Terdapat beberapa cara untuk mengamankan Router Cisco dari tangan jahil orang - orang yang tidak berhak. Umumnya untuk mengakses Router Cisco dapat dilakukan dengan dua cara, akses secara fisik, menggunakan kabel console dan akses remote menggunakan telnet atau ssh (disarankan).
Pada kali ini kita akan belajar cara mengamankan router menggunakan access contol list. ACL yang digunakan adalah Standard ACL. Bisa juga menggunakan Extended ACL, tetapi tidak akan efisien, karena kita akan mengkonfigurasikan setiap interface router hanya untuk mem-blok telnet, disamping itu ruoter akan bekerja berat memproses setiap paket data. Bayangkan jika kita bertanggung jawab untuk selusin router atau bahkan ratusan. Solusi yang lebih baik, gunakan saja Standard ACL, yang hanya menggunakan source IP Address sebagi filter-nya. Jadi kita hanya mengontrol darimana asal user (source IP address).
Ok topologi yang akan digunakan seperti dibawah ini,
R3(config)# enable secret router3
R3(config)# access-list 50 remark === Telnet ===
R3(config)# access-list permit 192.168.1.2 0.0.0.0
R3(config)# line vty 0 4
R3(config-line)# access-class 50 in
R3(config-line)# password test
R3(config-line)# login
R3(config-line)# end
Kita coba akses Router R3 dari Router R2
Kita coba akses Router R3 dari host Linux_host
Dari demontrasi diatas, dapat kita lihat bahwa Standard ACL efektif untuk mengontrol siapa saja yang boleh mengakses router cisco, disamping itu juga menambah keamanan untuk router cisco. Satu hal lagi, sedapat mungkin gunakan ssh, karena telnet akan mengirimkan password dalam plaintext, yang artinya seseorang dengan kemampuan lebih dapat melihat trafik dari linux_host menggunakan packet analyzer -wireshark- untuk melihat password.
Pada kali ini kita akan belajar cara mengamankan router menggunakan access contol list. ACL yang digunakan adalah Standard ACL. Bisa juga menggunakan Extended ACL, tetapi tidak akan efisien, karena kita akan mengkonfigurasikan setiap interface router hanya untuk mem-blok telnet, disamping itu ruoter akan bekerja berat memproses setiap paket data. Bayangkan jika kita bertanggung jawab untuk selusin router atau bahkan ratusan. Solusi yang lebih baik, gunakan saja Standard ACL, yang hanya menggunakan source IP Address sebagi filter-nya. Jadi kita hanya mengontrol darimana asal user (source IP address).
Ok topologi yang akan digunakan seperti dibawah ini,
Skenario:
- Semua router menggunakan statik routing untuk saling terhubung.
- Hanya linux host yang dapat mengakses virtual terminal Router R3 menggunakan telnet.
- Gunakan enable secret router3 dan password test Konfigurasi Router R3
R3# configure terminalR3(config)# enable secret router3
R3(config)# access-list 50 remark === Telnet ===
R3(config)# access-list permit 192.168.1.2 0.0.0.0
R3(config)# line vty 0 4
R3(config-line)# access-class 50 in
R3(config-line)# password test
R3(config-line)# login
R3(config-line)# end
Kita coba akses Router R3 dari Router R2
telnet dari Router Cisco R2 |
telnet dari Linux_host |
Dari demontrasi diatas, dapat kita lihat bahwa Standard ACL efektif untuk mengontrol siapa saja yang boleh mengakses router cisco, disamping itu juga menambah keamanan untuk router cisco. Satu hal lagi, sedapat mungkin gunakan ssh, karena telnet akan mengirimkan password dalam plaintext, yang artinya seseorang dengan kemampuan lebih dapat melihat trafik dari linux_host menggunakan packet analyzer -wireshark- untuk melihat password.