كما وعدتكم سابقا عند أفتتاح قسم الـSecurity بأنني سوف أحاول أن أغطي كل مواضيع الأمن التى يجب أعدادها على الشبكة لكي نخفض من نسبة القرصنة التي ممكن أن تحدث على الشبكة وأرجو منك أن تدقق على كلمة تخفيض لان النظرية العامة تقول لايوجد جهاز أمني خالي من الثغرات مهم كانت قوته وموضوعنا اليوم أعداده بسيط لكنه من أول وأهم الخطوات التى يجب أعداده على الشبكة وهو الـPort Security وأهميته في رد هجوم الـ MAC flooding
ماهو الـ Port Security ؟
هو وضعية نقوم بأعداده على كل Interface تهدف لتحديد أجهزة الكمبيوتر التى يسمح لها بالأتصال من خلال هذا الـInterface وتتم العملية عن طريق ربط الـInterface بالـ Mac Address الخاص بكل جهاز كمبيوتر لديه الصلاحية للدخول على الشبكة وبهذه الطريقة نكون قد منعنا الأجهزة الدخيلة من المحاولة بالأتصال بالشبكة من خلال شبك الكمبيوتر بأحد مخارج السويتش كما يمكننا ردع هجوم مايعرف بي mac flood من خلال تحديد عدد الأجهزة المتصلة بالـ Interface في حال لو كان عندنا hub مثلا
ماذا سوف يحدث في حال محاولة أحد الاشخاص الولوج إلى الشبكة
للـ Port Security ثلاث وضعيات يمكن أن يتخذها في حال تم شبك ماك ادريس لجهاز كمبيوتر غير مصرح به للدخول إلى الشبكة والحالات هي كالتالي
Description |
Mode |
في هذه الحالة سوف يقوم السويتش بأغلاق المنفذ بشكل مباشر وهذه الوضعية تعد الـ Default للـ Port Security |
shutdown |
في هذه الحالة يقوم السوتش بعمل Drop لكل الترافيك القادم من الماك أدريس الغير مصرح به مع أبقاء المنفذ مفتوح للأجهزة المصرحة بها |
protect |
نفس الحالة السابقة لكن هنا يقوم السويتش بأحصاء كل الباكيت التى قام بعمل drop لها |
restrict |
طريقة ألأعداد
طريقة أعداده كما بينت في بداية الموضوع في غاية السهولة وتتم عن طريق امرين فقط
Cisco's IOSSwitch# conf t
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
كما نرى تقوم أولا بتحديد البورت
وبعدها نحتار mode access لكي نخبر السويتش أن هذا البورت متصل مع end device أو جهاز كمبيوتر
عندما نقوم بتقعيل الـ Port Security فالحالة الطبيعية التى يتخذها السويتش كما اوضحت سابقا هي أغلاق السويتش بالاضافة السماح ليMac Address واحد كأقصى حد وبكلام آخر أول Mac Address سوف يتصل على البورت سوف يكون هو الوحيد القادر على الاتصال بالسويتش وهو يفيدنا في موضوع ردع هجوم الـ Mac Flooding في حالة لو أردنا ان نسمح لأكثر من ماك أدريس للأتصال بالسويتش نكتب الأمر التالي
Cisco's IOS
Switch(config-if)# switchport port-security maximum 3
وقد سمحت هنا بي 3 أجهزة للدخول الى السويتش من خلال هذا البورتولو في حال أردت أن أقوم بتحديد ماك أدريس معين هو الوحيد الذي يستطيع الدخول إلى السويتش أقوم بكتابة الأمر التالي
Cisco's IOS
Switch(config-if)# switchport port-security mac-address 00-11-22-33-44-55-66
ولو وجدت أن هذا الموضوع مرهق وطويل جدا تستطيع أن تضع مكان كل ماك أدريس كلمة Sticky وهي تخبر السويتش بتسجيل الماك أدريس المتصل حاليا على البورت كا Static Mac Address وصيغة الامر تكون
Cisco's IOS
Switch(config-if)# switchport port-security mac-address mac-address sticky
وآخيرا لتغيير ردة الفعل التى سوف يتأخذها السويتش في حال تم حدوث أي تجاوز نكتب الأمر التالي
Cisco's IOS
Switch(config-if)# switchport port-security mac-address violation ?
ونختار أحد الخيارات الثلاث الموضحة في الجدول السابق shutdown ,protect , restrict
ولأستعراض حالة البورتات على السويتش نقوم بكتابة الأمر التالي
Cisco's IOS
Switch#show port-security address
كما هو واضح من الصورة قمت بالسماح للـ Interface 0/1 بأن يقبل أكثر من ماك أدريس وهذا يفسر لنا وجود أثنان ماك أدريس في القائمة
والأمر التالي لأستعراض كل التفاصيل حول Interface معين
Cisco's IOS
Switch#show port-security interface fastethernet 0/1
Loading ...
ممتاز , البورت سيكوريتى واحد من المواضيع المهمه لدارسى منهج CCNA Security
قيم التعليق :
0 
0
this is the first time knowing that there are other modes then shutdown
thanks for the tip
قيم التعليق :
0 
0
يعطيك العافيه شرحك كامل ومفيد
قيم التعليق :
0 
0
اية الحلاوة والجمال دة كلة
جزاك الله خيرا ..
استمر ونريد المزيد والمزيد والمزيد…
واحيك على السلوبك السهل الرائع الممتع..
قيم التعليق :
0 
0
رائع جدا اخي الكريم على الشرح المتميز
ولكن على ما اعتقد البورت سكيورتي لا يعمل مع الباكيت تريسر
بالرغم من وجود الاوامر !!! اني مستغرب
قيم التعليق :
0 
0
يعمل أخي العزيز وبشكل جيد
وهو لايعمل على الجي أن اس 3
قيم التعليق :
0 
0
شكرا لك على الايضاح
اني مستغرب لان تمت التجربه اكثر من مره على الباكيست تريسر ولن تعمل
قمت يتنفيذ جميع الاوامر واتجاهل الامر switchport port-security
واتضح لي بعدها ان هذا الامر هو الذي يعمل enable للبورت سكيورتي اي بدون تطبيقه لا يعمل البورت سكيورتي
فعلاً انت مبدع بكل معنى الكلمة
قيم التعليق :
0 
0
يسلموا ايديك
قيم التعليق :
0 
0
فعلاً شرح ممتاز وواضح ما شاء الله يعطيك العافية
قيم التعليق :
0 
0
شكرا كتير على الموضوع المفيد
قيم التعليق :
0 
0
موضوع جميل و شرح اروع بارك الله فيك وزاد من امثالك
قيم التعليق :
0 
0
شرح أكثر من رائع استاذ أيمن , بارك الله فيك .
قيم التعليق :
0 
0
أولا اتقدم بخالص الشكر لكل العاملين ف هذا الموقع
ثانيا لي سؤال عن هذ ا الموضوع لأني مفعله عندي ومختار انه يعمل شت داون للبورت ومستخدم ستكي كومند وعامل ماكسمم واحد
بس عاوز لو حد ركب جهاز وعمل شت داون للبورت اقدر اعرف امته حصل هذا
يعني امته المستخدم ركب جهاز تاني علشان عندي ف الشغل نظام شفتات فمحتاج اني اقدر احدد الوقت ياريت حد يفدني لأني محتاج ده بسرعه جداااا
وشكرااا مع امنياتي بدوام النجاح
قيم التعليق :
0 
0
أستخدم الـ Log Message لأرسال تحذيرات عندما يتحول المنفذ إلى Shutdown
قيم التعليق :
0 
0
ممكن اعرف الطريقه بالتفصيل مع العلم ان السويتشات اللي عندي معظمها 2950
قيم التعليق :
0 
0
[...] ولشرح تفصيلى عن هذه الخاصية من مدونة المهندس أيمن النعيمي [...]
قيم التعليق :
0 
0
شكرا لك أيمن النعيمي في الحقيقة انا سورية وأحب كثيرا مجال الشبكات وطلعت الأولى على دفعتي بهاد الاختصاص وحاليا عم كمل فيه
قيم التعليق :
0 
0
عفوا منك استاذ أيمن بدي اسأل لدي في العمل مشكلة انو بدي حاول امنع المستخدمين من الفرمتة عن طريق البورت سيكيورتي
وأريد أن أسألك أليس هذا ممكنا أم أن البورت سيكيورتي فقط لتخصيص ماك معين عليها واذا كانت لايمكن أن امنع المستخدمين من الفرمتة عن طريق البورت سيكيورتي فما هي الطريقة اذن وشكرا لك
قيم التعليق :
0 
0
والله أول مرة بشوف سؤال مثل هذا ؟!!!!. ماعلاقة الفرمتة بالسويتش ؟ والبورت سكيورتي ؟ أكيد هذا الأمر مستحيل وغير متعلق بماتطلبيه . بالنسبة للطريقة أطرحي سؤالك في قسم الاسئلة والأجوبة وسوف نجيبك إن شاء الله .
قيم التعليق :
0 
0
جزاك الله خيرا المهندس أيمن على كل ما تقدمه .
استفساري أنا طبقت الأمر السابق لكن يأخذ أول mac-address يتصل به لكن قد يتغير الجهاز في الشبكة فما هو الحل مهندس أيمن
قيم التعليق :
0 
0