31 روز قبل آزمون CCNAسیسکو

امنیت LAN و امن سازی دستگاه‌ها – روز 20

LAN Security and Device Hardening

1 هفته پیش
0 خواندن این مطلب 21 دقیقه زمان میبرد
premium photo 1661761560915 67226d0bede2

قبل از این مقاله بهتره “پیکربندی WLAN در کنترلرهای بی‌سیم سیسکو (WLC)” رو مطالعه کنید، آشنایی با مفاهیم امنیتی در شبکه‌های LAN و امن سازی دستگاه‌ها یکی از موضوعات کلیدی در آزمون CCNA 200-301 است. در این مقاله، به بررسی امنیت کلاینت ها، کنترل دسترسی، امنیت پورت و روش‌های کاهش تهدیدات در شبکه‌های LAN می‌پردازیم.

امنیت نقطه پایانی (Endpoint Security)

نقاط پایانی (Endpoints) شامل تجهیزاتی مانند لپ‌تاپ‌ها، دسکتاپ‌ها، سرورها و تلفن‌های IP هستند. یکی از چالش‌های اصلی در شبکه‌هایی که از سیاست “دستگاه خود را بیاورید” (BYOD) پیروی می‌کنند، این است که دستگاه‌های شخصی کارکنان نیز به شبکه متصل می‌شوند. این دستگاه‌ها به‌طور خاص در برابر حملات بدافزاری که از طریق ایمیل یا مرور وب آغاز می‌شوند، آسیب‌پذیر هستند.

اگر یک دستگاه نقطه پایانی آلوده شود، می‌تواند به سکویی برای مهاجمان تبدیل شود که از طریق آن به سیستم‌های حیاتی سازمان، مانند سرورها و داده‌های حساس، دسترسی پیدا کنند.

راهکارهای امنیتی Cisco برای محافظت از نقاط پایانی

Cisco Advanced Malware Protection (AMP) یکی از راهکارهای امنیتی سیسکو است که با محصولات نقطه پایانی مانند Cisco AMP for Endpoints، امکان جلوگیری از نفوذ بدافزارها را فراهم می‌کند. علاوه بر این، ابزارهای امنیتی محتوا به مدیران شبکه کنترل کاملی بر مرور وب و ایمیل‌های سازمانی می‌دهند.

سیسکو دو محصول امنیتی مهم برای محافظت از محتوا ارائه می‌دهد:

  • Cisco Email Security Appliance (ESA)
  • Cisco Web Security Appliance (WSA)

Cisco ESA: امنیت ایمیل‌های سازمانی

Cisco ESA یک دستگاه اختصاصی برای نظارت و ایمن‌سازی ایمیل‌های دریافتی و ارسالی در پروتکل SMTP (Simple Mail Transfer Protocol) است. این دستگاه می‌تواند:

  • شناسایی و مسدودسازی تهدیدات شناخته‌شده
  • شناسایی و مقابله با بدافزارهای مخفی که از تشخیص اولیه فرار می‌کنند
  • حذف ایمیل‌های حاوی لینک‌های مخرب
  • جلوگیری از دسترسی به سایت‌های آلوده و جدید
  • رمزگذاری محتوای ایمیل‌های خروجی برای جلوگیری از نشت اطلاعات

فرآیند حذف ایمیل‌های مخرب توسط Cisco ESA

Cisco ESA Discards Bad Emails
Cisco ESA Discards Bad Emails

Cisco ESA از یک فرآیند چندمرحله‌ای برای شناسایی و حذف ایمیل‌های مخرب استفاده می‌کند:

  1. مهاجم یک حمله فیشینگ را به یکی از کاربران سازمان ارسال می‌کند.
  2. فایروال تمامی ایمیل‌ها را به Cisco ESA هدایت می‌کند.
  3. Cisco ESA ایمیل را تجزیه‌وتحلیل کرده، ثبت می‌کند و در صورت تشخیص تهدید، آن را حذف می‌کند.

Cisco WSA: امنیت مرور وب در سازمان

Cisco Web Security Appliance (WSA) راهکاری پیشرفته برای محافظت از کاربران در برابر تهدیدات آنلاین است. این دستگاه به مدیران شبکه کنترل کاملی روی نحوه دسترسی کاربران به اینترنت می‌دهد و ویژگی‌هایی مانند:

  • شناسایی و مسدودسازی بدافزارهای تحت وب
  • کنترل دسترسی به برنامه‌های اینترنتی مانند پیام‌رسان‌ها، ویدئوکنفرانس و رسانه‌های صوتی
  • فیلترکردن URLها و جلوگیری از دسترسی به سایت‌های ناامن و نامناسب
  • رمزگذاری و رمزگشایی ترافیک وب برای جلوگیری از سرقت اطلاعات سازمانی

فرآیند مسدودسازی سایت‌های ناامن توسط Cisco WSA

Cisco WSA Discard Packet Destined for a Blacklisted Site
Cisco WSA Discard Packet Destined for a Blacklisted Site

WSA هنگام تلاش یک کاربر برای اتصال به یک سایت مسدودشده، اقدامات زیر را انجام می‌دهد:

  1. کاربر قصد دارد به یک وب‌سایت دسترسی پیدا کند.
  2. فایروال درخواست وب را به Cisco WSA هدایت می‌کند.
  3. Cisco WSA آدرس URL را ارزیابی کرده و در صورت تشخیص آن به‌عنوان سایت مسدود، بسته درخواست را حذف کرده و یک پیام “دسترسی غیرمجاز” به کاربر ارسال می‌کند.

کنترل دسترسی در شبکه‌های سیسکو

کنترل دسترسی (Access Control) یکی از بخش‌های کلیدی در امنیت شبکه است که می‌تواند از روش‌های مختلفی برای احراز هویت کاربران استفاده کند. در ادامه، به بررسی روش‌های احراز هویت محلی (Local Authentication) و پیکربندی SSH برای افزایش امنیت دسترسی به دستگاه‌های شبکه‌ای می‌پردازیم.

احراز هویت محلی (Local Authentication)

یکی از ساده‌ترین روش‌های احراز هویت برای دسترسی از راه دور، استفاده از یک نام کاربری و رمز عبور محلی است که روی دستگاه شبکه تنظیم شده است. این روش به‌صورت مستقیم بر روی پورت‌های کنسول، VTY و AUX اعمال می‌شود.

احراز هویت با رمز عبور ساده

در این روش، یک رمز عبور مشترک روی پورت‌های VTY تنظیم می‌شود. این رمز در قالب متن ساده (plaintext) ذخیره شده و در هنگام احراز هویت ارسال می‌شود، که باعث کاهش امنیت می‌شود.

مثال 20-1: پیکربندی احراز هویت تنها با رمز عبور

R1(config)# line vty 0 4
R1(config-line)# password c1sC0
R1(config-line)# login

نکته: این روش هیچ مکانیزمی برای تعیین هویت کاربران به‌صورت فردی ندارد و تنها رمز عبور، مجوز دسترسی را مشخص می‌کند.

احراز هویت با نام کاربری و رمز عبور محلی

روش پیشنهادی دیگر استفاده از نام کاربری و رمز عبور محلی است. این روش با دستور username username secret password یک جفت نام کاربری و رمز عبور را در دیتابیس محلی دستگاه ذخیره می‌کند. برای فعال‌سازی این روش، باید از login local استفاده شود.

مثال: پیکربندی احراز هویت با نام کاربری و رمز عبور محلی

R1(config)# username allanj secret 31daysCCNA
R1(config)# line console 0
R1(config-line)# login local
R1(config-line)# no password
R1(config)# line vty 0 15
R1(config-line)# login local
R1(config-line)# no password

فرآیند دسترسی به روتر از طریق Telnet:

S1# telnet 10.10.10.1
Trying 10.10.10.1 ... Open

User Access Verification
Username: allanj
Password: *****
R1> enable
Password: *****

در این روش، نام کاربری و رمز عبور قبل از ورود بررسی می‌شوند و رمز عبور با استفاده از الگوریتم MD5 رمزگذاری شده است.

پیکربندی SSH برای افزایش امنیت دسترسی

پروتکل SSH (Secure Shell) یک جایگزین امن برای Telnet است که رمزگذاری کاملی را روی نام کاربری، رمز عبور و داده‌های انتقالی ارائه می‌دهد. در حالی که Telnet اطلاعات را به‌صورت متن ساده (plaintext) ارسال می‌کند، SSH امکان احراز هویت ایمن و ارتباط رمزگذاری‌شده را فراهم می‌کند.

مزایای استفاده از SSH:

  • تمامی نام کاربری و رمز عبور در طول ارتباط رمزگذاری می‌شوند.
  • احراز هویت می‌تواند از طریق دیتابیس محلی کاربران انجام شود.
  • SSH سطح مسئولیت‌پذیری و ثبت وقایع را افزایش می‌دهد، زیرا ورود کاربران به‌طور دقیق ثبت می‌شود.

پیکربندی SSH روی یک سوییچ سیسکو

در ادامه، نحوه راه‌اندازی SSH روی یک سوییچ سیسکو را بررسی می‌کنیم.

مثال : پیکربندی SSH برای دسترسی از راه دور

S1# show ip ssh
SSH Disabled - version 1.99

S1(config)# ip domain-name cisco.com
S1(config)# crypto key generate rsa
The name for the keys will be: S1.cisco.com
How many bits in the modulus [512]: 1024
Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 4 seconds)

S1(config)# line vty 0 15
S1(config-line)# login local
S1(config-line)# transport input ssh
S1(config)# username allanj secret 31daysCCNA
S1(config)# ip ssh version 2
S1(config)# ip ssh authentication-retries 5
S1(config)# ip ssh time-out 60
S1# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 60 secs; Authentication retries: 5

مراحل راه‌اندازی SSH در مثال بالا:

  1. بررسی پشتیبانی از SSH:
    با استفاده از دستور show ip ssh، بررسی می‌کنیم که آیا SSH روی دستگاه فعال است یا خیر.
  2. پیکربندی نام دامنه:
    یک نام دامنه با ip domain-name تنظیم می‌شود.
  3. ایجاد کلید رمزنگاری RSA:
    با استفاده از دستور crypto key generate rsa یک کلید RSA برای رمزگذاری تولید می‌شود. پیشنهاد می‌شود از اندازه کلید 1024 بیت یا بیشتر استفاده کنید.
  4. پیکربندی خطوط VTY برای احراز هویت کاربران:
    • login local به‌جای روش سنتی login استفاده می‌شود تا کاربران مجبور شوند با نام کاربری و رمز عبور وارد شوند.
    • transport input ssh تضمین می‌کند که فقط SSH مجاز است و Telnet غیرفعال خواهد شد.
  5. پیکربندی نسخه SSH:
    استفاده از ip ssh version 2 باعث می‌شود که تنها نسخه دوم SSH که امن‌تر است، فعال باشد.
  6. تنظیم تعداد دفعات تلاش و زمان اعتبارسنجی:
    • ip ssh authentication-retries 5 تعداد تلاش‌های مجاز برای ورود ناموفق را به 5 بار محدود می‌کند.
    • ip ssh time-out 60 مدت‌زمان انتظار برای ورود کاربر را روی 60 ثانیه تنظیم می‌کند.
  7. تأیید تنظیمات SSH:
    دستور show ip ssh برای بررسی پیکربندی و اطمینان از فعال بودن SSH استفاده می‌شود.

امن‌سازی پورت‌های سوییچ و پیاده‌سازی AAA در شبکه‌های سیسکو

امن‌سازی پورت‌های سوییچ (Switch Port Hardening) و استفاده از AAA برای احراز هویت کاربران از مهم‌ترین گام‌ها در تقویت امنیت شبکه‌های سیسکو هستند.

امن‌سازی پورت‌های سوییچ (Switch Port Hardening)

فعال‌سازی و مدیریت پورت‌های سوییچ

در روترها، پورت‌ها به‌صورت پیش‌فرض غیرفعال هستند و برای عملیاتی شدن باید از دستور no shutdown استفاده شود. اما در سوییچ‌های Cisco Catalyst، پورت‌ها به‌طور خودکار با اتصال یک دستگاه فعال می‌شوند. این پیکربندی پیش‌فرض باعث افزایش کارایی می‌شود اما در عین حال، خطرات امنیتی را نیز به دنبال دارد.

بهترین روش‌های امنیتی برای پورت‌های بلااستفاده

برای جلوگیری از تهدیدات امنیتی، اقدامات زیر توصیه می‌شود:

  • غیرفعال کردن پورت به‌صورت دستی با استفاده از shutdown
  • جلوگیری از Trunking غیرمجاز با switchport mode access
  • انتساب پورت به یک VLAN غیرقابل استفاده با switchport access vlan number
  • تنظیم VLAN بومی (Native VLAN) روی VLANی غیر از VLAN 1 با switchport trunk native vlan vlan-id

حتی در صورت خاموش کردن پورت‌های بلااستفاده، ممکن است Trunking ناخواسته رخ دهد. به همین دلیل، توصیه می‌شود این پورت‌ها را به یک Black Hole VLAN اختصاص دهیم.

مثال: اختصاص پورت‌های غیرفعال به یک Black Hole VLAN

S1(config)# vlan 999
S1(config-vlan)# name BlackHole
S1(config)# interface range fa0/20 - 24
S1(config-if-range)# shutdown
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 999

تحلیل این پیکربندی:

  • VLAN 999 به‌عنوان یک VLAN غیرقابل استفاده تعریف شده است.
  • پورت‌های غیرفعال (20 تا 24) خاموش شده و در حالت Access قرار گرفته‌اند.
  • این پورت‌ها به VLAN 999 متصل شده‌اند تا از حملات احتمالی جلوگیری شود.

احراز هویت، مجوزدهی و حسابرسی (AAA)

چرا باید از AAA استفاده کنیم؟

مدیریت دستی نام کاربری و رمز عبور در تجهیزات شبکه‌ای، مقیاس‌پذیر نیست و امنیت کافی را فراهم نمی‌کند. راه‌حل استاندارد برای این مشکل، استفاده از چارچوب AAA است که شامل سه فرآیند زیر می‌شود:

  1. احراز هویت (Authentication): تأیید هویت کاربران پیش از دسترسی به شبکه
  2. مجوزدهی (Authorization): تعیین سطح دسترسی کاربران مجاز
  3. حسابرسی (Accounting): ثبت فعالیت کاربران و نظارت بر عملکرد آن‌ها

پروتکل‌های احراز هویت AAA در سیسکو

دو پروتکل اصلی AAA که در تجهیزات سیسکو پشتیبانی می‌شوند:

  1. TACACS+ (Terminal Access Controller Access Control System Plus)
  2. RADIUS (Remote Authentication Dial-In User Service)

مقایسه پروتکل‌های TACACS+ و RADIUS

انتخاب بین TACACS+ و RADIUS بستگی به نیازهای سازمان دارد:

  • RADIUS معمولاً برای مدیریت کاربران شبکه و حسابرسی دقیق استفاده می‌شود.
  • TACACS+ برای مدیریت دستگاه‌های شبکه و تعیین مجوزهای دسترسی دقیق‌تر به کار می‌رود.

جدول مقایسه TACACS+ و RADIUS

ویژگی TACACS+ RADIUS
کاربرد اصلی مدیریت دستگاه‌های شبکه مدیریت کاربران
پروتکل انتقال TCP UDP
پورت احراز هویت 49 1645, 1812
رمزنگاری رمز عبور بله بله
رمزنگاری کل بسته بله خیر
پشتیبانی از مجوزدهی دستورات CLI بله خیر
توسعه‌دهنده Cisco RFC 2865

فرآیند احراز هویت AAA در سیسکو

سیستم AAA از مدل Client/Server پیروی می‌کند. در این مدل:

  • دستگاه احراز هویت‌شونده (Client) درخواست ورود کاربر را به سرور AAA ارسال می‌کند.
  • سرور AAA هویت کاربر را بررسی کرده و در صورت تأیید، اجازه دسترسی را صادر می‌کند.

مراحل فرآیند احراز هویت:

  1. کاربر به سوییچ متصل شده و درخواست احراز هویت ارسال می‌کند.
  2. سوییچ اطلاعات کاربر را به سرور AAA ارسال می‌کند.
  3. سرور AAA اطلاعات را بررسی کرده و اعتبار کاربر را تأیید می‌کند.
  4. در صورت تأیید، کاربر می‌تواند به دستگاه متصل شود.
A Simplified View of AAA
A Simplified View of AAA

پروتکل احراز هویت 802.1X در شبکه‌های LAN

802.1X یک پروتکل استاندارد برای کنترل دسترسی به شبکه بر اساس پورت (Port-Based Access Control) است که توسط IEEE تعریف شده است. این پروتکل برای محدود کردن دسترسی غیرمجاز به دستگاه‌های شبکه، مانند سوییچ‌ها و نقاط دسترسی بی‌سیم، ایده‌آل است.

نقش‌های کلیدی در معماری 802.1X

در مدل 802.1X، سه نقش کلیدی برای دستگاه‌های موجود در شبکه تعریف شده است:

  1. کلاینت (Supplicant):
    • دستگاهی است که درخواست دسترسی به شبکه را ارسال می‌کند.
    • معمولاً یک PC یا دستگاهی با نرم‌افزار سازگار با 802.1X است.
    • در شکل زیر، کلاینت یک رایانه متصل به سوییچ است.
  2. سوییچ (Authenticator):
    • مسئول کنترل دسترسی فیزیکی به شبکه است.
    • به عنوان واسطی بین کلاینت و سرور احراز هویت عمل می‌کند.
    • اطلاعات احراز هویت را از کلاینت دریافت کرده و برای تأیید به سرور ارسال می‌کند.
  3. سرور احراز هویت (Authentication Server):
    • اعتبارسنجی نهایی کاربران را انجام می‌دهد.
    • هویت کلاینت را بررسی کرده و تصمیم می‌گیرد که آیا مجاز به دسترسی است یا خیر.
    • RADIUS تنها پروتکل پشتیبانی‌شده برای سرور احراز هویت در 802.1X است.
802.1X Roles
802.1X Roles

جریان احراز هویت در 802.1X

فرآیند احراز هویت 802.1X شامل مراحل زیر است:

  1. کلاینت (Supplicant) هویت خود را به سوییچ معرفی می‌کند.
  2. کلاینت اطلاعات کاربری (نام کاربری/رمز عبور) را وارد می‌کند.
  3. سوییچ (Authenticator) این اطلاعات را به سرور احراز هویت ارسال می‌کند.
  4. سرور RADIUS اطلاعات را بررسی کرده و در صورت تأیید، اجازه دسترسی را صادر می‌کند.
802.1X Authentication Flows
802.1X Authentication Flows

نکات کلیدی در پیاده‌سازی 802.1X

  • سرور RADIUS باید به درستی با نام‌های کاربری و رمزهای عبور کاربران پیکربندی شود.
  • سوییچ‌های شبکه باید قابلیت 802.1X را فعال کرده و با سرور احراز هویت هماهنگ شوند.
  • کاربران متصل به پورت‌های 802.1X باید اطلاعات ورود معتبری داشته باشند تا بتوانند به شبکه دسترسی پیدا کنند.

امنیت پورت (Port Security) در سوییچ‌های سیسکو

Port Security یکی از قابلیت‌های مهم در سوییچ‌های سیسکو است که به شما امکان می‌دهد دسترسی به پورت‌های خاص را محدود کنید. این قابلیت به جلوگیری از حملاتی مانند اتصال غیرمجاز دستگاه‌ها به شبکه از طریق پورت‌های دیواری یا استفاده از کابل‌های متصل به دستگاه‌های مجاز کمک می‌کند.

پیکربندی Port Security

برای راه‌اندازی Port Security، چندین مرحله وجود دارد که باید دنبال شوند:

مراحل پیکربندی Port Security

مرحله ۱:

پیکربندی پورت به‌عنوان Access Port (غیرفعال کردن Trunking):

switchport mode access

مرحله ۲:

فعال‌سازی Port Security بر روی پورت:

switchport port-security

مرحله ۳ (اختیاری):

تنظیم حداکثر تعداد آدرس‌های MAC مجاز برای پورت (به‌طور پیش‌فرض ۱ است):

switchport port-security maximum number

مرحله ۴ (اختیاری):

تنظیم رفتار سوییچ هنگام تشخیص نقض امنیتی (Security Violation)

switchport port-security violation [protect | restrict | shutdown]
  • Protect: بسته‌های ارسال‌شده از آدرس‌های MAC غیرمجاز را دور می‌اندازد بدون ارسال هشدار.
  • Restrict: مانند Protect، اما یک هشدار را از طریق SNMP ارسال می‌کند.
  • Shutdown (پیش‌فرض): پورت را خاموش می‌کند و در حالت “Err-disabled” قرار می‌دهد.

مرحله ۵ (اختیاری):

تعریف MAC Address های مجاز به‌صورت دستی برای پورت:

switchport port-security mac-address mac-address

برای تعریف چندین آدرس از دستور mac-address به‌طور مکرر استفاده کنید.

مرحله ۶ (اختیاری):

فعال کردن حالت Sticky برای یادگیری خودکار آدرس‌های MAC و اختصاص آن‌ها به پورت:

switchport port-security mac-address sticky
  • در این حالت، اولین دستگاهی که به پورت متصل شود، آدرس MAC آن به‌صورت دائمی ذخیره می‌شود.

جدول اقدامات هنگام نقض امنیتی در Port Security

گزینه در دستور switchport port-security violation Protect Restrict Shutdown (پیش‌فرض)
دور انداختن ترافیک غیرمجاز بله بله بله
ارسال هشدار به SNMP خیر بله بله
غیرفعال کردن پورت (Shutdown) خیر خیر بله

مثال: پیکربندی Port Security

در این مثال، Port Security بر روی چندین پورت سوییچ پیکربندی شده و محدودیت‌های خاصی اعمال شده است.

S1(config)# interface range fa 0/5 - fa 0/24
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport port-security
S1(config-if-range)# switchport port-security maximum 3
S1(config-if-range)# switchport port-security violation restrict
S1(config-if-range)# switchport port-security mac-address sticky

تحلیل این پیکربندی:

  • تمامی پورت‌های ۵ تا ۲۴ به‌عنوان Access Ports تنظیم شده‌اند.
  • قابلیت Port Security روی این پورت‌ها فعال شده است.
  • حداکثر ۳ آدرس MAC برای هر پورت مجاز است.
  • در صورت شناسایی MAC Address غیرمجاز، پورت در حالت Restrict قرار گرفته و هشدار ارسال می‌شود.
  • پورت‌ها آدرس‌های MAC دستگاه‌های متصل را به‌صورت خودکار ذخیره می‌کنند.

بررسی وضعیت Port Security

پس از پیکربندی Port Security، می‌توان وضعیت آن را با دستور زیر بررسی کرد:

S1# show port-security

مثال: خروجی دستور بررسی امنیت پورت

S1# show port-security

Secure Port    MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
              (Count)         (Count)      (Count)
-------------------------------------------------------------------------
Fa0/5         3              1            0                 Restrict
Fa0/6         3              0            0                 Restrict
Fa0/7         3              0            0                 Restrict
Fa0/8         3              0            0                 Restrict
...
Fa0/24        3              0            0                 Restrict

تحلیل خروجی دستور:

  • تمامی پورت‌ها دارای حداکثر ۳ آدرس MAC مجاز هستند.
  • تنها یک دستگاه متصل به پورت Fa0/5 شناسایی شده است.
  • تاکنون هیچ تخلفی (Security Violation) رخ نداده است.
  • تمامی پورت‌ها در حالت “Restrict” تنظیم شده‌اند.

بررسی جزئیات امنیتی یک پورت خاص

با استفاده از دستور زیر می‌توان وضعیت یک پورت خاص را مشاهده کرد:

S1# show port-security interface fastethernet 0/5

خروجی دستور برای بررسی دقیق یک پورت خاص

S1# show port-security interface fastethernet 0/5

Port Security                : Enabled
Port Status                  : Secure-down
Violation Mode               : Restrict
Aging Time                   : 0 mins
Aging Type                   : Absolute
SecureStatic Address Aging   : Disabled
Maximum MAC Addresses        : 3
Total MAC Addresses          : 1
Configured MAC Addresses     : 0
Sticky MAC Addresses         : 1
Last Source Address:Vlan     : 0014.22d.37a3:1
Security Violation Count     : 0

تحلیل این خروجی:

  • Port Security فعال است و این پورت در حالت Secure-down قرار دارد.
  • در صورت تشخیص MAC Address غیرمجاز، پورت در حالت Restrict قرار می‌گیرد.
  • حداکثر ۳ آدرس MAC مجاز است و تاکنون تنها ۱ آدرس شناخته شده است.
  • آخرین آدرس MAC مجاز در VLAN 1 ثبت شده است.
  • تاکنون هیچ نقض امنیتی رخ نداده است (Security Violation Count = 0).

مدیریت Aging در Port Security و بازیابی پورت پس از نقض امنیتی

Port Security Aging قابلیتی در سوییچ‌های سیسکو است که به شما امکان می‌دهد زمان حذف خودکار آدرس‌های MAC ثبت‌شده را تنظیم کنید. این ویژگی به جلوگیری از استفاده دائمی از آدرس‌های MAC قدیمی یا غیرفعال کمک می‌کند.

انواع Aging در Port Security

دو نوع Aging برای آدرس‌های MAC امن در پورت‌های سوییچ پشتیبانی می‌شود:

  1. Absolute:
    • آدرس‌های MAC امن پس از گذشت زمان مشخص‌شده حذف می‌شوند، صرف‌نظر از فعالیت یا عدم فعالیت دستگاه.
  2. Inactivity:
    • آدرس‌های MAC امن فقط در صورتی حذف می‌شوند که برای مدت مشخصی هیچ ترافیکی از آن‌ها دریافت نشود.

برای فعال‌سازی Aging در Port Security، از دستور زیر استفاده می‌شود:

Switch(config-if)# switchport port-security aging {static | time time | type {absolute | inactivity}}

پارامترهای دستور port-security aging

پارامتر توضیح
static فعال‌سازی Aging برای آدرس‌های MAC که به‌صورت دستی پیکربندی شده‌اند.
time time تنظیم زمان Aging بین ۱ تا ۱۴۴۰ دقیقه (۰ به‌معنی غیرفعال بودن Aging است).
type absolute آدرس‌های MAC دقیقاً پس از مدت‌زمان تعیین‌شده حذف می‌شوند.
type inactivity آدرس‌های MAC فقط در صورت عدم فعالیت برای مدت مشخص حذف می‌شوند.

مثال: پیکربندی و بررسی Aging در Port Security

در این مثال، Aging برای آدرس‌های MAC ثبت‌شده در یک پورت خاص به مدت ۱۰ دقیقه و با نوع inactivity پیکربندی شده است.

S1(config)# interface fa0/1
S1(config-if)# switchport port-security aging time 10
S1(config-if)# switchport port-security aging type inactivity
S1(config-if)# end

بررسی پیکربندی با دستور زیر:

S1# show port-security interface fa0/1

خروجی دستور بررسی پورت

Port Security                : Enabled
Port Status                  : Secure-shutdown
Violation Mode               : Restrict
Aging Time                   : 10 mins
Aging Type                   : Inactivity
SecureStatic Address Aging   : Disabled
Maximum MAC Addresses        : 4
Total MAC Addresses          : 1
Sticky MAC Addresses         : 0
Last Source Address:Vlan     : 0050.5f6e.abd1:1
Security Violation Count     : 1

تحلیل این خروجی:

  • Port Security فعال است و در حالت Secure-shutdown قرار دارد.
  • حالت Violation روی “Restrict” تنظیم شده است.
  • آدرس‌های MAC پس از ۱۰ دقیقه عدم فعالیت حذف می‌شوند.
  • یک نقض امنیتی (Security Violation) شناسایی شده است.

بازیابی پورت پس از نقض امنیتی (Port Restoration After a Violation)

هنگامی که Port Security فعال باشد، در صورت نقض امنیتی، پورت به‌طور پیش‌فرض در حالت “Shutdown” قرار می‌گیرد. این اتفاق ممکن است در یکی از دو حالت زیر رخ دهد:

  1. تعداد آدرس‌های MAC امن به حداکثر مقدار مجاز رسیده است و یک دستگاه جدید سعی در اتصال دارد.
  2. یک آدرس MAC مجاز روی یک پورت دیگر در همان VLAN مشاهده شود.

در این وضعیت، پیام خطای زیر در Syslog ثبت می‌شود:

%PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/18

Port Security Violation Verification and Restoration 1 Port Security Violation Verification and Restoration 2

بررسی وضعیت پورت پس از نقض امنیتی

برای بررسی وضعیت پورت، از دستورات زیر استفاده می‌شود:

S1# show interface fa0/18 status
S1# show port-security interface fastethernet 0/18

خروجی دستور بررسی پورت پس از نقض امنیتی

Port Security                : Enabled
Port Status                  : Secure-shutdown
Violation Mode               : Shutdown
Aging Time                   : 0 mins
Aging Type                   : Absolute
SecureStatic Address Aging   : Disabled
Maximum MAC Addresses        : 1
Total MAC Addresses          : 1
Configured MAC Addresses     : 0
Sticky MAC Addresses         : 1
Last Source Address:Vlan     : 0002.292b.4c75:1
Security Violation Count     : 1

تحلیل این خروجی:

  • پورت در حالت “Secure-shutdown” قرار دارد.
  • یک نقض امنیتی ثبت شده است.
  • آخرین آدرس MAC که باعث نقض شد، در VLAN 1 شناسایی شده است.

Port Security Violation Verification and Restoration 3.png

بازیابی پورت از حالت “Shutdown”

برای بازگردانی یک پورت به حالت فعال، مراحل زیر انجام می‌شود:

  1. خاموش کردن پورت به‌صورت دستی:
S1(config)# interface FastEthernet 0/18
S1(config-if)# shutdown
  1. فعال‌سازی مجدد پورت:
S1(config-if)# no shutdown

مقابله با تهدیدات LAN و پیکربندی Native و Management VLAN در سوییچ‌های سیسکو

امنیت شبکه‌های LAN نیازمند اجرای تکنیک‌های کاهش تهدیدات (Mitigation) برای جلوگیری از حملات مربوط به VLAN، DHCP و ARP است. یکی از اقدامات مهم در این زمینه، اصلاح و بهینه‌سازی پیکربندی VLAN‌های Native و Management است.

اصلاح Native VLAN و Management VLAN

IEEE 802.1Q یک Native VLAN را برای سازگاری با ترافیک‌های بدون برچسب (Untagged Traffic) در شبکه‌های LAN سنتی تعریف می‌کند. Native VLAN یک شناسه مشترک در دو انتهای یک لینک Trunk است.
به‌طور پیش‌فرض، VLAN 1 به‌عنوان Native VLAN تنظیم شده است.

Management VLAN، هر VLANی است که برای دسترسی به قابلیت‌های مدیریتی سوییچ پیکربندی شده باشد.
به‌صورت پیش‌فرض، VLAN 1 نقش Management VLAN را نیز ایفا می‌کند. این VLAN معمولاً دارای آدرس IP و ماسک زیرشبکه است که اجازه مدیریت سوییچ از طریق HTTP، Telnet، SSH یا SNMP را می‌دهد.

بهترین روش‌های پیکربندی Native و Management VLAN

  • Native VLAN نباید VLAN 1 باشد. به‌جای آن، یک VLAN مجزا و غیرقابل استفاده را اختصاص دهید.
  • Management VLAN نیز نباید VLAN 1 باشد. این VLAN باید دارای یک IP ثابت برای مدیریت از راه دور باشد.
  • Native و Management VLAN می‌توانند یکی باشند یا به‌طور جداگانه پیکربندی شوند.

مثال: پیکربندی Native و Management VLAN

S1(config)# vlan 86
S1(config-vlan)# name Management&Native
S1(config)# interface vlan 86
*Jul 13 14:04:840: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan86, changed state to down
S1(config-if)# ip address 10.10.86.10 255.255.255.0
S1(config-if)# no shutdown
S1(config-if)# ip default-gateway 10.10.86.254
S1(config)# interface range fa0/21 - 24
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport trunk native vlan 86
S1(config-if-range)#
*Jul 13 14:15:499: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan86, changed state to up

تحلیل پیکربندی:

  1. VLAN 86 ایجاد شده و به‌عنوان Management و Native VLAN نام‌گذاری شده است.
  2. Interface VLAN 86 فعال شده و دارای یک آدرس IP برای مدیریت از راه دور است.
  3. یک Default Gateway برای VLAN 86 تنظیم شده است.
  4. پورت‌های Trunk مشخص شده و Native VLAN روی VLAN 86 تنظیم شده است.
  5. پس از پیکربندی، VLAN 86 به حالت “Up” تغییر وضعیت می‌دهد.

حملات VLAN و روش‌های مقابله با آن‌ها در شبکه‌های سیسکو

حملات VLAN از جمله تهدیدات امنیتی رایج در شبکه‌های LAN هستند که می‌توانند به مهاجمان اجازه دهند تا ترافیک شبکه را به VLAN‌های دیگر هدایت کنند. در ادامه سه نوع حمله VLAN و روش‌های مقابله با آن‌ها را بررسی می‌کنیم.

انواع حملات VLAN

۱. جعل پیام‌های DTP (Spoofing Dynamic Trunking Protocol Messages)

  • در این حمله، مهاجم پیام‌های DTP جعلی ارسال می‌کند تا یک سوییچ را وارد حالت Trunking کند.
  • پس از فعال شدن حالت Trunk، مهاجم می‌تواند ترافیک را با برچسب VLAN موردنظر ارسال کند و سوییچ آن را به مقصد منتقل کند.

۲. معرفی یک سوییچ جعلی و فعال‌سازی Trunking

  • مهاجم یک سوییچ غیرمجاز را به شبکه متصل می‌کند و آن را در حالت Trunking قرار می‌دهد.
  • در این حالت، مهاجم به تمامی VLANهای سوییچ قربانی دسترسی خواهد داشت.

۳. حمله Double-Tagging یا Double-Encapsulation

  • در این حمله، مهاجم از نحوه پردازش برچسب‌های 802.1Q در سوییچ‌ها سوءاستفاده می‌کند.
  • مهاجم یک برچسب 802.1Q مخفی را درون یک فریم دارای برچسب VLAN قرار می‌دهد.
  • این تکنیک اجازه می‌دهد که فریم به یک VLAN که در برچسب اولیه 802.1Q مشخص نشده بود، منتقل شود.

مقابله با حملات VLAN (VLAN Attack Mitigation)

برای جلوگیری از حملات VLAN Hopping، می‌توان اقدامات امنیتی زیر را انجام داد:

مراحل کاهش تهدیدات VLAN:

مرحله ۱:

غیرفعال کردن DTP روی پورت‌های غیربازرگانی (Non-Trunking) با استفاده از:

switchport mode access

مرحله ۲:

غیرفعال کردن پورت‌های بلااستفاده و تخصیص آن‌ها به یک VLAN غیرمجاز:

switchport access vlan <unused_vlan>

مرحله ۳:

فعال‌سازی دستی Trunking روی پورت‌های Trunk با استفاده از:

switchport mode trunk

مرحله ۴:

غیرفعال کردن مذاکرات DTP روی پورت‌های Trunk با دستور:

switchport nonegotiate

مرحله ۵:

تغییر VLAN بومی (Native VLAN) به عددی غیر از VLAN 1 با دستور:

switchport trunk native vlan <non-default_vlan>

مثال : پیکربندی امنیتی برای جلوگیری از VLAN Hopping

در این مثال، پورت‌های مختلف یک سوییچ بر اساس کاربری آن‌ها ایمن‌سازی شده‌اند:

  • پورت‌های Fa0/1 تا Fa0/16 به‌عنوان Access Ports تنظیم شده‌اند و Trunking روی آن‌ها غیرفعال است.
  • پورت‌های Fa0/17 تا Fa0/20 به یک VLAN غیرمجاز (VLAN 999) اختصاص داده شده‌اند.
  • پورت‌های Fa0/21 تا Fa0/24 به‌عنوان Trunk پیکربندی شده‌اند، اما DTP روی آن‌ها غیرفعال شده است.
  • VLAN بومی (Native VLAN) از VLAN 1 به VLAN 86 تغییر داده شده است.

دستورات پیکربندی:

S1(config)# interface range fa0/1 - 16
S1(config-if-range)# switchport mode access
S1(config-if-range)# exit

S1(config)# interface range fa0/17 - 20
S1(config-if-range)# switchport access vlan 999
S1(config-if-range)# exit

S1(config)# interface range fa0/21 - 24
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport nonegotiate
S1(config-if-range)# switchport trunk native vlan 86
S1(config-if-range)# end

حملات DHCP و روش‌های مقابله با آن‌ها در شبکه‌های سیسکو

حملات DHCP یکی از تهدیدات امنیتی رایج در شبکه‌های LAN مبتنی بر DHCP هستند. مهاجمان می‌توانند از طریق جعل سرور DHCP یا اشباع آدرس‌های IP موجود، شبکه را دچار اختلال کنند. در این بخش، دو نوع حمله DHCP و روش‌های جلوگیری از آن‌ها را بررسی خواهیم کرد.

انواع حملات DHCP

۱. حمله DHCP Starvation (اشباع DHCP)

  • هدف این حمله، ایجاد یک وضعیت Denial-of-Service (DoS) برای کلاینت‌های متصل‌شونده است.
  • ابزارهایی مانند Gobbler، همه آدرس‌های قابل اجاره در DHCP را اسکن کرده و سعی در اجاره آن‌ها دارند.
  • این حمله از پیام‌های جعلی DHCP Discovery با آدرس‌های MAC تقلبی استفاده می‌کند تا سرور DHCP را از تخصیص آدرس‌های جدید ناتوان کند.

۲. حمله DHCP Spoofing (جعل DHCP)

  • این حمله زمانی رخ می‌دهد که یک سرور DHCP جعلی به شبکه متصل شود و به کلاینت‌ها اطلاعات نادرست ارائه دهد.
  • مهاجم می‌تواند آدرس IP گیت وی (Default Gateway)، سرور DNS و سایر تنظیمات را تغییر دهد.
  • هدف اصلی این حمله، اجرای حملات Man-in-the-Middle (MiTM) و شنود ترافیک شبکه است.

Rogue DHCP Server Intercepting DHCP Requests

DHCP Snooping: مکانیزم امنیتی برای مقابله با حملات DHCP

DHCP Snooping یکی از تکنیک‌های امنیتی سیسکو است که به سوییچ اجازه می‌دهد ترافیک DHCP را نظارت کرده و پیام‌های غیرمجاز را مسدود کند.

مفاهیم کلیدی در DHCP Snooping:

پورت‌های Trusted:

  • این پورت‌ها همه پیام‌های DHCP را دریافت می‌کنند.
  • به‌طور معمول، پورت‌هایی که به سرور DHCP معتبر متصل هستند، به‌عنوان Trusted تنظیم می‌شوند.

پورت‌های Untrusted (نامعتبر):

  • این پورت‌ها تمامی پیام‌های سرور DHCP جعلی را مسدود می‌کنند.
  • پورت‌هایی که به کلاینت‌ها، نقاط دسترسی بی‌سیم و سایر دستگاه‌ها متصل هستند، باید Untrusted باشند.

Rate Limiting در DHCP Snooping:

  • این ویژگی تعداد پیام‌های DHCP Discovery دریافتی روی پورت‌های نامعتبر را محدود می‌کند.
  • این اقدام باعث جلوگیری از حملات DHCP Starvation می‌شود.
Trusted and Untrusted Ports
Trusted and Untrusted Ports

مراحل فعال‌سازی DHCP Snooping در سیسکو

DHCP Snooping Configuration Topology

مرحله ۱:

فعال‌سازی DHCP Snooping با دستور:

ip dhcp snooping

مرحله ۲:

پورت‌های معتبر (Trusted) را مشخص کنید:

ip dhcp snooping trust

مرحله ۳:

محدود کردن تعداد پیام‌های DHCP Discovery روی پورت‌های نامعتبر برای جلوگیری از حملات DHCP Starvation:

ip dhcp snooping limit rate <number>

مرحله ۴:

فعال‌سازی DHCP Snooping برای VLANهای مشخص‌شده:

ip dhcp snooping vlan <VLAN_ID>

مثال: پیکربندی و بررسی DHCP Snooping

S1(config)# ip dhcp snooping
S1(config)# interface f0/1
S1(config-if)# ip dhcp snooping trust
S1(config-if)# exit

S1(config)# interface range f0/5 - 24
S1(config-if-range)# ip dhcp snooping limit rate 6
S1(config-if-range)# exit

S1(config)# ip dhcp snooping vlan 5,10,50-52
S1(config)# end

بررسی تنظیمات DHCP Snooping

بررسی کلی DHCP Snooping:

S1# show ip dhcp snooping

خروجی نمونه:

Verifying DHCP Snooping

تحلیل خروجی:

  • DHCP Snooping فعال است و برای VLANهای 5، 10، 50-52 تنظیم شده است.
  • پورت Fa0/1 به‌عنوان Trusted مشخص شده و بدون محدودیت عمل می‌کند.
  • پورت Fa0/5 نامعتبر (Untrusted) است و تعداد پیام‌های DHCP آن به ۶ پیام در ثانیه محدود شده است.

بررسی لیست DHCP Snooping Binding:

S1# show ip dhcp snooping binding

خروجی نمونه:

MacAddress        IpAddress       Lease(sec)   Type       VLAN  Interface
------------------------------------------------------------------------
03:47:B5:99:AD    192.168.10.10   193185       dhcp-snoop 5     FastEthernet0/5

تحلیل خروجی:

  • آدرس MAC 03:47:B5:99:AD یک IP از سرور DHCP دریافت کرده است.
  • این دستگاه به پورت Fa0/5 متصل است و در VLAN 5 قرار دارد.
  • این اطلاعات در جدول DHCP Snooping سوییچ ذخیره شده و برای تأیید ترافیک DHCP استفاده خواهد شد.

حملات ARP و روش‌های مقابله با آن‌ها در شبکه‌های سیسکو

حملات ARP یکی از تهدیدات امنیتی در شبکه‌های Ethernet LAN هستند که می‌توانند به مهاجمان اجازه دهند ترافیک شبکه را رهگیری و تغییر مسیر دهند. در ادامه این مقاله، حملات ARP و روش‌های جلوگیری از آن‌ها را بررسی خواهیم کرد.

حملات ARP و نحوه عملکرد آن‌ها

۱. جعل ARP (ARP Spoofing) و مسموم‌سازی ARP (ARP Poisoning)

  • در شبکه‌های اترنت، هر دستگاه مجاز است پیام‌های پاسخ ARP (Gratuitous ARP) را بدون درخواست قبلی ارسال کند.
  • این پیام‌های ARP باعث می‌شوند که تمامی میزبان‌های شبکه، آدرس MAC و IP موردنظر را در جدول ARP Cache خود ذخیره کنند.
  • مهاجم می‌تواند یک پیام ARP جعلی ارسال کند که حاوی یک آدرس MAC تقلبی است.
  • سوییچ جدول MAC خود را به‌روزرسانی کرده و این آدرس را به‌عنوان مقصد معتبر ثبت می‌کند.
  • در نتیجه، مهاجم می‌تواند ترافیک را رهگیری کرده و به سرقت اطلاعات بپردازد.

مثال حمله ARP Poisoning

  • در این مثال، مهاجم (PC2) جدول ARP در R1 و PC1 را تغییر داده است.
  • اکنون، تمامی ترافیک بین R1 و PC1 از طریق PC2 عبور خواهد کرد که به مهاجم امکان اجرای حملات Man-in-the-Middle (MiTM) را می‌دهد.
Successful ARP Poisoning Attack
Successful ARP Poisoning Attack

Dynamic ARP Inspection (DAI) – راهکار مقابله با حملات ARP

نحوه عملکرد Dynamic ARP Inspection (DAI)

برای جلوگیری از حملات ARP Spoofing و مسموم‌سازی ARP، سوییچ باید فقط درخواست‌ها و پاسخ‌های ARP معتبر را ارسال کند.

DAI (Dynamic ARP Inspection) یک مکانیزم امنیتی سیسکو است که به کمک DHCP Snooping، از حملات ARP جلوگیری می‌کند.

DAI چگونه حملات ARP را متوقف می‌کند؟

عدم ارسال پاسخ‌های ARP نامعتبر یا جعلی در VLAN مشابه
رهگیری و بررسی تمامی پیام‌های ARP در پورت‌های Untrusted
تأیید اطلاعات آدرس IP و MAC برای مطابقت با DHCP Snooping Binding Table
حذف و ثبت پیام‌های جعلی ARP برای جلوگیری از حملات
غیرفعال کردن خودکار پورت در صورت تشخیص تعداد زیادی از پیام‌های جعلی ARP

مراحل پیاده‌سازی DAI در شبکه‌های سیسکو

۱. فعال‌سازی DHCP Snooping و DAI

  • DAI برای عملکرد صحیح، نیاز به فعال بودن DHCP Snooping دارد.
  • ابتدا باید DHCP Snooping را فعال کرده و سپس DAI را روی VLAN‌های موردنظر تنظیم کنیم.
ip dhcp snooping
ip dhcp snooping vlan <VLAN_ID>
ip arp inspection vlan <VLAN_ID>

۲. پیکربندی پورت‌های Trusted و Untrusted برای DAI

  • پورت‌هایی که به سرور DHCP یا روتر متصل هستند، باید “Trusted” باشند.
  • پورت‌هایی که کلاینت‌ها را به شبکه متصل می‌کنند، باید “Untrusted” باشند.
interface <port>
ip arp inspection trust
Trusted and Untrusted Ports for DAI Configuration
Trusted and Untrusted Ports for DAI Configuration

مثال: پیکربندی Dynamic ARP Inspection

پیکربندی DAI برای VLAN 10 و تنظیم پورت‌های Trusted

S1(config)# ip dhcp snooping
S1(config)# ip dhcp snooping vlan 10
S1(config)# ip arp inspection vlan 10
S1(config)# interface fa0/24
S1(config-if)# ip dhcp snooping trust
S1(config-if)# ip arp inspection trust

تحلیل این پیکربندی:

  • DHCP Snooping فعال شده است و برای VLAN 10 اعمال شده است.
  • DAI روی VLAN 10 فعال شده و از حملات ARP جلوگیری می‌کند.
  • پورت Fa0/24 به‌عنوان “Trusted” تنظیم شده است.

مثال: پیکربندی DAI برای تأیید آدرس‌های MAC و IP

DAI می‌تواند بررسی‌های بیشتری را انجام دهد، مانند:

  • بررسی مقصد آدرس MAC (dst-mac)
  • بررسی مبدأ آدرس MAC (src-mac)
  • بررسی آدرس IP کلاینت (ip)
S1(config)# ip arp inspection validate ?
  dst-mac  Validate destination MAC address
  ip       Validate IP addresses
  src-mac  Validate source MAC address

S1(config)# ip arp inspection validate src-mac
S1(config)# ip arp inspection validate dst-mac
S1(config)# ip arp inspection validate ip
S1# show run | include validate
ip arp inspection validate ip
ip arp inspection validate src-mac dst-mac ip

تحلیل این پیکربندی:

  • DAI تمامی پیام‌های ARP را بررسی کرده و تأیید می‌کند که آدرس‌های MAC و IP معتبر باشند.
  • این پیکربندی از حملات ARP Spoofing پیچیده‌تر جلوگیری می‌کند.
برچسب ها
1 هفته پیش
0 خواندن این مطلب 21 دقیقه زمان میبرد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا