>

Wednesday 26 September 2012

Menggunakan port alternatif untuk SSH

20:58  omyn  No comments

Default port untuk SSH adalah 22, tapi demi alasan keamanan mungkin kita terpikir untuk menggunakan port lain selain port 22. Walaupun sekarang ini sudah banyak sekali tool untuk scan-port, tetapi gak ada salahnya kita coba mengganti port tersebut.
Command yang kita gunakan disini adalah rotary, command ini akan kita pasang di line vty. Hanya saja command ini tidak mengubah port SSH, dia hanya memberikan alternatif port yang bisa di gunakan untuk melakukan SSH, di akhir artikel ini akan kita bahas bagaimana melakukan blocking port 22.
Berikut konfigurasi di router.
Untuk mengaktifkan fitur SSH silahkan lihat artikel saya sebelumnya.

OMYN-RTR(config)#ip ssh port 2000 rotary 1
Command ini untuk mengaktifkan port 2000 yang nantinya akan digunakan sebagai alternatif port untuk SSH.
Untuk konfigurasi di line vty nya kurang lebih seperti berikut :

line vty 0 4
 password cisco
 login local
 rotary 1
 transport input ssh
line vty 5 15
 password cisco
 login local
 rotary 1
 transport input ssh
Selanjutnya bisa dicoba melakukan SSH ke dalam router menggunakan port 2000


Dengan ini berarti kita sudah punya alternatif port untuk melakukan SSH, tetapi kita tetep masih bisa melakukan SSH menggunakan port 22. Kita bisa melakukan blocking port 22 menggunakan Control-Plane Protection (CPPr) atau menggunakan access-list. Tetapi biar kelihatan keren kita akan coba menggunakan CPPr. Berikut konfigurasinya :
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname OMYN-RTR
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
no aaa new-model
memory-size iomem 5
ip cef
!
no ip domain lookup
ip domain name fakeroute.com
ip ssh port 2000 rotary 1
ip ssh version 2
!
multilink bundle-name authenticated
!
username admin privilege 15 password 0 admin
!
class-map type port-filter match-any CMAPPORT22
 match  port tcp 22
!
policy-map type port-filter PMAPPORT22
 class CMAPPORT22
   drop
   log
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.0.100.1 255.255.255.0
 duplex auto
 speed auto
!
no ip http server
no ip http secure-server
!
control-plane host
 service-policy type port-filter input PMAPPORT22
!
control-plane
!
line con 0
 exec-timeout 0 0
 logging synchronous
line aux 0
line vty 0 4
 password cisco
 login local
 rotary 1
 transport input ssh
line vty 5 15
 password cisco
 login local
 rotary 1
 transport input ssh
!
!
end
Saat kita coba melakukan SSH maka di router akan muncul error.
OMYN-RTR#
*Mar  1 01:03:02.815: %CP-6-TCP: DROP TCP/UDP Portfilter  10.0.100.20(16871) -> 10.0.100.1(22)
OMYN-RTR#
*Mar  1 01:03:05.795: %CP-6-TCP: DROP TCP/UDP Portfilter  10.0.100.20(16871) -> 10.0.100.1(22)
OMYN-RTR#
*Mar  1 01:03:11.795: %CP-6-TCP: DROP TCP/UDP Portfilter  10.0.100.20(16871) -> 10.0.100.1(22)
OMYN-RTR#


Posted in: ,

0 comments:

Post a Comment