transparent firewall یا فایروال لایه دو چیست؟

Transparent Firewall یا فایروال لایه ۲، یک نوع فایروال است که بدون تغییر در آدرس‌های IP، بین شبکه قرار می‌گیرد و ترافیک را فیلتر می‌کند. این فایروال مانند یک Bridge عمل می‌کند و بسته‌های داده را بر اساس قوانین امنیتی بررسی کرده و تصمیم به اجازه یا مسدودسازی آن‌ها می‌گیرد. یکی از مزایای آن، این است که کاربران نیازی به تغییر در تنظیمات شبکه ندارند و فایروال به‌صورت نامحسوس کار می‌کند. در آموزش فایروال، استفاده از فایروال لایه ۲ برای افزایش امنیت در شبکه‌هایی که نیاز به تغییر توپولوژی ندارند، توصیه می‌شود. این نوع فایروال معمولاً در محیط‌هایی که نیاز به کنترل ترافیک بدون تغییر در ساختار شبکه دارند، مانند دیتاسنترها، استفاده می‌شود. همچنین، می‌توان آن را برای جلوگیری از حملات و فیلتر کردن ترافیک مخرب به کار برد.

transparent firewall بیشتر در رابطه با نحوی قرار دادن فایروال در شبکه است تا بحث تکنولوژی های که برای فیلترینگ استفاده می شود. یک transparent firewall می تواند از قابلیت های packet-based filtering ، stateful filtering و application inspection که قبلا مورد بحث قرار گرفت می تواند استفاده کند اما تفاوت بزرگ این است که در لایه دو مورد استفاده قرار می گیرد.بیشتر فایروال ها همانند یک روتر در لایه سوم استفاده می شوند به این معنا که بسته ها در این دستگاه باید تا لایه سوم بروند تا مورد پردازش قرار گیرند.

در فایروال های لایه سوم (Routed Firewall) هر اینترفیس دارای یک IP آدرس در یک شبکه متفاوت است و ترافیک از یک شبکه به شبکه دیگر از طریق فایروال عبور می کند و سیاست های فایروال روی این ترافیک اعمال می شود.در transparent firewall به اینترفیس ها IP اختصاص داده نمی شود و این اینترفیس ها شبیه یک bridge یا یک سوئیچ دو پورت عمل می کند. در این حالت ترافیک از یک بخش شبکه بخواهد به بخش دیگر شبکه برود باید از طریق این فایروال بگذرد.

به transparent firewall تنها management IP تعلق میگیرد و از طریق آن می توان به دستگاه متصل شد. کاربرانی که از منابع شبکه استفاده می کنند و ترافیک آنها از طریق فایروال می گذرد از وجود فایروال بی خبرند و متوجه حضور فایروال نمی شوند. یکی از مزایای بزرگ استفاده از transparent firewall این است که نیاز به آدرس دهی مجدد شبکه نیست و نیاز به تغییرات در شبکه نیست.حتی با وجود اینکه دستگاه در لایه دو پیاده سازی می شود بازهم می تواند تمام بسته هایی که بین اینترفیس های آن عبور می کند را ببیند و می تواند قابلیت هایی مانند stateful و application inspection را اجرا کند.

برای درک بهتر مفاهیم در دوره آموزش ASA سیسکو شما در قالب انجام سناریوهای مختلف بر روی فایروال سیسکو ، تنظیمات اولیه ASA ، راه اندازی HA ، تنظیمات امنیتی و ... را در این فایروال به خوبی آموزش می بینید. این دوره ویژه افرادی است که دوره های سیسکو بصورت مقدماتی را پشت سر گذاشته اند و می خواهند در زمینه فایروال های تخصصی سیسکو هم کسب تجربه کنند. در این ویدیو با نحوی اضافه کردن فایروال سیسکو یعنی ASA به GNS3 آشنا می شوید و همچنین نحوی فعال کردن ASDM در ASA را خواهید دید و نحوی اتصال به ASA از طریق ASDM نمایش داده شده است.

مدل سه لایه یا three layer model در سیسکو چیست

زمانی که طراحی شبکه مورد بحث قرار می گیرد دسته بندی شبکه براساس تعداد دستگاه های سرویس گیرنده به ما در طراحی کمک زیادی می کند.طراحی شبکه به اندازه و نیاز سازمان وابستگی زیادی دارد. به طور مثال بستر مورد نیاز برای یک شبکه کوچک با تعداد محدودی دستگاه نسبت به یک شبکه بزرگ با تعداد قابل توجهی دستگاه بسیار متفاوتر می باشد.متغییرهای زیادی در زمان طراحی شبکه باید در نظر گرفته شود.شبکه را براساس تعداد دستگاه های سرویس گیرنده به سه دسته تقسیم می کنند:

• Small Network : شبکه هایی با حداکثر 200 سرویس گیرنده
• Medium-Size Network : شبکه هایی با 200 تا 1000 سرویس گیرنده در این دسته قرار می گیرند.
• Large Netwok : شبکه هایی با بیش از 1000 سرویس گیرنده

اصول مهندسی در زیرساخت سیسکو به چه شکل است؟

بدون در نظر گرفتن مسائل مرتبط با اندازه و نیاز شبکه ، اجرای موفق طراحی شبکه نیاز به پیروی از اصول مهندسی در زیرساخت دارد. مدل سه لایه سیسکو اصول زیر را شامل می شود.

• Hierarchy : این طراحی سلسله مراتبی به طراح کمک می کند که یک شبکه مطمئن را طراحی کند و مشکلات پیچیده طراحی را راحت تر و قابل مدیریت تر کند.
• Modularity : طراحی ماژولار که باعث می شود عملکرد بخش های مختلف موجود در شبکه به صورت یک ماژول عمل کند و به این صورت طراحی ساده تر می شود. سیسکو جندین ماژول را معرفی کرده که شامل دیتاسنتر ، لبه اینترنت ، بلوک سرویس دهی و بخش Campus می باشد.
• Resiliency : شبکه باید بتواند در شرایط عادی و غیرعادی به کار خود ادامه دهد. در شرایط عادی ترافیک براساس انتظار ما جریان دارد ولی شرایط غیر عادی زمانی است که یک سخت افزار یا نرم افزار ما دچار مشکل شود یا ترافیک زیادی وارد شبکه شود یا حمله هایی مانند DoS ایجاد شود.
• Flexibility : شبکه طراحی شده باید توانایی تغییرات را داشته باشد به طور مثال یک سرویس به این شبکه اضافه شود یا توان شبکه را افزایش دهیم این تغییرات باید بودن ایجاد وقفه در عملکرد و اختلال در سرویس دهی صورت پذیرد.

در طراحی مدل سه لایه ای سیسکو ، تجهیزات در سه لایه زیر گروه بندی می شوند:

1. Access
2. Distribution
3. Core

مدل سه لایه ای سیسکو به لحاظ مفهومی مشابه مدل هفت لایه OSI است. به طور کلی طراحی لایه ای بسیار مفید است چون هر دستگاه در هر لایه وظیفه و عملکرد مشخصی دارد که این ویژگی باعث میشود که حذف ، اضافه ، جایگزینی بخشی از شبکه به راحتی قابل انجام باشد. این انعطاف پذیری و سازگاری باعث می شود این مدل بسیار مقایس پذیر و قابل گسترش شود.

لایه Access در طراحی سه لایه سیسکو به چه معناست؟

در محیط LAN ، از طریق لایه Access اجازه دسترسی End Deviceها به شبکه ، داده می شود و در محیط WAN ، دسترسی به شبکه از راه دور داده می شود.معمولا در لایه Access از سوئیچ های لایه دوم و Access Pointها برای ایجاد دسترسی بین کلاینت ها و سرور استفاده می شود.

برخی از وظیفه Access در ساختار سلسله مراتبی سیسکو

• سوئیچنگ لایه دوم
• دسترسی بالا و بدون وقفه
• Port Security
• QoS
• بررسی بسته های ARP
• Access Control Lists
• Spanning Tree
• Vlan
• Power over Ethernet(PoE)

لایه Distribution در طراحی سه لایه سیسکو به چه معناست؟

این لایه بین لایه Access و Core قرار دارد و دیتا ارسالی توسط کاربر را از لایه Access به سمت لایه Core هدایت می کند. نوع ارتباطات در این لایه از نوع کابلی می باشد. برای جلوگیری از سرایت مشکلات احتمالی در شبکه LAN با استفاده از روتر یا سوئیچ Multilayer ، بین لایه Access و Core یک مرز ایجاد می کند.

برای درک بهتر مفاهیم سیسکو به دوره آموزش CCNA سیسکو جامع ( CCNA Routing and Switching ) مهندس قنبری یکی از کاملترین دوره های آموزشی سیسکو ( CCNA ) می باشد که با ده ها کارگاه عملی و توضیحات جامع به زبانی ساده و روان تدریس شده است.

مدرک CCNA روتینگ و سویچینگ سیسکو اولین گواهینامه دوره های آموزشی سیسکو به حساب می آید که شما را با تجهیزات زیرساختی سیسکو مثل روترها و سویچ ها و نحوه کار با آنها به خوبی آشنا می کند. شما با گذران این دوره CCNA Routing and Switching سیسکو دیگر نیازی به هیچ منبع آموزش سیسکو نخواهید داشت.پیشنیاز دوره آموزشی CCNA سیسکو ، دوره آموزش نتورک پلاس است

برخی از وظایف لایه Core  در ساختار سلسله مراتبی سیسکو

• سوئیچنگ با سرعت بالا
• قابلیت اطمینان و تحمل خطا
• پرهیز از هرگونه پردازش اضافه روی بسته ها که باعث درگیر کردن CPU شود مانند مسائل امنیتی مثل inspection یا مواردی مثل QoS

مدل سه لایه یا three layer model در سیسکو چیست

زمانی که طراحی شبکه مورد بحث قرار می گیرد دسته بندی شبکه براساس تعداد دستگاه های سرویس گیرنده به ما در طراحی کمک زیادی می کند.طراحی شبکه به اندازه و نیاز سازمان وابستگی زیادی دارد. به طور مثال بستر مورد نیاز برای یک شبکه کوچک با تعداد محدودی دستگاه نسبت به یک شبکه بزرگ با تعداد قابل توجهی دستگاه بسیار متفاوتر می باشد.متغییرهای زیادی در زمان طراحی شبکه باید در نظر گرفته شود.شبکه را براساس تعداد دستگاه های سرویس گیرنده به سه دسته تقسیم می کنند:

• Small Network : شبکه هایی با حداکثر 200 سرویس گیرنده
• Medium-Size Network : شبکه هایی با 200 تا 1000 سرویس گیرنده در این دسته قرار می گیرند.
• Large Netwok : شبکه هایی با بیش از 1000 سرویس گیرنده

اصول مهندسی در زیرساخت سیسکو به چه شکل است؟

بدون در نظر گرفتن مسائل مرتبط با اندازه و نیاز شبکه ، اجرای موفق طراحی شبکه نیاز به پیروی از اصول مهندسی در زیرساخت دارد. مدل سه لایه سیسکو اصول زیر را شامل می شود.

• Hierarchy : این طراحی سلسله مراتبی به طراح کمک می کند که یک شبکه مطمئن را طراحی کند و مشکلات پیچیده طراحی را راحت تر و قابل مدیریت تر کند.
• Modularity : طراحی ماژولار که باعث می شود عملکرد بخش های مختلف موجود در شبکه به صورت یک ماژول عمل کند و به این صورت طراحی ساده تر می شود. سیسکو جندین ماژول را معرفی کرده که شامل دیتاسنتر ، لبه اینترنت ، بلوک سرویس دهی و بخش Campus می باشد.
• Resiliency : شبکه باید بتواند در شرایط عادی و غیرعادی به کار خود ادامه دهد. در شرایط عادی ترافیک براساس انتظار ما جریان دارد ولی شرایط غیر عادی زمانی است که یک سخت افزار یا نرم افزار ما دچار مشکل شود یا ترافیک زیادی وارد شبکه شود یا حمله هایی مانند DoS ایجاد شود.
• Flexibility : شبکه طراحی شده باید توانایی تغییرات را داشته باشد به طور مثال یک سرویس به این شبکه اضافه شود یا توان شبکه را افزایش دهیم این تغییرات باید بودن ایجاد وقفه در عملکرد و اختلال در سرویس دهی صورت پذیرد.

در طراحی مدل سه لایه ای سیسکو ، تجهیزات در سه لایه زیر گروه بندی می شوند:

1. Access
2. Distribution
3. Core

مدل سه لایه ای سیسکو به لحاظ مفهومی مشابه مدل هفت لایه OSI است. به طور کلی طراحی لایه ای بسیار مفید است چون هر دستگاه در هر لایه وظیفه و عملکرد مشخصی دارد که این ویژگی باعث میشود که حذف ، اضافه ، جایگزینی بخشی از شبکه به راحتی قابل انجام باشد. این انعطاف پذیری و سازگاری باعث می شود این مدل بسیار مقایس پذیر و قابل گسترش شود.

لایه Access در طراحی سه لایه سیسکو به چه معناست؟

در محیط LAN ، از طریق لایه Access اجازه دسترسی End Deviceها به شبکه ، داده می شود و در محیط WAN ، دسترسی به شبکه از راه دور داده می شود.معمولا در لایه Access از سوئیچ های لایه دوم و Access Pointها برای ایجاد دسترسی بین کلاینت ها و سرور استفاده می شود.

برخی از وظیفه Access در ساختار سلسله مراتبی سیسکو

• سوئیچنگ لایه دوم
• دسترسی بالا و بدون وقفه
• Port Security
• QoS
• بررسی بسته های ARP
• Access Control Lists
• Spanning Tree
• Vlan
• Power over Ethernet(PoE)

لایه Distribution در طراحی سه لایه سیسکو به چه معناست؟

این لایه بین لایه Access و Core قرار دارد و دیتا ارسالی توسط کاربر را از لایه Access به سمت لایه Core هدایت می کند. نوع ارتباطات در این لایه از نوع کابلی می باشد. برای جلوگیری از سرایت مشکلات احتمالی در شبکه LAN با استفاده از روتر یا سوئیچ Multilayer ، بین لایه Access و Core یک مرز ایجاد می کند.

برای درک بهتر مفاهیم سیسکو به دوره آموزش CCNA سیسکو جامع ( CCNA Routing and Switching ) مهندس قنبری یکی از کاملترین دوره های آموزش سیسکو ( CCNA ) می باشد که با ده ها کارگاه عملی و توضیحات جامع به زبانی ساده و روان تدریس شده است.

مدرک CCNA روتینگ و سویچینگ سیسکو اولین گواهینامه دوره های آموزشی سیسکو به حساب می آید که شما را با تجهیزات زیرساختی سیسکو مثل روترها و سویچ ها و نحوه کار با آنها به خوبی آشنا می کند. شما با گذران این دوره CCNA Routing and Switching سیسکو دیگر نیازی به هیچ منبع آموزشی سیسکو نخواهید داشت.پیشنیاز دوره آموزشی CCNA سیسکو ، دوره آموزش نتورک پلاس است

برخی از وظایف لایه Core  در ساختار سلسله مراتبی سیسکو

• سوئیچنگ با سرعت بالا
• قابلیت اطمینان و تحمل خطا
• پرهیز از هرگونه پردازش اضافه روی بسته ها که باعث درگیر کردن CPU شود مانند مسائل امنیتی مثل inspection یا مواردی مثل QoS

حمله DHCP Spoofing چیست؟ به همراه راهکار مقابله

DHCP Spoofing حمله ای است که عملکرد سرویس DHCP (اختصاص IP به صورت اتومات) را مختل می کند.

این حمله به دو صورت می تواند به وجود اید:

1. DHCP Server Spoofing : در حالت اول مهاجم به بسته های DHCP Request گوش می کند و بلافاصله به آنها جواب می دهد و IP Address و مشخصات مورد نظر خود را برای قربانی ارسال می کند به این نوع حملات man in the middle گفته می شود. به طور مثال IP خود را به عنوان Gateway به قربانی اعلام می کند در نتیجه قربانی بسته هایی که مقصد آنها خارج از شبکه هستند را به مهاجم تحویل می دهد و مهاجم اطلاعات مورد نظر خود را از این بسته استخراج می کند و سپس بسته را به سوی مقصد واقعی ارسال می کند و قربانی از این اتفاق بی خبر است.
2. DHCP Starvation : حالت دوم جهت از کار انداختن سرویس DHCP مورد استفاده قرار می گیرد به این صورت که مهاجم تعداد زیادی DHCP Request جعلی ایجاد می کند و باعث می شود که کل محدود IP تعیین شده برای DHCP سرور پر شود یا تعداد این DHCP Request انقدر زیاد می شود که سرور توان پاسخگویی به ان را نداشته باشد.

• نکته : در صورتی که DHCP سرور روی سوئیچ فعال باشد حمله حالت اول رخ نخواهد داد.

برای جلوگیری از این حملات از DHCP Snooping استفاده می کنیم و به صورت زیر عمل می کند :
برای جلوگیری از حالت اول پورتی که متصل به DHCP سرور ماست را به عنوان Trust معرفی می کنیم در نتیجه تنها این پورت اجازه دارد به بسته های DHCP Request پاسخ دهد. برای جلوگیری از حالت دوم برای پورت ها مشخص می کنیم که در هر ثانیه اجازه دارد چندتا DHCP Request دریافت کند و یا استفاده از قابلیت Port Security .

نحوی تنظیم DHCP Snooping در سوئیچ های سیسکو :

در ابتدا DHCP Snooping را فعال می کنیم.

Switch(config)#ip dhcp snooping

سپس VLAN مربوطه را مشخص می کنیم.

Switch(config)#ip dhcp snooping vlan 1

وارد اینترفیس متصل به DHCP سرور می شویم و آنرا به عنوان trust معرفی می کنیم.

Switch(config)#interface fasthernet 0/24
Switch(config-if)# ip dhcp snooping trust

حالا باید مشخص کنیم که باقی پورت ها در هر ثانیه اجازه ارسال چند DHCP Request را دارند.

Switch(config)#interface range fastethernet 0/1-23
Switch(config-if)#ip dhcp snooping limit rate 3

جامعترین و کاملترین دوره آموزشی CCNA Security از مهندس شوهانی در قالب 27 ویدیوی آموزشی CCNA Security و 22 ساعت تهیه و تدوین شده است . این دوره CCNA Security بصورت گام به گام ، کارگاهی ، دارای پشتیبانی مدرس و در قالب آموزش CCNA Security با کد آزمون 210-260 به شما تضمین می دهد که امنیت زیرساخت شبکه را فرا گیرید و بتوانید امنیت تجهیزات سیسکویی خودتان را ارتقاء دهید . با تهیه این دوره آموزش CCNA Security شما دیگر نیازی به منبع آموزشی دیگری برای یادگیری CCNA سکیوریتی نخواهید داشت.

حمله DHCP Spoofing زمانی رخ می‌دهد که مهاجم اقدام به ارسال پیام‌های DHCP جعلی به دستگاه‌های شبکه می‌کند تا آدرس IP نادرست به آن‌ها اختصاص دهد. این حمله می‌تواند باعث قطع ارتباط شبکه یا هدایت ترافیک به سمت مهاجم شود. در آموزش سیسکو، یکی از راه‌های مقابله با این حمله، فعال‌سازی ویژگی DHCP Snooping در سوئیچ سیسکو است که تنها به سرورهای DHCP معتبر اجازه ارسال پیام‌های DHCP را می‌دهد. همچنین، می‌توان از Port Security برای محدود کردن تعداد دستگاه‌های متصل به هر پورت و جلوگیری از حملات استفاده کرد. این روش‌ها باعث افزایش امنیت شبکه در برابر حملات DHCP Spoofing می‌شوند.

دوره آموزش CCNA Security چیست؟

دوره CCNA Security نام یکی از آزمون‌ها و مدارک شرکت سیسکو  است. سیسکو آزمون‌ها و مدارک مختلفی از جمله CCNA را در حوزه شبکه‌های کامپیوتری برای افرادی برگزار می‌کند که قصد فعالیت در زمینه راه‌اندازی و نگهداری راهکارهای سیسکو با استفاده از تجهیزات این شرکت را دارند.

Port Security چیست و چگونه جلوی حملات را بگیریم؟

در این مطلب با مفهوم Port Security آشنا می شویم و یاد میگیریم که چگونه بوسیله Port Security می توان جلوی حملات را گرفت. در بحث امنیت همیشه حملات و ترافیک مخرب از طریق شبکه خارجی و اینترنت صورت نمی گیرد بلکه بسیاری از حملات و مشکلات امنیتی منشاء آنها شبکه داخلی خود سازمان است و از طریق دستگاه های سازمان صورت می گیرد. Port Security یک قابلیت و امکان امنیتی است که به ما کمک می کند کنترل بسیار مناسبی در لایه دو داشته باشیم و بتوانیم جلوی بسیاری از حملات را بگیریم . Port Security کنترل می کند که چند MAC address روی یک پورت اجازه استفاده دارند.

این ویژگی به صورت پورت به پورت اجرا می شود. معمولا هر کاربر از یک MAC address استفاده می کند مگر اینکه از ماشین مجازی استفاده کند یا یک IP phone داشته باشد در این صورت نیاز به بیشتر از یک MAC address خواهد داشت. در هر صورت ، برای جلوگیری از اینکه کاربر دستگاه های مختلف را به سوئیچ وصل کند می توان از port security استفاده کرد و براساس MAC address این محدودیت برای هر پورت اعمال کرد.همچنین port security می تواند شبکه را در برابر نرم افزارهای مخرب که می توانند هزاران فریم را در شبکه با MAC Address های متفاوت ارسال کنند محافظت کند. با اینکار مهاجم با استفاده از این نرم افزار مخرب جدول MAC سوئیچ را تحت تاثیر خود قرار می دهد ، جدول MAC سوئیچ دارای ظرفیت محدودی است و این ظرفیت با MAC address های جعلی پر می شود.

در نتیجه MAC address های درست سایر تجهیزات نمی تواند در این جدول قرار بگیرد و زمانی که یک فریم به دست سوئیچ می رسد نمی تواند پورت خروجی برای مقصد فریم را پیدا کند و مجبور می شود این فریم را روی تمام پورت های خود ارسال کند و در اینجا مهاجم می تواند با Sniff کردن بسته ها به اطلاعات تمام دستگاه ها دسترسی پیدا کند. این حمله به عنوان CAM table overflow یا MAC Flooding Attack شناخته می شود.همچنین Port security می تواند از DHCP server حافظت کند. یک مهاجم با ارسال هزاران درخواست DHCP با MAC address متفاوت می تواند DHCP pool را خالی کند و سرویس دهی DHCP server را مختل کند و DHCP server دیگر نتواند به سایر دستگاه ها IP اختصاص دهد. به این حمله DHCP starvation گفته می شود.

با فعال کردن Port Security روی یک پورت به صورت پیش فرض یک MAC address می تواند از آن استفاده کند که می توان این MAC address را به صورت دستی یا sticky برای پورت مشخص کرد البته می توان با استفاده از دستور maximum تعداد را افزایش داد. اگر تعداد MAC address های مورد استفاده از پورت ، بیشتر از مقدار مشخص شده بیشتر شود یا MAC address غیر از MAC address مجاز از پورت استفاده کند اقدامی که برای مقابله آن درنظر گرفته شده است به صورت پیش فرض shutdown است که باعث خاموش شدن و در حالت err-disable قرار گرفتن پورت می شود. البته می توان بجای shutdown از حالت های دیگر مثل Protect یا restrict استفاده کرد. در حالت protect پورت را خاموش نمی کند و اجازه عبور را به فریم های مربوط به MAC address های غیر مجاز را نمی دهد. Restrict عملکرد مشابه protect دارد با این تفاوت که log نیز تولید می کند. نحوی اجرای port security در مثال زیر نمایش داده شده است :

SW(config)#interface fastethernet 0/1
SW(config-if)#switchport port-security
SW(config-if)#switchport port-security maximum 3
SW(config-if)#switchport port-security violation restrict
Switch(config-if)#switchport port-security mac-address sticky

همچنین از دستورات زیر برای بررسی وضعیت port security می توان استفاده کرد :

SW#show port-security
SW#show port-security address
SW# show port-security interface fa0/1

چیست و چگونه در سویچ سیسکو فعال می شود؟

در طراحی یک شبکه ، در نظر گرفتن مباحث امنیتی آن دارای اهمیت ویژه است چون در زمان حمله ، شبکه دچار مشکلاتی مختلفی مانند از کار افتادن بخشی یا کل شبکه ، افشاء اطلاعات محرمانه سازمان ، دستکاری در اطلاعات و ... می شود. برای جلوگیری از بروز این حملات ما باید طرح و برنامه درستی برای شبکه خود در نظر بگیریم.

بر اساس طراحی سه لایه ای سیسکو دسترسی ها از طریق لایه Access ایجاد می شود که عمده مشکلات امنیتی به دلیل عدم کنترل این دسترسی ها صورت می پذیرد. در این آموزش ما سعی می کنیم مبحث Port Security را بازگو کنیم که به وسیله این قابلیت تا سطح بسیار زیادی ما می توانیم امنیت شبکه خود را برقرار کنیم. Port Security امنیت شبکه ما را در لایه دوم بهبود می بخشد. Port Security شبکه ما را در برابر حملات زیر محافظت می کند :

• MAC Flooding Attack
• MAC Address Spoofing
• DHCP Starvation

همچنین از دسترسی دستگاه های غیر مجاز به شبکه و ایجاد مشکلات ناشی مانند سرقت اطلاعات و آلوده کردن شبکه و ... جلوگیری می کند.

مکانیزم Port Security

به وسیله Port Security تعداد MAC آدرس هایی که اجازه دسترسی به شبکه دارند به ازای هر پورت را محدود می کنیم. به این صورت مشخص می کنیم از هر پورت چه دستگاه هایی اجازه دسترسی به شبکه دارند و به این صورت دستگاه های ناشناش اجازه دسترسی به شبکه را نخواهند داشت. زمانی که این قابلیت روی سوئیچ فعال شود در صورت اتصال یک دستگاه غیرمجاز به شبکه ، می توان وضعیت های زیر را نسبت به این دسترسی غیر مجاز تعیین کرد:

• Protect
• Restrict
• Shutdown

• نکته : حالت Shutdown پیش فرض می باشد.

1. Protect : در این حالت ترافیک مربوط به دستگاه غیر مجاز Drop می شود.
2. Restrict : همانند حالت قبل ترافیک مربوط به دستگاه غیر مجاز Drop می شود و علاوه بر این Log نیز تولید می کند.
3. ShutDown : سخت گیرانه ترین حالت می باشد که با دریافت ترافیک غیرمجاز پورت مربوطه در حالت Err-Disable قرار می گیرد و پورت خاموش می شود و برای خارج کردن آن از این حالت باید وارد تنظیمات سوئیچ شد و پورت مورد نظر را خاموش و روشن کرد.

• نکته : Port Security را روی پورتی که Access است می توان فعال کرد.

نحوی فعال کردن Port Security

اولین کار قرار دادن پورت در حالت Access است:

Switch(config)#interface fastethernet 0/1
Switch(config-if)#switchport mode access

بعد باید این قابلیت را فعال کنیم:

Switch(config-if)#switchport port-security

سپس MAC آدرس های مجاز را تعیین می کنیم که به دو صورت امکان پذیر است :

• به صورت دستی

Switch(config-if)#switchport port-security mac-address AD49.FB36.3596

• استفاده از ویژگی Sticky

Switch(config-if)#switchport port-security mac-address sticky

• نکته : در حالت sticky نیاز به وارد کردن MAC ادرس نیست و سوئیچ MAC ادرس را از روی اولین بسته دریافتی برمیدارد.

تعیین یکی از سه حالت موجود :

Switch(config-if)#switchport port-security violation portect

تعیین تعداد دستگاه های مجاز جهت استفاده از پورت:

Switch(config-if)#switchport port-security maximum 2

• نکته : پیش فرض مقدار یک است و تا 132 می توان انرا مقداردهی کرد.

جهت مشاهده و بررسی تنظیمات از دستورات زیر استفاده می کنیم:

Switch#show port-security 
Switch#show port-security address

• نکته : در صورتی که بخواهیم MAC آدرس هایی که از طریق Sticky آنها را پیدا کرده ایم را حذف کنیم از دستورات زیر استفاده می کنیم:

Switch#clear port-security all
Switch#clear port-security sticky interface fastEthernet 0/1

چرا از Port Security استفاده کنیم؟ به همراه روش راه اندازی 

چرا از پورت سکیوریتی استفاده کنیم؟ دلایل استفاده از Port Security چه هستند؟ چگونه Port Security را در سویچ سیسکو راه اندازی کنیم؟ در گذشته امنیت شبکه داخلی مشکل چندان مهمی نبود اما با گذر زمان، نیاز به برقراری امنیت در شبکه های داخلی بیش تر از پیش حس شد. ظهور پدیده هایی نظیر شبکه های بی سیم و فناوری VoIP باعث شد تا مهندسین شبکه به فکر برقراری هرچه بیشتر امنیت در شبکه داخلی باشند.از سوی دیگر، کاربران دیگر مانند گذشته آنچنان قابل اعتماد نیستند و با در دسترس بودن ابزار های Sniffing و افزایش یافتن دانش کاربران ، این امکان وجود دارد اطلاعات در حال انتقال ما به سرقت روند.

دلایل استفاده از Port Security

افزایش استفاده از دستگاه های موبایل مانند گوشی های تلفن همراه، تبلت و نوت بوک ها ، باعث شده، امروزه شاهد این باشیم که شبکه های بی سیم به جزیی جدایی ناپذیر از ساختار شبکه های محلی سازمان ها تبدیل شده است. این شبکه های در مقایسه با شبکه های معمولی از امنیت پایین تری برخوردار هستند. حتی روش های امنیتی جدید و قوی ای مانند WPA2 ، در مقابل حملات Brute Force و Dictionary آسیب پذیر هستند و مهاجمتن می توانند با استفاده از ابزار های خاص ،از طریق شبکه های بی سیم به شبکه داخلی ما نفوذ کرده و اطلاعات و سرویس های ما را در معرض خطر قرار دهند.

از طرف دیگر ما شاهد رواج یافتن یکی دیگر از پدیده های دنیای IT به نام VoIP هستیم. اگر کمی در این زمینه اطلاع داشته باشید ، حتما می دانید که همانند شکل زیر ما IPphone ها و کامپیوتر ها را به سویچ متصل می کنیم. سابقا برای این کار بین سویچ و IPphone یک Trunk برقرار می کردیم تا دیگر نیازی به دو اتصال جداگانه برای IPphone و رایانه نیازی نباشد. اما فرد متهاجم می تواند از این Trunk Link استفاده کرده و اطلاعات کاربر را می توانست سرقت کند.

همچنین فرد مهاجم می تواند با اتصال به شبکه داخلی و فرستادن هزاران MAC Address به سویچ ، اقدام به پر کردن CAM Table آن کرده ( به این حمله CAM Table Flood می گوییم) و در نتیجه آن سویچبه یک هاب تبدیل شده و هکر می تواند تمامی اطلاعات در حال انتقال را Sniff کند.یکی از بهترین روش ها برای امن کردن شبکه های داخلی و جلوگیری از این حملات،استفاده از Port Security است. پروسه ای که شاید راه اندازی آن کمی دشوار باشد اما تا حدود بسیار زیادی امنیت شبکه داخلی ما را افزایش می دهد. در ادامه با این روش بیشتر آشنا می شویم.

بررسی و تنظیمات پورت سکیوریتی

با استفاده از Port Security در واقع ما به سویچ می گوییم که فقط و فقط اتصلات را از MAC Address هایی که ما تعیین می کنیم بپذیر. در نتیجه این کار، در صورتی که فرد مهاجم بتواند به تجهیزات شبکه داخلی ما دسترسی داشته باشد باز هم نمی تواند وارد شبکه داخلی ما شود.در حالت کلی Port Security در سه حالت زیر کار می کند:

1. Dynamic : حالت معمولی که تمام MAC Address ها یاد می گیرد و اجازه اتصال می دهد.
2. Static : تنها به MAC Address هایی که ما تعیین می کنیم اجازه دسترسی می دهد.
3. Sticky : به صورت اتوماتیک MAC Address ها را ثبت می کند با این تفاوت که این تعداد آدرس ها ثبت شده محدود هستند.

سوالی که این جا پیش می آید این است که اگر یک دستگاه با MAC Address غیر مجاز به شبکه متصل شود چه اتفاقی می افتد. جواب این سوال در تعریف Violation Mode ها هستند. Violation Mode ها در واقع عملی هستند که سویچ در مقابله با اتصال یک دستگاه با MAC Address غیر مجاز انجام می دهند که شامل سه حالت زیر هستند:

1. Shutdown : پورت را خاموش می کند.
2. Restrict : بسته ها را drop می کند و همچنین شمارنده Security Counter را اضافه می کند( به نوعی log ثبت می کند).
3. Protect : تنها بسته ها را drop می کند اما هیچ log ای را ثبت نمی کند.

پر واضح است که بهترین روش ، Shutdown است.برای پیاده سازی Port Security ابتدا وارد Global Configuration می شویم. سپس وارد اینترفیس ای می شویم که می خواهیم این قابلیت را برای آن پیاده سازی کنیم:

Switch#Configure Terminal
Switch(config)#Interface Fastethernet 0/1

این اینترفیس را بر روی حالت Access قرار می دهیم.

Switch(config-if)#Switchport mode access

با دستور زیر قابلیت Port Security را فعال می کنیم:

Switch(config-if)#switchport port-security

با دستور زیر حالت Port Securty را بر روی Sticky قرار می دهیم.

Switch(config-if)#switchport port-security mac-address sticky

همچنین با دستور زیر می توانیم به صورت Static مک ادرس را ثبت کنیم:

Switch(config-if)#switchport port-security mac-address <MAC Address>

دستور زیر تعداد مک ادرس هایی که سویچ می تواند از این اینترفیس یاد بگیرد را تعیین می کند:

Switch(config-if)#switchport port-security maximum 2

با دستور زیر Violation Mode را تعیین می کنیم:

Switch(config-if)#switchport port-security violation shutdown  

دستورات مشاهده تنظیمات :

Switch#show port-security interface fastEthernet 0/1
Switch#show port-security address 
Switch#show interfaces status

نکته: در صورت Shut Down شدن یک اینترفیس به دلیل نقض Port Security شما باید وارد آن اینترفیس بروید و یک بار آن را خاموش و روشن کنید.

نکته: با دستور زیر می توانید این کار را به صورت خودکار انجام دهید:

Switch(config)#errordisable recovery cause psecure-violation
Switch(config)#errordisable recovery interval <time>

مشاهده تنظیمات مربوط به errordisable:

Switch#show errordisable  recovery

پورت سکیوریتی چیست؟ و چه کاربردی دارد؟

Port Security همونجور که از اسمش هم پیداست یک مساله امنیتی می باشد و در مراکز خاص و امنیتی میتونه خیلی مفید و پر کاربرد باشه .با چند مثال ساده شروع میکنم .فرض کنید شما شبکه ی کوچکی دارید و 10-15 تا کامپیوتر به یک سوئیچ متصل شدند و دارن کار میکنند . از لحاظ امنیتی واستون مهم نیست چه دستگاهی به پورت هاتون متصل باشه فقط تنظیمات نرم افزاری درست باشه و IP در رنج مناسب داشته باشید ، دستگاه متصل شده و کار میکنید .

دوره آموزش CCNA سیسکو جامع ( CCNA Routing and Switching ) ومدرک CCNA روتینگ و سویچینگ سیسکو اولین گواهینامه دوره های آموزش سیسکو به حساب می آید که شما را با تجهیزات زیرساختی سیسکو مثل روترها و سویچ ها و نحوه کار با آنها به خوبی آشنا می کند. شما با گذران این دوره CCNA Routing and Switching سیسکو دیگر نیازی به هیچ منبع آموزشی سیسکو نخواهید داشت.پیشنیاز دوره آموزشی CCNA سیسکو ، دوره آموزش نتورک پلاس است.