Syahrul Naufal

A. Apa itu port-security

    di sebuah jaringan banyak sekali serangan yang dapat dilancarkan attacker. seperti MAC table flooding, arp spoofing, dhcp starvation dan lainnya. nah, salah satu cara untuk terhindar dari mac table spoofing, atau mac table flooding yaitu dengan port security.

    Port security merupakan sistem keamanan yang membatasi jumlah mac address yang diizinkan di switch. dengan port security tidak sembarang device dapat terhubung ke switch, melainkan hanya beberapa saja. 

    ketika port security diaktifkan semua frame yang masuk ke switch akan diperiksa source mac addresnya. apabila source mac address dari frame tersebut tidak ada di list, maka switch akan men-drop frame tersebut dan tidak akan menerima frame dari port tersebut lagi.

B. Enable port-security

    Untuk mengaktifkan port security kita perlu memasukan command "switchport port-security". namun sebelumnya kita harus mengubah mode port ke mode access atau trunk terlebih dahulu. port-security tidak akan bisa diaktifkan selama port tersebut berstatus dynamic (mode default pada interface switch).

pastikan port interface untuk berada didalam mode access atau trunk

C. Membatasi jumlah Mac Address

    Kita juga dapat membatasi berapa jumlah mac address yang dapat terhubung ke switch. untuk mengkonfigurasi jumlah mac address, kita dapat menggunakan command "switchport port-security maximum [number]"

D. Learn MAC Address

    Selain membatasi jumlah, kita juga dapat membatasi mac address apa sajakah yang dapat terhubung. kita dapat mendaftarkan beberapa mac address tertentu untuk terhubung ke port. 

    switch juga dapat mempelajari mac address melalui device yang sedang terhubung dengannya. hal ini dinamakan dengan mode "sticky", dengan ini switch akan menyimpan mac address dari device yang terhubung ke ram dan menganggap mac tersebut sebagai secure mac.

command untuk mendaftarkan mac address tertentu:

command untuk mendaftarkan mac addresss dari device yang terhubung:

E. Port-Security Aging

    port-security aging adalah masa atau waktu tertentu yang digunakan untuk menghapus daftar mac address dari switch entah itu static mac atau dynamic mac. ada 2 tipe aging :

- Absolute = mac address terhapus setelah beberapa waktu tertentu

- inactivity = mac address terhapus setelah mereka tidak aktif selama beberapa waktu tertentu.

untuk menyetting port-security aging ini menjadi 10 menit dan bertipe absolute, kita bisa menggunakan command :

F. Port-Security Violation Modes

    saat mac address yang terhubung ke switch berbeda dengan daftar mac yang ada di switch ada beberapa jenis tindakan yang akan dilakukan switch :

- Shutdown = mode default dari port-security. di mode ini port switch akan shutdown seketika dan akan mengirim syslog message.

- Restrict = switch akan men-drop frame dan akan mengirim pesan syslog. namun port switch masih tetap menyala.

- protect = switch akan men-drop frame namun tidak akan mengirim pesan syslog.

untuk mengkonfigutasi port-security violation mode menjadi restrict kita dapat menggunakan command : 

G. Error-disabled mode

    Error-disable adalah mode dimana port shutdown setelah menerima frame dari source mac address yang tidak ada di daftar. untuk mengaktifkan port ini kita harus men-shutdown port secara manual dan kemudian menghidupkannya kembali.