Tulisan
kedua saya tentang Cisco akan membagikan beberapa tips untuk keamanan perangkat
Cisco untuk mencegah orang yang tidak berhak mengubah dan mengacaukan
konfigurasi Router atau Switch.
Adapun
tips-tips tersebut sebagai berikut:
a.
Mematikan services yang tidak diperlukan
Hal ini
perlu dilakukan karena Cisco secara default mengaktifkan beberapa services yang
memberikan informasai kepada orang yang tidak berhak untuk mengambil alih
perangkat. Berikut beberapa perintah untuk mematikan services.
Global
Command
Cisco(config)# no service tcp-small-servers
Cisco(config)# no service udp-small-servers
Cisco(config)# no service dhcp
Cisco(config)# no ip bootp server
Cisco(config)# no service finger
Cisco(config)# no ip http server
Cisco(config)# no ip http secure-server
Cisco(config)# no snmp-server
Cisco(config)# no cdp run
Cisco(config)# no service config
Cisco(config)# no ip gratuitous-arps
Cisco(config)# no ip source-route
Cisco(config)# ip options drop
Interface
Command
Cisco(config-if)# no ip directed-broadcast
Cisco(config-if)# no ip unreachables
Cisco(config-if)# no ip redirects
Cisco(config-if)# no ip mask-reply
Cisco(config-if)# no ip proxy-arp
Cisco(config-if)# shutdown (untuk interface
yang tidak terpakai)
b.
Mengaktifkan services yang penting
Hal ini perlu karena secara default Cisco mematikan services
tersebut.
Cisco(config)# service
tcp-keepalives-in
Cisco(config)# service
tcp-keepalives-out
Cisco(config)# service
timestamps debug datetime msec show-timezone localtime
Cisco(config)# service
timestamps log datetime msec show-timezone localtime
Cisco(config)# service
password-encryption (enkripsi password)
c.
Membuat user dan enable secret
Cisco(config)# username
admin password admin
Cisco(config)# enable
secret admin123
d.
Mengaktifkan ssh
Protokol ssh menjadi pilihan yang lebih aman daripada telnet
karena sudah terenkripsi. ssh dapat diaktifkan jika OS mendukung.
Cisco(config)# ip
domain-name cisco.com
Cisco(config)# crypto
key generate rsa
bits -> 1024
Cisco(config)# ip ssh
version 2
e.
Membuat access list
Cisco(config)# access-list
10 permit 192.168.1.2
Cisco(config)# access-list
10 permit 192.168.1.3
f.
Mengamankan Console dan Remote Access
Console
Cisco(config)# line
console 0
Cisco(config-line)#
history size 100
Cisco(config-line)#
exec-timeout 5 0
Cisco(config-line)#
logging synchronous
Cisco(config-line)#
login local
VTY Line
Cisco(config)# line vty
0 4
Cisco(config-line)#
login local
Cisco(config-line)#
transport input telnet ssh
Cisco(config-line)#
access-class 10 in
Cisco(config-line)#
history size 100
Cisco(config-line)#
exec-timeout 5 0
Cisco(config-line)#
logging synchronous
Demikian tips keamanan untuk perangkat Cisco, semoga bisa membantu dan mohon corat-coretnya di bawah jika ada kekurangan...