تبلیغات
ترفندهای جالب و داغ داغ ویندوز، اینترنت،موبایل و... - آشنایی با Switch port security
 
ترفندهای جالب و داغ داغ ویندوز، اینترنت،موبایل و...
 
 
دوشنبه 24 مرداد 1390 :: نویسنده : s.morteza_s
یكی از مسائل در حال رشد كه امروزه مدیران شبكه با آن برخورد می‌كنند نحوه كنترل دسترسی افراد به شبكه داخلی سازمانشان می‌باشد. به عنوان مثال آیا هر شخصی می‌تواند وارد سازمان شده، laptop خود را به پریز شبكه متصل كرده و به شبكه داخلی دسترسی داشته باشد؟ ممكن است جواب شما به این پرسش این باشد كه هر پریز شبكه روی دیوار به سوئیچ متصل نیست. ولی اگر شخصی كابل اترنت را از PC  در حال كاری جدا كند و به شبكه متصل شود چطور؟ شاید این سناریو غیر ممكن به نظر بیاید ولی این اتفاق بارها در سازمان‌های مختلف پیش آمده است. مسئله‌ای كه بیش از هرچیز در این مورد نگران كننده است ویروس‌ها و wormهای مختلفی است كه PCشخص غیر مجاز متصل شده به شبكه ممكن است داشته باشد. Switchport security برای حل این مشكل به شما كمك می‌كند. در ادامه به بررسی ویژگی‌هایCisco''s Port Security خواهیم پرداخت.

مفاهیم اولیه

در ساده‌ترین حالت Port Security آدرس MAC متصل به پورت سوئیچ را به خاطر می‌سپارد وفقط به همان آدرس MAC اجازه برقراری ارتباط با پورت سوئیچ را می‌دهد. اگر آدرس MAC دیگری بخواهد از طریق همان پورت به شبكه متصل شود، پورت مذكورغیرفعال می‌شود. اكثر اوقات مدیران شبكه سوئیچ را طوری تنظیم می‌كنند كه یكSNMP trap به سیستم مانیتورینگ مبنی بر غیر فعال شدن یك پورت به دلایل امنیتی فرستاده شود.

اگر چه پیاده‌سازی راه‌حل های امنیتی همیشه شامل یك trade-off می‌باشد و لی این كاهش سهولت  در مقابل افزایش امنیت سیستم می‌باشد. وقتی شما از Port Securityاستفاده می‌كنید می‌توانید از دسترسی دستگاه‌های مختلف به شبكه جلوگیری كنید و این امر موجب افزایش امنیت می‌شود. ولی از طرف دیگر فقط مدیر شبكه است كه می‌تواند پورت را فعال كند و این امر در جایی كه به دلایل مجاز قرار به تغییردستگاه‌ها ‌باشد ایجاد مشكل می‌كند.

 

تنظیم  Port Security

 

تنظیمات Port Security نسبتا ً ساده می‌باشد. در آسان‌ترین حالت كافی‌است دستورات زیر اعمال شود:

Switch# config t

Switch(config)# int fa0/18

  ?Switch(config-if)# switchport port-security

aging                Port-security aging commands

mac-address     Secure mac address

maximum         Max secure addresses

violation           Security violation mode

Switch(config-if)# switchport port-security

Switch(config-if)#^Z

با وارد كردن ابتدایی‌ترین دستور، تنظیمات پیش فرض كه اجازه دسترسی فقط به یك آدرس  MAC  (آدرس دستگاهی كه اولین بار به پورت سوئیچ وصل شده است.)می‌باشد، اعمال می‌گردد. و در صورتی كه دستگاه دیگری بخواهد با آن پورت ارتباط برقرار كند، پورت سوئیچ خاموش می‌شود. ولی قطعا ً تنظیمات پیش فرض مد نظر شما نمی‌باشد.

 

شناخت سایر امكانات

 

همانطور كه در مثال بالا مشاهده كردید، دستورات Port Security دیگری وجود دارند كه قابل تنظیم می‌باشند از جمله:

  • switchport port-security maximum {max # of MAC addresses allowed} : با استفاده از این دستور می‌توان تعداد پیش فرض آدرس‌های MAC كه یك عدد می‌باشد راتغییر داد. به عنوان مثال اگر به پورت سوئیچ شما یك هاب 12 پورتی متصل باشد، 12 آدرس MAC كه هر كدام مربوط به یك دستگاه می‌باشد باید اجازه دسترسی داشته باشند. بیشترین تعداد آدرس MAC كه قابل تنظیم است، 132 می‌باشد.

  • switchport port-security violation {shutdown | restrict | protect} : این دستور به سوئیچ می ‌گوید در صورتی كه تعداد بیشتری دستگاه از ماكزیمم تعداد آدرس MAC مجاز به پورت متصل شود، پورت وارد چه حالتی شود. حالت پیش فرض shutdown می‌باشد. درحالت restrict به مدیر شبكه هشدار داده می‌شود و در حالت protect  بسته‌هایی كه از طرف آدرس غیر مجاز ارسال می‌شود دور ریخته می‌شوند.

  • switchport port-security mac-address {MAC address} : با استفاده از این دستور می‌توان آدرس MAC مجاز برای هر پورت را به صورت دستی برای آن تنظیم كرد. (به جای اینكه هر پورت آدرس را به صورت پویا شناسایی كند.) همچنین می‌توان Port Security را برای یك رنج از پورت‌ها تعریف كرد. به عنوان مثال:

Switch # config t

Switch (config) # int range fastEthernet 0/1 - 24 

Switch (config-if) # switchport port-security

در مورد كاربرد این دستور می‌بایست بسیار محتاط بود چرا كه اگر این دستور برای یك پورت uplink كه به بیش از یك دستگاه وصل است، استفاده شود به محض اینكه دستگاه دوم بسته‌ای را بفرستد، پورت خاموش می‌شود.

 

مشاهده وضعیت  Port Security

 

برای دانستن وضعیت Port Security میتوان از دستورات show port-security addressوshow port-security interface استفاده كرد:

Switch# show port-security address        

          Secure Mac Address Table

---------------------------------------------------------------------------------

Vlan    Mac Address       Type                    Ports     Remaining Age

                                                             (mins)   

----       -----------           ----                    -----         -------------

   1    0004.00d5.285d    SecureDynamic      Fa0/18          -

--------------------------------------------------------------------------------

Total Addresses in System (excluding one mac per port)        : 0

Max Addresses limit in System (excluding one mac per port)   : 1024

 

Switch# show port-security interface fa0/18

Port Security                          : Enabled

Port Status                            : Secure-up

Violation Mode                       : Shutdown

Aging Time                            : 0 mins

Aging Type                            : Absolute

SecureStatic Address Aging     : Disabled

Maximum MAC Addresses       : 1

Total MAC Addresses              : 1

Configured MAC Addresses      : 0

Sticky MAC Addresses             : 0

Last Source Address               : 0004.00d5.285d

Security Violation Count          : 0

 

Switch#

برای كسب اطلاعات بیشتر در مورد Port Security و تنظیمات مربوط به آن به سند فعال سازی Port Security  برای سوئیچ Catalyst 2950 به آدرسCisco''s Enabling Port Security documentation مراجعه كنید.

به نقل از پرشین هک




نوع مطلب : مقالات، هک، 
برچسب ها : هک،
لینک های مرتبط :


دوشنبه 30 مرداد 1396 03:33 ب.ظ
You actually make it seem so easy with your presentation but I find this matter to be actually
something that I think I would never understand. It seems too complicated and extremely
broad for me. I am looking forward for your next post, I'll try to
get the hang of it!
چهارشنبه 18 مرداد 1396 07:23 ب.ظ
Having read this I thought it was really enlightening. I appreciate you finding the time and effort to put this content together.

I once again find myself personally spending a significant amount of time both reading and posting comments.
But so what, it was still worthwhile!
شنبه 14 مرداد 1396 04:26 ب.ظ
Hey there! I just wish to offer you a big thumbs up for your excellent information you've got
here on this post. I'll be returning to your blog for more soon.
 
لبخندناراحتچشمک
نیشخندبغلسوال
قلبخجالتزبان
ماچتعجبعصبانی
عینکشیطانگریه
خندهقهقههخداحافظ
سبزقهرهورا
دستگلتفکر


درباره وبلاگ


هر که منظور خود از غیر خدا
می طلبد چون گدایی است که حاجت ز گدا می طلبد.

سلام به همه دوستان.
من سعی می کنم مطالب مفیدی که بیشترین کاربرد رو داره و به درد دوستان میخوره رو تو این وبلاگ بذارم.

مدیر وبلاگ : s.morteza_s
مطالب اخیر
نویسندگان
نظرسنجی
سلام،نظرت راجع به وبلاگم چیه؟؟؟








جستجو

آمار وبلاگ
کل بازدید :
بازدید امروز :
بازدید دیروز :
بازدید این ماه :
بازدید ماه قبل :
تعداد نویسندگان :
تعداد کل پست ها :
آخرین بازدید :
آخرین بروز رسانی :

زیر باران