maaf para master2....skedar saran n cuplikan dri artikel2 online yg prnh saya baca n saya terapkan......
sebelumnya hal ini membutuhkan root privilege dengan mengaktifkan command "enable" dan memasukkan password jika password telah diset lalu "config".
1. mempassword konsole
line console 0
login
password cisco123
2. mengaktifkan fitur telnet
line vty 0 4
login
password passwordku
access-class 50 in
exec-timeout 5 0
access-list 50 permit 192.168.1.1
access-list 50 deny any log
-hal diatas membuka akses telnet ke 5 line>>>>>0,1,2,3,4 dengan password "passwordku"
-ingat::password untuk telnet dll masih belum terenkripsi jadi gunakan fitur "enable secret" atau "service password-encryption" untuk mengenkripsi semua password yg ada pada system
-membatasi hak akses telnet hanya untuk device atau os lainnya yg mempunyai ip 192.168.1.1 dan tdk menyertakan semua log
3. memblock paket-paket yg datang
access-list 111 deny ip 127.0.0.0 0.255.255.255 any
access-list 111 deny ip 192.168.0.0 0.0.0.255 any
access-list 111 deny ip 172.16.0.0 0.0.255.255 any
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip host 0.0.0.0 any
access-list 111 deny ip 224.0.0.0 31.255.255.255 any
access-list 111 deny icmp any any redirect
int x0/0
access-group in 111
-any = semua port,jika hanya port tertentu tuliskan 1,7,21,23,25 dll
-int x0/0 = external device yg terhubung ke router
4. proteksi akses snmp
access-list 112 deny udp any any eq snmp
access-list 112 permit ip any any
interface x0/0
access-group 112 in
tapi jika anda ingin menutup akses snmp secara keseluruhan, maka gunakan:
no snmp-server
5. membuat log
logging trap debugging
logging 192.168.1.10
-ip diatas yaitu alamat server tempat menyimpan log
6. menutup semua akses ke router termasuk telnet
access-list 110 deny tcp any host RouterIP eq 1
access-list 110 deny tcp any host RouterIP eq 7
access-list 110 deny tcp any host RouterIP eq 21
access-list 110 deny tcp any host RouterIP eq 23
access-list 110 deny tcp any host RouterIP eq 25
access-list 110 deny tcp any host RouterIP eq 80
int x0/0
access-group in 110
-RouterIP = alamat router ip anda
-gunakan port-port yg tidak dianggap penting saja
7. jenis line
1-99 ip standard access list
100-199 ip extended access list
200-299 protocol type-code access list
300-399 DECnet access list
400-499 XNS standar access list
500-599 XNS extended access list
600-699 Appletalk access list
700-799 48-bit MAC address access list
800-899 IPX standard access list
900-999 IPX extended access list
1000-1099 IPX SAP access list
1100-1199 extended 48-bit MAC address access list
1200-1299 IPX summary address access list
untuk mengetahui access yg terpakai gunakan command
show ip interface serial 0
show ipx interface serial 0
untuk mengetahui access list
show access-list
show ip access-list
show ipx access-list
8.show command
show version
versi IOS
show running-config
setting terkini (ram)
show startup-config
setting tersimpan (nvram)
show flash
file ios dan free space
show processes cpu
cpu proses
dll
nb::jgn terpaku dengan settingan diatas, gunakan seperlunya dan sesuai dengan konsep jaringan yang ada.
sebenarnya masih banyak cara-cara untuk memproteksi router ini, tp berhubung kita tak mau dianggap sebagai paranoid dan dikarenakan command2 yg banyaknya MINTA AMPUN lebih baik gunakan SSH sebagai pengganti telnet ataupun pasang firewall seperti Juniper OS, tp dengan konsekwansi harus tambah biaya demi firewall.....
CMIIW....sebelumnya terimakasih banyak dan mohon bimbingannya buat para master2.....dan harap dikoreksi jika ada salah......
Subyek: telneting dan hardening cisco 
Thu Dec 22, 2011 1:47 am
