اطلاعیه

بستن
No announcement yet.

آموزش راه اندازی Port Security در سویچ های سیسکو

بستن
این موضوع بسته شده است.
X
X
 
  • فیلتر کردن
  • زمان
  • نمایش
Clear All
پست های جدید

  • آموزش راه اندازی Port Security در سویچ های سیسکو

    یکی از مشکلاتی که مدیران شبکه بسیار با آن درگیر هستند این است که چگونه میتوانند دسترسی های غیر مجاز به شبکه را کنترل کنند ، در واقع مشکل اصلی اینجاست که نمیدانیم چگونه میتوان برای تجهیزات شبکه تعریف کرد که چه کسی بتواند به آنها متصل شود و چه کسی نتواند متصل شود . برای مثال شما نمی خواهید که هر کسی که وارد سازمان شما شد براحتی با استفاده از لپ تاپ خود و متصل کردن آن به یکی از پورت های سویچ شبکه به شبکه شما متصل شده و به منابع شبکه شما دسترسی پیدا کند . شاید با خود بگویید که تمامی پورت های شبکه ما که بر روی دیوار قرار گرفته اند و کامپیوتری به آنها متصل نیست بصورت فیزیکی به سویچ و شبکه متصل نیستند و دیگر جای نگرانی در این خصوص وجود ندارد ، اما اگر شخص کابل کامپیوتر فعالی که مشغول سرویس دهی در شبکه است را از جای خود در آورده و از آن برای اتصال به سویچ و شبکه استفاده کند چطور ؟
    ممکن است با خود بگویید که اینکار عملی نیست ، اما در محیط واقعی حتما به اینگونه موارد برخورد خواهید کرد . در یکی از سازمان هایی که کار میکردم یک فروشنده بود که هر روز برای معرفی محصولات و فروش آنها به سازمان مراجعه میکرد ، این شخص براحتی کابل شبکه یکی از همکاران ما را از جای خود در آورده و به لپ تاپ همراه خود متصل کرده و به اینترنت و شبکه داخلی ما متصل میشد و همینطور در شبکه مشغول گشت و گذار میشد .
    تصور اینکه کسی بیاید و به این سادگی وارد شبکه شما شده و به آن دسترسی پیدا کند برای من خیلی سخت و همچنین ترسناک بود ، البته برای شما هم باید همینطور باشد . چیزی که از آن میترسیدم این بود که این کامپیوتر در ساده ترین حالت ممکن میتواند ویروس ها و کرم های خطرناکی را وارد شبکه ما کند . همیشه به خاطر داشته باشید که همه در شبکه شما به دنبال رسیدن به امنیت نیستند و شما هم نمیتوانید امنیت شبه خود را به امید اینگونه افراد بسپارید .خوب برای حل ایم موضوع به سراغ پیاده سازی قابلیت Port Security رفتم و از این را**ار استفاده کردم . بیاید با هم ببینیم که چگونه یک سویچ سیسکو میتواند ما را با استفاده از قابلیت Port Security از بروز مشکلات امنیتی محافظت کند :
    شناخت مبانی Port Security
    در ساده ترین حالت ممکن این قابلیت آدرس سخت افزاری کارت شبکه شما یا همان MAC شما را در حافظه ای مربوط به آن پورت ذخیره میکند و فقط به همین آدرس سخت افزاری اجازه ورود به پورت شبکه را میدهد . اگر آدرس سخت افزاری دیگری بخواهد از طریق همان پورت سویچ به شبکه متصل شود ، سویچ آن را بلوکه کرده و اجازه ورود به سیستم را به آن پورت نخواهد داد ، این میتواند غیرفعال کردن پورت سویچ نیز باشد . در شبکه هایی که سیستم های مانیتورینگ یا پایش شبکه راه اندازی شده اند با استفاده از پروتکل SNMP تنظیماتی انجام شده است که بلافاصله بعد از غیرفعال شدن پورت سویچ به سیستم مانیتورینگ اطلاع رسانی می شود و در لاگ این سیستم ثبت می شود .

    امنیت در سیسکو Port Security
    همیشه انجام تنظیمات امنیتی بر روی شبکه نیاز به سبک سنگین کردن و بررسی درست پیامد های آن دارد . برخی اوقات پیاده سازی امنیت باعث پایین آمدن سهولت کاربری و سخت کردن فعالیت کاری میشود . وقتی شما از قابلیت Port Security استفاده میکنید ، در حقیقت اتصال هر دستگاهی به شبکه را محدود کرده اید و بر حسب آن امنیت خود و شبکه را بالا برده اید . اما همیشه حالت برعکسی هم وجود دارد ، در این حالت از Port Security فقط مدیر شبکه میتواند پورت غیرفعال شده را فعال یا به اصطلاح unlock کند ، و این خود باعث بوجود آمدن دردسرهای مدیریتی زیادی برای مدیر شبکه خواهد شد .

    بر روی سوییچ ها دو نوع Port داریم:
    - ACCESS : پورت های بین Switch و User انتهایی
    - TRUNK : پورت های بین سوییچ ها

    نکته مهم این میباشد که port security فقط Access Port ها پیاده سازی میشود
    برای راه اندازی Port Security بر روی پورت مورد نظر،سوییچ را با دستور زیر به حالت Access میبریم:

    (config)#interface fastethernet 0/1
    (config-if)#switchport mode access

    فعال کردن Port Security روی پورت مورد نظر:
    (config-if)#switchport port-security

    معرفی کردن Mac Address های مجاز:
    یک کلاس درس را تصور کنید که دارای یک switch میباشد و همچنین تعداد client ها نیز،10 عدد میباشد.
    میخواهیم فقط کامپیوترهای کلاس یه سوییچ وصل شوند و نمیخواهیم کسی از بیرون به شبکه ی ما دسترسی داشته باشند.
    فزض کنید به ترتیب پورت های 1 تا 10 به کامپیوترهای کلاس وصل میباشد.بنابراین باید وارد هرکدام از پورت ها شویم و Mac Address کامپیوتر متصل شده به آن پورت را،به صورت دستی تعریف کنیم در Port Security.

    • Configure allowed mac addresses :

    config-if)#switchport port-security mac-address H.H.H (e23f.23e2.ef2e) 1st mac
    config-if)#switchport port-security mac-address H.H.H (e23f.23e2.ef3e)2nd mac
    config-if)#switchport port-security mac-address H.H.H (e23f.23e2.ef24) 3rd mac

    در حال حاضر کلیه ی کامپیوترهای کلاس مجازند و کامپیوتر متخلف نداریم.غیر از این Mac add ها هر کسی به سوییچ وصل بشه تخلف رخ داده!
    config-if)#switchport port-security mac-address sticky
    (Max=1 by default)
    • Configure maximum MAC addresses (Max=1 by default) :
    config-if)#switchport port-security maximum 2

    تعداد ماکزیمم Mac Address هایی که میتواند بر روی یک پورت Learn شود از طریق دستور بالا میباشد.
    از آنجایی که Confige کردن کلیه ی Port ها،کار مشکل و وقت گیری میباشد،یک Range از interface ها را انتخاب میکنیم و Confige مربوطه را به کلیه Interface ها اعمال میکنیم
    Interface range configuration :
    config)#interface range fastethernet 0/1-8 , fastethernet 0/24

    Violation :

    وقتی بر روی یکی از پورت ها تخلفی صورت بگیرد،به صورت defult،پورت مورد نظر Shutdown میگردد.از طریق Violation میتوانیم یکی از item های زیر را انتخاب کنیم و Defult قرار دهیم

    Shutdown Disable port(yes) Discard packets(yes) Send Log(yes)
    Restrict Disable port(No) Discard packets(yes) Send Log(yes)
    Protect Disable port(No) Discard packets(yes) Send Log(No)

    config-if)#switchport port-security violation {restrict|protect|shutdown}

    Note : "Shutdown" and "no shutdown" command is needed for error disabled ports.


    برای دانستن وضعیت Port Security می‌توان از دستورات show port-security address وshow port-security interface استفاده کرد.
در حال انجام ...
X