فكرة ال Port Security !!
تخيل معي Switch مربوط فية 5 كومبوترات ! يتناقلون الترفك بينهم بشكل طبيعي . احد هذة المستخدمين الخمسة حاول ان يربط IP Phone
في الكومبوتر الخاص بة . وهذا يعني هناك MAC ثاني سيسجل في ال Switch على هذا البورت الخاص بهذا اليوز . ولكن ماهو ال MAC الاول ؟ بالتأكيد ال MAC الخاص بالكومبيوتر . هل سيعمل بشكل طبيعي ؟ نعم . وهذا يقودنا بالنتيجة الى ان البورت الخاص بي ال Switch ممكن ان يتعامل مع اكثر من MAC !
في الكومبوتر الخاص بة . وهذا يعني هناك MAC ثاني سيسجل في ال Switch على هذا البورت الخاص بهذا اليوز . ولكن ماهو ال MAC الاول ؟ بالتأكيد ال MAC الخاص بالكومبيوتر . هل سيعمل بشكل طبيعي ؟ نعم . وهذا يقودنا بالنتيجة الى ان البورت الخاص بي ال Switch ممكن ان يتعامل مع اكثر من MAC !
جيد ، هل هناك عدد محدد من ال MAC مخصص لكل بورت في ال Switch ؟؟
الطبيعي هو واحد ، وهذا يقودنا الى المشكلة التي ننوي حلها ! حيث ان كومبوتر واحد ممكن ان يقوم بتسجيل آلاف ال MACs في ال Switch . وكيف يمكن للكومبوتر عمل هذا ؟
الطبيعي هو واحد ، وهذا يقودنا الى المشكلة التي ننوي حلها ! حيث ان كومبوتر واحد ممكن ان يقوم بتسجيل آلاف ال MACs في ال Switch . وكيف يمكن للكومبوتر عمل هذا ؟
ممكن من خلال مثالنا الاول ربط ال IP Phone مع الكومبوتر ، ربما هذا الكومبوتر يستخدم VMware او اي برنامج فيرجول وفية العديد من الكومبوترات الفيرجول التي لها MAC و مربوطة على البورت المتصل بي ال Switch وبالتالي يتم تسجيل هذة الماكات في ال MAC Table الخاصة بي ال Switch .
ربما احد المستخدمين هكر ويستخدم برنامج يولد الكثير من الماكات وبالتالي يشغل لوحة الماكات الخاصة بي ال Switch . من أشهر هذة البرامج ال MAC OFF . والذي يطلق علية بهجمات ال Spoofing .
ربما احد المستخدمين هكر ويستخدم برنامج يولد الكثير من الماكات وبالتالي يشغل لوحة الماكات الخاصة بي ال Switch . من أشهر هذة البرامج ال MAC OFF . والذي يطلق علية بهجمات ال Spoofing .
السؤال الان كيف يتم تقيد البورت بعدد محدد من ال MACs اقصد بورتات ال Switch ؟؟
سيسكو تقدم لنا حل مهم وجيد يتمثل بي ال Port Security . مهمة هذا الخاصية في السوج هي تحديد البورت بعدد معين من ال MACs . مما يوفر الحماية والحد من أنماط الهجمات والمشاكل المشار اليها .
لنتعرف علي اوامر ال Port Security .
مع شرح مختصر لكل امر .
مع شرح مختصر لكل امر .
SW#Inter F0/0
OR
SW#Interface Range F0/1 -20
هنا دخلنا على الانترفيس F0/0 ذالك لان كل الاوامر التي سوف نستخدمها في هذا الموضوع تحت الانترفيس Mode . ممكن كذالك الدخول على رينج من الانترفيسات كما في المثال دخلنا على 20 بورت من ال 1 الى ال 20 .
SW#Switchport mode access
هذا الامر يخبر البورتات الموجودة في ال Switch والتي دخلنا عليها في الامر الاول ان الذي سيربط فيها يجب ان يكون (محطة طرفية)
او End Terminal , يعني بعد هذا الامر سيفهم ال Switch انه يجب ربط كومبوتر ، طابعة ، سكنر ، فون . اي جهاز بشرط ان يكون جهاز طرفي ، اب بمعنى لايمكن ربط Switch على هذا البورت بعد هذا الامر .
او End Terminal , يعني بعد هذا الامر سيفهم ال Switch انه يجب ربط كومبوتر ، طابعة ، سكنر ، فون . اي جهاز بشرط ان يكون جهاز طرفي ، اب بمعنى لايمكن ربط Switch على هذا البورت بعد هذا الامر .
SW#Switchport port-security
هذا الامر يفعل خاصية ال Port Security ، لاتنسى هذا الامر لانه مهم جداً ، اذا كتبت جميع الاوامر ونسيت هذا الامر فلن يعمل اي شي .
كذالك لو كتبت كل الاوامر و أردت ان توقف كل شي ممكن كتابة الامر
هذا الامر يفعل خاصية ال Port Security ، لاتنسى هذا الامر لانه مهم جداً ، اذا كتبت جميع الاوامر ونسيت هذا الامر فلن يعمل اي شي .
كذالك لو كتبت كل الاوامر و أردت ان توقف كل شي ممكن كتابة الامر
SW#No Switchport Port-Security
SW#Switchport port-security maximum 2
في هذا الامر خصصنا لهذا البورت 2 MACs
فقط . عموما الرينج المخصص من 1 الى 3072. اذا حاول المستخدم على هذا البورت استخدام اكثر من العدد المقرر بهذا الامر سيتم تطبيق العقوبة على هذا البورت ، سنتعرف على انواع العقوبات بعد قليل .
SW#Switchport port-security MAC-Address XX.XX.XX.XX.XX.XX
فقط . عموما الرينج المخصص من 1 الى 3072. اذا حاول المستخدم على هذا البورت استخدام اكثر من العدد المقرر بهذا الامر سيتم تطبيق العقوبة على هذا البورت ، سنتعرف على انواع العقوبات بعد قليل .
SW#Switchport port-security MAC-Address XX.XX.XX.XX.XX.XX
Or
SW#switchport port-security MAC-Address Sticky
في الامر الاول الخاص بهذة الفقرة ، يمكننا كتابة الماكات المخصصة لهذا البورت ، حيث ممكن كتابة الماك الخاص بالكومبيوتر ، والماك الخاص بي الفون مثلا . فسيكون هذا البورت مسخر لهذة الماكات او لهذة الأجهزة بعينها فقط ، لو حاول احد ان يربط كومبوتر اخر على هذا البورت ستطبق علية العقوبة .
اما الامر الثاني والذي يحتوي على كلمة Sticky
لة أهمية كبيرة في تصوري ! لماذا ؟
في الامر السابق حددنا الماكات للبورت المعني وكتبناها . بمعنى ان هذا البورت يقبل فقط هذة الماكات .
لة أهمية كبيرة في تصوري ! لماذا ؟
في الامر السابق حددنا الماكات للبورت المعني وكتبناها . بمعنى ان هذا البورت يقبل فقط هذة الماكات .
مع كلمة Sticky سيقوم هذا البورت باستقبال 2 MAC بدون تحديد . وهذا يعطي مرونة في إمكانية تحرك المستخدم في الشركة وعلى اي بورت بدون مشاكل شريطا ان يلتزم بالعدد المحدد من الماكات وفي مثالنا هو 2 .
SW#switchport port-security violation Shutdown / Protect / Restrict
SW#switchport port-security violation Shutdown / Protect / Restrict
العقوبات !! في حالة ان المستخدم لم يلتزم بالعدد المحدد من الماكات ، ماذا ستكون ردت فعل ال Switch ؟
هناك 3 عقوبات يستخدمها ال Port Security :
ال Shutdown : في حالة تخطي البورت لعدد ال MAC المحددة لة يقوم بغلق البورت . ويحول البورت الى حالة ال ErrDis .
ال Protect : في حالة تخطي البورت للعدد ال MACs المحددة لة . يقوم بتجاهل هذا التخطي ولأي يستجيب الا للعدد المحدد من الماكات .
ال Restrict : في حالة تخطي البورت للعدد ال MACs المحدد . يقوم بتجاهل هذا التخطي ، ويسمح بالعدد المخصص فقط . ويرسل Syslog لتوضيح ان هناك انتهاك وهناك عدد من ال MACs اكثر من المقرر .
لعمل الجيك نستخدم الامر التالي :
لعمل الجيك نستخدم الامر التالي :
SW#Show Switchport Port Security
اخيراً هذة الاوامر مجتمعة . بشكل مسلسل :
اخيراً هذة الاوامر مجتمعة . بشكل مسلسل :
Switch# configure terminal
Switch(config)# interface
fastethernet 0/10
fastethernet 0/10
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# end
Switch# show port-security interface fastethernet 0/10
المصدر
احد المهتمين بالشبكات
مهتم بجمع المحتوى العربي في موقع واحد يسهل على الباحث عن المعلومات ايجاد كل ما يريد من المعلومات على موقع واحد فقط
اغلب التدوينات منقوله من مواقع ومدونات عربيه للفائده
.png)