05. Mengatasi Serangan pada Jaringan
π Studi Kasus:
PT Aman Jaya mengelola jaringan kantor pusat dengan sistem distribusi IP otomatis menggunakan DHCP. Baru-baru ini, tim IT menemukan adanya serangan DHCP Starvation dari perangkat tidak dikenal yang mengirimkan banyak permintaan DHCP secara terus-menerus. Akibatnya, perangkat sah tidak mendapatkan alamat IP.
Administrator jaringan diminta untuk mengamankan jaringan dengan fitur DHCP Snooping, agar hanya perangkat yang terpercaya yang dapat mengirim permintaan DHCP.
π§βπ» Tugas:
Aktifkan fitur DHCP Snooping pada switch utama.
Tentukan port yang dipercaya (trusted port) yaitu port yang mengarah ke DHCP server.
Tandai port-port yang terhubung ke pengguna sebagai untrusted.
Uji apakah serangan DHCP Starvation berhasil dicegah setelah konfigurasi.
πΈ Dokumentasi yang harus dikumpulkan:
β Screenshot konfigurasi DHCP Snooping
β Output hasil uji coba (misalnya: show ip dhcp snooping binding, atau hasil gagalnya request DHCP dari penyerang)
β Kunci Jawaban Soal Training No. 4 β DHCP Snooping
π§ Asumsi Topologi Sederhana:
Switch SW1 (switch utama)
Port Fa0/1: Terhubung ke DHCP Server β trusted
Port Fa0/2 - Fa0/24: Terhubung ke pengguna atau PC β untrusted
DHCP attacker menggunakan Fa0/3
βοΈ Langkah Konfigurasi di SW1:
SW1> enable
SW1# configure terminal
SW1(config)# ip dhcp snooping
SW1(config)# ip dhcp snooping vlan 10
β‘οΈ Menandai port trusted (ke DHCP Server di Fa0/1):
SW1(config)# interface FastEthernet0/1
SW1(config-if)# ip dhcp snooping trust
SW1(config-if)# exit
β‘οΈ Menonaktifkan trust untuk port pengguna (default: untrusted), tapi bisa eksplisit juga:
SW1(config)# interface range FastEthernet3/1
SW1(config-if-range)# no ip dhcp snooping trust
SW1(config-if-range)# exit
β Verifikasi dan Pengujian:
SW1# show ip dhcp snooping
SW1# show ip dhcp snooping binding
β‘οΈ Jika attacker tetap mencoba flooding, maka:
Tidak akan dapat lease IP.
Traffic DHCP dari FastEthernet3/1 akan diblock oleh switch karena berasal dari untrusted port.