switch de-enkapsulasi 802.1Q tag
! Kebanyakan switch hanya memiliki 1 level de-enkapsulasi 802.1Q, yang memungkinkan penyerang untuk menanamkan yang ke-dua, penyerang menanamkan header ilegal ke dalam frame
! Setelah membuang yang pertama dan daftarkan header 802.1Q yang baru, switch meneruskan frame ke VLAN yang telah ditentukan dalam header 802.1Q yang ilegal tsb
! Pendekatan terbaik untuk mengurangi double-tagging attacks adalah untuk memastikan bahwa native VLAN dari trunk port berbeda dari VLAN dari port pengguna
Presentation_ID 41 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Serangan terhadap VLAN Double-Tagging Attack
Presentation_ID 42 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Serangan terhadap VLAN PVLAN Edge
! Private VLAN (PVLAN) Edge, juga dikenal sebagai port yang dilindungi, memastikan bahwa tidak ada pertukaran unicast, broadcast, atau multicast traffic antara port yang terlindung pada switch
! Hanya cocok untuk lokal
! Sebuah port yang dilindungi hanya bisa bertukar traffic dengan port yang tidak terlindungi
! Sebuah port yang dilindungi tidak akan bertukar traffic dengan port lain yang dilindungi
Presentation_ID 43 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Disain Praktik Terbaik Untuk VLAN Pedoman Desain VLAN ! Pindahkan semua port dari VLAN1 dan menetapkannya ke
VLAN yang tidak sedang digunakan
! Menutup semua switch port yang tidak terpakai
! Pisahkan manajemen dan user data traffic
! Mengubah manajemen VLAN ke VLAN selain VLAN1. Hal yang sama berlaku juga untuk native VLAN
! Pastikan bahwa hanya perangkat dalam manajemen VLAN yang dapat terhubung ke switch
! Switch harus menerima SSH connections
! Disable auto negotiation pada trunk ports
! Jangan gunakan auto atau mode switchport desirable (yg diinginkan)
Presentation_ID 44 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Bab 3: Ringkasan ! Bab ini memperkenalkan VLAN dan jenis-jenisnya.
! Juga mencakup hubungan antara VLAN dan broadcast domain
! Bab ini juga mencakup IEEE 802.1Q frame tagging dan bagaimana hal itu memungkinkan perbedaan antara Ethernet frames terkait dengan VLAN yang berbeda saat melintasi trunk links.
! Bab ini juga memeriksa konfigurasi, verifikasi, dan troubleshooting VLAN dan trunk menggunakan Cisco IOS CL dan basic security serta pertimbangan rancangan dalam konteks VLAN.
Presentation_ID 45 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Translate by:
! Muhammad Lukman Khakim ([email protected]) &
! Melwin Syafrizal ([email protected])