آموزش Port Security در سویچ های سیسکو

آموزش Port Security در سویچ های سیسکو

آموزش Port Security در سویچ های سیسکو

یکی از ویژگی های لایه 2 در سويیچ های کاتالیست catalist سیسکو . پورت سکیوریتی port security می باشد

برای وارد شدن به گروه تخصصی شبکه لینک زیر را کلیک کنید

گروه تخصصی امنیت شبکه

پورت سکیوریتی port security این امکان را می دهد که به تعداد خاصی از پورت ها اجازه ورود دهد

که یکی از ویژگی های مهم هر ادمین می باشد ویژگی port security باعث می شود جلوورود افراد غیر مجاز به شبکه را می گیرد  به طور مثال یک یا دو کاربر فقط از یک پورت می توانند استفاده کنند نفر سوم اگر بخواهد وارد شود اجازه ورود  به شبکه را ندارد


اولین کار برای اینکه بخواهیم امنیت یک سوییچ را برقرار کنیم پورت های اضافی سویچ را خاموش می کنیم

مثال یک سویچ داریم با دو تا سیستم ما باید از پورت 3 تا 24 را خاموش کنیم

خاموش کردن پورت های اضافی
خاموش کردن پورت های اضافی

Switch#show interfaces FAstEthernet 0/1

Switch(config)#interface range fastEthernet 0/3 – 24
Switch(config-if-range)#shutdown

الان دو سیستم داریم که اجازه ورود به سیستم سومی را نمیده چرا ؟ چون پورتش توسط ادمین خاموش شد و این خاموش کردن به منزله امنیت کامل نیست یعنی اگر شخص غیر مجاز پورت سیستم یک را به سیستم خود بزند می تواند وارد شبکه شود و اینجاست که port security  به کمک ما می آيد

آموزش Port Security در سویچ های سیسکو

با پورت سکیوریتی دو تا کار مهم را انجام می دهیم

1- mac address

یعنی هیچ ادرسی غیر از مک mac این سیستم اجازه ورود نداشته باشد و اگر غیر از این سیستم بخوادوارد شبکه ما شود رفتار دیگه ای را نشان می دهید violation مثلا خاموش شود

پس یکی از ویژگی های پورت سکیوری port security این است جلو افراد ناشناس را می گیرد

2- port security ترافیک را کنترل می کند

یعنی به طور مثال این ویژگی جنبه امنیتی نداره تعدا ورودی از پورت ها را کنترل میکنه یعنی میگه از این پورت دو تا سیستم وارد بشه کار نداره که چه سیستمی باشه


یک نکته بسیار مهم پورت سکیوریتی port security فقط می توانیم روی پورت های اکسس access داشته باشیم

Switch#show interfaces FAstEthernet 0/1
Switch(config-if)#switchport mode access

و برای فعال کردن پورت سکیوریتی باید دستور زیر را وارد کنید

Switch#show interfaces FAstEthernet 0/1
Switch(config-if)#switchport port-security

سناریو پورت سکیوریتی port security

من یک سرور دارم و یک سوییچ و یک pc که فقط میخواهیم این سوییچ مک ادرس این کامپیوتر را بشناسد و غیر از این مک ادرس هیچ سیستمی را نمی شناسد

اموزش پورت سکیوریتی portsecurity
اموزش پورت سکیوریتی portsecurity

Switch#show interfaces FAstEthernet 0/2

Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac-address 0002.1759.062E

برای بدست اوردن مک ادرس با دستور ip config /all

یا روی pc در پکیت تریسر در قسمت کانفیگ config روی fast ethernet کلیک میکنی و مک ادرس را میتونی کپی کنید یا روی کارت شبکه کلیک راست کنید و در قسمت status گزینه ی deatails قسمت phisical address مک را کپی کنید

آموزش Port Security در سویچ های سیسکو

الان دستور را بزنیم show portsecurity

Switch#show port-security interface fastEthernet 0/2
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0

اگر کسی غیر از کامپیوتری که ما اجازه دادیم خواست وارد شبکه شود سریع پورتش برای کامپیوتر غیر مجاز خاموش می شود یعنی ویولیشن violation شات داون shutdown است و مک کامیپتر غیر مجاز در Last Source Address:Vlan ثبت می شود

در واقع مک اخرین نفری که خواست به شبکه ما نفوذ کند را ثبت کرده

این روش برای یک شبکه کوچیک بود که دستی مک ادرس رو اضافه کردیم ولی اگر یک شبکه داشتیم که چندین سوییچ داشتیم دیگه روش دستی مک ادرس فایده نداره باید از روش استفاده کنیم که خودش مک ادرس سیستم های شبکه را بگیرد


برای اینکه مک ادرس را بدست بیاریم باید از دستور زیر استفاده کنیم

برای اینکه مک ادرس را بدست بیاریم باید از دستور زیر استفاده کنیم

Switch(config)#interface range fastEthernet 0/1-4
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport port-security
Switch(config-if-range)#switchport port-security mac-address sticky

اینجا ۴ تا سیستم با ایپی 192.168.10.1 تا 10.4 ست کردم برای سیستم ها و مک ادرس ان ها را sticky گذاشتم

حالا از ابزار تولز های پینگ استفاده می کنم

ping 192.168.10.255

حالا همه ان ها به من جواب دادند

دستور show run بزنیم تمام مک ادرس های استیکی شده را به ما نمایش می دهد

این روش روش ایزوله کردن شبکه ماست

با دستور sticky کسانی توی شبکه هستند که باید باشند افراد غیر مجاز دیگر دسترسی نداره


از ابزار های مثل

port monitor

port scaner

ping monitor

استفاده کنید برنامه های خوبی هستند

یعنی یک غریبه وارد شبکه ما شود پورت خاموش میشود


نکات مهم برای امنیت

1- vlan 1 را باید خالی کنیم

2- پورتی را در حالت داینامیک قرار ندهیم

باید حتما پورت سکیوریتی بزارید روی پورت های اکسس


سناریو port security

در این سناریو ما فقط میخواهیم دو تا سیستم بتوانند به سرور وصل شوند بقیه حق دسترسی نداشته باشند

به شکل زیر نگاه کنید

آموزش Port Security در سویچ های سیسکو
آموزش Port Security در سویچ های سیسکو

Switch#show interfaces FAstEthernet 0/1
Switch>en
Switch#conf t
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 3

چرا 3 گذاشتیم چون مک سوییچ م شرط هست حتما باید سویچ را هم اضافه کنیم یعنی سوییچ و دو سیستمش که بهش وصل هستند یعنی دو تا سیستم میخواستیم باید 3 تا بنویسیم

اگر دو بزاریم یکی سوییچ و یک از سیستم ها می توانند وصل شوند

الان سیستم 1 و 2 می توانند سرور را پینگ کنند و هیچ مشکلی نداره ولی سیستم سوم سرور را پینگ کنند پورت ما سریع خاموش می شود

الان سیستم 1 و 2 می توانند سرور را پینگ کنند و هیچ مشکلی نداره ولی سیستم سوم سرور را پینگ کنند پورت ما سریع خاموش می شود و کلا سیستم 1 و 2 هم نمی توانند وصل شوند و در واقع یکی از ضعف هاش هستند باید بیاییم وایولیشن را تنظیم کنیم که اگر سیستم سوم خواست وارد شود پورت ما را خاموش نکن

این دستور را بهش اضافه میکنیم

Switch(config-if)#switchport port-security violation restrict


violation در port securtiy

وایولیشن violation سه آپشن داره

-1 protect

2- restrict

shut down


تفاوت بین restrict و protect چیست

اگر vlan داشتیم یعنی trunk داریم

جاهایی که vlan داریم دو طرف ترانک trunk

پس باید هر دو طرف پورت ترانک باشند یک طرف نباید داینامیک باشند که پورت سکیوریتی کار نمی کند

جاهایی که یک vlan داریم مثل سناریو بالا که توضیح دادم مد اکسس است

داینامیک اوتو daynamic outo و daynamic desirable کار نمی کند

امیدوارم از مطالب وب سایت راضی باشید و برای آموزش های بیشتر وارد کانال و گروه اموزش ما شویید

کانال اموزشی سیسکو

گروه گپ سیسکو

port security
port security
port security
port security

مطلب پیشنهادی

SFP چیست و تفاوت با +SFP وQSFP

SFP چیست و تفاوت با +SFP وQSFP

SFP چیست و تفاوت با +SFP وQSFP SFP  و SFP + یا QSFP  گیرنده هایی …

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد.