LAN Security Concepts

 Irena Paskah M.S (2213025033)

 Jurnal Perkuliahan 4

LAN Security Concepts

Modul 10 ini membahas tentang konsep keamanan di lingkungan LAN (Local Area Network). Tujuannya untuk menjelaskan bagaimana berbagai kerentanan dapat mengompromikan keamanan jaringan LAN yang dapat membahayakan keamanan data dan privasi pengguna.

Serangan jaringan seperti DDoS, peretasan data, dan malware kini semakin sering menyasar endpoint seperti laptop, desktop, server, serta perangkat BYOD (Bring Your Own Device) lainnya. Endpoint selama ini memang mengandalkan fitur keamanan berbasis host seperti antivirus, firewall, dan sistem pencegahan intrusi. Namun, pendekatan terbaik saat ini untuk melindungi endpoint adalah dengan mengombinasikan beberapa solusi keamanan yaitu:

        -       Network Access Control (NAC)

        -    Software Advance Malware Protection (AMP)

        -       Email Security Appliance (ESA)

        -       Web Security Appliance (WSA)

Mekanisme Authentication, Authorization, and Accounting (AAA) sangat penting untuk mengontrol akses ke jaringan. AAA berfungsi:

        1.     Autentikasi - memverifikasi identitas pengguna

        2.     Otorisasi - mengontrol apa yang bisa dilakukan pengguna

        3.     Akuntansi - mencatat aktivitas pengguna

Autentikasi dapat dilakukan secara lokal atau berbasis server menggunakan protokol RADIUS atau TACACS+. Selain itu, protokol IEEE 802.1x juga dapat diterapkan untuk kontrol akses berbasis port di switch, membatasi akses ke LAN hanya melalui port yang diizinkan.

Apabila lapisan Layer 2 dari model OSI disusupi, maka semua lapisan di atasnya juga terancam.

Beberapa kategori serangan di Layer 2 antara lain:

        -       Serangan tabel MAC

        -       Serangan VLAN

        -       Serangan DHCP

        -       Serangan ARP

        -       Spoofing alamat

        -       Serangan Spanning Tree Protocol (STP)

Teknik untuk memitigasi serangan tersebut adalah dengan mengimplementasikan:

        -       Port Security

        -       DHCP Snooping 

        -       Dynamic ARP Inspection (DAI)

        -       IP Source Guard (IPSG)

Serangan flooding tabel MAC membanjiri switch dengan alamat MAC palsu hingga tabel MAC penuh, sehingga switch akan membroadcast semua frame tanpa memeriksa tabel MAC. Serangan ini dapat dimitigasi dengan mengaktifkan fitur Port Security.

Selain itu, ada pula serangan VLAN Hopping yang memungkinkan lalu lintas dari satu VLAN dilihat oleh VLAN lain tanpa router. Begitu juga dengan serangan VLAN Double-Tagging yang memasukkan tag VLAN tersembunyi agar dapat mengirim data ke VLAN lain. Kedua serangan ini dimitigasi dengan membatasi penggunaan trunk dan native VLAN dengan benar.

Jenis serangan lain adalah DHCP Starvation yang membanjiri permintaan alamat IP untuk mencegah akses klien baru. Sementara DHCP Spoofing menggunakan server DHCP palsu untuk memberikan konfigurasi IP yang salah ke klien. Kedua serangan DHCP ini dimitigasi dengan mengimplementasikan DHCP Snooping.

Serangan lain seperti ARP Spoofing dan Address Spoofing melakukan penyamaran alamat MAC/IP untuk melakukan serangan man-in-the-middle. Teknik mitigasinya adalah dengan menerapkan Dynamic ARP Inspection dan IP Source Guard.

Selanjutnya ada pula serangan dengan cara memanipulasi Spanning Tree Protocol (STP) agar host penyerang menjadi root bridge sehingga dapat menangkap lalu lintas jaringan. Serangan ini dapat dimitigasi dengan mengaktifkan fitur BPDU Guard.

Terakhir, penggunaan protokol seperti CDP dan LLDP perlu dibatasi karena dapat membocorkan informasi penting jaringan apabila dieksploitasi oleh penyerang. Dengan menerapkan berbagai mekanisme keamanan tersebut, ancaman terhadap keamanan LAN dapat diminimalisir.