Artikel kali ini kita membahas Keamanan Jaringan pada Ethernet LAN termasuk bagaiman cara mengamankan ethernet LAN dari serangan peretas.
Artikel kali ini kita membahas Keamanan Jaringan pada Ethernet LAN termasuk bagaiman cara mengamankan ethernet LAN dari serangan peretas. Kami membahas beberapa serangan secara luas dikenal di Data Link Layer di bagian sebelumnya. Beberapa metode telah dikembangkan untuk mengurangi jenis serangan. Beberapa metode penting adalah :
Keamanan Port
Ini adalah lapisan 2 fitur keamanan yang tersedia pada switch Ethernet cerdas. Ini melibatkan mengikatkan port fisik switch ke spesifik MAC address / es. Siapapun dapat mengakses jaringan yang tidak aman dengan hanya menghubungkan host ke salah satu port switch yang tersedia. Tapi, keamanan pelabuhan dapat mengamankan lapisan 2 akses.
Secara default, port keamanan membatasi alamat MAC masuknya menghitung sampai satu. Namun, adalah mungkin untuk memungkinkan lebih dari satu host yang berwenang untuk menghubungkan dari port yang melalui konfigurasi. Diperbolehkan alamat MAC per antarmuka dapat secara statis diatur. Sebuah alternatif yang nyaman adalah untuk memungkinkan "sticky" belajar alamat MAC mana alamat MAC akan dinamis dipelajari oleh port switch sampai batas maksimum untuk port tercapai.
Untuk menjamin keamanan, reaksi terhadap perubahan yang ditentukan MAC address / es pada Port atau kelebihan alamat pada port dapat dikontrol dalam berbagai cara. Port dapat dikonfigurasi untuk menutup atau memblokir alamat MAC yang melebihi batas yang ditentukan. praktek terbaik yang direkomendasikan adalah untuk menutup port. port keamanan mencegah MAC flooding dan serangan cloning.
DHCP Snooping
Kita telah melihat bahwa DHCP spoofing adalah serangan dimana penyerang mendengarkan permintaan DHCP dari host pada jaringan dan menjawab mereka dengan respon DHCP palsu sebelum respon DHCP yang berwenang datang ke host.
DHCP Snooping dapat mencegah serangan tersebut. DHCP Snooping adalah fitur switch. Switch dapat dikonfigurasi untuk menentukan port switch dapat merespon permintaan DHCP. Saklar port diidentifikasi sebagai port terbesar atau tidak dipercaya.
Hanya port yang terhubung ke server DHCP berwenang dikonfigurasi sebagai "trusted", dan diizinkan untuk mengirim semua jenis pesan DHCP. Semua port lainnya pada switch yang terpercaya dan dapat mengirim hanya permintaan DHCP. Jika respon DHCP terlihat pada port dipercaya, port dimatikan.
Mencegah ARP Spoofing
Metode port keamanan dapat mencegah serangan MAC flooding dan cloning. Namun, hal itu tidak mencegah ARP spoofing. port keamanan memvalidasi alamat sumber MAC di header frame, tapi ARP frame mengandung bidang sumber MAC tambahan dalam payload data, dan tuan rumah menggunakan bidang ini untuk mengisi ARP cache mereka. Beberapa metode untuk mencegah ARP spoofing terdaftar sebagai berikut.
- Static ARP − Salah satu tindakan yang disarankan adalah dengan menggunakan entri ARP statis di host tabel ARP. entri ARP statis entri permanen di cache ARP. Namun, metode ini tidak praktis. Juga, tidak memungkinkan penggunaan beberapa Dynamic Host Configuration Protocol (DHCP) sebagai IP statis harus digunakan untuk semua host jaringan layer 2.
- Intrusion Detection System − Metode pertahanan adalah dengan memanfaatkan Intrusion Detection System (IDS) dikonfigurasi untuk mendeteksi jumlah lalu lintas yang tinggi ARP. Namun, IDS rentan terhadap pelaporan positif palsu.
- Dynamic ARP Inspection − Metode ini mencegah ARP spoofing mirip dengan DHCP Snooping. Menggunakan port terpercaya dan tidak terpercaya. ARP balasan yang diizinkan ke antarmuka saklar hanya pada port trusted. Jika reply ARP datang ke switch pada port dipercaya, isi dari ARP paket balasan dibandingkan dengan meja mengikat DHCP untuk memverifikasi akurasinya. Jika ARP reply tidak valid, jawaban ARP didrop, dan port dinonaktifkan.
COMMENTS