در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش مقدماتی راه اندازی Port Security در سویچ های سیسکو

در این مقاله به شما مفهوم Port Security و اینکه چگونه از این قابلیت سویچ های سیسکو در جهت ایمن سازی سویچ ها و محدود سازی دسترسی به پورت های سویچ شبکه خود استفاده کنید صحبت خواهم کرد . ابتدا مفاهیم آنرا با هم مرور کرده و سپس به بررسی نحوه انجام تنظیمات آن خواهیم پرداخت . یکی از مشکلاتی که مدیران شبکه بسیار با آن درگیر هستند این است که چگونه میتوانند دسترسی های غیر مجاز به شبکه را کنترل کنند ، در واقع مشکل اصلی اینجاست که نمیدانیم چگونه میتوان برای تجهیزات شبکه تعریف کرد که چه کسی بتواند به آنها متصل شود و چه کسی نتواند متصل شود . برای مثال شما نمی خواهید که هر کسی که وارد سازمان شما شد براحتی با استفاده از لپ تاپ خود و متصل کردن آن به یکی از پورت های سویچ شبکه به شبکه شما متصل شده و به منابع شبکه شما دسترسی پیدا کند . شاید با خود بگویید که تمامی پورت های شبکه ما که بر روی دیوار قرار گرفته اند و کامپیوتری به آنها متصل نیست بصورت فیزیکی به سویچ و شبکه متصل نیستند و دیگر جای نگرانی در این خصوص وجود ندارد ، اما اگر شخص کابل کامپیوتر فعالی که مشغول سرویس دهی در شبکه است را از جای خود در آورده و از آن برای اتصال به سویچ و شبکه استفاده کند چطور ؟

ممکن است با خود بگویید که اینکار عملی نیست ، اما در محیط واقعی حتما به اینگونه موارد برخورد خواهید کرد . در یکی از سازمان هایی که کار میکردم یک فروشنده بود که هر روز برای معرفی محصولات و فروش آنها به سازمان مراجعه میکرد ، این شخص براحتی کابل شبکه یکی از همکاران ما را از جای خود در آورده و به لپ تاپ همراه خود متصل کرده و به اینترنت و شبکه داخلی ما متصل میشد و همینطور در شبکه مشغول گشت و گذار میشد .تصور اینکه کسی بیاید و به این سادگی وارد شبکه شما شده و به آن دسترسی پیدا کند برای من خیلی سخت و همچنین ترسناک بود ، البته برای شما هم باید همینطور باشد . چیزی که از آن میترسیدم این بود که این کامپیوتر در ساده ترین حالت ممکن میتواند ویروس ها و کرم های خطرناکی را وارد شبکه ما کند . همیشه به خاطر داشته باشید که همه در شبکه شما به دنبال رسیدن به امنیت نیستند و شما هم نمیتوانید امنیت شبه خود را به امید اینگونه افراد بسپارید .خوب برای حل ایم موضوع به سراغ پیاده سازی قابلیت Port Security رفتم و از این راهکار استفاده کردم . بیاید با هم ببینیم که چگونه یک سویچ سیسکو میتواند ما را با استفاده از قابلیت Port Security از بروز مشکلات امنیتی محافظت کند :

شناخت مبانی Port Security


در ساده ترین حالت ممکن این قابلیت آدرس سخت افزاری کارت شبکه شما یا همان MAC شما را در حافظه ای مربوط به آن پورت ذخیره میکند و فقط به همین آدرس سخت افزاری اجازه ورود به پورت شبکه را میدهد . اگر آدرس سخت افزاری دیگری بخواهد از طریق همان پورت سویچ به شبکه متصل شود ، سویچ آن را بلوکه کرده و اجازه ورود به سیستم را به آن پورت نخواهد داد ، این میتواند غیرفعال کردن پورت سویچ نیز باشد . در شبکه هایی که سیستم های مانیتورینگ یا پایش شبکه راه اندازی شده اند با استفاده از پروتکل SNMP تنظیماتی انجام شده است که بلافاصله بعد از غیرفعال شدن پورت سویچ به سیستم مانیتورینگ اطلاع رسانی می شود و در لاگ این سیستم ثبت می شود .

امنیت در سیسکو Port Security

همیشه انجام تنظیمات امنیتی بر روی شبکه نیاز به سبک سنگین کردن و بررسی درست پیامد های آن دارد . برخی اوقات پیاده سازی امنیت باعث پایین آمدن سهولت کاربری و سخت کردن فعالیت کاری میشود . وقتی شما از قابلیت Port Security استفاده میکنید ، در حقیقت اتصال هر دستگاهی به شبکه را محدود کرده اید و بر حسب آن امنیت خود و شبکه را بالا برده اید . اما همیشه حالت برعکسی هم وجود دارد ، در این حالت از Port Security فقط مدیر شبکه میتواند پورت غیرفعال شده را فعال یا به اصطلاح unlock کند ، و این خود باعث بوجود آمدن دردسرهای مدیریتی زیادی برای مدیر شبکه خواهد شد .

پیاده سازی Port Security


پیاده سازی و انجام تنظیمات Port Security چندان هم سخت نیست . در ساده ترین حالت ممکن از پیاده سازی Port Security شما کافیست از طریق کنسول سویچ به پورت فعال در سویچ متصل شده و با استفاده از دستور port-security تنظیمات مربوط به آنرا انجام دهید ، به مثل زیر دقت کنید :

Switch)# config t
Switch(config)# int fa0/18
Switch(config-if)# switchport port-security ?
  aging           Port-security aging commands
  mac-address     Secure mac address
  maximum         Max secure addresses
  violation       Security violation mode
Switch(config-if)# switchport port-security
Switch(config-if)#^Z

با وارد کردن اولین و ساده ترین دستور قابلیت Port Security ما قبول کرده ایم که تنظیمات پیشفرض Port Security بر روی پورت مورد نظر اعمال شود ، در این نوع تنظیمات ما فقط به یک آدرس سخت افزاری یا MAC اجازه دسترسی به پورت سویچ را میدهیم و این آدرس ، آدرس سخت افزاری اولین دستگاهی است که به این پورت سویچ متصل می شود و در صورتیکه آدرس MAC دیگری قصد استفاده از شبکه را با استفاده از همین پورت داشته باشد ، پورت مورد نظر خاموش یا یه اصطلاح Shutdown می شود . اما شما مجبور نیستید تنظیمات پیشفرض را در نظر بگیرید و می توانید تنظیمات خود را انجام دهید .

انواع خدمات Port Security


همانطوری که در زیر مشاهده میکنید دستورات متعددی برای قابلیت Port Security وجود دارد که هر کدام دارای تنظیمات خاص خود می باشند ، در ادامه با چند عدد از مهمترین این دستورات آشنا خواهید شد :

switchport port-security maximum {max # of MAC addresses allowed}

شما با استفاده از این دستور میتوانید به سویچ بگویید که تعداد بیشتری آدرس MAC را از پورت سویچ قبول کند و پیشفرض یک آدرس سخت افزاری را در نظر نگیرد . اگر شما یک هاب یا سویچ لایه دو دارید که دارای 12 پورت هست و به این پورت از سویچ متصل شده است می توانید عدد 12 را برای این مقدار MAX در نظر بگیرید و به هر 12 پورت اجازه دسترسی به سویچ را بدهید . اما همیشه به یاد داشته باشید که حداکثر تعداد آدرس های MAC که میتوان برای هر یک از پورت های سویچ در نظر گرفت 132 عدد است .

switchport port-security violation {shutdown | restrict | protect}

این دستور به سویچ میگوید که در صورتیکه تعداد آدرس های MAC این پورت سویچ از حد مجاز خارج شد چه عکس العملی نسبت به پورت مورد نظر انجام دهد . پیشفرض این است که پورت مورد نظر خاموش یا Shutdown شود . اما شما میتوانید با استفاده از گزینه restrict در صورت بروز چنین مشکلی مدیر شبکه را در جریان بگذارید و یا با استفاده از گزینه protect می توانید بگویید که صرفا از آدرس های MAC تعیین شده در سویچ استفاده شود و سایر ترافیک از MAC های اضافی مسدود یا به اصطلاح drop شوند .

switchport port-security mac-address {MAC address}

شما با استفاده از این دستور می توانید بصورت دستی آدرس های سخت افزاری مورد نظرتان را به سویچ معرفی کنید و دیگر از قابلیت سویچ در یافتن اتوماتیک و dynamic آدرس های سخت افزاری خود داری کنید . البته به خاطر داشته باشید که شما می توانید با استفاده از محدوده آدرس های MAC نیز همین محدودیت ها را اعمال کنید به جای اینکه تک تک آدرس های را وارد کنید ، به مثال زیر توجه کنید :

Switch)# config t
Switch(config)# int range fastEthernet 0/1 - 24
Switch(config-if)# switchport port-security

اما در بکار بردن دستور بالا بسیار دقت کنید ، مخصوصا زمانی که این دستورات را بر روی پورت Uplink سویچ وارد میکنید که معمولا به دستگاه های دیگر متصل شده است . در این حالت به محض اینکه درخواستی از سویچ دیگری وارد شود کل پورت shutdown میشود و ....

مشاهده وضعیت Port Security


به محض اینکه تنظیمات مربوط به Port Security را بر روی سویچ انجام دادید ، قابلیت فعال شده و سویچ کلیه آدرس های MAC که به سویچ متصل می شوند را ضبط میکند و بوسیله این آدرسها پورت را ایمن میکند . برای مشاهده وضعیت Port Security بر روی سویچ ها کافیست از دو دستور show port-security و همچنین دستور show port-security interface استفاده کنید . در ادامه یک مثال از مشاهده این تنظیمات را مشاهده خواهید کرد :



Switch# show port-security address
          Secure Mac Address Table
-------------------------------------------------------------------
Vlan    Mac Address       Type                Ports   Remaining Age
                                                         (mins)
----    -----------       ----                -----   -------------
   1    0004.00d5.285d    SecureDynamic       Fa0/18       -
-------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 1024

Switch# show port-security interface fa0/18
Port Security                        : Enabled
Port Status                          : Secure-up
Violation Mode                       : Shutdown
Aging Time                           : 0 mins
Aging Type                           : Absolute
SecureStatic Address Aging           : Disabled
Maximum MAC Addresses                : 1
Total MAC Addresses                  : 1
Configured MAC Addresses             : 0
Sticky MAC Addresses                 : 0
Last Source Address                  : 0004.00d5.285d
Security Violation Count             : 0

Switch#

در این مقاله بیشتر مفهوم و مبانی قابلیت Port Security را برای شما شرح دادیم ، در مقاله بعدی به بررسی دقیقتر و انجام تنظیمات پیشرفته تر این قابلیت خواهیم پرداخت ، امیدوارم مفید بوده باشد .ITPRO باشید

نویسنده : محمد نصیری

منبع : جزیره سیسکو وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#آموزش_راه_اندازی_port_security #امنیت_پورت #آموزش_port_security #آموزش_پیاده_سازی_port_security #پیاده_سازی_port_security_درسویچ_لایه_3 #امنیت_در_سیسکو #پورت_سکیوریتی
22 نظر
پریسا چاووشی

یکی از دلایل استفاده از port security جلوگیری از mac spoofing است .که attacker با ارسال تعداد زیادی از mac add ها بر روی پورت در زمان کوتاه باعث پر شدن cam table سوییچ شده ، تحت این شرایط سوییچ مثل یک hub عمل کرده و ترافیک رو از تمام پورت های خودش عبور میده و در این حالت attacker می تواند خودش را به جای destination host به source معرفی می کنه.بنا بر این با استفاده از port security می تونیم تعداد mac add هایی که روی یک پورت میشینه رو محدود کنیم.

محمد نصیری

ممنونم ، بله به همین خاطر هست که ما میتونیم برای قابلیت Port Security حالت تخلف یا Violation Mode تعیین کنید که بعد از بروز یک تخلف چه رفتاری رو با پورت باید از خودش نشون بده ، این حالتی که فرمودید میگن سویچ به اصطلاح Overflow کرده و اطلاعات رو به همه پورت ها ارسال میکنه . نکته بسیار عالی بود.

atefe hossein zadeh

قابل ذکر است که این قابلیت امنیتی (port Security)، فقط بر روی اینترفیس های سطح access قابل اعمال هست.

جایی که سطح دسترسی را برای کاربران به وجود می آورد.

پس قبل از تمامی این تنظیمات باید نوع پورتها را host قرار دهیم. وارد تنظیمات اینترفیس می شویم و دستور زیر را میزنیم :

Switch)# config t
Switch(config)# int range fastEthernet 0/1 - 24
Switch(config-if)# switchport mode access

این دستور نوع پورتها را host قرار می دهد، و بعد انجام تنظیمات مربوط به port security که در بالا ذکر شد.

arta44

با سلام

برای راه اندازی قابلیت port-security بین دو سوئیچ چه دستوراتی لازم است

محمد نصیری

چه یک سویچ چه صد تا سویچ دستورات یکسان هست ، شما باید طراحی که مد نظرت هست رو بدونی که بر اساس اون اقدام کنی.

azhir021

عزیزم تو ایران تا دلت بخواد سیستمها رو جابجا میکنن پس کافیه port security استفاده کنی تا با اولین جابجایی شبکه بخوابه

روی سرورها هم هیچوقت اینکارو نمیکنن چون هرلحظه امکان داره یکی از کارت شبکه هاش بسوزه و بخوای جابجاش کنی

در قسمت violation معمولا روی shut میزارن

چون با protect و restrick خیلی قشنگ dictionary attack میخوری

محمد نصیری

با حرفتون موافقم که در هر جایی نمیشه Port Security اعمال کرد هر چند بستگی به موقعیت و اعمال زور مدیریت داره ، تو محیطهای نظامی براحتی شما می تونید Port Security داشته باشید و هر جابجایی باید طبق اصول انجام بشه ، اما طبیعی هست که در سازمان های دولتی و مخصوصا اونهایی که رابطه زیاد در کارها تاثیر داره به هیچ عنوان این امر جواب نمیده ، اما به هر حال هدف ما آموزش هست بعد روانشناسی هم وجود داره در کنارش ...

احمد نظری

اگر پورت اینترفیسی به علت تخلف shut down شده باشه چه جوری میشه به حالت اولیه برگرداند

switchport port-security violation shutdown
محمد نصیری

ببینید اگر توسط Port Security پورت سویچ شما Shutdown شده باشه تا زمانیکه دستور زیر رو برای Up کردن مجدد پورت وارد نکنید این پورت در حالت stay in err-disable state قرار میگره ، برای خارج کردن از shutdown فقط کافیه no shut کنید پورت مورد نظر رو مثل زیر :

Switch(config)#interface fa0/1
Switch(config-if)#shutdown
Switch(config-if)#no shutdown
احمد نظری

دلیل اجرا نشدن port security در محدوده رنجی در سویچ های لایه سه ای چیست ؟

محمد نصیری

لطفا سئوالتون رو در قالب یک تاپیک جداگونه مطرح کنید و توضیحات بیشتری هم ارائه بدید . با تشکر

vahid.kh

منظور از اینکه میگن پورت رو Cleare کنید چی هست.در محل کارم روی سوییچ ها پورت سکیوریتی اعمال شده .گاهی وقت ها مدیر شبکه به من میگه برو پورت فلان رو Cleare بزن تا سیستم جدید که به پورت میزنیم بشناسه. این cleare کل سوییچ رو شامل میشه یا پورت مد نظرمون رو.دستورش چیه.و چه اتفاقی میوفته بعد از اجرای دستور

احمد نظری

بستگی داره که شما روی کل پورت های سویچتون پورت سکوریتی رو فعال کرده باشید یا نه

و دوما به هر پورتی اجازه وصل شدن یا شناختن چند دستگاه رو داده باشید(اگه از یکی بیشتر باشه احتیاج به کار خاصی نیست)

در محیط سیسکو برای غیر فعال کردن هر دستور قبلش یک NO بنویسید غیر فعال میشه

و دستور زیر رو روی اینتر فیس مورد نظ هم می تونید بنویسید برای Clear

shutdown
clear port-security mac-address sticky
no shutdown
Gelareh Soluki

سلام راهنمایی کنید

ایراد کار من کجاست

http://uploadboy.com/q95om28tidyq.html

مرسی

لینک دانلودش هس

homa22

با سلام

جایی در این بخش گفتید که : "در این نوع تنظیمات ما فقط به یک آدرس سخت افزاری یا MAC اجازه دسترسی به پورت سویچ را میدهیم"

منظورتون این هست که ما برای هر پورت باید mac کامپیوتری رو تعریف کنیم که میخواهیم به همان پورت بزنیم؟یا که منظورتون این هستش که باید mac address همه کامپیوتر های شبکه رو دونه دونه داخل سوییچ وارد کنم؟

متاسفانه دقیقا متوجه منظورتون نشدم.

محمد نصیری

هر دو روش امکانپذیر هست ، هم می تونیم بصورت دستی آدرس وارد کنیم و هم بصورت خودکار این Mode های مختلف Port Security هست.

homa22

بسیار عالی

خوب میشه بفرمایید به چه شکل؟

مثلا یه پورت از سوییچ رو می خواهیم اختصاص به یک mac address (pc ) بدهیم.

یا چندین mac address رو import کنیم داخل سوییچ

ممنون از راهنمایی

محمد نصیری

ببینید این آموزش خیلی خیلی مقدماتی هست ، تو قسمت جستجو آموزش راه اندازی Port Security رو وارد کنید آموزشهای خیلی تخصصی تر وجود داره که کامل مفاهیم رو از ابتدا توضیح دادند.

امیر حسین بریانی

با سلام خدمت شما

من میخوام 4 مک آدرس رو به صورت یک شکل روی 12 پورت ست کنم اما در چهارمین پورت ارور found duplicate می دهد؟

int g 0/1

sw port-s max 4

sw port-s mac 111.111.111.112

sw port-s mac 111.111.111.132

sw port-s mac 111.111.111.114

sw port-s mac 111.111.111.114

int g 0/4

sw port-s max 4

sw port-s mac 111.111.111.112

sw port-s mac 111.111.111.132

sw port-s mac 111.111.111.114

sw port-s mac 111.111.111.114

آیا راه حلی وجود دارد با تشکر

محمد نصیری

لطفا از گزینه سئوال بپرسید استفاده کنید سپاسگزارم

m_valiolahi

سلام ببخشید وقتی که یک سویچ و مثلا 10 تا کلاینت داریم فکر میکنم نمیشه از همه روش ها استفاده کرد چون وقتی یک اینترفیس ما به کامپیوتر وصل هستش دیگه ماکزیمم در نظر گرفتن اصلا لازم نیستش درسته؟؟؟

و این که شما فکر کنید از این 10 تا کامپیوتر یکیش خراب میشه و کامل یک کامپیوتر جدید وارد شبکه میشه در این جا باید از اول از mac-address sticky استفاده کرد از اول همه کامپیوتر ها شناخته بشن؟

محمد نصیری

لطفا سئوالتون رو در جزیره سیسکو مطرح کنید با سپاس

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....