Pages

Thursday, October 3, 2024

Kerangka Kerja Perlindungan Cisco Network Foundation

Kerangka Kerja NFP

Kerangka Cisco Network Foundation Protection (NFP) menyediakan panduan komprehensif untuk melindungi infrastruktur jaringan. Panduan ini membentuk fondasi untuk pengiriman layanan berkelanjutan.

NFP secara logis membagi router dan switch menjadi tiga area fungsional, seperti yang ditunjukkan pada gambar:

  • Control plane - Bertanggung jawab untuk merutekan data dengan benar. Lalu lintas control plane terdiri dari paket yang dihasilkan perangkat yang diperlukan untuk pengoperasian jaringan itu sendiri, seperti pertukaran pesan ARP, atau iklan perutean OSPF.
  • Management plane - Bertanggung jawab untuk mengelola elemen jaringan. Lalu lintas management plane dihasilkan oleh perangkat jaringan atau stasiun manajemen jaringan menggunakan proses dan protokol seperti Telnet, SSH, TFTP, FTP, NTP, AAA, SNMP, syslog, TACACS+, RADIUS, dan NetFlow.
  • Data plane (Forwarding plane) - Bertanggung jawab untuk meneruskan data. Lalu lintas data plane biasanya terdiri dari paket yang dihasilkan pengguna yang diteruskan antara perangkat akhir. Sebagian besar lalu lintas berjalan melalui router, atau switch, melalui data plane.

 

Mengamankan Bidang Kontrol

Lalu lintas bidang kendali terdiri dari paket-paket yang dihasilkan perangkat yang diperlukan untuk pengoperasian jaringan itu sendiri. Keamanan bidang kendali dapat diimplementasikan menggunakan fitur-fitur berikut, seperti yang ditunjukkan pada gambar:

  • Autentikasi protokol perutean - Autentikasi protokol perutean, atau autentikasi tetangga, mencegah router menerima pembaruan perutean yang curang. Sebagian besar protokol perutean mendukung autentikasi tetangga.
  • Control Plane Policing (CoPP) - CoPP adalah fitur Cisco IOS yang dirancang untuk memungkinkan pengguna mengendalikan aliran lalu lintas yang ditangani oleh prosesor rute perangkat jaringan.
  • AutoSecure - AutoSecure dapat mengunci fungsi bidang manajemen dan layanan serta fungsi bidang penerusan router.


CoPP dirancang untuk mencegah lalu lintas yang tidak perlu membebani prosesor rute. Fitur CoPP memperlakukan bidang kendali sebagai entitas terpisah dengan port masuk (input) dan keluar (output)-nya sendiri. Seperangkat aturan dapat ditetapkan dan dikaitkan dengan port masuk dan keluar bidang kendali.


Mengamankan Pesawat Manajemen

Lalu lintas bidang manajemen dihasilkan oleh perangkat jaringan atau stasiun manajemen jaringan menggunakan proses dan protokol seperti Telnet, SSH, dan TFTP, dll. Bidang manajemen merupakan target yang sangat menarik bagi para peretas. Karena alasan ini, modul manajemen dibangun dengan beberapa teknologi yang dirancang untuk mengurangi risiko tersebut.

Aliran informasi antara host manajemen dan perangkat yang dikelola dapat berupa out-of-band (OOB), di mana informasi mengalir dalam jaringan yang tidak memiliki lalu lintas produksi. Bisa juga berupa in-band, di mana informasi mengalir melintasi jaringan produksi perusahaan, internet, atau keduanya.

Keamanan bidang manajemen dapat diimplementasikan menggunakan fitur-fitur berikut, seperti yang ditunjukkan pada gambar:

  • Kebijakan login dan kata sandi - Membatasi aksesibilitas perangkat. Membatasi port yang dapat diakses dan membatasi metode akses "siapa" dan "bagaimana".
  • Menyajikan pemberitahuan hukum - Menampilkan pemberitahuan hukum. Pemberitahuan ini sering kali dikembangkan oleh penasihat hukum suatu perusahaan.
  • Memastikan kerahasiaan data - Melindungi data sensitif yang disimpan secara lokal agar tidak dilihat atau disalin. Menggunakan protokol manajemen dengan autentikasi yang kuat untuk mengurangi serangan kerahasiaan yang bertujuan untuk mengekspos kata sandi dan konfigurasi perangkat.
  • Kontrol akses berbasis peran (RBAC) - Memastikan akses hanya diberikan kepada pengguna, grup, dan layanan yang diautentikasi. Layanan RBAC dan autentikasi, otorisasi, dan akuntansi (AAA) menyediakan mekanisme untuk mengelola kontrol akses secara efektif.
  • Otorisasi tindakan - Membatasi tindakan dan tampilan yang diizinkan oleh pengguna, grup, atau layanan tertentu.
  • Aktifkan pelaporan akses manajemen - Mencatat dan mencatat semua akses. Mencatat siapa yang mengakses perangkat, apa yang terjadi, dan kapan itu terjadi.


RBAC membatasi akses pengguna berdasarkan peran pengguna. Peran dibuat menurut fungsi pekerjaan atau tugas, dan menetapkan izin akses ke aset tertentu. Pengguna kemudian ditetapkan ke peran, dan diberikan izin yang ditetapkan untuk peran tersebut.

Di Cisco IOS, fitur akses CLI berbasis peran mengimplementasikan RBAC untuk akses manajemen router. Fitur ini membuat "tampilan" berbeda yang menentukan perintah mana yang diterima dan informasi konfigurasi apa yang terlihat. Untuk skalabilitas, pengguna, izin, dan peran biasanya dibuat dan dikelola di server repositori pusat. Hal ini membuat kebijakan kontrol akses tersedia untuk beberapa perangkat. Server repositori pusat dapat berupa Cisco Identity Services Engine (ISE) yang dapat menyediakan layanan jaringan autentikasi, otorisasi, dan akuntansi (AAA).


Mengamankan Data Plane

Lalu lintas bidang data sebagian besar terdiri dari paket-paket pengguna yang diteruskan melalui router melalui bidang data. Keamanan bidang data dapat diimplementasikan menggunakan ACL, mekanisme antispoofing, dan fitur keamanan Layer 2.

ACL melakukan penyaringan paket untuk mengontrol paket mana yang bergerak melalui jaringan dan ke mana paket tersebut diizinkan untuk pergi. ACL digunakan untuk mengamankan bidang data dengan berbagai cara:

  • Memblokir lalu lintas atau pengguna yang tidak diinginkan - ACL dapat menyaring paket masuk atau keluar pada suatu antarmuka. ACL dapat digunakan untuk mengontrol akses berdasarkan alamat sumber, alamat tujuan, atau autentikasi pengguna.
  •  Mengurangi kemungkinan serangan DoS - ACL dapat digunakan untuk menentukan apakah lalu lintas dari host, jaringan, atau pengguna, dapat mengakses jaringan. Fitur intersepsi TCP ASA adalah mekanisme yang dapat digunakan untuk melindungi host akhir, terutama server, dari serangan TCP SYN-flooding.
  •  Mengurangi serangan spoofing - ACL memungkinkan praktisi keamanan untuk menerapkan praktik yang direkomendasikan untuk mengurangi serangan spoofing.
  •  Menyediakan kontrol bandwidth - ACL pada tautan yang lambat dapat mencegah lalu lintas berlebih.
  •  Mengklasifikasikan lalu lintas untuk melindungi bidang Manajemen dan Kontrol - ACL dapat diterapkan pada jalur vty.

ACL juga dapat digunakan sebagai mekanisme antispoofing dengan membuang lalu lintas yang memiliki alamat sumber yang tidak valid. Ini berarti bahwa serangan harus dimulai dari alamat IP yang valid dan dapat dijangkau, yang memungkinkan paket dilacak ke sumber serangan.

Fitur-fitur, seperti Unicast Reverse Path Forwarding (uRPF), dapat digunakan untuk melengkapi strategi antispoofing.

Switch Cisco Catalyst dapat menggunakan fitur-fitur terintegrasi untuk membantu mengamankan infrastruktur Layer 2. Alat-alat keamanan Layer 2 berikut terintegrasi ke dalam switch Cisco Catalyst:

  • Keamanan port - Mencegah serangan spoofing alamat MAC dan serangan banjir alamat MAC.
  • DHCP snooping - Mencegah serangan klien pada server dan switch DHCP.
  • Dynamic ARP Inspection (DAI) - Menambahkan keamanan ke ARP dengan menggunakan tabel snooping DHCP untuk meminimalkan dampak dari keracunan ARP dan serangan spoofing.
  • IP Source Guard (IPSG) - Mencegah spoofing alamat IP dengan menggunakan tabel snooping DHCP.


Kursus ini berfokus pada berbagai teknologi dan protokol yang digunakan untuk mengamankan bidang Manajemen dan Data. 

Diposkan oleh di
Label:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)