آشنایی با Port Security و پیاده سازی آن :
یکی از راهکارهای امنیت در سوئیچ های سیسکو استفاده از Port Security می باشد.
با استفاده از این قابلیت می توانیم پورت های سوئیچ را محدود نماییم. به عنوان مثال یک دستگاه به یک پورت خاص متصل شود در غیراین صورت اجازه ارتباط هیچ دستگاه دیگررا برروی این پورت ندهد.
می توانیم برخی از پورت های سوئیچ که استفاده نمی شوند را محدود کنیم که هیچ دیوایسی نتواند به آنها متصل شود.
با استفاده از شکل زیر این قابلیت را برروی سوئیچ پیاده سازی می نماییم:
با توجه به شکل بالا می خواهیم Port Security را برروی پورت هایی که به کامپیوترها متصل را فعال کنیم.
کامپیوترPC-1 به پورت FA 2/0/1 و کامپیوتر PC-2 به پورت FA 2/0/2 متصل می باشد.
ابتدا وارد سوئیچ و مد Configuration می شویم.
سپس باید پورت هایی که می خواهیم برروی آنها Port Security فعال شود را انتخاب کنیم.
برای انتخاب پورتها چندین روش وجود دارد:
روش اول: اگر فقط بخواهیم یک پورت مورد نظر را انتخاب کنیم از دستور زیر استفاده می کنیم:
Interface fastethernet 2/0/1
Interface fastethernet 2/0/2
روش دوم: زمانی که می خواهیم که یک رنج از پورتها که به ترتیب هستند را انتخاب کنیم. مثلا از پورت ۱ تا ۱۰
Interface range fastethernet 2/0/1-10
روش سوم: زمانی که می خواهیم چندین پورت را انتخاب کنیم و این پورت ها ترتیب خاصی ندارند.مثلا پورت ۱ و ۳
Interface range fastethernet 2/0/1 , fastethernet 2/0/8
ابتدا مانند دستور زیر وارد پورت ۲/۰/۱ می شویم:
Interface fastethernet 2/0/1
بعد از انتخاب پورت باید آن را در حالتAccess قرار دهیم. پورت هایی که از سوئیچ به کامپیوترمتصل می باشند را Access می گویند.
نکته: قابلیت Port Security فقط در حالت Access فعال می شود.
با استفاده از دستورزیر پورت را در حالت Access قرار می دهیم:
Switchport mode access
سپس با استفاده از دستورزیر Port Security را برروی پورت فعال می کنیم:
Switchport port-security
و بعد از این باید مک آدرس کامپیوتر PC-1 را وارد نماییم که به دو روش می توانیم این کار را انجام دهیم:
در روش اول می توانیم به صورت دستی مک آدرس کامپیوتر را وارد کنیم:
Switchport Port-Security Mac-Address H.H.H
به جای H.H.H باید مک آدرس کامپیوتر مورد نظر را وارد کنیم.
ولی در روش دوم که به sticky معروف است سوئیچ به صورت هوشمند مک آدرس کامپیوتری که به پورتش متصل می باشد را بر می دارد و دیگر نیازی به وارد کردن مک آدرس به صورت دستی نیست:
Switchport port-security mac-address sticky
همچنین با استفاده از دستور زیر تعیین کنیم که سوئیچ چه تعداد مک آدرسی را یاد بگیرد.اگر برروی ۲ تنظیم کنیم فقط دو کامپیوتر مجاز هستند که به پورت مورد نظر متصل شوند.
به صورت پیش فرض فقط یک کامپیوتر می تواند به سوییچ وصل شود:) ۱ تا ۱۳۲)
Switchport Port-Security Maximum ۱
با استفاده از دستور زیر می توانیم مشخص کنیم که اگر تخلفی صورت گرفت سوئیچ چه عکس العملی انجام دهد که در سه حالت وجود دارد:
Switchport Port-Security Violation Shutdown or restrict or protect
Shutdown: دارای بالاترین درجه امنیت می باشد که دراین حالت پورت disable می شود و پورت در حالت err-disable قرار می گیرد و برای خارج کردن از حالت disable باید وارد سوئیچ شویم و پورت را خاموش و روشن نماییم.
به صورت پیش فرض برروی حالت shutdown قرار دارد.
Restrict: در این حالت پورت Disable نمی شود ولی بسته ها Drop می شوند و پیغام SNMP (مانیتورینگ) ارسال می کند.
Protect: هم مانند حالت Restrict می باشد با این تفاوت که پیغام SNMP ارسال نمی کند.
با استفاده از دستورات زیر ابتدا واردپورت Fastethernet 2/0/1 شدیم و آن را در حالت Access قرار داده ایم و سپس قابلیت Port Security رابرروی آن فعال کرده ایم و و برروی این پورت فقط یک مک آدرس مجاز است و اولین کامپیوتری که به این پورت متصل شود, سوئیچ به صورت هوشمند (Sticky) مک آدرس آن را یاد می گیرد و اگر کامپیوتر دوم بخواهد به این پورت وصل شود سوئیچ این پورت را Shutdown می کند:
دستورات مدیریتی در Port Security :
دستور زیر نشان دهنده این است که Port Security برروی چه پورت هایی فعال می باشد.
Show port-security
همانطور که در تصویر می بینید Port Security برروی پورت fastethernet 2/0/1 فعال می باشد و یک مک آدرس هم یاد گرفته است و هیچ تخلفی صورت نگرفته است.
با استفاده از دستور زیر مشخص می کنیم که Port Security برروی این پورت فعال هست یا خیر. و اگر فعال بود پارامترهای مورد نظررا نمایش می دهد.
Show Port-Security Interface Fastethernet 2/0/1
دستور زیر نمایش می دهد که برروی پورت های مختلف چه مک آدرس هایی مجاز هستند.
Show Port-Security Address
نکته : تمامی دستورات مدیریتی را در محیط Enable تایپ می کنیم.
پیاده سازی Port Security با استفاده از یک سناریو :
شکل زیر را در نظر بگیرید:
حال می خواهیم PC-2 را به پورت Fastethernet 2/0/1 وصل کنیم.
بعد از وصل کردن PC-2 ابتدا با دستور show port-security وضعیت پورت را چک می کنیم:
همانطور که در تصویر می بینید یک تخلف صورت گرفته و اعلام می کند که یک کامپیوتر دیگر به صورت غیرمجاز به پورت Fastethernet 2/0/1 متصل شده است.
با استفاده از دستور show interface Fastethernet 2/0/1 وضعیت کلی پورت را مشاهده می کنیم: