۱۰ نکته در خصوص امکانات امنیتی سوئیچ های سیسکو - قسمت دوم

Network Security Best Practices and
Cisco Catalyst Switches
Part # 2

۲- پیکربندی Port Security بر روی پورت های Access سوئیچ :

یکی از روشهای مؤثر در افزایش امنیت شبکه های LAN استفاده از امکان محدود نمودن پورت های سوئیچ های لایه ACCESS شبکه به آدرس های فیزیکی (MAC Address) معین و از پیش تعیین شده می باشد. این قابلیت باعث جلوگیری از اتصال تجهیزات غیر مجاز به ویژه رایانه های همراه به شبکه سازمان شما و حذف ریسک دسترسی غیر مجاز به منابع میزبانی شده بر روی شبکه خواهد شد. همانطور که می دانید یکی از مهمترین ویژگیهای تجهیزات سوئیچ ذخیره آدرس فیزیکی مبدأ (Source MAC address) بسته های (Frames) وارد شده به سوئیچ در جدولی به نام  MAC Table است. این عمل باعث افزایش سرعت عملیات Forwarding سوئیچ در ارجاعات احتمالی بعدی به آدرس فیزیکی ذخیره شده و همچنین کاهش چشمگیر ترافیک شبکه از طریق کاهش پروسه ARP و Broadcastهای لازم جهت یافتن آدرس فیزیکی مقصد بسته ها خواهد شد. هر ردیف از جدول MAC Table شامل اطلاعاتی در خصوص تناظر یک به یک میان شماره پورد سوئیچ و آدرس های فیزیکی متصل به آن پورت است. جهت مشاهده اطلاعات این جدول می توانید از دستور زیر استفاده نمایید:

ITNGN_SW#show mac-address-table
          Mac Address Table
-------------------------------------------

Vlan    Mac Address         Type           Ports
 ----       -----------          --------         -----

    1    0001.c723.67ec    DYNAMIC     Fa0/24
    1    0009.7ced.920d    DYNAMIC     Fa0/24
    1    00d0.5803.6919    DYNAMIC     Fa0/24
ITNGN_SW#

همانطور که در جدول فوق مشاهده می کنید، سوئیچ آزمایشگاه ما آدرس فیزیکی (MAC) سه تجهیز مختلف را بصورت Dynamic بر روی پورت 24 خود دریافت و ذخیره کرده. این بدان معنی است که بعد از این درصورتی که یک بسته اطلاعاتی با مقصد هر یک از آدرس های فوق وارد سوئیچ گردد، سوئیچ بدون درنگ آن را به سمت پورت 24 خود هدایت خواهد کرد.
در این قسمت می خواهیم با انجام تنظیمات port security سوئیچ را طوری پیکربندی کنیم که سوئیچ بر روی هر پورت خود تنها یک MAC Address را ذخیره کرده و در صورتیکه دستگاه جدیدی با آدرس متفاوت از MAC Address اولیه به این پورت ها متصل شود، پورت سوئیچ بصورت خودکار به حالت Block رفته و در ضمن یک پیغام هشدار برای Syslog server ارسال کند:

ابتدا وارد کنسول مدیریتی سوئیچ شده و وارد محیط پیکربندی اینترفیس مورد نظر می شویم

ITNGN_SW>ena

ITNGN_SW#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

ITNGN_SW(config)#interface fastEthernet 0/1

ITNGN_SW(config-if)#

حالا با استفاده از فرمان زیر ، اینترفیس سوئیچ را برای پیکربندی امنیتی مورد نظر آماده می کنیم:

ITNGN_SW(config-if)#switchport port-security

در این قسمت ماکسیمم تعداد آدرس های فیزیکی که سوئیچ می تواند بر روی این پورت ذخیره کند تعیین می کنیم. با وارد کردن عدد 1 به سوئیچ می فهمانیم که بر روی این پورت اولین آدرس فیزیکی که دریافت کرد را ذخیره و از این پس اگر بسته ای با آدرس فیزیکی مبداء غیر از این آدرس دریافت کرد ، بصورت خودکار پورت سوئیچ را Block و مانع دسترسی رایانه غیر مجاز به شبکه گردد:

ITNGN_SW(config-if)#switchport port-security maximum 1

برای مشخص کردن رفتار سوئیچ در صورت دریافت آدرس فیزیکی غیر مجاز از زیر دستور Violation بصورت زیر استفاده می شود. همانطور که در زیر هم مشخص شده ، رفتار سوئیچ در قبال تشخیص دسترسی غیر مجاز می تواند به یکی از صورت های زیر باشد:

ITNGN_SW(config-if)#switchport port-security violation ?
  protect      Security violation protect mode
  restrict      Security violation restrict mode
  shutdown  Security violation shutdown mode

ITNGN_SW(config-if)#switchport port-security violation shutdown

ITNGN_SW(config-if)#

در مثال فوق رفتار Shutdown به عنوان عکس العمل سوئیچ انتخاب شده که در این حالت سوئیچ با دریافت آدرس فیزیکی غیر مجاز پورت متناظر را به حالت Blocking برده و ضمن قطع ارتباط دسترسی دستگاه غیرمجاز، با ارسال یک پیغام Alert به Syslog server مدیر شبکه را از رویداد امنیتی رخ داده آگاه می سازد.

در خصوص دو انتخاب دیگر، عکس العمل سوئیچ به شرح موارد زیر خواهد بود:

protect      بسته های دریافتی از مبدأ رایانه غیر مجاز Drop شده ولی همچنان پورت شبکه فعال باقی خواهد ماند. در این حالت پیغام Alert و یا Log ارسال نخواهد شد.
restrict      بسته های دریافتی از مبدأ رایانه غیر مجاز Drop شده ولی همچنان پورت شبکه فعال باقی خواهد ماند. در این حالت پیغام Alert جهت Syslog Server ارسال می شود.