Senin, 18 Oktober 2010

Securing Remote Administrative Access to Routers



Keamanan Akses Administrative ke Router
Administrator jaringan dapat terhubung ke router atau switch secara local maupun secara remote. Akses local melalui port console merupakan jalan yang lebih disukai seorang administrator untuk terhubung ke perangkat pengaturan karena itu lebih aman. Seperti halnya perusahaan yang memperoleh lebih besar dan nomor dari router dan switch pada peningkatan jaringan, administrator mempunyai beban kerja yang bertambah untuk terhubung ke semua perangkat local.

Remote access administrative lebih tepat daripada local access untuk seorang administrator yang mempunyai banyak perangkat untuk diatur. Akan tetapi, jika itu tidak diterapkan dengan aman, maka orang dengan mudah dapat mengumpulkan informasi rahasia yang berharga. Sebagai contoh, implementasi remote akses administrative menggunakan Telnet sangat tidak aman karena Telnet meneruskan semua jalur jaringan dalam bentuk clear text (teks yang jelas). Seseorang dapat menangkap jalur jaringan pada saat administrator sedang loggin secar remote ke router dan menangkap password administrator atau informasi konfigurasi router. Oleh karena itu, remote akses administrative harus di konfigurasi dengan keamanan tambahan.

Untuk keamanan akses administrative ke router dan switch, pertama anda harus mengamankan jalur administrative (VTY, AUX), kemudian anda harus mengkonfigurasi perangkat jaringan ke jalur yang terencryption pada tunnel SSH.



Remote Akses Administrative dengan Telnet dan SSH
Mempunyai remote akses ke perangkat jaringan merupakan pengaturan efektif jaringan secara kritis. Remote akses meliputi Telnet, Secure Shell (SSH), HTTP, HTTP Secure (HTTPS), atau koneksi SNMP ke router melalui komputer pada jaringan yang sama dengan router.

Jika remote akses sangat diperlukan. Hal-hal yang perlu diperhatikan ialah :
1. Menetapkan dedikasi management jaringan
Management jaringan harus meliputi hanya mengenal host
administration dan koneksi ke perangkat-perangkat infrastruktur. Ini dapat diselesaikan menggunakan management VLAN atau menggunakan tambahan perangkat jaringan untuk menghubungkan perangkat tersebut.

2. Mengenkripsi semua jalur antara administrator komputer dan router. Dalam salah satu kasus, paket filter dapat dikonfigurasi hanya mengizinkan host administration dan protocol yang dikenal yang dapat mengakses router. Contoh, hanya mengizinkan alamat IP host administration untuk melakukan koneksi SSH ke router dalam jaringan.
Remote akses tidak hanya digunakan pada jalur VTY, tapi juga digunakan pada jalur TTY dan auxiliary (AUX) port. Jalur TTY menyediakan akses asynchronous ke router menggunakan modem. Walaupun jarang digunakan, merekat tetap ada dalam beberapa penginstallan. Keamanan port ini selalu lebih penting daripada pengamanan local terminal port.

Jalan terbaik untuk melindungi system adalah memastikan pengendaliannya sesuai pada semua jalur, termasuk jalur VTY. TTY, dan AUX.

Administrator akan memastikan saat login ke semua jalur sudah tercontrol menggunakan mekanisme authentication, sama pada mesin yang mengira tidak dapat dilalui dari jaringan untrusted. Ini sangat penting terutama untuk jalur VTY dan untuk jalur koneksi ke modem atau perangkat remote akses lainnya.

Login mungkin dapat dicegah pada setiap jalur dengan konfigurasi pada router dengan command login dan no password. Ini merupakan konfigurasi secara default untuk VTYs, tapi tidak untuk TTYs dan AUX port. Oleh karena itu, jika jalur ini tidak dibutuhkan, pastikan bahwa mereka terkonfigurasi dengan gabungan command login dan no password.



Mengendalikan VTYs
Secara default, semua jalur VTY telah terkonfigurasi untuk menerima type apa saja dari remote connection. Untuk alasan keamanan, jalur VTY akan di konfigurasi hanya menerima koneksi dengan protocol yang membutuhkan. Ini dapat diselesaikan dengan command transport input. Contoh, VTY hanya ingin menerima Telnet dengan mengkonfigurasi transport input telnet dan VTY mengizinkan Telnet dan SSH dengan mengkonfigurasi transport input telnet ssh.

Perangkat IOS Cisco mempunyai nomor yang terbatas dari jalur VTY, pada umumnya 5. jika semua jalur VTY telah digunakan, tidak banyak tambahan koneksi remote yang dapat ditetapkan. Ini dapat menciptakan kesempatan untuk menyerang DOS. Jika orang lain dapat membuka remote session ke semua jalur VTY pada system, administrator yang sah tidak akan dapat login. Orang lain tidak dapat melakukan login ini. Session dapat dengan mudah pindak ke login prompt.

Salah satu jalan untuk mengurangi celah ini adalah dengan mengkonfigurasi jalur VTY terakhir untuk menerima koneksi dari satu, khususnya administrative workstation, sedangkan jalur VTY lainnya dapat menerima koneksi dari setiap alamat pada satu jaringan. Ini menjamin bahwa paling sedikit ada satu jalur VTY tersedia untuk ke administrator. Untuk melaksanakan ini, ACLs harus terkonfigurasi pada jalur VTY terakhir dengan perintah ip access-class. Implementasi ini akan dijelaskan pada chapter 5.

Taktik lainnya yang digunakan ialah konfigurasi VTY timeouts menggunakan command exec-timeout. Ini mencegah session yang tidak jalan dari konsumsi VTY yang tidak terbatas. Walaupun ini efektif melawan serangan yang sengaja dengan relative terbatas, ini menyediakan beberapa perlindungan terhadap session yang tidak sengaja salah jalur. Dengan cara yang sama, enable TCP keepalives pada koneksi di dalam menggunakan command service tcp-keepalives-in yang dapat membantu menjaga dari serangan jahat dan menyebabkan session pada remote system rusak.



Implementasi SSH pada Keamanan Remote Akses Administrative
Biasanya, remote akses administrative pada router akan melakukan konfigurasi menggunakan Telnet pada TCP port 23. akan tetapi, Telnet akan mengembangkannya dalam beberapa hari bila keamanannya tidak dapat keluar. Untuk itu, semua jalur Telnet meneruskannya dalam bentuk plain text.

SSH dapat menggantikan Telnet sebagai jalan terbaik untuk menyediakan remote router administration dengan koneksi yang kuat dan terintegritas. SSH menggunakan port TCP 22. SSH memiliki kemampuan yang hampir sama dengan Telnet, tapi koneksinya bersifat encryption. Dengan authenticaton dan encryption, SSH mendapatkan komunikasi yang aman pada jaringan yang tidak aman.

Tidak semua image IOS Cisco dapat mendukung SSH. Hanya image cryptographic yang bisa. Image ini mempunyai image IDs dari k8 atau k9 pada nama-nama image mereka. Nama-nama image akan dijelaskan pada session 5.

Pada terminal SSH, jalur akses dibuka administrator untuk konfigurasi router dengan keamanan akses dan meliputi tugas-tugas berikut :
1. Connect ke router menggunakan jalur multiple terminal yang terkoneksi ke port console atau serial pada router, switch dan perangkat lainnya.

2. Mempermudah koneksi ke router dari manapun dengan keamanan koneksi ke terminal server pada jalur yang spesifik.

3. Mengizinkan modem-modem yang terpasang ke router untuk melakukan dial-out securely.

4. Diperlukan authentication ke setiap jalur yang nenetapkan username dan password atau security server seperti TACACS + atau RADIUS server.

Remote Cisco dapat menjadi SSH Client dan Server. Secara umum, keduanya dapat digunakan pada router ketika SSH dalam keadaan enable. Bila menjadi Client, router dapat SSH ke router lain. Bila menjadi Server, router dapat menyetujui SSH client connections.





Konfigurasi SSH Security
Untuk mengenable SSH pada router, parameters yang harus dikonfigurasi ialah :
1. Hostname
2. Domain name
3. Asymmetrical keys
4. Local authentication



Pilihan konfigurasi parameters meliputi :
1. Timeouts
2. Retries


Langkah-langkah konfigurasi SSH pada router :

Step 1 : Set router parameters
Konfigurasi hostname router dengan command hostname pada configuration mode

Step 2 : Domain name
Domain name harus ada pada enable SSH. Masukkan command ip domain-name pada global configuration mode.

Step 3 : Generate asymmetric keys
Anda perlu membuat key pada router yang digunakan untuk mengencryption jalur SSH management dengan command crypto key generate rsa pada configuration mode. Router merespon dengan memperlihatkan pesan konvensi nama dari key. Pilihan ukuran dari modulus key ialah range dari 360 sampai 2048 untuk General purpose key anda. Pemilihan key modulus lebih besar dari 512 membutuhkan waaktu beberapa menit. Sebagai latihan, Cisco menyarankan menggunakan panjang minimum modulus dari 1024. untuk keamanan yang lebih kuat dibutuhkan modulus yang lebih panjang.

Step 4 : Konfigurasi local authentication dan VTY
Anda harus menetapkan local user dan menempatkan komunikasi SSH pada jalur VTY.

Step 5 : Konfigurasi SSH timeouts (optional)
Timeouts memberikan keamanan tambahan untuk koneksi pada terminating lingering, inactive connections. Menggunakan command ip ssh time-out second dan command authentication-retries integer untuk menenable timeouts dan authentication retries. Set SSH timeouts 15 detik dan jumlah retries ialah 2.

Untuk konek ke konfigurasi router dengan SSH. Harus menggunakan aplikasi SSH client seperti PUTTY atau TeraTerm. Dan pastikan mamilih opsi SSH dan menggunakan TCP port 22.





4.2.5 Logging Router Activity

Logs mengizinkan anda untuk mengverifikasi bahwa router dapat bekerja dengan baik atau untuk menentukan apakah router telah sepakat. Dalam hal ini, sebuah log dapat menunjukkan tipe dari jenis penyerangan yang sedang terjadi pada router atau pada jaringan yang terlindungi.

Konfigurasi logging (syslog) pada router harus berhati-hati. Mengirim logs router ke log host yang dituju. Log host harus terhubung ke jaringan yg terlindungi atau yang terisolasi dan interface router yang ditunjuk. Menguatkan log host dengan menghapus semua pelayanan dan account yang tidak perlu. Router mendukung logging dengan level berbeda. 8 level mulai dari 0, menandakan keadaan darurat bahwa system tidak stabil, ke 7 untuk pesan debug yang meliputi semua informasi semua router.

Logs dapat diteruskan ke lokasi berbeda, termasuk memory router atau syslog server yang ditunjuk. Syslog server menyediakan solusi terbaik karena semua perangkat jaringan dan meneruskan logs mereka ke suatu central station dimana seorang administrator dapat meninjau mereka. Salah satu contoh aplikasi syslog server adalah Kiwi Syslog Daemon.

Juga mempertimbangkan pengiriman logs ke perangkat penyimpanan kedua, sebagai contoh salah satu media tulis atau printer yang ditunjuk, dengan kesepakatan penulisan yang buruk (sebagai contoh, sebuah kesepakatan dari log host).

Hal lebih penting yang harus diingat mengenai logging ialah logs harus tertinjau secara teratur. Dengan mengecek log secara teratur, anda dapat menambah feeling untuk berkelakuan normal pada jaringan anda. Sound understanding dari operasi normal dan refleksi pada logs membantu anda mengidentifikasi keanehan atau penyerangan.

Ketepatan time stamps sangat penting untuk logging. Time stamps mengizinkan anda ke jejak penyerangan jaringan yang lebih dipercaya. Semua router mempunyai kemampuan memelihara jalur waktu mereka, tapi pada umumnya, ini saja tidak cukup. Sebenarnya router menuju ke sedikitnya 2 kepercayaan time server yang berbeda untuk memastikan ketelitian dan adanya time information. Network Time Protocol (NTP) server mungkin telah terkonfigurasi untuk menyediakan sebuah sumber waktu yang sama ke semua perangkat. Konfigurasi option ini tidak ada pada pembelajaran ini.


Contoh :

R2(config)#service timestamps ?
debug Timestamp debug messages
log Timestamp log messages
<cr>
R2(config)#service timestamps


Kemudian pada chapter ini anda akan mempelajari tentang perintah debug. Bhasil dari perintah debug dapat juga terkirim ke logs.

Tidak ada komentar:

Posting Komentar