Port Security یکی از قابلیت امنیتی می باشد که با استفاده از آن می توان دسترسی هاست هارا به شبکه محدود کرد و در برابر برخی از حملات امنیتی در شبکه جلوگیری کرد.مکانیزم کاری Port Security به این صورت می باشد که با استفاده از MAC هاست های شبکه دسترسی آن ها را به پورت های سوییچ در شبکه محدود می کند به این صورت که به طور مثال مشخص می کنیم چه هاست هایی با چه MAC هایی توانایی اتصال به پورت FA0/1 سوییچ را دارند و غیر از این MAC هر هاست دیگری به این پورت متصل شد ، هاست غیر مجاز می باشدو اجازه ورود به شبکه ی ما را ندارد.در صورت اتصال یک دستگاه غیر مجاز ، می توان برای سوییچ تعریف کرد که سه وضعیت زیر را برای دسترسی هاست غیر مجازی تعیین کند :
- Protect
- Restrict
- Shutdown – حالت پیش فرض
بررسی حالت های پورت در مقابله با هاست غیر مجاز
- Protect: در این حالت ترافیک مربوط به هاست غیر مجاز Drop شده و در صورت اتصال هاست مجاز، پورت در حالت UP قرار گرفته و هاست مجاز وارد شبکه می شود.
- Restrict: دقیقا مشابه حالت Protect می باشد، و علاوه بر آن Log نیز تولید می شود.
- Shutdown: در این حالت به محض اتصال یک هاست غیر مجاز، پورت شبکه در حالت Error Disable قرار گرفته و پورت Down می شود و تا زمانی که ادمین سیستم پورت را دستی به حالت UP تغییر ندهد ،پورت در حالت Down باقی می ماند ، حتی با اتصال هاست مجاز نیز این پورت در حالت Down باقی می ماند تا ادمین به صورت دستی پورت را از حالت Down به حالت Up تغییر دهد.این حالت سخت گیرانه ترین حالت می باشد.
قابلیت Port Security فقط روی پورت Access می توان تعریف کرد. و با این قابلیت می توان از حملات زیر در شبکه جلوگیری کرد :
- MAC Flooding attack
- MAC Address Spoofing
- DHCP Starvation
- . . .
هاست های مجاز چگونه برای پورت تعیین می شوند ؟
تعیین MAC آدرس هاست های مجاز برای پورت سوییچ به دوحالت امکان پذیر می باشد :
- Manual: ادمین سیستم به صورت دستی MAC ادرس هاست های مورد نظر را برای پورت تعریف می کند.
- Sticky: در این حالت نیاز به وارد کردن MAC هاست های مجاز به صورت دستی نمی باشد، و با اتصال اولین هاست و ارسال اولین بسته، MAC هاست مورد نظر توسط پورت دریافت می شود.
راه اندازی روی سوییچ های سیسکو
فعال سازی روی interface
SW(config)#interface fastethernet 0/1
SW(config-if)#switchport mode access
SW(config-if)#switchport port-security
معرفی MAC ها به صورت manual / Sticky
SW(config-if)#switchport port-security mac-address xx-xx-xx-xx-xx-xx
یا
SW(config-if)#switchport port-security mac-address sticky
تنظیمات محدودیت برای هاست غیر مجاز
SW(config-if)#switchport port-security violation protect
یا
SW(config-if)#switchport port-security violation shutdown
یا
SW(config-if)#switchport port-security violation restrict
مشخص کردن تعداد هاست های مجاز روی یک پورت(max=132) – پیشفرض 1 می باشد.
SW(config-if)#switchport port-security maximum 5
نمایش تنظیمات Port Security
SW#show port-security
SW#show port-security address
SW#show port-security interface fa0/1
پاک کردن MAC های Stick شده روی همه interface ها و یا یک interface
SW#clear port-security all
SW#clear port-security sticky interface fastethernet 0/1
