Switching Security

Spanning Tree Protocol

Spanning Tree Protocol atau yang sering disingkat dengan STP adalah link layer networ
protocol yang menjamin tidak adanya loop dalam topologi dari banyak bridge/switch dalam
LAN. STP ini berdasarkan pada sebuah algoritma yang ditemukan oleh Radia Perlman sewaktu
bekerja untuk Digital Equipment Corporation. Dalam model OSI untuk jaringan komputer, STP
ada di layer 2 OSI. Spanning tree memperbolehkan desain jaringan memiliki redundan links
untuk membuat jalur backup otomatis jika sebuah link aktif gagal bekerja, tanpa adanya bahaya
dari loop pada bridge/switch. Loop pada bridge/switch akan menghasilkan flooding pada
network.
Spanning Tree Protocol ini didefenisikan pada IEEE Standard 802.1D. Seperti namanya, protokol
ini membuat sebuah spanning tree dalam jaringan yang menghubungkan banyak bridge/switch
( biasanya Ethernet switches), dan menon-aktifkan links yang tidak termasuk dalam tree,
meninggalkan satu jalur aktif antara dua buah jaringan.
Masalah umum yang bisa diatasi oleh Spanning Tree Protocol ini adalah broadcast storm.
Broadcast storm menyebabkan banyak broadcast ( atau multicast atau unknown-destination
unicast) pada loop yang ada di jaringan secara terus menerus. Hal ini akan menciptakan sebuah
link yang tidak berguna (karena adanya link ganda antar bridge/switch) dan secara signifikan
akan mempengaruhi performance dari komputer end-user karena terlalu banyak memproses
broadcast yang ada.
Secara garis besar, Spanning Tree Protocol bekerja dengan cara :
• Menentukan root bridge.
Root bridge dari spanning tree adalah bridge dengan bridge ID terkecil (terendah). Tiap bridge
mempunyai unique identifier (ID) dan sebuah priority number yang bisa dikonfigurasi. Untuki
membandingkan dua bridge ID, priority number yang pertama kali dibandingkan. Jika priority
number antara kedua bridge tersebut sama, maka yang akan dibandingkan selanjutnya adalah
MAC addresses. Sebagai contoh, jika switches A (MAC=0000.0000.1111) dan B
(MAC=0000.0000.2222) memiliki priority number yang sama, misalnya 10, maka switch A
yanga akan dipilih menjadi root bridge. Jika admin jaringan ingin switch B yang jadi root bridge,
maka priority number switch B harus lebih kecil dari 10.
• Menentukan least cost paths ke root bridge.
Spanning tree yang sudah dihitung mempunyai properti yaitu pesan dari semua alat yang
terkoneksi ke root bridge dengan pengunjungan (traverse) dengan cost jalur terendah, yaitu path
dari alat ke root memiliki cost terendah dari semua paths dari alat ke root.Cost of traversing
sebuah path adalah jumlah dari cost-cost dari segmen yang ada dalam path. Beda teknologi
mempunya default cost yang berbeda untuk segmen-segmen jaringan. Administrator dapat
memodifikasi cost untuk pengunjungan segment jaringan yang dirasa penting.
• Non-aktifkan root path lainnya.
Karena pada langkah diatas kita telah menentukan cost terendah untuk tiap path dari peralatan ke
root bride, maka port yang aktif yang bukan root port diset menjadi blocked port. Kenapa di
blok? Hal ini dilakukan untuk antisipasi jika root port tidak bisa bekerja dengan baik, maka port
yang tadinya di blok akan di aktifkan dan kembali lagi untuk menentukan path baru.
sumber : dari wikipedia dan e-book cisco

Mengenal DHCP ( Dynamic Host Configuration Protocol )

Menurut Microsoft “Dynamic Host Configuration Protocol (DHCP) is an IP standard designed to

reduce the complexity of administering IP address configurations.” Dynamic Host Configuration
Protocol (DHCP) adalah suatu layanan yang secara otomatis memberikan alamat IP kepada
komputer yang meminta ke DHCP Server. Dengan demikian, sebagai seorang administrator
jaringan, tidak perlu lagi mengatur alamat IP Address pada komputer klien yang dikelolanya.
Bayangkan saja jika sebuah perusahaan memiliki komputer lebih dari 100, tentu saja akan
membuat report administrator untuk mengesetnya. DHCP juga dapat mengurangi resiko duplikat
IP Address atau Invalid IP address.

Sebuah server DHCP dapat diatur dengan pengaturan yang sesuai untuk keperluan jaringan
tertentu. Seperti pengaturan Default gateway, Domain Name System (DNS), Subnet Mask, dan
rentang alamat IP yang bisa diambil oleh komputer klien. Komputer yang menyediakan layanan
ini disebut dengan DHCP Server, sedangkan computer yang meminta disebut dengan DHCP
Client.

DHCP Server menerima permintaan dari sebuah host/client. Server kemudian memberikan
alamat IP dari satu set alamat standar yang disimpan dalam database. Setelah informasi alamat IP
dipilih, server DHCP menawarkan ke host yang meminta pada jaringan. Jika host menerima
tawaran tersebut, maka IP akan disewa untuk jangka waktu tertentu, bisa dalam menit, dalam
jam ataupun hari.

Jika komputer klien tidak dapat berkomunikasi dengan Server DHCP untuk mendapatkan alamat
IP, sistem operasi Windows secara otomatis akan memberikan alamat IP pribadi (Private IP
Address), yaitu dengan IP 169.254.0.0 sampai 169.254.255.255. Fitur sistem operasi ini disebut
Automatic Private IP Addressing (APIPA). APIPA secara terus menerus akan meminta alamat IP
dari server DHCP untuk komputer klien anda

Mengatasi virus arp spoofing

Sebenarnya teknik arp spoofing sudah dikenal sejak lama dan tool untuk melakukan teknik ini
pun banyak beredar. Tetapi sepertinya si pembuat virus mulai menggunakan teknik ini dan
ternyata memang banyak yang tidak menlindungi network layer 2 dengan semestinya.
Membangun Kemanan pada Switch (Layer 2)
 • Port Security

Fungsinya:

1. Menghindari attack pada CAM (content addressable memory) table. Apabila switch
dihujani dengan mac address yang melebihi dari kemampunanya maka fungsi switch
hilang dan menjadi hub sehingga semua lalu lintas traffic dapat dilihat oleh semua port

2. Melindungi serangan DHCP starvation, yaitu habisnya lease address pada dhcp server
sehigga user yang sebenarnya tidak mendapatkan ip address karena ip address sudah di
"ambil" oleh attacker.

Contoh configurasi:
>>Interface commands
switchport port-security switchport port-security maximum 1 vlan voice switchport port-security
maximum 1 vlan access switchport port-security violation restrict switchport port-security aging
time 2 switchport port-security aging type inactivity snmp-server enable traps port-security trap-
rate 5

• DHCP Snooping

Fungsi:
Melindungi jaringan dari Rouge DHCP Server atau DHCP palsu dalam jaringan sehingga user
mendapatkan ip address keliru dengan kemungkinan gateway yang dapat mengcopy semua data
yang lewat.
Contoh configurasi:
>>Global Commands ip dhcp snooping vlan 4,104 no ip dhcp snooping information option ip
dhcp snooping
>>Interface commands (untrusted client)
no ip dhcp snooping trust (Default) ip dhcp snooping limit rate 10 (pps)
>>Interface Commands (trusted client)
Interface Commands ip dhcp snooping trust

• Dynamic Arp Inspection (DAI)

Fungsi: Berdasarkan ARP RFC, client dapat memberikan arp reply walaupun tidak diminta; ini
disebut gratuitous ARP; host client dalam satu subnet dapat menyimpan informasi ini dalam
ARP tablenya. Problemnya, semua client dapat mengclaim IP/MAC sesuka hati sehingga dapat
disalah gunakan. Dengan fungsi DAI ini kita dapat menjaga arp tersebut berdasarkan dhcp
snooping binding table.

Contoh Configuration:
>>Global Commands ip dhcp snooping vlan 4,104 no ip dhcp snooping information option ip
dhcp snooping ip arp inspection vlan 4,104 ip arp inspection log-buffer entries 1024 ip arp
inspection log-buffer logs 1024 interval 10
>>Interface Commands ip dhcp snooping trust ip arp inspection trust

• IP Source Guard

Fungsi:
Sama dengan DAI tetapi IPSG tidak hanya melihat dynamic ARP melainkan seluruh paket.
Contoh Configuration:
>>Global Commands ip dhcp snooping vlan 4,104 no ip dhcp snooping information option ip
dhcp snooping
>>Interface Commands ip verify source vlan dhcp-snoopin