RS InstructorPPT Chapter2

7/17/2019 RS InstructorPPT Chapter2

http://slidepdf.com/reader/full/rs-instructorppt-chapter2-568e93fb04bcd 1/55

Presentation_ID 1© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial

Capt!lo 2" Introd!#$o

%s redes com!tadas

Roteamento e Switching




Capítulo 2

2.0 Introd!#$o

2.1 Confi&!ra#$o '(sica de S)itc*

2.2 Se&!ran#a de s)itc*" +erenciamento e

implementa#$o



Presentation_ID © 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial

Capítulo 2: Objetivos

-plicar as vanta&ens e desvanta&ens do roteamento est(tico Confi&!rar defini#/es iniciais em !m s)itc* Cisco

Confi&!rar as portas de s)itc* para atender aos re!isitos de rede

Confi&!rar a interface virt!al do s)itc* de &erenciamento

Descrever ata!es % se&!ran#a (sicos em !m amiente com!tado

Descrever as pr(ticas recomendadas de se&!ran#a em !mamiente com!tado

Confi&!rar o rec!rso de se&!ran#a da porta para restrin&ir o acesso

% rede




Configuração Bsica !e Switch

Se"u#ncia !e iniciali$ação !e switch

1. PST

2. -ec!tar o soft)are carre&ador de iniciali3a#$o

. carre&ador de iniciali3a#$o eec!ta a iniciali3a#$o

de CP de aio nvel

4. carre&ador de iniciali3a#$o iniciali3a o sistema dear!ivos flas*

5. carre&ador de iniciali3a#$o locali3a e carre&a !maima&em de soft)are de sistema operacional ISpadr$o na mem6ria e ass!me o controle do s)itc* noIS.





Se"u#ncia !e iniciali$ação !e switch

Para locali3ar !ma ima&em do IS apropriada, o s)itc* passa pelasse&!intes etapas"

1. Tenta iniciali3ar a!tomaticamente !sando as informa#/es navari(vel de amiente 'T

2. Se essa vari(vel n$o estiver definida, o s)itc* reali3a !mapes!isa de cima para aio pelo sistema de ar!ivos flas*.Carre&ar( e eec!tar( o primeiro ar!ivo eec!t(vel, sepossvel.

. sistema operacional IS ent$o iniciali3a as interfaces !sando

os comandos do IS Cisco encontrados no ar!ivo deconfi&!ra#$o, a confi&!ra#$o de iniciali3a#$o, arma3enado na789:;.

Observação: o comando boot s%stem pode ser !sado para definira vari(vel de amiente 'T.



Presentation_ID <© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial

Configuração bsica !o switch

Recuperan!o&se !e uma falha !o sistema

carre&ador de iniciali3a#$o tam=m pode ser !sadopara &erenciar o s)itc* se o IS n$o p!der sercarre&ado.

carre&ador de iniciali3a#$o poder( ser acessado por

meio de !ma cone$o de console da se&!inte forma"1. Conecte !m PC por cao de console % porta do console do

s)itc*. Desconecte o cao de alimenta#$o do s)itc*.

2. 9econecte o cao de alimenta#$o ao s)itc* e pressione ese&!re o ot$o 'o!e.

. >-D do sistema m!da rapidamente para a cor ?mar edepois para verde s6lido. Solte o ot$o 'o!e.

carre&ador de iniciali3a#$o switch:prompt apareceno soft)are de em!la#$o de terminal no PC.


http://slidepdf.com/reader/full/rs-instructorppt-chapter2-568e93fb04bcd 7/55Presentation_ID @© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial


(n!ica!ores !e )*+ !o switch

Cada porta nos s)itc*es Cisco Catalyst tem l!3esindicadoras de >-D de stat!s.

Por padr$o, essas l!3es de >-D refletem a atividade daporta, mas tam=m podem fornecer o!tras informa#/es

sore o s)itc* atrav=s do ot$o 'o!o s se&!intes modos est$o disponveis nos s)itc*es

Cisco Catalyst 2A<0">-D de Sistema

>-D 9PS Bsistema de alimenta#$o red!ndante

>-D de Stat!s das Portas

>-D D!ple de Porta

>-D de 8elocidade da Porta

>-D do modo Po)er ver -t*ernet BPo-


http://slidepdf.com/reader/full/rs-instructorppt-chapter2-568e93fb04bcd 8/55Presentation_ID © 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial


(n!ica!ores !e )*+ !o switch

;odos do s)itc* Cisco Catalyst 2A<0


http://slidepdf.com/reader/full/rs-instructorppt-chapter2-568e93fb04bcd 9/55Presentation_ID A© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial


,reparar&se para o gerenciamento !e

switch bsico Para &erenciar remotamente !m s)itc* Cisco, ele deve ser

confi&!rado para acessar a rede

m endere#o IP e !ma m(scara de s!Erede devem serconfi&!rados

Se vocF estiver &erenciando o s)itc* de !ma rede remota, !m&ate)ay padr$o tam=m dever( ser confi&!rado

:s informa#/es de IP Bendere#o, m(scara de s!Erede, &ate)aydevem ser atri!das a !ma S8I Binterface virt!al de s)itc* do

s)itc* -mora essas confi&!ra#/es IP permitam o &erenciamento

remoto e o acesso remoto ao s)itc*, elas n$o permitem !e os)itc* roteie pacotes da camada .


http://slidepdf.com/reader/full/rs-instructorppt-chapter2-568e93fb04bcd 10/55Presentation_ID 10© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial


,reparar&se para o gerenciamento !e

switch bsico



Configurar portas !e switch

Comunicação !uple-




Configurar portas !e switch na cama!a física




Recurso !e '+(. automtico

Certos tipos de cao Bdireto o! cr!3ado eramnecess(rios para conectar dispositivos

rec!rso cr!3ado de interface dependente do meioa!tom(tico B;DIG a!tom(tico elimina esse prolema

H!ando o ;DIG a!tom(tico est( ativado, a interfacea!tomaticamente detecta e confi&!ra a cone$oade!adamente

H!ando o ;DIG a!tom(tico = !sado em !ma interface,

a velocidade da interface e o d!ple devem serdefinidos como automtico










http://slidepdf.com/reader/full/rs-instructorppt-chapter2-568e93fb04bcd 16/55Presentation_ID 1<© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial


/erifican!o a configuração !e porta !e

switch


http://slidepdf.com/reader/full/rs-instructorppt-chapter2-568e93fb04bcd 17/55Presentation_ID 1@© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial


,roblemas !a cama!a !e acesso 0 re!e






http://slidepdf.com/reader/full/rs-instructorppt-chapter2-568e93fb04bcd 19/55Presentation_ID 1A© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial



Identificando esol!cionando prolemas de meio do s)itc* Bcone$o





Identificando e sol!cionando prolemas relacionados % interface



1cesso remoto seguro

Operação !e SS

Sec!re S*ell BSS = !m protocolo !e fornece !ma cone$oaseada em lin*a de comando Bcripto&rafada se&!ra para !mcone$o aseada em !m dispositivo remoto

SS = com!mente !sado em sistemas aseados em 7IG

IS Cisco tam=m s!porta SS

ma vers$o do soft)are IS !e incl!i rec!rsos e capacidadescripto&r(ficos = necess(rio para ativar o SS nos s)itc*es Catalyst2A<0

+ra#as aos se!s rec!rsos de cripto&rafia forte, o SS deve

s!stit!ir o Telnet para cone/es de &erenciamento. SS por !sa a porta 22 por padr$o. Telnet !sa a porta TCP 2




Operação !e SS




Configuran!o o SS




/erifican!o o SS




,reocupaç3es com segurança na inun!ação !e

en!ereços '1C !e )14s

s s)itc*es preenc*em a!tomaticamente s!as taelasC:; oservando o tr(fe&o !e entra em s!as portas

s s)itc*es encamin*ar$o o tr(fe&o por meio de todasas portas se n$o conse&!irem encontrar o ;:C de

destino em s!a taela C:; 7essas circ!nst?ncias, o s)itc* at!a como !m *!.

tr(fe&o !nicast pode ser visto por todos os dispositivosconectados ao s)itc*

m invasor pode eplorar esse comportamento paraoter acesso ao tr(fe&o normalmente controlado pelos)itc* !sando !m PC para eec!tar !ma ferramentade in!nda#$o de ;:C.



Presentation_ID 2<© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial



-ssa ferramenta = !m pro&rama criado para &erar e enviar!adros com endere#os ;:C de ori&em falsos % porta dos)itc*

J medida !e esses !adros acessam o s)itc*, eleadiciona o endere#o ;:C falso % s!a taela C:;, anotando

a porta em !e os !adros c*e&aram Depois, a taela C:; = preenc*ida com endere#os ;:C

falsos

:&ora, a taela C:; n$o tem espa#o para os dispositivos

le&timos presentes na rede e, portanto, n!nca encontrar$oos endere#os ;:C na taela C:;.

Todos os !adros s$o enviados a&ora para todas as portas,permitindo !e o invasor acesse o tr(fe&o para o!tros *osts



Presentation_ID 2@© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial



Invasor in!ndando a taela C:; com as entradas falsas






:&ora o s)itc* se comporta como !m *!



Presentation_ID 2A© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial

,reocupaç3es com segurança em )14s

5alsificação !e +C,

DCP = !m protocolo de rede !sado para atri!ira!tomaticamente informa#/es IP

( dois tipos de ata!es DCP"

K DCP Spoofin&K DCP starvation

7os ata!es de spoofin& do DCP, !m servidor DCPfalso = colocado na rede para emitir endere#os DCP

aos clientes. es&otamento do DCP = !sado &eralmente antes de

!m ata!e de spoofin& do DCP para ne&ar o servi#oao servidor DCP le&timo





5alsificação !e +C,

:ta!e de spoofin& do DCP





1proveitan!o o C+,

CDP = !m protocolo propriet(rio Cisco da camada 2!sado para descorir o!tros dispositivos Ciscodiretamente conectados

Loi proMetado para permitir !e os dispositivos

confi&!rem a!tomaticamente s!as cone/es Se !m invasor estiver o!vindo mensa&ens de CDP, ele

poder( aprender informa#/es importantes, como omodelo do dispositivo e a vers$o do soft)are emeec!#$o

: Cisco recomendar desativar o CDP !ando ele n$oestiver em !so





1proveitar o 6elnet

Como mencionado, o protocolo Telnet n$o = confi(vel edeve ser s!stit!do pelo SS.

7o entanto, !m invasor pode !sar o Telnet como partede o!tros ata!es

Dois desses ata!es s$o :ta!e de sen*a de for#ar!ta e :ta!e de Telnet DoS

H!ando as sen*as n$o p!derem ser capt!radas, osinvasores tentar$o tantas comina#/es de caracteres

!anto possvel. -ssa tentativa de adivin*ar a sen*a =con*ecida como ata!e de sen*a de for#a r!ta.

Telnet pode ser !sado para testar a sen*aps!mari3ada no sistema.





1proveitar o 6elnet

-m !m ata!e de Telnet DoS, o invasor eplora !mafal*a no soft)are do servidor Telnet em eec!#$o nos)itc* !e torna o servi#o Telnet indisponvel.

-sse tipo de ata!e impede !m administrador de acessarremotamente as f!n#/es de &erenciamento do s)itc*.

-le pode ser cominado com o!tros ata!es diretos narede como parte de !ma tentativa coordenada de impediro administrador de rede de acessar os dispositivosprincipais d!rante a viola#$o.

:s v!lnerailidades no servi#o Telnet !e permitem aocorrFncia de ata!es DoS s$o aordadas nos patc*esde se&!ran#a !e est$o incl!dos nas revis/es maisrecentes do IS Cisco.




,rticas Recomen!a!as !e Segurança

78 ,rticas Recomen!a!as

Desenvolva !ma poltica de se&!ran#a por escrito para aor&ani3a#$o

Lec*e servi#os e portas n$o !sados

se sen*as fortes e m!deEas fre!entemente

Controle o acesso fsico aos dispositivos se TTPS, em ve3 de TTP

-ec!te opera#/es de acN!p re&!larmente.

Informe os f!ncion(rios sore ata!es de en&en*aria social

Cripto&rafe e proteMa dados confidenciais som !ma sen*a

Implemente fire)alls.

;anten*a o soft)are at!ali3ado





5erramentas !e Segurança !e Re!e:

Opç3es :s ferramentas de se&!ran#a de rede s$o m!ito importantes

para os administradores de rede

-ssas ferramentas permitem !e !m administrador teste a

for#a das medidas de se&!ran#a implementadas m administrador pode iniciar !m ata!e contra a rede e

analisar os res!ltados

Tam=m = Otil para determinar como aM!star as polticas dese&!ran#a para aten!ar esses tipos de ata!es

: a!ditoria se&!ran#a e o teste de penetra#$o s$o d!asf!n#/es (sicas !e as ferramentas de se&!ran#a de redeeec!tam



Presentation_ID <© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial



1u!itorias :s Lerramentas de Se&!ran#a de 9ede podem ser

!tili3adas para a!ditar a rede

:o monitorar !ma rede, !m administrador pode avaliar

!e tipo de informa#/es !m invasor pode coletar Por eemplo, ao atacar e in!ndar a taela C:; de !m

s)itc*, !m administrador identificaria !e portas des)itc*es est$o v!lner(veis % in!nda#$o de endere#os

;:C e poderia corri&ir esse prolema :s ferramentas de se&!ran#a de rede tam=m podem

ser !sadas como ferramentas de teste de penetra#$o



Presentation_ID @© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial



1u!itorias teste de penetra#$o = !m ata!e sim!lado

-le aM!da a determinar o !$o v!lner(vel a rede fica !andoest( sofrendo !m ata!e real.

s pontos fracos na confi&!ra#$o de dispositivos de redepodem ser identificados com ase nos res!ltados do testede penetra#$o

:s altera#/es podem ser feitas para tornar os dispositivosmais resistentes a ata!es

-sses testes podem danificar a rede e devem sereec!tados so condi#/es astante controladas

ma rede offEline de teste !e imite a rede de prod!#$o real= o ideal.




Segurança !e porta !e switch

,ortas não usa!as seguras

:s portas n$o !sadas se&!ras constit!em !ma diretri3simples, por=m eficiente de se&!ran#a



Presentation_ID A© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial


+C, Snooping

DCP Snoopin& especifica !ais portas de s)itc*podem responder %s solicita#/es DCP




Segurança !e porta !o switch

Segurança !e porta: Operação

: se&!ran#a de porta limita o nOmero de endere#os ;:Cv(lidos permitidos em !ma porta

s endere#os ;:C de dispositivos le&timos podemacessar, en!anto o!tros endere#os ;:C s$o rec!sados

Todas as tentativas adicionais de cone$o com endere#os;:C descon*ecidos v$o &erar !ma viola#$o de se&!ran#a

-ndere#os ;:C se&!ros podem ser confi&!rados de v(riasmaneiras"

K endere#os ;:C se&!ros est(ticos

K endere#os ;:C se&!ros din?micosK endere#os ;:C se&!ros sticNy





Segurança !e porta: 'o!os !e violação

IS ver( !ma viola#$o de se&!ran#a !ando !al!er!ma destas sit!a#/es ocorre"K nOmero m(imo de endere#os ;:C se&!ros para essa

interface foi adicionado % taela C:; e !ma esta#$o c!Moendere#o ;:C n$o est( na taela de endere#os tenta

acessar a interface.K m endere#o aprendido o! confi&!rado em !ma interface

se&!ra = visto em o!tra interface se&!ra na mesma 8>:7.

( trFs a a#/es possveis !ando !ma viola#$o =detectada"

K Prote&er

K 9estrito

K s*!tdo)n





Segurança !e porta: Configurar

Padr/es de se&!ran#a de porta din?mica






Confi&!rando a se&!ran#a de porta din?mica






Confi&!rando se&!ran#a de porta sticNy





Segurança !e porta: verificar

8erificando a se&!ran#a de porta sticNy



Presentation_ID 4<© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial



8erificando a se&!ran#a de porta sticNy eec!tando aconfi&!ra#$o



Presentation_ID 4@© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial



8erificando endere#os ;:C prote&idos de se&!ran#ade porta





,ortas 4o esta!o !e erro !esativa!o

ma viola#$o da se&!ran#a de portas pode colocar !ms)itc* no estado de erro desativado

ma porta no estado de erro desativada = realmentedesativada

s)itc* com!nicar( esses eventos por meio de mensa&ensde console



Presentation_ID 4A© 2014 Cisco Systems, Inc. Todos os direitos reservados. Cisco Confidencial



comando s*o) interface tam=m revela !ma portado s)itc* no estado de erro desativado






m comando de interface s*!tdo)nQno s*!tdo)nprecisa ser emitido para reativar a porta





4etwor9 6ime ,rotocol 46,;

7TP = !m protocolo !sado para sincroni3ar osrel6&ios de redes de dados de sistemas

7TP pode oter o *or(rio correto de !ma fonteinterna o! eterna de tempo

:s fontes de tempo podem ser"K ;aster ClocN local

K ;aster ClocN na Internet

K +PS o! rel6&io atRmico

m dispositivo de rede pode ser confi&!rado como !mservidor 7TP o! !m cliente 7TP

Cons!lte as anota#/es de slides para oter maisinforma#/es sore o 7TP






Confi&!ra#$o do 7TP






8erificando 7TP




Capítulo 2: Resumo

-ste capt!lo aordo!" Se!Fncia de iniciali3a#$o do s)itc* de >:7 da Cisco

;odos do >-D do s)itc* de >:7 da Cisco

Como acessar e &erenciar remotamente !m s)itc* de>:7 da Cisco por meio de !ma cone$o se&!ra

;odos d!ple de porta do s)itc* de >:7 da Cisco

Se&!ran#a de porta do s)itc* de >:7 da Cisco, modos

de viola#$o e a#/es Pr(ticas 9ecomendadas para 9edes Com!tadas



Documents

RS InstructorPPT Chapter2