محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

آموزش مقدماتی راه اندازی Port Security به زبان ساده

چگونه پورت سکیوریتی در سویچ سیسکو راه اندازی کنیم؟ در این مقاله به شما مفهوم Port Security و اینکه چگونه از این قابلیت سویچ های سیسکو در جهت ایمن سازی سویچ ها و محدود سازی دسترسی به پورت های سویچ شبکه خود استفاده کنید صحبت خواهم کرد .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

ابتدا مفاهیم آنرا با هم مرور کرده و سپس به بررسی نحوه انجام تنظیمات آن خواهیم پرداخت . یکی از مشکلاتی که مدیران شبکه بسیار با آن درگیر هستند این است که چگونه میتوانند دسترسی های غیر مجاز به شبکه را کنترل کنند ، در واقع مشکل اصلی اینجاست که نمیدانیم چگونه میتوان برای تجهیزات شبکه تعریف کرد که چه کسی بتواند به آنها متصل شود و چه کسی نتواند متصل شود . در دوره آموزش نتورک پلاس با مفاهیم اولیه پورت ها و مفهوم Port Security آشنا خواهید شد.

برای مثال شما نمی خواهید که هر کسی که وارد سازمان شما شد براحتی با استفاده از لپ تاپ خود و متصل کردن آن به یکی از پورت های سویچ شبکه به شبکه شما متصل شده و به منابع شبکه شما دسترسی پیدا کند . شاید با خود بگویید که تمامی پورت های شبکه ما که بر روی دیوار قرار گرفته اند و کامپیوتری به آنها متصل نیست بصورت فیزیکی به سویچ و شبکه متصل نیستند و دیگر جای نگرانی در این خصوص وجود ندارد ، اما اگر شخص کابل کامپیوتر فعالی که مشغول سرویس دهی در شبکه است را از جای خود در آورده و از آن برای اتصال به سویچ و شبکه استفاده کند چطور ؟

ممکن است با خود بگویید که اینکار عملی نیست ، اما در محیط واقعی حتما به اینگونه موارد برخورد خواهید کرد . در یکی از سازمان هایی که کار میکردم یک فروشنده بود که هر روز برای معرفی محصولات و فروش آنها به سازمان مراجعه میکرد ، این شخص براحتی کابل شبکه یکی از همکاران ما را از جای خود در آورده و به لپ تاپ همراه خود متصل کرده و به اینترنت و شبکه داخلی ما متصل میشد و همینطور در شبکه مشغول گشت و گذار میشد .تصور اینکه کسی بیاید و به این سادگی وارد شبکه شما شده و به آن دسترسی پیدا کند برای من خیلی سخت و همچنین ترسناک بود ، البته برای شما هم باید همینطور باشد .

چیزی که از آن میترسیدم این بود که این کامپیوتر در ساده ترین حالت ممکن میتواند ویروس ها و کرم های خطرناکی را وارد شبکه ما کند . همیشه به خاطر داشته باشید که همه در شبکه شما به دنبال رسیدن به امنیت نیستند و شما هم نمیتوانید امنیت شبه خود را به امید اینگونه افراد بسپارید .خوب برای حل ایم موضوع به سراغ پیاده سازی قابلیت Port Security رفتم و از این راهکار استفاده کردم . بیاید با هم ببینیم که چگونه یک سویچ سیسکو میتواند ما را با استفاده از قابلیت Port Security از بروز مشکلات امنیتی محافظت کند :

پورت سکیوریتی ( Port Security ) چیست؟

در ساده ترین حالت ممکن این قابلیت آدرس سخت افزاری کارت شبکه شما یا همان MAC شما را در حافظه ای مربوط به آن پورت ذخیره میکند و فقط به همین آدرس سخت افزاری اجازه ورود به پورت شبکه را میدهد . اگر آدرس سخت افزاری دیگری بخواهد از طریق همان پورت سویچ به شبکه متصل شود ، سویچ آن را بلوکه کرده و اجازه ورود به سیستم را به آن پورت نخواهد داد ، این میتواند غیرفعال کردن پورت سویچ نیز باشد . در شبکه هایی که سیستم های مانیتورینگ یا پایش شبکه راه اندازی شده اند با استفاده از پروتکل SNMP تنظیماتی انجام شده است که بلافاصله بعد از غیرفعال شدن پورت سویچ به سیستم مانیتورینگ اطلاع رسانی می شود و در لاگ این سیستم ثبت می شود .

امنیت در سیسکو Port Security

همیشه انجام تنظیمات امنیتی بر روی شبکه نیاز به سبک سنگین کردن و بررسی درست پیامد های آن دارد . برخی اوقات پیاده سازی امنیت باعث پایین آمدن سهولت کاربری و سخت کردن فعالیت کاری میشود . وقتی شما از قابلیت Port Security استفاده میکنید ، در حقیقت اتصال هر دستگاهی به شبکه را محدود کرده اید و بر حسب آن امنیت خود و شبکه را بالا برده اید . اما همیشه حالت برعکسی هم وجود دارد ، در این حالت از Port Security فقط مدیر شبکه میتواند پورت غیرفعال شده را فعال یا به اصطلاح unlock کند ، و این خود باعث بوجود آمدن دردسرهای مدیریتی زیادی برای مدیر شبکه خواهد شد .

آموزش راه اندازی Port Security در سیسکو

پیاده سازی و انجام تنظیمات Port Security چندان هم سخت نیست . در ساده ترین حالت ممکن از پیاده سازی Port Security شما کافیست از طریق کنسول سویچ به پورت فعال در سویچ متصل شده و با استفاده از دستور port-security تنظیمات مربوط به آنرا انجام دهید ، به مثل زیر دقت کنید :

Switch)# config t
Switch(config)# int fa0/18
Switch(config-if)# switchport port-security ?
  aging           Port-security aging commands
  mac-address     Secure mac address
  maximum         Max secure addresses
  violation       Security violation mode
Switch(config-if)# switchport port-security
Switch(config-if)#^Z

با وارد کردن اولین و ساده ترین دستور قابلیت Port Security ما قبول کرده ایم که تنظیمات پیشفرض Port Security بر روی پورت مورد نظر اعمال شود ، در این نوع تنظیمات ما فقط به یک آدرس سخت افزاری یا MAC اجازه دسترسی به پورت سویچ را میدهیم و این آدرس ، آدرس سخت افزاری اولین دستگاهی است که به این پورت سویچ متصل می شود و در صورتیکه آدرس MAC دیگری قصد استفاده از شبکه را با استفاده از همین پورت داشته باشد ، پورت مورد نظر خاموش یا یه اصطلاح Shutdown می شود . اما شما مجبور نیستید تنظیمات پیشفرض را در نظر بگیرید و می توانید تنظیمات خود را انجام دهید .

انواع خدمات Port Security

همانطوری که در زیر مشاهده میکنید دستورات متعددی برای قابلیت Port Security وجود دارد که هر کدام دارای تنظیمات خاص خود می باشند ، در ادامه با چند عدد از مهمترین این دستورات آشنا خواهید شد :

switchport port-security maximum {max # of MAC addresses allowed}

شما با استفاده از این دستور میتوانید به سویچ بگویید که تعداد بیشتری آدرس MAC را از پورت سویچ قبول کند و پیشفرض یک آدرس سخت افزاری را در نظر نگیرد . اگر شما یک هاب یا سویچ لایه دو دارید که دارای 12 پورت هست و به این پورت از سویچ متصل شده است می توانید عدد 12 را برای این مقدار MAX در نظر بگیرید و به هر 12 پورت اجازه دسترسی به سویچ را بدهید . اما همیشه به یاد داشته باشید که حداکثر تعداد آدرس های MAC که میتوان برای هر یک از پورت های سویچ در نظر گرفت 132 عدد است .

switchport port-security violation {shutdown | restrict | protect}

این دستور به سویچ میگوید که در صورتیکه تعداد آدرس های MAC این پورت سویچ از حد مجاز خارج شد چه عکس العملی نسبت به پورت مورد نظر انجام دهد . پیشفرض این است که پورت مورد نظر خاموش یا Shutdown شود . اما شما میتوانید با استفاده از گزینه restrict در صورت بروز چنین مشکلی مدیر شبکه را در جریان بگذارید و یا با استفاده از گزینه protect می توانید بگویید که صرفا از آدرس های MAC تعیین شده در سویچ استفاده شود و سایر ترافیک از MAC های اضافی مسدود یا به اصطلاح drop شوند .

switchport port-security mac-address {MAC address}

شما با استفاده از این دستور می توانید بصورت دستی آدرس های سخت افزاری مورد نظرتان را به سویچ معرفی کنید و دیگر از قابلیت سویچ در یافتن اتوماتیک و dynamic آدرس های سخت افزاری خود داری کنید . البته به خاطر داشته باشید که شما می توانید با استفاده از محدوده آدرس های MAC نیز همین محدودیت ها را اعمال کنید به جای اینکه تک تک آدرس های را وارد کنید ، به مثال زیر توجه کنید :

Switch)# config t
Switch(config)# int range fastEthernet 0/1 - 24
Switch(config-if)# switchport port-security

اما در بکار بردن دستور بالا بسیار دقت کنید ، مخصوصا زمانی که این دستورات را بر روی پورت Uplink سویچ وارد میکنید که معمولا به دستگاه های دیگر متصل شده است . در این حالت به محض اینکه درخواستی از سویچ دیگری وارد شود کل پورت shutdown میشود و .... برای راه اندازی اصولی و همچنین مشاهده فیلم های آموزش سیسکو ، می توانید به قسمت دوره های آموزشی وب سایت توسینسو مراجعه کنید.

مشاهده وضعیت Port Security

به محض اینکه تنظیمات مربوط به Port Security را بر روی سویچ انجام دادید ، قابلیت فعال شده و سویچ کلیه آدرس های MAC که به سویچ متصل می شوند را ضبط میکند و بوسیله این آدرسها پورت را ایمن میکند . برای مشاهده وضعیت Port Security بر روی سویچ ها کافیست از دو دستور show port-security و همچنین دستور show port-security interface استفاده کنید . در ادامه یک مثال از مشاهده این تنظیمات را مشاهده خواهید کرد :


Switch# show port-security address
          Secure Mac Address Table
-------------------------------------------------------------------
Vlan    Mac Address       Type                Ports   Remaining Age
                                                         (mins)
----    -----------       ----                -----   -------------
   1    0004.00d5.285d    SecureDynamic       Fa0/18       -
-------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 1024

Switch# show port-security interface fa0/18
Port Security                        : Enabled
Port Status                          : Secure-up
Violation Mode                       : Shutdown
Aging Time                           : 0 mins
Aging Type                           : Absolute
SecureStatic Address Aging           : Disabled
Maximum MAC Addresses                : 1
Total MAC Addresses                  : 1
Configured MAC Addresses             : 0
Sticky MAC Addresses                 : 0
Last Source Address                  : 0004.00d5.285d
Security Violation Count             : 0

Switch#

در این مقاله بیشتر مفهوم و مبانی قابلیت Port Security را برای شما شرح دادیم ، در مقاله بعدی به بررسی دقیقتر و انجام تنظیمات پیشرفته تر این قابلیت خواهیم پرداخت ، امیدوارم مفید بوده باشد .توسینسو باشید

  • پورت سکیوریتی | Port Security چیست؟

    پورت سکیوریتی یک قابلیت امنیتی بر روی سویچ های سیسکو است که این امکان را می دهد که دسترسی به پورت های سویچ فقط از طریق آدرس های MAC تعریف شده در سویچ امکانپذیر باشد و جلوی دسترسی کامپیوترهای غیرمجاز به شبکه را میگیرد
  • آیا راه اندازی پورت سکیوریتی سخت است؟

    پورت سکیوریتی قابلیتی امنیتی است که محدودیت دسترسی ایجاد می کند به همین دلیل دشواری اصلی کار با آن ، تعیین کردن و مشخص کردن آدرس های مجاز و در نظر گرفتن مشکلات بعد از پیاده سازی Port Security است ، راه اندازی این قابلیت چندان دشوار نیست اما در صورت عدم راه اندازی بصورت صحیح ممکن است مشکل ساز شود

محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات