زمان مطالعه : ۴ دقیقه

Port Security یک ویژگی امنیتی در سوئیچ‌های شبکه است که کنترل می‌کند کدام دستگاه‌ها مجاز به اتصال به یک پورت خاص هستند. این ویژگی با محدود کردن تعداد MAC آدرس‌های مجاز در یک پورت، از حملات لایه ۲ مانند MAC Flooding و Unauthorized Access جلوگیری می‌کند.

MAC Flooding یک حمله است که در آن یک دستگاه یا برنامه مخرب، تعداد زیادی فریم با MAC آدرس‌های جعلی به یک سوئیچ ارسال می‌کند. این کار باعث می‌شود که جدول MAC سوئیچ پر شود و سوئیچ نتواند MAC آدرس‌های معتبر را به درستی شناسایی کند. این امر می‌تواند منجر به مشکلاتی مانند ترافیک شبکه غیرقابل کنترل، کاهش عملکرد و حتی از کار افتادن سوئیچ شود.

Unauthorized Access یک حمله است که در آن یک دستگاه غیرمجاز به یک پورت سوئیچ متصل می‌شود. این امر می‌تواند منجر به دسترسی غیرمجاز به شبکه و اطلاعات حساس شود.

Port Security با محدود کردن تعداد MAC آدرس‌های مجاز در یک پورت، می‌تواند از این حملات جلوگیری کند. به عنوان مثال، اگر یک پورت فقط یک MAC آدرس مجاز داشته باشد، سوئیچ فقط ترافیک از آن دستگاه را قبول می‌کند. این امر باعث می‌شود که MAC Flooding غیرممکن شود و Unauthorized Access دشوارتر شود.

آنچه در این مطلب خواهید آموخت پنهان کردن
1 چرا از Port Security استفاده کنیم؟
2 قابلیت ها و امتیازات پورت سکیوریتی چیست؟
3 حالت های مختلف پورت امنیتی
4 نحوه پیکربندی Port Security
5 مشاهده وضعیت Port Security

چرا از Port Security استفاده کنیم؟

در اینجا چند دلیل برای استفاده از Port Security آورده شده است:

  • جلوگیری از MAC Flooding: MAC Flooding یک حمله رایج است که می‌تواند منجر به از کار افتادن سوئیچ و ایجاد مشکلات در شبکه شود. Port Security با محدود کردن تعداد MAC آدرس‌های مجاز در یک پورت، از MAC Flooding جلوگیری می‌کند.
  • جلوگیری از Unauthorized Access: Unauthorized Access یک حمله جدی است که می‌تواند منجر به دسترسی غیرمجاز به شبکه و اطلاعات حساس شود. Port Security با محدود کردن تعداد دستگاه‌هایی که مجاز به اتصال به یک پورت هستند، از Unauthorized Access جلوگیری می‌کند.
  • افزایش امنیت شبکه: Port Security یک لایه امنیتی اضافی را در شبکه فراهم می‌کند که می‌تواند به محافظت از شبکه در برابر حملات کمک کند.

قابلیت ها و امتیازات پورت سکیوریتی چیست؟

علاوه بر موارد بالا، Port Security دارای مزایای زیر نیز هست:

  • سادگی پیکربندی: Port Security یک ویژگی نسبتاً ساده است که پیکربندی آن آسان است.
  • انعطاف‌پذیری: Port Security دارای سه حالت مختلف است که می‌تواند با نیازهای مختلف شبکه سازگار شود.

حالت های مختلف پورت امنیتی

Port Security دارای سه حالت مختلف است:

  • Static: در این حالت، مدیر شبکه باید MAC آدرس‌های مجاز را به صورت دستی به سوئیچ اضافه کند.
  • Dynamic: در این حالت، سوئیچ به طور خودکار MAC آدرس‌های مجاز را از دستگاه‌هایی که به پورت متصل می‌شوند، یاد می‌گیرد.
  • Sticky: این حالت ترکیبی از حالت‌های Static و Dynamic است. در این حالت، سوئیچ به طور خودکار MAC آدرس‌های مجاز را از دستگاه‌هایی که به پورت متصل می‌شوند، یاد می‌گیرد. با این حال، اگر یک MAC آدرس جدیدی به پورت متصل شود، باید به صورت دستی مجاز شود.

Port Security یک ویژگی امنیتی مهم است که می‌تواند به محافظت از شبکه در برابر حملات لایه ۲ کمک کند. این ویژگی در اکثر سوئیچ‌های شبکه موجود است و پیکربندی آن آسان است.

نحوه پیکربندی Port Security

برای پیکربندی Port Security، باید به کنسول سوئیچ خود دسترسی داشته باشید. سپس، می‌توانید از دستورات زیر استفاده کنید:

switchport mode access

این دستور حالت پورت را به Access تغییر می‌دهد.

switchport port-security

این دستور Port Security را برای پورت فعال می‌کند.

switchport port-security maximum [number]

این دستور حداکثر تعداد MAC آدرس‌های مجاز را برای پورت تنظیم می‌کند.

switchport port-security mac-address [mac-address]

این دستور یک MAC آدرس مجاز را به پورت اضافه می‌کند.

برای مثال، اگر می‌خواهید پورت FastEthernet 0/10 را به گونه‌ای پیکربندی کنید که فقط دو MAC آدرس مجاز داشته باشد، می‌توانید از دستورات زیر استفاده کنید:

switch# configure terminal
switch(config)# interface FastEthernet 0/10
switch(config-if)# switchport mode access
switch(config-if)# switchport port-security
switch(config-if)# switchport port-security maximum 2
switch(config-if)# switchport port-security mac-address 00:00:00:00:00:01
switch(config-if)# switchport port-security mac-address 00:00:00:00:00:02

پس از پیکربندی Port Security، سوئیچ شروع به یادگیری MAC آدرس‌های دستگاه‌هایی می‌کند که به پورت متصل می‌شوند. اگر تعداد MAC آدرس‌های مجاز در پورت بیش از حد تعیین شده باشد، سوئیچ یک Security Violation اعلام می‌کند. سوئیچ می‌تواند در مقابل Security Violation ها به سه روش رفتار کند:

  • Shut Down: در این حالت، پورت خاموش می‌شود و در حالت err-disabled قرار می‌گیرد.
  • Protect: در این حالت، پورت خاموش نمی‌شود، اما فقط اجازه عبور بسته‌های غیر مجاز داده نمی‌شود.
  • Restrict: این حالت شبیه حالت Protect است با این تفاوت که از بسته‌های drop شده log جمع‌آوری می‌کند.

برای تغییر رفتار سوئیچ در مقابل Security Violation ها، می‌توانید از دستور زیر استفاده کنید:

switchport port-security violation [shutdown | protect | restrict]

این دستور رفتار سوئیچ در مقابل Security Violation ها را تنظیم می‌کند.

برای مثال، اگر می‌خواهید پورت FastEthernet 0/10 به گونه‌ای پیکربندی شود که در صورت بروز Security Violation، پورت خاموش شود، می‌توانید از دستور زیر استفاده کنید:

switch# configure terminal
switch(config)# interface FastEthernet 0/10 
switch(config-if)# switchport mode access 
switch(config-if)# switchport port-security 
switch(config-if)# switchport port-security maximum 2 
switch(config-if)# switchport port-security violation shutdown

مشاهده وضعیت Port Security

برای مشاهده تنظیمات Port Security یک پورت، می‌توانید از دستور زیر استفاده کنید:

show port-security [interface {vlan [vlan_id]} | {type slot/port}] [address]

این دستور تنظیمات Port Security یک پورت را نمایش می‌دهد.

برای مثال، اگر می‌خواهید تنظیمات Port Security پورت FastEthernet 0/10 را مشاهده کنید، می‌توانید از دستور زیر استفاده کنید:

switch# show port-security interface FastEthernet 0/10