Chapter 2: Basic Switching Concepts and...
Transcript of Chapter 2: Basic Switching Concepts and...
© 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 1
Chapter 2: Basic Switching Concepts and Configuration
Routing and Switching
Presentation_ID 2 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Chapter 2 2.0 Pendahuluan
2.1 Konfigurasi Dasar Switch
2.2 Keamanan Switch: Manajemen dan Pelaksanaan
Presentation_ID 3 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Chapter 2: Tujuan ! Menjelaskan keuntungan dan kerugian dari routing statis
! Mengkonfigurasi pengaturan awal pada switch Cisco
! Mengkonfigurasi port switch untuk memenuhi kebutuhan jaringan
! Konfigurasi interface virtual switch manajemen
! Menjelaskan serangan keamanan dasar dalam lingkungan switch
! Menjelaskan praktik keamanan terbaik dalam lingkungan switch
! Mengkonfigurasi fitur keamanan port untuk membatasi akses jaringan
Presentation_ID 4 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Basic Switch Configuration
Urutan Booting Switch
1. POST
2. Menjalankan boot loader software
3. Boot loader menginisialisasi CPU dari tingkat rendah
4. Boot loader menginisialisasi filesystem flash
5. Boot loader mencari, menempatkan dan menjalankan default IOS (software sistem operasi) image ke memori dan menangani kontrol switch melalui IOS.
Presentation_ID 5 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Basic Switch Configuration
Switch Boot Sequence Dalam rangka mencari image IOS yang cocok, switch melakukan langkah-langkah sebagai berikut:
1. Mencoba booting secara otomatis dengan menggunakan informasi dalam variabel lingkungan BOOT
2. Jika variabel ini tidak diatur, switch melakukan pencarian dari atas-ke-bawah di file sistem flash. Sistem akan memuat dan menjalankan file executable pertama yang ditemukan.
3. Sistem operasi IOS kemudian menginisialisasi interface menggunakan perintah Cisco IOS yang ditemukan dalam file konfigurasi, konfigurasi startup, yang disimpan di NVRAM.
Note: Perintah boot system dapat digunakan untuk mengatur variabel dilingkungan BOOT.
Presentation_ID 6 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Basic Switch Configuration
Memulihkan Sistem dari Crash ! Boot loader juga dapat digunakan untuk mengelola
switch jika IOS tidak dapat dimuat.
! Boot loader dapat diakses melalui koneksi konsol dengan: 1. Hubungkan PC dengan kabel konsol ke port konsol switch.
Cabut kabel listrik switch. 2. Colokkan kembali kabel listrik, tekan dan tahan tombol Mode. 3. Sistem LED akan menyala kuning sebentar dan kemudian
hijau solid. Lepaskan tombol Mode.
! Boot loader switch:prompt akan muncul di software terminal emulasi pada PC.
Presentation_ID 7 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Basic Switch Configuration
Indikator Switch LED ! Setiap port pada Cisco switch Catalyst memiliki status
LED lampu indikator.
! Secara default lampu LED mencerminkan aktivitas port tetapi mereka juga dapat memberikan informasi lain tentang switch melalui tombol Mode.
! Berikut mode yang tersedia pada Cisco Catalyst 2960 switch:
System LED Redundant Power System (RPS) LED Port Status LED Port Duplex LED Port Speed LED Power over Ethernet (PoE) Mode LED
Presentation_ID 8 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Basic Switch Configuration
Switch LED Indicators ! Cisco Catalyst 2960 switch modes
Presentation_ID 9 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Basic Switch Configuration
Mempersiapkan Manajemen Dasar Switch ! Untuk mengatur switch Cisco dari jarak jauh, maka
switch perlu dikonfigurasi untuk dapat diakses dari jaringan
! Memasukkan alamat IP dan subnet mask
! Jika pengelolaan switch dari jaringan luar (jarak jauh), default gateway juga harus dikonfigurasi
! Informasi IP (address, subnet mask, gateway) yang akan di masukkan ke switch SVI (switch virtual interface)
! Meskipun pengaturan IP ini memungkinkan manajemen remote dan remote akses ke switch, Namun tetap tidak mengizinkan switch mengirimkan paket Layer 3.
Presentation_ID 10 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Basic Switch Configuration
Mempersiapkan Manajemen Dasar Switch
Presentation_ID 11 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Configure Switch Ports
Komunikasi Duplex
Presentation_ID 12 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Configure Switch Ports Konfigurasi Switch Ports di Physical Layer
Presentation_ID 13 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Configure Switch Ports
Fitur Auto-MDIX ! Jenis kabel seperti straight-through atau crossover
dapat digunakan saat menghubungkan perangkat
! The automatic medium-dependent interface crossover (auto-MDIX), fitur ini akan menghilangkan keruwetan kebutuhan terhadap straight-through atau crossover.
! Ketika auto-MDIX diaktifkan, interface secara otomatis mendeteksi dan mengkonfigurasi sambungan yang tepat
! Bila menggunakan auto-MDIX pada sebuah interface, kecepatan interface dan duplex harus di set ke auto
Presentation_ID 14 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Configure Switch Ports
Fitur Auto-MDIX
Presentation_ID 15 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Configure Switch Ports
Fitur Auto-MDIX
Presentation_ID 16 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Configure Switch Ports
Verifikasi Konfigurasi Switch Port
Presentation_ID 17 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Configure Switch Ports
Network Access Layer Issues
Presentation_ID 18 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Configure Switch Ports
Network Access Layer Issues
Presentation_ID 19 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Configure Switch Ports
Network Access Layer Issues ! Troubleshooting Switch Media (connection) issues
Presentation_ID 20 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Configure Switch Ports
Network Access Layer Issues ! Troubleshooting Interface-related issues
Presentation_ID 21 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Secure Remote Access
SSH Operation ! Secure Shell (SSH) adalah sebuah protokol yang
menyediakan baris perintah koneksi yang aman (terenkripsi) berbasis perangkat remote
! SSH umumnya digunakan dalam sistem berbasis UNIX
! Cisco IOS juga mendukung SSH
! Sebuah versi dari perangkat lunak IOS termasuk kriptografi (dienkripsi) fitur dan kemampuan yang diperlukan untuk mengaktifkan SSH pada switch Catalyst 2960
! Karena fitur enkripsi yang kuat, SSH harus mengganti Telnet untuk koneksi manajemen
! SSH menggunakan TCP port 22 secara default. Telnet menggunakan port TCP 23
Presentation_ID 22 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Secure Remote Access
SSH Operation
Presentation_ID 23 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Secure Remote Access
Configuring SSH
Presentation_ID 24 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Secure Remote Access
Verifying SSH
Presentation_ID 25 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Security Concerns in LANs
MAC Address Flooding ! Switch otomatis mengisi tabel CAM dengan melihat lalu
lintas data memasuki port mereka
! Switch akan meneruskan lalu lintas data tsb melalui semua port jika tidak dapat menemukan tujuan MAC dalam tabel CAM nya
! Dalam keadaan seperti itu, switch bertindak sebagai hub. Lalu lintas Unicast dapat dilihat oleh semua perangkat yang terhubung ke switch
! Seorang penyerang bisa mengeksploitasi perilaku ini untuk mendapatkan akses ke lalu lintas biasanya dikendalikan oleh switch dengan menggunakan PC untuk menjalankan MAC flooding tool.
Presentation_ID 26 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Security Concerns in LANs
MAC Address Flooding ! Alat tersebut adalah program yang dibuat untuk
menghasilkan dan mengirimkan frame dengan sumber alamat MAC palsu ke port switch
! Sebagai frame ini mencapai switch, ia menambahkan alamat MAC palsu ke meja CAM, mengambil catatan dari port frame tiba
! Akhirnya table CAM diisi dengan alamat MAC palsu
! Tabel CAM kini tidak memiliki ruang untuk perangkat legit yang hadir dalam jaringan dan karena itu tidak akan pernah menemukan alamat MAC mereka dalam tabel CAM.
! Semua frame sekarang diteruskan ke semua port, yang memungkinkan penyerang untuk mengakses lalu lintas ke host lain
Presentation_ID 27 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Security Concerns in LANs
MAC Address Flooding ! Attacker membanjiri CAM table dengan entri palsu
Presentation_ID 28 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Security Concerns in LANs
MAC Address Flooding (membanjiri) ! Switch sekarang berperilaku/mempunyai fungsi seperti
Hub
Presentation_ID 29 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Security Concerns in LANs
DHCP Spoofing (penipu)
! DHCP adalah protokol jaringan yang digunakan untuk menetapkan informasi IP secara otomatis
! 2 tipe DHCP attacks are: • DHCP spoofing (penipu) • DHCP starvation (kelaparan)
! Dalam serangan DHCP spoofing, server DHCP palsu ditempatkan dalam jaringan untuk mengeluarkan alamat DHCP bagi klien.
! DHCP starvation sering digunakan sebelum serangan DHCP spoofing untuk menolak layanan ke server DHCP yang sah.
Presentation_ID 30 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Security Concerns in LANs
DHCP Spoofing ! DHCP Spoof Attack
1)Sebuah kegiatan penyerang server DHCP pada segmen jaringan.
2)Klien menyiarkan permintaan untuk informasi konfigurasi DHCP.
3)Server DHCP nakal merespon sebelum server DHCP yang sah dapat merespon, menetapkan informasi konfigurasi IP penyerang-didefinisikan.
4)Paket host diarahkan ke alamat penyerang karena mengemulasi gateway default untuk alamat DHCP yang keliru diberikan kepada klien.
Presentation_ID 31 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Security Concerns in LANs
Memanfaatkan CDP ! CDP adalah protokol khusus di layer 2 pada perangkat
Cisco yang digunakan untuk menemukan perangkat Cisco lain yang terhubung langsung
! Protokol ini dirancang untuk memungkinkan perangkat melakukan auto-configure koneksi mereka
! Jika penyerang mendengarkan pesan CDP, maka ia bisa mempelajari informasi penting seperti model perangkat, versi perangkat lunak yang berjalan
! Cisco merekomendasikan menonaktifkan CDP saat tidak digunakan
Presentation_ID 32 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Security Concerns in LANs
Memanfaatkan Telnet ! Seperti telah disebutkan, bahwa protokol Telnet tidak
aman dan harus diganti dengan SSH.
! Meskipun penyerang dapat menggunakan Telnet sebagai bagian dari serangan lainnya
! Dua dari serangan ini adalah Brute Force Password Attack dan Telnet DOS Attack
! Ketika password tidak dapat ditangkap, penyerang mungkin akan mencoba banyak kombinasi karakter. Upaya ini untuk menebak password ini dikenal sebagai serangan brute force password.
! Telnet dapat digunakan untuk menguji password yang digunakan oleh sistem.
Presentation_ID 33 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Security Concerns in LANs
Memanfaatkan Telnet ! Dalam serangan DoS Telnet, attacker mengeksploitasi
kekurangan dalam Telnet software server yang berjalan pada switch yang membuat layanan Telnet tidak tersedia.
! Ini semacam serangan untuk mencegah administrator dari jarak jauh mengakses fungsi manajemen switch.
! Hal ini dapat dikombinasikan dengan serangan langsung lain pada jaringan, sebagai bagian dari upaya terkoordinasi untuk mencegah administrator jaringan mengakses perangkat inti selama penyerangan.
! Kerentanan dalam layanan Telnet memungkinkan serangan DoS terjadi, biasanya dibahas dalam patch keamanan yang disertakan dalam Cisco IOS revisi baru.
Presentation_ID 34 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Security Best Practices
10 Best Practices ! Mengembangkan kebijakan keamanan tertulis bagi
organisasi ! Matikan layanan dan port yang tidak digunakan ! Gunakan password yang kuat dan sering dirubah ! Kontrol akses fisik ke perangkat ! Gunakan HTTPS bukan HTTP ! Melakukan operasi backup secara teratur. ! Mendidik karyawan tentang serangan sosial engineering ! Mengenkripsi dan melindungi data sensitif dengan password ! Menerapkan firewall. ! Lakukan up-to-date software
Presentation_ID 35 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Security Best Practices
Network Security Tools: Options ! Peralatan Keamanan Jaringan sangat penting bagi
administrator jaringan
! Alat tersebut memungkinkan administrator untuk menguji kekuatan dari limplementasi keamanan yang diterapkan
! Administrator dapat melancarkan serangan terhadap jaringan dan menganalisis hasilnya
! Menyesuaikan kebijakan keamanan untuk mengurangi / mencegah munculnya jenis-jenis serangan yang lain
! Audit keamanan dan penetration testing adalah dua fungsi dasar untuk menilai keamanan jaringan dan perangkat pengujian implementasi keamanan jaringan.
Presentation_ID 36 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Security Best Practices
Network Security Tools: Audits ! Tools Keamanan Jaringan ini dapat digunakan untuk
mengaudit jaringan
! Dengan memonitor jaringan, administrator dapat menilai jenis informasi apa yang penyerang ingin kumpulkan
! Misalnya, dengan menyerang dan membanjiri CAM Table switch, administrator akan belajar switchport mana yang rentan terhadap MAC flooding dan memperbaiki masalah yang timbul
! Perangkat Keamanan Jaringan juga dapat digunakan sebagai alat uji penetrasi
Presentation_ID 37 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Security Best Practices
Network Security Tools: Audits ! Penetrasi Testing adalah simulasi serangan
! Ini membantu untuk menentukan seberapa rentan jaringan ketika berada di bawah serangan yang nyata.
! Kelemahan dalam konfigurasi perangkat jaringan dapat diidentifikasi berdasarkan hasil uji penetration test.
! Perubahan dapat dibuat untuk membuat perangkat lebih tahan terhadap serangan
! Tes tersebut dapat merusak jaringan dan harus dilakukan di bawah kondisi yang sangat terkendali
! Sebuah jaringan test bed off-line yang persis seperti jaringan produksi sebenarnya adalah ideal untuk dijadikan model pengujian.
Presentation_ID 38 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
Secure Unused Ports ! Non-aktifkan Port yang tidak digunakan adalah pedoman
keamanan sederhana namun efisien
Presentation_ID 39 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
DHCP Snooping ! DHCP Snooping membuat port switch dapat melayani
permintaan DHCP
Presentation_ID 40 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
Port Security: Operation ! Port security akan membatasi jumlah MAC Address
valid yang diizinkan melewati port
! MAC Address perangkat yang sah diperbolehkan akses, sementara alamat MAC lainnya ditolak
! Setiap upaya tambahan untuk menghubungkan dengan alamat MAC yang tidak dikenal akan menghasilkan pelanggaran keamanan
! Keamanan alamat MAC dapat dikonfigurasi dalam beberapa cara:
• Static secure MAC addresses • Dynamic secure MAC addresses • Sticky secure MAC addresses
Presentation_ID 41 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
Port Security: Mode Pelanggaran ! IOS menganggap pelanggaran keamanan ketika salah
satu dari situasi ini terjadi: • Jumlah maksimum MAC Address yang aman untuk interface
telah ditambahkan ke CAM, dan perangkat yang alamat MAC -nya tidak ada dalam tabel alamat mencoba untuk mengakses interface.
• Satu alamat dipelajari atau dikonfigurasi pada satu interface yang aman, hal ini terlihat pada interface yang aman lainnya dalam VLAN yang sama. .
! Ada tiga tindakan yang mungkin harus diambil ketika pelanggaran terdeteksi:
• Protect • Restrict • Shutdown
Presentation_ID 42 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
Port Security: Configuring ! Dynamic Port Security Defaults
Presentation_ID 43 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
Port Security: Configuring ! Konfigurasi Dynamic Port Security
Presentation_ID 44 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
Port Security: Configuring ! Konfigurasi Port Security Sticky
Presentation_ID 45 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
Port Security: Verifying ! Memverifikasi Port Security Sticky
Presentation_ID 46 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
Port Security: Verifying ! Memverifikasi Port Security Sticky – Running Config
Presentation_ID 47 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
Port Security: Verifying ! Memverifikasi Port Security Secure MAC Addresses
Presentation_ID 48 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
Port dalam Status Error Disabled (non-aktif) ! Sebuah pelanggaran keamanan port dapat
menyebabkan sebuah switch berstatus di non-aktifkan
! Sebuah port dalam kondisi di non-aktifkan = shutdown.
! Switch akan menginformasikan peristiwa ini melalui pesan console
Presentation_ID 49 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
Port dalam Status Error Disabled (non-aktif) ! Perintah show interface juga dapat memperlihatkan
status switch port yang error disabled (di non-aktifkan)
Presentation_ID 50 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
Ports In Error Disabled State ! Perintah shutdown / no shutdown harus dilakukan
untuk mengaktifkan kembali interface
Presentation_ID 51 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
Network Time Protocol (NTP) ! NTP adalah sebuah protocol yang digunakan untuk men
sinkronisasi kan waktu dari data sistem komputer di jaringan
! NTP bisa mendapatkan waktu yang tepat dari sumber waktu internal atau eksternal.
! Sumber waktu dapat berasal dari: • Local master clock • Master clock on the Internet • GPS or atomic clock
! Sebuah perangkat jaringan dapat dikonfigurasi baik sebagai server NTP atau klien NTP
! Informasi lebih lanjut tentang NTP dapat di lihat di: http://tools.ietf.org/html/rfc5905 - http://en.wikipedia.org/wiki/Network_Time_Protocol
Presentation_ID 52 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
Network Time Protocol (NTP) ! Konfigurasi NTP
Presentation_ID 53 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Switch Port Security
Network Time Protocol (NTP) ! Memverifikasi NTP
Presentation_ID 54 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Chapter 2: Rangkuman Bab ini meliputi:
! Urutan Booting Switch LAN Cisco
! Mode Switch LAN LED Cisco
! Bagaimana mengakses dan mengelola Switch Cisco LAN melalui koneksi yang aman dari jarak jauh
! Cisco LAN switch port mode duplex
! Cisco LAN switch port security, mode violation (pelanggaran) dan tindakan
! Praktik terbaik untuk switch jaringan aktif
Presentation_ID 55 © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Translate by:
! -
! Melwin Syafrizal ([email protected])