شبکه, مقالات

آموزش کانفیگ Port Security در سوئیچ‌ سیسکو

ارسال توسط
0
آموزش کانفیگ Port Security در سوئیچ‌ سیسکو

آموزش کانفیگ Port Security در سوئیچ‌ سیسکو گامی حیاتی برای ایجاد یک شبکه امن و کنترل‌ شده است. این قابلیت در سوئیچ سیسکو با جلوگیری از دسترسی دستگاه‌ های ناشناس، به مدیران شبکه اطمینان می‌ دهد که فقط تجهیزات مجاز قادر به اتصال به شبکه خواهند بود. با درک صحیح و پیاده‌ سازی این ابزار قدرتمند، می‌ توانید سطح امنیت لایه دسترسی شبکه خود را به میزان چشمگیری ارتقا دهید. در ادامه مطلب به نحوه پیاده سازی Port security در سوئیچ های سیسکو می پردازیم.

منظور از  Port Security در سوئیچ سیسکو چیست؟

آموزش راه‌اندازی Port Security روی سوئیچ‌ها برای جلوگیری از حملات داخلی یک امر مهم و کاربردی است. در ادامه یک مقدمه‌ای بر Port Security را ارائه می دهیم. Port Security یکی از مهم‌ترین قابلیت‌ های امنیتی در سوئیچ‌ شبکه است که برای کنترل دسترسی به پورت‌ های شبکه و جلوگیری از اتصال دستگاه‌ های غیرمجاز استفاده می‌شود. در بسیاری از شبکه‌های سازمانی، ممکن است کاربران یا تجهیزات ناشناخته به‌ صورت ناخواسته یا عمدی به پورت‌ های سوئیچ شبکه متصل شوند و امنیت شبکه را به خطر بیندازند.

Port Security با محدود کردن تعداد و نوع آدرس‌های MAC مجاز روی هر پورت، این مشکل را تا حد زیادی برطرف می‌کند. به زبان ساده، این قابلیت مشخص می‌کند که فقط چه دستگاهی یا چه دستگاه‌هایی اجازه دارند از یک پورت خاص استفاده کنند. به طور کلی باید گفت که Port Security قابلیتی در سوئیچ‌های سیسکو است که به مدیر شبکه اجازه می‌ دهد تعداد مشخصی از آدرس‌ های MAC را برای هر پورت تعریف کند. وقتی دستگاهی به سوئیچ متصل می‌شود، سوئیچ آدرس MAC آن را یاد می‌گیرد و بررسی می‌کند که آیا این آدرس در لیست مجاز قرار دارد یا خیر. ایمن ارتباط از نمایندگان فروش انواع سوئیچ شبکه در ایران می باشد.

اگر دستگاهی با MAC غیرمجاز به پورت متصل شود یا تعداد MACهای متصل از حد مجاز بیشتر شود، سوئیچ آن را به‌ عنوان تخلف در نظر می‌گیرد. این قابلیت بیشتر در لایه دسترسی شبکه استفاده می‌شود، یعنی جایی که کاربران نهایی، کامپیوترها، تلفن‌ های VoIP، پرینترها، دوربین های IP یا سایر تجهیزات به شبکه متصل می‌ شوند. در این بخش، احتمال اتصال دستگاه‌ های ناشناس بیشتر است و Port Security نقش مهمی در جلوگیری از دسترسی غیرمجاز ایفا می‌ کند. در ادامه به آموزش تصویری Port Security روی سوییچ سیسکو Cisco Switch می پردازیم.

نحوه عملکرد Port Security در سوئیچ‌ سیسکو

Port Security در سوئیچ‌های سیسکو، یک روش امنیتی در لایه دو است که به مدیران شبکه اجازه می‌دهد تا دسترسی به پورت‌ های فیزیکی سوئیچ را کنترل کنند. هدف اصلی آن جلوگیری از اتصال دستگاه‌های ناشناس و غیرمجاز به شبکه است که این امر می‌تواند ریسک‌هایی مانند حملات Man-in-the-Middle، دسترسی غیرمجاز به منابع شبکه، یا استفاده از پهنای باند شبکه توسط دستگاه‌های غیرمجاز را به همراه داشته باشد. وقتی Port Security فعال می‌شود، سوئیچ آدرس MAC دستگاهی که به پورت متصل شده را ثبت و با آن مقایسه می‌کند.

Port Security قابلیتی در سوئیچ‌های سیسکو است که برای کنترل دسترسی به پورت‌های شبکه و جلوگیری از اتصال دستگاه‌های غیرمجاز استفاده می‌شود. این قابلیت با بررسی آدرس MAC دستگاه‌ های متصل، مشخص می‌کند که چه تجهیزاتی اجازه استفاده از یک پورت خاص را دارند. به این ترتیب، امنیت شبکه در لایه دسترسی به شکل قابل توجهی افزایش پیدا می‌کند. در حالت Static Secure MAC، آدرس MAC دستگاه مجاز به‌ صورت دستی توسط مدیر شبکه روی پورت تعریف می‌شود. این روش کنترل بسیار دقیقی ارائه می‌دهد و برای محیط‌هایی که فقط یک دستگاه ثابت باید به پورت متصل باشد، گزینه‌ای مناسب است.

البته در شبکه‌ های بزرگ، مدیریت دستی این آدرس‌ها ممکن است زمان‌بر باشد. در حالت Dynamic Secure MAC، سوئیچ آدرس MAC دستگاه متصل را به‌صورت خودکار یاد می‌گیرد. با این حال، این آدرس‌ها در تنظیمات دائمی ذخیره نمی‌شوند و اگر سوئیچ خاموش یا ریست شود، از بین می‌روند. بنابراین این روش بیشتر برای سناریوهای موقت یا محیط‌های آزمایشی کاربرد دارد. در حالت Sticky Secure MAC، سوئیچ MAC دستگاه متصل را به‌صورت خودکار یاد می‌ گیرد و آن را در کانفیگ پورت ثبت می‌ کند. این روش ترکیبی از امنیت و سهولت مدیریت است و برای بسیاری از شبکه‌های سازمانی بهترین انتخاب به شمار می‌رود.

به همین دلیل، Sticky MAC معمولاً پرکاربردترین روش در پیاده‌ سازی Port Security است. از طرفی مدیر شبکه می‌تواند تعیین کند که روی هر پورت، چه تعداد آدرس MAC مجاز است، برای مثال، با تنظیم maximum 1، تنها یک دستگاه با یک MAC خاص اجازه اتصال خواهد داشت. در صورت اتصال دستگاهی با MAC متفاوت یا افزایش تعداد MACها از حد مجاز، تخلف رخ می‌دهد. سوئیچ می‌تواند در این حالت یکی از سه واکنش Protect (فقط Drop کردن ترافیک)، Restrict (Drop کردن ترافیک همراه با ثبت لاگ) یا Shutdown (غیرفعال کردن پورت) را انجام دهد که انتخاب هر کدام بستگی به سطح امنیت مورد نیاز و سیاست‌ های شبکه دارد.

آشنایی با حالت‌های تخلف در Port Security سوئیچ‌های سیسکو

اگر دستگاه متصل به سوئیچ، MAC داشته باشد که در لیست مجاز نباشد، یا تعداد MACهای مجاز از حد تعیین شده فراتر رود، یک تخلف رخ داده است. برای مدیریت این تخلفات و حفظ امنیت شبکه، سوئیچ بر اساس تنظیمات صورت گرفته، واکنش‌های متفاوتی را اعمال می‌کند که به آن‌ها حالت‌های تخلف (Violation Modes) گفته می‌شود. حالت Protect کمترین میزان مداخله را در عملیات عادی پورت اعمال می‌کند. در این حالت، هنگامی که یک دستگاه با MAC غیرمجاز یا بیش از حد مجاز به پورت متصل می‌ شود، سوئیچ فریم‌های ارسالی از آن دستگاه را به سادگی Drop می‌کند.

با این حال، خود پورت همچنان فعال باقی می‌ ماند و قادر به دریافت فریم از دستگاه‌های مجاز است. نکته مهم در این حالت این است که سوئیچ هیچ‌گونه پیغام هشدار ارسال نمی‌کند و شمارنده‌ تخلفات نیز افزایش نمی‌یابد. این ویژگی باعث می‌شود که در صورت بروز مشکلات گذرا یا تغییرات ناخواسته در شبکه، پورت دچار اختلال کامل نشود، اما از طرفی، عیب‌ یابی مشکلات امنیتی و شناسایی دستگاه‌های غیرمجاز را برای مدیر شبکه دشوارتر می‌کند، زیرا هیچ گزارشی از تخلفات ثبت نمی‌گردد. حالت Restrict تعادل خوبی بین حفظ امنیت و ارائه گزارش‌ های لازم برای مدیران شبکه ایجاد می‌کند. مشابه حالت Protect، سوئیچ در این وضعیت نیز فریم‌های ارسالی از دستگاه‌ های غیرمجاز را Drop می‌کند.

با این حال، تفاوت کلیدی اینجاست که سوئیچ در زمان وقوع تخلف، یک شمارنده داخلی برای تعداد تخلفات را افزایش می‌دهد و مهم‌تر از آن، یک پیغام هشدار در کنسول سوئیچ ثبت می‌کند یا آن را از طریق پروتکل SNMP به یک سیستم مدیریت شبکه ارسال می‌نماید. این قابلیت گزارش‌ دهی به مدیران شبکه کمک می‌کند تا از وقوع تخلفات آگاه شوند، منبع آن‌ها را شناسایی کنند. پورت در این حالت همچنان فعال باقی می‌ماند و به دستگاه‌ های مجاز اجازه ارتباط می‌دهد، اما گزارش‌های مربوط به تخلف، امکان بررسی و تحلیل امنیتی را فراهم می‌سازد.

حالت Shutdown به عنوان سخت‌ گیرانه‌ ترین و امن‌ ترین واکنش در Port Security در نظر گرفته می‌شود. هنگامی که تخلفی در پورت رخ دهد، سوئیچ بلافاصله پورت مربوطه را به حالت `err-disabled` (خطای غیرفعال) منتقل می‌کند. در این حالت، پورت به طور کامل غیرفعال شده و هیچ‌گونه ترافیکی از آن عبور نخواهد کرد. این اقدام تضمین می‌کند که بلافاصله پس از شناسایی هرگونه تلاش برای نفوذ یا اتصال غیرمجاز، دسترسی آن پورت قطع شود و از ادامه فعالیت‌ های مخرب جلوگیری گردد. این حالت به صورت پیش‌ فرض در بسیاری از سوئیچ‌ های سیسکو فعال است و بیشترین سطح امنیت را فراهم می‌کند، اما باید مدیر شبکه پس از وقوع خاموشی پورت، اقدام به فعال‌سازی مجدد آن کند (no shutdown روی اینترفیس).

در این تصویر آموزش کانفیگ Port Security در سوئیچ‌ سیسکو را مشاهده می کنید

در این تصویر آموزش کانفیگ Port Security در سوئیچ‌ سیسکو را مشاهده می کنید

آموزش راه اندازی Port Security در سوئیچ‌ سیسکو

پیکربندی Port Security شامل چندین مرحله کلیدی است که هر کدام نقش مهمی در ایجاد یک لایه امنیتی قوی ایفا می‌کنند، در ادامه مراحل فعال سازی Port Security در سوئیچ سیسکو را معرفی می کنیم.

  • در ابتدا باید به حالت تنظیمات پورت وارد شوید. سپس وارد محیط خط فرمان (CLI) سوئیچ شوید و از طریق دستور enable وارد حالت privileged EXEC شوید. سپس با configure terminal وارد حالت پیکربندی سراسری (global configuration mode) می‌شوید. با دستور interface fastethernet 0/1 (یا هر پورت دیگری که مد نظر دارید) وارد محیط تنظیمات خاص همان پورت می‌شوید.
  • حال باید پورت را به حالت Access تبدیل کنید. Port Security به طور معمول روی پورت‌هایی فعال می‌شود که به دستگاه‌های نهایی (مانند کامپیوترها، پرینترها) متصل هستند و به عنوان پورت‌های Access پیکربندی شده‌اند. این بدان معناست که پورت فقط یک VLAN را مجاز می‌کند و تگ VLAN را حذف می‌کند. دستور switchport mode access پورت را در این حالت قرار می‌ دهد.
  • پس از اینکه پورت به درستی پیکربندی شد، با دستور switchport port-security این قابلیت را بر روی پورت فعال می‌کنید. این دستور به تنهایی Port Security را فعال می‌کند، اما برای اعمال محدودیت‌ها و سیاست‌ها، نیاز به تنظیمات بیشتری است.
  • تعیین حداکثر تعداد MAC آدرس مجاز مشخص می‌ کند که چه تعداد دستگاه (بر اساس MAC آدرس) مجاز به استفاده از این پورت هستند. دستور switchport port-security maximum  این محدودیت را تعیین می‌کند. برای مثال، switchport port-security maximum 1 به این معنی است که فقط یک دستگاه با یک MAC آدرس منحصر به فرد مجاز به اتصال است. این تنظیم برای افزایش امنیت در محیط‌هایی که فقط یک دستگاه مشخص باید به پورت متصل شود، بسیار مفید است.
  • مرحله بعدی تعیین نوع یادگیری MAC آدرس است. این بخش تعیین می‌کند که MAC آدرس‌های مجاز چگونه شناسایی و ذخیره شوند. یا شما به صورت دستی MAC آدرس دستگاه مجاز را وارد می‌کنید، یا به صورت Dynamic، سوئیچ به طور خودکار MAC آدرس دستگاهی را که به پورت متصل می‌شود، یاد می‌گیرد و در جدول MAC آدرس خود ذخیره می‌کند. این MAC آدرس‌ها با هر بار ریست شدن سوئیچ پاک می‌شوند. در حالت Sticky ترکیبی از دو حالت قبل است. سوئیچ MAC آدرس دستگاه متصل شده را یاد می‌گیرد و آن را به صورت پویا در جدول MAC آدرس خود ذخیره می‌کند. اما نکته مهم این است که این MAC آدرس‌ها در پیکربندی running-config سوئیچ نیز ذخیره می‌شوند و در صورت ریست شدن سوئیچ، پاک نمی‌شوند. این بهترین گزینه برای یادگیری خودکار و دائمی MAC آدرس‌ها است.
  • دستور switchport port-security mac-address sticky این حالت را فعال می کند.
  • پس از انجام تمام تنظیمات، باید آن‌ها را ذخیره کنید تا پس از ریستارت شدن سوئیچ، از بین نروند. دستور end شما را به حالت privileged EXEC برمی‌گرداند. دستور write memory (یا copy running-config startup-config) تنظیمات فعلی (running-config) را در حافظه دائمی (startup-config) ذخیره می‌کند.

نکات کلیدی برای افزایش امنیت پورت‌های شبکه با قابلیت Port Security در سویچ سیسکو

Port Security را صرفاً بر روی پورت‌های Access فعال کنید. این پورت‌ها معمولاً به دستگاه‌های نهایی مانند کامپیوترها، پرینترها و تلفن‌ها متصل هستند و هدف اصلی Port Security جلوگیری از اتصال دستگاه‌های ناشناس و غیرمجاز به این پورت‌ها است. فعال‌سازی آن بر روی پورت‌های Trunk که وظیفه انتقال ترافیک چندین VLAN را بر عهده دارند، می‌تواند منجر به مشکلات ناخواسته و اختلال در عملکرد شبکه شود، چرا که Trunk Portها برای ارتباط بین سوئیچ‌ها یا بین سوئیچ و روتر طراحی شده‌اند و انتظار اتصال دستگاه‌های نهایی را ندارند.

تنظیم تعداد MAC آدرس‌های مجاز بر روی هر پورت باید با دقت و بر اساس نیاز واقعی شبکه صورت گیرد. به عنوان مثال، اگر یک پورت صرفاً به یک کامپیوتر متصل می‌شود، باید تعداد MAC آدرس مجاز را روی 1 تنظیم کرد. در مواردی که دستگاه‌های متعددی به یک پورت متصل می‌شوند مانند پشت یک تلفن VoIP یا یک سوئیچ کوچک، باید این تعداد را به درستی افزایش داد. تنظیم بیش از حد تعداد MAC آدرس‌های مجاز، کارایی Port Security را کاهش داده و آن را در برابر حملات آسیب‌پذیر می‌کند، در حالی که تنظیم کمتر از حد نیاز، باعث مسدود شدن دسترسی کاربران قانونی به شبکه خواهد شد.

در محیط‌های حساس، تنظیم Violation Mode بر روی Shutdown بهترین عملکرد است. این تنظیم باعث می‌شود که در صورت شناسایی هرگونه نقض امنیتی مانند اتصال دستگاهی با MAC آدرس غیرمجاز، پورت مربوطه بلافاصله غیرفعال شود و دسترسی دستگاه متخلف قطع گردد. پس از شناسایی و مجاز شدن MAC آدرس‌های مورد نظر، استفاده از قابلیت Sticky MAC توصیه می‌شود. این قابلیت به طور خودکار MAC آدرس‌های مجاز را یاد گرفته و در پیکربندی دستگاه ذخیره می‌کند. در نهایت، ذخیره کردن تنظیمات پس از فعال‌ سازی Sticky MAC، تضمین می‌کند که این MAC آدرس‌های شناسایی شده در صورت راه‌اندازی مجدد سوئیچ، همچنان معتبر باقی بمانند.

Port Security یک ابزار امنیتی قدرتمند است، اما نباید به عنوان تنها راهکار دفاعی در نظر گرفته شود. لازم است وضعیت پورت‌هایی که Port Security بر روی آن‌ها فعال است، به صورت دوره‌ای و منظم مورد پایش قرار گیرد تا از عملکرد صحیح آن اطمینان حاصل شود و هرگونه رویداد غیرعادی شناسایی گردد. علاوه بر این، Port Security باید بخشی از یک استراتژی امنیتی جامع و چندلایه‌ای باشد که شامل مواردی مانند فایروال‌ها، سیستم‌های تشخیص نفوذ (IDS/IPS)، رمزنگاری و سیاست‌های دسترسی قوی است. این رویکرد جامع، پوشش امنیتی کامل‌تری را برای شبکه فراهم می‌آورد.

محدودیت‌های Port Security

Port Security یکی از قابلیت‌های امنیتی سوئیچ‌هاست، با این حال این قابلیت بیشتر برای پورت‌های Access مناسب است و معمولاً روی Port Trunkفعال نمی‌شود. دلیل این موضوع آن است که پورت‌های Trunk برای عبور هم‌زمان ترافیک چندین VLAN طراحی شده‌اند و فعال‌سازی Port Security روی آن‌ها می‌تواند باعث ایجاد اختلال در عملکرد عادی شبکه شود. یکی دیگر از محدودیت‌های Port Security این است که در شبکه‌هایی با تغییرات مداوم و پویای دستگاه‌های متصل، مدیریت آن دشوار خواهد بود.

در چنین محیط‌هایی، کاربران ممکن است مرتباً دستگاه‌های خود را جابه‌جا کنند یا تجهیزات جدید به شبکه اضافه شود. از آنجا که Port Security بر اساس MAC آدرس‌های مشخص عمل می‌کند، هر تغییر در دستگاه متصل می‌تواند نیازمند بازتنظیمی و بررسی مجدد باشد. همچنین اگر کاربری دستگاه خود را با دستگاه دیگری جایگزین کند، Port Security ممکن است این تغییر را به‌عنوان تخلف امنیتی تشخیص دهد. این مسئله به‌ویژه زمانی رخ می‌دهد که MAC آدرس دستگاه جدید با MAC ثبت‌شده قبلی متفاوت باشد.

در نتیجه، حتی اگر کاربر قصد مخربی نداشته باشد، پورت می‌تواند مسدود یا محدود شود و این موضوع باعث اختلال در دسترسی او به شبکه خواهد شد. از سوی دیگر، تنظیمات نادرست Port Security نیز می‌ تواند مشکل‌ ساز باشد. برای مثال، اگر تعداد MAC آدرس‌های مجاز کمتر از مقدار واقعی تنظیم شود، دستگاه‌ های قانونی کاربران ممکن است به اشتباه غیرمجاز شناخته شوند و دسترسی آن‌ها به شبکه قطع شود. بنابراین، پیاده‌سازی Port Security نیازمند دقت بالا و شناخت دقیق از ساختار و نیازهای شبکه است تا هم امنیت تأمین شود و هم کاربران قانونی دچار مشکل نشوند.

نتیجه گیری و سوالات متداوال

Port Security یکی از ساده‌ ترین و در عین حال مؤثرترین روش‌های افزایش امنیت در سوئیچ‌های سیسکو است. ما در این مطلب به آموزش کانفیگ Port Security در سویچ سیسکو پرداختیم. این قابلیت با کنترل آدرس‌های MAC مجاز روی هر پورت، مانع اتصال دستگاه‌های غیرمجاز می‌شود و در برابر تهدیدهای لایه 2 نقش مهمی دارد. آشنایی با حالت‌های مختلف MAC learning، انواع violation، دستورات پیکربندی و روش‌های بررسی وضعیت، برای هر مدیر شبکه ضروری است.

اگر بخواهیم یک جمع‌ بندی کوتاه داشته باشیم، با فعال سازی Port Security در سوئیچ های سیسکو می توان مشخص کنیم که چه دستگاهی حق اتصال دارد و تعداد دستگاه‌های مجاز را محدود کنیم و در صورت تخلف، واکنش مناسب از سوی سوئیچ دریافت کنیم. با بررسی مراحل پیکربندی Port Security روی سوئیچ‌ها تلاش کرده ایم تا شما را با این قابلیت و نحوه عملکرد آن آشنا کنیم. Port Security با وجود سادگی پیاده‌ سازی، ابزاری قدرتمند در افزایش امنیت لایه دسترسی (Access Layer) شبکه‌های مدرن محسوب می‌شود.

Port Security یک مکانیزم کنترلی حیاتی است که مدیران شبکه با استفاده از آن می‌توانند تعیین کنند کدام دستگاه‌ها مجاز به اتصال به کدام پورت‌ها هستند. درک صحیح نحوه پیکربندی، قابلیت‌های یادگیری MAC آدرس (مانند Sticky MAC)، حالت‌های مختلف خطا (Violation Modes) و روش‌های مانیتورینگ، برای بهره‌ برداری مؤثر از این قابلیت ضروری است تا هم امنیت شبکه تضمین شود و هم از بروز مشکلات برای کاربران قانونی جلوگیری گردد. در نهایت، استفاده صحیح از Port Security می‌تواند امنیت شبکه را به‌ طور قابل‌توجهی افزایش دهد، به‌خصوص در لایه دسترسی که بیشترین ریسک اتصال تجهیزات ناشناس وجود دارد.

Port Security چیست؟

Port Security قابلیتی در سوئیچ‌ سیسکو است که با محدود کردن MAC Addressهای مجاز روی هر پورت، از اتصال دستگاه‌های غیرمجاز جلوگیری می‌کند.

Port Security بیشتر روی چه نوع پورت‌هایی استفاده می‌شود؟

این قابلیت معمولاً روی Access Portها فعال می‌شود، نه روی Trunk Portها، چون Trunk برای عبور ترافیک چند VLAN طراحی شده است.

آیا Port Security می‌تواند جلوی همه حملات شبکه را بگیرد؟

خیر، Port Security فقط بخشی از امنیت لایه 2 را پوشش می‌دهد و باید در کنار سایر مکانیزم‌های امنیتی استفاده شود.

پس از راه اندازی پورت سکیوریتی Port Security در سوییچ سیسکو چه چیزی باید بررسی شود؟

باید وضعیت پورت‌ها، تعداد MACهای یاد گرفته‌ شده، نوع violation و ذخیره شدن تنظیمات بررسی شود.

جدیدتر
یکپارچه‌ سازی تلفن VoIP با نرم‌ افزار CRM و ERP
بازگشت به لیست
قدیمی تر راهنمای انتخاب تلفن ویپ برای دفاتر مدرن و هوشمند

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *