چهارشنبه ۰۵ اردیبهشت ۰۳

Port Security چيست و چه كاربردي دارد

توضيح محصولات شبكه

Port Security چيست و چه كاربردي دارد

شنبه ۱۳ آذر ۰۰ ۱۰:۲۷ ۳۰ بازديد

Port Security چيست

وقتي مهاجم مي تواند وارد شبكه اي شود كه مي خواهد به آن حمله كند، كار مهاجم نسبتاً آسان مي شود. شبكه هاي محلي اترنت در برابر حمله بسيار آسيب پذير هستند زيرا درگاه هاي سوئيچ به طور پيش فرض براي استفاده باز هستند. پس با ما همراه باشيد تا بفهميم Port Security چيست و چگونه آن را برقرار كنيم.

يك راه حل براي حمله DoS به سرويس دهنده DHCP كه همان Starvation attack مي باشد استفاده از Port Security است. در كل يكي از مسائل در حال رشد كه امروزه مديران شبكه با آن برخورد مي كنند نحوه دسترسي افزاد به شبكه داخل سازماني مي باشد. آيا هر شخصي مي تواند وارد سازمان شده، لپ تاپ خود را به پريز شبكه يا پورت سوئيچ شبكه متصل كرده و به شبكه داخلي دسترسي داشته باشد؟

همانطور كه ديديم يك سري از حملات به نام DHCP Stravation Attack با استفاده از همين روش و وصل شدن غير مجاز به يك شبكه مي تواند باعث از كار انداختن سرويس دهنده DHCP گردد. در ادامه به بررسي ويژگي هاي CISCO Port security خواهيم پرداخت. port Security به مدير شبكه براي محدود نمودن اجازه دسترسي تعداد معين از آدرس MAC بر روي يك پورت خاص كمك مي نمايد.

در ساده ترين حالت port Security آدرس MAC متصل به پورت سوئيچ را به خاطر مي سپارد و فقط به همان آدرس MAC اجازه برقراري اربتاط با پورت سوئيچ را مي دهد. اگر آدرس MAC ديگري بخواهد از طريق همان پورت به شبكه متصل شود، پورت مذكور غير فعال مي شود. اكثر اوقات ميدران شبكه سوئيچ را طوري تنظيم مي كنند كه يك SNMP Trap به سيستم مانيتورينگ مبني بر غير فعال شدن يك پورت به دلايل امنيتي فرستاده شود.

اگر چه پياده سازي راه حل هاي امنيتي هميشه شامل يك trade-off مي باشد ولي اين كاهش سهولت در مقابل افزايش امنيت سيستم مي باشد. وقتي شما از امنيت پورت استفاده مي كنيد مي توانيد از دسترسي دستگاه هاي مختلف به شبكه جلوگيري كرده و اين امر موجب افزايش امنيت مي شود. از طرفي ديگر فقط مدير شبكه است كه مي تواند پورت را فعال كند و اين امر در جايي كه به دلايل مجاز قرار به تغيير دستگاه ها باشد ايجاد مشكل مي كند.

حملات مختلفي مانند حمله Dos در لايه 2 و address spoofing ممكن است رخ دهد. اگر ادمين، شبكه را كنترل كند، بديهي است كه شبكه امن است. براي كنترل كامل پورت هاي سوئيچ، از ويژگي به نام Port Security مي توان استفاده كرد. اگر به نحوي از استفاده كاربر غيرمجاز از اين پورت ها جلوگيري شود، امنيت در لايه 2 تا حد زيادي افزايش مي يابد.

در دو مرحله مي توان پورت ها را ايمن كرد:

  1. محدود كردن تعداد آدرس‌هاي MAC به يك پورت سوئيچ، يعني اگر بيشتر از حد مجاز، آدرس‌هاي MAC از يك پورت واحد آموخته شود، اقدامات مناسب انجام خواهد شد.
  2. در صورت مشاهده دسترسي غيرمجاز، بايد با استفاده از هر يك از گزينه ها، ترافيك را حذف كرد، يا بايد يك پيام گزارش ايجاد كرد تا دسترسي غيرمجاز به راحتي قابل مشاهده باشد.

Port Security در تجهيزات سيسكو:  

Port Security چيست

در بالا متوجه شديم كه Port Security چيست حال تجهيزات سيسكو نيز داراي قابليت امنيتي port Security هستند كه اين توانمندي همانطور كه گفته شد امنيت را بر روي پورت هاي سوئيچ افزايش خواهد داد، اين افزايش امنيت مخصوصاً بر روي سوئيچ هاي سيسكو لايه Access كه كامپيوترهاي كاربران به آن متصل مي باشند اهميت بيشتري خواهد داشت. در صورتي كه يك Hacker به راحتي به پورت هاي سوئيچ دسترسي پيدا كند، مي تواند حملات مختلفي از جمله CAM table overflow، MAC spoofing attack و MAC flooding و ساير حملات را آغاز نمايد.

port Security به شما اين امكان را مي دهد كه قادر باشيد كنترل كاملي روي پورت هاي Ethernet، Fast Ethernet و Gigbit Ethernet داشته باشيد كه در اين توانمندي با تغيين MAc Address هاي مجاز به استفاده از پورت از دسترسي ساير تجهيزات با پورت سوئيچ جلوگيري مي شود. در اين حالت پورت سوئيچ فقط با مك آدرس هاي تعيين شده قادر به برقراري ارتباط خواهند بود و در صورتي كه دستگاه ديگري مثل لپ تاپ يك هكر كه جز مك آدرس هاي مجاز براي استفاده از پورت نيست قصد دسترسي به پورت سوئيچ را داشته باشد، توانايي برقراري اتصال با آن پورت را نخواهد داشت.

در پيكربندي port Security بايد مك آدرس هاي مجاز به استفاده از پورت تعيين شوند كه مك آدرس هاي مجاز به استفاده از پورت به دو صورت Static و Dynamic تعريف خواهند شد.

 

حالت هاي Port Security:

ـ Protect: در اين حالت بسته‌هاي داراي مك آدرس مبدأ ناشناخته را رها و صرفا ادرس هاي مك شناخته شده در سوئيچ قابل استفاده است و ساير ترافيك از MAC هاي اضافي مسدود يا به اصطلاح drop مي شوند.

ـ Restrict: اين حالت همان عملكرد Protect را انجام مي دهد، يعني مك آدرس مبدأ ناشناخته را رها مي كند. علاوه بر اين، يك پيام گزارش ايجاد مي كند و آن را براي ادمين شبكه ارسال مي كند، مقدار شمارنده را افزايش مي دهد و همچنين trap SNMP را ارسال مي كند.

ـ shut down: اين حالت به صورت پيش فرض است و در صورت دسترسي غيرمجاز پورت را فوراً خاموش مي كند. همچنين يك log توليد مي كند، مقدار شمارنده را افزايش مي دهد و يك trap SNMP ارسال مي كند.  پورت  مورد نظر در حالت خاموش باقي مي ماند تا زماني كه ادمين دستور ” no shut down” را انجام دهد.

ـ Sticky: با استفاده از دستور Sticky ، ادمين امنيت MAC آدرس استاتيك را بدون تايپ آدرس مك مطلق فراهم مي كند. به عنوان مثال، اگر ادمين حداكثر محدوديت 2 را ارائه دهد، 2 آدرس مك اولي كه در آن پورت آموخته شده است در پيكربندي در حال اجرا قرار خواهند گرفت. پس از دومين آدرس مك آموخته شده، اگر كاربر سوم بخواهد دسترسي داشته باشد، مطابق با حالت نقض اعمال شده، اقدام مناسب انجام مي شود.

نكته: Port Security فقط روي پورت access كار مي كند، يعني براي فعال كردن آن، ابتدا بايد آن را به پورت access تبديل كنيد.

 

پيكربندي Port Security:

براي اعمال Port Security بر روي اينترفيس fa0/1، ابتدا پورت را به پورت access تبديل كنيد و سپس Port Security را فعال كنيد:

Mrshabake (config)#int fa0/1

Mrshabake (config-if)#switchport mode access

Mrshabake (config-if)#switchport port-security

بدون پيكربندي هيچ پارامتر خاص ديگري، ويژگي Port Security تنها اجازه مي دهد تا يك آدرس MAC در هر پورت سوئيچ (به صورت دايناميك) ياد گرفته شود. اين بدان معني است كه اگر يك MAC آدرس دوم در سوئيچ پورت مشاهده شود، پورت خاموش مي شود و در حالت err-disabled قرار مي گيرد.

از دستور sticky استفاده كنيد تا مك آدرس را به صورت دايناميك ياد بگيرد و محدوديت و اقدام مناسبي را كه بايد انجام شود را ارائه دهد.

Mrshabake (config-if)#switchport port-security

Mrshabake (config-if)#switchport port-security mac-address sticky

mac-address sticky تركيبي بين مك آدرس استاتيك و دايناميك است. هنگامي كه به صورت دايناميك ياد گرفته مي شود، به طور خودكار به عنوان يك MAC آدرس استاتيك در پيكربندي در حال اجرا وارد مي شود. سپس آدرس تا زمان راه اندازي مجدد در پيكربندي در حال اجرا نگهداري مي شود. در راه اندازي مجدد، MAC آدرس از بين خواهد رفت. اگر مهندس شبكه بخواهد MAC آدرس را در راه‌اندازي مجدد حفظ كند، ذخيره پيكربندي لازم است (write).

 

مشاهده وضعيت Port Security:

براي مشاهده وضعيت Port Security روي سوئيچ ها از دستور show port-security و همچنين دستور show port-security interfaces استفاده كنيد:

Mrshabake# show port-security address

          Secure Mac Address Table

——————————————————————-

Vlan    Mac Address       Type                Ports   Remaining Age

                                                         (mins)

—-    ———–       —-                —–   ————-

   1    0004.00d5.285d    SecureDynamic       Fa0/18       –

——————————————————————-

Total Addresses in System (excluding one mac per port)     : 0

Max Addresses limit in System (excluding one mac per port) : 1024

به عنوان مثالي ديگر بر روي يك اينترفيس خاص:

Mrshabake# show port-security interface fa0/18

Port Security                        : Enabled

Port Status                          : Secure-up

Violation Mode                       : Shutdown

Aging Time                           : 0 mins

Aging Type                           : Absolute

SecureStatic Address Aging           : Disabled

Maximum MAC Addresses                : 1

Total MAC Addresses                  : 1

Configured MAC Addresses             : 0

Sticky MAC Addresses                 : 0

Last Source Address                  : 0004.00d5.285d

Security Violation Count             : 0

 

تا كنون نظري ثبت نشده است
ارسال نظر آزاد است، اما اگر قبلا در رویا بلاگ ثبت نام کرده اید می توانید ابتدا وارد شوید.

آرشيو

تازه ترين مطالب

برچسب ها

پيوندها

خلاصه آمار

  • مجموع نمایش‌ ۱۶,۰۰۴
  • مجموع بازدید ۵,۰۰۴
  • بازدید امروز ۰
  • بازدید دیروز ۰
  • مجموع مطالب ۵۸۸
  • مجموع نظرات ۳
  • افراد آنلاین ۱
رویابلاگ : رسـانه وبلاگ نويسان حرفـه اي