پورت سکیوریتی یا Port Security به زبان ساده با جلوگیری از ارسال پکت توسط دستگاه های ناشناخته به امنیت شبکه در سوئیچ های سیسکو کمک می کند. در این مقاله شما را با مفهوم و کاربرد پورت سکیوریتی در سوئیچ سیسکو بیشتر آشنا خواهیم کرد، همراه داتیس نتورک باشید.
Port Security چیست؟
پورت سکیوریتی به زبان ساده با جلوگیری از ارسال پکت توسط دستگاه های ناشناخته به امنیت شبکه در سوئیچ های سیسکو کمک می کند.
قابلیت پورت سکیوریتی امتیازات زیر را ارائه می دهد:
- می توانید تعداد آدرسهای MAC موجود در یک پورت را محدود کنید. بسته هایی که دارای آدرس MAC منطبق (بسته های امن) هستند ، ارسال می شوند. همه بسته های دیگر (بسته های ناامن) محدود شده اند.
- می توانید امنیت پورت را بر اساس هر پورت فعال کنید.
پورت امنیتی دو روش فیلتر کردن ترافیک ، قفل پویا و قفل استاتیک (dynamic locking و static locking) را اجرا می کند.
از این روشها می توان همزمان استفاده کرد.
در بحث امنیت همیشه حملات و ترافیک مخرب از طریق شبکه خارجی و اینترنت صورت نمی گیرد بلکه بسیاری از حملات و مشکلات امنیتی منشاء آنها شبکه داخلی خود سازمان است و از طریق دستگاه های سازمان صورت می گیرد.
Port Security یک قابلیت و امکان امنیتی است که به ما کمک می کند کنترل بسیار مناسبی در لایه دو داشته باشیم و بتوانیم جلوی بسیاری از حملات را بگیریم .
Port Security کنترل می کند که چند MAC address روی یک پورت اجازه استفاده دارند.
این ویژگی به صورت پورت به پورت اجرا می شود.
پورت سکیوریتی چگونه کار می کند؟
معمولا هر کاربر از یک MAC address استفاده می کند مگر اینکه از ماشین مجازی استفاده کند یا یک IP phone داشته باشد در این صورت نیاز به بیشتر از یک MAC address خواهد داشت.
در هر صورت ، برای جلوگیری از اینکه کاربر دستگاه های مختلف را به سوئیچ وصل کند می توان از port security استفاده کرد و براساس MAC address این محدودیت برای هر پورت اعمال کرد.
همچنین port security می تواند شبکه را در برابر نرم افزارهای مخرب که می توانند هزاران فریم را در شبکه با MAC Address های متفاوت ارسال کنند محافظت کند.
با اینکار مهاجم با استفاده از این نرم افزار مخرب جدول MAC سوئیچ را تحت تاثیر خود قرار می دهد ، جدول MAC سوئیچ دارای ظرفیت محدودی است و این ظرفیت با MAC address های جعلی پر می شود.
در نتیجه MAC address های درست سایر تجهیزات نمی تواند در این جدول قرار بگیرد و زمانی که یک فریم به دست سوئیچ می رسد نمی تواند پورت خروجی برای مقصد فریم را پیدا کند و مجبور می شود این فریم را روی تمام پورت های خود ارسال کند و در اینجا مهاجم می تواند با Sniff کردن بسته ها به اطلاعات تمام دستگاه ها دسترسی پیدا کند.
این حمله به عنوان CAM table overflow یا MAC Flooding Attack شناخته می شود.
همچنین Port security می تواند از DHCP server حافظت کند.
یک مهاجم با ارسال هزاران درخواست DHCP با MAC address متفاوت می تواند DHCP pool را خالی کند و سرویس دهی DHCP server را مختل کند و DHCP server دیگر نتواند به سایر دستگاه ها IP اختصاص دهد.
به این حمله DHCP starvation گفته می شود.
با فعال کردن Port Security روی یک پورت به صورت پیش فرض یک MAC address می تواند از آن استفاده کند که می توان این MAC address را به صورت دستی یا sticky برای پورت مشخص کرد البته می توان با استفاده از دستور maximum تعداد را افزایش داد.
اگر تعداد MAC address های مورد استفاده از پورت ، بیشتر از مقدار مشخص شده بیشتر شود یا MAC address غیر از MAC address مجاز از پورت استفاده کند اقدامی که برای مقابله آن درنظر گرفته شده است به صورت پیش فرض shutdown است که باعث خاموش شدن و در حالت err-disable قرار گرفتن پورت می شود.
البته می توان بجای shutdown از حالت های دیگر مثل Protect یا restrict استفاده کرد.
در حالت protect پورت را خاموش نمی کند و اجازه عبور را به فریم های مربوط به MAC address های غیر مجاز را نمی دهد.
Restrict عملکرد مشابه protect دارد با این تفاوت که log نیز تولید می کند.
امیدواریم مقاله آشنایی با قابلیت پورت سکیوریتی مفید بوده باشد.
داتیس نتورک را در شبکه های اجتماعی خصوصا تلگرام و توییتر دنبال کنید.