پروتکل Port Security

پروتکل Port Security از سری IOS های کاتالیست به بعد در دسترس قرار گرفت. Port Security می تواند در برابر جعل MAC بسیار مفید عمل کند.

ما در سناریو خود پروتکل Port Security را در سوئیچ های لایه Access به سمت client پیاده سازی می کنیم تا کاربر نتواند دستگاهی با Mac Address متفاوت را بدون هماهنگی با ادمین شبکه به شبکه متصل نماید.

در سوئیچ های 2960 لایه access در سناریو زیر به سمت کلاینت می توان Port Security را پیاده نمود.

متداول تر است که از پروتکل Port Security در سوئیچ های Access و در اینترفیس سمت کلاینت استفاده گردد. اما می توان در بین سوئیچ ها نیز از این پروتکل استفاده کرد. برای استفاده از Port Security یا باید در مد access باشید و یا در مد trunk با غیرفعال کردن negotiation باشید.

هدف از اجرای پروتکل Port Security تعیین مک آدرس های trust برای اینترفیس سوئیچ است و تنها مک آدرس های معتبر قادر به اتصال به شبکه خواهند بود.

کانفیگ پروتکل Port Security

کانفیگ پروتکل Port Security در سوئیچ سیسکو به صورت زیر می باشد :

Switch(config)#interface fa0/2
Switch(config-if)#switchport mode access 
Switch(config-if)#switchport port-security 
Switch(config-if)#switchport port-security maximum 2 
Switch(config-if)#switchport port-security mac-address
    H.H.H 48 bit mac address 
    sticky Configure dynamic secure addresses as sticky 
Switch(config-if)#switchport port-security mac-address sticky 
Switch(config-if)#switchport port-security violation  
    protect Security violation protect mode 
    restrict Security violation restrict mode 
    shutdown Security violation shutdown mode 
Switch(config-if)#switchport port-security violation restrict

در خط سوم پروتکل فعال می شود و سه ویژگی پیش فرض برایش لحاظ می گردد. مقادیر پیش فرض به صورت زیر هستند.

Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown

در خط چهارم حداکثر تعداد مجاز Mac Address را مشخص میکنیم.

در خط پنجم یکی از دو گزینه تعیین دستی Mac Address یا تعیین خودکار آن (Sticky) را انتخاب می کنیم. در صورت انتخاب sticky اولین دستگاهی که به اینترفیس متصل گردد مک اصلی میشود.

در خط آخر هم عملکرد پروتکل پس از اتصال دستگاه غیر مجاز مشخص می شود. در صورتی که گزینه shutdown را انتخاب کنید در اوج امنیت قرار خواهید گرفت. در واقع در این حالت پس از اتصال دستگاه غیرمجاز اینترفیس به مد errdisable می رود و مانند اینترفیس خاموش عمل می کند. اگر دوباره دستگاه اصلی کاربر مجدد به این اینترفیس متصل شود اینترفیس از این مد خارج نمی شود و همچنان غیر فعال می ماند.

برای خارج کردن دستگاه از مد errdisable  دو راه دارید.

راه اول دستی است و باید ابتدا اینترفیس را خاموش کنید تا از مد errdisable خارج شود و سپس آن را روشن کنید.

Switch(config-if)#shutdown
Switch(config-if)#no shutdown

اما راه دوم خودکار است. در واقع تنظیم می کنیم که چند ثانیه پس از ورود به مد errdisable خودکار از این حالت خارج شود !!

Switch(config-if)#errdisable  recovery cause psecure-violation
Switch(config-if)#errdisable  recovery interval 2323

اما در دو مد restrict و protect میزان امنیت پایین تر است و تنها دستگاه غیرقانونی اجازه اتصال به اینترفیس را نخواهد داشت و حتی بعد از اتصال دستگاه غیر مجاز اگر باز هم دستگاه مجاز را به اینترفیس متصل کنید ارتباط برقرار می شود. تفاوت این دو فقط در این هست که protect هیچ لاگی در syslog ثبت نمی کند و هیچ هشدار یا آلارمی نمی فرستد. روش protect اصلا توصیه نمی شود. اما بین روش restrict و shutdown  می توانید بسته به شرایط گزینه مناسب را انتخاب نمایید. روش restrict و protect از طریق ابزار yersinia قابل دور زدن است.

در این مقاله با نحوه پیاده سازی پروتکل Port Security در سوئیچ سیسکو آشنا شدید. همچنین می توانید به مقاله پیاده سازی Inter Vlan Routing نیز در صورت تمایل مراجعه نمایید.