Skip to main content

follow us

Mengamankan Informasi Script Router dan Switch Cisco IOS dengan Konfigurasi Password Cisco


Setelah menyelesaikan beberapa pekerjaan dan tugas kuliah yang cukup padat. Akhirnya saya dapat menulis, dan akan mengulas kembali beberapa materi yang sudah pelajari.

Seperti biasa, resiko jika tidak menulis materi yang dipelajari bisa lupa atau bahkan tidak bermanfaat. Yang saya ketahui bahwa ada 5 jenis password yang akan kita ulas pada tulisan ini, antara lain yaitu enable password, password line, enable secret, password line console, password line vty, dan password line auxilary.

Adapun dilihat dari fungsinya, 5 password tersebut dikategorikan menjadi 2 bagian, yaitu:
  • Enable secret dan enable password merupakan sebuah password yang diminta ketika Anda ingin masuk kehalaman konfigurasi privileged mode ataupun enable mode.
  • Kemudian untuk tiga password lainya, hanya akan diminta login ketika Anda ingin mengakses router melalui port auxilary, console, maupun remote melalui ssh/telnet (line vty).
Mungkin ulasan ini terdengar cukup sederhana bagi sebagian orang yang sudah mempelajari dasar-dasar konfigurasi router ciso.

Namun bagi saya pribadi, pemberian password untuk keamanan script router ini sangatlah penting. Terutama bagi Anda juga yang sedang mempersiapkan diri untuk mengikuti ujian CCNA. Adapun yang sering terjadi, kesalahan yang mengakibatkan perangkat router tidak bisa diakses karena lupa konfigurasi password yang Ada.

Hal tersebut umum terjadi, baik itu seseorang yang sudah ahli apalagi yang sedang mempelajarinya. (Bagi yang sudah pernah mengalami silahkan senyum-senyum sendiri)

#1. Konfigurasi Password Router dan Switch Cisco IOS


Ketika Anda pertama kali mencoba untuk mengakses ke halaman konfigurasi router ataupun switch, Anda akan mendapati masuk ke user mode (switch>). Tanpa perlu adanya permintaan user maupun password terlebih dahulu.

Pada bagian tersebut, Anda dapat melanjutkannya dengan menekan tombol enter. Cara ini juga dilakukan ketika Anda ingin mengakses router melalui privileged mode (switch#). Secara default memang tidak ada permintaan password. 

Berikut ini contoh tampilan switch di IOS Interface:

Switch con0/aux0/vtyX is now available Press RETURN to get started.
[Enter pressed]
Switch>en
Switch#

Selanjutnya mari mulai dengan mengkonfigurasi enable password maupun enable secret untuk mengamankan script switch di privileged mode (user mode).

User akan mendapatkan pesan, permintaan untuk login password ketika ingin mengakses privileged mode. Apabila user gagal memasukkan password 3 kali, maka mode akan kembali ke user mode.

a. Mengkonfigurasi Password Cisco IOS dengan Enable Password


Cara pemberian password cisco yang pertama ini, memiliki fungsi untuk mengamankan privileged mode di Cisco IOS switch maupun router. Perintah yang digunakan yaitu perintah enable password di mode konfigurasi. Contoh scriptnya seperti dibawah ini:

Switch>en
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#enable password cisco
Switch(config)#^Z
Switch#
*Aug 22 11:17:30.744: %SYS-5-CONFIG_I: Configured from console by console
Switch#disable
Switch>en
Password:
Switch#

Oh ya, untuk penggunaan enable password saat ini sudah tidak direkomendasikan penggunaanya. Karena penggunaan enable password ini bersifat clear text (bisa dikatakan tidak terenkripsi). Siapapun yang memahami basic konfigurasi cisco dapat mengetahui password dengan mudah.

Switch(config)#enable password cisco
Switch(config)#do show run | section enable
enable password cisco
Switch(config)#

b. Konfigurasi Password Cisco IOS dengan Enable Secret


Anda juga dapat menggunakan cara kedua, yaitu menggunakan perintah konfigurasi password dengan enable secret. Caranya kurang lebih hampir sama dengan konfigurasi enable password.

Switch(config)#enable secret secret
Switch(config)#^Z *Aug 22 08:31:43.346: %SYS-5-CONFIG_I: Configured from console by console
Switch#disable
Switch>enable
Password:
Switch#

Nah, untuk menutupi kelemahan dari enable password atau cara awal. Anda dapat menggunakan perintah konfigurasi enable secret sebagai solusinya. Konfigurasi password yang Anda masukkan kedalam perangkat cisco akan terenkripsi. 

Berikut ini tampilan konfigurasi enable password dan enable secret

Switch(config)#enable password cisco
Switch(config)#enable secret secret
Switch(config)#do show run | section enable
enable secret 5 $J8iJol33434&$12u9.dKHji5e
enable password cisco
Switch(config)#

Tampilan password yang sudah dikonfigurasi akan dienkripsi menjadi $J8iJol33434&$12u9.dKHji5e. Arti angka ‘5’ sendiri, menginformasikan bahwa password sudah dienkripsi menggunakan algoritma MD5, ini merupakan informasi default.


Switch(config)#enable secret ?
0 Specifies an UNENCRYPTED password will follow
5 Specifies a MD5 HASHED secret will follow
8 Specifies a PBKDF2 HASHED secret will follow
9 Specifies a SCRYPT HASHED secret will follow
LINE The UNENCRYPTED (cleartext) 'enable' secret
level Set exec level password
Switch(config)#

c. Apakah Mungkin Bisa, Menggunakan Perintah Konfigurasi  Enable Password dan Enable Secret Bersamaan?


Seperti yang telah saya sampaikan pada awal ulasan kongurasi cisco router dan switch, penggunaan enable secret sangat tidak direkomendasikan. Karena sudah ada penggantinya, yaitu penggunaan enable secret. Apalagi password keduanya pun kita buat sama, contohnya pada script password dibawah ini:
Switch(config)#enable secret betariko
Switch(config)#enable password betariko
The enable password you have chosen is the same as your enable secret.
This is not recommended. Re-enter the enable password.
Switch(config)#

Dengan menggunakan konfigurasi diatas, berarti kita sudah memberikan jalan bagi seseorang untuk mendapatkan informasi password dari enable secret. Terdapat pesan yang menyampaikan bahwa untuk melakukan perubahan password dari enable password. 

Kemudian bagaimana solusinya, jika keduanya ingin dibuat berbeda? Anda dapat memasukkan konfigurasi dibawah ini:

Switch(config)#enable secret betariko
Switch(config)#enable password cisco
Switch(config)#^Z
Switch#
*Nov 12 11:31:53.373: %SYS-5-CONFIG_I: Configured from console by console
Switch#disable
Switch>en
Password:
cisco, failed
Password:
betariko, success
Switch#

Bisa dilihat, bahwa password yang diterima oleh sistem adalah konfigurasi password dari enable secret.

d. Menggunakan Perintah Konfigurasi Service password-encryption

Pada sistem operasi Cisco, terdapat fitur untuk mengekripsi password (bukan secret). Fungsinya untuk mengamankan semua password yang telah kita konfigurasi kedalam perangkat. Termasuk fungsi dari enable password.

Switch(config)#enable password belajarngonfig
Switch(config)#do show run | section enable
enable password betarikodotcom
Switch(config)#service password-encryption
Switch(config)#do show run | section enable
enable password 7 099854978234KSH9287S8SDF8SDF76SDF9GF
Switch(config)#

Pada script diatas, terdapat informasi angka 7 yang mengartikan bahwa sebuah password terenkripsi. Namun perintah enkripsi atau fungsi dari enkripsi tersebut menggunakan algoritma yang lemah, sehingga mudah untuk didecrypt. 

Apabila Anda sudah terlanjur menggunakan enable password dilain waktu harus terpaksa mengirimkan sebuah file konfigurasi tersebut misalnya saja via email atau chat, atau hanya sekedar bertanya diforum. Saya menyarankan Anda untuk mengekspor terlebih dahulu running-config melalui perintah konfigurasi show tech-support.

------------------ show running-config ------------------ 
Building configuration... 
Current configuration : 1055 bytes 
!
Last configuration change at 11:02:15 WIB Wed NOV 22 2018 
version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption service compress-config 
hostname Switch 
boot-start-marker boot-end-marker 
enable secret 5 <removed> 
enable password <removed> 
!
username ngonfig password 0 <removed> 
username ganteng password 0 <removed> 
username secret password 7 <removed> 
no aaa new-model clock timezone WIB 7 0 
!

Seperti yang terlihat pada tampailan diatas, bahwa tampilan password tidak ditampilkan pada script. Hal ini dikarenakan, script diganti dengan teks <removed>. Suatu saat enkripsi password ini dapat digunakan. Kemudian Anda dapat merencanakan untuk menjadwalkan migrasi konfigurasi ke enable secret. 

#2. Konfigurasi Password Line Console, Line Auxilary


Dilihat secara fisik, terdapat 3 port yang dapat kita gunakan untuk mendapatkan akses konfigurasi Cisco IOS.
  1. Port console: RJ45 – USB Serie B
  2. Port auxilary: hanya ada di router, sedangkan switch tidak
  3. Port ethernet: lebih ke virtual (virtual terminal line – VTY)
Pada point 3 akan kita bahas nanti di subjudul berikutnya setelah pembahasan point 1 dan 2. Kemudian jika Anda telah memasukkan konfigurasi password di line (console, aux, dan vty), user yang ingin mendapatkan akses konfigurasi pada terminal IOS akan diminta untuk mamasukkan password seperti tampilan script dibawah ini:

a. Konfigurasi Line Console


Dibawah ini merupakan contoh dari konfigurasi line console, sangat simple karena hanya perlu 3 baris perintah konfigurasi saja (line console 0, angka 0 menginformasikan bahwa hanya ada 1 port console di fisik perangkat cisco).

Switch(config)#line console 0 
Switch(config-line)#password cisco
Switch(config-line)#login

Langkah selanjutnya masukan perintah konfigurasi password <password yang Anda inginkan>, kemudian gunakan perintah konfigurasi tambahan dengan login agar nantinya setiap kali ada permintaan akses perangkat yang terhubung melalui console akan diminta informasi password. Berikut ini hasil dari konfigurasi  diatas, setelah konfigurasi sudah dimasukkan.

Switch con0 is now available
Press RETURN to get started.
User Access Verification
Password:
Switch>

Karena perintah password yang dimasukkan tadi belum terenkripsi. Maka perlu disolusikan dengan menggunakan perintah service password-encryption. Sehingga tampilan scriptnya kurang lebih seperti dibawah ini:

Karena pakai perintah password, maka passwordnya tidak terenkrip. Solusinya adalah menggunakan perintah service password-encryption. Jadi seperti ini:
Switch(config)#do show run | section line con 0
line con 0
password cisco
logging synchronous
login
Switch(config)#service password-encryption
Switch(config)#do show run | section line con 0
line con 0
exec-timeout 0 0
password 7 11000224GH8IWHF88
logging synchronous
login
Switch(config)#

Seperti pembahasan sebelumnya bahwa enkripsi password dengan algoritma 7, masih dapat didecript oleh orang lain dengan mudah. 

Selalu ingat bahwa, jika Anda ingin share konfigurasi melalui email, chat ataupun media lain harap gunakan perintah tech-support yang saya singgung diatas. Gunakan perintah tersebut jika ingin share konfigurasi untuk menjaga password kamu tetap aman. 

Yang Kamu Suka:

Comment Policy: Silahkan tuliskan komentar Anda yang sesuai dengan topik postingan halaman ini. Komentar yang berisi tautan tidak akan ditampilkan sebelum disetujui.
Buka Komentar

This website uses cookies to ensure you get the best experience on our website. More Info