Kata Sandi
Untuk melindungi perangkat jaringan, penting untuk menggunakan kata sandi yang kuat. Berikut adalah panduan standar yang harus diikuti:
- Gunakan kata sandi dengan panjang minimal delapan karakter, sebaiknya 10 karakter atau lebih. Kata sandi yang lebih panjang adalah kata sandi yang lebih aman.
- Buat kata sandi yang rumit. Sertakan campuran huruf besar dan kecil, angka, simbol, dan spasi, jika diperbolehkan.
- Hindari kata sandi yang didasarkan pada pengulangan, kata-kata kamus umum, urutan huruf atau angka, nama pengguna, nama kerabat atau hewan peliharaan, informasi biografi, seperti tanggal lahir, nomor ID, nama leluhur, atau informasi lain yang mudah diidentifikasi.
- Sengaja salah mengeja kata sandi. Misalnya, Smith = Smyth = 5mYth atau Security = 5ecur1ty.
- Sering-seringlah mengganti kata sandi. Jika kata sandi tanpa disadari dibobol, peluang pelaku ancaman untuk menggunakan kata sandi tersebut akan terbatas.
- Jangan tulis kata sandi dan tinggalkan di tempat yang mudah terlihat seperti di meja atau monitor.
Pada router Cisco, spasi di awal diabaikan untuk kata sandi, tetapi spasi setelah karakter pertama tidak diabaikan. Oleh karena itu, salah satu metode untuk membuat kata sandi yang kuat adalah dengan menggunakan bilah spasi dan membuat frasa yang terdiri dari banyak kata. Ini disebut frasa sandi. Frasa sandi sering kali lebih mudah diingat daripada kata sandi sederhana. Frasa sandi juga lebih panjang dan lebih sulit ditebak.
Pengelola Kata Sandi
Gunakan pengelola kata sandi untuk mengamankan kata sandi untuk aktivitas daring Anda. Dianggap sebagai praktik terbaik untuk mengamankan kata sandi, pengelola kata sandi secara otomatis membuat kata sandi yang rumit untuk Anda dan akan memasukkannya secara otomatis saat Anda mengakses situs tersebut. Anda hanya perlu memasukkan kata sandi utama untuk mengaktifkan fitur ini.
Autentikasi Multifaktor
Gunakan autentikasi multifaktor jika tersedia. Ini berarti bahwa autentikasi memerlukan dua atau lebih cara verifikasi yang independen. Misalnya, saat Anda memasukkan kata sandi, Anda juga harus memasukkan kode yang dikirimkan kepada Anda melalui email atau pesan teks.
Konfigurasikan Kata Sandi
Saat pertama kali terhubung ke perangkat, Anda berada dalam mode EXEC pengguna. Mode ini diamankan menggunakan konsol.
Untuk mengamankan akses mode EXEC pengguna, masukkan mode konfigurasi konsol baris menggunakan perintah konfigurasi global konsol baris 0, seperti yang ditunjukkan dalam contoh. Angka nol digunakan untuk mewakili antarmuka konsol pertama (dan dalam kebanyakan kasus satu-satunya). Selanjutnya, tentukan kata sandi mode EXEC pengguna menggunakan perintah kata sandi kata sandi. Terakhir, aktifkan akses EXEC pengguna menggunakan perintah login.
Akses konsol sekarang akan memerlukan kata sandi sebelum mengizinkan akses ke mode EXEC pengguna.
Untuk memiliki akses administrator ke semua perintah IOS termasuk mengonfigurasi perangkat, Anda harus memperoleh akses mode EXEC istimewa. Ini adalah metode akses yang paling penting karena menyediakan akses lengkap ke perangkat.
Untuk mengamankan akses EXEC istimewa, gunakan perintah enable secret password global config, seperti yang ditunjukkan dalam contoh.
Jalur terminal virtual (VTY) memungkinkan akses jarak jauh menggunakan Telnet atau SSH ke perangkat. Banyak sakelar Cisco mendukung hingga 16 jalur VTY yang diberi nomor 0 hingga 15. Sebagian besar router mendukung empat jalur VTY yang diberi nomor 0 hingga 4. Dalam contoh ini, kami mengonfigurasi sakelar lapisan akses.
Untuk mengamankan jalur VTY, masuk ke mode jalur VTY menggunakan perintah konfigurasi global jalur vty 0 15. Selanjutnya, tentukan kata sandi VTY menggunakan perintah kata sandi kata sandi. Terakhir, aktifkan akses VTY menggunakan perintah login.
Contoh pengamanan jalur VTY pada sakelar ditunjukkan.
Enkripsi Kata Sandi
Kata sandi yang kuat hanya berguna jika bersifat rahasia. Ada beberapa langkah yang dapat diambil untuk membantu memastikan bahwa kata sandi tetap rahasia pada router dan switch Cisco, termasuk yang berikut:
- Mengenkripsi semua kata sandi teks biasa
- Menetapkan panjang kata sandi minimum yang dapat diterima
- Mencegah serangan tebak kata sandi dengan kekerasan
- Menonaktifkan akses mode EXEC istimewa yang tidak aktif setelah jangka waktu tertentu.
File startup-config dan running-config menampilkan sebagian besar kata sandi dalam bentuk teks biasa. Ini merupakan ancaman keamanan karena siapa pun dapat menemukan kata sandi jika mereka memiliki akses ke file-file ini.
Untuk mengenkripsi semua kata sandi teks biasa, gunakan perintah service password-encryption global config seperti yang ditunjukkan dalam contoh.
Perintah ini menerapkan enkripsi lemah pada semua kata sandi yang tidak terenkripsi. Enkripsi ini hanya berlaku untuk kata sandi dalam berkas konfigurasi, bukan untuk kata sandi yang dikirim melalui jaringan. Tujuan dari perintah ini adalah untuk mencegah orang yang tidak berwenang melihat kata sandi dalam berkas konfigurasi.
Gunakan perintah show running-config untuk memverifikasi bahwa kata sandi sekarang dienkripsi.
Keamanan Kata Sandi Tambahan
Seperti yang ditunjukkan dalam contoh konfigurasi, perintah konfigurasi global service password-encryption mencegah orang yang tidak berwenang melihat kata sandi teks biasa dalam berkas konfigurasi. Perintah ini mengenkripsi semua kata sandi teks biasa. Perhatikan dalam contoh, bahwa kata sandi "cisco" telah dienkripsi sebagai "094F471A1A0A".
Untuk memastikan semua kata sandi yang dikonfigurasi memiliki panjang minimal yang ditentukan, gunakan perintah security passwords min-length length dalam mode konfigurasi global.
Pelaku ancaman dapat menggunakan perangkat lunak peretasan kata sandi untuk melakukan serangan brute-force pada perangkat jaringan. Serangan ini terus-menerus mencoba menebak kata sandi yang valid hingga salah satunya berhasil. Gunakan perintah konfigurasi global login block-for seconds tries number within seconds untuk mencegah jenis serangan ini.
Administrator jaringan dapat terganggu dan secara tidak sengaja membiarkan sesi mode EXEC istimewa terbuka di terminal. Hal ini dapat memungkinkan akses pelaku ancaman internal untuk mengubah atau menghapus konfigurasi perangkat. Secara default, router Cisco akan keluar dari sesi EXEC setelah 10 menit tidak aktif. Namun, Anda dapat mengurangi pengaturan ini menggunakan perintah konfigurasi baris exec-timeout minutes seconds. Perintah ini dapat diterapkan secara daring pada konsol, baris bantu, dan baris vty.
Misalnya, perintah berikut dikonfigurasi:
- Semua kata sandi teks biasa dienkripsi.
- Kata sandi baru yang dikonfigurasi harus terdiri dari delapan karakter atau lebih.
- Jika ada lebih dari tiga kali percobaan login VTY yang gagal dalam waktu 60 detik, maka kunci jalur VTY selama 120 detik.
- Atur router agar secara otomatis memutus sambungan pengguna yang tidak aktif pada jalur VTY jika jalur tersebut tidak aktif selama 5 menit 30 detik.
Algoritma Kata Sandi Rahasia
Hash MD5 tidak lagi dianggap aman karena penyerang dapat merekonstruksi sertifikat yang valid. Hal ini dapat memungkinkan penyerang untuk memalsukan situs web mana pun. Perintah enable secret password yang ditunjukkan pada gambar menggunakan hash MD5 secara default. Oleh karena itu, sekarang disarankan agar Anda mengonfigurasi semua kata sandi rahasia menggunakan kata sandi tipe 8 atau tipe 9. Tipe 8 dan tipe 9 diperkenalkan di Cisco IOS 15.3(3)M. Tipe 8 dan tipe 9 menggunakan enkripsi SHA. Karena tipe 9 sedikit lebih kuat daripada tipe 8, tipe ini akan digunakan di seluruh kursus ini setiap kali diizinkan oleh Cisco IOS.
Gambar tersebut menunjukkan bahwa mengonfigurasi enkripsi tipe 9 tidak semudah yang terlihat. Anda tidak dapat begitu saja memasukkan enable secret 9 dan kata sandi yang tidak terenkripsi. Untuk menggunakan bentuk perintah ini, Anda harus menempelkan kata sandi terenkripsi, yang dapat disalin dari konfigurasi router lain.
Untuk memasukkan kata sandi yang tidak terenkripsi, gunakan sintaks perintah enable algorithm-type:
Contoh konfigurasi ditunjukkan pada gambar. Perhatikan bahwa konfigurasi yang sedang berjalan sekarang menunjukkan kata sandi rahasia tipe 9.
Enkripsi tipe 8 dan tipe 9 juga diperkenalkan di Cisco IOS 15.3(3)M untuk perintah rahasia nama pengguna. Mirip dengan perintah rahasia aktif, jika Anda cukup memasukkan pengguna dengan perintah rahasia nama pengguna, enkripsi default akan menjadi MD5. Gunakan perintah algoritma-tipe nama pengguna untuk menentukan enkripsi tipe 9. Sintaksnya ditampilkan diikuti dengan contoh.
Untuk alasan kompatibilitas mundur, perintah enable password, username password, dan line password tersedia di Cisco IOS. Perintah-perintah ini tidak menggunakan enkripsi secara default. Paling banter, perintah-perintah ini hanya dapat menggunakan enkripsi tipe 7, seperti yang ditunjukkan pada gambar. Oleh karena itu, perintah-perintah ini tidak akan digunakan dalam kursus ini.
No comments:
Post a Comment