امن سازی سوئیچ های سیسکو | امنیت در سوئیچ های سیسکو

امن سازی سوئیچ های سیسکو | امنیت در سوئیچ های سیسکو

سطوح امنسازی در سوئیچهای لایه 2

امنسازی Management plane

پیکربندی و محدودسازی Lineهای VTY

 فعال کردن SSH

تنظیمات Time and NTP

غیرفعال کردن سرویسهای غیرضروری

جلوگیری از TCP SYN Flood و Buffer Overflow

 امنسازی پسوردها

جلوگیری از تلاشهای ناموفق ورود

 پیادهسازی MPP

پیادهسازی Login Block For

تنظیمات Syslog

امنسازی Control plane

تنظیمات VTP

تنظیمات Spanning-tree

 تنظیمات امنیتی پورت Trunk

تنظیمات امنیتی Port Security

 تنظیمات امنیتی DHCP

تنظیمات امنیتی ARP

تنظیمات IP Source Guard

 امنسازی Data plane

 غیرفعالسازی ترافیکهایIP Option  و سرویس IP Redirect

تنظیمات Access Control List

امن سازی سوئیچ های سیسکو | امنیت در سوئیچ های سیسکو

دستورالعمل­های امن­سازی سوئیچ­های لایه 2

• مقدمه

این سند راهنمایی برای پیکربندی امن سوئیچ­های لایه 2 می­باشد. در این سند مقادیر و تنظیمات امن برای پیکربندی ارائه‌شده است. مخاطب، با استفاده از این سند توانایی پیاده‏سازی تنظیمات ارائه‌شده را خواهد داشت. این سند به‌منظور استفاده مدیران شبکه و متخصصان امنیت شبکه وزارت راه و شهرسازی تدوین گردیده است که می­تواند مرجعی برای پیکربندی امن برای سوئیچ­های لایه 2 باشد.

پوشش ویژگی­های امنیتی در این سند، اغلب جزئیات کافی برای پیکربندی ویژگی­های امن سوئیچ­های لایه 2 را در اختیار کارفرما قرار خواهد داد. این سند حاوی توصیه­هایی است که در صورت امکان و وجود شرایط لازم در سازمان جهت پیاده­سازی این دستورالعمل­ها، به امنیت شبکه کمک شایانی می­کند. لازم به ذکر است بیشتر تنظیمات پیشنهادی این مستند به‌جز مواردی محدود مانند AAA، بدون نیاز به سخت­افزار یا نرم­افزار خاصی بر روی تجهیزات لایه 2 قابل پیاده­سازی می­باشند.

• سطوح امن­سازی در سوئیچ­های لایه 2

این سند، اطلاعاتی را برای راهنمایی کارفرما و کارشناسان در امن­سازی سوئیچ­های لایه 2 شرح داده است که باعث افزایش امنیت کلی شبکه در سازمان می­شود. در این سند با در نظر گرفتن سه ساختار مهم عملکرد دستگاه­ها با کمک اسناد مربوطه توصیه­های امن­سازی گردآوری‌شده است.

در سوئیچ­های لایه 2 سه سطح عملکرد مختلف جهت امن­سازی وجود دارد که هرکدام عملکردهای مختلفی را ارائه می­دهند:

• امن­سازی Management Plane

Management Plane ترافیکی که به دستگاه ارسال می­شود و از برنامه­ها و پروتکل­هایی مانند Secure Shell (SSH) و Simple Network Management Protocol (SNMP) تشکیل‌شده است را، مدیریت می­کند.

• امن­سازیControl Plane

Control Plane ترافیکی را پردازش می­کند که برای Maintain عملکرد زیرساخت شبکه از اهمیت بالایی برخوردار است. Control Plane شامل Applicationها و پروتکل­هایی بین دستگاه­های شبکه است که شامل پروتکل Border Gateway (BGP) و همچنین پروتکل­های Interior Gateway (IGP) مانندEnhanced Interior Gateway Routing Protocol (EIGRP) و Open Shortest Path First (OSPF) است.

• امن­سازیData Plane

Data Plane داده را از طریق دستگاه­های شبکه Forward می­کند. لازم به ذکر است که Data Plane شامل ترافیکی نیست که مقصد خود دستگاه باشد.

پوشش ویژگی­های امنیتی در این سند، اغلب جزئیات کافی برای پیکربندی ویژگی­های امن سوئیچ­های لایه 2 را در اختیار کارفرما قرار خواهد داد. این سند حاوی توصیه­هایی است که در صورت امکان و وجود شرایط لازم در سازمان جهت پیاده­سازی این دستورالعمل­ها، به امنیت شبکه کمک شایانی می­کند.

• امن­سازی Management plane

پروتکل­های مدیریتی مانند SSH ,HTTP ,HTTPS ,SNMP ,NTP ,NETFLOW و… در دستگاه­ها، نیاز به امن­سازی دارند تا بتوان ایجاد محدودیت کرد که امکان مدیریت دستگاه­ها را فراهم کند و حتی پروتکل­های ناامنی مانند TELNET، HTTP و… را بر روی دستگاه غیرفعال کرد. در کنار این موارد استفاده از نسخه­های به­روز پروتکل­هایی مانندSNMP ,NTP  و… از اهمیت بالایی برخوردار است.

• • پیکربندی و محدودسازی Lineهای VTY

روش­های مختلفی برای دسترسی به روتر، سوئیچ یا Deviceهای سیسکو وجود دارد مانند پورت Console و پورت­های مجازی Line VTY و غیره. برای امنیت بیشتر Lineهای VTY و کنسول می­توان از محدود کردن این قسمت­ها استفاده کرد.

جدول 2- Lineهای VTY و کنسول

پیکربندی	عنوان	ردیف
پیکربندی Lineکنسول به احراز هویت از AAA
hostname(config)#line console 0 hostname(config-line)#login authentication {default | aaa_list_name}	پیکربندی  Line Con 0	1
پیکربندی و محدودسازیVTY 0 1   Line
hostname(config)#line vty 0 1 hostname(config-line)#login authentication {default | aaa_list_name}	پیکربندی نحوه ورود به  Line vty 0 1 به احراز هویت از AAA	2
hostname(config)#line vty 0 1 hostname(config-line)#exec-timeout 5 0	پیکربندی Timeout	3
hostname(config)#line vty 0 1 hostname(config-line)# Privilege Level 15	تنظیم Privilege Level	4
hostname(config)#line vty 0 1 hostname(config-line)# Transport input ssh	تنظیم Transport Input	5
hostname(config)#line vty 0 1 hostname(config-line)# Transport output none	تنظیم Transport Output	6
پیکربندی و محدودسازیVTY 2 15   Line
hostname(config)#line vty 2 15 hostname(config-line)#no exec	غیرفعال­سازی line	7
hostname(config)#line vty 2 15 hostname(config-line)# Transport input none	تنظیم Transport input	8
hostname(config)#line vty 2 15 hostname(config-line)# Transport output none	تنظیم Transport output	9
پیکربندی  ACLجهت محدودسازی دسترسی بهLine­های دستگاه
hostname(config)#access-list 10 permit <Network Addr> <Wildcard Mask> hostname(config)#line vty <Line Number> hostname(config)#access-class 10 in	پیکربندی ACL	10

• فعال کردن SSH

با توجه به ماهیت Clear text بودن پروتکل Telnet، امکان Sniff کردن این پروتکل زیاد است و ممکن است اطلاعات مهمی مانند کلمات عبور تجهیزات، افشا شوند. بنابراین استفاده از پروتکلVersion2  SSH به همراه طول کلید مناسب برای تمامی تجهیزات شبکه الزامی است. به‌روزرسانی IOS تجهیزات به نسخه­ای که ویژگی SSH را پشتیبانی می­کند ضروری می­باشد. البته باید دقت داشته باشید که این ویژگی در نسخه­هایK9  از IOS­ پشتیبانی می­شود.

جدول 3- پیکربندی SSH

پیکربندی	عنوان	ردیف
hostname(config)#hostname{switch or router name}	تنظیم نام دستگاه	1
hostname (config)#ip domain-name{domain-name}	تنظیم نام دامنه	2
hostname(config)#crypto key generate rsa general-keys modulus 2048	تنظیمCrypto Key Generate RSA	3
hostname(config)#ip ssh timeout [60]	تنظیم زمان برای ارتباط SSH	4
hostname(config)#ip ssh authentication-retries [3]	محدود کردنIP SSH Authentication-retries	5
hostname(config)#ip ssh version 2	استفاده از SSH نسخه 2	6
hostname(config)#line vty <line-number> <ending-line-number> hostname(config-line)#transport input ssh	تنظیم SSH برای Line VTY و غیرفعال کردن Telnet	7

• تنظیمات Time and NTP^[1]

هم­زمان­سازی زمان و تاریخ تجهیزات شبکه برای ثبت و ضبط رخدادها و نیز امکان رهگیری، از الزامات امنیتی و کنترلی است. تنظیمات مذکور می­بایست به­گونه­ای باشد که سوئیچ­های ناحیه Core بتوانند باNTP ، خود را هم‌زمان سازند و دستگاه­ها و تجهیزات داخلی بتوانند خود را با آن­ها هم‌زمان سازند. در خصوص پیکربندی سرویس NTP رعایت موارد زیر پیشنهاد می­گردد.

جدول 5- پیکربندی NTP

پیکربندی	عنوان	ردیف
hostname(config)# clock timezone TEH +3 30	تنظیم Time Zone	1
hostname(config)#ntp authenticate	تنظیم NTP authenticate	2
hostname(config)#ntp authentication-key{ntp_key_id} md5 {ntp_key}	تنظیم NTP authentication-key	3
hostname(config)#ntp trusted-key {ntp_key_id}	تنظیم NTP trusted-key	4
hostname(config)#ntp server {ntp-server_ip_address}{key ntp_key_id}	تنظیم key for each NTP sever	5
hostname(config)#ntp server {ip address}	تنظیم ip address for NTP server	6

• غیر­فعال کردن سرویس­های غیرضروری

فعال بودن سرویس­های غیرضروری سبب ایجاد حفره­های امنیتی در تجهیزات شبکه می­شود که امکان سوءاستفاده از آن­ها را برای انجام کارهای مخرب فراهم می­نماید. لذا جهت افزایش امنیت و کاهش نقاط آسیب­پذیر شبکه، می­بایست کلیه سرویس­های غیرضروری بر روی تجهیزات شبکه غیرفعال گردد. با توجه به وضعیت فعلی پیکربندی تجهیزات شبکه پیشنهاد می­گردد حداقل سرویس­های ذیل غیرفعال گردند. لازم به ذکر است که ممکن است دستگاه، تمامی این موارد را پشتیبانی نکند.

جدول 6- غیرفعال کردن سرویس­های غیرضروری

پیکربندی	عنوان	ردیف
hostname(config)#int { interface_number} [Access Port] hostname(config-if)#no cdp enable	غیرفعال کردن سرویسCDP  بر روی پورت­های Access در صورت عدم استفاده از Cisco VOIP	1
hostname(config)#no lldp run	غیرفعال کردن LLDP روی تمامی پورت­ها	2
hostname(config)#no ip bootp server hostname(config)#ip dhcp bootp ignore	غیرفعال کردن سرویس BOOTP	3
hostname(config)#no service dhcp	غیرفعال کردن سرویس DHCP	4
hostname(config)#no ip finger	غیرفعال کردن سرویس Finger	5
hostname(config)#no ip domain-lookup	غیرفعال کردن سرویسDNS  در دستگاه	6
hostname(config)#no ip http server hostname(config)#no ip http secure-server	غیرفعال کردن سرویس HTTP و HTTPS	7
hostname(config)#no vstack join-window mode hostname(config)#no vstack	غیرفعال کردن سرویس Vstack	8

• جلوگیری از TCP SYN Flood و Buffer Overflow

حمله‌ SYN flood در دسته‌ حمله‌های DDoS قرار می‌گیرد و مانند این حمله‌ها، سعی می‌کند با ارسال درخواست و مشغول نگه‌داشتن سرور، ظرفیت سرور برای پاسخ‌گویی به درخواست‌ها را به حداقل ممکن برساند و مانع دسترسی کاربران به سرویس شود. زمانی که یک کاربر (برای نمونه یک مرورگر) قصد دارد با استفاده از پروتکل TCP به سروری وصل شود، ابتدا یک پیام SYN برای سرور ارسال می‌کند. کاربر با ارسال این پیام، اطلاعاتی را در اختیار سرور می‌گذارد که از آن‌ها پس از ایجاد TCP connection و برای تبادل اطلاعات استفاده می‌شود. سرور در جواب پیام SYN، یک پیام ACK ارسال می‌کند که نشان‌دهنده‌ی دریافت پیام SYN کاربر است. سپس، به شکل هم‌زمان یک پیام SYN را نیز، برای کاربر ارسال می‌کند. در پایان اگر کاربر هم برای سرور جواب ACK را ارسال کند، TCP connection برقرار می‌شود.

جدول 7- پیکربندی جهت جلوگیری از TCP Syn Flood

پیکربندی	عنوان	ردیف
hostname (config)# service tcp-keepalives-in hostname (config)# service tcp-keepalives-out	فعال­سازی  TCP Keepalive	1

• امن­سازی پسوردها

امن­سازی تمامی پسورد­های داخل Database دستگاه با انجام الگوریتم­های Hash روی پسوردهای متن‌باز.

جدول 9- امن­سازی پسوردها

پیکربندی	عنوان	ردیف
hostname(config)#username [username] secret [password]	تنظیم User	1
hostname(config)#service password-encryption	رمزنگاری کردن تمامی پسوردهای داخل دستگاه	2
hostname(config)#enable secret [password]	تنظیم پسورد برای ورود به Privilege Mode	3

• جلوگیری از تلاش­های ناموفق ورود

به کمک این روش می­توان مشخص کرد که اگر ورود ناموفق به دستگاه تا تعداد موردنظر صورت گرفت آن USER را بلاک کرد.

جدول 10- جلوگیری از تلاش ناموفق ورود

پیکربندی	عنوان	ردیف
hostname(config)# aaa local authentication attempts max-fail <max-attempts>	قفل‌کردن یوزر در صورت تعداد تعیین‌شده نادرست ورود به دستگاه	1

• پیاده­سازی MPP

با پیاده­سازیMPP  یاManagement Plane Protection  می­توان مشخص کرد که برای مدیریت دستگاه از چه پروتکل­هایی استفاده کرد و از چه پورت­هایی بتوان دستگاه را مدیریت کرد. این قابلیت در IOS­های ورژن­های 12.4 به بعد اضافه‌شده است.

جدول 11- پیکربندی MPP

پیکربندی	عنوان	ردیف
hostname(config)# control-plane host hostname(config)#management-interface gigabitethernet 0/1 allow ssh https	مشخص کردن پروتکل­های مدیریتی و پورت فیزیکی مخصوص مدیریت	1

• پیاده­سازی Login Block For

یک ابزار فوق­العاده برای حملاتLogin Brute Force  است که به این صورت عمل می­کند که اگر در بازه زمانی خاص و مشخص‌شده کاربر غیرمجاز تلاش برای ورود به دستگاه را کرد آن را بلاک کند.

جدول 12- پیکربندی Login Block For

پیکربندی	عنوان	ردیف
hostname(config)#login block-for 30 attempts 2 within 10	بلاک کردن یوزر برای 30 ثانیه در صورت 2 بار تلاش ناموفق در بازه زمانی 10 ثانیه	1
hostname(config)#login quiet-mode access-class X	مستثنا کردن سیاست دستور قبلی برای موارد خاص مشخص‌شده در ACL	2
hostname(config)#login delay 10	تنظیم 10 ثانیه تأخیر برای هر بار سعی در Login	3
hostname(config)# login on-failure	فعال­سازی Log برای Login­های نا­موفق	4
hostname(config)# login on-success	فعال­سازی Log برای Loginهای موفق	5

• تنظیمات Syslog

برای ارسال پیام­های تولیدشده توسط تجهیزات شبکه به یک مکان متمرکز جهت جمع­آوری و تحلیل این دسته از پیام‎ها، می­توان از پیکربندی Syslog سرور استفاده نمود. پس از ایجاد این سرور می­توان با هدایت Syslog Messages، آن­ها را در سرور فوق برای نگهداری و بررسی مورداستفاده قرار داد.

جدول 13- پیکربندی Syslog

پیکربندی	عنوان	ردیف
hostname(config)#logging on	تنظیم Logging on	1
hostname(config)#logging buffered [log_buffer_size] [Recommended size is 64000]	تنظیمBuffer Size	2
hostname(config)#logging console critical	تنظیم Logging Console Critical	3
hostname(config)#logging host syslog_server	تنظیم IP Address for Logging Host	4
hostname(config)#logging trap informational	تنظیم Logging Trap Informational	5
hostname(config)#service timestamps debug datetime {msec} show-timezone	تنظیم Service Timestamps Debug Datetime	6
hostname(config)#logging source-interface	تنظیم Logging Source Interface	7

• امن­سازی Control plane

ترافیک­ها از نگاه روتر و سوئیچ یا هر دستگاه شبکه­ای به دودسته کلیHOST  وTransmit  تقسیم می­شوند ترافیک­هایHOST  مقصد خود دستگاه را دارند و معمولاً توسطCPU  دستگاه تحلیل می­شوند، ولی ترافیک­های عبوری معمولاً توسط سخت­افزار جدا در دستگاه­ها تحلیل می­شوند که در تجهیزات سیسکو توسطCEF  امکان­پذیر است. در کنار این موارد، ترافیک­های کنترلی دیگری نیز وجود دارد که فقط توسطCPU  دستگاه تحلیل می­شود که مقصد این ترافیک­های عمدتاًBroadcast  یا Multicast است مانند ARP ,CDP ,VTP ,OSPF ,EIGRP و …

لازم به ذکر است حتی ترافیک­های از جنسTransmit  در شرایط خاص توسطCEF  تحلیل نمی­شوند (مانند بسته­هایی کهIP OPTION  دارند) یا حتی بسته­های سایز بالاتر ازMTU  روتر که نیاز به Fragmentation دارند. بنابراین باید ترافیک­هایی که جزء این سه دسته کلی می­باشند (که توسطCPU  تحلیل می­شوند) را امن کنیم تا منابع روتر یا سوئیچ (مانندCPU  و Memory) دچار مشکل نشوند.

• • تنظیمات VTP

وظیفه این پروتکلShare  کردنVLAN.dat  سوئیچ VTP Server بر روی بقیه سوئیچ­ها است. یعنی با ساختVLAN  در سوئیچVTP Server  سوئیچ­هایVTP Client  به­صورت خودکار آنVLAN  را بر روی خودساخته و در فایلVLAN.dat  ذخیره می­کنند.

همچنین پیشنهاد می­شود در صورت پشتیبانی سوئیچ ازVTP  ورژن سه از این نسخه، استفاده شود.

جدول 15- پیکربندیVTP

پیکربندی	عنوان	ردیف
تنظیمات عمومی VTP
hostname(config)#vtp mode server	تنظیم VTP Server	1
hostname(config)#vtp mode client	تنظیم VTP Client	2
hostname(config)#vtp mode transparent	تنظیم VTP Transparent	3
hostname(config)#vtp domain <domain-name>	تنظیم VTP Domain	4
hostname(config)#vtp password <password> hidden/secret	تنظیم VTP Password	5
hostname(config)#vtp pruning	تنظیم VTP pruning در سرور	6
پیکربندی­ مخصوص VTP­ ورژن 3
hostname(config)#vtp version 3	تنظیمVTP  ورژن 3	7
hostname(config)# vtp password <Password> hidden	با Hidden و Secret کردن پسورد امکان Decrypt مشاهده آن بصورت Clear-Text وجود ندارد.	8
hostname(config)# vtp password <Password> secret		9

• تنظیمات Spanning-tree

گاهی به دلیل رعایت افزودگی در سطح لینک، بین سوئیچ­ها ارتباطات Layer 2 بسیاری را ایجاد می­کنند که در صورت استفاده نکردن از پروتکلSTP ، ممکن است باعث ایجادLoop  در شبکه شود و بازدهی شبکه را پایین آورد به همین دلیل، نه‌تنها باید از این پروتکل بهره برد، حتی نیاز به شخصی­سازی آن می­باشد تا در بهترین حالتLoop  را تشخیص و از بین ببرد. استفاده از آخرین نسخهSTP  یعنیRapid-PVST  از اهمیت بالایی برخوردار است. زیرا میزان همگرایی شبکه را به‌شدت کاهش می­دهد.

وجود پروتکلSTP  باعث ضعف­های امنیتی است که با استفاده از مکانیزم­های امنیتی مانند BPDUguard وBPDUfilter  می­توان آن را بهبود بخشید. به کمکPortfast  کردن پورت­ها می­توان زمان همگرایی را بر روی این پورت­ها به صفر ثانیه رساند.

جدول 16- پیکربندی STP بر روی تجهیزات سیسکو

پیکربندی	عنوان	ردیف
hostname(config)#spanning-tree mode rapid-pvst	تنظیم Rapid-STP	1
hostname(config)#spanning-tree vlan <vlan-id> priority 0	تنظیم سوئیچRoot Bridge  برایVlan  مشخص	2
hostname(config)#int {interface_number} hostname(config-if)#spanning-tree guard root	فعال­سازی Root guard	3
hostname(config)#int {interface_number} hostname(config-if)#spanning-tree BPDUguard enable	تنظیم BPDU guard	4
hostname(config)#int {interface_number} hostname(config-if)#spanning-tree BPDUfilter enable	تنظیم BPDU filter	5
hostname(config)#spanning-tree logging	فعال­سازیLog  در STP	6

• تنظیمات امنیتی پورت Trunk

به کمکAllowed VLAN  می­توان مشخص کرد ترافیک­های کدام‌یک از­VLAN ­ها بر روی پورت Trunk ارسال شود و به کمکNative VLAN  می­توان مشخص کرد که ترافیک کدامVLAN  بر روی پورت Trunk به­صورت بدون Tag  ارسال شود.

جدول 17- پیکربندی  و محدود کردن  پورت­های Trunk

پیکربندی	عنوان	ردیف
hostname(config)#interface  {interface_number} hostname(config-if)#switchport trunk allowed vlan <vlan-id>	تنظیم allowed Vlan	1
hostname(config)#interface {interface_number} hostname(config-if)#switchport trunk native vlan <vlan-id>	تنظیم Native Vlan	2

• تنظیمات امنیتی Port Security

با استفاده از این مکانیزم، سیستم­های مجاز برای اتصال به شبکه تشخیص داده می­شود و در صورتی که سیستمی مجاز نباشد، این اجازه به آن داده نشده و یک پیغام به سرور syslog ارسال شود. بدین منظور باید موارد زیر مشخص و پیاده­سازی شود.

• تعداد MAC­های قابل قبول بر روی هر پورت، بهترین عدد، عدد یک می­باشد و در صورت استفاده از IP-Phone عدد دو یا سه پیشنهاد می­گردد.
• تنظیم Violation در حالت Restrict (علاوه بر قطع سیستم غیرمجاز، یک پیغام برای syslog تولید می‎کند.)

جدول 18- پیکربندی Port-Security

پیکربندی	عنوان	ردیف
hostname(config)#int {interface_number} hostname(config-if)#switchport mode access hostname(config-if)#switchport port-security mac-address sticky hostname(config-if)#switchport port-security maximum [Number] hostname(config-if)#switchport port-security violation restrict hostname(config-if)#switchport port-security	فعال کردن Port Security (بر روی پورت­های سوئیچ­ Access)	1

• تنظیمات امنیتی DHCP

برای ایجاد امنیت در شبکه، یکی از روش­های ارائه شده پیاده­سازی مکانیزم DHCP Snooping است. با انجام تنظیمات امنیتی DHCP، از حملات DHCP Snooping و DHCP Starvation جلوگیری می­شود.

برای تنظیمات این ویژگی، موارد زیر باید مد نظر گرفته شود.

جدول 19- پیکربندی DHCP Snooping

پیکربندی	عنوان	ردیف
hostname(config)#ip dhcp snooping vlan [VLAN ID] hostname(config)#ip dhcp snooping information option [optional] hostname(config)#ip dhcp snooping verify mac-address [optional] hostname(config)#ip dhcp snooping hostname(config)#int {interface_number} [Trunk Port] hostname(config-if)#ip dhcp snooping trust	فعال کردن DHCP Snooping (بر روی سوئیچ Access)	1

• تنظیمات امنیتی ARP

به­طور معمول برای ایجاد تناظر میان MAC و آدرس IP گیرنده، از پروتکل ARP استفاده می­شود. این پروتکل به دلیل استفاده از الگوی ترافیکی Broadcast قابلیت حملات Man in the Middle را دارد. به این صورت که مهاجم می­تواند اطلاعات نادرست را در پاسخ به درخواست ARP تولید کند. با استفاده از ARP Snoof Protection می­توان مانع از اقدام فوق شد. پیاده­سازی این مکانیزم وابسته به DHCP Snooping می­باشد.

جدول 20- پیکربندی ARP

پیکربندی	عنوان	ردیف
hostname(config)#int {interface_number} [Trunk Port] hostname(config-if)# ip arp inspection trust hostname(config)#ip arp inspection vlan [VLAN ID] hostname(config)#ip arp inspection validate src-mac ip [optional] hostname(config)#ip arp inspection log-buffer entries 1024 [optional] hostname(config)#int {interface_number} hostname(config-if)#ip arp inspection limit rate 100 [optional]	فعال کردن ARP inspection (بر روی سوئیچ­های Access)	1

• تنظیمات IP Source Guard

یکی از ویژگی­های امنیتی که ارتباط نزدیکی با ویژگی DHCP Snooping دارد، ویژگی IP Source Guard است. با استفاده از این ویژگی می­توان از سوء استفاده مهاجم از آدرس IP یک سیستم در شبکه بر­اساس جدولDHCP Snooping Binding Database جلوگیری کرد. پس از فعال­سازی این قابلیت، بسته­های داده ارسال شده روی پورت که با جدول فوق مطابقت ندارد، حذف می­شود.

جدول 21- پیکربندی IP Source guard

پیکربندی	عنوان	ردیف
hostname(config)#int {interface_number} hostname(config-if)# ip verify source	فعال کردن IP Source guard (بر روی پورت­های سوئیچ­ Access)	1

 

• امن­سازی Data plane

ترافیک­هایData  یعنی ترافیک کلاینت­هایی که از روتر یا سوئیچ عبور می­کند و امن­سازی آن به این دلیل اهمیت بالایی دارد که مهاجمان نتوانند ترافیک­ها را به­صورت غیر­مجاز مشاهده کنند و یا حملاتی از جنسMan in The Middle  را در شبکه پیاده­سازی کنند.

 

• • غیر­فعال­سازی ترافیک­هایIP Option و سرویس IP Redirect

ترافیک­های دارایIP Option  توسطCPU  دستگاه تحلیل می­شود و باید بسته­هایی که این مقدار را در خود دارند را،Drop  کنیم. همچنین سرویس­IP Redirect  یک حفره امنیتی برای مهاجمان ایجاد می­کند، که باید در دستگاه­های غیرضروری غیر­فعال شود.

• تنظیمات Access Control List

از این ابزار برای اهداف متفاوتی استفاده می­شود، مانند محدودسازی دسترسی به Lineهای مدیریتی دستگاه یا اعمال سیاست­های ترافیک. برای درک بهتر این ابزار مثالی طراحی‌شده است که در آن دسترسی شبکه 192.168.1.0/24 را برای پروتکل­های HTTP و Telnet به مقصد آدرس 172.16.1.100 محدود شده است.

جدول 23- پیکربندی ACL

پیکربندی	عنوان	ردیف
hostname(config)#access-list 120 deny tcp 192.168.1.0 0.0.0.255 hos t 172.16.1.100 eq 80 hostname(config)#access-list 120 deny tcp 192.168.1.0 0.0.0.255 hos t 172.16.1.100 eq 23 hostname(config)#access-list 120 permit ip any any hostname(config)#interface <interface-Num> hostname(config-if)# ip access-group 120 in/out	تنظیمACL	1

[1] Network Time Protocol