Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Chapter 2: Basic Switching Concepts and Configuration Switched Networks.

Podobné prezentace


Prezentace na téma: "Chapter 2: Basic Switching Concepts and Configuration Switched Networks."— Transkript prezentace:

1 Chapter 2: Basic Switching Concepts and Configuration Switched Networks

2 Chapter Introduction 2.1 Switched Environment 2.2 Basic Switch Configuration 2.3 Switch Security: Management and Implementation 2.4 Summary

3 Chapter 2: Objectives  Explain the basic concepts of a switched environment  Configure initial settings on a Cisco switch  Configure switch ports  Configure the management switch virtual interface  Security attacks  Security best practices  Configure the port security

4 2.1 Basic Switch Configuration

5 Configure a Switch for Operation in a Network  Boot sequence of a Cisco switch Boot Loader inicializuje (probudí a zkontroluje) CPU provádí POST = Power On Self Test = test sebe sama po zapnutí inicializuje (prohlédne, probudí) systém souborů na flash natáhne a spustí operační systém z flash

6 Configure a Switch for Operation in a Network  Boot sequence of a Cisco switch Tady mají hoši od Cisca hrubou chybu: Boot loader se stará o první kroky po zapnutí, kontroluje switch, umožňuje záchranu, když se zhroutí operační systém... => nemůže být v paměti, kterou je možno snadno smazat, jako je NVRAM. Boot loader musí být v ROM.

7 Configure a Switch for Operation in a Network  Boot sequence of a Cisco switch Boot Loader se podobá BIOSu v PC: Také je uložen v paměti ROM, také řídí první kroky po zapnutí, provádí POST, předává řízení operačnímu systému. Operační systém se natahuje z paměti flash (v PC se natahuje z HDD, nebo v malých noteboocích také z flash). Operační systém se při svém běhu řídí podle obsahu souboru config.text (podobá se souboru config.sys, který se v PC užíval ve starších operačních systémech).

8 Configure a Switch for Operation in a Network  Boot sequence of a Cisco switch Boot Loader může pomoci při záchraně po zhroucení operačního systému. Poskytuje přístup do přepínače, když operační systém je tak poškozený, že je nepoužitelný. Umožňuje přístup k souborům v paměti flash před natažením operačního systému (hodí se např. při zlomení neznámého hesla). Při záchranných operacích ovládáme Boot Loader z příkazového řádku.

9 Basic Switch Configuration Recovering from a System Crash  The boot loader can also be used to manage the switch if the IOS cannot be loaded.  Access the boot loader through a console connection: 1.Connect a PC by console cable to the switch console port. Unplug the switch power cord. 2.Reconnect the power cord to the switch and press and hold down the Mode button. 3.The System LED turns briefly amber and then solid green. Release the Mode button.  The boot loader switch: prompt appears in the terminal emulation software on the PC.

10  Each port on the Cisco Catalyst switches have status LED indicator lights.  By default, these LED lights reflect port activity, but they can also provide other information about the switch through the Mode button.  The following modes are available on Cisco Catalyst 2960 switches: System LED Redundant Power System (RPS) LED Port Status LED Port Duplex LED Port Speed LED Power over Ethernet (PoE) Mode LED Basic Switch Configuration Switch LED Indicators

11 Cisco Catalyst 2960 Switch LEDs

12 Basic Switch Configuration Preparing for Basic Switch Management  To remotely manage a Cisco switch, it must be configured to access the network. Má-li se konfigurovat přes síť, musí na to být připravený.  An IP address and a subnet mask must be configured.  If managing the switch from a remote network, a default gateway must also be configured. Bude-li se konfigurovat ze vzdálené (tj. jiné) sítě, musí mít nastavený default gateway (u PC je to také tak).  The IP information (address, subnet mask, gateway) must be assigned to a switch virtual interface (SVI). IP informace se přiřadí k virtuálnímu (tj. nefyzickému) interface.  Although these IP settings allow remote management and remote access to the switch, they do not allow the switch to route Layer 3 packets. Přestože může být konfigurován přes IP adresu (tj. přes vrstvu 3), neznamená to, že by byl schopen směrovat na vrstvě 3.

13 Configure a Switch for Operation in a Network Ulehčení práce Doporučuje se: Využívat zkrácené příkazy, např. conf t míst configure terminal Používat tabulátor k doplnění rozepsaného slova, např. conf -> configure Používat šipky nahoru – dolů k nalistování dříve zadaných příkazů Používat nápovědu – viz následující snímek

14 Configure a Switch for Operation in a Network Nápověda Necelé slovo, bez mezery, otazník: Dá možné varianty toho slova Slovo, mezera, otazník: Dá možné varianty pokračování příkazu

15 Basic Switch Configuration Configuring Basic Switch Management Access Příklad konfigurace IP parametrů

16 Operation of Ethernet  Duplex settings Tok dat jen jedním směrem Dochází ke kolizím Typické pro hub nebo koaxiál Podobá se práci s dětskými vysílačkami – je možno vysílat jen jedním směrem („Přepínám...“) Carrier Sense Multiple Access / Collision Detection

17 Operation of Ethernet  Duplex settings Nelze z jednoho místa komunikovat s více místy Každý účastník je připojen ke „svému“ portu, který je vyhrazen jen pro něj Oba konce musí podporovat full-duplex Nedochází ke kolizím, proto je možno detekci kolizí vypnout Podobá se telefonování – oba mohou mluvit i poslouchat současně

18 Configure Switch Ports Configure Switch Ports at the Physical Layer Příklad konfigurace duplexu a rychlosti

19 Configure Switch Ports Auto-MDIX Feature  Certain cable types (straight-through or crossover) were required when connecting devices.  The automatic medium dependent interface crossover (auto- MDIX) feature eliminates this problem.  When auto-MDIX is enabled, the interface automatically detects and configures the connection appropriately.  When using auto-MDIX on an interface, the interface speed and duplex must be set to auto.  MDIX = Medium Dependent Interface Crossover = automatické přepnutí na křížení – nekřížení podle typu kabelu.

20 Configure Switch Ports Auto-MDIX Feature (cont.) Příklad konfigurace duplexu, rychlosti a křížení

21 Configure Switch Ports Auto-MDIX Feature (cont.)

22 Configure Switch Ports Verifying Switch Port Configuration

23 Configure Switch Ports Display Interface Status and Statistics  Output of a show interfaces command

24 2.2 Switch Security: Management and Implementation

25  Configuring Telnet and SSH Configure Basic Security on a Switch Telnet Nejobvyklejší způsob ovládání přepínače Přenáší zprávy otevřeným textem Není bezpečný SSH = Secure SHell = bezpečný síťový protokol Měl by se používat Přenáší zprávy šifrovaně Je bezpečný Připravit k použití a použít.

26 Secure Remote Access SSH Operation  Secure Shell (SSH) is a protocol that provides a secure (encrypted) command-line based connection to a remote device.  A right version of the IOS software is required to enable SSH on Catalyst 2960 switches.  SSH should replace Telnet for management connections.  SSH uses TCP port 22 and Telnet uses TCP port 23.  RSA stands for Ron Rivest, Adi Shamir and Leonard Adleman. = šifrovací algoritmusRon RivestAdi ShamirLeonard Adleman

27 Secure Remote Access SSH Operation (cont.)

28 Secure Remote Access Configuring SSH Připravit k použití a použít.

29 Secure Remote Access Verifying SSH

30 Operation of Ethernet  MAC Addressing Na začátku je switch prázdný, hloupý, neví nic o tom, kdo a kde je na něj připojen. Když dostane frame z jednoho portu, zapamatuje si, že MAC adresa odesílatele, kterou viděl v tom framu, patří k tomu portu. Zatím ale neví, kam frame poslat, proto ho rozprskne (broadcast) na všechny porty (kromě toho, odkud frame přišel). Když dostane frame z jiného portu, zase si zapamatuje, že adresa tohoto odesílatele patří k tomuto portu. Takto si postupně vytvoří tabulku adres a jejich portů a chová se čím dál víc inteligentně – když najde adresu příjemce ve své tabulce, pošle frame rovnou tam a nemusí už používat broadcast. A to všechno mohou zneužít darebáci.

31  Switch security attacks MAC address flooding Configure Basic Security on a Switch Darebák na PC „MAC C“ posílá rámce s falešnými (bogus) MAC adresami. Switch se tyto adresy učí a učí, až si zaplní tabulku MAC adres. Žádnou skutečnou adresu tam pak nenajde, proto všechny rámce rozesílá jako broadcast (flooding = záplava, potopa) a chová se jako hub. Tím se jednak zpomalí činnost sítě, jednak jsou pro darebáka viditelné všechny rámce, které by jinak neviděl, protože by byly zaslány jen na správný port, a ne na všechny.

32 Security Concerns in LANs MAC Address Flooding (cont.) The switch now behaves as a hub.

33  Switch security attacks Spoofing attacks = kanadské žertíky Configure Basic Security on a Switch 1.Útočník vytvoří v síti falešný DHCP server. 2.Klient vyšle broadcast se žádostí o konfiguraci DHCP (chce dostat IP adresu, DNS server, default gateway,...) 3.Falešný DHCP server odpoví dřív, než to stihne pravý, a přidělí klientovi falešnou IP konfiguraci. 4.Klientovy pakety jsou teď zasílány na útočníkovu adresu, protože ten si hraje na jeho default gateway.

34  Switch security attacks Spoofing attacks = kanadské žertíky Obrana: snooping = čenichání, špehování Configure Basic Security on a Switch - Všechny porty mohou být nastaveny jako důvěryhodné nebo nedůvěryhodné. Důvěryhodné porty smějí rozesílat veškeré informace o DHCP konfiguraci Nedůvěryhodné smějí posílat dál jen žádosti o konfiguraci DHCP Switch si vytvoří tabulku, ve které si zaznamená MAC adresu, IP adresu, VLAN, číslo portu. Využijeme příkaz ip dhcp snooping.

35  Switch security attacks CDP attacks Configure Basic Security on a Switch Cisco Discovery Protocol (CDP) umožňuje zařízením vysílat informace o jejich konfiguraci, verzi operačního systému, možnostech atd. To může usnadnit práci správci sítě. Když útočník zjistí tyto informace, mohou mu umožnit útok. Např. o verzi operačního systému si může zjistit, že tato verze trpěla nějakou slabinou, a tuto slabinu zneužít. Útoky mají obvykle formu DoS = Denial of Service = odepření služby. Nejjednodušší obranou je vypnout CDP tam, kde ho nevyužíváme. CDP pracuje na vrstvě 2, proto není šířen přes routery.

36 Security Best Practices 10 Best Practices 1.Develop a written security policy for the organization. 2.Shut down unused services and ports. 3.Use strong passwords and change them often. 4.Control physical access to devices. 5.Use HTTPS instead of HTTP. 6.Perform backup operations on a regular basis. 7.Educate employees about social engineering attacks. 8.Encrypt and password-protect sensitive data. 9.Implement firewalls. 10.Keep software up to date.

37  Network security tools used to improve network security Configure Basic Security on a Switch Bezpečnostní audit sítě Zjistí, jaké druhy informací může účastník zjistit prostým monitorování provozu v síti. Určí ideální množství adres k vymazání z MAC tabulky zasviněné spoofingem. Určí dobu, za kterou MAC tabulka zastarává. Testování slabin sítě vůči pronikání zvenku Zjistí slabiny v konfiguraci síťových zařízení. Spouští testovací útoky, aby otestoval síť. Pozor – dobře vybrat dobu pro tento test, abychom nenarušili provoz sítě.

38  Security Violation Modes Configure Basic Security on a Switch Za porušení bezpečnosti (= violation) se považuje, když se přihlásí víc než nastavený počet bezpečných adres jedna adresa se objeví na dvou bezpečných portech Zahazuje framy s neznámými (tj. ne bezpečnými) adresami, nedá vědět Zahazuje framy s neznámými adresami, dá vědět Zablokuje port, zhasne ledku, dá vědět

39  Securing unused port = zabezpečení nepoužitých portů Configure Basic Security on a Switch Nejjednodušší a nejúčinnější řešení: vypnout všechny nepoužité porty, a zapnout jen ty, které budu používat.

40 Switch Port Security DHCP Snooping DHCP Snooping specifies which switch ports can respond to DHCP requests.

41 Switch Port Security Port Security: Operation  Port security limits the number of valid MAC addresses allowed on a port.  MAC addresses of legitimate devices are allowed access, while other MAC addresses are denied.  Any additional attempts to connect by unknown MAC addresses generate a security violation.  Secure MAC addresses can be configured in a number of ways: Static secure MAC addresses Dynamic secure MAC addresses Sticky secure MAC addresses

42 Switch Port Security Port Security: Configuring Dynamic Port Security Defaults

43 Switch Port Security Port Security: Configuring (cont.) Configuring Dynamic Port Security

44 Switch Port Security Port Security: Configuring (cont.) Configuring Port Security Sticky

45 Switch Port Security Port Security: Verifying Verifying Port Security Sticky

46 Switch Port Security Port Security: Verifying (cont.) Verifying Port Security Sticky – Running Configuration

47 Switch Port Security Port Security: Verifying (cont.) Verifying Port Security Secure MAC Addresses

48 Switch Port Security Ports in Error-Disabled State  A port security violation can put a switch in error- disabled state.  A port in error-disabled state is effectively shutdown.  The switch communicates these events through console messages.

49 Switch Port Security Ports In Error Disabled State (cont.) The show interface command also reveals a switch port on the error-disabled state.

50 Switch Port Security Ports In Error Disabled State (cont.) A shutdown (or no shutdown) interface command must be issued to re-enable the port.

51 Switch Port Security Network Time Protocol (NTP)  Having the correct time within networks is important.  Correct time stamps are required to accurately track network events such as security violations.  Clock synchronization is also critical for the interpretation of events within syslog data files as well as for digital certificates  Network Time Protocol (NTP) is a protocol that is used to synchronize the clocks of computer systems over the network  NTP allows network devices to synchronize their time settings with an NTP server.

52 Switch Port Security Network Time Protocol (NTP) (cont.)  Some administrator prefer to maintain their own time source for increased security. However, public time sources are available on the Internet for general use.  A network device can be configured as either an NTP server or an NTP client.  To allow the software clock to be synchronized by an NTP time server, use the ntp server ip- address command in global configuration mode.

53 Switch Port Security Network Time Protocol (NTP) (cont.)  R2 is configured as a NTP client, receiving time updates from the server, R1.

54 Chapter 2: Summary This chapter covered:  Cisco LAN switch boot sequence  Cisco LAN switch LED modes  How to remotely access and manage a Cisco LAN switch through a secure connection  Cisco LAN switch port duplex modes  Cisco LAN switch port security, violation modes, and actions  Best practices for switched networks

55 Presentation_ID 55 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential


Stáhnout ppt "Chapter 2: Basic Switching Concepts and Configuration Switched Networks."

Podobné prezentace


Reklamy Google