الرئيسية » Cisco » الـ Port Security أعداده وأهميته في رد هجوم الـ MAC flooding

الـ Port Security أعداده وأهميته في رد هجوم الـ MAC flooding

كما وعدتكم سابقا عند أفتتاح قسم الـSecurity  بأنني سوف أحاول أن أغطي كل مواضيع الأمن التى يجب أعدادها على الشبكة لكي نخفض من نسبة القرصنة التي ممكن أن تحدث على الشبكة وأرجو منك أن تدقق على كلمة تخفيض لان النظرية العامة تقول لايوجد جهاز أمني خالي من الثغرات مهم كانت قوته  وموضوعنا اليوم أعداده بسيط لكنه من أول وأهم الخطوات التى يجب أعداده على الشبكة وهو الـPort Security وأهميته في رد هجوم الـ MAC flooding

ماهو الـ Port Security  ?
هو وضعية نقوم بأعداده على كل Interface  تهدف لتحديد أجهزة الكمبيوتر التى يسمح لها بالأتصال من خلال هذا الـInterface  وتتم العملية عن طريق ربط الـInterface  بالـ Mac Address الخاص بكل جهاز كمبيوتر لديه الصلاحية للدخول على الشبكة وبهذه الطريقة نكون قد منعنا الأجهزة الدخيلة من المحاولة بالأتصال بالشبكة من خلال شبك الكمبيوتر بأحد مخارج السويتش كما يمكننا ردع هجوم مايعرف بي mac flood من خلال تحديد عدد الأجهزة المتصلة بالـ Interface في حال لو كان عندنا hub مثلا
ماذا سوف يحدث في حال محاولة أحد الاشخاص الولوج إلى الشبكة

للـ Port Security  ثلاث وضعيات يمكن أن يتخذها في حال تم شبك ماك ادريس لجهاز كمبيوتر غير مصرح به للدخول إلى الشبكة والحالات هي كالتالي

Description

Mode

في هذه الحالة سوف يقوم السويتش بأغلاق المنفذ بشكل مباشر وهذه  الوضعية تعد الـ Default للـ Port Security

shutdown

في هذه الحالة يقوم السوتش بعمل Drop لكل الترافيك القادم من الماك أدريس الغير مصرح به مع أبقاء المنفذ مفتوح للأجهزة المصرحة بها

protect

نفس الحالة السابقة لكن هنا يقوم السويتش بأحصاء كل الباكيت التى قام بعمل drop لها

restrict

طريقة ألأعداد
طريقة أعداده كما بينت في بداية الموضوع في غاية السهولة وتتم عن طريق امرين فقط

Cisco's IOS
Switch# conf t
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security

كما نرى تقوم أولا بتحديد البورت
وبعدها نحتار mode access لكي نخبر السويتش أن هذا البورت متصل مع end device  أو جهاز كمبيوتر
عندما نقوم بتقعيل الـ Port Security فالحالة الطبيعية التى يتخذها السويتش كما اوضحت سابقا هي أغلاق السويتش بالاضافة السماح لي Mac Address واحد كأقصى حد وبكلام آخر أول Mac Address سوف يتصل على البورت سوف يكون هو الوحيد القادر على الاتصال بالسويتش وهو يفيدنا في موضوع ردع هجوم الـ Mac Flooding في حالة لو أردنا ان نسمح لأكثر من ماك أدريس للأتصال بالسويتش نكتب الأمر التالي

Cisco's IOS
Switch(config-if)# switchport port-security maximum 3

وقد سمحت هنا بي 3 أجهزة للدخول الى السويتش من خلال هذا البورتولو في حال أردت أن أقوم بتحديد ماك أدريس معين هو الوحيد الذي يستطيع الدخول إلى السويتش أقوم بكتابة الأمر التالي

Cisco's IOS
Switch(config-if)# switchport port-security mac-address 00-11-22-33-44-55-66

ولو وجدت أن هذا الموضوع مرهق وطويل جدا تستطيع أن تضع مكان كل ماك أدريس كلمة Sticky وهي تخبر السويتش بتسجيل الماك أدريس المتصل حاليا على البورت كا Static Mac Address وصيغة الامر تكون

Cisco's IOS
Switch(config-if)# switchport port-security mac-address mac-address sticky

وآخيرا لتغيير ردة الفعل التى سوف يتأخذها السويتش في حال تم حدوث أي تجاوز نكتب الأمر التالي

Cisco's IOS
Switch(config-if)# switchport port-security mac-address violation ?

ونختار أحد الخيارات الثلاث الموضحة في الجدول السابق shutdown ,protect , restrict

ولأستعراض حالة البورتات على السويتش نقوم بكتابة الأمر التالي

Cisco's IOS
Switch#show port-security address

كما هو واضح من الصورة قمت بالسماح للـ Interface 0/1 بأن يقبل أكثر من ماك أدريس وهذا يفسر لنا وجود أثنان ماك أدريس في القائمة

والأمر التالي لأستعراض كل التفاصيل حول Interface معين

Cisco's IOS
Switch#show port-security interface fastethernet 0/1

هذا كل مالدي اليوم وأتوقع أني قمت بتغطية الموضوع بشكل كامل وكلمة آخيرة وهي أن لاتستخف بهذا الموضوع لان الـ Port Security مهم جدا ويحب أن يكون أول شيء تقوم بأعداده على الشبكة ودمتم بود

Print Friendly, PDF & Email

عن Ayman Alnaimi أيمن النعيمي

مهندس كمبيوتر سوري ومقيم حاليا في قطر , باحث ومطور للمحتوى العربي على الأنترنت, أهدف إلى رفع مستوى الأمة العربية ومساعدتها في النهضة العلمية, أغلب أهتماماتي في الشبكات وتحديدا الهاردوير منها وأقضى معظم وقتي في القراءة والدراسة والعمل وأؤمن بأن الثورة لو كانت لتكون فهي تبدأ بالقراءة ويليها الكتابة وبدون الآخيرة لن يكون هناك ثورة. للتواصل admin@networkset.net & networkset@hotmail.com

25 تعليق

  1. ممتاز , البورت سيكوريتى واحد من المواضيع المهمه لدارسى منهج CCNA Security

  2. this is the first time knowing that there are other modes then shutdown

    thanks for the tip

  3. جعفر الكثيري

    يعطيك العافيه شرحك كامل ومفيد

  4. اية الحلاوة والجمال دة كلة

    جزاك الله خيرا ..

    استمر ونريد المزيد والمزيد والمزيد…

    واحيك على السلوبك السهل الرائع الممتع..

  5. رائع جدا اخي الكريم على الشرح المتميز

    ولكن على ما اعتقد البورت سكيورتي لا يعمل مع الباكيت تريسر
    بالرغم من وجود الاوامر !!! اني مستغرب

  6. يعمل أخي العزيز وبشكل جيد
    وهو لايعمل على الجي أن اس 3

  7. شكرا لك على الايضاح
    اني مستغرب لان تمت التجربه اكثر من مره على الباكيست تريسر ولن تعمل
    قمت يتنفيذ جميع الاوامر واتجاهل الامر switchport port-security
    واتضح لي بعدها ان هذا الامر هو الذي يعمل enable للبورت سكيورتي اي بدون تطبيقه لا يعمل البورت سكيورتي
    فعلاً انت مبدع بكل معنى الكلمة

  8. يسلموا ايديك

  9. فعلاً شرح ممتاز وواضح ما شاء الله يعطيك العافية

  10. شكرا كتير على الموضوع المفيد

  11. موضوع جميل و شرح اروع بارك الله فيك وزاد من امثالك

  12. شرح أكثر من رائع استاذ أيمن , بارك الله فيك .

  13. أولا اتقدم بخالص الشكر لكل العاملين ف هذا الموقع
    ثانيا لي سؤال عن هذ ا الموضوع لأني مفعله عندي ومختار انه يعمل شت داون للبورت ومستخدم ستكي كومند وعامل ماكسمم واحد
    بس عاوز لو حد ركب جهاز وعمل شت داون للبورت اقدر اعرف امته حصل هذا
    يعني امته المستخدم ركب جهاز تاني علشان عندي ف الشغل نظام شفتات فمحتاج اني اقدر احدد الوقت ياريت حد يفدني لأني محتاج ده بسرعه جداااا

    وشكرااا مع امنياتي بدوام النجاح

  14. أستخدم الـ Log Message لأرسال تحذيرات عندما يتحول المنفذ إلى Shutdown

  15. ممكن اعرف الطريقه بالتفصيل مع العلم ان السويتشات اللي عندي معظمها 2950

  16. شكرا لك أيمن النعيمي في الحقيقة انا سورية وأحب كثيرا مجال الشبكات وطلعت الأولى على دفعتي بهاد الاختصاص وحاليا عم كمل فيه

  17. عفوا منك استاذ أيمن بدي اسأل لدي في العمل مشكلة انو بدي حاول امنع المستخدمين من الفرمتة عن طريق البورت سيكيورتي
    وأريد أن أسألك أليس هذا ممكنا أم أن البورت سيكيورتي فقط لتخصيص ماك معين عليها واذا كانت لايمكن أن امنع المستخدمين من الفرمتة عن طريق البورت سيكيورتي فما هي الطريقة اذن وشكرا لك

  18. والله أول مرة بشوف سؤال مثل هذا ؟!!!!. ماعلاقة الفرمتة بالسويتش ؟ والبورت سكيورتي ؟ أكيد هذا الأمر مستحيل وغير متعلق بماتطلبيه . بالنسبة للطريقة أطرحي سؤالك في قسم الاسئلة والأجوبة وسوف نجيبك إن شاء الله .

  19. جزاك الله خيرا المهندس أيمن على كل ما تقدمه .

    استفساري أنا طبقت الأمر السابق لكن يأخذ أول mac-address يتصل به لكن قد يتغير الجهاز في الشبكة فما هو الحل مهندس أيمن

  20. جزاك الله عنا كل خير …وبارك الله فيك وفي علمك …

  21. شكراً جزيلاً لكم على مواضيعكم الأكثر من رائعة : )

  22. شكرا ً لك على المعلومات القيمة والرائعة

أضف رد على Ayman Alnaimi أيمن النعيمي إلغاء الرد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*

x

‎قد يُعجبك أيضاً

حل مشكلة error 27850 عند تنصيب Cisco VPN Client

مقال سريع لتوثيق مشكلة صادفتني وقمت بحلها بخطوتان وهي تنصيب برنامج سيسكو الخاص بالـ VPN ...

حل مشكلة الشاشة البيضاء في برنامج Cisco configuration Professional

كما هو معلوم لدى خبراء سيسكو أن الآخيرة أتاحت عدة أدوات مساعدة للقيام بعملية الأعدادت ...

مقارنة بين أنظمة سيسكو IOS و IOS-XR و IOS-XE و NX-OS

في هذا المقال سوف نتعرف سوياً على جميع الأنظمة التشغيلية التى قامت سيسكو بتطويرها وهي ...