Jejak Berjejak

Akses remote ke Cisco router/switch secara default menggunakan telnet. Dengan alasan sekuriti, kita membutuhkan komunikasi yang lebih aman, yakni dengan ssh.

Secure Shell (SSH) adalah program yang memungkinkan kita login ke mesin melewati jaringan, mampu mengeksekusi mesin secara remote, dan memindahkan file dari satu mesin ke mesin lain. Ssh memberikan autentifikasi dan komunikasi yang aman melewati jalur yang tidak aman. Ketika kita menggunakan ssh, semua sesi login, termasuk transmisi password dienkripsi maka dengan demikian lebih aman.

Saya googling dan menemukan artikel berikut di websiteCisco:
“Configuring Secure Shell on Routers and SwitchesRunningCiscoIOS”

Untuk bisa menerapkan akses ssh ke router/switch Cisco, saya mendapati hal-hal sebagai berikut:
*Ssh hanya mendukung autentifikasi dengan username dan password, tidak seperti akses telnet yang minimal hanya membutuhkan autentifkasi password untuk bisa akses ke mesin.
*Artinya saya harus meng’create username dan password terlebih dahulu.
*Saya perlu mengaktifkan aaa new model atau perintah login local dibawah line vty untuk autentifikasi username dan password.
*Membutuhkan hostname dan nama domain untuk bisa mengenerate key. Karena router menggunakan FQDN sebagai label di key pair.
*Maka ssh akan eksis secara default.

Pra kondisi: kita membutuhkan versi IOS minimal 12.1 (silakan cek dengan perintah sh version)

Berikut adalah tahapan untuk mengaktifkan ssh:
1.Pertama, kita perlu menset hostname
hostname mycisco

2.Kedua, kita perlu menset ip domain name
ip domain-name myciscolab.com

3.Ketiga, kita harus meng’enable aaa new-model atau menset login local di bawah line vty
aaa new-model
atau
line vty 0 4
login local

4.Keempat, kita perlu membuat user/password
username tes privilege 15 secret 0 testssh

5.Kelima, kita mesti mengenerate RSA keys
crypto key generate rsa
if you have RSA keys before you will receive a message, type yes
% You already have RSA keys defined named mycisco.myciscolab.com.
% Do you really want to replace them? [yes/no]: yes
it will ask for modulus size, 1024 is fine (it depends your security needs)
How many bits in the modulus [512]: 1024

6.Keenam, kita harus menset metode vty akses (bisa telnet dan ssh atau hanya bisa akses ssh saja), jika kita memilih hanya akses ssh dan meniadakan akses telnet.
line vty 0 4
transport input ssh

7.Ketujuh, dengan menggunakan putty (free) atau secureCRT (lisensi), masukan hostname atau ip address akses via ssh. Kita akan ditanyain username dan password. Login dan sukses.

Semoga membantu.

B.Konfigurasi Perangkat Cisco agar bisa menggunakan Syslog Server
Bagi seorang network administrator jangan sekali-kali melupakan router log. Logging adalah sangat diperlukan sebagai peringatan tentang adanya masalah, forensik jaringan dan audit sekuriti. Sebagian besar perangkat cisco menggunakan syslog protocol untuk mengelola system log dan alert.

Cisco router menangani pesan log dengan lima jalan:
Secara default, router mengirimkan semua log ke console port. Hanya user yang secara fisik terkoneksi ke console port yang bisa melihat pesan log ini. Ini dinamakan console logging.
Terminal logging, mirip dengan console logging, cuma menampilkannya ke VTY line router. Jenis logging ini tidak tersedia secara default, jika kita ingin gunakan ini, kita harus mengaktifkannya untuk setiap line yang diinginkan.
Buffered logging menggunakan RAM router untuk menyimpan pesan log. Sirkular buffer memiliki ukuran yang fix untuk memastikan log tidak menguras memori sistem yang berharga.Router akan menghapus log yang lama ketika log baru bertambah.
Router meneruskan pesan log ke eksternal syslog server sebagai penampung tersentralisasi. Jenis logging ini tidak ada secara default. Router mengirimkan pesan syslog ke server via UDP port 514. Server tidak membutuhkan acknowledge untuk pesan ini.
SNMP trap logging, router menggunakan SNMP traps untuk mengirimkan syslog ke eksternal SNMP server. Ini adalah cara yang efektif untuk menangani log di lingkungan SNMP-base.

Cisco log dikategorikan dengan severity level, mengikuti struktur dan format BSD Unix syslog framework. Makin rendah severity level maka makin kritis log tersebut. Severity level sudah dijelaskan di bahasan sebelumnya.

Disini kita membahas penggunaan syslog server untuk menampung syslog dari router cisco.
Tips
Sebelum mengkonfigurasi perangkat Cisco untuk mengirimkan syslog, pastikan tanggal, waktu dan zona waktu dengan benar. Data syslog akan menjadi tidak berguna pada saat troubleshooting jika memperlihatkan tanggal dan waktu yang salah. Anda dapat mengkonfigurasi perangkat jaringan menggunakan NTP. Dengan NTP memungkinan dilakukannya sikronisasi waktu untuk semua perangkat jaringan. Setting perangkat dengan waktu yang akurat akan sangat membantu dalam korelasi kejadian.

Untuk mengaktifkan fungsi syslog di jaringan cisco, haruslah mengkonfigurasi syslog klien bawaan dari perangkat cisco.
Perangkat cisco menggunakan severity (tingkat keakutan) dari warning sampai emergencies untuk menggenerate pesan kesalahan dari software atau hardware malfunction. Debunging level memperlihatkan output dari debug command. Tingkat pemberitahuan (notice level) memperlihatkan inrteface up or down transisi dan pesan restart sistem. Level informational bisa berupa request reload dan pesan low-proccess stack.

Untuk mengkonfigurasi router Cisco dengan IOS-base agar bisa mengirim pesan ke eksternal syslog server, ikuti langkah-langkah sebagai berikut.

Catatan:
Ketika kita menggunakan perintah logging trap level, router akan mengirimkan pesan meliputi level dibawahnya. Misalkan perintah logging trap warning akan mengkonfigurasi router untuk mengirimkan pesan dengan tingkat keakutan warning, error, critical, dan emergency. Dengan demikian perintah logging trap debug akan menyebabkan router mengirimkan semua pesan ke syslog server. Dengan mengaktifkan debug level, maka proses debug akan menyebabkan network menjadi sibuk dan memungkinan router menjadi crash.

Berikut adalah contoh konfigurasi router cisco untuk mengirimkan pesan syslog dengan facility local7, router akan mengirimkan pesan dengan severity informational dan level yang lebih rendah. Syslog server adalah mesin dengan ip 10.143.27.11

Router-ku#
Router-ku#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router-ku(config)#logging 10.143.27
Router-ku(config)#service timestamps debug datetime localtime show-timezone msec
Router-ku(config)#service timestamps log datetime localtime show-timezone msec
Router-ku(config)#logging facility local7
Router-ku(config)#logging trap informational
Router-ku(config)#end
Router-ku##sh log
Syslog logging: enabled (0 messages dropped, 0 messages rate-limited, 0 flushes, 0 overruns)
Console logging: level debugging, 2716 messages logged
Monitor logging: level debugging, 0 messages logged
Buffer logging: level debugging, 2716 messages logged
Exception Logging: size (4096 bytes)
Count and timestamp logging messages: disabled
Trap logging: level informational, 1096 message lines logged
Logging to 10.143.27.11, 3 message lines logged

[bersambung] pembahasan berikutnya adalah deploy syslog server.