Catatan Pertemuan 10 (FHRP CONCEPTS & LAN SECURITY CONCEPTS)

 Catatan Pertemuan 10 (modul 9&10)

Nama  : Irena Paskah Margareth S.

NPM   : 2213025033

Kelas  : PTI A

 

Modul 9 (FHRP CONCEPTS)

Protokol First Hop Redundancy (FHRP) menyediakan cara untuk mengimplementasikan gerbang default redundan dalam jaringan switched di mana beberapa router terhubung ke VLAN yang sama. Ini menghindari single point of failure untuk gerbang default yang digunakan oleh host.

Konsep utama FHRP adalah:

1.     Implementasi Router Virtual

a.     Beberapa router fisik bekerja bersama untuk menampilkan ilusi router virtual tunggal kepada host di LAN.

b.     Router virtual memiliki IP dan MAC address bersama yang digunakan host sebagai alamat gerbang default mereka.

2.     Peran Aktif dan Standby

a.     Dalam grup router virtual, satu router adalah router aktif yang meneruskan lalu lintas.

b.     Satu atau lebih router bertindak sebagai router standby, memantau router aktif.

3.     Proses Failover

a.     Jika router aktif gagal, protokol redundansi mengalihkan router standby menjadi router aktif baru yang meneruskan lalu lintas.

b.     Ini menyediakan layanan gerbang redundan dan mencegah gangguan konektivitas host.

Langkah-langkah failover:

a)     Standby berhenti menerima pesan halo dari router aktif

b)    Standby mengambil alih peran router aktif (penerus)

c)     Aktif baru menggunakan IP/MAC virtual, sehingga host tidak melihat gangguan konektivitas

Protokol FHRP umum termasuk HSRP, VRRPv2, VRRPv3, dan GLBP untuk lingkungan IPv4/IPv6. Hot Standby Router Protocol (HSRP) adalah FHRP proprietary Cisco yang memungkinkan failover transparan dari router IP first-hop (gerbang default).

Poin utama tentang HSRP:

1.     Grup HSRP

-       Grup HSRP terdiri dari satu router aktif yang meneruskan lalu lintas dan satu atau lebih router standby.

-       Standby memantau status router aktif dan mengambil alih pengiriman paket jika gagal.

2.     Memilih Router Aktif

-       Nilai prioritas router menentukan router mana yang menjadi aktif selama proses pemilihan.

-       Secara default, IP address tertinggi menjadi aktif, tetapi prioritas dapat diatur. Preemption dapat diaktifkan untuk memaksa pemilihan baru jika router prioritas lebih tinggi online.

3.     Status Router HSRP

Router HSRP melalui status seperti:

a)     Awal - Status pertama yang tersedia

b)    Belajar - Menentukan IP virtual 

c)     Mendengarkan - Tahu IP virtual tetapi bukan aktif/standby

d)    Berbicara - Mengirim halo, berpartisipasi dalam pemilihan

e)     Standby - Calon untuk menjadi router aktif berikutnya

4.     Penghitung Waktu

-       Router aktif/standby mengirim halo setiap 3 detik secara default

-       Standby menjadi aktif jika tidak menerima halo dari aktif setelah 10 detik

HSRP memungkinkan redundansi first-hop dengan membuat router bekerja sama sebagai router virtual yang melayani gerbang redundan.

Modul 10 (LAN SECURITY CONCEPTS)

Serangan jaringan saat ini umumnya melibatkan distributed denial of service (DDoS), pelanggaran data, dan infeksi malware seperti ransomware. Berbagai perangkat keamanan diperlukan untuk melindungi perimeter jaringan dan endpoint.

Perlindungan Endpoint:

1.     Endpoint (laptop, desktop, server, IP phone) rentan terhadap malware yang berasal dari email atau browsing web.

2.     Keamanan endpoint tradisional mencakup antivirus, firewall, sistem pencegahan intrusi (IPS).

3.     Perlindungan endpoint modern menggabungkan:

a)     Network Access Control (NAC) untuk otentikasi dan penegakan kebijakan

b)    Perangkat lunak Advanced Malware Protection (AMP) di host

c)     Email Security Appliance (ESA) untuk mengamankan lalu lintas email

d)    Web Security Appliance (WSA) untuk mengamankan lalu lintas web

Kontrol Akses dengan AAA: 

-       Authentication, Authorization, and Accounting (AAA) menyediakan kerangka kerja untuk mengontrol akses jaringan.

a)     Autentikasi memverifikasi identitas pengguna

b)    Otorisasi menentukan apa yang dapat dilakukan pengguna di jaringan

c)     Akuntansi mengaudit tindakan dan aktivitas pengguna

-       AAA dapat menggunakan database pengguna lokal atau server AAA eksternal seperti RADIUS atau TACACS+.

IEEE 802.1X:

-       802.1X adalah protokol kontrol akses berbasis port untuk mengotentikasi perangkat sebelum mengakses jaringan.

-       Perannya meliputi klien/supplicant, switch/AP otentikator, dan server otentikasi. 

-       802.1X memastikan hanya perangkat yang berwenang yang dapat terhubung ke jaringan.

Ancaman Keamanan Layer 2:

1.     Kerentanan Layer 2 sering diabaikan tetapi dapat mengompromikan layer yang lebih tinggi jika dieksploitasi.

2.     Kategori serangan Layer 2 umum:

a)     Serangan tabel MAC (pembanjiran)

b)    Serangan VLAN (melompat, penandaan ganda)

c)     Serangan DHCP (kelaparan, spoofing)

d)    Serangan ARP (spoofing, keracunan)

e)     Spoofing alamat (IP, MAC)

f)     Serangan manipulasi STP

3.     Teknik mitigasi:

-       Port Security untuk membatasi MAC address

-       DHCP Snooping untuk memvalidasi pesan DHCP

-       Dynamic ARP Inspection (DAI) untuk mencegah spoofing ARP

-       IP Source Guard (IPSG) untuk mencegah spoofing IP/MAC

-       Menonaktifkan negosiasi otomatis trunk dan menggunakan VLAN khusus

-       Mengamankan protokol manajemen (gunakan SSH, SFTP, SSL/TLS)

Serangan Tabel Alamat MAC:

-       Membanjiri switch dengan alamat MAC palsu dapat membanjiri tabel MAC.

-       Ini menyebabkan switch gagal terbuka dan membanjiri frame dalam VLAN lokal.

-       Diatasi dengan menerapkan Port Security untuk membatasi jumlah MAC address per port. Dokumen ini mencakup berbagai ancaman keamanan di Layer 2 model jaringan dan teknik untuk memitigasi kerentanan seperti pembanjiran MAC, serangan VLAN, penyalahgunaan DHCP, dan serangan spoofing.