Nel seguente articolo si analizzeranno i concetti basilari relativamente l’apparato di rete implementato principalmente nelle porzioni di Rete Access e Distribution , facente parte del Boarder Less Network: lo Switch.
Da un punto di vista della circuiteria, lo Switch carica all’interno del suo BIOS un Software che contiene rispettivamente:
– POTS (Power On Self Test) della relativa ROM
–Bootloader per l’esecuzione delle principali funzioni
– Immagine del sistema operativo (IOS image) il quale inizializza il File System della Memoria Flash
Nel caso la procedura di Bootstrap fallisse, si possono utilizzare comandi CLI per passare eventualmente alla Modalità di Rispristino (Recovery Mode). Per fare ciò bisogna attivare una sessione locale con il Cavo Seriale connesso al PC verso l’apparato. In particolare sulla parte frontale dello Switch è presente un tasto denominato Mode che ha la funzione di modificare la visualizzazione dei LED in quanto già dalla visualizzazione dei LED si può fare una prima analisi riguardo lo stato dello Switch stesso:
– Spento (no link)
–Lampeggiante
* Verde (trasmissione dati)
* Ambra (problema di connessione sul link, per esempio possibile LOOP)
* Verde/ Ambra (problema su Link)
Gli Switch lavorano a livello 2 considerando la Pila Protocollare ISO/OSI. Perciò non è possibile eseguire configurazioni L3. C’è un modo, però, di configurare lo Switch in modalità L3 e questo è possibile con la configurazione del cosiddetto Switch Virtual Interface (SVI): quest’interfaccia serve principalmente per la gestione remota. Vediamo allora qualche comando CLI per configurare qualche interfaccia (ad esempio VLAN1)
/*Creazione VLAN*/
# vlan
# name VLAN1 (nome che si desidera)
#exit
/*Assegnazione porta a VLAN*/
#interface
#switchport access vlan [vlan_id]
#exit
/*Assegnazione indirizzo IP a VLAN*/
#interface VLAN [vlan_id]
#ip address [indirizzo ip][subnet mask]
#no shutdown
#exit
/*Definizione di un Deafult Gateway*/
#ip default-gateway [defgw_ip]
#end
Vediamo invece altri semplici comandi per definire la velocità di porte negli Switch e le relative modalità di comunicazione (i duplex):
Da notare bene che generalmente le fibre ottiche in 100 BASE-FX lavorano sempre in modalità full duplex. Chiaramente per quanto riguarda la fibra ottica, non ci sono collisioni di segnale. Una connessione Ethernet, invece, ha una coppia rx/tx. Quindi quando si presenta la modalità Half Duplex si perde efficienza rispetto alla modalità Full Duplex.
Passiamo ora a comprendere il significato di Medium Dipendent Interface CrossOver (o meglio detto AUTO-MDIX) che permette di capire se il cavo è dritto oppure incrociato. Questa funzionalità è presente anche negli Switch.
Il comando Show Interfaces definisce lo stato interfaccia e protocollo
Vediamo ora delle statistiche di errori nelle interfacce.
Per quanto riguarda il traffico d’ingresso, ci possono essere errori dovuti a :
– RUNT Frames, ossia trame più corte del “minimo sindacale” (64 bytes). Se il contenuto minore di questo minimo, allora la trama viene riempita con una successione di 0.
– GIANTS Frames, ossia trame troppo grande con una conseguente comparsa di un errore.
– CRC errors, ossia trame troppo grande con una conseguente comparsa di un errore.
Per quanto riguarda, invece, il traffico in uscita ci possono essere delle collisioni:
– STANDARD collision, sia in modalità Half Duplex e Full Duplex
– LATE collision, dove si ha la comparsa di collisioni dopo i primi 64 bytes, dovute al fatto che da qualche parte si ha un cavo troppo lungo. Si ricorda che la LATE collision non può essere gestita generalmente dall’apparato Switch.
Un accenno importante riguardo dei principali meccanismi di attacco, MAC floofing attack e DHCP attack. Il primo fenomeno consiste nel riempimento della cosiddetta MAC Table con una conseguente congestione e quindi blocco degli instradamenti. Per mitigare il pericolo, bisogna definire una port security nella configurazione. Il secondo fenomeno, invece, si vanno ad impegnare un consistente numero d’indirizzi IP ricavati dal POOL: è come se fosse stato eseguito un DOS (Deny Of Service). Per mitigare questo attacco, si può cercare la vulnerabilità e questo si chiama penetration testing dove la maggioranza dei test sono eseguiti direttamente in sistema operativo LINUX.
E’ bene, a questo punto, capire come funziona la port security. Quali sono le fasi per la sua attivazione?
– Mettere in Shutdown le porte non utilizzate
– Selezionare quali porte devono rispondere al DHCP Request, IP DHCP Snooping, IP DHCP Snooping VLAN
– Selezionare il resto delle porte, invece, in modalità TRUST
Ora, in base al restringimento del MAC Address che possono comunicare sulla porta, che tipo di sicurezza si può avere?
– Dynamic Secure, dove la MAC Table viene aggiornata dinamicamente in quanto gli Switch apprendono in maniera dinamica ed automatica i MAC address
– Sticky Secure, dove in questo caso la MAC address viene scritta nella cosiddetta running configuration all’interno della Security Table.
Nel caso in cui invece la violazione venga oltrepassata e che sia in atto una violazione, lo Switch si porta nella modalità Violation Mode con differenti livelli:
– Protect, dove il traffico viene “droppato” se attaccato da un non autorizzato MAC. Non ci sono, però, notifiche del SYSLOG
– Restrict, dove viene droppato solo il traffico per i MAC non presenti nella MAC Table. In questo caso, però, vengono notificate le violazioni su SYSLOG
– Shutdown, stato di Default, in cui la porta viene spenta quando arriva un accesso da terminale MAC non autorizzato. Viene segnalato anche nel SYSLOG la violazione. In questo caso l’unico problema è che per riattivare la porta dev’essere necessario collegarsi da locale e riattivare la porta stessa.
Ora vediamo quali sono i comandi per la configurazione del Port Security:
/*attivo port security e lo pongo in modalità access*/
#Switchport mode access
/* ho un solo MAC Address permesso mentre un tipo di violazione Shutdown*/
#Switchport security
Per modificare la seguente violazione ed il numero di MAC Address consentiti (in relazione al Port Security), possiamo definire le seguenti istruzioni:
#Switchport port-security maximum (valore)
Con questa istruzione, invece, modifichiamo semplicemente le violazioni
#Switchport port-security violation [protect | restrict | shutdown]
Ora si può aggiungere una restrizione del MAC Address ad una porta secondo il tipo di sicurezza che possiamo avere e che è stata definita in precedenza (Dynamic, Sticky, Statico)
#Switchport port-security mac-address [indirizzo MAC]
#Switchport port-security mac-address Sticky [indirizzo MAC]
In conclusione, con questi indirizzi ho impostato degli limiti alle mie porte. Con il comando, invece, show port-security posso interrogare le caratteristiche dell’interfaccia che si prende in considerazione.
Nel prossimo articolo verranno presentati i concetti di VLAN all’interno di un apparato di Switching.