آشنايي با Switch port security

[Ariya]

با سلام.


يكي از مسائل در حال رشد كه امروزه مديران شبكه با آن برخورد ميكنند نحوه كنترل دسترسي افراد به شبكه داخلي سازمانشان ميباشد. به عنوان مثال آيا هر شخصي ميتواند وارد سازمان شده، laptop خود را به پريز شبكه متصل كرده و به شبكه داخلي دسترسي داشته باشد؟ ممكن است جواب شما به اين پرسش اين باشد كه هر پريز شبكه روي ديوار به سوئيچ متصل نيست. ولي اگر شخصي كابل اترنت را از PC در حال كاري جدا كند و به شبكه متصل شود چطور؟ شايد اين سناريو غير ممكن به نظر بيايد ولي اين اتفاق بارها در سازمانهاي مختلف پيش آمده است. مسئلهاي كه بيش از هرچيز در اين مورد نگران كننده است ويروسها و wormهاي مختلفي است كه PC شخص غير مجاز متصل شده به شبكه ممكن است داشته باشد. Switchport security براي حل اين مشكل به شما كمك ميكند. در ادامه به بررسي ويژگيهاي Cisco''s Port Security خواهيم پرداخت.

مفاهيم اوليهدر سادهترين حالت Port Security آدرس MAC متصل به پورت سوئيچ را به خاطر ميسپارد وفقط به همان آدرس MAC اجازه برقراري ارتباط با پورت سوئيچ را ميدهد. اگر آدرس MAC ديگري بخواهد از طريق همان پورت به شبكه متصل شود، پورت مذكورغيرفعال ميشود. اكثر اوقات مديران شبكه سوئيچ را طوري تنظيم ميكنند كه يك SNMP trap به سيستم مانيتورينگ مبني بر غير فعال شدن يك پورت به دلايل امنيتي فرستاده شود.اگر چه پيادهسازي راهحل هاي امنيتي هميشه شامل يك trade-off ميباشد و لي اين كاهش سهولت در مقابل افزايش امنيت سيستم ميباشد. وقتي شما از Port Security استفاده ميكنيد ميتوانيد از دسترسي دستگاههاي مختلف به شبكه جلوگيري كنيد و اين امر موجب افزايش امنيت ميشود. ولي از طرف ديگر فقط مدير شبكه است كه ميتواند پورت را فعال كند و اين امر در جايي كه به دلايل مجاز قرار به تغييردستگاهها باشد ايجاد مشكل ميكند.

تنظيم Port Security

تنظيمات Port Security نسبتا ً ساده ميباشد. در آسانترين حالت كافياست دستورات زير اعمال شود:

Switch# config t



Switch(config)# int fa0/18


?Switch(config-if)# switchport port-security

aging Port-security aging commands


mac-address Secure mac address


maximum Max secure addresses


violation Security violation mode


Switch(config-if)# switchport port-security

Switch(config-if)#^Z

با وارد كردن ابتداييترين دستور، تنظيمات پيش فرض كه اجازه دسترسي فقط به يك آدرس MAC (آدرس دستگاهي كه اولين بار به پورت سوئيچ وصل شده است.)ميباشد، اعمال ميگردد. و در صورتي كه دستگاه ديگري بخواهد با آن پورت ارتباط برقرار كند، پورت سوئيچ خاموش ميشود. ولي قطعا ً تنظيمات پيش فرض مد نظر شما نميباشد.

شناخت ساير امكانات :

همانطور كه در مثال بالا مشاهده كرديد، دستورات Port Security ديگري وجود دارند كه قابل تنظيم ميباشند از جمله:

switchport port-security maximum {max # of MAC addresses allowed} : با استفاده از اين دستور ميتوان تعداد پيش فرض آدرسهاي MAC كه يك عدد ميباشد راتغيير داد. به عنوان مثال اگر به پورت سوئيچ شما يك هاب 12 پورتي متصل باشد، 12 آدرس MAC كه هر كدام مربوط به يك دستگاه ميباشد بايد اجازه دسترسي داشته باشند. بيشترين تعداد آدرس MAC كه قابل تنظيم است، 132 ميباشد.

switchport port-security violation {shutdown | restrict | protect} : اين دستور به سوئيچ مي گويد در صورتي كه تعداد بيشتري دستگاه از ماكزيمم تعداد آدرس MACمجاز به پورت متصل شود، پورت وارد چه حالتي شود. حالت پيش فرض shutdown ميباشد. درحالت restrict به مدير شبكه هشدار داده ميشود و در حالت protect بستههايي كه از طرف آدرس غير مجاز ارسال ميشود دور ريخته ميشوند.

switchport port-security mac-address {MAC address} : با استفاده از اين دستور ميتوان آدرس MAC مجاز براي هر پورت را به صورت دستي براي آن تنظيم كرد. (به جاي اينكه هر پورت آدرس را به صورت پويا شناسايي كند.) همچنين ميتوان Port Security را براي يك رنج از پورتها تعريف كرد. به عنوان مثال:

Switch # config t

Switch (config) # int range fastEthernet 0/1 - 24
Switch (config-if) # switchport port-security

در مورد كاربرد اين دستور ميبايست بسيار محتاط بود چرا كه اگر اين دستور براي يك پورت uplink كه به بيش از يك دستگاه وصل است، استفاده شود به محض اينكه دستگاه دوم بستهاي را بفرستد، پورت خاموش ميشود.

مشاهده وضعيت Port Security

براي دانستن وضعيت Port Securityميتوانازدستوراتshow port-security address وshow port-security interface استفاده كرد:

Switch# show port-security address

Secure Mac Address Table
---------------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0004.00d5.285d SecureDynamic Fa0/18 -
--------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024


Switch# show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0004.00d5.285d
Security Violation Count : 0

Switch#

براي كسب اطلاعات بيشتر در مورد Port Security و تنظيمات مربوط به آن به سند فعال سازي Port Security براي سوئيچ Catalyst 2950 به آدرسCatalyst 2950 Desktop Switch Software Configuration Guide, 12.1(6)EA2c - Configuring the Switch Ports� [Cisco Catalyst 2950 Series Switches] - Cisco Systems مراجعه كنيد.

با تشكر.