آشنايي با Switch port security

در این بخش می‌توانید در رابطه با امنيت و کلیه مباحث مربوط به آن بحث و تبادل نظر نمایید

مدیران انجمن: SHAHRAM, شوراي نظارت

ارسال پست
Captain
Captain
DANG3R
پست: 3820
تاریخ عضویت: چهارشنبه ۱۲ مهر ۱۳۸۵, ۲:۳۰ ب.ظ
محل اقامت: هر جا اینترنت هست... Net.
سپاس‌های ارسالی: 1 بار
سپاس‌های دریافتی: 164 بار
تماس:
تماس DANG3R

آشنايي با Switch port security

پست توسط DANG3R »

 آشنايي با Switch port security 



پرشین هک از مشورت

يكي از مسائل در حال رشد كه امروزه مديران شبكه با آن برخورد مي‌كنند نحوه كنترل دسترسي افراد به شبكه داخلي سازمانشان مي‌باشد. به عنوان مثال آيا هر شخصي مي‌تواند وارد سازمان شده، laptop خود را به پريز شبكه متصل كرده و به شبكه داخلي دسترسي داشته باشد؟ ممكن است جواب شما به اين پرسش اين باشد كه هر پريز شبكه روي ديوار به سوئيچ متصل نيست. ولي اگر شخصي كابل اترنت را از PC در حال كاري جدا كند و به شبكه متصل شود چطور؟ شايد اين سناريو غير ممكن به نظر بيايد ولي اين اتفاق بارها در سازمان‌هاي مختلف پيش آمده است. مسئله‌اي كه بيش از هرچيز در اين مورد نگران كننده است ويروس‌ها و wormهاي مختلفي است كه PC شخص غير مجاز متصل شده به شبكه ممكن است داشته باشد. Switchport security براي حل اين مشكل به شما كمك مي‌كند. در ادامه به بررسي ويژگي‌هاي Cisco''s Port Security خواهيم پرداخت.



مفاهيم اوليه

در ساده‌ترين حالت Port Security آدرس MAC متصل به پورت سوئيچ را به خاطر مي‌سپارد وفقط به همان آدرس MAC اجازه برقراري ارتباط با پورت سوئيچ را مي‌دهد. اگر آدرس MAC ديگري بخواهد از طريق همان پورت به شبكه متصل شود، پورت مذكورغيرفعال مي‌شود. اكثر اوقات مديران شبكه سوئيچ را طوري تنظيم مي‌كنند كه يك SNMP trap به سيستم مانيتورينگ مبني بر غير فعال شدن يك پورت به دلايل امنيتي فرستاده شود.

اگر چه پياده‌سازي راه‌حل هاي امنيتي هميشه شامل يك trade-off مي‌باشد و لي اين كاهش سهولت در مقابل افزايش امنيت سيستم مي‌باشد. وقتي شما از Port Security استفاده مي‌كنيد مي‌توانيد از دسترسي دستگاه‌هاي مختلف به شبكه جلوگيري كنيد و اين امر موجب افزايش امنيت مي‌شود. ولي از طرف ديگر فقط مدير شبكه است كه مي‌تواند پورت را فعال كند و اين امر در جايي كه به دلايل مجاز قرار به تغييردستگاه‌ها ‌باشد ايجاد مشكل مي‌كند.



تنظيم Port Security



تنظيمات Port Security نسبتا ً ساده مي‌باشد. در آسان‌ترين حالت كافي‌است دستورات زير اعمال شود:
[align=left]
Switch# config t

Switch(config)# int fa0/18

?Switch(config-if)# switchport port-security

aging Port-security aging commands

mac-address Secure mac address

maximum Max secure addresses

violation Security violation mode

Switch(config-if)# switchport port-security

Switch(config-if)#^ 

با وارد كردن ابتدايي‌ترين دستور، تنظيمات پيش فرض كه اجازه دسترسي فقط به يك آدرس MAC (آدرس دستگاهي كه اولين بار به پورت سوئيچ وصل شده است.)مي‌باشد، اعمال مي‌گردد. و در صورتي كه دستگاه ديگري بخواهد با آن پورت ارتباط برقرار كند، پورت سوئيچ خاموش مي‌شود. ولي قطعا ً تنظيمات پيش فرض مد نظر شما نمي‌باشد.



شناخت ساير امكانات



همانطور كه در مثال بالا مشاهده كرديد، دستورات Port Security ديگري وجود دارند كه قابل تنظيم مي‌باشند از جمله:

* switchport port-security maximum {max # of MAC addresses allowed} : با استفاده از اين دستور مي‌توان تعداد پيش فرض آدرس‌هاي MAC كه يك عدد مي‌باشد راتغيير داد. به عنوان مثال اگر به پورت سوئيچ شما يك هاب 12 پورتي متصل باشد، 12 آدرس MAC كه هر كدام مربوط به يك دستگاه مي‌باشد بايد اجازه دسترسي داشته باشند. بيشترين تعداد آدرس MAC كه قابل تنظيم است، 132 مي‌باشد.

* switchport port-security violation {shutdown | restrict | protect} : اين دستور به سوئيچ مي ‌گويد در صورتي كه تعداد بيشتري دستگاه از ماكزيمم تعداد آدرس MAC مجاز به پورت متصل شود، پورت وارد چه حالتي شود. حالت پيش فرض shutdown مي‌باشد. درحالت restrict به مدير شبكه هشدار داده مي‌شود و در حالت protect بسته‌هايي كه از طرف آدرس غير مجاز ارسال مي‌شود دور ريخته مي‌شوند.

* switchport port-security mac-address {MAC address} : با استفاده از اين دستور مي‌توان آدرس MAC مجاز براي هر پورت را به صورت دستي براي آن تنظيم كرد. (به جاي اينكه هر پورت آدرس را به صورت پويا شناسايي كند.) همچنين مي‌توان Port Security را براي يك رنج از پورت‌ها تعريف كرد. به عنوان مثال:

Switch # config t

Switch (config) # int range fastEthernet 0/1 - 24

Switch (config-if) # switchport port-security

در مورد كاربرد اين دستور مي‌بايست بسيار محتاط بود چرا كه اگر اين دستور براي يك پورت uplink كه به بيش از يك دستگاه وصل است، استفاده شود به محض اينكه دستگاه دوم بسته‌اي را بفرستد، پورت خاموش مي‌شود.



مشاهده وضعيت Port Security



براي دانستن وضعيت Port Security مي‌توان از دستورات show port-security address وshow port-security interface استفاده كرد:

[align=left]Switch# show port-security address

Secure Mac Address Table

---------------------------------------------------------------------------------

Vlan Mac Address Type Ports Remaining Age

(mins)

---- ----------- ---- ----- -------------

1 0004.00d5.285d SecureDynamic Fa0/18 -

--------------------------------------------------------------------------------

Total Addresses in System (excluding one mac per port) : 0

Max Addresses limit in System (excluding one mac per port) : 1024



Switch# show port-security interface fa0/18

Port Security : Enabled

Port Status : Secure-up

Violation Mode : Shutdown

Aging Time : 0 mins

Aging Type : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses : 1

Total MAC Addresses : 1

Configured MAC Addresses : 0

Sticky MAC Addresses : 0

Last Source Address : 0004.00d5.285d

Security Violation Count : 0



Switch# 

موفق باشید
بالا
ارسال پست

بازگشت به “امنيت”