Monday, September 24, 2012

Menolak Akses Device Tak Dikenal/Terdaftar (Catalyst 3500XL)

Wihartoyo     Monday, September 24, 2012    
Selamat sore, Mas!
Ya, selamat sore.  Gimana kabarnya? Baik?
Baik, Mas.  Cuma gini, saya sering judeg dalam mengatur akses jaringan di kantor.
Judeg kenapa?
Itu, seringkalli pegawai yang pada bawa laptop pribadi, dengan mudahnya mengkoneksikan laptopnya ke jaringan kantor.  La itu kan bahaya to, Mas!?
La ya bahaya kalo itu.
Trus gimana, Mas, solusinya?
Di kantor make manageable switch gak?
Make, Mas.  Kalo gak salah Cisco Catalyst 3500 XL.
Yang 48 port itu?
Ya, Mas.
Nnngg.... Kamu pernah nyoba port security belum?
Apa itu, Mas?
Ya, port security itu digunakan untuk membatasi input terhadap suatu interface.  Dengan kata lain, bila port security telah kita bikin enable, untuk beberapa mac-address terdaftar, maka hanya mac-address terdaftar itu sajalah yang boleh mengakses.
Na itu, mungkin mas yang saya cari.  Caranya gimana, Mas?
Seperti biasa sampeyan login ke Catalyst sampeyan dengan exec priviledge user.
Pertama, masuk global configuration mode, kemudian sampeyan pilih port mana yang bakal sampeyan bikin secure.  Misal Fa0/21.


C3500XL#configure terminal
C3500XL(config)#interface fa0/21
C3500XL(config-if)#port security max-mac-count 1
C3500XL(config-if)#port security aging time 0
C3500XL(config-if)#end
C3500XL#show mac-address-table interface fa0/21
Non-static Address Table:
Destination Address  Address Type  VLAN  Destination Port
-------------------  ------------  ----  --------------------
0090.f5b4.6cbd       Secure          13  FastEthernet0/21


Perhatikan konfigurasi di atas, 'port security max-mac-count' bernilai 1, berarti hanya ada satu  mac address yang diperbolehkan nyantol ke port fa0/21.  Perhatikan juga 'port security aging time' nya yang bernilai 0.  Ini berarti bahwa tidak ada nilai kadaluwarsa buat mac address yang terdaftar.
Nah sekarang dimana kita mendaftarkan mac-address nya?
Mac-address yang terkoneksi pada device pada saat dilakukkan konfigurasi akan berubah type menjadi Secure Address Type.
Pada konfigurasi di atas juga tidak menentukan action down untuk kondisi violation.  Namun, device yang terkoneksi tidak akan bisa mengakses interface sehingga device dimaksud tidak akan bisa mengakses device apapun yang ada di dalam jaringan.
 Pada bebarap konfigurasi, action down perlu di-implementasikan untuk memastikan bahwa telah terjadi violation terhadap suatu port.  Adapun perintahnya adalah


C3500XL(config-if)#port security action down


Itu saja.
O... gitu.  Ok, Mas.  Kemudian, itu kan aginnya 0, bagaimana kita akan menggantikan suatu mesin yang sudah didaftarkan dengan mesin lain.

Pertama remove hardware address lama dari konfigurasi port security, kemudian tambahkan hw address yang baru.


C3500XL#configure terminal
C3500XL(config)#no mac-address-table secure 1190.f5b4.6abc vlan 13
C3500XL(config)#mac-address-table secure 2290.fb54.6fcd fa0/21
C3500XL(config)#end


Gitu...
O, gitu to mas.  Yo wis... tak cobanya.... Makasih, Ya

Thursday, September 20, 2012

Koneksi SSH tanpa Password

Wihartoyo     Thursday, September 20, 2012    
Kulonuwun, Mas!
Yo, monggo.... Piye? Wis... kene njagong sik... kene!
Njih, Mas matur-nuwun.
Gimana? Ada-apa?
Gini, lo mas.  Saya pengin bikin sinkronisasi file antara dua komputer yang terjadwal make rsync dengan menggunakan cron.  Cuma, masalahnya, kalo make rsync pan kita harus mbuka koneksi SSH yang membutuhkan password.  Lha gimana mau masukin ke cron kalo setiap saat harus masukin password?
O..., gitu....! Ya koneknya gak usah make password saja!
Hah! Maksudnya?
Koneknya gak usah make password.  Kita bisa buka koneksi ssh yang gak perlu menggunakan password.
Lo ya gak aman to, Mas!
Ya tetep aman, karena sebenernya kita cuma membenamkan id kita secara permanen ke komputer host kok.  Jalurnya tetap terenkrispi.
O, Gitu. Njur, gimana caranya, Mas?
Caranya gini. Pertama, kita bikin dulu RSA key kita dengan menjalankan perintah ini:

saya@hostnyasaya:~#ssh-keygen -t RSA -b 2048[enter]
komputer akan menampilkan message berikut

Generating public/private rsa key pair.

dan menampilkan prompt ini

Enter file in which to save the key (/home/saya/.ssh/id_rsa):

sampeyan cukup tekan enter bila setuju file disimpan di situ
bila komputer menampilkan prompt berikut

Enter passphrase (empty for no passphrase):

jangan masukkan karakter apapun, cukup tekan enter, dan ulangi untuk prompt berikut

Enter same passphrase again:

dan, komputer akan menampilkan layar berikut. Karena menggunakan random key, maka hasil bisa berbeda

Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
78:29:85:f8:ff:73:29:77:b0:a5:7d:e4:07:ba:ab:dd root@css-prod.collega.co.id
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|     . .         |
|    . . .        |
|     . o .       |
|      + S        |
|       +    . o .|
|        .    O + |
|         .o.B.o +|
|          o*++E..|
+-----------------+


Setelah rsa id terbentuk, selanjutnya kita salin file rsa id kita ke komputer yang hendak kita sambungkan tanpa password (mis ke 192.168.12.21)

saya@hostnyasaya:~# ssh-copy-id -i /home/saya/.ssh/id_rsa.pub dia@192.168.12.21

masukin password dari host yang dituju

dia@192.168.12.21's password:

Selanjutnya komputer bakal menampilkan message berikut

Now try logging into the machine, with "ssh 'dia@192.168.12.21'", and check in:

~/.ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.
Kemudian coba sampyen bikin koneksi ssh ke 192.168.12.21 dengan user dia.
saya@hostnyasaya:~#ssh dia@192.168.12.21

Bila berhasil maka komputer tujuan tidak akan meminta password lagi. Langsung akan menampilkan welcome screen, misal pada 192.168.12.21 adalah Ubuntu Server 12.04 dengan default welcome screen akan muncul seperti ini:

saya@hostnyasaya:~# ssh dia@192.168.12.21
Welcome to Ubuntu 12.04 LTS (GNU/Linux 3.2.0-23-generic-pae i686)

* Documentation: https://help.ubuntu.com/

System information as of Thu Sep 20 09:36:58 WIT 2012

System load: 0.48 Processes: 103
Usage of /: 7.2% of 111.60GB Users logged in: 1
Memory usage: 16% IP address for eth0: 192.168.12.21
Swap usage: 0% IP address for virbr0: 192.168.122.1

=> There is 1 zombie process.

Graph this data and manage this system at https://landscape.canonical.com/

Last login: Fri Sep 14 11:22:59 2012
dia@hostnyadia:~#

Dah, gitu aja!
O, gitu to Mas? Kalo gitu saya mau pulang dulu. Mau nyoba sendiri di rumah...!
Dasar..., ya udah sono!

Recommended