یکی از مسائل در حال رشد که امروزه مدیران شبکه با آن برخورد می کنند نحوه کنترل دسترسی افراد به شبکه داخلی سازمانشان می باشد. به عنوان مثال آیا هر شخصی می تواند وارد سازمان شده، laptop خود را به پریز شبکه متصل کرده و به شبکه داخلی دسترسی داشته باشد؟ ممکن است جواب شما به این پرسش این باشد که هر پریز شبکه روی دیوار به سوئیچ متصل نیست. ولی اگر شخصی کابل اترنت را از PC در حال کاری جدا کند و به شبکه متصل شود چطور؟ شاید این سناریو غیر ممکن به نظر بیاید ولی این اتفاق بارها در سازمان های مختلف پیش آمده است. مسئله ای که بیش از هرچیز در این مورد نگران کننده است ویروس ها و wormهای مختلفی است که
PC شخص غیر مجاز متصل شده به شبکه ممکن است داشته باشد. Switchport security برای حل این مشکل به شما کمک می کند. در ادامه به بررسی ویژگی های Cisco""s Port Security خواهیم پرداخت.
مفاهیم اولیه در ساده ترین حالت Port Security آدرس MAC متصل به پورت سوئیچ را به خاطر می سپارد وفقط به همان آدرس MAC اجازه برقراری ارتباط با پورت سوئیچ را می دهد. اگر آدرس MAC دیگری بخواهد از طریق همان پورت به شبکه متصل شود، پورت مذکورغیرفعال می شود. اکثر اوقات مدیران شبکه سوئیچ را طوری تنظیم می کنند که یک SNMP trap به سیستم مانیتورینگ مبنی بر غیر فعال شدن یک پورت به دلایل امنیتی فرستاده شود.
اگر چه پیاده سازی راه حل های امنیتی همیشه شامل یک trade-off می باشد و لی این کاهش سهولت در مقابل افزایش امنیت سیستم می باشد. وقتی شما از Port Security استفاده می کنید می توانید از دسترسی دستگاه های مختلف به شبکه جلوگیری کنید و این امر موجب افزایش امنیت می شود. ولی از طرف دیگر فقط مدیر شبکه است که می تواند پورت را فعال کند و این امر در جایی که به دلایل مجاز قرار به تغییردستگاه ها باشد ایجاد مشکل می کند.
تنظیم Port Security
تنظیمات Port Security نسبتا ً ساده می باشد. در آسان ترین حالت کافی است دستورات زیر اعمال شود:
Switch# config t
Switch(config)# int fa0/18
?Switch(config-if)# switchport port-security
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
Switch(config-if)# switchport port-security
Switch(config-if)#^Z
با وارد کردن ابتدایی ترین دستور، تنظیمات پیش فرض که اجازه دسترسی فقط به یک آدرس MAC (آدرس دستگاهی که اولین بار به پورت سوئیچ وصل شده است.)می باشد، اعمال می گردد. و در صورتی که دستگاه دیگری بخواهد با آن پورت ارتباط برقرار کند، پورت سوئیچ خاموش می شود. ولی قطعا ً تنظیمات پیش فرض مد نظر شما نمی باشد.
شناخت سایر امکانات
همانطور که در مثال بالا مشاهده کردید، دستورات Port Security دیگری وجود دارند که قابل تنظیم می باشند از جمله:
switchport port-security maximum {max # of MAC addresses allowed} : با استفاده از این دستور می توان تعداد پیش فرض آدرس های MAC که یک عدد می باشد راتغییر داد. به عنوان مثال اگر به پورت سوئیچ شما یک هاب 12 پورتی متصل باشد، 12 آدرس MAC که هر کدام مربوط به یک دستگاه می باشد باید اجازه دسترسی داشته باشند. بیشترین تعداد آدرس MAC که قابل تنظیم است، 132 می باشد.
switchport port-security violation {shutdown | restrict | protect} : این دستور به سوئیچ می گوید در صورتی که تعداد بیشتری دستگاه از ماکزیمم تعداد آدرس MAC مجاز به پورت متصل شود، پورت وارد چه حالتی شود. حالت پیش فرض shutdown می باشد. درحالت restrict به مدیر شبکه هشدار داده می شود و در حالت protect بسته هایی که از طرف آدرس غیر مجاز ارسال می شود دور ریخته می شوند.
switchport port-security mac-address {MAC address} : با استفاده از این دستور می توان آدرس MAC مجاز برای هر پورت را به صورت دستی برای آن تنظیم کرد. (به جای اینکه هر پورت آدرس را به صورت پویا شناسایی کند.) همچنین می توان Port Security را برای یک رنج از پورت ها تعریف کرد. به عنوان مثال:
Switch # config t
Switch (config) # int range fastEthernet 0/1 - 24
Switch (config-if) # switchport port-security
در مورد کاربرد این دستور می بایست بسیار محتاط بود چرا که اگر این دستور برای یک پورت uplink که به بیش از یک دستگاه وصل است، استفاده شود به محض اینکه دستگاه دوم بسته ای را بفرستد، پورت خاموش می شود.
مشاهده وضعیت Port Security
برای دانستن وضعیت Port Security می توان از دستورات show port-security address وshow port-security interface استفاده کرد:
Switch# show port-security address
Secure Mac Address Table
---------------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0004.00d5.285d SecureDynamic Fa0/18 -
--------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
Switch# show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0004.00d5.285d
Security Violation Count : 0