Pada kesempatan kali ini saya akan
berbagi pengetahuan saya tentang penerapan keamanan VLAN, disini saya akan
menjelaskan tujuan VLAN dalam switch jaringan, menganalisis bagaimana switch
meneruskan frame berbasis konfigurasi VLAN di llingkungan multi-switched,
mengkofigurasi switch port yang akan ditugaskan ke VLAN tertentu berdasarkan
kebutuhan, mengkonfigurasi port trunk pada switch LAN, mengkonfigurasi Dinamic
Trunk Protocol (DTC), Troubleshoot VLAN dan konfigurasi trunk pada switch
jaringan, mengkonfigurasi fitur keamanaan untuk mengurangi serangan dalam
lingkungan yang ter-segmentasi VLAN dan menjelaskan praktek terbaik untuk
pengamanan lingkungan yang ter-segmentasi VLAN.
Definisi
VLAN
• VLAN (Virtual LAN) adalah partisi
logic dari network layer 2
• Beberapa partisi dapat dibuat, yang
memungkinkan beberapa VLAN untuk aktif secara berdampingan
• Masing-masing VLAN adalah domain
broadcast, biasanya dengan IP network-nya sendiri
• VLAN yang saling terisolasi dan
paket-paket yang hanya bisa lewat antar VLAN melalui router
• Partisi di layer 2 network berasal
dari perangkat layer 2 (biasanya sebuah switch).
• Host yang dikelompokkan dalam VLAN
tidak menyadari keberadaan VLAN lain-nya
Manfaat VLAN
• Keamanan
• Pengurangan biaya
• Kinerja yang lebih baik
• Mengurangi broadcast domain
• Peningkatan efisiensi Staf TI
• Pengelolaan jaringan dan aplikasi
lebih mudah
Jenis VLAN
• Data VLAN
• Default VLAN
• Native VLAN
• Management VLAN
Voice VLAN
1. Trafik VoIP adalah waktu-sensitif dan membutuhkan:
•
Bandwidth yang cukup untuk memastikan kualitas suara
•
Prioritas transmisi lebih dari jenis paket lainnya di traffic network
•
Kemampuan untuk diteruskan di sekitar area padat pada jaringan
•
Toleransi keterlambatan kurang dari 150 ms di seluruh network
2. Fitur Voice VLAN ini memungkinkan akses ke port untuk membawa IP voice traffic
dari IP phone
3. Switch dapat terhubung ke IP phone Cisco 7960 dan membawa trafik IP voice
4. Karena kualitas suara panggilan IP phone dapat memburuk jika data tidak dikirim
merata, maka switch mendukung Quality of Service (QoS)
Suara VLAN
IP phone Cisco 7960 terintegrasi tiga-port 10/100 switch:
•
Port 1 terhubung ke switch
•
Port 2 adalah 10/100 interface internal yang membawa trafik IP phone
•
Port 3 (port akses) menghubungkan ke PC atau perangkat lain.
TRUNK VLAN
• Trunk VLAN dapat membawa lebih dari satu VLAN
• Biasanya didirikan antara switch sehingga perangkat di VLAN yang sama dapat
berkomunikasi walaupun secara fisik terhubung ke switch yang berbeda
• Trunk VLAN tidak dikaitkan ke setiap VLAN. Termasuk trunk port yang digunakan
untuk membangun link trunk
• Cisco IOS mendukung IEEE 802.1q, yang merupakan VLAN trunk protocol yang
populer.
Mengontrol Broadcast Domain dengan
VLAN
• VLAN dapat digunakan untuk membatasi jangkauan broadcast frame
• Sebuah VLAN adalah domain broadcast dirinya sendiri
• Oleh karena itu, broadcast frame yang dikirim oleh perangkat dalam VLAN
tertentu diteruskan dalam VLAN itu saja.
• Bantuan ini mengendalikan jangkauan broadcast frame yang dapat berdampak dalam
jaringan
• Unicast and multicast frame akan diteruskan dalam native VLAN juga.
Melabeli Ethernet Frame untuk
Identifikasi VLAN
• Frame tagging (pelabelan frame) digunakan untuk mengirimkan beberapa VLAN frame
melalui trunk link
• Switch semestinya akan melabeli frame untuk mengidentifikasi VLAN. Berbeda
dengan tagging protocols, dengan IEEE 802.1q merupakan salah satu protocol
trunk yang sangat populer
• Protokol mendefinisikan struktur tagging header yang ditambahkan ke frame
• Switch akan menambah label VLAN ke frame sebelum menempatkan VLAN ke dalam
trunk link dan menghapus label tersebut sebelum meneruskan frame melalui port
non-trunk
• Setelah ditandai dengan benar, frame dapat melintas ke sejumlah switch melalui
link trunk dan masih bisa meneruskan ke tempat VLAN tujuan dengan benar.
Native VLAN dan Label 802.1q
• Sebuah frame yang dimiliki oleh native VLAN tidak akan ditandai (dilabeli)
• Sebuah frame yang diterima tanpa label ditempatkan di native VLAN dan
diteruskan
• Jika tidak ada port yang berhubungan dengan native VLAN dan tidak ada trunk
link lain, frame yang tidak ditandai akan di dropp
• Secara default pada switch Cisco,native VLAN adalah VLAN 1.
Label Voice VLAN
Rentang VLAN pada Catalyst Switch
1. Catalyst 2960 dan 3560 Series switch mendukung lebih dari 4.000 VLAN
2. VLAN dibagi menjadi 2 kategori:
3. Rentang normal VLAN
•
Nomor VLAN dari 1 sampai 1005
•
Konfigurasi disimpan dalam vlan.dat (di flash)
•
VTP hanya bisa dan menyimpan rentang normal VLAN
4. Rentang perpanjangan VLAN
•
VLAN nomor dari 1006 sampai 4096
•
Konfigurasi disimpan di running-config (Dalam NVRAM)
•
VTP tidak bisa memperpanjang rentang VLAN.
Membuat VLAN
Menetapkan Ports Untuk VLAN
Mengubah Keanggotaan Port VLAN
Menghapus VLAN
Memverifikasi Informasi VLAN
Konfigurasi IEEE 802.1q Trunk Link
Reset Trunk Untuk Default Negara
Memverifikasi Konfigurasi Trunk
Pengantar DTP
• Port switch dapat dikonfigurasi secara manual untuk membentuk trunk
• Port switch juga dapat dikonfigurasi untuk berunding dan membangun trunk link
dengan di koneksi peer
• Dynamic Trunking Protocol (DTP) adalah protokol yang digunakan untuk mengelola
trunk negotiation
• DTP adalah protokol milik Cisco dan diaktifkan secara default di Cisco Catalyst
Switch 2960 dan 3560
• Jika port pada switch tetangga dikonfigurasi dalam mode trunk yang mendukung
DTP, itu untuk mengelola negotiation
• Default DTP configuration untuk Cisco Catalyst 2960 dan 3560 switch adalah auto
dynamic.
Mengatasi Masalah dengan VLAN
• Praktek sangat umum untuk mengasosiasikan VLAN dengan IP network
• Karena jika berbeda IP network hanya bisa berkomunikasi melalui router, semua
perangkat dalam VLAN harus menjadi bagian dari IP network yang sama untuk dapat
berkomunikasi
• Pada gambar di bawah ini, PC1 tidak dapat berkomunikasi ke server karena
memiliki IP address yang salah konfigurasi.
Masalah Umum Dengan Trunks
• Masalah trunking biasanya berhubungan dengan konfigurasi yang salah.
• Jenis kesalahan konfigurasi trunk paling umum adalah:
1.
Native VLAN mismatches
2.
Trunk mode mismatches
3.
Allowed VLANs on trunks
• Jika masalah trunk terdeteksi, pedoman praktek terbaik yang direkomendasikan
untuk memecahkan troubleshoot dari urutan teratas.
Serangan terhadap VLAN (Switch
spoofing Attack)
• Ada sejumlah perbedaan tipe serangan VLAN dalam jaringan switch modern. VLAN
hopping adalah salah satunya
• Default configuration dari switch port adalah auto dynamic
• Dengan mengkonfigurasi host untuk bertindak sebagai switch dan membentuk trunk,
penyerang bisa mendapatkan akses ke setiap VLAN network.
• Karena penyerang sekarang dapat mengakses VLAN lain, Ini disebut VLAN hopping attack
• Untuk mencegah basic switch spoofing attack, matikan trunking pada semua port,
kecuali port-port yang secara khusus membutuhkan trunking.
Serangan terhadap VLAN
(Double-Tagging Attack)
• Double-tagging attack mengambil keuntungan melalui hardware pada kebanyakan
switch de-enkapsulasi 802.1Q tag
• Kebanyakan switch hanya memiliki 1 level de-enkapsulasi 802.1Q, yang
memungkinkan penyerang untuk menanamkan yang ke-dua, penyerang menanamkan header
ilegal ke dalam frame
• Setelah membuang yang pertama dan daftarkan header 802.1Q yang baru, switch
meneruskan frame ke VLAN yang telah ditentukan dalam header 802.1Q yang ilegal
tsb
• Pendekatan terbaik untuk mengurangi double-tagging attacks adalah untuk
memastikan bahwa native VLAN dari trunk port berbeda dari VLAN dari port
pengguna.
Disain Praktik Terbaik Untuk VLAN
(Pedoman Desain VLAN)
• Pindahkan semua port dari VLAN1 dan menetapkannya ke VLAN yang tidak sedang
digunakan
• Menutup semua switch port yang tidak terpakai
• Pisahkan manajemen dan user data traffic
• Mengubah manajemen VLAN ke VLAN selain VLAN1. Hal yang sama berlaku juga untuk
native VLAN
• Pastikan bahwa hanya perangkat dalam manajemen VLAN yang dapat terhubung ke
switch
• Switch harus menerima SSH connections
• Disable auto negotiation pada trunk ports
• Jangan gunakan auto atau mode switchport desirable
Sumber : www.cisco.com
Networking
No comments:
Post a Comment