Mengenal Port Security & Konfigurasi Port Security pada Cisco



Intro : Port Security merupakan mekanisme keamanan yang digunakan pada switch Cisco. Dengan port security, kita bisa membatasi jumlah host yang dapat terkoneksi pada sebuah port yang ada di switch serta menentukan host mana saja yang bisa terkoneksi ke switch.

Prinsip dalam mengkonfigurasi port security adalah mendaftarkan mac address mana saja yang bisa atau diperbolehkan untuk terkoneksi ke switch. Sedangkan cara kerja dari port security adalah ia akan membuang paket dari host atau memblok host yang mac address nya tidak sesuai dengan konfigurasi pada port security. 



Terdapat dua macam port security pada cisco, yakni static dan sticky (dinamik). pada Port security statik, mac address host harus ditambahkan secara manual oleh administrator, sedangkan pada port security dinamik, mac address akan ditambahkan secara otomatis.

Selain itu, dalam port security dikenal istilah violation. Yakni tindakan yang akan dilakukan oleh port interface pada switch ketika terdapat host yang tidak terdaftar mac addressnya berusaha untuk terhubung melalui interface yang sudah disetting port security. Ada 3 macam violation yaitu :
1. Protect
2. Restrict
3. Shutdown


Interface yang menerapkan violation protect, akan membuang (drop) paket yang dikirim oleh host yang tidak dijinkan tadi. Jika dilihat melalui command ping, maka akan menghasilkan output Request timed out.


Interface yang menerapkan violation restrict, akan membuang (drop) paket seperti pada mode protect, namun interface akan menghitung jumlah violation ang terjadi. Sementara pada mode protect jumlah violation tidak akan dihitung. Untuk melihat jumlah violasi yang terjadi ( violation count), gunakan perintahshow port-security interface <nama_interface>.



Sedangkan interface yang menerapkan violation shutdown, akan menonaktifkan port interface yang digunakan oleh host yang tidak diijinkan tadi. Ketika host mengirim paket ke host lain seperti ping, maka seketika port akan ter-shutdwon. Apabila dilihat pada cisco packet tracer, maka link yang menghubungkan host dengan switch akan berwarna merah.
Untuk memperjelas pemahaman, berikut saya gambarkan sebuah jaringan sederhana yang menggunakan port security dengan violation shutdown sebagai contoh :

Pada topologi di atas, PC0 dan PC1 digambarkan sebagai host yang memiliki ijin untuk terhubung dengan switch. PC0 terhubung dengan port 1 pada switch, sedangkan PC1 terhubung ke port 2 pada switch. Dimisalkan port selain 1 dan 2 dalam keadaan mati sehingga tidak bisa digunakan.
Laptop digambarkan sebagai host yang tidak memiliki ijin untuk terhubung dengan switch. Namun Laptop berusaha untuk terhubung ke switch dengan cara mencabut kabel yang terhubung ke PC1 lalu menghubungkan laptop ke port 2. Apa yang terjadi ? Lihatlah gambar di bawah ini :

Link yang menghubungkan Laptop dengan switch seketika ter-shutdown. Meskipun Laptop memiliki ip address yang sama dengan PC1 namun laptop tetap tidak dapat terhubung ke switch karena mac address pada Laptop tidak terdaftar di switch.

Konfigurasi Port Security Cisco

Konfigurasi port security ini akan dilakukan pada switch cisco menggunakan software simulasi Cisco Packet Tracer.
Secara umum konfigurasi dapat dikelompokkan menjadi beberapa langkah, antara lain :
1. Mengkonfigurasi switchport mode access
2. Mengaktifkan port security
3. Mengkonfigurasi port security static/sticky
4. Menentukan jumlah maksimal host yang bisa terkoneksi
5. Menentukan mode violation yang akan digunakan

Sebelum menuju praktik, akan saya jelaskan lagi sedikit mengenai mode violation yang ada pada port security cisco. Jadi terdapat 3 mode violation, yakni :
Protect, mode yang akan membuang paket dari host yang tidak diijinkan namun port tetap dalam keadaan ON.
Restrict, mode yang sama dengan protected namun disertai dengan perhitungan jumlah violasi yang terjadi.
Shutdown, mode yang akan menonaktifkan port ketika terdapat host yang tidak diijinkan berusaha untuk terhubung ke dalam jaringan.


Selanjutnya mari kita praktikan konfigurasi port security dengan menggunakan mode violation protect,restrict, maupun shutdown. Agar lebih mudah, kita akan gunakan port security sticky alias dinamik sehingga tidak perlu repot menginputkan mac address host secara manual. Oke, berikut adalah contoh topologinya :

Port Security Mode Violation Protect
1. Pertama-tama konfigurasikan ip address pada PC dan Laptop

 2. Selanjutnya adalah mengkonfigurasi mode switchport pada interface yang akan dikonfigurasi port security. Berikut adalah command lengkapnya :
Switch(config)#interface range fa0/1-2
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#

*karena kedua port menerapkan port security dan violation yang sama, kita bisa mengkonfigurasi kedua interface sekaligus dengan menggunakan command interface range.


3. Aktifkan port security dengan perintah :
Switch(config-if-range)#switchport port-security 
 

4. Konfigurasi port security dinamik dengan command berikut :
Switch(config-if-range)#switchport port-security mac-address sticky
 

5. Tentukan jumlah maksimal host yang dapat terkoneksi. Misal hanya boleh 1, maka commandnya adalah sebagai berikut :
Switch(config-if-range)#switchport port-security maximum 1
 

6. Konfigurasi mode violation protect menggunakan command :
Switch(config-if-range)#switchport port-security violation protect


Sekarang lakukan pengujian dengan ping dari PC0 ke PC1 atau sebaliknya :

ping dari PC0 ke PC1
Kemudian pindahkan link dari PC1 ke Laptop lalu ping PC0 dari Laptop :
ping dari Laptop ke PC0
Port Security Mode Violation Restrict 
Karena sebelumnya kita sudah mengkonfigurasi ip address dan mode switchport, serta port security juga sudah aktif, maka kita hanya perlu mengubah konfigurasi mode violation saja. Ubah menjadi restrictdengan command berikut :
Switch(config-if-range)#switchport port-security violation restrict
 

Lakukan ping dari PC0 ke PC1 atau sebaliknya, kemudian pindahkan link dari PC1 ke Laptop dan lakukan ping ke PC0

ping dari PC0 ke PC1
ping dari Laptop ke PC0
Lalu bagaimana cara membedakan mode restrict dengan protected ? Kita bisa melihat menggunakan command show port-security interface <nama_interface> :
Switch#show port-security interface fa0/2
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 00E0.8F99.3043:1
Security Violation Count   : 5

Switch#


Lihat pada bagian Violation Count. Mode restrict akan menghitung jumlah violation yang terjadi, sedangkan mode protected tidak. Cobalah kembali konfigurasi mode protected kemudian lihat jumlah violation nya. *Pastikan host laptop tidak bisa terkoneksi.

Port Security Mode Shutdown
Untuk mengubah violation menjadi shutdown cukup gunakan command :

Switch(config-if-range)#switchport port-security violation shutdown

Lakukan ping dari PC0 ke PC1 atau sebaliknya, kemudian pindahkan link dari PC1 ke Laptop dan lakukan ping ke PC0

ping dari PC0 ke PC1
ping dari Laptop ke PC0
Kesimpulan :
Dari praktikum 3 mode violation di atas dapat kita lihat jika pada mode Protected dan Restrict hanya melakukan drop paket sementara port interface tetap dalam keadaan menyala (ON). Sedangkan pada mode shutdown, port interface akan ter-shutdown yang juga berakibat host tidak dapat terhubung dengan switch maupun host lainnya. Sedangkan untuk membedakan violation protected dan restrict dapat dilihat pada violation count menggunakan perintah show port-security interface <nama_interface> .


Seperti itulah ilustrasi mengenai penggunaan port security pada switch cisco.  Dengan menggunakan port security, kemanan jaringan bisa lebih ditingkatkan dan ancaman dari host yang tidak dikenal dapat diminimalisir. 

Posting Komentar

0 Komentar