1.9 Kontrol Switch Tambahan: Layer 2
1. Pastikan administrator menghindari penggunaan VLAN 1.
Secara default, semua port pada switch Cisco adalah anggota VLAN 1. Hindari penggunaan VLAN 1 mencegah penyusup jaringan agar tidak memasukkan port yang tidak terpakai dan berkomunikasi dengan sisa jaringan.
2. Evaluasi penggunaan autonegotiasi batang.
Sebuah batang pada sebuah switch menggabungkan dua VLAN terpisah menjadi port agregat, yang memungkinkan lalu lintas akses ke VLAN. Ada dua protokol trunking: 802.1q, yang merupakan standar terbuka, dan ISL, yang dikembangkan oleh Cisco. Beberapa tipe switch dan versi software diatur ke mode autotrunking, memungkinkan port mencoba secara otomatis untuk mengubahnya link ke bagasi Dynamic Trunking Protocol (DTP) dapat membantu untuk menentukan mana protokol trunking switch harus menggunakan dan bagaimana protokol harus beroperasi. Jika ini Kasusnya, secara umum, semua VLAN pada switch menjadi anggota yang baru port berbatang. Menonaktifkan otonegosiasi batang mengurangi risiko yang terkait dengan serangan VLAN-hopping, dimana seseorang dalam satu VLAN dapat mengakses
sumber daya VLAN lain.
a. Jangan gunakan DTP jika memungkinkan. Tetapkan trunk interface ke VLAN asli
lainnya dari VLAN 1.
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 998
b. Masukkan nontrunking interface dalam mode nontrunking permanen tanpa
perundingan.
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport nonegotiate
c. Pasang trunking interface dalam mode trunking permanen tanpa negosiasi.
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport nonegotiate
d. Secara khusus daftar semua VLAN yang merupakan bagian dari bagasi.
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport trunk allowed vlan 6, 10, 20, 101
e. Gunakan VLAN asli yang unik untuk setiap batang pada saklar.
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport trunk native vlan 998
Switch(config)# interface fastethernet 0/2
Switch(config-if)# switchport trunk native vlan 997
3. Verifikasi bahwa mitigasi serangan Spanning-Tree Protocol diaktifkan (BPDU Guard,
Root Guard).
Resiko yang terkait dengan jenis serangan ini termasuk memberi penyerang kemampuan untuk digunakan Protokol Spanning-Tree untuk mengubah topologi jaringan. Spanning-Tree Protokol ini dirancang untuk mencegah loop jaringan berkembang. Peralihan akan belajar topologi jaringan dan memindahkan port melalui empat tahap - blok, dengarkan, pelajari, dan maju-karena memastikan bahwa lingkaran tak berujung tidak berkembang dalam lalu lintas jaringan pola.
4. Evaluasi penggunaan VLAN pada jaringan.
VLAN harus digunakan untuk memecah domain broadcast dan, jika perlu, untuk membantu membagi sumber daya dengan tingkat keamanan yang berbeda. 5. Nonaktifkan semua port yang tidak terpakai dan taruh di VLAN yang tidak terpakai. Penyiapan ini mencegah penyusup jaringan menancapkan port yang tidak terpakai dan berkomunikasi dengan sisa jaringan.
5. Nonaktifkan semua port yang tidak terpakai dan taruh di VLAN yang tidak terpakai
Penyiapan ini mencegah penyusup jaringan menancapkan port yang tidak terpakai dan berkomunikasi dengan sisa jaringan.
6. Evaluasi penggunaan VLAN Trunking Protocol (VTP) dilingkungan Hidup
VTP adalah protokol perpesanan Layer 2 yang mendistribusikan informasi konfigurasi VLAN lebih dari koper. VTP memungkinkan penambahan, penghapusan, dan penggantian nama VLAN pada jaringan secara keseluruhan dasar. Penyerang jaringan dapat menambahkan atau menghapus VLAN dari domain VTP sebagai juga membuat loop Protokol Spanning-Tree. Kedua situasi tersebut dapat menyebabkan terjadinya bencana yang sangat sulit untuk memecahkan masalah. Ini tidak harus menjadi acara berbahaya. Peralihan dengan nomor versi konfigurasi yang lebih tinggi dalam database VTP-nya memiliki kewenangan di atas switch lain dengan angka lebih rendah. Jika saklar laboratorium seperti ini ditempatkan pada jaringan produksi, Anda mungkin secara tidak sengaja mengkonfigurasi ulang keseluruhan jaringan Anda.
7. Verifikasi bahwa ada batasan yang membatasi lalu lintas siaran / multicast di port.
Mengkonfigurasi kontrol badai membantu mengurangi risiko pemadaman jaringan di acara
tersebut dari badai siaran.
2.0 Kontrol Router Tambahan : Layer 3
1. Verifikasi bahwa antarmuka tidak aktif pada router dinonaktifkan
Antar muka yang tidak aktif yang harus dinonaktifkan termasuk LAN dan WAN interface seperti Ethernet, Serial, dan ATM. Antarmuka terbuka adalah sumber serangan yang mungkin terjadi jika seseorang masuk ke antarmuka.
2. Pastikan bahwa router dikonfigurasi untuk menyimpan semua inti pembuangan Memiliki dump inti (gambar memori router pada saat kecelakaan) bisa jadi sangat berguna untuk dukungan teknis Cisco dalam mendiagnosis kecelakaan dan mungkin mendeteksi itu serangan adalah akar penyebabnya.
3. Verifikasi bahwa semua pembaruan routing telah diautentikasi.
Otentikasi memastikan bahwa router penerima menggabungkan ke dalam tabelnya saja. Informasi rute yang diinginkan oleh router pengirim yang benar-benar dimaksudkan untuk dikirim. Inimencegah penerus yang sah untuk menerima dan kemudian menggunakan yang tidak sah, jahat, atau tabel routing yang rusak yang akan membahayakan keamanan atau ketersediaan jaringan. Kompromi semacam itu bisa menyebabkan lalu lintas yang berubah arah, penolakan layanan, atau sekadar akses ke paket data tertentu ke orang yang tidak berwenang.
4. Verifikasi bahwa sumber IP routing dan broadcast yang diarahkan oleh IP adalah cacat.
IP routing sumber memungkinkan pengirim paket IP untuk mengontrol rute paket ke tujuan, dan siaran langsung IP memungkinkan jaringan digunakan sebagai alat dalam smurf atau fraggle attack.
2.1 Kontrol Firewall Tambahan
Berikut adalah langkah-langkah uji tambahan untuk firewall. Perhatikan bahwa beberapa dari kontrol ini mungkin ditangani oleh router bersamaan dengan firewall, namun router dengan sendirinya adalah firewall yang buruk untuk perimeter jaringan perusahaan.
1. Pastikan semua paket ditolak secara default.
Semua paket pada firewall harus ditolak kecuali untuk paket yang berasal dan menuju ke alamat dan port yang semuanya didefinisikan secara eksplisit. Ini adalah pertahanan yang jauh lebih kuat posisi daripada mencoba untuk melacak apa aturan yang telah Anda set up untuk memblokir masing-masing spesifik alamat atau layanan Misalnya, permintaan SNMP eksternal dari luar jaringan Anda ditargetkan ke router di dalam jaringan Anda akan ditolak secara default jika hanya lalu lintas Anda Diijinkan masuk ke DMZ Anda ke server web.
2. Pastikan alamat IP internal dan eksternal yang tidak tepat disaring
Lalu lintas yang datang dari ruang alamat internal seharusnya tidak memiliki alamat eksternal sebagai alamat sumber Demikian juga, lalu lintas yang datang dari luar jaringan seharusnya tidak ada jaringan internal anda sebagai alamat sumber.
3. Mengevaluasi aturan firewall untuk memberikan perlindungan yang sesuai.
Kegagalan untuk mengelola aturan firewall Anda mungkin membuat Anda berisiko terbuka atau tidak akses tidak pantas Belum lama ini, beberapa ratus peraturan firewall dianggap tidak dapat dimaafkan dan sulit dikelola. Saat ini, banyak organisasi memiliki beberapa ratus, atau bahkan ribuan, aturan firewall pada satu alat. Aturan firewall cepat menumpuk dan sulit untuk menghapus karena administrator takut untuk memecahkan aplikasi, lupakan mengapa aturan spesifik ada, atau tidak bisa menavigasi kompleksitasnya ratusan peraturan Jangan meremehkan pentingnya langkah ini.
