ویژگیهای امنیتی پورت، لایه امنیتی بیشتری را در شبکه LAN اضافه میکنند. این ویژگی برای ایمنسازی پورت سوئیچ استفاده میشود. در این مقاله، امنیت پورت را با مثال توضیح خواهیم داد. ما نشان خواهیم داد که چگونه یک سوئیچ پورتها را بر اساس آدرس MAC قفل میکند تا از دسترسی غیرمجاز جلوگیری شود. برای اهداف نمایشی، از نرمافزار شبیهساز شبکه ردیاب بسته استفاده خواهیم کرد.
Port Security
هر کسی میتواند با اتصال میزبان خود به یکی از پورتهای سوئیچ موجود ما، به منابع ناامن شبکه دسترسی پیدا کند. یک کاربر همچنین میتواند موقعیت فیزیکی خود را در شبکه LAN بدون اطلاع مدیر تغییر دهد. شما میتوانید با استفاده از امنیت پورت، دسترسیهای لایه دو را ایمن کنید و همچنین کاربران را در جریان امور خود قرار دهید. بنابراین، ویژگی امنیت پورت، امنیت LAN را افزایش میدهد.
یک توپولوژی ساده مانند شکل زیر ایجاد کنید
روی PC0 کلیک کنید و روی Desktop کلیک کنید و روی IP Configuration کلیک کنید و از گزینههای رادیویی، Static را انتخاب کنید و آدرس IP (10.0.0.10) و subnet mask (255.0.0.0) را اختصاص دهید.
برای اختصاص آدرس IP (10.0.0.20) و ماسک زیرشبکه (255.0.0.0) به PC1، همین فرآیند را دنبال کنید.
روی Server0 کلیک کنید و روی Desktop کلیک کنید و روی IP Configuration کلیک کنید و از گزینههای رادیویی، Static را انتخاب کنید و آدرس IP (10.0.0.100) و subnet mask (255.0.0.0) را اختصاص دهید.
این تمام پیکربندی اولیهای بود که برای نمایش امنیت پورت نیاز داشتیم.
نحوه پیکربندی امنیت پورت
برای پیکربندی امنیت پورت، باید به خط فرمان سوئیچ دسترسی پیدا کنیم. روی Switch کلیک کنید و سپس روی CLI کلیک کنید و کلید Enter را فشار دهید.
پورت میتواند از حالت رابط امن باشد. برای رفتن به حالت Privilege Exec از دستور enable استفاده کنید. از حالت Privilege Exec از دستور configure terminal برای ورود به حالت Global Configuration استفاده کنید. از حالت global configuration وارد رابط کاربری خاص شوید.
ویژگی امنیتی پورت روی سه نوع پورت کار نخواهد کرد.
- Trunk ports
- Ether channel ports
- Switch port analyzer ports
پورت سکیوریتی روی پورت میزبان کار میکند. برای پیکربندی پورت سکیوریتی، باید آن را به عنوان پورت میزبان تنظیم کنیم. این کار به راحتی با دستور switchport mode access قابل انجام است. میتوانید اتصالات ترانک را با پورت سکیوریتی ایمن کنید، اما این موضوع فراتر از محدوده این مقاله است. من آنها را در بخش CCNP پوشش خواهم داد.
شکل زیر دستورات موجود برای امنیت پورت را نشان میدهد.
نحوه فعال کردن پورت-سکیوریتی سوئیچپورت
پورت سکیوریتی به طور پیشفرض غیرفعال است. دستور switchport port-security آن را فعال میکند.
حداکثر تعداد میزبانها را در switchport-security محدود کنید
بر اساس نیازهایمان میتوانیم میزبانهایی را که میتوانند به یک رابط متصل شوند محدود کنیم. میتوانیم این محدودیت را از ۱ تا ۱۳۲ تنظیم کنیم. حداکثر تعداد دستگاههایی که میتوانند به رابط متصل شوند ۱۳۲ است. به طور پیشفرض روی ۱ تنظیم شده است. دستور switchport port-security maximum value حداکثر تعداد میزبانها را تنظیم میکند.
آدرس مک پورت-امنیتی سوئیچپورت
ما دو گزینه استاتیک و داینامیک برای مرتبط کردن آدرس مک با رابط داریم.
در روش استاتیک، ما باید آدرس دقیق مک میزبان را به صورت دستی با دستور switchport port-security mac-address MAC_address تعریف کنیم. این روش امنترین روش است اما به کارهای دستی زیادی نیاز دارد. ما باید تمام آدرسهای مک را به صورت دستی وارد کنیم که کار بسیار خستهکنندهای است.
در حالت پویا، ما از ویژگی sticky استفاده میکنیم که به رابط اجازه میدهد آدرس مک را به طور خودکار یاد بگیرد. رابط تا زمانی که به حداکثر تعداد میزبانهای مجاز برسد، آدرسهای مک را یاد میگیرد.
نقض امنیت پورت switchport
ما باید مشخص کنیم که در صورت نقض امنیت، چه اقدامی باید انجام شود. سه حالت ممکن وجود دارد:
محافظت: – این حالت فقط با گزینه چسبنده کار میکند. در این حالت فریمهای آدرس غیرمجاز حذف میشوند. برای فریمهای حذفشده، ورودی لاگ ایجاد نمیکند. رابط تا زمانی که به حداکثر تعداد مجاز برسد، آدرس را یاد میگیرد. هر آدرس اضافی که یاد گرفته شود، در حین عملیاتی نگه داشتن رابط، حذف میشود.
محدود کردن: – در حالت محدود کردن، فریمهای آدرس غیرمجاز حذف میشوند. اما در این حالت، سوئیچ یک ورودی گزارش ایجاد کرده و یک هشدار نقض امنیتی ایجاد میکند.
خاموش کردن: – در این حالت، سوئیچ هشدار تخلف ایجاد کرده و پورت را غیرفعال میکند. تنها راه برای فعال کردن مجدد پورت، وارد کردن دستی دستور عدم خاموش کردن است. این حالت پیشفرض تخلف است.
مثال امنیت پورت switchport
در توپولوژی ما PC0 به پورت F0/1 سوئیچ متصل است. دستورات زیر را برای ایمن سازی پورت F0/1 وارد کنید.
امنیت پورت Switchport توضیح داده شد
| دستور | شرح |
| Switch>enable | Move in privilege exec mode |
| Switch#configure terminal | Move in global configuration mode |
| Switch(config)#interface fastethernet 0/1 | Move in interface mode |
| Switch(config-if)#switchport mode access | Assign port as host port |
| Switch(config-if)#switchport port-security | Enable port security feature on this port |
| Switch(config-if)#switchport port-security maximum 1 | Set limit for hosts that can be associated with interface. Default value is 1. Skip this command to use default value. |
| Switch(config-if)#switchport port-security violation shutdown | Set security violation mode. Default mode is shutdown. Skip this command to use default mode. |
| Switch(config-if)#switchport port-security mac-address sticky | Enable sticky feature. |
ما با موفقیت پورت F0/1 سوئیچ را ایمن کردیم. ما از ویژگی یادگیری آدرس پویای رابط استفاده کردیم. سوئیچ اولین آدرس مک آموخته شده (روی رابط F0/1) را با این پورت مرتبط میکند. میتوانید جدول آدرس مک را برای آدرس مرتبط فعلی بررسی کنید.
تاکنون هیچ آدرس مکی به پورت F0/1 اختصاص داده نشده است. سوئیچ آدرس مک را از فریمهای ورودی یاد میگیرد.
برای آشنایی با نحوه یادگیری مک آدرس توسط سوئیچ یا نحوه ساخت جدول مک آدرس توسط آن، مقالات قبلی ما را بررسی کنید.
ما باید فریمی از PC0 تولید کنیم که روی پورت F0/1 سوئیچ دریافت شود. دستور ping برای آزمایش اتصال بین دو میزبان استفاده میشود. در سناریوی ما اتصال بین سرور و کامپیوتر وجود دارد. میتوانیم از این ابزار برای تولید فریم از PC0 استفاده کنیم.
برای دسترسی به خط فرمان PC0، روی PC0 کلیک کنید و سپس روی گزینه Desktop کلیک کنید و سپس روی خط فرمان کلیک کنید. از دستور ping برای تولید فریمها استفاده کنید.
حالا دوباره جدول آدرس مک روی سوئیچ را بررسی کنید.
نکته جالبی که ممکن است در اینجا متوجه شوید نوع است. سوئیچ این آدرس را به صورت پویا یاد میگیرد اما به صورت استاتیک نمایش داده میشود. این جادوی گزینه sticky است که ما با دستور port security از آن استفاده کردیم. گزینه Sticky به طور خودکار آدرس یاد گرفته شده به صورت پویا را به آدرس استاتیک تبدیل میکند.
تست امنیت پورت Switchport
در توپولوژی ما، یک کامپیوتر دیگر هم داریم. فرض کنید این کامپیوتر هکر است. برای دسترسی غیرمجاز به شبکه، او کابل اترنت را از کامپیوتر (PC0) جدا کرده و کامپیوتر خود (PC1) را به آن وصل کرده است.
روی دکمه قرمز X در قسمت سمت راست پنجره packet tracer کلیک کنید و X را روی اتصال بین Switch و PC0 قرار دهید. این کار اتصال را قطع میکند.
روی دکمه رعد و برق در گوشه پایین سمت چپ کلیک کنید و روی اتصال مستقیم مسی کلیک کنید.
روی PC1 کلیک کنید و پورت FastEthernet را انتخاب کنید. سپس روی Switch کلیک کنید و همان پورت F0/1 را انتخاب کنید.
از طریق خط فرمان کامپیوتر اول (PC1) سعی کنید IP سرور را پینگ کنید.
این دفعه چه اتفاقی افتاد؟ چرا دستور ping از سرور پاسخی دریافت نکرد؟ چون سوئیچ تغییر آدرس مک را تشخیص داد و پورت را خاموش کرد.
بررسی امنیت پورت
ما سه دستور برای تأیید امنیت پورت داریم
show port-security
این دستور اطلاعات امنیتی پورت مربوط به تمام رابطهای روی سوئیچ را نمایش میدهد.
show port-security address
نمایش آدرسهای تعریفشده به صورت ایستا یا پویا با امنیت پورت.
show port-security interface interface
نمایش اطلاعات امنیتی پورت در مورد رابط کاربری خاص.
نحوه تنظیم مجدد رابط کاربری که به دلیل نقض امنیت پورت غیرفعال شده است
وقتی یک رابط به دلیل نقض امنیت پورت از کار میافتد، دو گزینه برای بازگرداندن آن داریم. اولین مورد، پیروی از دستور حالت پیکربندی سراسری است.
Switch(config)# errdisable recovery cause psecure-violation
این دستور نه در آزمون CCNA وجود دارد و نه در packet tracer موجود است.
گزینه دوم، راهاندازی مجدد دستی رابط کاربری است. کابل را از کامپیوتر غیرمجاز جدا کرده و دوباره به کامپیوتر مجاز وصل کنید.
دستورات زیر را روی سوئیچ اجرا کنید و اتصال را از طریق کامپیوتر آزمایش کنید
