Tingkatkan Proses Login
Menetapkan kata sandi dan autentikasi lokal tidak mencegah perangkat menjadi sasaran serangan. Peningkatan login Cisco IOS memberikan keamanan lebih dengan memperlambat serangan, seperti serangan kamus dan serangan DoS. Mengaktifkan profil deteksi memungkinkan Anda mengonfigurasi perangkat jaringan untuk bereaksi terhadap upaya login berulang yang gagal dengan menolak permintaan koneksi lebih lanjut (atau pemblokiran login). Pemblokiran ini dapat dikonfigurasi untuk jangka waktu tertentu, yang disebut periode tenang. Daftar kontrol akses (ACL) dapat digunakan untuk mengizinkan koneksi yang sah dari alamat administrator sistem yang dikenal.
Banner dinonaktifkan secara default dan harus diaktifkan secara eksplisit. Gunakan perintah mode konfigurasi global banner untuk menentukan pesan yang sesuai.
Spanduk melindungi organisasi dari perspektif hukum. Pemilihan kata-kata yang tepat untuk ditempatkan dalam pesan spanduk penting dan harus ditinjau oleh penasihat hukum sebelum ditempatkan pada router jaringan. Jangan pernah menggunakan kata selamat datang atau ucapan akrab lainnya yang dapat disalahartikan sebagai undangan untuk menggunakan jaringan. Berikut ini adalah contoh spanduk yang tepat.
Konfigurasikan Fitur Peningkatan Login
Perintah peningkatan login Cisco IOS, yang ditunjukkan di bawah ini, meningkatkan keamanan koneksi login virtual.
Gambar tersebut menunjukkan contoh konfigurasi. Perintah login block-for dapat bertahan terhadap serangan DoS dengan menonaktifkan login setelah sejumlah percobaan login yang gagal. Perintah login quiet-mode memetakan ke ACL yang mengidentifikasi host yang diizinkan. Ini memastikan bahwa hanya host yang berwenang yang dapat mencoba login ke router. Perintah login delay menentukan sejumlah detik pengguna harus menunggu di antara percobaan login yang gagal. Perintah login on-success dan login on-failure mencatat percobaan login yang berhasil dan tidak berhasil.
Peningkatan login ini tidak berlaku untuk koneksi konsol. Saat menangani koneksi konsol, diasumsikan bahwa hanya personel yang berwenang yang memiliki akses fisik ke perangkat.
Catatan: Peningkatan login ini hanya dapat diaktifkan jika basis data lokal digunakan untuk autentikasi untuk akses lokal dan jarak jauh. Jika saluran dikonfigurasi untuk autentikasi kata sandi saja, maka fitur login yang disempurnakan tidak diaktifkan.
Aktifkan Peningkatan Login
Untuk membantu perangkat Cisco IOS menyediakan deteksi DoS, gunakan perintah login block-for. Semua fitur peningkatan login lainnya dinonaktifkan hingga perintah login block-for dikonfigurasi.
Secara khusus, perintah login block-for memantau aktivitas perangkat login dan beroperasi dalam dua mode:
- Mode normal - Ini juga dikenal sebagai mode pantau. Router menghitung jumlah upaya login yang gagal dalam jangka waktu yang ditentukan.
- Mode tenang - Ini juga dikenal sebagai periode tenang. Jika jumlah login yang gagal melebihi ambang batas yang dikonfigurasi, semua upaya login menggunakan Telnet, SSH, dan HTTP ditolak selama waktu yang ditentukan dalam perintah login block-for.
Bila mode senyap diaktifkan, semua upaya login, termasuk akses administratif yang valid, tidak diizinkan. Namun, untuk menyediakan akses bagi host penting, seperti host administratif tertentu, perilaku ini dapat ditimpa menggunakan ACL. ACL dibuat dan diidentifikasi menggunakan perintah login quiet-mode access-class. Hanya host yang diidentifikasi dalam ACL yang memiliki akses ke perangkat selama mode senyap.
Contoh pada gambar menunjukkan konfigurasi yang menggunakan ACL bernama PERMIT-ADMIN. Host yang sesuai dengan kondisi PERMIT-ADMIN dikecualikan dari mode senyap.
Saat mengimplementasikan perintah login block-for, penundaan satu detik antara upaya login akan otomatis dipanggil. Untuk mempersulit penyerang, waktu penundaan antara upaya login dapat ditingkatkan menggunakan perintah login delay seconds, seperti yang ditunjukkan pada gambar. Perintah tersebut memperkenalkan penundaan yang seragam antara upaya login yang berurutan. Penundaan terjadi untuk semua upaya login, termasuk upaya yang gagal atau berhasil. Contoh tersebut mengonfigurasi penundaan tiga detik antara upaya login yang berurutan.
Perintah ini membantu mengurangi serangan kamus. Ini adalah perintah opsional. Jika tidak diatur, penundaan default selama satu detik akan diberlakukan setelah perintah login block-for dikonfigurasi.
Perintah login block-for, login quiet-mode access-class, dan login delay membantu memblokir upaya login yang gagal untuk jangka waktu terbatas. Namun, perintah-perintah tersebut tidak dapat mencegah penyerang untuk mencoba lagi. Bagaimana administrator dapat mengetahui ketika seseorang mencoba mendapatkan akses ke jaringan dengan menebak kata sandinya?
Mencatat Upaya yang Gagal
Ada tiga perintah yang dapat dikonfigurasi untuk membantu administrator mendeteksi serangan kata sandi, seperti yang ditunjukkan pada gambar. Setiap perintah memungkinkan perangkat untuk menghasilkan pesan syslog untuk upaya login yang gagal atau berhasil.
Dua perintah pertama, login on-success log dan login on-failure log, menghasilkan pesan syslog untuk upaya login yang berhasil dan tidak berhasil. Jumlah upaya login sebelum pesan logging dihasilkan dapat ditentukan menggunakan sintaks [setiap login], di mana nilai login default adalah 1 upaya. Rentang yang valid adalah dari 1 hingga 65.535.
Sebagai alternatif untuk perintah log login saat kegagalan, perintah tingkat kegagalan autentikasi keamanan dapat dikonfigurasi untuk menghasilkan pesan log saat tingkat kegagalan login terlampaui.
Gunakan perintah show login untuk memverifikasi pengaturan perintah login block-for dan mode saat ini. Pada gambar, R1 dikonfigurasi untuk memblokir host login selama 120 detik jika lebih dari lima permintaan login gagal dalam 60 detik. R1 juga mengonfirmasi bahwa mode saat ini normal dan telah terjadi empat kegagalan login dalam 55 detik terakhir karena masih ada lima detik tersisa dalam mode normal.
Dua gambar berikut menampilkan contoh apa yang terjadi ketika ambang batas upaya gagal terlampaui.
Upaya Login Gagal
Melebihi Batas Upaya Gagal
Output perintah berikut menampilkan status yang dihasilkan menggunakan perintah show login. Perhatikan bahwa sekarang dalam mode senyap dan akan tetap dalam mode senyap selama 105 detik berikutnya. R1 juga mengidentifikasi bahwa ACL PERMIT-ADMIN berisi daftar host yang diizinkan untuk terhubung selama mode senyap.
Perintah show login failures menampilkan informasi tambahan mengenai upaya yang gagal, seperti alamat IP asal upaya login yang gagal. Gambar berikut menampilkan contoh keluaran perintah show login failures.
No comments:
Post a Comment