پورت سکیوریتی (Port Security) چیست؟

با استفاده از پورت سکیورتی میتوان مشخص کرد چه دستگاهایی با چه مک ادرسی مجاز به وصل شدن به یک اینترفیس هستند و در صورت مشاهده violation روی یکی از پورت ها چه تمهیداتی در نظر گرفته شوند. عجله نکنید و تا پایان این مقاله همراه باشید.

با استفاده از قابلیت port-security می توانید از دست حملات MAC Flooding و انواع حملات دیگر که امنیت شبکه را کاهش می دهند، خلاص شوید.این قابلیت همچنین جلوی اضافه کردن سوئیچ های غیر مجاز را نیز میگیرد.

تمام پورتها و اینترفیس های سوئیچ قبل از نصب برای استفاده عملیاتی باید دارای تنظیمات امنیتی باشند. Port security تعداد MAC آدرس های مجاز در یک درگاه را کاهش می دهد. هنگامی که آدرس های MAC ایمن را به یک پورت امن اختصاص می دهید ، سوئیچ اتصال دستگاه هایی که دارای منبع MAC آدرس های دیگری غیر از آدرس های مشخص شده روی آن پورت هستند را برقرار نخواهد کرد. به عبارت دیگر ، شما تصمیم می گیرید که کدام دستگاه ها با  MAC آدرس های مشخص شدهمی توانند به شبکه شما دسترسی داشته  باشند.

در صورتی که قابلیت های امنیتی را روی پورت های سوییچ پیکر بندی نکرده باشید به نفوذگران این امکان را می دهید که یک سیستم را به یک پورت استفاده نشده متصل کرده و از طریق جمع آوری اطلاعات یا حمله لایه ۲ امنیت شبکه شما را نقض کنند.

در سوئیچ محافظت نشده می توان انتظار داشت که مهاجم به راحتی یک حمله MAC Flooding را انجام دهد که در آن سوئیچ می تواند پیکربندی شود تا مانند هاب عمل کند. در این حالت ، هر سیستم متصل به سوئیچ به طور بالقوه می تواند تمام ترافیک شبکه ای که از طریق سوئیچ عبور می کند به کلیه سیستمهای متصل به سوئیچ را مشاهده کند.

اگر تعداد آدرس های MAC ایمن را به یک آدرس محدود کنید و یک آدرس MAC منفرد را به آن پورت اختصاص دهید ، دستگاه متصل به آن پورت از پهنای باند کامل پورت می تواند استفاده کند.و فقط آن دستگاه با آن آدرس خاص MAC خاص می تواند با موفقیت به آن پورت سوئیچ متصل شود.

اگر یک پورت به عنوان یک پورت امن پیکربندی شود و حداکثر تعداد آدرس های MAC ایمن حاصل شود ، هنگامی که MAC آدرس یک دستگاه در تلاش برای دسترسی به پورت با هر آدرسMAC غیر از مورد مشخص شده باشد ، نقض امنیت  (security violation) رخ می دهد.

انواع مختلف SECURE MAC :

  1. MAC آدرس های Static
  2. MAC آدرس های Dynamic
  3. MAC آدرس های Sticky

MAC آدرس های Static

آدرسهای MAC به سادگی با استفاده از دستور پیکربندی روی سوییچ پیکربندی می شوند. آدرس های MAC به این روش پیکربندی شده در جدول آدرس ذخیره می شوند و به تنظیمات در حال اجرا روی سوئیچ اضافه می شوند.

MAC آدرس های Dynamic

آدرس های MAC توسط این سیستم بصورت پویا آموخته می شوند و در جدول آدرس ها ذخیره می شوند. آدرس های MAC به این روش پیکربندی شده پس از شروع مجدد  restartحذف می شوند.

MAC آدرس های Sticky

شما می توانید یک پورت را پیکربندی کنید تا به صورت پویا آدرس های MAC را یاد بگیرید و سپس این آدرس های MAC را در پیکربندی در حال اجرا ذخیره کنید.

MAC آدرس های Sticky کاراکتر جالبی دارند. وقت شما حالت Sticky روی پورت های سوئیچ فعال میکنید. تمام MAC آدرس های Dynamic به آدرس Sticky تبدیل می شوند و در Running-Config ذخیره می شوند. 

Port Security Violation

در Port Security اگر تخلفی رخ دهد بسته به اینکه چه رفتاری توسط Port Security باید بر روی آن پورت انجام شود متفاوت است. این رفتار که توسط Port Security بر روی پورتی که دچار نقض قانون یا تخلف شده انجام می شود تحت عنوان Violation شناخته می شود.

در Port Security سه نوع Violation وجود دارد :

  1. Shutdown
  2. Restrict
  3. Protect

Shutdown

بصورت پیش فرض با فعال کردن Security Port بر روی یک پورت، Violation درحالت Shutdown می باشد. اگر بر روی یک پورت که Violation آن Shutdown می باشد تخلفی رخ دهد،Security Port آن پورت را به حالت disable-Err می برد. در این حالت دیگر هیچ ترافیکی حتی ترافیک هایی با آدرس MAC مجاز نیز نمی توانند بر روی پورت ارسال یا دریافت شوند. همچنین در صورت وجود سرور لاگ (Server Syslog) یک لاگ برای سرور تحت این عنوان که تخلفی در Security Port رخ داده ارسال می شود.

Restrict

اگر یک پورت که Violation آن Restrict می باشد تخلفی رخ دهد، پکت هایی که Source Address MAC آنها غیرمجاز می باشند، Drop می شوند اما همچنان پکت هایی با MAC Source Address مجاز می توانند بر روی پورت ارسال و دریافت شوند. درنتیجه در این Violation برخالف Shutdown تمامی پکت ها Drop نمی شوند بلکه تنها پکت هایی که آدرس MAC آنها غیرمجاز می باشد Drop می شوند. همچنین در صورت وجود سرور لاگ یک لاگ برای سرور تحت این عنوان که تخلفی در Port Security رخ داده ارسال می شود.


Protect

اگر یک پورت که Violation آن Protect می باشد تخلفی رخ دهد، پکت هایی که Source Address MAC آنها غیرمجاز می باشند، Drop می شوند اما همچنان پکت هایی با MAC Source Address مجاز می توانند بر روی پورت ارسال و دریافت شوند. درنتیجه در این Violation برخالف Shutdown تمامی پکت ها Drop نمی شوند بلکه تنها پکت هایی که آدرس MAC آنها غیرمجاز می باشد Drop می شوند. در این Violation بر خالف Shutdown و Restrict اگر تخلفی رخ دهد حتی اگر سرور لاگ وجود داشته باشد بازهم هیچ لاکی توسط Security Port ارسال نمی شود.

بصورت پیش فرض زمانی که بر روی یک پورت Security Port فعال می شود تنها یک آدرس MAC مجاز می باشد. اولین کلاینتی که یک پیام بر روی آن پورت ارسال کند آدرس MAC آن کلاینت بصورت اتوماتیک توسط Security Port بر روی آن پورت یاد گرفته می شود و اگر یک پیام با MAC Source ای غیر از MAC Address آن کلاینت ارسال شود تخلف رخ می دهد.

پس به عبارت ساده مقدار Maximum آدرس های MAC در Security Port برای هر پورت ۱ می باشد که می توانید این مقدار را بصورت دستی تغییر دهید. نکته ی قابل توجه دیگر این می باشد که آدرس MAC ای که توسط Security Port بر روی یک پورت بصورت اتوماتیک یاد گرفته شده با Reload شدن سوییچ و یا خاموش و روشن شدن آن پورت حذف می شود.

گاهی نیاز داریم بر روی یک پورت تنها یک آدرس MAC مجاز باشد و حتی اگر سوییچ Reload هم شد همان MAC Address مجاز باقی بماند برای اینکار می توانیم از پیکربندی Address MAC بصورت Static و یا بصورت Sticky استفاده کنیم.

برای مشاهده روش راه اندازی پورت سکیوریتی اینجا کلیک کنید.

دیدگاه‌ خود را بنویسید

اسکرول به بالا