RA Guard adalah fitur keamanan IPv6 yang membantu melindungi jaringan dari serangan perutean. RA Guard bekerja dengan memblokir pesan permintaan perutean (RA) yang tidak sah dari router.
Di akhir artikel Anda akan menemukan sedikit uji itu akan memungkinkan Anda menilai pengetahuan yang diperoleh dalam bacaan ini
Pesan RA digunakan untuk memberikan informasi perutean ke host, seperti alamat router default dan subnet mask. RA Guard membantu melindungi jaringan dari serangan perutean dengan memblokir pesan RA yang tidak sah, yang dapat membantu mencegah penyerang mengambil kendali perutean jaringan.
RA Guard dapat diaktifkan pada router IPv6. Saat RA Guard diaktifkan, router hanya akan mengirimkan pesan RA ke host yang berada di subnetnya. Pesan RA dari router yang tidak berada di subnet host akan diblokir oleh RA Guard.
RA Guard adalah fitur keamanan penting yang dapat membantu melindungi jaringan dari serangan routing. RA Guard harus diaktifkan di semua router IPv6 untuk memberikan perlindungan maksimal.
Operasi RA-Penjaga
Berikut penjelasan detail cara kerja RA Guard:
1. Penemuan Router
Saat perangkat bergabung dengan jaringan IPv6, perangkat tersebut menggunakan Neighbor Discovery Protocol (NDP) untuk menemukan router di segmen jaringan. Router secara berkala mengirimkan pesan Router Advertisement (RA) untuk mengumumkan kehadirannya dan memberikan informasi konfigurasi jaringan.
2. Perlindungan terhadap serangan keracunan iklan router
Penyerang dapat mencoba mengirim pesan RA palsu, menyamar sebagai router yang sah. Untuk mencegah hal ini, sakelar nirkabel atau titik akses yang mendukung RA Guard memeriksa pesan RA yang masuk dan memverifikasi apakah pesan tersebut berasal dari sumber yang sah.
3. Tabel Router yang Diizinkan
LSakelar nirkabel atau titik akses yang menerapkan RA Guard memelihara Tabel Router yang Diizinkan yang berisi alamat IPv6 dan antarmuka MAC dari router resmi. Router yang sah ini adalah router yang telah dikonfigurasi secara manual atau ditemukan melalui metode konfigurasi otomatis jaringan aman lainnya.
4. Penolakan pesan RA yang tidak sah
Ketika switch atau titik akses menerima pesan RA, ia memeriksa apakah pengirim (router) ada dalam tabel router yang diizinkan. Jika router tidak ada dalam tabel, pesan RA dianggap tidak sah dan dibuang. Hal ini memastikan bahwa hanya router yang sah yang dapat mengirim pesan RA ke jaringan.
Kiat untuk mengaktifkan RA Guard
- Lihat dokumentasi router Anda untuk petunjuk tentang cara mengaktifkan RA Guard.
- Pastikan Anda mengaktifkan RA Guard di semua router di jaringan Anda.
- Buat kebijakan keamanan untuk RA Guard dan pastikan kebijakan tersebut dipatuhi.
- Pantau jaringan Anda apakah ada tanda-tanda aktivitas mencurigakan.
Keuntungan menggunakan RA Guard
- Perlindungan terhadap serangan keracunan iklan router: Keuntungan utama RA Guard adalah melindungi jaringan dari serangan keracunan iklan router. Dengan memverifikasi keaslian pesan Router Advertisement (RA) yang masuk, RA Guard mencegah router yang tidak sah mengirimkan iklan palsu yang dapat mengarahkan lalu lintas ke rute berbahaya atau mengalihkan lalu lintas ke tujuan yang tidak diinginkan.
- Meningkatkan keamanan jaringan IPv6: Dengan mencegah akses tidak sah ke pesan RA, RA Guard memperkuat keamanan jaringan dan memastikan bahwa hanya router sah yang dapat mengumumkan informasi konfigurasi dan perutean ke perangkat lokal.
- Perlindungan terhadap pengalihan lalu lintas berbahaya: Dengan memastikan bahwa pesan RA berasal dari sumber tepercaya, RA Guard melindungi dari serangan man-in-the-middle dan pengalihan lalu lintas yang tidak diinginkan. Hal ini memastikan bahwa perangkat di jaringan mengikuti jalur perutean yang benar dan mencegah potensi kerentanan keamanan.
- Konfigurasi manual dari router yang diizinkan: RA Guard memungkinkan administrator jaringan untuk secara manual mengkonfigurasi router yang diizinkan di tabel router resmi. Hal ini memberikan kontrol lebih besar terhadap router mana yang dapat mengirim pesan RA di jaringan.
Kekurangan menggunakan RA Guard
- Pengaturan tambahan: Penerapan RA Guard memerlukan konfigurasi tambahan pada perangkat jaringan, seperti sakelar atau titik akses nirkabel. Ini mungkin merupakan proses tambahan yang harus dilakukan administrator jaringan untuk mengaktifkan dan memelihara fungsionalitas RA Guard.
- Kompleksitas: Beberapa implementasi RA Guard bisa jadi rumit, terutama pada jaringan yang lebih besar dan kompleks. Hal ini mungkin memerlukan pemahaman yang lebih mendalam tentang konfigurasi jaringan dan manajemen keamanan.
Kemungkinan dampak pada konektivitas: Jika konfigurasi RA Guard tidak dilakukan dengan benar, hal ini dapat menyebabkan masalah konektivitas seperti pemblokiran pesan RA yang sah. Hal ini dapat berdampak negatif terhadap pengoperasian normal perangkat di jaringan.
Beberapa skenario dunia nyata di mana RA Guard dapat dikerahkan antara lain
Jaringan bisnis dan perusahaan
Di jaringan perusahaan, RA Guard digunakan untuk melindungi dari serangan keracunan iklan router. Memastikan bahwa hanya router yang sah dan berwenang yang dapat mengirimkan iklan router ke perangkat lokal, menghindari risiko pengalihan lalu lintas berbahaya dan memperkuat keamanan jaringan.
Jaringan Penyedia Layanan (ISP).
Penyedia layanan dapat menerapkan RA Guard di jaringan mereka untuk melindungi pelanggan mereka dari serangan keracunan iklan router. Hal ini memastikan bahwa klien hanya menerima informasi konfigurasi perutean dari router yang sah dan tepercaya.
Jaringan nirkabel publik dan titik akses WiFi
Di lingkungan dengan jaringan nirkabel publik, seperti bandara, hotel, atau kafe, penerapan RA Guard pada titik akses WiFi membantu melindungi pengguna dari potensi serangan keracunan iklan router. Hal ini meningkatkan keamanan koneksi dan mencegah pengguna dialihkan ke situs berbahaya.
Jaringan akademik dan pendidikan
Di institusi pendidikan dan akademik, RA Guard dapat dikerahkan untuk melindungi jaringan dan perangkat siswa dan staf dari serangan keracunan iklan router. Hal ini memastikan bahwa infrastruktur jaringan dan sumber daya bersama aman dan terlindungi.
Pusat data dan jaringan cloud
Di lingkungan pusat data dan cloud, RA Guard digunakan untuk melindungi infrastruktur jaringan dan sumber daya pelanggan dari potensi serangan. Hal ini memastikan integritas jaringan dan mencegah manipulasi berbahaya terhadap iklan router.
Jaringan IoT (Internet of Things).
Dalam jaringan IoT, di mana banyak perangkat berkomunikasi secara otomatis menggunakan Neighbor Discovery Protocol (NDP), RA Guard sangat penting untuk mencegah serangan keracunan iklan router dan memastikan keamanan perangkat dan jaringan secara keseluruhan.
Contoh konfigurasi
Selanjutnya, mari kita lihat contoh bagaimana RA Guard dapat dikonfigurasi pada switch Katalis Cisco menggunakan protokol IPv6 dan sistem operasi IOS-XE:
# Acceder al modo de configuración global
configure terminal
# Habilitar RA Guard en una interfaz específica (por ejemplo, GigabitEthernet0/1)
interface GigabitEthernet0/1
ipv6 nd ra guard
# Opcionalmente, configurar el modo de operación de RA Guard
# El modo "strict" (predeterminado) bloqueará todos los paquetes RA entrantes no válidos.
# El modo "loose" permitirá anuncios RA entrantes si la interfaz está configurada para ser un router legítimo.
interface GigabitEthernet0/1
ipv6 nd ra guard mode strict
# Salir del modo de configuración de la interfaz
exit
# Aplicar la configuración a la interfaz y guardar la configuración
end
write memory
Dalam contoh ini, RA Guard diaktifkan pada antarmuka GigabitEthernet0/1. Selain itu, mode operasi RA Guard diatur ke “ketat”, yang berarti akan memblokir semua paket RA masuk yang tidak valid, yaitu paket yang tidak berasal dari router yang sah.
Penting untuk dicatat bahwa konfigurasi yang tepat dapat bervariasi tergantung pada model dan versi switch Cisco, serta topologi jaringan tertentu. Penting juga untuk memastikan bahwa router yang sah dikonfigurasi dengan benar di Tabel Router yang Diizinkan untuk menghindari masalah konektivitas yang tidak diinginkan.
Selalu disarankan untuk menguji dan memverifikasi perilaku jaringan setelah menerapkan RA Guard untuk memastikan bahwa itu berfungsi seperti yang diharapkan dan tidak berdampak negatif pada lalu lintas yang sah di jaringan.
Kuis pengetahuan singkat
Apa pendapat Anda tentang artikel ini?
Apakah Anda berani mengevaluasi pengetahuan yang Anda pelajari?
Buku yang direkomendasikan untuk artikel ini
Buku IPv6 dengan MikroTik, RouterOS v7
Materi pembelajaran Kursus Sertifikasi MTCIPv6E diperbarui ke RouterOS v7