مشکلات امنیتی تنها از طریق حملات و ترافیک مخرب از سمت شبکه های خارجی و اینترنت صورت نمی گیرد بلکه ممکن است منشأ آن خود شبکه داخلی شرکت و یا سازمان باشد که از طریق تجهیزات متصل به شبکه صورت می گیرد. Port Security قابلیت امنیتی است که به شما کمک می کند تا بتوانید کنترل مناسبی بر برروی لایه دو شبکه خود داشته و جلوی حملات مخرب را بگیرید. ما در این مقاله قصد داریم تا در رابطه با این قابلیت امنیتی صحبت کنیم پس در ادامه همراه ما باشید.
Port Security چیست؟
فهرست محتوا
Port Security یک راه حل امنیتی برای حمله DoS به سرویس دهنده DHCP که همان Starvation attack می باشد. در کل یکی از مسائل در حال رشد که امروزه مدیران شبکه با آن برخورد می کنند نحوه دسترسی افزاد به شبکه داخلی سازمان است. اینکه آیا هر شخصی می تواند وارد سازمان شده، لپ تاپ خود را به پریز شبکه یا پورت سوئیچ شبکه متصل کرده و به شبکه داخلی دسترسی داشته باشد؟
همانطور که دیدیم یک سری از حملات به نام DHCP Stravation Attack با استفاده از همین روش و وصل شدن غیر مجاز به یک شبکه می تواند باعث از کار انداختن سرویس دهنده DHCP گردد. در ادامه به بررسی ویژگی های Cisco Port security خواهیم پرداخت. Port Security به مدیر شبکه برای محدود نمودن اجازه دسترسی تعداد معین از آدرس MAC بر روی یک پورت خاص کمک می نماید.
در ساده ترین حالت پورت امنیتی، آدرس MAC متصل به پورت سوئیچ را به خاطر می سپارد و فقط به همان آدرس MAC اجازه برقراری ارتباط با پورت را می دهد. اگر آدرس MAC دیگری بخواهد از طریق همان پورت به شبکه متصل شود، پورت مذکور غیر فعال می شود.
اکثر اوقات مدیران شبکه سوئیچ را طوری تنظیم می کنند که یک SNMP Trap به سیستم مانیتورینگ مبنی بر غیر فعال شدن یک پورت به دلایل امنیتی فرستاده شود. اگر چه پیاده سازی راه حل های امنیتی همیشه شامل یک trade-off می باشد ولی این کاهش سهولت در مقابل افزایش امنیت سیستم می باشد.
وقتی شما از امنیت پورت استفاده می کنید می توانید از دسترسی دستگاه های مختلف به شبکه جلوگیری کرده و این امر موجب افزایش امنیت می شود. از طرفی دیگر فقط مدیر شبکه است که می تواند پورت را فعال کند و این امر در جایی که به دلایل مجاز قرار به تغییر دستگاه ها باشد ایجاد مشکل می کند.
حملات مختلفی مانند: حمله Dos در لایه 2 و Address Spoofing ممکن است رخ دهد. اگر ادمین، شبکه را کنترل کند، بدیهی است که شبکه امن خواهد بود. برای کنترل کامل پورت های سوئیچ، از ویژگی به نام Port Security می توان استفاده کرد. اگر به نحوی از استفاده کاربر غیرمجاز به این پورت ها جلوگیری شود، امنیت در لایه 2 تا حد زیادی افزایش می یابد. در دو مرحله می توان پورت ها را ایمن کرد:
- محدود کردن تعداد آدرس های MAC به یک پورت سوئیچ، یعنی اگر بیشتر از حد مجاز، آدرسهای MAC از یک پورت واحد استفاده کنند، اقدامات مناسب انجام خواهد شد.
- در صورت مشاهده دسترسی غیرمجاز، باید با استفاده از هر یک از گزینه ها، ترافیک را حذف کرد، یا باید یک پیام گزارش ایجاد کرد تا دسترسی غیرمجاز به راحتی قابل مشاهده باشد.
در بالا متوجه شدیم که پورت امنیتی چیست حال تجهیزات سیسکو نیز دارای قابلیت امنیتی Port Security هستند که این توانمندی همانطور که گفته شد امنیت را بر روی پورت های سوئیچ افزایش خواهد داد، این افزایش امنیت مخصوصاً بر روی سوئیچ های سیسکو لایه Access که کامپیوترهای کاربران به آن متصل می باشند از اهمیت بیشتری برخوردار است.
در صورتی که یک Hacker به راحتی به پورت های سوئیچ دسترسی پیدا کند، می تواند حملات مختلفی از جمله CAM table overflow، MAC spoofing attack و MAC flooding و سایر حملات را آغاز نماید. به طور کلی ساده ترین و موثرترین روش برای جلوگیری از حملات MAC flooding، فعال کردن امنیت پورت است. امنیت پورت تعداد آدرسهای MAC معتبر مجاز در یک پورت را محدود میکند.
این به مدیر اجازه می دهد تا به صورت دستی آدرس های MAC را برای یک پورت پیکربندی کند یا به سوئیچ اجازه دهد به صورت پویا تعداد محدودی از آدرس های MAC را یاد بگیرد. هنگامی که یک پورت پیکربندی شده با امنیت پورت یک فریم دریافت می کند. در واقع آدرس MAC منبع فریم با لیست آدرس های MAC منبع امن که به صورت دستی پیکربندی شده یا به صورت پویا در پورت یاد گرفته شده اند مقایسه می شود.
همانطور که در شکل زیر نشان داده شده است، با محدود کردن تعداد آدرس های MAC مجاز روی یک پورت، می توان از امنیت پورت برای کنترل دسترسی غیرمجاز به شبکه استفاده کرد.
port Security به شما این امکان را می دهد که قادر باشید کنترل کاملی روی پورت های Ethernet ، Fast Ethernet و Gigbit Ethernet داشته باشید که در این توانمندی با تغیین MAc Address های مجاز به استفاده از پورت از دسترسی سایر تجهیزات با پورت سوئیچ جلوگیری می شود.
در این حالت پورت سوئیچ فقط با مک آدرس های تعیین شده قادر به برقراری ارتباط خواهند بود و در صورتی که دستگاه دیگری مثل لپ تاپ یک هکر که جز مک آدرس های مجاز برای استفاده از پورت نیست قصد دسترسی به پورت سوئیچ را داشته باشد، توانایی برقراری اتصال با آن پورت را نخواهد داشت.
حالت های مختلف پورت امنیتی:
- ـ Protect: در این حالت بستههای دارای مک آدرس مبدأ ناشناخته رها شده و صرفا ادرس های مک شناخته شده در سوئیچ قابل استفاده است و سایر ترافیک از MAC های اضافی مسدود یا به اصطلاح drop می شوند.
- ـ Restrict: این حالت همان عملکرد Protect را انجام می دهد، یعنی مک آدرس مبدأ ناشناخته را رها می کند. علاوه بر این، یک پیام گزارش ایجاد می کند و آن را برای ادمین شبکه ارسال می کند، مقدار شمارنده را افزایش می دهد و همچنین trap SNMP را ارسال می کند.
- ـ shut down: این حالت به صورت پیش فرض است و در صورت دسترسی غیرمجاز، پورت را فوراً خاموش می کند. همچنین یک log تولید می کند، مقدار شمارنده را افزایش می دهد و یک trap SNMP ارسال می کند. پورت مورد نظر در حالت خاموش باقی می ماند تا زمانی که ادمین دستور ” no shut down” را صادر کند.
- ـ Sticky: با استفاده از دستور Sticky، ادمین، امنیت MAC آدرس استاتیک را بدون تایپ آدرس مک مطلق فراهم می کند. به عنوان مثال، اگر ادمین حداکثر محدودیت 2 را ارائه دهد، 2 آدرس مک اولی که در آن پورت استفاده شده است در پیکربندی در حال اجرا قرار خواهند گرفت. پس از دومین آدرس مک استفاده شده، اگر کاربر سوم بخواهد دسترسی داشته باشد، مطابق با حالت نقض اعمال شده، اقدام مناسب انجام می شود.
نحوه پیکربندی Port Security:
در پیکربندی port Security باید مک آدرس های مجاز به استفاده از پورت تعیین شوند که مک آدرس های مجاز به استفاده از پورت به دو صورت Static و Dynamic تعریف خواهند شد.
-
پیکربندی به Port Security به صورت Static:
نحوه پیکربندی به port Security به صورت Static بر روی پورت fastEthernet 0/1 سوئیچ فعال خواهد شد در این حالت فقط PC1 توانایی برقراری ارتباط با پورت fastEthernet 0/1 را خواهد بود و به غیر از PC1 هیچ کامپیوتری یا دستگاهی قادر به برقراری ارتباط با پورت fastEthernet 0/1 را داشته باشد. پورت fastEthernet 0/1 خاموش خواهد شد و برای فعال شدن مجدد نیاز به استفاده از دستور No shutdown در مد اینترفیس fastEthernet 0/1 می باشد.
برای پیکربندی پورت امنیتی به صورت Static از دستورات زیر استفاده میکنیم.
Switch#config t
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security mac-address
Switch(config-if)#switchport port-security violationshutdown
بعد از انجام پیکربندی ها در صورتی که یک کامپیوتر با دستگاه غیر مجاز مانند کامپیوتر یک هکر قصد اتصال با اینترفیس fastEthernet 0/1 را داشته باشید Port Security اجازه برقراری ارتباط با این اینترفیس را به کامپیوتر یا دستگاه های مجاز نخواهد داد.
بررسی پیکربندی های Port Security بر روی اینترفیس fastEthernet 0/1:
switch# show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : mac address :1
Security Violation Count : 0
switch#
همانطور که در خط آخر خروجی دستور بالا را مشاهده می کنید تا این لحظه هنوز هیچگونه هشداری امنیتی (violation) در اینترفیس fastEthernet 0/1 گزارش نشده است. برای مشاهده جدول اینتر فیس های سوئیچ و آدرس MAC مجاز از این اینترفیس ها از دستور زیر هستید.
مشاهده وضعیت Port Security:
برای مشاهده وضعیت Port Security روی سوئیچ ها از دستور show port-security و همچنین دستور show port-security interfaces استفاده کنید:
switch# show port-security address
Secure Mac Address Table
——————————————————————-
Vlan Mac Address Type Ports Remaining Age
(mins)
——————————————————————
1 0040.0B02.00E9 SecureDynamic Fa0/1
——————————————————————-
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
غیر فعال کردن توانمندی Port Security بر روی اینترفیس fastEthernet 0/1 در سوئیچ:
در مرحله قبل توانمندی Port Security بر روی پورت fastEthernet 0/1 فعال شد. در این مرحله توانمندی Port Security بر روی fastEthernet 0/1 در switch 1 غیر فعال خواهد شد. برای این منظور از دستورات زیر استفاده میکنیم.
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#shutdown
Switch(config-if)#no witchport port-security
Switch(config-if)#no switchport port-security mac-address
Switch(config-if)#no shutdown
-
پیکربندی Port Security به صورت Dynamic:
در مراحل قبل همین لابراتور Port Security به صورت Static بر روی اینترفیس سوئیچ پیکربندی شد. در روش Static یا دستی مک آدرس های مجاز به استفاده از اینترفیس باید به صورت دستی در پیکربندی Port Security تعیین شوند که این روش کار بر روی تعداد بسیار زیادی پورت و مک آدرس را بسیار سخت، زمان گیر و با خطا همراه خواهد کرد.
روش دیگری برای پیکربندی Port Security وجود خواهد داشت که د راین روش مک آدرس ها به صورت اتوماتیک از پورت سوئیچ به صورت Dynamic دریافت و در پیکربندی پورت امنیتی استفاده می شوند و نیازی به تعریف مک آدرس های مجازی به صورت دستی نمیباشد این روش به روش Sticky معروف میباشد.
در واقع در این روش مک آدرس های آموخته شده توسط سوئیچ به آدرس های مورد استفاده در پیکربندی Port Security تبدیل می شوند. برای پیکربندی مک آدرس Sticky از ذستور زیر استفاده نمایید.
Switch#config t
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security mac-address Sticky
Switch(config-if)#switchport port-security violation shutdown
| شما می توانید خرید سوئیچ سیسکو را از فروشگاه اینترنتی مسترشبکه بزرگترین فروشگاه اینترنتی تجهیزات شبکه در ایران، با بهترین قیمت و کیفیت خریداری نمایید. |
دیدگاهی در مورد “Port Security چیست و چه کاربردی دارد؟”
برای حذف این پورت سکوریتی در سوئییچ با زدن No جلوی هر کامند از روی پورت حذف میشه یا نه یا باید دستور خاصی برای حذف بزنیم
سلام روز بخیر ، بله حذف میشه البته در صورتی که در زمان فعال شدن در همین قسمت فقط فعال شده باشه که این مورد رو در running configuration قابل دیدن هست .