Konsep Dasar Switching dan
Konfigurasi
Dasar Switch Configuration
Switch Boot
Sequence
Dalam rangka mencari image IOS yang
cocok, switch melakukan langkah-langkah sebagai berikut:
1. Mencoba booting secara otomatis
dengan menggunakan informasi dalam variabel lingkungan BOOT.
2. Jika variabel ini tidak diatur,
switch melakukan pencarian dari atas-ke-bawah di file sistem flash. Sistem akan
memuat dan menjalankan file executable pertama yang ditemukan.
3. Sistem operasi IOS kemudian
menginisialisasi interface menggunakan perintah Cisco IOS yang ditemukan dalam
file konfigurasi, konfigurasi startup, yang disimpan di NVRAM.
Note: Perintah boot system dapat
digunakan untuk mengatur
variabel dilingkungan BOOT.
Memulihkan
Sistem dari Crash
1. Boot loader juga dapat digunakan
untuk mengelola switch jika IOS tidak dapat dimuat.
2. Boot loader dapat diakses melalui
koneksi konsol dengan:
• Hubungkan PC dengan kabel konsol
ke port konsol switch. Cabut kabel listrik switch.
• Colokkan kembali kabel listrik,
tekan dan tahan tombol Mode.
• Sistem LED akan menyala kuning
sebentar dan kemudian hijau solid. Lepaskan tombol Mode.
3. Boot loader switch:prompt akan
muncul di software terminal emulasi pada PC.
Indikator
Switch LED
1. Setiap port pada Cisco switch
Catalyst memiliki status LED lampu indikator.
2. Secara default lampu LED mencerminkan
aktivitas port tetapi mereka juga dapat memberikan informasi lain tentang
switch melalui tombol Mode.
3. Berikut mode yang tersedia pada
Cisco Catalyst 2960 switch:
System LED
Redundant Power System (RPS) LED
Port Status LED
Port Duplex LED
Port Speed LED
Power over Ethernet (PoE) Mode LED
Switch LED
Indicators
• Cisco Catalyst 2960 switch modes.
Mempersiapkan
Manajemen Dasar Switch
1. Untuk mengatur switch Cisco dari
jarak jauh, maka switch perlu dikonfigurasi untuk dapat diakses dari jaringan.
2. Memasukkan alamat IP dan subnet
mask.
3. Jika pengelolaan switch dari
jaringan luar (jarak jauh), default gateway juga harus dikonfigurasi.
4. Informasi IP (address, subnet mask,
gateway) yang akan di masukkan ke switch SVI (switch virtual interface).
5. Meskipun pengaturan IP ini
memungkinkan manajemen remote dan remote akses ke switch, Namun tetap tidak mengizinkan
switch mengirimkan paket Layer 3.
Mempersiapkan
Manajemen Dasar Switch
Komunikasi
Duplex
Konfigurasi
Switch Ports di Physical Layer
Fitur
Auto-MDIX
1. Jenis kabel seperti
straight-through atau crossover dapat digunakan saat menghubungkan perangkat.
2. The automatic medium-dependent
interface crossover (auto-MDIX), fitur ini akan menghilangkan keruwetan kebutuhan
terhadap straight-through atau crossover.
3. Ketika auto-MDIX diaktifkan,
interface secara otomatis mendeteksi dan mengkonfigurasi sambungan yang tepat.
4. Bila menggunakan auto-MDIX pada
sebuah interface, kecepatan interface dan duplex harus di set ke auto.
Fitur
Auto-MDIX
Fitur
Auto-MDIX
Verifikasi
Konfigurasi Switch Port
Network
Access Layer Issues
Network
Access Layer Issues
• Troubleshooting Switch Media
(connection) issues.
Network
Access Layer Issues
• Troubleshooting Interface-related
issues.
SSH
Operation
• Secure Shell (SSH) adalah sebuah
protokol yang menyediakan baris perintah koneksi yang aman
(terenkripsi) berbasis perangkat
remote.
• SSH umumnya digunakan dalam sistem
berbasis UNIX.
• Cisco IOS juga mendukung SSH.
• Sebuah versi dari perangkat lunak
IOS termasuk kriptografi (dienkripsi) fitur dan kemampuan yang diperlukan untuk
mengaktifkan SSH pada switch Catalyst 2960.
• Karena fitur enkripsi yang kuat,
SSH harus mengganti Telnet untuk koneksi manajemen.
• SSH menggunakan TCP port 22 secara
default. Telnet menggunakan port TCP 23.
MAC Address
Flooding
• Switch otomatis mengisi tabel CAM
dengan melihat lalu lintas data memasuki port mereka.
• Switch akan meneruskan lalu lintas
data tsb melalui semua port jika tidak dapat menemukan tujuan MAC dalam tabel
CAM nya.
• Dalam keadaan seperti itu, switch
bertindak sebagai hub. Lalu lintas Unicast dapat dilihat oleh semua perangkat
yang terhubung ke switch.
• Seorang penyerang bisa
mengeksploitasi perilaku ini untuk mendapatkan akses ke lalu lintas biasanya dikendalikan
oleh switch dengan menggunakan PC untuk menjalankan MAC flooding tool.
MAC Address
Flooding
• Alat tersebut adalah program yang
dibuat untuk menghasilkan dan mengirimkan frame dengan sumber alamat MAC palsu
ke port switch.
• Sebagai frame ini mencapai switch,
ia menambahkan alamat MAC palsu ke meja CAM, mengambil catatan dari port frame
tiba.
• Akhirnya table CAM diisi dengan
alamat MAC palsu.
• Tabel CAM kini tidak memiliki ruang
untuk perangkat legit yang hadir dalam jaringan dan karena itu tidak akan
pernah menemukan alamat MAC mereka dalam tabel CAM.
• Semua frame sekarang diteruskan ke
semua port, yang memungkinkan penyerang untuk mengakses lalu lintas ke host
lain.
MAC Address
Flooding
• Attacker membanjiri CAM table dengan
entri palsu.
MAC Address
Flooding (membanjiri)
• Switch sekarang
berperilaku/mempunyai fungsi seperti
Hub.
DHCP
Spoofing (penipu)
1. DHCP adalah protokol jaringan yang
digunakan untuk menetapkan informasi IP secara otomatis.
2. 2 tipe DHCP attacks are:
• DHCP spoofing (penipu)
• DHCP starvation (kelaparan)
3. Dalam serangan DHCP spoofing,
server DHCP palsu ditempatkan dalam jaringan untuk mengeluarkan alamat DHCP
bagi klien.
4. DHCP starvation sering digunakan
sebelum serangan DHCP spoofing untuk menolak layanan ke server DHCP yang sah.
DHCP
Spoofing
• DHCP Spoof Attack.
1)Sebuah kegiatan penyerang server DHCP
pada segmen jaringan.
2)Klien menyiarkan permintaan untuk informasi
konfigurasi DHCP.
3)Server DHCP nakal merespon sebelum
server DHCP yang sah dapat merespon, menetapkan informasi konfigurasi IP penyerangdidefinisikan.
4)Paket host diarahkan ke alamat
penyerang karena mengemulasi gateway default untuk alamat DHCP yang keliru
diberikan kepada klien.
Memanfaatkan
CDP
• CDP adalah protokol khusus di layer
2 pada perangkat Cisco yang digunakan untuk menemukan perangkat Cisco lain yang
terhubung langsung.
• Protokol ini dirancang untuk
memungkinkan perangkat melakukan auto-configure koneksi mereka.
• Jika penyerang mendengarkan pesan
CDP, maka ia bisa mempelajari informasi penting seperti model perangkat, versi
perangkat lunak yang berjalan.
• Cisco merekomendasikan
menonaktifkan CDP saat tidak digunakan.
Memanfaatkan
Telnet
• Seperti telah disebutkan, bahwa
protokol Telnet tidak aman dan harus diganti dengan SSH.
• Meskipun penyerang dapat
menggunakan Telnet sebagai bagian dari serangan lainnya.
• Dua dari serangan ini adalah Brute
Force Password Attack dan Telnet DOS Attack.
• Ketika password tidak dapat
ditangkap, penyerang mungkin akan mencoba banyak kombinasi karakter. Upaya ini
untuk menebak password ini dikenal sebagai serangan brute force password.
• Telnet dapat digunakan untuk
menguji password yang digunakan oleh sistem.
• Dalam serangan DoS Telnet, attacker
mengeksploitasi kekurangan dalam Telnet software server yang berjalan pada
switch yang membuat layanan Telnet tidak tersedia.
• Ini semacam serangan untuk mencegah
administrator dari jarak jauh mengakses fungsi manajemen switch.
• Hal ini dapat dikombinasikan dengan
serangan langsung lain pada jaringan, sebagai bagian dari upaya terkoordinasi
untuk mencegah administrator jaringan mengakses perangkat inti selama
penyerangan.
• Kerentanan dalam layanan Telnet
memungkinkan serangan DoS terjadi, biasanya dibahas dalam patch keamanan yang
disertakan dalam Cisco IOS revisi baru.
10 Best
Practices
1. Mengembangkan kebijakan keamanan
tertulis bagi
organisasi.
2. Matikan layanan dan port yang tidak
digunakan.
3. Gunakan password yang kuat dan
sering dirubah.
4. Kontrol akses fisik ke perangkat.
5. Gunakan HTTPS bukan HTTP.
6. Melakukan operasi backup secara
teratur.
7. Mendidik karyawan tentang serangan
sosial engineering.
8. Mengenkripsi dan melindungi data
sensitif dengan password.
9. Menerapkan firewall.
10. Lakukan up-to-date software.
Network
Security Tools: Options
• Peralatan Keamanan Jaringan sangat
penting bagi administrator jaringan.
• Alat tersebut memungkinkan
administrator untuk menguji kekuatan dari limplementasi keamanan yang diterapkan.
• Administrator dapat melancarkan
serangan terhadap jaringan dan menganalisis hasilnya.
• Menyesuaikan kebijakan keamanan
untuk mengurangi atau mencegah munculnya jenis-jenis serangan yang lain.
• Audit keamanan dan penetration
testing adalah dua fungsi dasar untuk menilai keamanan jaringan dan perangkat
pengujian implementasi keamanan jaringan.
Network
Security Tools: Audits
• Tools Keamanan Jaringan ini dapat
digunakan untuk mengaudit jaringan.
• Dengan memonitor jaringan,
administrator dapat menilai jenis informasi apa yang penyerang ingin kumpulkan.
• Misalnya, dengan menyerang dan
membanjiri CAM Table switch, administrator akan belajar switchport mana yang rentan
terhadap MAC flooding dan memperbaiki masalah yang timbul.
• Perangkat Keamanan Jaringan juga
dapat digunakan sebagai alat uji penetrasi.
• Penetrasi Testing adalah simulasi
serangan.
• Ini membantu untuk menentukan
seberapa rentan jaringan ketika berada di bawah serangan yang nyata.
• Kelemahan dalam konfigurasi
perangkat jaringan dapat diidentifikasi berdasarkan hasil uji penetration test.
• Perubahan dapat dibuat untuk
membuat perangkat lebih tahan terhadap serangan
• Tes tersebut dapat merusak jaringan
dan harus dilakukan di bawah kondisi yang sangat terkendali
• Sebuah jaringan test bed off-line
yang persis seperti jaringan produksi sebenarnya adalah ideal untuk dijadikan
model pengujian.
Sumber : www.cisco.com
Networking
No comments:
Post a Comment