Chapter 2: Basic Switching Concepts and...

© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 1

Chapter 2: Basic Switching Concepts and Configuration

Routing and Switching

Presentation_ID 2 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential

Chapter 2 2.0 Pendahuluan

2.1 Konfigurasi Dasar Switch

2.2 Keamanan Switch: Manajemen dan Pelaksanaan


Chapter 2: Tujuan ! Menjelaskan keuntungan dan kerugian dari routing statis

! Mengkonfigurasi pengaturan awal pada switch Cisco

! Mengkonfigurasi port switch untuk memenuhi kebutuhan jaringan

! Konfigurasi interface virtual switch manajemen

! Menjelaskan serangan keamanan dasar dalam lingkungan switch

! Menjelaskan praktik keamanan terbaik dalam lingkungan switch

! Mengkonfigurasi fitur keamanan port untuk membatasi akses jaringan


Basic Switch Configuration

Urutan Booting Switch

1. POST

2. Menjalankan boot loader software

3. Boot loader menginisialisasi CPU dari tingkat rendah

4. Boot loader menginisialisasi filesystem flash

5. Boot loader mencari, menempatkan dan menjalankan default IOS (software sistem operasi) image ke memori dan menangani kontrol switch melalui IOS.



Switch Boot Sequence Dalam rangka mencari image IOS yang cocok, switch melakukan langkah-langkah sebagai berikut:

1. Mencoba booting secara otomatis dengan menggunakan informasi dalam variabel lingkungan BOOT

2. Jika variabel ini tidak diatur, switch melakukan pencarian dari atas-ke-bawah di file sistem flash. Sistem akan memuat dan menjalankan file executable pertama yang ditemukan.

3. Sistem operasi IOS kemudian menginisialisasi interface menggunakan perintah Cisco IOS yang ditemukan dalam file konfigurasi, konfigurasi startup, yang disimpan di NVRAM.

Note: Perintah boot system dapat digunakan untuk mengatur variabel dilingkungan BOOT.



Memulihkan Sistem dari Crash ! Boot loader juga dapat digunakan untuk mengelola

switch jika IOS tidak dapat dimuat.

! Boot loader dapat diakses melalui koneksi konsol dengan: 1. Hubungkan PC dengan kabel konsol ke port konsol switch.

Cabut kabel listrik switch. 2. Colokkan kembali kabel listrik, tekan dan tahan tombol Mode. 3. Sistem LED akan menyala kuning sebentar dan kemudian

hijau solid. Lepaskan tombol Mode.

! Boot loader switch:prompt akan muncul di software terminal emulasi pada PC.



Indikator Switch LED ! Setiap port pada Cisco switch Catalyst memiliki status

LED lampu indikator.

! Secara default lampu LED mencerminkan aktivitas port tetapi mereka juga dapat memberikan informasi lain tentang switch melalui tombol Mode.

! Berikut mode yang tersedia pada Cisco Catalyst 2960 switch:

System LED Redundant Power System (RPS) LED Port Status LED Port Duplex LED Port Speed LED Power over Ethernet (PoE) Mode LED



Switch LED Indicators ! Cisco Catalyst 2960 switch modes



Mempersiapkan Manajemen Dasar Switch ! Untuk mengatur switch Cisco dari jarak jauh, maka

switch perlu dikonfigurasi untuk dapat diakses dari jaringan

! Memasukkan alamat IP dan subnet mask

! Jika pengelolaan switch dari jaringan luar (jarak jauh), default gateway juga harus dikonfigurasi

! Informasi IP (address, subnet mask, gateway) yang akan di masukkan ke switch SVI (switch virtual interface)

! Meskipun pengaturan IP ini memungkinkan manajemen remote dan remote akses ke switch, Namun tetap tidak mengizinkan switch mengirimkan paket Layer 3.



Mempersiapkan Manajemen Dasar Switch


Configure Switch Ports

Komunikasi Duplex


Configure Switch Ports Konfigurasi Switch Ports di Physical Layer



Fitur Auto-MDIX ! Jenis kabel seperti straight-through atau crossover

dapat digunakan saat menghubungkan perangkat

! The automatic medium-dependent interface crossover (auto-MDIX), fitur ini akan menghilangkan keruwetan kebutuhan terhadap straight-through atau crossover.

! Ketika auto-MDIX diaktifkan, interface secara otomatis mendeteksi dan mengkonfigurasi sambungan yang tepat

! Bila menggunakan auto-MDIX pada sebuah interface, kecepatan interface dan duplex harus di set ke auto



Fitur Auto-MDIX



Verifikasi Konfigurasi Switch Port



Network Access Layer Issues



Network Access Layer Issues ! Troubleshooting Switch Media (connection) issues



Network Access Layer Issues ! Troubleshooting Interface-related issues


Secure Remote Access

SSH Operation ! Secure Shell (SSH) adalah sebuah protokol yang

menyediakan baris perintah koneksi yang aman (terenkripsi) berbasis perangkat remote

! SSH umumnya digunakan dalam sistem berbasis UNIX

! Cisco IOS juga mendukung SSH

! Sebuah versi dari perangkat lunak IOS termasuk kriptografi (dienkripsi) fitur dan kemampuan yang diperlukan untuk mengaktifkan SSH pada switch Catalyst 2960

! Karena fitur enkripsi yang kuat, SSH harus mengganti Telnet untuk koneksi manajemen

! SSH menggunakan TCP port 22 secara default. Telnet menggunakan port TCP 23



SSH Operation



Configuring SSH



Verifying SSH


Security Concerns in LANs

MAC Address Flooding ! Switch otomatis mengisi tabel CAM dengan melihat lalu

lintas data memasuki port mereka

! Switch akan meneruskan lalu lintas data tsb melalui semua port jika tidak dapat menemukan tujuan MAC dalam tabel CAM nya

! Dalam keadaan seperti itu, switch bertindak sebagai hub. Lalu lintas Unicast dapat dilihat oleh semua perangkat yang terhubung ke switch

! Seorang penyerang bisa mengeksploitasi perilaku ini untuk mendapatkan akses ke lalu lintas biasanya dikendalikan oleh switch dengan menggunakan PC untuk menjalankan MAC flooding tool.



MAC Address Flooding ! Alat tersebut adalah program yang dibuat untuk

menghasilkan dan mengirimkan frame dengan sumber alamat MAC palsu ke port switch

! Sebagai frame ini mencapai switch, ia menambahkan alamat MAC palsu ke meja CAM, mengambil catatan dari port frame tiba

! Akhirnya table CAM diisi dengan alamat MAC palsu

! Tabel CAM kini tidak memiliki ruang untuk perangkat legit yang hadir dalam jaringan dan karena itu tidak akan pernah menemukan alamat MAC mereka dalam tabel CAM.

! Semua frame sekarang diteruskan ke semua port, yang memungkinkan penyerang untuk mengakses lalu lintas ke host lain



MAC Address Flooding ! Attacker membanjiri CAM table dengan entri palsu



MAC Address Flooding (membanjiri) ! Switch sekarang berperilaku/mempunyai fungsi seperti

Hub



DHCP Spoofing (penipu)

! DHCP adalah protokol jaringan yang digunakan untuk menetapkan informasi IP secara otomatis

! 2 tipe DHCP attacks are: • DHCP spoofing (penipu) • DHCP starvation (kelaparan)

! Dalam serangan DHCP spoofing, server DHCP palsu ditempatkan dalam jaringan untuk mengeluarkan alamat DHCP bagi klien.

! DHCP starvation sering digunakan sebelum serangan DHCP spoofing untuk menolak layanan ke server DHCP yang sah.



DHCP Spoofing ! DHCP Spoof Attack

1)Sebuah kegiatan penyerang server DHCP pada segmen jaringan.

2)Klien menyiarkan permintaan untuk informasi konfigurasi DHCP.

3)Server DHCP nakal merespon sebelum server DHCP yang sah dapat merespon, menetapkan informasi konfigurasi IP penyerang-didefinisikan.

4)Paket host diarahkan ke alamat penyerang karena mengemulasi gateway default untuk alamat DHCP yang keliru diberikan kepada klien.



Memanfaatkan CDP ! CDP adalah protokol khusus di layer 2 pada perangkat

Cisco yang digunakan untuk menemukan perangkat Cisco lain yang terhubung langsung

! Protokol ini dirancang untuk memungkinkan perangkat melakukan auto-configure koneksi mereka

! Jika penyerang mendengarkan pesan CDP, maka ia bisa mempelajari informasi penting seperti model perangkat, versi perangkat lunak yang berjalan

! Cisco merekomendasikan menonaktifkan CDP saat tidak digunakan



Memanfaatkan Telnet ! Seperti telah disebutkan, bahwa protokol Telnet tidak

aman dan harus diganti dengan SSH.

! Meskipun penyerang dapat menggunakan Telnet sebagai bagian dari serangan lainnya

! Dua dari serangan ini adalah Brute Force Password Attack dan Telnet DOS Attack

! Ketika password tidak dapat ditangkap, penyerang mungkin akan mencoba banyak kombinasi karakter. Upaya ini untuk menebak password ini dikenal sebagai serangan brute force password.

! Telnet dapat digunakan untuk menguji password yang digunakan oleh sistem.



Memanfaatkan Telnet ! Dalam serangan DoS Telnet, attacker mengeksploitasi

kekurangan dalam Telnet software server yang berjalan pada switch yang membuat layanan Telnet tidak tersedia.

! Ini semacam serangan untuk mencegah administrator dari jarak jauh mengakses fungsi manajemen switch.

! Hal ini dapat dikombinasikan dengan serangan langsung lain pada jaringan, sebagai bagian dari upaya terkoordinasi untuk mencegah administrator jaringan mengakses perangkat inti selama penyerangan.

! Kerentanan dalam layanan Telnet memungkinkan serangan DoS terjadi, biasanya dibahas dalam patch keamanan yang disertakan dalam Cisco IOS revisi baru.


Security Best Practices

10 Best Practices ! Mengembangkan kebijakan keamanan tertulis bagi

organisasi ! Matikan layanan dan port yang tidak digunakan ! Gunakan password yang kuat dan sering dirubah ! Kontrol akses fisik ke perangkat ! Gunakan HTTPS bukan HTTP ! Melakukan operasi backup secara teratur. ! Mendidik karyawan tentang serangan sosial engineering ! Mengenkripsi dan melindungi data sensitif dengan password ! Menerapkan firewall. ! Lakukan up-to-date software



Network Security Tools: Options ! Peralatan Keamanan Jaringan sangat penting bagi

administrator jaringan

! Alat tersebut memungkinkan administrator untuk menguji kekuatan dari limplementasi keamanan yang diterapkan

! Administrator dapat melancarkan serangan terhadap jaringan dan menganalisis hasilnya

! Menyesuaikan kebijakan keamanan untuk mengurangi / mencegah munculnya jenis-jenis serangan yang lain

! Audit keamanan dan penetration testing adalah dua fungsi dasar untuk menilai keamanan jaringan dan perangkat pengujian implementasi keamanan jaringan.



Network Security Tools: Audits ! Tools Keamanan Jaringan ini dapat digunakan untuk

mengaudit jaringan

! Dengan memonitor jaringan, administrator dapat menilai jenis informasi apa yang penyerang ingin kumpulkan

! Misalnya, dengan menyerang dan membanjiri CAM Table switch, administrator akan belajar switchport mana yang rentan terhadap MAC flooding dan memperbaiki masalah yang timbul

! Perangkat Keamanan Jaringan juga dapat digunakan sebagai alat uji penetrasi



Network Security Tools: Audits ! Penetrasi Testing adalah simulasi serangan

! Ini membantu untuk menentukan seberapa rentan jaringan ketika berada di bawah serangan yang nyata.

! Kelemahan dalam konfigurasi perangkat jaringan dapat diidentifikasi berdasarkan hasil uji penetration test.

! Perubahan dapat dibuat untuk membuat perangkat lebih tahan terhadap serangan

! Tes tersebut dapat merusak jaringan dan harus dilakukan di bawah kondisi yang sangat terkendali

! Sebuah jaringan test bed off-line yang persis seperti jaringan produksi sebenarnya adalah ideal untuk dijadikan model pengujian.


Switch Port Security

Secure Unused Ports ! Non-aktifkan Port yang tidak digunakan adalah pedoman

keamanan sederhana namun efisien



DHCP Snooping ! DHCP Snooping membuat port switch dapat melayani

permintaan DHCP



Port Security: Operation ! Port security akan membatasi jumlah MAC Address

valid yang diizinkan melewati port

! MAC Address perangkat yang sah diperbolehkan akses, sementara alamat MAC lainnya ditolak

! Setiap upaya tambahan untuk menghubungkan dengan alamat MAC yang tidak dikenal akan menghasilkan pelanggaran keamanan

! Keamanan alamat MAC dapat dikonfigurasi dalam beberapa cara:

• Static secure MAC addresses • Dynamic secure MAC addresses • Sticky secure MAC addresses



Port Security: Mode Pelanggaran ! IOS menganggap pelanggaran keamanan ketika salah

satu dari situasi ini terjadi: • Jumlah maksimum MAC Address yang aman untuk interface

telah ditambahkan ke CAM, dan perangkat yang alamat MAC -nya tidak ada dalam tabel alamat mencoba untuk mengakses interface.

• Satu alamat dipelajari atau dikonfigurasi pada satu interface yang aman, hal ini terlihat pada interface yang aman lainnya dalam VLAN yang sama. .

! Ada tiga tindakan yang mungkin harus diambil ketika pelanggaran terdeteksi:

• Protect • Restrict • Shutdown



Port Security: Configuring ! Dynamic Port Security Defaults



Port Security: Configuring ! Konfigurasi Dynamic Port Security



Port Security: Configuring ! Konfigurasi Port Security Sticky



Port Security: Verifying ! Memverifikasi Port Security Sticky



Port Security: Verifying ! Memverifikasi Port Security Sticky – Running Config



Port Security: Verifying ! Memverifikasi Port Security Secure MAC Addresses



Port dalam Status Error Disabled (non-aktif) ! Sebuah pelanggaran keamanan port dapat

menyebabkan sebuah switch berstatus di non-aktifkan

! Sebuah port dalam kondisi di non-aktifkan = shutdown.

! Switch akan menginformasikan peristiwa ini melalui pesan console



Port dalam Status Error Disabled (non-aktif) ! Perintah show interface juga dapat memperlihatkan

status switch port yang error disabled (di non-aktifkan)



Ports In Error Disabled State ! Perintah shutdown / no shutdown harus dilakukan

untuk mengaktifkan kembali interface



Network Time Protocol (NTP) ! NTP adalah sebuah protocol yang digunakan untuk men

sinkronisasi kan waktu dari data sistem komputer di jaringan

! NTP bisa mendapatkan waktu yang tepat dari sumber waktu internal atau eksternal.

! Sumber waktu dapat berasal dari: • Local master clock • Master clock on the Internet • GPS or atomic clock

! Sebuah perangkat jaringan dapat dikonfigurasi baik sebagai server NTP atau klien NTP

! Informasi lebih lanjut tentang NTP dapat di lihat di: http://tools.ietf.org/html/rfc5905 - http://en.wikipedia.org/wiki/Network_Time_Protocol



Network Time Protocol (NTP) ! Konfigurasi NTP



Network Time Protocol (NTP) ! Memverifikasi NTP


Chapter 2: Rangkuman Bab ini meliputi:

! Urutan Booting Switch LAN Cisco

! Mode Switch LAN LED Cisco

! Bagaimana mengakses dan mengelola Switch Cisco LAN melalui koneksi yang aman dari jarak jauh

! Cisco LAN switch port mode duplex

! Cisco LAN switch port security, mode violation (pelanggaran) dan tindakan

! Praktik terbaik untuk switch jaringan aktif


Translate by:

! -

! Melwin Syafrizal ([email protected])

Chapter 2: Basic Switching Concepts and...

Documents

Transcript of Chapter 2: Basic Switching Concepts and...