Chapter 3: Penerapan Keamanan VLAN - E
advertisement
Chapter 3: Penerapan Keamanan VLAN Routing and Switching Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1 Bab 3 3.1 Segmentasi VLAN 3.2 Implementasi VLAN 3.3 Keamanan Dan Desain VLAN 3.4 RINGKASAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2 Bab 3: Tujuan ! Menjelaskan tujuan VLAN dalam switch jaringan ! Menganalisis bagaimana switch meneruskan frame berbasis konfigurasi VLAN di lingkungan multi-switched ! Mengkonfigurasi switch port yang akan ditugaskan ke VLAN tertentu berdasarkan kebutuhan ! Mengkonfigurasi port trunk pada switch LAN ! Mengkonfigurasi Dinamic Trunk Protocol (DTP) ! Troubleshoot VLAN dan konfigurasi trunk pada switch jaringan ! Mengkonfigurasi fitur keamanan untuk mengurangi serangan dalam lingkungan yang ter-segmentasi VLAN ! Menjelaskan praktek terbaik untuk pengamanan lingkungan yang ter-segmentasi VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3 Tinjauan Dari VLAN Definisi VLAN ! VLAN (Virtual LAN) adalah partisi logic dari network layer 2 ! Beberapa partisi dapat dibuat, yang memungkinkan beberapa VLAN untuk aktif secara berdampingan ! Masing-masing VLAN adalah domain broadcast, biasanya dengan IP network-nya sendiri ! VLAN yang saling terisolasi dan paket-paket yang hanya bisa lewat antar VLAN melalui router ! Partisi di layer 2 network berasal dari perangkat layer 2 (biasanya sebuah switch). ! Host yang dikelompokkan dalam VLAN tidak menyadari keberadaan VLAN lain-nya Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4 Tinjauan Dari VLAN Definisi VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5 Tinjauan Dari VLAN Manfaat VLAN ! Keamanan ! Pengurangan biaya ! Kinerja yang lebih baik ! Mengurangi broadcast domain ! Peningkatan efisiensi Staf TI ! Pengelolaan jaringan dan aplikasi lebih mudah Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6 Tinjauan Dari VLAN Jenis VLAN ! Data VLAN ! Default VLAN ! Native VLAN ! Management VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7 Tinjauan Dari VLAN Jenis VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8 Tinjauan Dari VLAN Voice VLAN ! Trafik VoIP adalah waktu-sensitif dan membutuhkan: • Bandwidth yang cukup untuk memastikan kualitas suara • Prioritas transmisi lebih dari jenis paket lainnya di traffic network • Kemampuan untuk diteruskan di sekitar area padat pada jaringan • Toleransi keterlambatan kurang dari 150 ms di seluruh network ! Fitur Voice VLAN ini memungkinkan akses ke port untuk membawa IP voice traffic dari IP phone ! Switch dapat terhubung ke IP phone Cisco 7960 dan membawa trafik IP voice ! Karena kualitas suara panggilan IP phone dapat memburuk jika data tidak dikirim merata, maka switch mendukung Quality of Service (QoS) Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9 Tinjauan Dari VLAN Suara VLAN ! IP phone Cisco 7960 terintegrasi tiga-port 10/100 switch: • Port 1 terhubung ke switch • Port 2 adalah 10/100 interface internal yang membawa trafik IP phone • Port 3 (port akses) menghubungkan ke PC atau perangkat lain. Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10 VLAN dalam Lingkungan Multi-Switched TRUNK VLAN ! Trunk VLAN dapat membawa lebih dari satu VLAN ! Biasanya didirikan antara switch sehingga perangkat di VLAN yang sama dapat berkomunikasi walaupun secara fisik terhubung ke switch yang berbeda ! Trunk VLAN tidak dikaitkan ke setiap VLAN. Termasuk trunk port yang digunakan untuk membangun link trunk ! Cisco IOS mendukung IEEE 802.1q, yang merupakan VLAN trunk protocol yang populer. Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11 VLAN dalam Lingkungan Multi-Switched TRUNK VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12 VLAN dalam Lingkungan Multi-Switched Mengontrol Broadcast Domain dengan VLAN ! VLAN dapat digunakan untuk membatasi jangkauan broadcast frame ! Sebuah VLAN adalah domain broadcast dirinya sendiri ! Oleh karena itu, broadcast frame yang dikirim oleh perangkat dalam VLAN tertentu diteruskan dalam VLAN itu saja. ! Bantuan ini mengendalikan jangkauan broadcast frame yang dapat berdampak dalam jaringan ! Unicast and multicast frame akan diteruskan dalam native VLAN juga Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13 VLAN dalam Lingkungan Multi-Switched Melabeli Ethernet Frame untuk Identifikasi VLAN ! Frame tagging (pelabelan frame) digunakan untuk mengirimkan beberapa VLAN frame melalui trunk link ! Switch semestinya akan melabeli frame untuk mengidentifikasi VLAN. Berbeda dengan tagging protocols, dengan IEEE 802.1q merupakan salah satu protocol trunk yang sangat populer ! Protokol mendefinisikan struktur tagging header yang ditambahkan ke frame ! Switch akan menambah label VLAN ke frame sebelum menempatkan VLAN ke dalam trunk link dan menghapus label tsb sebelum meneruskan frame melalui port non-trunk ! Setelah ditandai dengan benar, frame dapat melintas ke sejumlah switch melalui link trunk dan masih bisa meneruskan ke tempat VLAN tujuan dengan benar 14 Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential VLAN dalam Lingkungan Multi-Switched Melabeli Ethernet Frame untuk Identifikasi VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15 VLAN dalam Lingkungan Multi-Switched Native VLAN dan Label 802.1q ! Sebuah frame yang dimiliki oleh native VLAN tidak akan ditandai (dilabeli) ! Sebuah frame yang diterima tanpa label ditempatkan di native VLAN dan diteruskan ! Jika tidak ada port yang berhubungan dengan native VLAN dan tidak ada trunk link lain, frame yang tidak ditandai akan di dropp ! Secara default pada switch Cisco,native VLAN adalah VLAN 1 Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16 VLAN dalam Lingkungan Multi-Switched Label Voice VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17 Penugasan VLAN Rentang VLAN pada Catalyst Switch ! Catalyst 2960 dan 3560 Series switch mendukung lebih dari 4.000 VLAN ! VLAN dibagi menjadi 2 kategori: ! Rentang normal VLAN • Nomor VLAN dari 1 sampai 1005 • Konfigurasi disimpan dalam vlan.dat (di flash) • VTP hanya bisa dan menyimpan rentang normal VLAN ! Rentang perpanjangan VLAN • VLAN nomor dari 1006 sampai 4096 • Konfigurasi disimpan di running-config (Dalam NVRAM) • VTP tidak bisa memperpanjang rentang VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18 Penugasan VLAN Membuat VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19 Penugasan VLAN Menetapkan Ports Untuk VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 20 Penugasan VLAN Menetapkan Ports Untuk VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21 Penugasan VLAN Mengubah Keanggotaan Port VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22 Penugasan VLAN Mengubah Keanggotaan Port VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 23 Penugasan VLAN Menghapus VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24 Penugasan VLAN Memverifikasi Informasi VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25 Penugasan VLAN Memverifikasi Informasi VLAN Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26 Penugasan VLAN Konfigurasi IEEE 802.1q Trunk Link Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 27 Penugasan VLAN Reset Trunk Untuk Default Negara Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 28 Penugasan VLAN Reset Trunk Untuk Default Negara Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 29 Penugasan VLAN Memverifikasi Konfigurasi Trunk Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 30 Dinamis Trunking Protokol Pengantar DTP ! Port switch dapat dikonfigurasi secara manual untuk membentuk trunk ! Port switch juga dapat dikonfigurasi untuk berunding dan membangun trunk link dengan di koneksi peer ! Dynamic Trunking Protocol (DTP) adalah protokol yang digunakan untuk mengelola trunk negotiation ! DTP adalah protokol milik Cisco dan diaktifkan secara default di Cisco Catalyst Switch 2960 dan 3560 ! Jika port pada switch tetangga dikonfigurasi dalam mode trunk yang mendukung DTP, itu untuk mengelola negotiation ! Default DTP configuration untuk Cisco Catalyst 2960 dan 3560 switch adalah auto dynamic 31 Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Dinamis Trunking Protokol Negotiated Interface Modes ! Cisco Catalyst 2960 dan 3560 mendukung mode trunk berikut: • switchport mode dynamic auto • switchport mode dynamic desirable • switchport mode trunk • switchport nonegotiate Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 32 Pemecahan Masalah VLAN dan Trunks Mengatasi Masalah dengan VLAN ! Praktek sangat umum untuk mengasosiasikan VLAN dengan IP network ! Karena jika berbeda IP network hanya bisa berkomunikasi melalui router, semua perangkat dalam VLAN harus menjadi bagian dari IP network yang sama untuk dapat berkomunikasi ! Pada gambar di bawah ini, PC1 tidak dapat berkomunikasi ke server karena memiliki IP address yang salah konfigurasi Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 33 Pemecahan Masalah VLAN dan Trunks Missing VLANs (Kehilangan VLAN) ! Jika semua IP address mismatch telah dipecahkan tetapi perangkat masih tidak dapat terhubung, periksa apakah VLAN ada di switch. Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 34 Pemecahan Masalah VLAN dan Trunks Pengantar Troubleshooting Trunks Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 35 Pemecahan Masalah VLAN dan Trunks Masalah Umum Dengan Trunks ! Masalah trunking biasanya berhubungan dengan konfigurasi yang salah. ! Jenis kesalahan konfigurasi trunk paling umum adalah: 1. Native VLAN mismatches 2. Trunk mode mismatches 3. Allowed VLANs on trunks ! Jika masalah trunk terdeteksi, pedoman praktek terbaik yang direkomendasikan untuk memecahkan troubleshoot dari urutan teratas. Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 36 Pemecahan Masalah VLAN dan Trunks Trunk Mode Mismatches ! Jika port pada trunk link dikonfigurasi dengan mode trunk yang tidak kompatibel dengan trunk port lainnya, trunk link gagal untuk dibentuk antara dua switch ! Periksa status trunk port pada switch menggunakan perintah show interface trunk ! Untuk mengatasi masalah, konfigurasi interface sebaiknya menggunakan mode trunk. Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 37 Pemecahan Masalah VLAN dan Trunks Incorrect VLAN List ! VLAN harus diperbolehkan di trunk sebelum frame-nya dapat ditransmisikan melalui link ! Menggunakan perintah switchport trunk allowed vlan untuk menentukan VLAN yang diizinkan dalam trunk link ! Untuk memastikan/melihat apakah benar VLAN diizinkan di trunk, gunakan perintah show interfaces trunk Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 38 Serangan terhadap VLAN Switch spoofing Attack ! Ada sejumlah perbedaan tipe serangan VLAN dalam jaringan switch modern. VLAN hopping adalah salah satunya ! Default configuration dari switch port adalah auto dynamic ! Dengan mengkonfigurasi host untuk bertindak sebagai switch dan membentuk trunk, penyerang bisa mendapatkan akses ke setiap VLAN network. ! Karena penyerang sekarang dapat mengakses VLAN lain, Ini disebut VLAN hopping attack ! Untuk mencegah basic switch spoofing attack, matikan trunking pada semua port, kecuali port-port yang secara khusus membutuhkan trunking Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 39 Serangan terhadap VLAN Double-Tagging Attack ! Double-tagging attack mengambil keuntungan melalui hardware pada kebanyakan switch de-enkapsulasi 802.1Q tag ! Kebanyakan switch hanya memiliki 1 level de-enkapsulasi 802.1Q, yang memungkinkan penyerang untuk menanamkan yang ke-dua, penyerang menanamkan header ilegal ke dalam frame ! Setelah membuang yang pertama dan daftarkan header 802.1Q yang baru, switch meneruskan frame ke VLAN yang telah ditentukan dalam header 802.1Q yang ilegal tsb ! Pendekatan terbaik untuk mengurangi double-tagging attacks adalah untuk memastikan bahwa native VLAN dari trunk port berbeda dari VLAN dari port pengguna Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 40 Serangan terhadap VLAN Double-Tagging Attack Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 41 Serangan terhadap VLAN PVLAN Edge ! Private VLAN (PVLAN) Edge, juga dikenal sebagai port yang dilindungi, memastikan bahwa tidak ada pertukaran unicast, broadcast, atau multicast traffic antara port yang terlindung pada switch ! Hanya cocok untuk lokal ! Sebuah port yang dilindungi hanya bisa bertukar traffic dengan port yang tidak terlindungi ! Sebuah port yang dilindungi tidak akan bertukar traffic dengan port lain yang dilindungi Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 42 Disain Praktik Terbaik Untuk VLAN Pedoman Desain VLAN ! Pindahkan semua port dari VLAN1 dan menetapkannya ke VLAN yang tidak sedang digunakan ! Menutup semua switch port yang tidak terpakai ! Pisahkan manajemen dan user data traffic ! Mengubah manajemen VLAN ke VLAN selain VLAN1. Hal yang sama berlaku juga untuk native VLAN ! Pastikan bahwa hanya perangkat dalam manajemen VLAN yang dapat terhubung ke switch ! Switch harus menerima SSH connections ! Disable auto negotiation pada trunk ports ! Jangan gunakan auto atau mode switchport desirable (yg diinginkan) 43 Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Bab 3: Ringkasan ! Bab ini memperkenalkan VLAN dan jenis-jenisnya. ! Juga mencakup hubungan antara VLAN dan broadcast domain ! Bab ini juga mencakup IEEE 802.1Q frame tagging dan bagaimana hal itu memungkinkan perbedaan antara Ethernet frames terkait dengan VLAN yang berbeda saat melintasi trunk links. ! Bab ini juga memeriksa konfigurasi, verifikasi, dan troubleshooting VLAN dan trunk menggunakan Cisco IOS CL dan basic security serta pertimbangan rancangan dalam konteks VLAN. Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 44 Translate by: ! Muhammad Lukman Khakim ([email protected]) & ! Melwin Syafrizal ([email protected]) Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 45