Sebagai seorang network engineer, kita tidak hanya dituntut untuk bisa membangun sebuah network, namun kita juga dituntut untuk bisa mengamankan network tersebut.
Nah kali ini kita akan belajar bagaimana cara mengamankan sebuah jaringan yang menerapkan rotuing protocol EIGRP. Namun sebelum mengamankan, kita akan praktik menyusup terlebih dahulu.
Oke asumsinya kita punya jaringan seperti ini
 |
| Gambar 1 Topologi jaringan EIGRP |
Diasumsikan bahwa kita telah mengkonfigurasikan routing EIGRP dikedua router.
R2#show ip eigrp neighborsOke R1 dan R2 sudah terhubung dengan routing EIGRP. Lanjut misal ada seorang penyusup yang menancapkan sebuah router ke jaringan kita seperti ini
EIGRP-IPv4 Neighbors for AS(51)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 12.12.12.1 Et0/0 10 00:10:37 13 200 0 3
 |
| Gambar 2 Ada router penyusup |
Tentunya penyusup tidak mengetahui ip address dari R2, namun penyusup yang pintar akan mencari cara bagaimana agar dia mengetahui network dari tetangganya.
Mulai sekarang kita bertindak sebagai penyusup. Tujuan kita adalah mengetahui ip address dari router neighbor dan AS Number dari EIGRP. Jika kita sudah mengetahui dua hal tersebut, maka kita bisa menyusup jaringan EIGRP dengan sangat mudah.
Pertama kita akan mengaktifkan dan memberikan ip address secara acak pada interface yang terhubung ke jaringan yang akan kita susupi. Tujuannya adalah agar kita bisa melakukan debugging terhadap jaringan tersebut
Penyusup(config)#interface et0/0Selanjutnya kita debug jaringan tersebut
Penyusup(config-if)#no shutdown
Penyusup(config-if)#ip address 10.10.10.1 255.255.255.0
Penyusup(config)#access-list 100 permit ip any anyPerintah diatas artinya kita membuat sebuah access list dan melakukan debugging menggunakan access list tersebut. Tujuannya adalah agar kita mengetahui ip address router neighbor kita, berikut hasilnya
Penyusup(config)#do debug ip packet 100
IP packet debugging is on for access list 100
*Aug 20 20:03:53.555: IP: s=192.168.2.1 (Ethernet0/0), d=224.0.0.10, len 60, input feature, MCI Check(68), rtype 0, forus FALSE, sendself FALSE, mtu 0Dari hasil diatas kita bisa tahu kalau kita mempunyai router neighbor dengan ip address 192.168.2.1, selanjutnya kita bisa mematikan debugnya dan mengkonfigurasi ip address di interface dengan ip address yang satu segmen dengan neighbor
*Aug 20 20:03:53.555: IP: s=192.168.2.1 (Ethernet0/0), d=224.0.0.10, len 60, unroutable
Penyusup(config)#do no debug ip packet 100Oke lanjut kita lakukan debug lagi, namun kali ini kita akan melakukan debug dengan lebih spesifik, yaitu kita hanya akan debug packet eigrp yang berasal dari 192.168.2.1 (router neighbor). Tujuan debug kali ini adalah mencari AS Number yang digunakan EIGRP
IP packet debugging is off for access list 100
Penyusup(config)#interface et0/0
Penyusup(config-if)#ip address 192.168.2.10 255.255.255.0
Penyusup(config)#access-list 101 permit eigrp host 192.168.2.1 anyBerikut hasil dari perintah diatas
Penyusup(config)#do debug ip packet 101 dump
IP packet debugging is on (dump) for access list 101
*Aug 20 20:12:03.567: IP: s=192.168.2.1 (Ethernet0/0), d=224.0.0.10, len 60, input featureSebuah angka hexa desimal yang diawali 0000000 menunjukkan AS Number yang digunakan oleh EIGRP. Tugas kita selanjutnya sebagai penyusup adalah mengkonversi angka hexa desimal tersebut menjadi desimal, silahkan lihat cara konversi hexa desimal ke desimal
AA8FC2A0: 0100 5E00000A ..^...
AA8FC2B0: AABBCC00 01100800 45C0003C 00000000 *;L.....E@.<....
AA8FC2C0: 015815F7 C0A80201 E000000A 0205F29F .X.w@(..`.....r.
AA8FC2D0: 00000000 00000000 00000000 00000033 ...............3
AA8FC2E0: 0001000C 01000100 0000000F 00040008 ................
AA8FC2F0: 06000300 .... , MCI Check(68), rtype 0, forus FALSE, sendself FALSE, mtu 0
*Aug 20 20:12:03.567: IP: s=192.168.2.1 (Ethernet0/0), d=224.0.0.10, len 60, unroutable
Angka hexa desimal 33 jika kita konversi menjadi desimal adalah 51. Ini artinya AS Number yang digunakan oleh router neighbor adalah 51. Lanjut kita konfigurasi routing EIGRP di router penyusup dengan AS 51
Penyusup(config)#router eigrp 51Perhatikan bahwa saat ini router penyusup sudah adjency dengan router neighbor, sekarang kita coba lihat tabel routing di router penyusup
Penyusup(config-router)#network 192.168.2.0
Penyusup(config-router)#
*Aug 20 20:22:50.807: %DUAL-5-NBRCHANGE: EIGRP-IPv4 51: Neighbor 192.168.2.1 (Ethernet0/0) is up: new adjacency
Penyusup#show ip route eigrpPerhatikan bahwa saat ini router penyusup mengetahui seluruh network yang ada menggunakan EIGRP.
...
Gateway of last resort is not set
12.0.0.0/24 is subnetted, 1 subnets
D 12.12.12.0 [90/307200] via 192.168.2.1, 00:01:24,
D 192.168.1.0/24 [90/332800] via 192.168.2.1, 00:01:24,
Oke pekerjaan kita sebagai penyusup sudah selesai, kita kembali menjadi network engineer. Sebagai network engineer kita harus berfikir bagaimana mengamankan jaringan EIGRP kita.
Dari contoh kasus penysupan diatas, kita bisa simpulkan bahwa konfigurasi passive-interface sangatlah penting. Passive-interface harus dikonfigurasikan pada interface router yang terhubung ke client.
Misal di R2, kita harus mengkonfigurasi passive-interface di eth0/1. Tujuan dari konfigurasi passive-interface adalah agar router tidak mengirimkan paket EIGRP ke interface tersebut.
Oke sekarang kita konfiguarsikan passive interface di R2
R2(config)#router eigrp 51Setelah konfigurasi passive-interface, maka penyusup tidak akan bisa melakukan debugging terhadap paket EIGRP lagi.
R2(config-router)#passive-interface eth0/1
Oke sampai disini dulu pembahasan kali ini. Jangan lupa untuk selalu mengkonfigurasi passive-interface saat menerapkan routing protocol. Semoga bermanfaat.....
Tidak ada komentar:
Posting Komentar
Komentar