port security چیست؟ و برای مهار حملات لایه 2 چکار می کند؟

port security یک قابلیت امنیتی لایه 2 است که روی سوییچ های سیسکو قابل پیاده سازی است. این ویژگی باعث میشود که MAC آدرس های مشخص شده و با تعداد مجاز فقط بتوانند به شبکه شما متصل شوند. با استفاده از قابلیت port-security می توانید از دست حملات MAC Flooding و انواع حملات دیگر که امنیت شبکه را کاهش می دهند، خلاص شوید. این قابلیت همچنین جلوی اضافه کردن سوئیچ های غیر مجاز را نیز میگیرد. همه مواردی که برای پیکربندی port-security روی یک سوئیچ باید در نظر بگیرید را در این مقاله میتونید مشاهده کنید. همچنین به شما نشان خواهیم داد که چگونه port security را در IOS Cisco پیکربندی کنید.

این پیکربندی برای هر دو نوع پورت استاتیک و Dynamic قابل استفاده است. همچنین در دوره امنیت لایه 2 ویژگی های امنیتی لایه 2 را کاملتر و به صورت تئوری و عملی میتوانید ببینید.

در صورتی که قابلیت های امنیتی را روی پورت های سوییچ پیکر بندی نکرده باشید به نفوذگران این امکان را می دهید که یک سیستم را به یک پورت استفاده نشده متصل کرده و از طریق جمع آوری اطلاعات یا حمله لایه 2 امنیت شبکه شما را نقض کنند.

در سوئیچ محافظت نشده می توان انتظار داشت که مهاجم به راحتی یک حمله MAC Flooding را انجام دهد که در آن سوئیچ می تواند پیکربندی شود تا مانند هاب عمل کند. در این حالت هر سیستم متصل به سوئیچ به طور بالقوه می تواند تمام ترافیک شبکه ای که از طریق سوئیچ عبور می کند به کلیه سیستمهای متصل به سوئیچ را مشاهده کند. یک مهاجم می تواند ترافیکی را که شامل تمام داده های کاربر و اطلاعات خصوصی، گذرواژه‌ها یا اطلاعات پیکربندی مربوط به دستگاههای موجود در شبکه است را جمع‌آوری کند.

تمام پورتها و اینترفیس های سوئیچ قبل از نصب برای استفاده عملیاتی باید دارای تنظیمات امنیتی باشند. Port-security تعداد MAC آدرس های مجاز در یک پورت را کاهش می دهد. هنگامی که آدرس های MAC ایمن را به یک پورت با پیکربندی امن اختصاص می دهید، سوئیچ اتصال دستگاه هایی که دارای MAC آدرس های دیگری غیر از آدرس های مشخص شده روی آن پورت هستند را برقرار نخواهد کرد. به عبارت دیگر شما تصمیم می گیرید که کدام دستگاه ها با MAC آدرس های مشخص شده می توانند به شبکه شما دسترسی داشته  باشند.

اگر تعداد آدرس های MAC ایمن را به یک آدرس محدود کنید و یک آدرس MAC منفرد را به آن پورت اختصاص دهید، دستگاه متصل به آن پورت از پهنای باند کامل پورت می تواند استفاده کند. و فقط آن دستگاه با آن آدرس خاص MAC خاص می تواند با موفقیت به آن پورت سوئیچ متصل شود.

اگر یک پورت به عنوان یک پورت امن پیکربندی شود و حداکثر تعداد آدرس های MAC آن نیز مشخص شود، هنگامی که MAC آدرس یک دستگاه در تلاش برای دسترسی به پورت با هر آدرسMAC غیر از مورد مشخص شده باشد، نقض امنیت  (security violation) رخ می دهد.

انواع مختلف SECURE MAC :

سه نوع مختلف Secure MAC وجود دارد. این بدان معنی است که سه راه برای پیکربندی امنیت پورتهای سوئیچ وجود دارد. اکنون خواهیم دید که تفاوت آنها در چیست و چگونه می توانید port security را در سوئیچ های سیسکو پیکربندی کنید:

MAC آدرس های استاتیک: آدرسهای MAC به سادگی با استفاده از دستور پیکربندی روی سوییچ پیکربندی می شوند:

Switch1(config)#interface FastEthernet 0/1

Switch1(config-if)#switchport port-security mac-address AA:BB:CC:11:22:33

آدرس های MAC به این روش پیکربندی شده در جدول آدرس ذخیره می شوند و به تنظیمات در Running Config روی سوئیچ اضافه می شوند.

MAC آدرس های Dynamic: آدرس های MAC توسط این سیستم بصورت پویا آموخته می شوند و در جدول آدرس ها ذخیره می شوند. آدرس های MAC به این روش پیکربندی شده پس از شروع مجدد restart حذف می شوند.

MAC آدرس های Sticky: شما می توانید یک پورت را پیکربندی کنید تا به صورت پویا آدرس های MAC را یاد بگیرید و سپس این آدرس های MAC را در پیکربندی در حال اجرا ذخیره کنید.

MAC آدرس های Sticky

MAC آدرس های Sticky کاراکتر جالبی دارند. وقت شما حالت Sticky روی پورت های سوئیچ فعال میکنید.

تمام MAC آدرس های Dynamic به آدرس Sticky تبدیل می شوند و در Running-Config ذخیره می شوند. فعال کردن Sticky با دستورات زیر در سوئیچ انجام میشود:

Switch1(config)#interface FastEthernet 0/1

Switch1(config)#switchport port-security mac-address sticky

غیر فعال کردن قابلیت Sticky :

Switch1(config)#interface FastEthernet 0/1

Switch1(config)#no switchport port-security mac-address sticky

البته آدرس های Sticky در Address table باقی می مانند ولی از Running-Config حذف می شوند. همچنین میتواند به صورت دستی هم یک MAC آدرس را در قابلیت Sticky اضافه کنید:

Switch1(config)#interface FastEthernet 0/1

Switch1(config)#switchport port-security mac-address sticky mac-address

این آدرسها هم به جدول آدرس و هم در تنظیمات running-config اضافه می شوند. اگر port-security غیرفعال باشد، Sticky MAC Address در پیکربندی در running-config باقی می مانند. اگر stick MAC address ها را در startup-config ذخیره کنید هنگامی که سوئیچ دوباره راه اندازی می شود یا اینترفیس shutdown می شود دیگر نیازی به تغییر مجدد این آدرس ها نیست. اگر Sticky MAC Address را ذخیره نکنید، آنها از بین می روند.

حالت های SECURITY VIOLATION

پیشتر گفتیم که در صورتی که تعداد MAC آدرس های روی یک پورت از حد اکثر تعداد مشخص شده بشتر باشد یک نقض امنیت و یا SECURITY VIOLATION ایجاد می شود.

برای SECURITY VIOLATION 3 اقدام (Action) می توانید مشخص کنید که عبارتند از:

Protection: هنگامی که یک Violation ایجاد شود پورت به کارکرد خود ادامه می دهد. آدرس های MAC مجاز به درستی کار می کنند ولی آدرس های غیر مجاز drop می شوند. ویژگی اصلی این حالت این است که شما به عنوان مدیر شبکه به شما اطلاع داده نمی شود که یک نقض امنیتی رخ داده است.

Restriction: هنگامی که یک violation ایجاد شود پورت به کار خود ادامه می دهد آدرس های MAC مجاز به درستی کار می کنند ولی آدرس های غیر مجاز drop می شوند.در این حالت به شما اطلاع داده می شود که تخلف امنیتی رخ داده است و SNMP Trap ارسال می شود، یک پیام syslog ایجاد می شود و شمارنده نقض نیز افزایش می یابد. تمام این موارد یک نقض امنیت در پورت سوئیچ به شما اطلاع می دهد.

Shutdown: نقض امنیت پورت باعث می شود که اینترفیس بلافاصله غیرفعال err-disable شود و همچنین چراغ پورت را خاموش می کند. SNMP trap را ارسال می کند، شمارنده را افزایش می دهد و پیام syslog را نیز ارسال می کند. هنگامی که یک پورت در حالت خطا err-disable قرار دارد می توانید با shut و no-shut کردن آن را دوباره فعال کنید. این حالت به صورت پیش فرض فعال است.

امیدوارم که این مقاله لذت برده باشید. نظراتتون رو با ما به اشتراک بزارید.