Port Security یک ویژگی امنیتی در سوئیچهای شبکه است که کنترل میکند کدام دستگاهها مجاز به اتصال به یک پورت خاص هستند. این ویژگی با محدود کردن تعداد MAC آدرسهای مجاز در یک پورت، از حملات لایه ۲ مانند MAC Flooding و Unauthorized Access جلوگیری میکند.
MAC Flooding یک حمله است که در آن یک دستگاه یا برنامه مخرب، تعداد زیادی فریم با MAC آدرسهای جعلی به یک سوئیچ ارسال میکند. این کار باعث میشود که جدول MAC سوئیچ پر شود و سوئیچ نتواند MAC آدرسهای معتبر را به درستی شناسایی کند. این امر میتواند منجر به مشکلاتی مانند ترافیک شبکه غیرقابل کنترل، کاهش عملکرد و حتی از کار افتادن سوئیچ شود.
Unauthorized Access یک حمله است که در آن یک دستگاه غیرمجاز به یک پورت سوئیچ متصل میشود. این امر میتواند منجر به دسترسی غیرمجاز به شبکه و اطلاعات حساس شود.
Port Security با محدود کردن تعداد MAC آدرسهای مجاز در یک پورت، میتواند از این حملات جلوگیری کند. به عنوان مثال، اگر یک پورت فقط یک MAC آدرس مجاز داشته باشد، سوئیچ فقط ترافیک از آن دستگاه را قبول میکند. این امر باعث میشود که MAC Flooding غیرممکن شود و Unauthorized Access دشوارتر شود.
چرا از Port Security استفاده کنیم؟
در اینجا چند دلیل برای استفاده از Port Security آورده شده است:
- جلوگیری از MAC Flooding: MAC Flooding یک حمله رایج است که میتواند منجر به از کار افتادن سوئیچ و ایجاد مشکلات در شبکه شود. Port Security با محدود کردن تعداد MAC آدرسهای مجاز در یک پورت، از MAC Flooding جلوگیری میکند.
- جلوگیری از Unauthorized Access: Unauthorized Access یک حمله جدی است که میتواند منجر به دسترسی غیرمجاز به شبکه و اطلاعات حساس شود. Port Security با محدود کردن تعداد دستگاههایی که مجاز به اتصال به یک پورت هستند، از Unauthorized Access جلوگیری میکند.
- افزایش امنیت شبکه: Port Security یک لایه امنیتی اضافی را در شبکه فراهم میکند که میتواند به محافظت از شبکه در برابر حملات کمک کند.
قابلیت ها و امتیازات پورت سکیوریتی چیست؟
علاوه بر موارد بالا، Port Security دارای مزایای زیر نیز هست:
- سادگی پیکربندی: Port Security یک ویژگی نسبتاً ساده است که پیکربندی آن آسان است.
- انعطافپذیری: Port Security دارای سه حالت مختلف است که میتواند با نیازهای مختلف شبکه سازگار شود.
حالت های مختلف پورت امنیتی
Port Security دارای سه حالت مختلف است:
- Static: در این حالت، مدیر شبکه باید MAC آدرسهای مجاز را به صورت دستی به سوئیچ اضافه کند.
- Dynamic: در این حالت، سوئیچ به طور خودکار MAC آدرسهای مجاز را از دستگاههایی که به پورت متصل میشوند، یاد میگیرد.
- Sticky: این حالت ترکیبی از حالتهای Static و Dynamic است. در این حالت، سوئیچ به طور خودکار MAC آدرسهای مجاز را از دستگاههایی که به پورت متصل میشوند، یاد میگیرد. با این حال، اگر یک MAC آدرس جدیدی به پورت متصل شود، باید به صورت دستی مجاز شود.
Port Security یک ویژگی امنیتی مهم است که میتواند به محافظت از شبکه در برابر حملات لایه ۲ کمک کند. این ویژگی در اکثر سوئیچهای شبکه موجود است و پیکربندی آن آسان است.
نحوه پیکربندی Port Security
برای پیکربندی Port Security، باید به کنسول سوئیچ خود دسترسی داشته باشید. سپس، میتوانید از دستورات زیر استفاده کنید:
switchport mode access
این دستور حالت پورت را به Access تغییر میدهد.
switchport port-security
این دستور Port Security را برای پورت فعال میکند.
switchport port-security maximum [number]
این دستور حداکثر تعداد MAC آدرسهای مجاز را برای پورت تنظیم میکند.
switchport port-security mac-address [mac-address]
این دستور یک MAC آدرس مجاز را به پورت اضافه میکند.
برای مثال، اگر میخواهید پورت FastEthernet 0/10 را به گونهای پیکربندی کنید که فقط دو MAC آدرس مجاز داشته باشد، میتوانید از دستورات زیر استفاده کنید:
switch# configure terminal
switch(config)# interface FastEthernet 0/10
switch(config-if)# switchport mode access
switch(config-if)# switchport port-security
switch(config-if)# switchport port-security maximum 2
switch(config-if)# switchport port-security mac-address 00:00:00:00:00:01
switch(config-if)# switchport port-security mac-address 00:00:00:00:00:02
پس از پیکربندی Port Security، سوئیچ شروع به یادگیری MAC آدرسهای دستگاههایی میکند که به پورت متصل میشوند. اگر تعداد MAC آدرسهای مجاز در پورت بیش از حد تعیین شده باشد، سوئیچ یک Security Violation اعلام میکند. سوئیچ میتواند در مقابل Security Violation ها به سه روش رفتار کند:
- Shut Down: در این حالت، پورت خاموش میشود و در حالت err-disabled قرار میگیرد.
- Protect: در این حالت، پورت خاموش نمیشود، اما فقط اجازه عبور بستههای غیر مجاز داده نمیشود.
- Restrict: این حالت شبیه حالت Protect است با این تفاوت که از بستههای drop شده log جمعآوری میکند.
برای تغییر رفتار سوئیچ در مقابل Security Violation ها، میتوانید از دستور زیر استفاده کنید:
switchport port-security violation [shutdown | protect | restrict]
این دستور رفتار سوئیچ در مقابل Security Violation ها را تنظیم میکند.
برای مثال، اگر میخواهید پورت FastEthernet 0/10 به گونهای پیکربندی شود که در صورت بروز Security Violation، پورت خاموش شود، میتوانید از دستور زیر استفاده کنید:
switch# configure terminal
switch(config)# interface FastEthernet 0/10
switch(config-if)# switchport mode access
switch(config-if)# switchport port-security
switch(config-if)# switchport port-security maximum 2
switch(config-if)# switchport port-security violation shutdown
مشاهده وضعیت Port Security
برای مشاهده تنظیمات Port Security یک پورت، میتوانید از دستور زیر استفاده کنید:
show port-security [interface {vlan [vlan_id]} | {type slot/port}] [address]
این دستور تنظیمات Port Security یک پورت را نمایش میدهد.
برای مثال، اگر میخواهید تنظیمات Port Security پورت FastEthernet 0/10 را مشاهده کنید، میتوانید از دستور زیر استفاده کنید:
switch# show port-security interface FastEthernet 0/10