دراین فصل هدف ما این است که بیاییم اتک هایی که در سوئیچ و در سطح data plane بشناسیم و راه های جلوگیری از آن را بیاموزیم.
این را می دانیم ک یک ویلن به ویلن دیگر ارتباطی ندارد وبرای ارتباط باید حتما طرفین در یک ویلن باشند.حال اتکرها به دو روش می توانند این قانون را نقض کنند و به ویلن های دیگ دسترسی پیدا کنند.
اتک ایی که از STP استفاده می کنند که گاه می توانند باعث تغییر توپولوژی شبکه شوند.می دانیم که روتر root-bridge تمامی ارتباط شبکه را تحت کنترل دارد و تمام ترافیک های ما از این سوئیچ عبور می کند.priority این سوئیچ از بقیه سوئیچ ها کمتر می باشد.حال اگر اتکر بیاید و یک سوئیچ به شبکه اضافه کند وpriority آن را از root-bridge کمتر قرار دهد علانا توانسته است که مدیریت شبکه را تحت کنترل قرار دهد.
می دانیم که درARP ابتدا یک پیغام ARP request ارسال می شود و در جواب آن ARP replay دریافت می شود بین دو کلاینت، و مک آن ها به هم یاد داده می شود و در جدول MAC table ذخیره می شود.حال در این نوع اتک اتکر می تواند با ارسال بسته ی GARP به سمت سیستم قربانی باعث عوض شدن مسیر این یادگیری باشد.(GARP بسته های هستند که برای ارسال نیازی به request ندارد) حال اتکر می آید در جواب ARP request این بسته را ارسال می کند و مک خودش و آدرس ip مقصد را قرار دهد حال بسته دیگر مستیم بین دوکلاینت ردوبدل نمی شود و یک نسخه از آن به اتکر ارسال می شود.
تا به اینجا نمونه هایی از این اتک هارا گفتیم.از دیگراین اتک ها می توانیم به:
در ادامه این قسمت میخواهیم راه های مقابله با آن را بیاموزیم.
ما می دانیم با تغییر حالات پورت بیاییم از یکسری اتک ها جلوگیری کنیم.این را نیز می دانیم که پورت های ما به چهار حالت :trunkAccessDynamic-auto/Dynamic-desirable می باشند. مثلا ما می دانیم که اگر پورت های انتهایی ما trunk نباشد دیگر اتکر نمی تواند عملیات vlan hopping را انجام دهد. و همچنین این را میدانیم که پروتکل DTP به صورت پیش فرض روی تمامی پورت ها فعال می باشد.با غیر فعال کردن این پروتکل می توانیم جلوی اتک switch spoofing را بگیریم. با دستورات زیر می توانیم این فیچر هارا پیاده سازی کنیم.
Switch (config) # interface type <mode/num> Switch (config-if) # switchport mode [access | trunk | dynamic auto | dynamic desirable] Switch (config-if) # switchport negotiate Switch (config-if) # switchport access vlan <vlan-id> Switch (config-if) # switchport trunk native vlan <vlan-id>
برای جلوگیری از این اتک سه روش وجود دارد:
با دستورات زیر می توانیم فیچرهای بالا را اجرا کنیم.
Switch (config-if) #switchport trunk native vlan <vlan-id> Switch (config-if) #switchport mode trunk allow vlan remove <vlan-id> Switch (config) #vlan dot1q vlan native Switch (config-if) #switchport trunk vlan native tag
چند راه کار دیگر:
این فیچر می آید کنترل learn کردن مک آدرس ها را روی پورت های access انجام می دهد.یعنی می آید می گوید که چه مک آدرس هایی در چه اینترفیس هایی باید learn بشوند.با سه روش می توانیم این فیچر را پیاده سازی کنیم:
حال اگر مشکلی پیش بیاید یا اختلافی در این روند پیش بیاید port security می آید اون پورت را به سه حالت مجازات می کند:
Switch (config-if) #switchport port security Switch (config-if) #switchport port security [maximum value {vlan (vlan-id)}] Switch (config-if) #switchport port security [maximum address {vlan (vlan-id)}] Switch (config-if) #switchport port security mac-address sticky Switch (config-if) #switchport port security violation [protect | restrict | shutdown]
Port security علاوه بر این کار می تواند جلوی یکسری اتک های دیگر مثل cam flooding, DHCP starvation Mac spoofing را نیز بگیرد.
این فیچر می تواند جلوی اتک های DHCP starvation و DHCP spoofing را بگیرد.وقتی DHCP snooping را فعال کنیم در یک سوئیچ تمامی پورت های آن سوئیچ به حالت untrust خواهد رفت و وقتی پورتی به حالت untrust برود روی آن پورت دیگر بسته های DHCP replay دریافت نمی شود و همچنین DHCP request نیز چک می شود اگر مک آدرس فرستنده با مک آدرس learn شده در آن پورت برابر نباشد،آن بسته را drop می کند.چک کردن DHCP request برای جلوگیری از اتک DHCP starvation می باشد.DHCP snooping می آید یک جدول به اسم binding table بوجود می آورد که در آن mac add-IP add-vlan num-port num همگی باین هم می شوند ودرآن ذخیره می شوند.
روش کانفیگ:
Switch (config) # ip dhcp snooping Switch (config) # ip dhcp snooping vlan <vlan-id> Switch (config) # ip dhcp snooping <verify mac-add> Switch (config-if) # ip dhcp snooping limit rate <rate>
با این فیچر می آییم جلوی اتک ARP Poisoning را می گیریم.با چک کردن بسته های ARP جلوی این اتک گرفته می شود.این چک کردن بر اساس جدولی می باشد که توسط DHCP snooping ایجاد شده است.با چک کردن mac-add موجود در هدر Ethernet با mac-add موجود در ARP متوجه این اتک می شود و همچنین Destination mac را نیز چک می کند.علاوه بر همه اینا نباید IP invalid در ARP وجود داشته باشد.
روش کانفیگ:
Switch (config) # ip arp inspection vlan (vlan-id) Switch (config) # ip arp inspection validate {src-mac | dest-mac | ip} Switch (config-if) # ip arp inspection trust Switch (config) # ip arp inspection limit rate <rate>
کارشناس ICT و علاقه مند به امنیت و فایروال
حسن صفری فارغ التحصیل مقطع کارشناسی در رشته ICT با بیش از 3 سال سابقه کاری در پارک علم و فناوری دانشگاه آزاد، دارای مدارک تخصصی شبکه در حوزه ی سیسکو و پیکربندی و اجرای مباحث امنیتی، عیب یابی فایروال هایASA و اعمال HA و همچنین شرکت در مباحث علمی مربوط به شبکه، خواندن کتب، مقالات علمی لاتین و.......
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود