Port Security
Port Security adalah suatu cara untuk membatasi jumlah MAC Address yang valid pada suatu port. MAC address dari perangkat yang sah diperbolehkan untuk akses, sedangkan alamat MAC lainnya akan ditolak. Port security dapat dikonfigurasi untuk mengizinkan satu atau lebih alamat MAC. Jika jumlah alamat MAC diperbolehkan pada port dibatasi hanya satu, maka hanya perangkat dengan alamat MAC tertentu yang dapat terhubung ke port.
Jika port dikonfigurasi sebagai "secure port" dan jumlah maksimum akses alamat MAC terlampaui, setiap koneksi ke port menggunakan MAC Address yang tidak diketahui/tidak valid maka akan menghasilkan "Security Violation".
Fungsi implementasi Port Security ;
Menentukan MAC Address tunggal atau kelompok MAC Address yang valid yang diizinkan akses pada port. Menentukan bahwa port mati secara otomatis jika terdeteksi ada akses dari MAC Address yang tidak valid.
Mengaktifkan port security :
switchport port-security
perintah dimasukan pada mode interface configuration.
switchport port-security
perintah dimasukan pada mode interface configuration.
Tipe secure MAC Address :
- Static secure menentukan MAC Address pada port secara manual, yang akan tersimpan pada address table dan ditambahkan ke running-configuration pada switch.
- Dynamic secure, switch mempelajari dan menyimpan data MAC Address di address table secara dinamis, konfigurasi ini akan hilang ketika switch dimatikan.
- Sticky secure, MAC Address didapat secara dinamis maupun dikonfigurasi secara manual, dan akan tersimpan pada address table dan ditambahkan ke running-configuration pada switch.
Untuk mengkonfigurasi sticky mac address dan mengubah MAC Address dinamis menjadi sticky dan menambahkannya ke running-configuration. ketikan : switchport port-security mac-address sticky pada mode interface configuration.
Ketika perintah ini dimasukkan, switch mengkonversi semua MAC address dinamis, termasuk yang yang didapat sebelum sticky diaktifkan.
Sticky MAC Address juga dapat didefinisikan secara manual. konfigurasi dengan menggunakan perintah : switchport port-security mac-address sticky [mac-address] pada mode interface configuration.
Sticky MAC Address dinonaktifkan dengan cara : no switchport port-security mac-address sticky pada mode interface configuration, Sticky MAC Address tetap akan menjadi bagian address table, tapi akan dihapus dari running configuration.
Port Security: Violation Modes
Terdapat tiga mode Decurity Violation yaitu Protect, Restrict dan Shutdown. Sebuah interface dapat dikonfigurasi satu dari tiga mode violation, dan akan menentukan tindakan yang akan diambil jika pelanggaran terjadi.
- Protect - Ketika jumlah MAC address aman mencapai batas yang diizinkan pada port, paket dengan MAC address sumber yang tidak diketahui akan di-drop sampai jumlah MAC Address kembali mencukupi, atau jumlah maksimum meningkat. Tidak ada pemberitahuan bahwa pelanggaran keamanan telah terjadi.
- Restrict - Ketika jumlah MAC address aman mencapai batas yang diizinkan pada port, paket dengan alamat sumber yang tidak diketahui didrop sampai jumlah MAC Address kembali mencukupi, atau jumlah alamat maksimum meningkat. Dalam mode ini, ada pemberitahuan bahwa pelanggaran keamanan telah terjadi.
- Shutdown - Dalam mode ini (default), pelanggaran keamanan menyebabkan interface berubah menjadi error/disable dan off/mati dan port LED akan berubah jadi off . akan menambah counter untuk violation. Ketika port dalam kondisi error/disable atau off/mati untuk mengubah ke kondisi normal digunakan perintah shutdown kemudian no shutdown pada mode interface configuration.
Untuk mengubah mode violation pada port switch, gunakan perintah :
switchport port-security {protect| restrict| shutdown}
pada mode interface configuration.
reference : netacad.com
No comments:
Post a Comment