Chapter 2: Basic Switching Concepts and Configuration Switched Networks Chapter 2: Basic Switching Concepts and Configuration Cisco Networking Academy program Switched Networks Chapter 2: Basic Switching Concepts and Configuration
Chapter 2 2.0 Introduction 2.1 Switched Environment 2.2 Basic Switch Configuration 2.3 Switch Security: Management and Implementation 2.4 Summary Chapter 2
Chapter 2: Objectives Explain the basic concepts of a switched environment Configure initial settings on a Cisco switch Configure switch ports Configure the management switch virtual interface Security attacks Security best practices Configure the port security Chapter 2 Objectives
2.1 Basic Switch Configuration Cisco Networking Academy program Switched Networks Chapter 2: Basic Switching Concepts and Configuration
Configure a Switch for Operation in a Network Boot sequence of a Cisco switch Boot Loader inicializuje (probudí a zkontroluje) CPU provádí POST = Power On Self Test = test sebe sama po zapnutí inicializuje (prohlédne, probudí) systém souborů na flash natáhne a spustí operační systém z flash Graphic 2.3.4.1
Configure a Switch for Operation in a Network Boot sequence of a Cisco switch Tady mají hoši od Cisca hrubou chybu: Boot loader se stará o první kroky po zapnutí, kontroluje switch, umožňuje záchranu, když se zhroutí operační systém... => nemůže být v paměti, kterou je možno snadno smazat, jako je NVRAM. Boot loader musí být v ROM. Graphic 2.3.4.1
Configure a Switch for Operation in a Network Boot sequence of a Cisco switch Boot Loader se podobá BIOSu v PC: Také je uložen v paměti ROM, také řídí první kroky po zapnutí, provádí POST, předává řízení operačnímu systému. Operační systém se natahuje z paměti flash (v PC se natahuje z HDD, nebo v malých noteboocích také z flash). Operační systém se při svém běhu řídí podle obsahu souboru config.text (podobá se souboru config.sys, který se v PC užíval ve starších operačních systémech). Graphic 2.3.4.1
Configure a Switch for Operation in a Network Boot sequence of a Cisco switch Boot Loader může pomoci při záchraně po zhroucení operačního systému. Poskytuje přístup do přepínače, když operační systém je tak poškozený, že je nepoužitelný. Umožňuje přístup k souborům v paměti flash před natažením operačního systému (hodí se např. při zlomení neznámého hesla). Při záchranných operacích ovládáme Boot Loader z příkazového řádku. Graphic 2.3.4.1
Basic Switch Configuration Recovering from a System Crash The boot loader can also be used to manage the switch if the IOS cannot be loaded. Access the boot loader through a console connection: Connect a PC by console cable to the switch console port. Unplug the switch power cord. Reconnect the power cord to the switch and press and hold down the Mode button. The System LED turns briefly amber and then solid green. Release the Mode button. The boot loader switch: prompt appears in the terminal emulation software on the PC. 2.1.1.2 Recovering From a System Crash
Basic Switch Configuration Switch LED Indicators Each port on the Cisco Catalyst switches have status LED indicator lights. By default, these LED lights reflect port activity, but they can also provide other information about the switch through the Mode button. The following modes are available on Cisco Catalyst 2960 switches: System LED Redundant Power System (RPS) LED Port Status LED Port Duplex LED Port Speed LED Power over Ethernet (PoE) Mode LED 2.1.1.3 Switch LED Indicators
Basic Switch Configuration Switch LED Indicators Cisco Catalyst 2960 Switch LEDs 2.1.1.3 Switch LED Indicators
Basic Switch Configuration Preparing for Basic Switch Management To remotely manage a Cisco switch, it must be configured to access the network. Má-li se konfigurovat přes síť, musí na to být připravený. An IP address and a subnet mask must be configured. If managing the switch from a remote network, a default gateway must also be configured. Bude-li se konfigurovat ze vzdálené (tj. jiné) sítě, musí mít nastavený default gateway (u PC je to také tak). The IP information (address, subnet mask, gateway) must be assigned to a switch virtual interface (SVI). IP informace se přiřadí k virtuálnímu (tj. nefyzickému) interface. Although these IP settings allow remote management and remote access to the switch, they do not allow the switch to route Layer 3 packets. Přestože může být konfigurován přes IP adresu (tj. přes vrstvu 3), neznamená to, že by byl schopen směrovat na vrstvě 3. 2.1.1.4 Preparing for Basic Switch Management
Configure a Switch for Operation in a Network Ulehčení práce Doporučuje se: Využívat zkrácené příkazy, např. conf t míst configure terminal Používat tabulátor k doplnění rozepsaného slova, např. conf -> configure Používat šipky nahoru – dolů k nalistování dříve zadaných příkazů Používat nápovědu – viz následující snímek Graphic 2.3.3.1 & 2.3.3.2
Configure a Switch for Operation in a Network Nápověda Necelé slovo, bez mezery, otazník: Dá možné varianty toho slova Slovo, mezera, otazník: Dá možné varianty pokračování příkazu Graphic 2.3.3.1 & 2.3.3.2
Basic Switch Configuration Configuring Basic Switch Management Access 2.1.1.5 Configuring Basic Switch Management Access with IPv4 Příklad konfigurace IP parametrů
Operation of Ethernet Duplex settings Tok dat jen jedním směrem Carrier Sense Multiple Access / Collision Detection Duplex settings Tok dat jen jedním směrem Dochází ke kolizím Graphics 2.1.1.1, 2..1.1.2, 2.1.1.3, 2.1.1.4 Typické pro hub nebo koaxiál Podobá se práci s dětskými vysílačkami – je možno vysílat jen jedním směrem („Přepínám ...“)
Operation of Ethernet Duplex settings Nelze z jednoho místa komunikovat s více místy Každý účastník je připojen ke „svému“ portu, který je vyhrazen jen pro něj Oba konce musí podporovat full-duplex Nedochází ke kolizím, ... Graphics 2.1.1.1, 2..1.1.2, 2.1.1.3, 2.1.1.4 ... proto je možno detekci kolizí vypnout Podobá se telefonování – oba mohou mluvit i poslouchat současně
Configure Switch Ports Configure Switch Ports at the Physical Layer Příklad konfigurace duplexu a rychlosti 2.1.2.2 Configure Switch Ports at the Physical Layer
Configure Switch Ports Auto-MDIX Feature Certain cable types (straight-through or crossover) were required when connecting devices. The automatic medium dependent interface crossover (auto-MDIX) feature eliminates this problem. When auto-MDIX is enabled, the interface automatically detects and configures the connection appropriately. When using auto-MDIX on an interface, the interface speed and duplex must be set to auto. MDIX = Medium Dependent Interface Crossover = automatické přepnutí na křížení – nekřížení podle typu kabelu. 2.1.2.3 MDIX Auto Feature
Configure Switch Ports Auto-MDIX Feature (cont.) Příklad konfigurace duplexu, rychlosti a křížení 2.1.2.3 MDIX Auto Feature (cont.)
Configure Switch Ports Auto-MDIX Feature (cont.) 2.1.2.3 MDIX Auto Feature
Configure Switch Ports Verifying Switch Port Configuration
Configure Switch Ports Display Interface Status and Statistics Output of a show interfaces command 2.1.2.5 Network Access Layer Issues
2.2 Switch Security: Management and Implementation Cisco Networking Academy program Switched Networks Chapter 2: Basic Switching Concepts and Configuration
Configure Basic Security on a Switch Configuring Telnet and SSH Telnet Nejobvyklejší způsob ovládání přepínače Přenáší zprávy otevřeným textem Není bezpečný Připravit k použití ... Graphics 2.4.3.1, 2.4.3.2, 2.4.3.3 SSH = Secure SHell = bezpečný síťový protokol Měl by se používat Přenáší zprávy šifrovaně Je bezpečný ... a použít.
Secure Remote Access SSH Operation Secure Shell (SSH) is a protocol that provides a secure (encrypted) command-line based connection to a remote device. A right version of the IOS software is required to enable SSH on Catalyst 2960 switches. SSH should replace Telnet for management connections. SSH uses TCP port 22 and Telnet uses TCP port 23. RSA stands for Ron Rivest, Adi Shamir and Leonard Adleman. = šifrovací algoritmus 2.2.1.1 SSH Operation
Secure Remote Access SSH Operation (cont.)
Secure Remote Access Configuring SSH Připravit k použití ... 2.2.1.2 Configuring SSH ... a použít.
Secure Remote Access Verifying SSH
Operation of Ethernet MAC Addressing Na začátku je switch prázdný, hloupý, neví nic o tom, kdo a kde je na něj připojen. Když dostane frame z jednoho portu, zapamatuje si, že MAC adresa odesílatele, kterou viděl v tom framu, patří k tomu portu. Zatím ale neví, kam frame poslat, proto ho rozprskne (broadcast) na všechny porty (kromě toho, odkud frame přišel). Když dostane frame z jiného portu, zase si zapamatuje, že adresa tohoto odesílatele patří k tomuto portu. Takto si postupně vytvoří tabulku adres a jejich portů a chová se čím dál víc inteligentně – když najde adresu příjemce ve své tabulce, pošle frame rovnou tam a nemusí už používat broadcast. A to všechno mohou zneužít darebáci. Graphics 2.1.1.1, 2..1.1.2, 2.1.1.3, 2.1.1.4
Configure Basic Security on a Switch Switch security attacks MAC address flooding Darebák na PC „MAC C“ posílá rámce s falešnými (bogus) MAC adresami. Switch se tyto adresy učí a učí, až si zaplní tabulku MAC adres. Žádnou skutečnou adresu tam pak nenajde, proto všechny rámce rozesílá jako broadcast (flooding = záplava, potopa) a chová se jako hub. Tím se jednak zpomalí činnost sítě, jednak jsou pro darebáka viditelné všechny rámce, které by jinak neviděl, protože by byly zaslány jen na správný port, a ne na všechny. All graphics in section 2.4.4
Security Concerns in LANs MAC Address Flooding (cont.) The switch now behaves as a hub. 2.2.2.1 Common Security Attacks: MAC Address Flooding (cont.)
Configure Basic Security on a Switch Switch security attacks Spoofing attacks = kanadské žertíky Útočník vytvoří v síti falešný DHCP server. Klient vyšle broadcast se žádostí o konfiguraci DHCP (chce dostat IP adresu, DNS server, default gateway, ...) Falešný DHCP server odpoví dřív, než to stihne pravý, a přidělí klientovi falešnou IP konfiguraci. Klientovy pakety jsou teď zasílány na útočníkovu adresu, protože ten si hraje na jeho default gateway. All graphics in section 2.4.4
Configure Basic Security on a Switch Switch security attacks Spoofing attacks = kanadské žertíky Obrana: snooping = čenichání, špehování - Všechny porty mohou být nastaveny jako důvěryhodné nebo nedůvěryhodné. • Důvěryhodné porty smějí rozesílat veškeré informace o DHCP konfiguraci • Nedůvěryhodné smějí posílat dál jen žádosti o konfiguraci DHCP Switch si vytvoří tabulku, ve které si zaznamená MAC adresu, IP adresu, VLAN, číslo portu. Využijeme příkaz ip dhcp snooping. All graphics in section 2.4.4
Configure Basic Security on a Switch Switch security attacks CDP attacks Cisco Discovery Protocol (CDP) umožňuje zařízením vysílat informace o jejich konfiguraci, verzi operačního systému, možnostech atd. To může usnadnit práci správci sítě. Když útočník zjistí tyto informace, mohou mu umožnit útok. Např. o verzi operačního systému si může zjistit, že tato verze trpěla nějakou slabinou, a tuto slabinu zneužít. Útoky mají obvykle formu DoS = Denial of Service = odepření služby. Nejjednodušší obranou je vypnout CDP tam, kde ho nevyužíváme. CDP pracuje na vrstvě 2, proto není šířen přes routery. All graphics in section 2.4.4
Security Best Practices 10 Best Practices Develop a written security policy for the organization. Shut down unused services and ports. Use strong passwords and change them often. Control physical access to devices. Use HTTPS instead of HTTP. Perform backup operations on a regular basis. Educate employees about social engineering attacks. Encrypt and password-protect sensitive data. Implement firewalls. Keep software up to date. 2.2.3.1 Best Practices
Configure Basic Security on a Switch Network security tools used to improve network security Bezpečnostní audit sítě Zjistí, jaké druhy informací může účastník zjistit prostým monitorování provozu v síti. Určí ideální množství adres k vymazání z MAC tabulky zasviněné spoofingem. Určí dobu, za kterou MAC tabulka zastarává. Testování slabin sítě vůči pronikání zvenku Zjistí slabiny v konfiguraci síťových zařízení. Spouští testovací útoky, aby otestoval síť. Pozor – dobře vybrat dobu pro tento test, abychom nenarušili provoz sítě. Graphic 2.4.5.1
Configure Basic Security on a Switch Security Violation Modes Za porušení bezpečnosti (= violation) se považuje, když se přihlásí víc než nastavený počet bezpečných adres jedna adresa se objeví na dvou bezpečných portech Zahazuje framy s neznámými (tj. ne bezpečnými) adresami, nedá vědět Zahazuje framy s neznámými adresami, dá vědět Graphic 2.4.6.2 Zablokuje port, zhasne ledku, dá vědět
Configure Basic Security on a Switch Securing unused port = zabezpečení nepoužitých portů Nejjednodušší a nejúčinnější řešení: vypnout všechny nepoužité porty, ... ... a zapnout jen ty, které budu používat. Graphic 2.4.6.2
Switch Port Security DHCP Snooping DHCP Snooping specifies which switch ports can respond to DHCP requests. 2.2.4.2 DHCP Snooping
Switch Port Security Port Security: Operation Port security limits the number of valid MAC addresses allowed on a port. MAC addresses of legitimate devices are allowed access, while other MAC addresses are denied. Any additional attempts to connect by unknown MAC addresses generate a security violation. Secure MAC addresses can be configured in a number of ways: Static secure MAC addresses Dynamic secure MAC addresses Sticky secure MAC addresses 2.2.4.3 Port Security: Operation
Switch Port Security Port Security: Configuring Dynamic Port Security Defaults 2.2.4.5 Port Security: Configuring
Switch Port Security Port Security: Configuring (cont.) Configuring Dynamic Port Security 2.2.4.5 Port Security: Configuring (cont.)
Switch Port Security Port Security: Configuring (cont.) Configuring Port Security Sticky 2.2.4.5 Port Security: Configuring (cont.)
Switch Port Security Port Security: Verifying Verifying Port Security Sticky 2.2.4.6 Port Security: Verifying
Switch Port Security Port Security: Verifying (cont.) Verifying Port Security Sticky – Running Configuration 2.2.4.6 Port Security: Verifying (cont.)
Switch Port Security Port Security: Verifying (cont.) Verifying Port Security Secure MAC Addresses 2.2.4.6 Port Security: Verifying (cont.)
Switch Port Security Ports in Error-Disabled State A port security violation can put a switch in error-disabled state. A port in error-disabled state is effectively shutdown. The switch communicates these events through console messages. 2.2.4.7 Ports In Error Disabled State
Switch Port Security Ports In Error Disabled State (cont.) The show interface command also reveals a switch port on the error-disabled state. 2.2.4.7 Ports In Error Disabled State (cont.)
Switch Port Security Ports In Error Disabled State (cont.) A shutdown (or no shutdown) interface command must be issued to re-enable the port. 2.2.4.7 Ports In Error Disabled State (cont.)
Switch Port Security Network Time Protocol (NTP) Having the correct time within networks is important. Correct time stamps are required to accurately track network events such as security violations. Clock synchronization is also critical for the interpretation of events within syslog data files as well as for digital certificates Network Time Protocol (NTP) is a protocol that is used to synchronize the clocks of computer systems over the network NTP allows network devices to synchronize their time settings with an NTP server. 2.2.4.8 Network Time Protocol (NTP)
Switch Port Security Network Time Protocol (NTP) (cont.) Some administrator prefer to maintain their own time source for increased security. However, public time sources are available on the Internet for general use. A network device can be configured as either an NTP server or an NTP client. To allow the software clock to be synchronized by an NTP time server, use the ntp server ip-address command in global configuration mode. 2.2.4.8 Network Time Protocol (NTP) (cont.)
Switch Port Security Network Time Protocol (NTP) (cont.) R2 is configured as a NTP client, receiving time updates from the server, R1. 2.2.4.8 Network Time Protocol (NTP) (cont.)
Chapter 2: Summary This chapter covered: Cisco LAN switch boot sequence Cisco LAN switch LED modes How to remotely access and manage a Cisco LAN switch through a secure connection Cisco LAN switch port duplex modes Cisco LAN switch port security, violation modes, and actions Best practices for switched networks Chapter 2 Summary