مباحث CCNP شیوه جلوگیری از حملات MAC Flooding برروی Switch
با مقالات آموزش سیسکو از بخش مباحث CCNP با موضوع شیوه جلوگیری از حملات MAC Flooding برروی Switch در خدمت شما دوستداران شبکه هستیم. در مقاله قبل درباره موضوع نحوه پیکربندی SSH به صورت CLI برروی Switch توضیحاتی داده شد.
در این پست عنوان هایی بعنوان شاخص مطالب در نظر گرفته شده است که به طور مختصر شامل: آشنایی با حملات MAC Address Flooding، افزایش امنیت سوئیچ در برابر حملات MAC Address Flooding، استفاده از ویژگی Port Security، قرار دادن
پورت های بدون استفاده در یک VLAN مجزا و … هستند. در صورت تمایل به مطالعه مطالب قبل و سایر مقاله ها خدمات شبکه می توانید به پیوند مشاهده سایر مقالات آموزش سیسکو به زبان فارسی مراجعه نمایید.
جلوگیری از حملات MAC Flooding
مباحث CCNP – شیوه جلوگیری از حملات MAC Flooding برروی Switch
هر سوئیچ دارای یک CAM Table یا همان MAC Table است که این جدول دارای ظرفیت خاصی میباشد و اگر ظرفیت این جدول پر شود و یا دچار مشکل شود سوئیچ خدمات شبکه کارایی خود را از دست خواهد داد و ترافیک هایی دریافتی را به صورت Brad Cast ارسال می کند و شبکه کاملا از کار خواهد افتاد.
هکر در حمله MAC Address Flooding شروع به ایجاد MACهای جعلی می نماید و مدام MACها را به سوئیچ اعلام می کند و سوئیچ نصب شبکه می پندارد که کامپیوتر هایی جدیدی در شبکه وجود دارند و MACهای جعلی را در جدول CAM خود ثبت میکند
و پس از مدتی جدول CAM کاملا پر می شود و کامپیوتر های واقعی دیگر قادر به ثبت کردن MAC خود در جدول سوئیچ نمیباشند.
بنابراین سوئیچ تمامی ترافیک های کامپیوتر های واقعی را به صورت Broad Cast ارسال میکند و شبکه دچار ازدحام وشلوغی خواهد شد و عملا انتقال اطلاعات غیر ممکن و شبکه Down میشود.
در حمله MAC Address Flooding هیچ کاربری متوجه این حمله نخواهد شد و در صورتی که هکر ارسال بسته های جعلی را به سمت نصب شبکه سوئیچ قطع کنید در مقطع زمانی کوتاهی کمتر از ۱۰ دقیقه MAC Addressهای جعلی از داخل جدول CAM سوئیچ پاک خواهند شد
و به جایی آنها آدرس های واقعی مربوط به کامپیوترها و تجهیزات متصل به سوئیچ ثبت خواهند شد.
برای افزایش امنیت سوئیچ در برابر حملات MAC Address Flooding چندین راه کار به شرح زیر وجود دارد.
استفاده از ویژگی Port Security
غیرفعال کردن پورت های بدون استفاده (Unused)
قرار دادن کلیه پورت های بدون استفاده در یک VLAN مجزا
استفاده از احراز هویت برروی پورت های سوئیچ
استفاده از ویژگی Port Security
به وسیله این ویژگی تنها کامپیوتر هایی که MAC ان ها را برروی سوئیچ از قبل تعریف کرده ایم امکان اتصال و ثبت MAC خود در CAM Table را دارند. در ادامه با انجام یک تمرین با چگونگی تنظیمات Port Security اشنا خواهید شد.
در این مثال نیاز است برای هر پورت از سوئیچ یکسری تنظیمات امنیتی را براساس موارد زیر اعمال کنیم.
۱-از طریق پورت Fa0/1 تنها یک سرور با آدرس ۰۲۰۰.۱۱۱۱.۱۱۱۱ بتواند به سوئیچ متصل شود.
۲-از طریق پورت Fa0/2 اولین سروری که متصل میشود بتواند با سوئیچ ارتباط برقرار کند.
۳-تنظیمات مربوط به پورت Fa0/3 به نحوی صورت بپذیرد تا حداکثر یک کلاینت بتواند متصل شود.
۴-از طریق پورت Fa0/4 حداکثر ۸ کلاینت بتواند با سوئیچ ارتباط برقرار کند و درصورتیکه تعداد کلاینتهای متصل شده به پورت از ۸ کلاینت بیشتر شد، پورت غیرفعال شود
پاسخ با نقل قول