در این مقاله پیاده سازی پروتکل Port Security در سوئیچ سیسکو را بررسی می نماییم.
پروتکل Port Security
پروتکل Port Security از سری IOS های کاتالیست به بعد در دسترس قرار گرفت. Port Security می تواند در برابر جعل MAC بسیار مفید عمل کند.
ما در سناریو خود پروتکل Port Security را در سوئیچ های لایه Access به سمت client پیاده سازی می کنیم تا کاربر نتواند دستگاهی با Mac Address متفاوت را بدون هماهنگی با ادمین شبکه به شبکه متصل نماید.
در سوئیچ های 2960 لایه access در سناریو زیر به سمت کلاینت می توان Port Security را پیاده نمود.
متداول تر است که از پروتکل Port Security در سوئیچ های Access و در اینترفیس سمت کلاینت استفاده گردد. اما می توان در بین سوئیچ ها نیز از این پروتکل استفاده کرد. برای استفاده از Port Security یا باید در مد access باشید و یا در مد trunk با غیرفعال کردن negotiation باشید.
هدف از اجرای پروتکل Port Security تعیین مک آدرس های trust برای اینترفیس سوئیچ است و تنها مک آدرس های معتبر قادر به اتصال به شبکه خواهند بود.
کانفیگ پروتکل Port Security
کانفیگ پروتکل Port Security در سوئیچ سیسکو به صورت زیر می باشد :
Switch(config)#interface fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 2
Switch(config-if)#switchport port-security mac-address
H.H.H 48 bit mac address
sticky Configure dynamic secure addresses as sticky
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode
Switch(config-if)#switchport port-security violation restrict
در خط سوم پروتکل فعال می شود و سه ویژگی پیش فرض برایش لحاظ می گردد. مقادیر پیشفرض به صورت زیر هستند.
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchportport-security maximum 1
Switch(config-if)#switchport port-security violation shutdown در خط چهارم حداکثر تعداد مجاز Mac Address را مشخص میکنیم.
در خط پنجم یکی از دو گزینه تعیین دستی Mac Address یا تعیین خودکار آن (Sticky) را انتخاب می کنیم. در صورت انتخاب sticky اولین دستگاهی که به اینترفیس متصل گردد مک اصلی میشود.
در خط آخر هم عملکرد پروتکل پس از اتصال دستگاه غیر مجاز مشخص می شود. در صورتی که گزینه shutdown را انتخاب کنید در اوج امنیت قرار خواهید گرفت. در واقع در این حالت پس از اتصال دستگاه غیرمجاز اینترفیس به مد errdisable می رود و مانند اینترفیس خاموش عمل می کند. اگر دوباره دستگاه اصلی کاربر مجدد به این اینترفیس متصل شود اینترفیس از این مد خارج نمی شود و همچنان غیر فعال می ماند.
برای خارج کردن دستگاه از مد errdisable دو راه دارید.
راه اول دستی است و باید ابتدا اینترفیس را خاموش کنید تا از مد errdisable خارج شود و سپس آن را روشن کنید.
Switch(config-if)#shutdown
Switch(config-if)#no shutdownاما راه دوم خودکار است. در واقع تنظیم می کنیم که چند ثانیه پس از ورود به مد errdisable خودکار از این حالت خارج شود !!
Switch(config-if)#errdisable recovery cause psecure-violation
Switch(config-if)#errdisable recovery interval 2323اما در دو مد restrict و protect میزان امنیت پایین تر است و تنها دستگاه غیرقانونی اجازه اتصال به اینترفیس را نخواهد داشت و حتی بعد از اتصال دستگاه غیر مجاز اگر باز هم دستگاه مجاز را به اینترفیس متصل کنید ارتباط برقرار می شود. تفاوت این دو فقط در این هست که protect هیچ لاگی در syslog ثبت نمی کند و هیچ هشدار یا آلارمی نمی فرستد. روش protect اصلا توصیه نمی شود. اما بین روش restrict و shutdown می توانید بسته به شرایط گزینه مناسب را انتخاب نمایید. روش restrict و protect از طریق ابزار yersinia قابل دور زدن است.
در این مقاله با نحوه پیاده سازی پروتکل Port Security در سوئیچ سیسکو آشنا شدید. همچنین می توانید به مقاله پیاده سازی Inter Vlan Routing نیز در صورت تمایل مراجعه نمایید.
محمدرضا جانبازی رودسری
من محمدرضا جانبازی رودسری مهندس شبکه هستم. کارشناسی ارشدم را در نوشیروانی بابل در گرایش مدارمجتمع الکترونیک گذراندم و مقاله ای در مورد OFDM با محوریت فرمول زیبا و خارق العاده تبدیل فوریه منتشر کردم. بعد از یک سال و نیم برنامه نویسی جاوا مقدماتی تصمیم گرفتم بر روی بورد های FPGA کار کنم و زبان VHDL (زبان توصیف سخت افزار ) را به مدت یک سال در دانشگاه گیلان تدریس کردم. اما حس جاه طلبیم باعث شد به حوزه زیرساخت شبکه وارد شوم و بعد از یک سال کار به عنوان تکنسین شبکه دوره های CCNA و CCNP و VCP و CEH و MCSA را گذراندم. همچنین علاقه زیادی به فلسفه یونیکسی دارم و freebsd و pfsense و vim editor جذابیت خاصی برایم دارند. همچنین اعتقاد دارم کسی نباید اطلاعات را زندانی کند و داده باید آزادانه از مغزی به مغزی دیگر منتقل شود.
دیدگاهتان را بنویسید