Chapter 3: Penerapan Keamanan...

© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 1

Chapter 3: Penerapan Keamanan VLAN

Routing and Switching

Presentation_ID 2 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential

Bab 3 3.1 Segmentasi VLAN

3.2 Implementasi VLAN

3.3 Keamanan Dan Desain VLAN

3.4 RINGKASAN


Bab 3: Tujuan ! Menjelaskan tujuan VLAN dalam switch jaringan

! Menganalisis bagaimana switch meneruskan frame berbasis konfigurasi VLAN di lingkungan multi-switched

! Mengkonfigurasi switch port yang akan ditugaskan ke VLAN tertentu

berdasarkan kebutuhan

! Mengkonfigurasi port trunk pada switch LAN

! Mengkonfigurasi Dinamic Trunk Protocol (DTP)

! Troubleshoot VLAN dan konfigurasi trunk pada switch jaringan

! Mengkonfigurasi fitur keamanan untuk mengurangi serangan dalam lingkungan yang ter-segmentasi VLAN

! Menjelaskan praktek terbaik untuk pengamanan lingkungan yang ter-segmentasi VLAN


Tinjauan Dari VLAN

Definisi VLAN ! VLAN (Virtual LAN) adalah partisi logic dari network layer 2

! Beberapa partisi dapat dibuat, yang memungkinkan beberapa VLAN untuk aktif secara berdampingan

! Masing-masing VLAN adalah domain broadcast, biasanya dengan IP network-nya sendiri

! VLAN yang saling terisolasi dan paket-paket yang hanya bisa lewat antar VLAN melalui router

! Partisi di layer 2 network berasal dari perangkat layer 2 (biasanya sebuah switch).

! Host yang dikelompokkan dalam VLAN tidak menyadari keberadaan VLAN lain-nya


Tinjauan Dari VLAN

Definisi VLAN


Tinjauan Dari VLAN

Manfaat VLAN ! Keamanan

! Pengurangan biaya

! Kinerja yang lebih baik

! Mengurangi broadcast domain

! Peningkatan efisiensi Staf TI

! Pengelolaan jaringan dan aplikasi lebih mudah


Tinjauan Dari VLAN

Jenis VLAN ! Data VLAN

! Default VLAN

! Native VLAN

! Management VLAN


Tinjauan Dari VLAN

Jenis VLAN


Tinjauan Dari VLAN

Voice VLAN ! Trafik VoIP adalah waktu-sensitif dan membutuhkan:

• Bandwidth yang cukup untuk memastikan kualitas suara • Prioritas transmisi lebih dari jenis paket lainnya di traffic network • Kemampuan untuk diteruskan di sekitar area padat pada jaringan • Toleransi keterlambatan kurang dari 150 ms di seluruh network

! Fitur Voice VLAN ini memungkinkan akses ke port untuk membawa IP voice traffic dari IP phone

! Switch dapat terhubung ke IP phone Cisco 7960 dan membawa trafik IP voice

! Karena kualitas suara panggilan IP phone dapat memburuk jika data tidak dikirim merata, maka switch mendukung Quality of Service (QoS)


Tinjauan Dari VLAN

Suara VLAN ! IP phone Cisco 7960 terintegrasi tiga-port 10/100

switch: • Port 1 terhubung ke switch • Port 2 adalah 10/100 interface internal yang membawa trafik

IP phone • Port 3 (port akses) menghubungkan ke PC atau perangkat

lain.


VLAN dalam Lingkungan Multi-Switched

TRUNK VLAN ! Trunk VLAN dapat membawa lebih dari satu VLAN

! Biasanya didirikan antara switch sehingga perangkat di VLAN yang sama dapat berkomunikasi walaupun secara fisik terhubung ke switch yang berbeda

! Trunk VLAN tidak dikaitkan ke setiap VLAN. Termasuk trunk port yang digunakan untuk membangun link trunk

! Cisco IOS mendukung IEEE 802.1q, yang merupakan VLAN trunk protocol yang populer.


VLAN dalam Lingkungan Multi-Switched

TRUNK VLAN


VLAN dalam Lingkungan Multi-Switched Mengontrol Broadcast Domain dengan VLAN

! VLAN dapat digunakan untuk membatasi jangkauan broadcast frame

! Sebuah VLAN adalah domain broadcast dirinya sendiri

! Oleh karena itu, broadcast frame yang dikirim oleh perangkat dalam VLAN tertentu diteruskan dalam VLAN itu saja.

! Bantuan ini mengendalikan jangkauan broadcast frame yang dapat berdampak dalam jaringan

! Unicast and multicast frame akan diteruskan dalam native VLAN juga


VLAN dalam Lingkungan Multi-Switched Melabeli Ethernet Frame untuk Identifikasi VLAN

! Frame tagging (pelabelan frame) digunakan untuk mengirimkan beberapa VLAN frame melalui trunk link

! Switch semestinya akan melabeli frame untuk mengidentifikasi VLAN. Berbeda dengan tagging protocols, dengan IEEE 802.1q merupakan salah satu protocol trunk yang sangat populer

! Protokol mendefinisikan struktur tagging header yang ditambahkan ke frame

! Switch akan menambah label VLAN ke frame sebelum menempatkan VLAN ke dalam trunk link dan menghapus label tsb sebelum meneruskan frame melalui port non-trunk

! Setelah ditandai dengan benar, frame dapat melintas ke sejumlah switch melalui link trunk dan masih bisa meneruskan ke tempat VLAN tujuan dengan benar


VLAN dalam Lingkungan Multi-Switched Melabeli Ethernet Frame untuk Identifikasi VLAN


VLAN dalam Lingkungan Multi-Switched Native VLAN dan Label 802.1q ! Sebuah frame yang dimiliki oleh native VLAN tidak

akan ditandai (dilabeli)

! Sebuah frame yang diterima tanpa label ditempatkan di native VLAN dan diteruskan

! Jika tidak ada port yang berhubungan dengan native VLAN dan tidak ada trunk link lain, frame yang tidak ditandai akan di dropp

! Secara default pada switch Cisco,native VLAN adalah VLAN 1


VLAN dalam Lingkungan Multi-Switched Label Voice VLAN


Penugasan VLAN

Rentang VLAN pada Catalyst Switch ! Catalyst 2960 dan 3560 Series switch mendukung lebih

dari 4.000 VLAN

! VLAN dibagi menjadi 2 kategori:

! Rentang normal VLAN • Nomor VLAN dari 1 sampai 1005 • Konfigurasi disimpan dalam vlan.dat (di flash) • VTP hanya bisa dan menyimpan rentang normal VLAN

! Rentang perpanjangan VLAN • VLAN nomor dari 1006 sampai 4096 • Konfigurasi disimpan di running-config (Dalam NVRAM) • VTP tidak bisa memperpanjang rentang VLAN


Penugasan VLAN

Membuat VLAN


Penugasan VLAN

Menetapkan Ports Untuk VLAN


Penugasan VLAN

Mengubah Keanggotaan Port VLAN


Penugasan VLAN Mengubah Keanggotaan Port VLAN


Penugasan VLAN

Menghapus VLAN


Penugasan VLAN

Memverifikasi Informasi VLAN


Penugasan VLAN

Konfigurasi IEEE 802.1q Trunk Link


Penugasan VLAN

Reset Trunk Untuk Default Negara


Penugasan VLAN

Memverifikasi Konfigurasi Trunk


Dinamis Trunking Protokol Pengantar DTP ! Port switch dapat dikonfigurasi secara manual untuk

membentuk trunk

! Port switch juga dapat dikonfigurasi untuk berunding dan membangun trunk link dengan di koneksi peer

! Dynamic Trunking Protocol (DTP) adalah protokol yang digunakan untuk mengelola trunk negotiation

! DTP adalah protokol milik Cisco dan diaktifkan secara default di Cisco Catalyst Switch 2960 dan 3560

! Jika port pada switch tetangga dikonfigurasi dalam mode trunk yang mendukung DTP, itu untuk mengelola negotiation

! Default DTP configuration untuk Cisco Catalyst 2960 dan 3560 switch adalah auto dynamic


Dinamis Trunking Protokol Negotiated Interface Modes

! Cisco Catalyst 2960 dan 3560 mendukung mode trunk berikut:

• switchport mode dynamic auto • switchport mode dynamic desirable • switchport mode trunk • switchport nonegotiate


Pemecahan Masalah VLAN dan Trunks Mengatasi Masalah dengan VLAN

! Praktek sangat umum untuk mengasosiasikan VLAN dengan IP network

! Karena jika berbeda IP network hanya bisa berkomunikasi melalui router, semua perangkat dalam VLAN harus menjadi bagian dari IP network yang sama untuk dapat berkomunikasi

! Pada gambar di bawah ini, PC1 tidak dapat berkomunikasi ke server karena memiliki IP address yang salah konfigurasi


Pemecahan Masalah VLAN dan Trunks Missing VLANs (Kehilangan VLAN)

! Jika semua IP address mismatch telah dipecahkan tetapi perangkat masih tidak dapat terhubung, periksa apakah VLAN ada di switch.


Pemecahan Masalah VLAN dan Trunks Pengantar Troubleshooting Trunks


Pemecahan Masalah VLAN dan Trunks Masalah Umum Dengan Trunks

! Masalah trunking biasanya berhubungan dengan konfigurasi yang salah.

! Jenis kesalahan konfigurasi trunk paling umum adalah: 1. Native VLAN mismatches 2. Trunk mode mismatches 3. Allowed VLANs on trunks

! Jika masalah trunk terdeteksi, pedoman praktek terbaik yang direkomendasikan untuk memecahkan troubleshoot dari urutan teratas.


Pemecahan Masalah VLAN dan Trunks Trunk Mode Mismatches

! Jika port pada trunk link dikonfigurasi dengan mode trunk yang tidak kompatibel dengan trunk port lainnya, trunk link gagal untuk dibentuk antara dua switch

! Periksa status trunk port pada switch menggunakan perintah show interface trunk

! Untuk mengatasi masalah, konfigurasi interface sebaiknya menggunakan mode trunk.


Pemecahan Masalah VLAN dan Trunks Incorrect VLAN List

! VLAN harus diperbolehkan di trunk sebelum frame-nya dapat ditransmisikan melalui link

! Menggunakan perintah switchport trunk allowed vlan untuk menentukan VLAN yang diizinkan dalam trunk link

! Untuk memastikan/melihat apakah benar VLAN diizinkan di trunk, gunakan perintah show interfaces trunk


Serangan terhadap VLAN Switch spoofing Attack ! Ada sejumlah perbedaan tipe serangan VLAN dalam

jaringan switch modern. VLAN hopping adalah salah satunya

! Default configuration dari switch port adalah auto dynamic

! Dengan mengkonfigurasi host untuk bertindak sebagai switch dan membentuk trunk, penyerang bisa mendapatkan akses ke setiap VLAN network.

! Karena penyerang sekarang dapat mengakses VLAN lain, Ini disebut VLAN hopping attack

! Untuk mencegah basic switch spoofing attack, matikan trunking pada semua port, kecuali port-port yang secara khusus membutuhkan trunking


Serangan terhadap VLAN Double-Tagging Attack ! Double-tagging attack mengambil keuntungan melalui

hardware pada kebanyakan switch de-enkapsulasi 802.1Q tag

! Kebanyakan switch hanya memiliki 1 level de-enkapsulasi 802.1Q, yang memungkinkan penyerang untuk menanamkan yang ke-dua, penyerang menanamkan header ilegal ke dalam frame

! Setelah membuang yang pertama dan daftarkan header 802.1Q yang baru, switch meneruskan frame ke VLAN yang telah ditentukan dalam header 802.1Q yang ilegal tsb

! Pendekatan terbaik untuk mengurangi double-tagging attacks adalah untuk memastikan bahwa native VLAN dari trunk port berbeda dari VLAN dari port pengguna


Serangan terhadap VLAN Double-Tagging Attack


Serangan terhadap VLAN PVLAN Edge

! Private VLAN (PVLAN) Edge, juga dikenal sebagai port yang dilindungi, memastikan bahwa tidak ada pertukaran unicast, broadcast, atau multicast traffic antara port yang terlindung pada switch

! Hanya cocok untuk lokal

! Sebuah port yang dilindungi hanya bisa bertukar traffic dengan port yang tidak terlindungi

! Sebuah port yang dilindungi tidak akan bertukar traffic dengan port lain yang dilindungi


Disain Praktik Terbaik Untuk VLAN Pedoman Desain VLAN ! Pindahkan semua port dari VLAN1 dan menetapkannya ke

VLAN yang tidak sedang digunakan

! Menutup semua switch port yang tidak terpakai

! Pisahkan manajemen dan user data traffic

! Mengubah manajemen VLAN ke VLAN selain VLAN1. Hal yang sama berlaku juga untuk native VLAN

! Pastikan bahwa hanya perangkat dalam manajemen VLAN yang dapat terhubung ke switch

! Switch harus menerima SSH connections

! Disable auto negotiation pada trunk ports

! Jangan gunakan auto atau mode switchport desirable (yg diinginkan)


Bab 3: Ringkasan ! Bab ini memperkenalkan VLAN dan jenis-jenisnya.

! Juga mencakup hubungan antara VLAN dan broadcast domain

! Bab ini juga mencakup IEEE 802.1Q frame tagging dan bagaimana hal itu memungkinkan perbedaan antara Ethernet frames terkait dengan VLAN yang berbeda saat melintasi trunk links.

! Bab ini juga memeriksa konfigurasi, verifikasi, dan troubleshooting VLAN dan trunk menggunakan Cisco IOS CL dan basic security serta pertimbangan rancangan dalam konteks VLAN.


Translate by:

! Muhammad Lukman Khakim ([email protected]) &

! Melwin Syafrizal ([email protected])

Chapter 3: Penerapan Keamanan...

Documents

Transcript of Chapter 3: Penerapan Keamanan...