Pages - Menu

Monday, July 6, 2020

Data Link Layer Security [Mengamankan Protokol Spanning Tree]


Spanning Tree Protocol (STP) adalah  layer 2 link management protocol. Tujuan utama dari STP adalah untuk memastikan bahwa tidak ada perulangan aliran data ketika terjadi redundan pada jaringan. Umumnya, jalur redundan dibangun untuk memberikan keandalan pada jaringan. Tetapi jalur redundan dapat membentuk perulangan mematikan yang dapat menyebabkan serangan DoS di jaringan.

Spanning Tree Protocol
Untuk memberikan redundansi jalur yang diinginkan, serta untuk menghindari kondisi perulangan, STP mendefinisikan tree yang merentang ke semua switch dalam jaringan. STP memaksa data link redundan tertentu ke dalam kondisi pemblokiran dan membuat link lain dalam kondisi diteruskan.
Jika link dalam kondisi penerusan rusak, STP mengkonfigurasi ulang jaringan dan mengubah jalur data dengan mengaktifkan jalur siaga yang sesuai. STP berjalan pada bridge dan switch yang digunakan di jaringan. Semua switch bertukar informasi untuk pemilihan switch root dan untuk konfigurasi jaringan selanjutnya. Bridge Protocol Data Units (BPDU) membawa informasi ini. Melalui pertukaran BPDU, semua switch dalam jaringan memilih root bridge / switch yang menjadi titik fokus dalam jaringan dan mengontrol link yang diblokir dan diteruskan.


Serangan pada STP
Mengambil alih Root Bridge adalah salah satu jenis serangan yang paling mengganggu pada layer 2. Secara default, switch LAN mengambil BPDU yang dikirim dari switch lain dengan nilai nominal. Secara kebetulan, STP dapat dipercaya, stateless dan tidak menyediakan mekanisme otentikasi suara.
Setelah dalam mode serangan root, switch penyerang mengirimkan BPDU setiap 2 detik dengan prioritas yang sama dengan root bridge saat ini, tetapi dengan alamat MAC yang sedikit lebih rendah, memastikan kemenangannya dalam proses pemilihan root-bridge. Switch penyerang dapat meluncurkan serangan DoS dengan tidak mengakui switch lain yang menyebabkan BPDU membanjiri atau dengan mengalihkan switch untuk memproses BPDUS secara berlebihan dengan mengklaim sebagai root pada satu waktu dan menarik secara berurutan dengan cepat.
DoS menggunakan Flood of Configuration BPDU. Switch penyerang tidak mencoba untuk mengambil alih sebagai root. Sebaliknya, itu menghasilkan sejumlah besar BPDU per detik yang mengarah ke pemanfaatan CPU yang sangat tinggi pada switch.

Mencegah Serangan pada STP
Untungnya, penanggulangan terhadap serangan pengambilalihan root termasuk sederhana dan mudah. Dua fitur berikut dapat membantu dalam mengalahkan serangan root takeover.
Root Guard - Root guard membatasi port switch di mana root bridge dapat dinegosiasikan. Jika port ‘root-guard-enabled’ menerima port BPDU yang lebih unggul daripada port yang dikirim root bridge saat ini, maka port tersebut dipindahkan ke keadaan root yang tidak konsisten, dan tidak ada lalu lintas data yang diteruskan melintasi port tersebut. Root guard paling baik digunakan pada port yang terhubung ke switch yang tidak diharapkan untuk mengambil alih sebagai root bridge.

BPDU-Guard - BPDU guard digunakan untuk melindungi jaringan dari masalah yang mungkin disebabkan oleh penerimaan BPDU pada port akses. Port tersebut adalah port yang seharusnya tidak menerimanya.

Data Link layer Security [Mengamankan LAN Ethernet]


Kita telah membahas beberapa serangan pada lapisan Data Link di bagian sebelumnya. Beberapa metode telah dikembangkan untuk mengurangi jenis serangan tersebut, antara lain,

1. Port Security

Port security adalah fitur keamanan layer 2 yang biasanya tersedia pada switch Ethernet. Mengikat port fisik switch ke alamat MAC tertentu. Siapa pun dapat mengakses jaringan tidak aman hanya dengan menghubungkan host ke salah satu port switch yang tersedia. Namun, port security dapat mengamankan akses layer 2.

Data Link Layer Security [Mengamankan Jaringan LAN Nirkabel]


LAN nirkabel adalah jaringan yang terhubung tanpa kabel dalam area geografis yang terbatas, seperti gedung kantor atau kampus sekolah, biasanya menggunakan gelombang komunikasi radio.

LAN Nirkabel
LAN nirkabel biasanya diimplementasikan sebagai ekstensi dari LAN kabel yang sudah ada, untuk menyediakan akses jaringan kepada perangkat bergerak. Teknologi LAN nirkabel yang paling banyak diimplementasikan didasarkan pada standar IEEE 802.11 dan amandemennya. Dua komponen utama dalam LAN nirkabel adalah

Data Link Layer Security [Mengamankan Virtual LAN]


Pada jaringan lokal, Virtual Local Area Network (VLAN) kadang-kadang dikonfigurasikan sebagai langkah keamanan untuk membatasi jumlah host yang rentan terhadap serangan layer 2. VLAN membuat batas-batas jaringan, di mana lalu lintas broadcast (ARP, DHCP) tidak dapat dilalui.

Jaringan yang menggunakan satu atau lebih switch yang mendukung kapabilitas VLAN dapat dikonfigurasikan menjadi beberapa VLAN dalam satu infrastruktur LAN fisik.

Data Link Layer Security [Intro]


Tumbuhnya Internet dengan cepat telah menimbulkan keprihatinan besar terhadap keamanan jaringan. Beberapa metode telah dikembangkan untuk memberikan keamanan dalam aplikasi, transportasi, atau network layer dari suatu jaringan.

Banyak organisasi menggabungkan langkah-langkah keamanan pada lapisan OSI yang lebih tinggi, dari lapisan aplikasi hingga lapisan IP. Namun, satu area yang umumnya tidak dijaga adalah pada lapisan Data Link. Lapisan ini berpeluang membuka jaringan kepada berbagai serangan dan kompromi. Pada materi kali ini, kita akan membahas masalah keamanan di lapisan Data Link dan metode untuk menanganinya.