نکته مهم در خصوص قابلیت Sticky در Port Security که باید بدانید

چند وقت پيش در قسمت سؤالات وبسایت، يک سؤال خيلي خوب مطرح شد در خصوص Port Security که به نظرم ارزش داشت راجع بهش يک مقاله نوشته بشه تا تعداد بیشری بتونن از اين نکته فني استفاده کنن.مشکلي که امروز مي خوايم بررسی کنيم، مشکل خيلي جالبي هست و متأسفانه اين نکته در مورد Port Security توي آموزش ها، کتابهاي مرجع، دوره هاي CCNA و CCNP بيان نميشه و صرفا به صورت تجربی به دست مياد.
به طور کلي موضعي که کمتر از سایر مسائل امنيتي بهش توجه ميشه و اهميت بسیار بالايي هم داره پياده سازی راهکارهاي امنيتي در سطح ارتباطات لايه دوم OSI هستش. يکي از دلايل اين موضوع پيچيدگي هاي پياده سازی و راهبری اين دسته از راهکارهاست. راهکارهايي متداول در اين زمينه عبارت هستند از Port Security، DHCP Snooping، Dynamic Arp Inspection، IP Source Guard، Dot 1 x و…
ساده ترین و دمه دست ترین راهکار از اين مجموعه که در مرحله اول روند امن سازی ارتباطات لايه دويي استفاده مي شه راهکار Port Security هست که نسبت به سایر راهکارها هم ساده تر هست هم راهبریش ساده تره.مشکلی که مي خوايم بررسیش کنيم برمي گرده به زماني که شما مکانیزم Port Security رو به صورت Sticky راه اندازي مي کنيد. وقتي شما کامند mac-address sticky رو زیر يک اينترفيس مي زنيد، به محض دريافت اولین پکت يه خط به صورت زیر به کانفیگ هاي زیر اينترفیستون اضافه ميشه:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
switchport port-security mac-address sticky 000b.f601.6d4e

که کلمه اخر، mac address سیستم متصل هست و به عنوان مثال اینجا اوردم. حالا با اين وضعيت اگه شما سيستم متصل به اين پورت سوييچ رو توي شبکه داخلیتون جا به جا کنيد، و به يه پورت ديگه توي يه سوييچ ديگه و حتي توي به vlan ديگه متصل کنید (که اونم مثل سوييچ اول مکانیزم Port Security  به صورت Sticky روش  راه اندازي شده باشه)، بعد از مدت کمی، انترفیش جديدتون Error-Disable مي شه!!! وقتی شما اين سیستم رو جدا می کنيد و مي برید به یه سوييچ دیگه متصل مي کنيد که port security فعال شده روش، خط بالا روي سوييچ جديد هم ايجاد میشه و اين خط روي دو تا از سوييچ هاتون قرار مي گیره و مشکل همينجاست...

  • *** mac address شناخته شده توسط مکانیزم sticky در سطح دامنه ارتباطات لايه دوييتون (شامل تجهيز لايه سه اي که interface vlanهاتون رو روش تعريف کرديد) نباید تکرار بشه  ***

در صورت بروز همچين مشکلي، شما باید کامند زیر رو روي سوييچ اول بزنید:

no switchport port-security mac-address sticky 000b.f601.6d4e

حواستون باشه که کامند رو کامل بزنید، و mac address سيستم جابه جا شده رو هم انتهای کامند بیارید.وقتي که اين خط برداشته بشه، انترفيس سوييچ جديد که سيستم جابه جا شده بهش متصل شده، دیگه error disable نميگیره و مشکل برطرف مي شه.یه کم عجیبه ولي مکانیزم کارکرد port security به اين گونه هست.


مهیار کباری
مهیار کباری

مهیار کباری، حدود 10 سال سابقه کار دارم در سازمان های و نهادهای دولتی، بانک ها و مؤسسات مالي اعتباری، بیمه ها و سازمان فناوری اطلاعات در حوزه های شبکه، امنیت اطلاعات و زیرساخت سرویس در قالب های مشاوره، طراحي، پياده سازی و راهبری. در حوزه های Cisco، Juniper، Fortinet، F5، VMWare، Server&Storage، Linux و Penetration Test به صورت White Hat فعاليت های خوبی داشتم. بیش از ۴ سال مدیر فنی دپارتمان امنيت و کمتر از یک سال مدیر فنی مرکز داده مؤسسه اعتباری نور بودم و الان هم به صورت Free Lancer فعاليت مي ک

نظرات