Senin, 18 Oktober 2010

Rentan Services Router dan antarmuka


Rentan Services Router dan antarmuka
Cisco routers mendukung sejumlah besar layanan jaringan di Layers 2, 3, 4, dan 7, seperti dijelaskan pada gambar. Beberapa dari layanan ini adalah protocol aplikasi layer yang mengizinkan pengguna dan host  terhubung ke router. Sedangkan yang lain adalah proses otomatis dan pengaturan yang ditujukan untuk mendukung atau khusus konfigurasi yang memiliki risiko keamanan. Beberapa dari layanan ini dapat dibatasi atau dinonaktifkan untuk meningkatkan keamanan tanpa menurunkan operasional menggunakan router. Praktek umum keamanan untuk router harus digunakan hanya untuk mendukung  jalan dan kebutuhan protocol sebuah jaringan.
Sebagian besar layanan yang tercantum dalam bagian ini biasanya tidak diperlukan. Tabel pada gambar menjelaskan layanan umum rentan router dan daftar penerapan terbaik untuk layanan-layanan yang terkait.
Menonaktifkan layanan jaringan pada router itu sendiri tidak mencegah router untuk mendukung protocol jaringan itu digunakan. Sebagai contoh, sebuah jaringan mungkin akan meminta layanana TFTP untuk file- file konfigurasi cadangan dan gambar IOS. Layanan ini biasanya disediakan oleh dedicated TFTP server. Dalam beberapa kasus, sebuah router juga dapat dikonfigurasi sebagai  TFTP server. Namun, hal ini sangat jarang terjadi.oleh karena itu, dalam banyak kasus layanan TFTP  pada router harus dimatikan.
Dalam banyak kasus, Cisco ios software seluruhnya mendukung layanan turning off, atau membatasi akses ke segmen jaringan tertentu atau set host. Jika bagian tertentu membutuhkan layanan tetapi yang lainya tidak, maka pembatasan fitur yang harus digunakan untuk membatasi ruang lingkup layanan.
Menonaktifkan fitur jaringan secara otomatis biasanya mencegah jalur jaringan jenis tertentu yang dip roses oleh router, atau mencegah dari lintasan router. Misalnya,routing dari source ip yang menggunakan sedikit  fitur pada ip yang dapat  digunakan dalam penyerangan jaringan. Kecuali diperlukan untuk operasi jaringan, IP source routing harus dinonaktifkan.
Catatan: CDP berpengaruh di beberapa implementasi IP Phone. Hal ini perlu dipertimbangkan sebelum menonaktifkan layanan inisecara luas.
Ada berbagai perintah yang diperlukan untuk menonaktifkan layanan.output show running-config pada gambar memberikan berbagai contoh configurasi layanan yang telah dinonaktifkan. Layanan yang biasanya harus dinonaktifkan tercantum di bawah ini.
·         Small services seperti echo, discard, dan chargen – menggunakan perintah no service tcp-small-servers atau  no service udp-small-servers
·         BOOTP – menggunakan perintah no ip bootp server
·         Finger - menggunakan perintah no service finger
·         HTTP - menggunakan perintah no ip http server
·         SNMP - menggunakan perintah no snmp-server.

Penting juga untuk menonaktifkan layanan yang memungkinkan paket tertentu untuk melewati router, mengirimkan paket-paket khusus, atau digunakan untuk konfigurasi router dari jauh. Perintah yang sesuai untuk menonaktifkan layanan ini adalah:
  • Cisco Discovery Protocol (CDP) - menggunakan perintah no cdp run 
  • Remote configuration - menggunakan perintah no service config  
  • Source routing - menggunakan perintah no ip source-route
  • Classless routing - menggunakan perintah no ip classless .

Dengan interface  pada router dapat dibuat lebih aman dengan menggunakan beberapa perintah dalam  konfigurasi interface:
  • Interface yang tidak digunakan - Gunakan perintah shutdown.
  • No SMURF attacks - Gunakan perintah no ip directed-broadcast   
  • Ad hoc routing - Gunakan perintah no ip proxy-arp  

SNMP, NTP, and DNS Vulnerabilities
tiga menejemen service yang juga harus di amanakan. Metode untuk menonaktifkan atau tuning konfigurasi untuk layanan ini akan dijelaskan di dalam kursus ini. Layanan ini tercakup dalam CCNP pada bagian Implementing Secure Converged Wide-Area Network. Penjelasan dan panduan untuk  pengamanan layanan ini tercantum di bawah ini.
SNMP
SNMP adalah protokol Internet standar untuk pemantauan dan administrasi otomatis jarak jauh. Ada beberapa versi yang berbeda pada SNMP dengan security property yang tidak sama. Versi SNMP sebelum versi 3 mengumpulkan informasi yang jelas dalam teks. Biasanya, SNMP versi 3 harus digunakan.
NTP
Cisco router dan host lainnya menggunakan NTP untuk menjaga time-of-day tetap akurat. Jika memungkinkan, administrator jaringan harus mengkonfigurasikan semua router sebagai bagian dari NTP hirarki, yang membuat sebuah router untuk master timer yang menyediakan waktu untuk router lain. Jika NTP hirarki tidak tersedia pada jaringan, anda harus menonaktifkan NTP. Menonaktifkan NTP pada sebuah antarmuka tidak dapat mencegah pesan NTP dari lintasan router. Untuk menolak semua pesan NTP pada interface tertentu, menggunakan daftar akses.
DNS
Cisco ios software mendukung pencarian hostname dengan Domain Name System (DNS). DNS menyediakan pemetaan antara nama dan ip, seperti central.mydomain.com ke alamat IP, seperti 14.2.9.250.

Sayangnya, dasar DNS protokol tidak otentikasi atau tidak menawarkan jaminan integritas. Secara default,pertanyaan dikirimkan ke alamat broadcast 255.255.255.255.
Jika satu atau lebih nama server yang tersedia pada jaringan, dan jika menginginkan untuk menginginkan untuk menggunakan dalam perintah cisco ios, secara tegas menetapkan nama alamat server dengan menggunakan  konfigurasi global dengan perintah ip name-server. Jika tidak, matikan resolusi nama DNS dengan perintah no ip domain-lookup. Ini juga ide yang baik untuk memberikan router nama, dengan menggunakan perintah hostname. Nama yang diberikan ke router akan  muncul di prompt.

4.3.2 Securing Routing Protocol
Routing Protocol Authentication Overview
Sebagai administrator jaringan, Anda harus sadar bahwa router Anda beresiko mendapat serangan seperti halnya sebagai pengguna akhir pada sistem. Siapapun yang memiliki paket sniffer seperti Wireshark dapat membaca informasi propagating antara router. Secara umum, routing sistem dapat diserang dengan dua cara:
·         gangguan dari sesama
·         pemalsuan informasi routing
Gangguan yang pertama adalah gangguan yang kurang mengganggu karena routing protocol dapat menyembuhkan dirinya sendiri. Maka gangguan yg kedua lebih mengganggu diantar kedua serangan diatas.
 Pemalsuan informasi routing adalah kelas yang lebih halus  dengan menyerang target informasi yang dibawa dalam routing protocol. pemalsuan informasi routing umumnya digunakan untuk memberikan  keterangan yang salah (kebohongan) kepada sistem  satu sama lain,dan menyebabkan DoS, atau menyebabkan jalurnya mengalami perubahan. akibat dari pemalsuan informasi routing adalah sebagai berikut:
1. Mengarahkan ulang lalu lintas untuk membuat routing loops seperti pada gambar
2. Mengarahkan ulang lalu lintas sehingga dapat memonitor pada link yang aman
3. Mengarahkan ulang lalu lintas untuk membuang informasi
Sebuah cara mudah untuk menyerang sistem routing pada router yang menjalankan routing protokol, mendapatkan akses ke router dan memasukan informasi palsu. Menyadari bahwa ada yang "mempelajari" dan mencoba  menangkap routing update.
Click the Play button in the figure to view an animation of a routing loop attack.
Animasi yang menunjukkan contoh dari sebuah serangan yang membuat routing loop. Penyerang yang mampu terhubung langsung ke link antara router R2 dan R3. Penyerang akan memasukan informasi routing palsu hanya ke router R1 menunjukkan bahwa R3 adalah pilihan tujuan dengan rute 192.168.10.10/32. Meskipun R1 memiliki entri tabel routing yang langsung terhubung ke jaringan 192.168.10.0/24, ia akan menambahkan rute yang dimasukan tadi ke tabel routing karena sebuah jalur dengan subnet mask yang besar akan dianggap sebagai superior untuk sebuah jalur daripada subnet mask yg lebih pendek. Akibatnya ketika router menerima paket akan memilih subnet mask yang lebih panjang karena rutenya lebih tepat ke tujuan.
PC3 ketika mengirimkan sebuah paket ke Pc1 (192.168.10.10/24), R1 tidak akan meneruskan paket ke Pc1. Sebaliknya akan mengirimkan paket ke router R3, karena sejauh itu adalah jalur terbaik untuk 192.168.10.10/32 yaitu melalui R3. ketika R3 mendapatkan paket itu, akan terlihat dalam tabel routing dan paket diteruskan kembali ke R1, sehingga terjadi loop.
Cara terbaik untuk melindungi informasi routing pada jaringan dengan menggunakan algoritma MD5 authentication pada routing protokol. Algoritma MD5 mengijinkan router untuk membandingkan singnature yang harus sama.
Click the Protect Update button in the figure.
Gambar menunjukkan bagaimana setiap router mengupdate chain dalam membuat sebuah signature.. Tiga komponen yang termasuk dalam  sistem itu meliputi:
1. Algoritma enkripsi yang  lebih dikenal secara umum
2. Kunci yang digunakan dalam algoritma enkripsi, yaitu sebuah kunci rahasia yang dibagi oleh router untuk mengotentikasi paket router.
3. Isi paket itu sendiri
Click the Operation button in the figure.
Click Play to view an  animation.
Pada animasi kita lihat bagaimana setiap router mengotentikasi  informasi routing. Secara umum, pemula dari informasi routing menghasilkan sebuah signature menggunakan kunci dari routing data ini mengenai pengiriman sebagai input untuk algoritma enkripsi. Router  menerima data routing ini dan kemudian dapat mengulangi proses menggunakan key  yang sama, data yang telah diterima, dan data routing yang sama. Jika signature penerima memiliki hasil penghitungan yang  sama dengan signature pengirim , maka data dan kunci harus sama sebagai pemancar yang mengirimkan data dan updatenya harus diotentikasi
RIPv2, EIGRP, OSPF, IS-IS, BGP dan semua mendukung berbagai bentuk MD5 otentikasi.
Configuring RIPv2 with Routing Protocol Authentication
topologi pada gambar yang menampilkan sebuah  jaringan yang dikonfigurasi dengan menggunakan routing protokol RIPv2.  RIPv2 mendukung routing protokol otentikasi. Untuk mengamankan  routing update setiap router harus dikonfigurasi agar dapat mendukung otentikasi. Langkah-langkah untuk mengamankan update RIPv2  adalah sebagai berikut:
Langkah 1. Mencegah RIP routing update perambatan
 Langkah 2. mencegah penerimaan dari update RIP yang tidak sah
Langkah 3. memverifikasi pengoperasian routing RIP
Prevent RIP Routing Update Propagation
 Anda perlu mencegah seorang pengacau yang mendengarkan  jaringan dari penerimaan update yang mana mereka tidak di ijinkan untuk menerimanya. Anda melakukannya dengan memaksa semua interace router dalam keadaan pasif mode, dan kemudian mengaktfikan interface yang dibutuhkan untuk mengirim dan menerima  update RIP. Sebuah interface yang dalam keadaan pasif mode hanya dapat menerima update tetapi tidak dapat mengirimkan update.  Anda harus mengkonfigurasi seluruh interface router anda dalam keadaan pasif mode.
Klik key Config kemudian Langkah 1.
Pada gambar menunjukkan perintah-perintah konfigurasi untuk mengatur interface mana yang akan berpartisipasi dalam routing update.  Routing update seharusnya tidak di beritahukan kepada interface yang tidak terhubung dengan router lainnya. Misalnya, LAN interface router R1 tidak terhubung ke router lainnya dan sebaiknya tidak memberitahukan update routing. Hanya interface S0/0/0 pada router R1 sebaiknya memberitahukan routing updates.
Pada layar output, perintah passive-interface default   menonaktifkan advertisements pada semua interface. Perintah ini juga termasuk s0/0/0,  perintah no passive-interface default mengaktifkan interface s0/0/0 untuk mengirim dan menerima update RIP.
Klik key maka topologi Langkah 2.
Pada Output tersebut menunjukkan perintah untuk mengkonfigurasi routing protokol autentikasi pada R1, router R2 dan R3 juga harus di konfigurasi dengan perintah ini  pada interface yang tepat.
 contoh tersebut menunjukkan peerintah nutk membuat key chain yang diberi  nam RIP_KEY,walaupun bberapa key dapat dianggap contoh kita menunjukkan satu key. key 1 dikonfigurasi  berisi kunci string yang disebut  cisco. Key string sama dengan sebuah password dan router saling bertukar otentikasi kunci harus dikonfigurasi dengan key string yang sama. Interface S0/0/0 dikonfigurasi untuk mendukung otentikasi MD5. The RIP_KEY chain dan routing update, diproses dengan menggunakan algoritma MD5 untuk membuat singnature yang unik.
Setelah R1 dikonfigurasi, router yang lainnya akan menerima update routing yang dienkripsi dan akibatnya tidak mampu menguraikan update dari R1. Kondisi ini akan tetap sama sampai setiap router dalam jaringan dikonfigurasi dengan otentikasi routing protokol.
Click the Topology button then Step 3.
Memverifikasi Operasi dari RIP Routing
Setelah  kamu mengkonfigurasi semua router dalam jaringan anda harus memverifikasi operasi routing RIP dalam jaringan.
Klik key Config maka Langkah 3.
Menggunakan perintah show ip route akan mengeluarkan konfirmasi pada router R1 yang telah di authentikasi oleh router lainnya dan telah mampu memperoleh rute dari router R2 dan R3.
Overview of Routing Protocol Authentication for EIGRP and OSPF
 Routing protokol otentikasi juga dapat dikonfigurasi dengan  routing protokol lainnya seperti EIGRP dan OSPF. Untuk rincian pada routing protokol otentikasi untuk EIGRP dan OSPF, lihat CCNP2: Implementing Secure Converged Wide-area Networks.
Click the EIGRP button in the figure.
EIGRP
Gambar tersebut menunjukkan perintah yang digunakan untuk mengkonfigurasi routing protokol otentikasi pada EIGRP di router R1. Perintah -perintah ini sangat mirip dengan yang Anda gunakan untuk otentikasi RIPv2 MD5. Langkah-langkah untuk mengkonfigurasi  EIGRP otentikasi routing protokol pada R1 adalah sebagai berikut:
Langkah 1. The top highlighted area menunjukkan bagaimana cara membuat sebuah key chain yang akan digunakan oleh semua router di jaringan anda. Perintah - perintah ini membuat sebuah key chain bernama EIGRP_KEY t dan letakkan terminal kamu di dalam keychain konfigurasi mode, jumlah key 1 dan key string nilai cisco.
Langkah 2. he bottom highlighted area menunjukkan cara mengaktifkan otentikasi MD5 dalam sebuah lintasan interface paket EIGRP
Click the OSPF button in the figure.
OSPF
Gambar tersebut menunjukkan perintah - perintah yang digunakan untuk mengkonfigurasi otentikasi  routing protokol untuk OSPF pada router R1 di interface S0/0/0. Perintah pertama yang akan digunakan untuk otentikasi MD5. Perintah Berikutnya memungkinkan otentikasi MD5.
Kegiatan ini meliputi kedua otentikasi  OSPF yang sederhana dan  otentikasi  OSPF MD5 (message digest 5). Anda dapat mengaktifkan otentikasi dalam OSPF untuk bertukar informasi routing update dalam cara yang aman. dengan otentikasi  yang Sederhana, password dikirim dalam clear-text melalui jaringan. Otentikasi Sederhana  perangkat digunakan ketika  perangkat-perangkat di dalam sebuah area tidak mendukung otentikasi  MD5  yang lebih aman. otentikasi  Dengan MD5, password tidak akan dikirim melalui jaringan. MD5 dianggap mode otentikasi OSPF yang paling aman . ketika Anda mengkonfigurasi otentikasi, Anda harus mengkonfigurasi seluruh wilayah yang sama dengan tipe otentikasi yang sama. Dalam kegiatan ini, anda akan mengkonfigurasi otentikasi sederhana antara R1 dan R2, dan otentikasi MD5 antara R2 dan R3.
Detailed petunjuk yang diberikan dalam kegiatan serta dalam link PDF di bawah ini.

4.3.3 Locking Down Your Router with Cisco Auto Secure
Cisco Auto secure menggunakan satu perintah untuk menonaktifkan non-essential system processes and service, menghilangkan potensi ancaman keamanan. Anda dapat mengkonfigurasi AutoSecure pada priviledge EXEC mode dengan menggunakan perintah auto secure di salah sau dari dua mode
Interaktif mode – mode ini akan meminta anda memilih untuk mengaktifkan atau menonaktifkan layanan dan fittur. Ini adalah mode standar.
Non-interaktif mode – mode ini secara otomatis akan melaksanakan perintah auto secure yang disarankan oleh Cisco. Modde ini diaktifkan dengan perintah no-interact

Melakukan Autosecure pada router cisco
Tampilan pada layar menunjukan sebagian outputdari konfigurasi Cisco Auto secure. Cisco Auto secure akan meminta item –item untuk memulai melindungi router, seperti:
  • Interface specifics
  • Banners
  • Passwords
  • SSH
  • IOS firewall features

Note : Cisco Router and Security Device Manager (SDM) menyediakan fitur yang sama seperti perintah pada Cisco AutoSecure. Fitur ini dijelaskan pada bagian cisco SDM

Tidak ada komentar:

Posting Komentar