تا %60 تخفیف خرید برای 5 نفر با صدور مدرک فقط تا
00 00 00
مشکل قطعی در سرورهای آسیاتک برطرف شده و درگاه پرداخت سایت فعال است.
در توسینسو تدریس کنید

آموزش مقدماتی راه اندازی Port Security در سویچ های سیسکو

در این مقاله به شما مفهوم Port Security و اینکه چگونه از این قابلیت سویچ های سیسکو در جهت ایمن سازی سویچ ها و محدود سازی دسترسی به پورت های سویچ شبکه خود استفاده کنید صحبت خواهم کرد . ابتدا مفاهیم آنرا با هم مرور کرده و سپس به بررسی نحوه انجام تنظیمات آن خواهیم پرداخت . یکی از مشکلاتی که مدیران شبکه بسیار با آن درگیر هستند این است که چگونه میتوانند دسترسی های غیر مجاز به شبکه را کنترل کنند ، در واقع مشکل اصلی اینجاست که نمیدانیم چگونه میتوان برای تجهیزات شبکه تعریف کرد که چه کسی بتواند به آنها متصل شود و چه کسی نتواند متصل شود . برای مثال شما نمی خواهید که هر کسی که وارد سازمان شما شد براحتی با استفاده از لپ تاپ خود و متصل کردن آن به یکی از پورت های سویچ شبکه به شبکه شما متصل شده و به منابع شبکه شما دسترسی پیدا کند . شاید با خود بگویید که تمامی پورت های شبکه ما که بر روی دیوار قرار گرفته اند و کامپیوتری به آنها متصل نیست بصورت فیزیکی به سویچ و شبکه متصل نیستند و دیگر جای نگرانی در این خصوص وجود ندارد ، اما اگر شخص کابل کامپیوتر فعالی که مشغول سرویس دهی در شبکه است را از جای خود در آورده و از آن برای اتصال به سویچ و شبکه استفاده کند چطور ؟

ممکن است با خود بگویید که اینکار عملی نیست ، اما در محیط واقعی حتما به اینگونه موارد برخورد خواهید کرد . در یکی از سازمان هایی که کار میکردم یک فروشنده بود که هر روز برای معرفی محصولات و فروش آنها به سازمان مراجعه میکرد ، این شخص براحتی کابل شبکه یکی از همکاران ما را از جای خود در آورده و به لپ تاپ همراه خود متصل کرده و به اینترنت و شبکه داخلی ما متصل میشد و همینطور در شبکه مشغول گشت و گذار میشد .تصور اینکه کسی بیاید و به این سادگی وارد شبکه شما شده و به آن دسترسی پیدا کند برای من خیلی سخت و همچنین ترسناک بود ، البته برای شما هم باید همینطور باشد . چیزی که از آن میترسیدم این بود که این کامپیوتر در ساده ترین حالت ممکن میتواند ویروس ها و کرم های خطرناکی را وارد شبکه ما کند . همیشه به خاطر داشته باشید که همه در شبکه شما به دنبال رسیدن به امنیت نیستند و شما هم نمیتوانید امنیت شبه خود را به امید اینگونه افراد بسپارید .خوب برای حل ایم موضوع به سراغ پیاده سازی قابلیت Port Security رفتم و از این راهکار استفاده کردم . بیاید با هم ببینیم که چگونه یک سویچ سیسکو میتواند ما را با استفاده از قابلیت Port Security از بروز مشکلات امنیتی محافظت کند :

شناخت مبانی Port Security


در ساده ترین حالت ممکن این قابلیت آدرس سخت افزاری کارت شبکه شما یا همان MAC شما را در حافظه ای مربوط به آن پورت ذخیره میکند و فقط به همین آدرس سخت افزاری اجازه ورود به پورت شبکه را میدهد . اگر آدرس سخت افزاری دیگری بخواهد از طریق همان پورت سویچ به شبکه متصل شود ، سویچ آن را بلوکه کرده و اجازه ورود به سیستم را به آن پورت نخواهد داد ، این میتواند غیرفعال کردن پورت سویچ نیز باشد . در شبکه هایی که سیستم های مانیتورینگ یا پایش شبکه راه اندازی شده اند با استفاده از پروتکل SNMP تنظیماتی انجام شده است که بلافاصله بعد از غیرفعال شدن پورت سویچ به سیستم مانیتورینگ اطلاع رسانی می شود و در لاگ این سیستم ثبت می شود .

امنیت در سیسکو Port Security

همیشه انجام تنظیمات امنیتی بر روی شبکه نیاز به سبک سنگین کردن و بررسی درست پیامد های آن دارد . برخی اوقات پیاده سازی امنیت باعث پایین آمدن سهولت کاربری و سخت کردن فعالیت کاری میشود . وقتی شما از قابلیت Port Security استفاده میکنید ، در حقیقت اتصال هر دستگاهی به شبکه را محدود کرده اید و بر حسب آن امنیت خود و شبکه را بالا برده اید . اما همیشه حالت برعکسی هم وجود دارد ، در این حالت از Port Security فقط مدیر شبکه میتواند پورت غیرفعال شده را فعال یا به اصطلاح unlock کند ، و این خود باعث بوجود آمدن دردسرهای مدیریتی زیادی برای مدیر شبکه خواهد شد .

پیاده سازی Port Security


پیاده سازی و انجام تنظیمات Port Security چندان هم سخت نیست . در ساده ترین حالت ممکن از پیاده سازی Port Security شما کافیست از طریق کنسول سویچ به پورت فعال در سویچ متصل شده و با استفاده از دستور port-security تنظیمات مربوط به آنرا انجام دهید ، به مثل زیر دقت کنید :

Switch)# config t
Switch(config)# int fa0/18
Switch(config-if)# switchport port-security ?
  aging           Port-security aging commands
  mac-address     Secure mac address
  maximum         Max secure addresses
  violation       Security violation mode
Switch(config-if)# switchport port-security
Switch(config-if)#^Z

با وارد کردن اولین و ساده ترین دستور قابلیت Port Security ما قبول کرده ایم که تنظیمات پیشفرض Port Security بر روی پورت مورد نظر اعمال شود ، در این نوع تنظیمات ما فقط به یک آدرس سخت افزاری یا MAC اجازه دسترسی به پورت سویچ را میدهیم و این آدرس ، آدرس سخت افزاری اولین دستگاهی است که به این پورت سویچ متصل می شود و در صورتیکه آدرس MAC دیگری قصد استفاده از شبکه را با استفاده از همین پورت داشته باشد ، پورت مورد نظر خاموش یا یه اصطلاح Shutdown می شود . اما شما مجبور نیستید تنظیمات پیشفرض را در نظر بگیرید و می توانید تنظیمات خود را انجام دهید .

انواع خدمات Port Security


همانطوری که در زیر مشاهده میکنید دستورات متعددی برای قابلیت Port Security وجود دارد که هر کدام دارای تنظیمات خاص خود می باشند ، در ادامه با چند عدد از مهمترین این دستورات آشنا خواهید شد :

switchport port-security maximum {max # of MAC addresses allowed}

شما با استفاده از این دستور میتوانید به سویچ بگویید که تعداد بیشتری آدرس MAC را از پورت سویچ قبول کند و پیشفرض یک آدرس سخت افزاری را در نظر نگیرد . اگر شما یک هاب یا سویچ لایه دو دارید که دارای 12 پورت هست و به این پورت از سویچ متصل شده است می توانید عدد 12 را برای این مقدار MAX در نظر بگیرید و به هر 12 پورت اجازه دسترسی به سویچ را بدهید . اما همیشه به یاد داشته باشید که حداکثر تعداد آدرس های MAC که میتوان برای هر یک از پورت های سویچ در نظر گرفت 132 عدد است .

switchport port-security violation {shutdown | restrict | protect}

این دستور به سویچ میگوید که در صورتیکه تعداد آدرس های MAC این پورت سویچ از حد مجاز خارج شد چه عکس العملی نسبت به پورت مورد نظر انجام دهد . پیشفرض این است که پورت مورد نظر خاموش یا Shutdown شود . اما شما میتوانید با استفاده از گزینه restrict در صورت بروز چنین مشکلی مدیر شبکه را در جریان بگذارید و یا با استفاده از گزینه protect می توانید بگویید که صرفا از آدرس های MAC تعیین شده در سویچ استفاده شود و سایر ترافیک از MAC های اضافی مسدود یا به اصطلاح drop شوند .

switchport port-security mac-address {MAC address}

شما با استفاده از این دستور می توانید بصورت دستی آدرس های سخت افزاری مورد نظرتان را به سویچ معرفی کنید و دیگر از قابلیت سویچ در یافتن اتوماتیک و dynamic آدرس های سخت افزاری خود داری کنید . البته به خاطر داشته باشید که شما می توانید با استفاده از محدوده آدرس های MAC نیز همین محدودیت ها را اعمال کنید به جای اینکه تک تک آدرس های را وارد کنید ، به مثال زیر توجه کنید :

Switch)# config t
Switch(config)# int range fastEthernet 0/1 - 24
Switch(config-if)# switchport port-security

اما در بکار بردن دستور بالا بسیار دقت کنید ، مخصوصا زمانی که این دستورات را بر روی پورت Uplink سویچ وارد میکنید که معمولا به دستگاه های دیگر متصل شده است . در این حالت به محض اینکه درخواستی از سویچ دیگری وارد شود کل پورت shutdown میشود و ....

مشاهده وضعیت Port Security


به محض اینکه تنظیمات مربوط به Port Security را بر روی سویچ انجام دادید ، قابلیت فعال شده و سویچ کلیه آدرس های MAC که به سویچ متصل می شوند را ضبط میکند و بوسیله این آدرسها پورت را ایمن میکند . برای مشاهده وضعیت Port Security بر روی سویچ ها کافیست از دو دستور show port-security و همچنین دستور show port-security interface استفاده کنید . در ادامه یک مثال از مشاهده این تنظیمات را مشاهده خواهید کرد :



Switch# show port-security address
          Secure Mac Address Table
-------------------------------------------------------------------
Vlan    Mac Address       Type                Ports   Remaining Age
                                                         (mins)
----    -----------       ----                -----   -------------
   1    0004.00d5.285d    SecureDynamic       Fa0/18       -
-------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 1024

Switch# show port-security interface fa0/18
Port Security                        : Enabled
Port Status                          : Secure-up
Violation Mode                       : Shutdown
Aging Time                           : 0 mins
Aging Type                           : Absolute
SecureStatic Address Aging           : Disabled
Maximum MAC Addresses                : 1
Total MAC Addresses                  : 1
Configured MAC Addresses             : 0
Sticky MAC Addresses                 : 0
Last Source Address                  : 0004.00d5.285d
Security Violation Count             : 0

Switch#

در این مقاله بیشتر مفهوم و مبانی قابلیت Port Security را برای شما شرح دادیم ، در مقاله بعدی به بررسی دقیقتر و انجام تنظیمات پیشرفته تر این قابلیت خواهیم پرداخت ، امیدوارم مفید بوده باشد .ITPRO باشید

نویسنده : محمد نصیری

منبع : جزیره سیسکو وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

نظر شما
برای ارسال نظر باید وارد شوید.
22 نظر
افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند