Monday, September 8, 2014

Tips Mengamankan Perangkat Cisco



Tulisan kedua saya tentang Cisco akan membagikan beberapa tips untuk keamanan perangkat Cisco untuk mencegah orang yang tidak berhak mengubah dan mengacaukan konfigurasi Router atau Switch.

Adapun tips-tips tersebut sebagai berikut:
a.         Mematikan services yang tidak diperlukan
Hal ini perlu dilakukan karena Cisco secara default mengaktifkan beberapa services yang memberikan informasai kepada orang yang tidak berhak untuk mengambil alih perangkat. Berikut beberapa perintah untuk mematikan services.

Global Command
Cisco(config)# no service tcp-small-servers
Cisco(config)# no service udp-small-servers
Cisco(config)# no service dhcp
Cisco(config)# no ip bootp server
Cisco(config)# no service finger
Cisco(config)# no ip http server
Cisco(config)# no ip http secure-server
Cisco(config)# no snmp-server
Cisco(config)# no cdp run
Cisco(config)# no service config
Cisco(config)# no ip gratuitous-arps
Cisco(config)# no ip source-route
Cisco(config)# ip options drop

Interface Command
Cisco(config-if)# no ip directed-broadcast
Cisco(config-if)# no ip unreachables
Cisco(config-if)# no ip redirects
Cisco(config-if)# no ip mask-reply
Cisco(config-if)# no ip proxy-arp
Cisco(config-if)# shutdown (untuk interface yang tidak terpakai)

b.        Mengaktifkan services yang penting
Hal ini perlu karena secara default Cisco mematikan services tersebut.
Cisco(config)# service tcp-keepalives-in
Cisco(config)# service tcp-keepalives-out
Cisco(config)# service timestamps debug datetime msec show-timezone localtime
Cisco(config)# service timestamps log datetime msec show-timezone localtime
Cisco(config)# service password-encryption (enkripsi password)

c.         Membuat user dan enable secret
Cisco(config)# username admin password admin
Cisco(config)# enable secret admin123

d.        Mengaktifkan ssh
Protokol ssh menjadi pilihan yang lebih aman daripada telnet karena sudah terenkripsi. ssh dapat diaktifkan jika OS mendukung.
Cisco(config)#  ip domain-name cisco.com
Cisco(config)#  crypto key generate rsa
bits -> 1024
Cisco(config)# ip ssh version 2

e.         Membuat access list
Cisco(config)# access-list 10 permit 192.168.1.2
Cisco(config)# access-list 10 permit 192.168.1.3

f.         Mengamankan Console dan Remote Access
Console
Cisco(config)# line console 0
Cisco(config-line)# history size 100
Cisco(config-line)# exec-timeout 5 0
Cisco(config-line)# logging synchronous
Cisco(config-line)# login local
           
       VTY Line
Cisco(config)# line vty 0 4
Cisco(config-line)# login local
Cisco(config-line)# transport input telnet ssh
Cisco(config-line)# access-class 10 in
Cisco(config-line)# history size 100
Cisco(config-line)# exec-timeout 5 0
Cisco(config-line)# logging synchronous

Demikian tips keamanan untuk perangkat Cisco, semoga bisa membantu dan mohon corat-coretnya di bawah jika ada kekurangan...


1 comment: