جلو گیری از حملات MAC Address Floodingبر روی سویچ
با عرض درود
یکی از حملاتی که معمولا" برای فشار آوردن به محصولات سیسکو و همچنین ظبط ترافیک موجود درون شبکه استفاده میشه حملاتی به اسم MAC Address Flooding است
با این نوع حمله هکر میاد با ارسال مکرر MAC Address های جعلی جدول "CAM" مربوط به سویچ را اشغال کرده و ظرفیت این جدول تکمیل خواهد شد و به علت پر شدن ظرفیت جدول C A M سویچ
MAC Address های مربوط به کامیپوترهای متصل به سویچ در این جدول ثبت نخواهد شد و در این حالت هر ترافیکی که به سمت سویچ ارسال میشود به همه ی پورت ها و از جمله پورت متصل به
کامپیوتر هکر بصورت BroadCast ارسال خواهد شد .
و این کار هم کارایی سویچ رو پایین میاره و همچنین هکر به راحتی تمام بسته های اطلاعاتی رو ظبط خواهد کرد .
خب حالا برای افزایش امنیت سویچ در مقابل MAC Address Flooding چند راه وجود خواهد داشت
1.استفاده از توانمندی Port Security
2.غیر فعال کردن پورت های Unsed (پورت هایی که از آن ها استفاده ای نمیشود)
3.استفاده از احراز حویت بر روی سویچ های مورد نظر
و...
من میخوام با استفاده از Port Security تا جای ممکن جلوی این حمله رو بگیرم
حالا Port Security به دو روش استفاده میشه
1. Static Port-Security
2.Dynamic Port-Security
که هر دو روش رو در دو پست خواهم گفت
Static Port-Security :
حال با فعال کردن توانمندی Port - Sec بصورت Static بر روی پورت سویچ پورت قادر به برقراری ارتباط با کامپیوتر و تجهیزاتی میشه که MAC Address آن در پیکربندی Port Sec بصورت Static کانفیگ شده شده باشد من در این مثال مثلا" برای FastEthernet 0/1 این کار رو آنجام میدم و اگر هر کامپیوتر دیگری بخواد دسترسی داشته باشه FastEthernet 0/1 غیر فعال یاShut Down خواهد شد
شبکه ی ما به این شکل است:
http://www.uploadup.com/di-X2Z0.jpg
بسیار خوب PC0 همونFastEthernet0/1 هست که دسترسی داره و مثلا" اون کامپیوتر با عنوان هکر که من قرمز کردم دسترسی نداره
و در تصویر زیر مراحل کانفیگ رو خواهیم دید
کامند
switchport port-sec violation restrict
در صورت تخلف امنیتی مانند اتصال کامپیوتر غیر مجاز به F0/1 این اینترفیس بصورت فال خواهد ماند اما مانع از عبور بسته های مربوط به کامپیوتر غیر
مجاز خواهد شد و در این حال هشدار امنیتی داده میشود.
حال اگر بخواهیم که هشدار امنیتی داده نشود این کامند هم استفاده میتوان کرد:
" switchport port-sec violation protect "
