Default port untuk SSH adalah 22, tapi demi alasan keamanan mungkin kita terpikir untuk menggunakan port lain selain port 22. Walaupun sekarang ini sudah banyak sekali tool untuk scan-port, tetapi gak ada salahnya kita coba mengganti port tersebut.
Command yang kita gunakan disini adalah rotary, command ini akan kita pasang di line vty. Hanya saja command ini tidak mengubah port SSH, dia hanya memberikan alternatif port yang bisa di gunakan untuk melakukan SSH, di akhir artikel ini akan kita bahas bagaimana melakukan blocking port 22.
Berikut konfigurasi di router.
Untuk mengaktifkan fitur SSH silahkan lihat artikel saya sebelumnya.
OMYN-RTR(config)#ip ssh port 2000 rotary 1Command ini untuk mengaktifkan port 2000 yang nantinya akan digunakan sebagai alternatif port untuk SSH.
Untuk konfigurasi di line vty nya kurang lebih seperti berikut :
line vty 0 4Selanjutnya bisa dicoba melakukan SSH ke dalam router menggunakan port 2000
password cisco
login local
rotary 1
transport input ssh
line vty 5 15
password cisco
login local
rotary 1
transport input ssh
Dengan ini berarti kita sudah punya alternatif port untuk melakukan SSH, tetapi kita tetep masih bisa melakukan SSH menggunakan port 22. Kita bisa melakukan blocking port 22 menggunakan Control-Plane Protection (CPPr) atau menggunakan access-list. Tetapi biar kelihatan keren kita akan coba menggunakan CPPr. Berikut konfigurasinya :
version 12.4Saat kita coba melakukan SSH maka di router akan muncul error.
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname OMYN-RTR
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
no aaa new-model
memory-size iomem 5
ip cef
!
no ip domain lookup
ip domain name fakeroute.com
ip ssh port 2000 rotary 1
ip ssh version 2
!
multilink bundle-name authenticated
!
username admin privilege 15 password 0 admin
!
class-map type port-filter match-any CMAPPORT22
match port tcp 22
!
policy-map type port-filter PMAPPORT22
class CMAPPORT22
drop
log
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.100.1 255.255.255.0
duplex auto
speed auto
!
no ip http server
no ip http secure-server
!
control-plane host
service-policy type port-filter input PMAPPORT22
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
password cisco
login local
rotary 1
transport input ssh
line vty 5 15
password cisco
login local
rotary 1
transport input ssh
!
!
end
OMYN-RTR#
*Mar 1 01:03:02.815: %CP-6-TCP: DROP TCP/UDP Portfilter 10.0.100.20(16871) -> 10.0.100.1(22)
OMYN-RTR#
*Mar 1 01:03:05.795: %CP-6-TCP: DROP TCP/UDP Portfilter 10.0.100.20(16871) -> 10.0.100.1(22)
OMYN-RTR#
*Mar 1 01:03:11.795: %CP-6-TCP: DROP TCP/UDP Portfilter 10.0.100.20(16871) -> 10.0.100.1(22)
OMYN-RTR#
0 comments:
Post a Comment