وقتی مهاجم می تواند وارد شبکه ای شود که می خواهد به آن حمله کند، کار مهاجم نسبتاً آسان می شود. شبکه های محلی اترنت در برابر حمله بسیار آسیب پذیر هستند زیرا درگاه های سوئیچ به طور پیش فرض برای استفاده باز هستند. پس با ما همراه باشید تا بفهمیم Port Security چیست و چگونه آن را برقرار کنیم.
یک راه حل برای حمله DoS به سرویس دهنده DHCP که همان Starvation attack می باشد استفاده از Port Security است. در کل یکی از مسائل در حال رشد که امروزه مدیران شبکه با آن برخورد می کنند نحوه دسترسی افزاد به شبکه داخل سازمانی می باشد. آیا هر شخصی می تواند وارد سازمان شده، لپ تاپ خود را به پریز شبکه یا پورت سوئیچ شبکه متصل کرده و به شبکه داخلی دسترسی داشته باشد؟
همانطور که دیدیم یک سری از حملات به نام DHCP Stravation Attack با استفاده از همین روش و وصل شدن غیر مجاز به یک شبکه می تواند باعث از کار انداختن سرویس دهنده DHCP گردد. در ادامه به بررسی ویژگی های CISCO Port security خواهیم پرداخت. port Security به مدیر شبکه برای محدود نمودن اجازه دسترسی تعداد معین از آدرس MAC بر روی یک پورت خاص کمک می نماید.
در ساده ترین حالت port Security آدرس MAC متصل به پورت سوئیچ را به خاطر می سپارد و فقط به همان آدرس MAC اجازه برقراری اربتاط با پورت سوئیچ را می دهد. اگر آدرس MAC دیگری بخواهد از طریق همان پورت به شبکه متصل شود، پورت مذکور غیر فعال می شود. اکثر اوقات میدران شبکه سوئیچ را طوری تنظیم می کنند که یک SNMP Trap به سیستم مانیتورینگ مبنی بر غیر فعال شدن یک پورت به دلایل امنیتی فرستاده شود.
اگر چه پیاده سازی راه حل های امنیتی همیشه شامل یک trade-off می باشد ولی این کاهش سهولت در مقابل افزایش امنیت سیستم می باشد. وقتی شما از امنیت پورت استفاده می کنید می توانید از دسترسی دستگاه های مختلف به شبکه جلوگیری کرده و این امر موجب افزایش امنیت می شود. از طرفی دیگر فقط مدیر شبکه است که می تواند پورت را فعال کند و این امر در جایی که به دلایل مجاز قرار به تغییر دستگاه ها باشد ایجاد مشکل می کند.
حملات مختلفی مانند حمله Dos در لایه 2 و address spoofing ممکن است رخ دهد. اگر ادمین، شبکه را کنترل کند، بدیهی است که شبکه امن است. برای کنترل کامل پورت های سوئیچ، از ویژگی به نام Port Security می توان استفاده کرد. اگر به نحوی از استفاده کاربر غیرمجاز از این پورت ها جلوگیری شود، امنیت در لایه 2 تا حد زیادی افزایش می یابد.
در دو مرحله می توان پورت ها را ایمن کرد:
- محدود کردن تعداد آدرسهای MAC به یک پورت سوئیچ، یعنی اگر بیشتر از حد مجاز، آدرسهای MAC از یک پورت واحد آموخته شود، اقدامات مناسب انجام خواهد شد.
- در صورت مشاهده دسترسی غیرمجاز، باید با استفاده از هر یک از گزینه ها، ترافیک را حذف کرد، یا باید یک پیام گزارش ایجاد کرد تا دسترسی غیرمجاز به راحتی قابل مشاهده باشد.
Port Security در تجهیزات سیسکو:
در بالا متوجه شدیم که Port Security چیست حال تجهیزات سیسکو نیز دارای قابلیت امنیتی port Security هستند که این توانمندی همانطور که گفته شد امنیت را بر روی پورت های سوئیچ افزایش خواهد داد، این افزایش امنیت مخصوصاً بر روی سوئیچ های سیسکو لایه Access که کامپیوترهای کاربران به آن متصل می باشند اهمیت بیشتری خواهد داشت. در صورتی که یک Hacker به راحتی به پورت های سوئیچ دسترسی پیدا کند، می تواند حملات مختلفی از جمله CAM table overflow، MAC spoofing attack و MAC flooding و سایر حملات را آغاز نماید.
port Security به شما این امکان را می دهد که قادر باشید کنترل کاملی روی پورت های Ethernet، Fast Ethernet و Gigbit Ethernet داشته باشید که در این توانمندی با تغیین MAc Address های مجاز به استفاده از پورت از دسترسی سایر تجهیزات با پورت سوئیچ جلوگیری می شود. در این حالت پورت سوئیچ فقط با مک آدرس های تعیین شده قادر به برقراری ارتباط خواهند بود و در صورتی که دستگاه دیگری مثل لپ تاپ یک هکر که جز مک آدرس های مجاز برای استفاده از پورت نیست قصد دسترسی به پورت سوئیچ را داشته باشد، توانایی برقراری اتصال با آن پورت را نخواهد داشت.
در پیکربندی port Security باید مک آدرس های مجاز به استفاده از پورت تعیین شوند که مک آدرس های مجاز به استفاده از پورت به دو صورت Static و Dynamic تعریف خواهند شد.
حالت های Port Security:
ـ Protect: در این حالت بستههای دارای مک آدرس مبدأ ناشناخته را رها و صرفا ادرس های مک شناخته شده در سوئیچ قابل استفاده است و سایر ترافیک از MAC های اضافی مسدود یا به اصطلاح drop می شوند.
ـ Restrict: این حالت همان عملکرد Protect را انجام می دهد، یعنی مک آدرس مبدأ ناشناخته را رها می کند. علاوه بر این، یک پیام گزارش ایجاد می کند و آن را برای ادمین شبکه ارسال می کند، مقدار شمارنده را افزایش می دهد و همچنین trap SNMP را ارسال می کند.
ـ shut down: این حالت به صورت پیش فرض است و در صورت دسترسی غیرمجاز پورت را فوراً خاموش می کند. همچنین یک log تولید می کند، مقدار شمارنده را افزایش می دهد و یک trap SNMP ارسال می کند. پورت مورد نظر در حالت خاموش باقی می ماند تا زمانی که ادمین دستور ” no shut down” را انجام دهد.
ـ Sticky: با استفاده از دستور Sticky ، ادمین امنیت MAC آدرس استاتیک را بدون تایپ آدرس مک مطلق فراهم می کند. به عنوان مثال، اگر ادمین حداکثر محدودیت 2 را ارائه دهد، 2 آدرس مک اولی که در آن پورت آموخته شده است در پیکربندی در حال اجرا قرار خواهند گرفت. پس از دومین آدرس مک آموخته شده، اگر کاربر سوم بخواهد دسترسی داشته باشد، مطابق با حالت نقض اعمال شده، اقدام مناسب انجام می شود.
نکته: Port Security فقط روی پورت access کار می کند، یعنی برای فعال کردن آن، ابتدا باید آن را به پورت access تبدیل کنید.
پیکربندی Port Security:
برای اعمال Port Security بر روی اینترفیس fa0/1، ابتدا پورت را به پورت access تبدیل کنید و سپس Port Security را فعال کنید:
Mrshabake (config)#int fa0/1
Mrshabake (config-if)#switchport mode access
Mrshabake (config-if)#switchport port-security
بدون پیکربندی هیچ پارامتر خاص دیگری، ویژگی Port Security تنها اجازه می دهد تا یک آدرس MAC در هر پورت سوئیچ (به صورت داینامیک) یاد گرفته شود. این بدان معنی است که اگر یک MAC آدرس دوم در سوئیچ پورت مشاهده شود، پورت خاموش می شود و در حالت err-disabled قرار می گیرد.
از دستور sticky استفاده کنید تا مک آدرس را به صورت داینامیک یاد بگیرد و محدودیت و اقدام مناسبی را که باید انجام شود را ارائه دهد.
Mrshabake (config-if)#switchport port-security
Mrshabake (config-if)#switchport port-security mac-address sticky
mac-address sticky ترکیبی بین مک آدرس استاتیک و داینامیک است. هنگامی که به صورت داینامیک یاد گرفته می شود، به طور خودکار به عنوان یک MAC آدرس استاتیک در پیکربندی در حال اجرا وارد می شود. سپس آدرس تا زمان راه اندازی مجدد در پیکربندی در حال اجرا نگهداری می شود. در راه اندازی مجدد، MAC آدرس از بین خواهد رفت. اگر مهندس شبکه بخواهد MAC آدرس را در راهاندازی مجدد حفظ کند، ذخیره پیکربندی لازم است (write).
مشاهده وضعیت Port Security:
برای مشاهده وضعیت Port Security روی سوئیچ ها از دستور show port-security و همچنین دستور show port-security interfaces استفاده کنید:
Mrshabake# show port-security address
Secure Mac Address Table
——————————————————————-
Vlan Mac Address Type Ports Remaining Age
(mins)
—- ———– —- —– ————-
1 0004.00d5.285d SecureDynamic Fa0/18 –
——————————————————————-
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
به عنوان مثالی دیگر بر روی یک اینترفیس خاص:
Mrshabake# show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0004.00d5.285d
Security Violation Count : 0
:: بازدید از این مطلب : 599
|
امتیاز مطلب : 0
|
تعداد امتیازدهندگان : 0
|
مجموع امتیاز : 0