کاربرد Security Level در فایرول ASA سیسکو چیست؟ Security Level مقداری است که به هر Interface اختصاص داده می شود و درجه اهمیت آنرا مشخص می کند. این مقدار میتواند عددی بین 0 تا 100 باشد . ترافیک TCP و UDP از اینترفیس با Security Level بالاتر می تواند وارد اینترفیس با Security Level پایین تر شود و با توجه به ویژگی Statefull ترافیک درخواستی از Security Level بالاتر از Security Level پایین تر امکان و اجازه پاسخگویی و ورود به Security Level بالاتر را پیدا می کند به عبارتی تنها به ترافیکی از سطح پایین تر اجازه ورود داده می شود که از داخل ان اینترفیس درخواست شده باشد.
غیر از Security Level برای هر اینترفیس یک نام (name if) در نظر می گیریم اگر برای اینترفیس نام inside در نظر گرفته شود به صورت خودکار مقدار Security Level برابر 100 و اگر outside را به عنوان نام اینترفیس انتخاب کنیم مقدار Security Level برابر صفر خواهد شد. به اینترفیس ها می توان یک Security Level یکسان اختصاص داد. به طور پیش فرض ترافیک بین اینترفیس هایی که دارای مقدار Security Level یکسان هستند عبور داده نمی شود
Security Level در فایروال ASA سیسکو عددی بین ۰ تا ۱۰۰ است که میزان اعتماد یک رابط شبکه (Interface) را تعیین میکند. سطح ۱۰۰ بالاترین امنیت (معمولاً برای شبکه داخلی) و سطح ۰ کمترین امنیت (معمولاً برای اینترنت) را دارد. ترافیک از سطح بالاتر به پایینتر مجاز است، اما برای مسیر برعکس نیاز به دستورات دسترسی (ACL) دارد. در آموزش فایروال، درک این مفهوم برای مدیریت امنیت و کنترل ترافیک شبکه ضروری است.
فایروال Transparent چیست؟ فایروال یک سیستم امنیتی برای شبکه است که به دو صورت سخت افزاری و نرم افزاری موجود است و وظیفه آن کنترل ترافیک ورودی و خروجی براساس سیاست ها و نقش هایی که برای آن تعریف می شود است. فایروال شرکت تحت نام Adaptive Security Applince یا ASA تولید می شود البته ASA علاوه بر فایروال امکانات مانند AntiVirus ، IPS ، VPN و ... را برای ما فراهم می کند. ASA در دو Mode یا حالت Transparent و Routed کار می کند.در این مقاله می خواهیم مفاهیم ، نحوی عملکرد و ویژگی های Transparent Mode را بررسی کنیم اما در ابتدا به صورت مختصر Routed Mode را بررسی می کنیم.
Transparent Firewall در سیسکو نوعی فایروال لایه ۲ است که مانند یک Bridge (پل) بین دو شبکه عمل میکند و بدون نیاز به تغییر در آدرسهای IP، ترافیک را فیلتر میکند. این فایروال در مسیر دادهها قرار میگیرد و با استفاده از ACLs، Security Policies و Inspection امنیت شبکه را افزایش میدهد. در آموزش فایروال، یادگیری Transparent Firewall برای مدیریت امنیت در شبکههای بدون تغییر در توپولوژی حیاتی است. این روش در محیطهایی که نیاز به کنترل دقیق ترافیک بدون ایجاد تغییر در زیرساخت IP دارند، کاربرد زیادی دارد. تنظیم آن معمولاً با Cisco ASA و Firepower انجام میشود.
به صورت پیش فرض فایروال ASA در لایه سوم عمل می کند و بر پایه Packet و IP Address عمل می کند و کلیه عملیات بازرسی و انتقال ترافیک ، براساس پارامترهای لایه سوم انجام می گیرد هرچند که ASA می تواند در لایه های بالاتر نیز کنترل را انجام دهد. ASA با در نظر گرفتن IP Address برای اینترفیس ها ، خود را به عنوان یک روتر یا Gateway در شبکه ای که به آن متصل است معرفی کند. به این حالت Routed Mode گفته می شود.استفاده از این حالت نیاز به تغییرات در سیستم آدرس دهی IP دارد.در این حالت هر اینترفیس ASA باید به یک Subnet متصل و یک IP از آن Subnet به آن اینترفیس اختصاص داده شود در تصویر زیر حالت Routed Mode را می بینید که اینترفیس 0 به نام outside به شبکه 192.168.100.0/24 ، اینترفیس 1 به نام inside به شبکه 192.168.200.0/24 و اینترفیس 2 به نام DMZ به شبکه 192.168.1.1/24 متصل است.
حالت دیگری که ASA می تواند در آن عمل کند Transparent است. در این حالت ASA همانند یک دستگاه لایه دو فعالیت می کند و مانند یک روتر یا Gateway در شبکه دیده نمی شود این حالت استفاده فایروال را قایروال لایه دو یا فایروال مخفی نیز می نامند. چون در این حالت اینترفیس های فایروال IP نمی گیرند در نتیجه قابل شناسایی نیستند و تنها از یک IP آدرس برای ترافیک Management مروبط به خود دستگاه استفاده می شود.نصب و راه اندازی فایروال در حالت Transparent در شبکه به سادگی انجام می پذیرد و شبکه ما را به دو قسمت inside و outside تقسیم می کند بودن اینکه نیاز به تغییر در سیستم آدرس دهی شبکه وجود داشته باشد در شکل زیر نحوی استقرار فایروال در حالت Transparent را نشان می دهد.
در حالت Transparent هر دو اینترفیس inside و outside به یک subnet متصل می شود. به این حالت bump in the wire گفته می شود چون در این حالت ASA شبکه را جدا نمی کند و بخشی از شبکه می شود و ترافیک شبکه مورد بازرسی قرار می دهد و نسبت به سیاست های و نقش های در نظر گرفته شده برای فایروال ، در مورد ترافیک های عبوری تصمیم می گیرد. به این همین دلیل نصب و راه اندازی Transparent mode ساده و آسان است.با اینکه حالت Transparent در لایه دو عمل می کند ترافیک لایه سه تا زمانی که شما به آن اجازه عبور ندهید (با یک ACL) این ترافیک نمی تواند عبور کند. و تنها ترافیکی که بدون ACL اجازه عبور دارد ترافیک مربوط به ARP است. ترافیک ARP را با ARP Inspection می توان کنترل کرد.
به طور مثال شما می توانید با استفاده از یک ACL ترافیک Routing Protocol هایی مانند OSPF ، EIGRP و ... را از Transparent Firewall عبور دهید ASA در حالت transparent را می توان همانند یک سوئیچ در نظر گرفت که فریم ها را از یک اینترفیس به اینترفیس دیگر منتقل می کند اینکار براساس MAC آدرس فریم انجام می شود. ASA آدرس MAC مبدا و پورتی که روی آن این فریم را دریافت کرده را نگه داری می کند و از این طریق متوجه می شود که برای رسیدن به این MAC آدرس از چه اینترفیس می تواند استفاده کند. با استفاده از این اطلاعات ASA یک جدول تشکیل می دهد و این اطلاعات را در آن نگه داری می کند و با استفاده از این جدول اقدام به ارسال فریم های می کند.
سوئیچ زمانی که MAC مقصد فریم را در جدول Cam خود پیدا نکند این فریم را روی تمام اینترفیس هایش غیر از اینترفیسی که این فریم را روی آن دریافت کرده ارسال می کند به این امید که مقصد به یکی از پورت هایش متصل باشد.اما ASA همانند سوئیچ اینکار را به سادگی انجام نمی دهد چون به دلیل سیاست های امنیتی امکان ارسال بسته ها محدود شده است. در عوض ASA به منظور پیدا کردن مقصد به یکی از روش های زیر وارد عمل می شود:
ASA که نسخه 8.4(1) یا بالاتر را اجرا کند این امکان را دارد که اینترفیس های خود را عضو یک یا چند گروه (bridge group) منطقی کند. هر bridge group به عنوان یک Transparent firewall کاملا مستقل عمل کند. ترافیکی که از یک bridge group عبور می کند نمی تواند وارد bridge group دیگر شود در صورت نیاز به ایجاد ارتباط بین این گروه ها باید از یک روتر خارجی استفاده شود. در فایروال های ASA تا هشت bridge group می توان ایجاد کرد که به هر گروه می توان 2 تا 4 اینترفیس داشته باشد. حداقل هر گروه باید دو اینترفیس داشته باشد که معمولا به نام های inside و outside شناخته می شوند. تصویر زیر نشان دهنده دو bridge group است که به صورت کاملا مجزا از یکدیگر عمل می کنند.
با استفاده از این قابلیت این امکان فراهم می شود که چندین فایروال مستقل داشته باشیم.نسخه های قبل 8.4(1) تنها از یک bridge group پشتیبانی می کنند و از دو اینترفیس برای آنها می توان استفاده کرد که می توان نام های inside و outside را برای آنها در نظر گرفت و اجازه استفاده از اینترفیس سوم را نخواهیم داشت مگر به عنوان پورت Management از آن استفاده کنیم که تنها ترافیک مربوط به خود دستگاه از آن عبور داده شود.
زمانی که ASA چند Security Context دارد برای هر Context می تواند یک یا چند bridge group داشته باشیم. به هر Context می توان اینترفیسی را اختصاص داد که مربوط به Contextهای دیگر نباشد به عبارت دیگر اینترفیس ها نمی توانند بین Context ها مشترک باشند.اینترفیس های فایروال در حالت Transparent باید همه به یک شبکه (subnet) متصل باشند هر چند که بسته های IP بودن محدودیت های لایه دو همچنان بازرسی می شوند. از یک Extended ACL برای بررسی و ارزیابی Policiesهای ، ترافیک استفاده می شود و موتور بازرسی و بررسی ASA می تواند فعالیت های ترافیک را در هر لایه ای مورد بررسی قرار دهد.
قبل از اینکه یکی از دو حالت Routed یا Transparent را برای شبکه خود انتخاب کنیم باید از نقاط ضعف و قوت این دو حالت آگاهی داشته باشیم. در اینجا به صورت خلاصه این ویژگی ها را نام می بریم:
MAC آدرس زیر به عنوان مقصد اجازه عبور از Transparent Firewall را دارند. هر MAC آدرسی که در جدول زیر وجود نداشته باشد توسط فایروال Drop می شود:
نکته : از نسخه (ASA/PIX 8.0(2 می توان از این قابلیت نیز استفاده کرد.
در این مطلب با مفهوم Port Security آشنا می شویم و یاد میگیریم که چگونه بوسیله Port Security می توان جلوی حملات را گرفت. در بحث امنیت همیشه حملات و ترافیک مخرب از طریق شبکه خارجی و اینترنت صورت نمی گیرد بلکه بسیاری از حملات و مشکلات امنیتی منشاء آنها شبکه داخلی خود سازمان است و از طریق دستگاه های سازمان صورت می گیرد. Port Security یک قابلیت و امکان امنیتی است که به ما کمک می کند کنترل بسیار مناسبی در لایه دو داشته باشیم و بتوانیم جلوی بسیاری از حملات را بگیریم . Port Security کنترل می کند که چند MAC address روی یک پورت اجازه استفاده دارند.
این ویژگی به صورت پورت به پورت اجرا می شود. معمولا هر کاربر از یک MAC address استفاده می کند مگر اینکه از ماشین مجازی استفاده کند یا یک IP phone داشته باشد در این صورت نیاز به بیشتر از یک MAC address خواهد داشت. در هر صورت ، برای جلوگیری از اینکه کاربر دستگاه های مختلف را به سوئیچ وصل کند می توان از port security استفاده کرد و براساس MAC address این محدودیت برای هر پورت اعمال کرد.همچنین port security می تواند شبکه را در برابر نرم افزارهای مخرب که می توانند هزاران فریم را در شبکه با MAC Address های متفاوت ارسال کنند محافظت کند. با اینکار مهاجم با استفاده از این نرم افزار مخرب جدول MAC سوئیچ را تحت تاثیر خود قرار می دهد ، جدول MAC سوئیچ دارای ظرفیت محدودی است و این ظرفیت با MAC address های جعلی پر می شود.
در نتیجه MAC address های درست سایر تجهیزات نمی تواند در این جدول قرار بگیرد و زمانی که یک فریم به دست سوئیچ می رسد نمی تواند پورت خروجی برای مقصد فریم را پیدا کند و مجبور می شود این فریم را روی تمام پورت های خود ارسال کند و در اینجا مهاجم می تواند با Sniff کردن بسته ها به اطلاعات تمام دستگاه ها دسترسی پیدا کند. این حمله به عنوان CAM table overflow یا MAC Flooding Attack شناخته می شود.همچنین Port security می تواند از DHCP server حافظت کند. یک مهاجم با ارسال هزاران درخواست DHCP با MAC address متفاوت می تواند DHCP pool را خالی کند و سرویس دهی DHCP server را مختل کند و DHCP server دیگر نتواند به سایر دستگاه ها IP اختصاص دهد. به این حمله DHCP starvation گفته می شود.
با فعال کردن Port Security روی یک پورت به صورت پیش فرض یک MAC address می تواند از آن استفاده کند که می توان این MAC address را به صورت دستی یا sticky برای پورت مشخص کرد البته می توان با استفاده از دستور maximum تعداد را افزایش داد. اگر تعداد MAC address های مورد استفاده از پورت ، بیشتر از مقدار مشخص شده بیشتر شود یا MAC address غیر از MAC address مجاز از پورت استفاده کند اقدامی که برای مقابله آن درنظر گرفته شده است به صورت پیش فرض shutdown است که باعث خاموش شدن و در حالت err-disable قرار گرفتن پورت می شود. البته می توان بجای shutdown از حالت های دیگر مثل Protect یا restrict استفاده کرد. در حالت protect پورت را خاموش نمی کند و اجازه عبور را به فریم های مربوط به MAC address های غیر مجاز را نمی دهد. Restrict عملکرد مشابه protect دارد با این تفاوت که log نیز تولید می کند. نحوی اجرای port security در مثال زیر نمایش داده شده است :
SW(config)#interface fastethernet 0/1 SW(config-if)#switchport port-security SW(config-if)#switchport port-security maximum 3 SW(config-if)#switchport port-security violation restrict Switch(config-if)#switchport port-security mac-address sticky
همچنین از دستورات زیر برای بررسی وضعیت port security می توان استفاده کرد :
SW#show port-security SW#show port-security address SW# show port-security interface fa0/1
در طراحی یک شبکه ، در نظر گرفتن مباحث امنیتی آن دارای اهمیت ویژه است چون در زمان حمله ، شبکه دچار مشکلاتی مختلفی مانند از کار افتادن بخشی یا کل شبکه ، افشاء اطلاعات محرمانه سازمان ، دستکاری در اطلاعات و ... می شود. برای جلوگیری از بروز این حملات ما باید طرح و برنامه درستی برای شبکه خود در نظر بگیریم.
بر اساس طراحی سه لایه ای سیسکو دسترسی ها از طریق لایه Access ایجاد می شود که عمده مشکلات امنیتی به دلیل عدم کنترل این دسترسی ها صورت می پذیرد. در این آموزش ما سعی می کنیم مبحث Port Security را بازگو کنیم که به وسیله این قابلیت تا سطح بسیار زیادی ما می توانیم امنیت شبکه خود را برقرار کنیم. Port Security امنیت شبکه ما را در لایه دوم بهبود می بخشد. Port Security شبکه ما را در برابر حملات زیر محافظت می کند :
همچنین از دسترسی دستگاه های غیر مجاز به شبکه و ایجاد مشکلات ناشی مانند سرقت اطلاعات و آلوده کردن شبکه و ... جلوگیری می کند.
به وسیله Port Security تعداد MAC آدرس هایی که اجازه دسترسی به شبکه دارند به ازای هر پورت را محدود می کنیم. به این صورت مشخص می کنیم از هر پورت چه دستگاه هایی اجازه دسترسی به شبکه دارند و به این صورت دستگاه های ناشناش اجازه دسترسی به شبکه را نخواهند داشت. زمانی که این قابلیت روی سوئیچ فعال شود در صورت اتصال یک دستگاه غیرمجاز به شبکه ، می توان وضعیت های زیر را نسبت به این دسترسی غیر مجاز تعیین کرد:
اولین کار قرار دادن پورت در حالت Access است:
Switch(config)#interface fastethernet 0/1 Switch(config-if)#switchport mode access
بعد باید این قابلیت را فعال کنیم:
Switch(config-if)#switchport port-security
سپس MAC آدرس های مجاز را تعیین می کنیم که به دو صورت امکان پذیر است :
Switch(config-if)#switchport port-security mac-address AD49.FB36.3596
Switch(config-if)#switchport port-security mac-address sticky
تعیین یکی از سه حالت موجود :
Switch(config-if)#switchport port-security violation portect
تعیین تعداد دستگاه های مجاز جهت استفاده از پورت:
Switch(config-if)#switchport port-security maximum 2
جهت مشاهده و بررسی تنظیمات از دستورات زیر استفاده می کنیم:
Switch#show port-security Switch#show port-security address
Switch#clear port-security all Switch#clear port-security sticky interface fastEthernet 0/1
چرا از پورت سکیوریتی استفاده کنیم؟ دلایل استفاده از Port Security چه هستند؟ چگونه Port Security را در سویچ سیسکو راه اندازی کنیم؟ در گذشته امنیت شبکه داخلی مشکل چندان مهمی نبود اما با گذر زمان، نیاز به برقراری امنیت در شبکه های داخلی بیش تر از پیش حس شد. ظهور پدیده هایی نظیر شبکه های بی سیم و فناوری VoIP باعث شد تا مهندسین شبکه به فکر برقراری هرچه بیشتر امنیت در شبکه داخلی باشند.از سوی دیگر، کاربران دیگر مانند گذشته آنچنان قابل اعتماد نیستند و با در دسترس بودن ابزار های Sniffing و افزایش یافتن دانش کاربران ، این امکان وجود دارد اطلاعات در حال انتقال ما به سرقت روند.
Port Security یک ویژگی امنیتی در سوییچهای شبکه است که برای کنترل دسترسی به پورتهای فیزیکی استفاده میشود.با استفاده از این ویژگی، میتوان تعداد یا آدرسهای MAC مجاز برای اتصال به هر پورت را محدود کرد.این روش از حملاتی مانند MAC flooding جلوگیری کرده و دسترسی غیرمجاز به شبکه را کاهش میدهد.
تنظیمات مربوط به Port Security معمولاً از طریق دستورات CLI در تجهیزات شبکه انجام میشود.در آموزش هک، شناخت و استفاده از Port Security نقش مهمی در دفاع از شبکه و پیشگیری از حملات سایبری دارد.
افزایش استفاده از دستگاه های موبایل مانند گوشی های تلفن همراه، تبلت و نوت بوک ها ، باعث شده، امروزه شاهد این باشیم که شبکه های بی سیم به جزیی جدایی ناپذیر از ساختار شبکه های محلی سازمان ها تبدیل شده است. این شبکه های در مقایسه با شبکه های معمولی از امنیت پایین تری برخوردار هستند. حتی روش های امنیتی جدید و قوی ای مانند WPA2 ، در مقابل حملات Brute Force و Dictionary آسیب پذیر هستند و مهاجمتن می توانند با استفاده از ابزار های خاص ،از طریق شبکه های بی سیم به شبکه داخلی ما نفوذ کرده و اطلاعات و سرویس های ما را در معرض خطر قرار دهند.
از طرف دیگر ما شاهد رواج یافتن یکی دیگر از پدیده های دنیای IT به نام VoIP هستیم. اگر کمی در این زمینه اطلاع داشته باشید ، حتما می دانید که همانند شکل زیر ما IPphone ها و کامپیوتر ها را به سویچ متصل می کنیم. سابقا برای این کار بین سویچ و IPphone یک Trunk برقرار می کردیم تا دیگر نیازی به دو اتصال جداگانه برای IPphone و رایانه نیازی نباشد. اما فرد متهاجم می تواند از این Trunk Link استفاده کرده و اطلاعات کاربر را می توانست سرقت کند.
همچنین فرد مهاجم می تواند با اتصال به شبکه داخلی و فرستادن هزاران MAC Address به سویچ ، اقدام به پر کردن CAM Table آن کرده ( به این حمله CAM Table Flood می گوییم) و در نتیجه آن سویچبه یک هاب تبدیل شده و هکر می تواند تمامی اطلاعات در حال انتقال را Sniff کند.یکی از بهترین روش ها برای امن کردن شبکه های داخلی و جلوگیری از این حملات،استفاده از Port Security است. پروسه ای که شاید راه اندازی آن کمی دشوار باشد اما تا حدود بسیار زیادی امنیت شبکه داخلی ما را افزایش می دهد. در ادامه با این روش بیشتر آشنا می شویم.
با استفاده از Port Security در واقع ما به سویچ می گوییم که فقط و فقط اتصلات را از MAC Address هایی که ما تعیین می کنیم بپذیر. در نتیجه این کار، در صورتی که فرد مهاجم بتواند به تجهیزات شبکه داخلی ما دسترسی داشته باشد باز هم نمی تواند وارد شبکه داخلی ما شود.در حالت کلی Port Security در سه حالت زیر کار می کند:
سوالی که این جا پیش می آید این است که اگر یک دستگاه با MAC Address غیر مجاز به شبکه متصل شود چه اتفاقی می افتد. جواب این سوال در تعریف Violation Mode ها هستند. Violation Mode ها در واقع عملی هستند که سویچ در مقابله با اتصال یک دستگاه با MAC Address غیر مجاز انجام می دهند که شامل سه حالت زیر هستند:
پر واضح است که بهترین روش ، Shutdown است.برای پیاده سازی Port Security ابتدا وارد Global Configuration می شویم. سپس وارد اینترفیس ای می شویم که می خواهیم این قابلیت را برای آن پیاده سازی کنیم:
Switch#Configure Terminal Switch(config)#Interface Fastethernet 0/1
این اینترفیس را بر روی حالت Access قرار می دهیم.
Switch(config-if)#Switchport mode access
با دستور زیر قابلیت Port Security را فعال می کنیم:
Switch(config-if)#switchport port-security
با دستور زیر حالت Port Securty را بر روی Sticky قرار می دهیم.
Switch(config-if)#switchport port-security mac-address sticky
همچنین با دستور زیر می توانیم به صورت Static مک ادرس را ثبت کنیم:
Switch(config-if)#switchport port-security mac-address <MAC Address>
دستور زیر تعداد مک ادرس هایی که سویچ می تواند از این اینترفیس یاد بگیرد را تعیین می کند:
Switch(config-if)#switchport port-security maximum 2
با دستور زیر Violation Mode را تعیین می کنیم:
Switch(config-if)#switchport port-security violation shutdown
دستورات مشاهده تنظیمات :
Switch#show port-security interface fastEthernet 0/1 Switch#show port-security address Switch#show interfaces status
نکته: در صورت Shut Down شدن یک اینترفیس به دلیل نقض Port Security شما باید وارد آن اینترفیس بروید و یک بار آن را خاموش و روشن کنید.
نکته: با دستور زیر می توانید این کار را به صورت خودکار انجام دهید:
Switch(config)#errordisable recovery cause psecure-violation Switch(config)#errordisable recovery interval <time>
مشاهده تنظیمات مربوط به errordisable:
Switch#show errordisable recovery
Port Security همونجور که از اسمش هم پیداست یک مساله امنیتی می باشد و در مراکز خاص و امنیتی میتونه خیلی مفید و پر کاربرد باشه .با چند مثال ساده شروع میکنم .فرض کنید شما شبکه ی کوچکی دارید و 10-15 تا کامپیوتر به یک سوئیچ متصل شدند و دارن کار میکنند . از لحاظ امنیتی واستون مهم نیست چه دستگاهی به پورت هاتون متصل باشه فقط تنظیمات نرم افزاری درست باشه و IP در رنج مناسب داشته باشید ، دستگاه متصل شده و کار میکنید .
دوره آموزش CCNA سیسکو جامع ( CCNA Routing and Switching ) ومدرک CCNA روتینگ و سویچینگ سیسکو اولین گواهینامه دوره های آموزشی سیسکو به حساب می آید که شما را با تجهیزات زیرساختی سیسکو مثل روترها و سویچ ها و نحوه کار با آنها به خوبی آشنا می کند. شما با گذران این دوره CCNA Routing and Switching سیسکو دیگر نیازی به هیچ منبع آموزشی سیسکو نخواهید داشت.پیشنیاز دوره آموزشی CCNA سیسکو ، دوره آموزش نتورک پلاس است.
DHCP Spoofing حمله ای است که عملکرد سرویس DHCP (اختصاص IP به صورت اتومات) را مختل می کند.
MAC Flooding یا CAM Flood یک حمله هکری است که در آن مهاجم تعداد زیادی آدرس MAC جعلی را به سوئیچ ارسال میکند تا جدول CAM (Content Addressable Memory) پر شود. با پر شدن جدول، سوئیچ دیگر قادر به نگهداشتن آدرسهای معتبر نیست و تمام ترافیک را به همه پورتها ارسال میکند، که باعث حمله شنود (Sniffing) و دسترسی غیرمجاز به اطلاعات میشود. در آموزش هک، این حمله بهعنوان یکی از روشهای اولیه برای نفوذ به شبکه بررسی میشود. برای جلوگیری از آن، میتوان Port Security را در سوئیچهای سیسکو فعال کرد تا تعداد آدرسهای MAC مجاز روی هر پورت محدود شود. همچنین استفاده از 802.1X Authentication و Dynamic ARP Inspection (DAI) امنیت شبکه را افزایش میدهد.
این حمله به دو صورت می تواند به وجود اید:
برای جلوگیری از این حملات از DHCP Snooping استفاده می کنیم و به صورت زیر عمل می کند :
برای جلوگیری از حالت اول پورتی که متصل به DHCP سرور ماست را به عنوان Trust معرفی می کنیم در نتیجه تنها این پورت اجازه دارد به بسته های DHCP Request پاسخ دهد. برای جلوگیری از حالت دوم برای پورت ها مشخص می کنیم که در هر ثانیه اجازه دارد چندتا DHCP Request دریافت کند و یا استفاده از قابلیت Port Security .
در ابتدا DHCP Snooping را فعال می کنیم.
Switch(config)#ip dhcp snooping
سپس VLAN مربوطه را مشخص می کنیم.
Switch(config)#ip dhcp snooping vlan 1
وارد اینترفیس متصل به DHCP سرور می شویم و آنرا به عنوان trust معرفی می کنیم.
Switch(config)#interface fasthernet 0/24 Switch(config-if)# ip dhcp snooping trust
حالا باید مشخص کنیم که باقی پورت ها در هر ثانیه اجازه ارسال چند DHCP Request را دارند.
Switch(config)#interface range fastethernet 0/1-23 Switch(config-if)#ip dhcp snooping limit rate 3
برای درک بیشتر مفاهیم بعد از گذراندن دوره آموزش CCNA سیسکو میتوانید با شرکت در دوره CCNA Security بصورت گام به گام ، کارگاهی ، در قالب آموزش CCNA Security با کد آزمون 210-260 به شما تضمین می دهد که امنیت زیرساخت شبکه را فرا گیرید و بتوانید امنیت تجهیزات سیسکویی خودتان را ارتقاء دهید . با تهیه این دوره آموزش CCNA Security شما دیگر نیازی به منبع آموزشی دیگری برای یادگیری CCNA سکیوریتی نخواهید داشت.
دوره CCNA Security نام یکی از آزمونها و مدارک شرکت سیسکو است. سیسکو آزمونها و مدارک مختلفی از جمله CCNA را در حوزه شبکههای کامپیوتری برای افرادی برگزار میکند که قصد فعالیت در زمینه راهاندازی و نگهداری راهکارهای سیسکو با استفاده از تجهیزات این شرکت را دارند.