آشنایی با   Port Security و پیاده سازی آن

آشنایی با   Port Security و پیاده سازی آن :

یکی از راهکارهای امنیت در سوئیچ های سیسکو استفاده از Port Security می باشد.

با استفاده از این قابلیت می توانیم پورت های سوئیچ را محدود نماییم. به عنوان مثال یک دستگاه به یک پورت خاص متصل شود در غیراین صورت اجازه ارتباط هیچ دستگاه دیگررا برروی این پورت ندهد.

می توانیم برخی از پورت های سوئیچ که استفاده نمی شوند را محدود کنیم که هیچ دیوایسی نتواند به آنها متصل شود.

با استفاده از شکل زیر این قابلیت را برروی سوئیچ پیاده سازی می نماییم:

port security

با توجه به شکل بالا می خواهیم Port Security را برروی پورت هایی که به کامپیوترها متصل را فعال کنیم.

کامپیوترPC-1  به پورت FA 2/0/1  و کامپیوتر PC-2 به پورت FA 2/0/2 متصل می باشد.

ابتدا وارد سوئیچ و مد Configuration می شویم.

سپس باید پورت هایی که می خواهیم برروی آنها Port Security فعال شود را انتخاب کنیم.

 

برای انتخاب پورتها چندین روش وجود دارد:

روش اول: اگر فقط بخواهیم یک پورت مورد نظر را انتخاب کنیم از دستور زیر استفاده می کنیم:

Interface fastethernet 2/0/1

Interface fastethernet 2/0/2

روش دوم: زمانی که می خواهیم که یک رنج از پورتها که به ترتیب هستند را انتخاب کنیم. مثلا از پورت ۱ تا ۱۰

Interface range fastethernet 2/0/1-10

روش سوم: زمانی که می خواهیم چندین پورت را انتخاب کنیم و این پورت ها ترتیب خاصی ندارند.مثلا پورت ۱ و ۳

Interface range fastethernet 2/0/1 , fastethernet 2/0/8

ابتدا مانند دستور زیر وارد پورت ۲/۰/۱ می شویم:

Interface fastethernet 2/0/1

بعد از انتخاب پورت باید آن را در حالتAccess  قرار دهیم. پورت هایی که از سوئیچ به کامپیوترمتصل می باشند را Access می گویند.  

نکته: قابلیت Port Security فقط در حالت Access فعال می شود.

با استفاده از دستورزیر پورت را در حالت Access قرار می دهیم:

Switchport mode access

سپس با استفاده از دستورزیر Port Security را برروی پورت فعال می کنیم:

Switchport port-security

و بعد از این باید مک آدرس کامپیوتر PC-1 را وارد نماییم که به دو روش می توانیم این کار را انجام دهیم:

در روش اول می توانیم به صورت دستی مک آدرس کامپیوتر را وارد کنیم:

                                                          Switchport Port-Security Mac-Address H.H.H

به جای H.H.H باید مک آدرس کامپیوتر مورد نظر را وارد کنیم.

 ولی در روش دوم که به sticky معروف است سوئیچ به صورت هوشمند مک آدرس کامپیوتری که به پورتش متصل می باشد را بر می دارد و دیگر نیازی به وارد کردن مک آدرس به صورت دستی نیست:

Switchport port-security mac-address sticky

همچنین با استفاده از دستور زیر تعیین کنیم که سوئیچ چه تعداد مک آدرسی را یاد بگیرد.اگر برروی ۲ تنظیم کنیم فقط دو کامپیوتر مجاز هستند که به پورت مورد نظر متصل شوند.

به صورت پیش فرض فقط یک کامپیوتر می تواند به سوییچ وصل شود:۱ تا ۱۳۲)

                                                               Switchport Port-Security Maximum ۱

با استفاده از دستور زیر می توانیم مشخص کنیم که اگر تخلفی صورت گرفت سوئیچ چه عکس العملی انجام دهد که در سه حالت وجود دارد:

Switchport Port-Security Violation Shutdown or restrict or protect

Shutdown: دارای بالاترین درجه امنیت می باشد که دراین حالت پورت disable می شود و پورت در حالت err-disable  قرار می گیرد و برای خارج کردن از حالت disable  باید وارد سوئیچ شویم و پورت را خاموش و روشن نماییم.

به صورت پیش فرض برروی حالت shutdown قرار دارد.

Restrict:  در این حالت پورت Disable نمی شود ولی بسته ها Drop می شوند و پیغام SNMP (مانیتورینگ) ارسال می کند.

Protect: هم مانند حالت Restrict می باشد با این تفاوت که پیغام SNMP ارسال نمی کند.

 

با استفاده از دستورات زیر ابتدا واردپورت Fastethernet 2/0/1 شدیم و آن را در حالت Access قرار داده ایم و سپس قابلیت Port Security رابرروی آن فعال کرده ایم و و برروی این پورت فقط یک مک آدرس مجاز است و اولین کامپیوتری که به این پورت متصل شود, سوئیچ به صورت هوشمند (Sticky) مک آدرس آن را یاد می گیرد و اگر کامپیوتر دوم بخواهد به این پورت وصل شود سوئیچ این پورت را Shutdown می کند:

port security in cisco

دستورات مدیریتی در Port Security :

 دستور زیر نشان دهنده این است که Port Security  برروی چه پورت هایی فعال می باشد.

Show port-security

cisco port security

همانطور که در تصویر می بینید Port Security برروی پورت  fastethernet 2/0/1 فعال می باشد و یک مک آدرس هم یاد گرفته است و هیچ تخلفی صورت نگرفته است.

با استفاده از دستور زیر مشخص می کنیم که Port Security برروی این پورت فعال هست یا خیر. و اگر فعال بود پارامترهای مورد نظررا نمایش می دهد.

 Show Port-Security Interface Fastethernet 2/0/1

port security config

دستور زیر نمایش می دهد که برروی پورت های مختلف چه مک آدرس هایی مجاز هستند.

Show Port-Security Address

راه اندازی port security در سیسکو

نکته : تمامی دستورات مدیریتی را در محیط Enable تایپ می کنیم.

 

پیاده سازی Port Security با استفاده از یک سناریو :

 شکل زیر را در نظر بگیرید:

کانفیگ port security در سیسکو

حال می خواهیم PC-2 را به پورت Fastethernet 2/0/1 وصل کنیم.

بعد از وصل کردن PC-2 ابتدا با دستور show port-security وضعیت پورت را چک می کنیم:

تنظیم کردن port security در سیسکو

همانطور که در تصویر می بینید یک تخلف صورت گرفته و اعلام می کند که یک کامپیوتر دیگر به صورت غیرمجاز به پورت Fastethernet 2/0/1  متصل شده است.

 

با استفاده از دستور show interface Fastethernet 2/0/1 وضعیت کلی پورت را مشاهده می کنیم:

دستور port security در سیسکو

 

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد.