مقدمات امنیت در سوئیچ های سیسکو

 مقدمات امنیت در سوئیچ های سیسکو

در بخش قبل در مورد تهدیداتی که از طریق افراد غیرخودی متوجه شبکه داخلی یک سازمان و راه های ایجاد امنیت در مقابل آن صحبت کردیم. اما اگر فرد دردسر ساز درون مجموعه شما باشد چطور؟
افراد و کامپیوترهای درون یک مجموعه کاربران مجاز برای استفاده از شبکه شما به حساب می آیند. تصور کنید، در سطح لایه۲ شبکه ، در یک شبکه داخلی هر یک از کاربران شبکه با یک نرم افزار Sniffer براحتی می توانند تمامی ترافیک مبادله شده بین دستگاه های شبکه را رهگیری و به ثبت جریان اطلاعات بپردازند. این کار می تواند اطلاعات حساس سازمانی شما را در اختیار کاربرانی قرار دهد که نباید به تمامی اطلاعات دسترسی داشته باشند.
یکی از بهترین راه کارها برای جلوگیری از این مسئله بخش بندی کردن شبکه به بخش های مجزا است، بطوری که هر بخش فقط به ترافیک دامنه فعالیت خود دسترسی داشته باشد. به این کار در اصطلاح VLANing شبکه گویند.
Virtual Local Area Network یا شبکه های مجازی محلی قابلیتی است که بوسیله آن شما می توانید یک شبکه LAN بزرگ را بدون تغییر در قسمت فیزیکی به بخش های کوچکتر و کاملا محدود تقسیم کنید. این کار علاوه بر کنترل دسترسی کاربران به بخش های مختلف ، ترافیک ناخواسته شبکه شما را نیز به مقدار زیادی کاهش دهد. VLAN در واقع دامنه انتشار ترافیک شبکه (Broadcast Domain) را کوچک می کند.

بخش دوم – VLANing & VTP

برای اینکه تصویر ذهنی بهتری از نحوه پیاده سازی VLANing در یک شبکه داشته باشید ، کلیه آموزش های این بخش را بر روی سناریوی یک شرکت فرضی که دیاگرام آن را در زیر می بینید اجرا می کنیم.

VLAN-Example

همانطور که مشاهده می کنید در این سناریو ۹ کلاینت در مجموعه های قرار دارند که بوسیله ۳ سوئیچ سیسکو با یکدیگر در ارتباطند.

در ابتدا باید بررسی کنید شبکه شما از چند مجموعه تشکیل شده و دامنه فعالیت هر کلاینت آن کجاست. اولین گام برای پیاده سازی VLAN تعیین و نام گذاری هر مجموعه است. در این مثال ۳ مجموعه شامل بخش مدیریت، مهندسی و حسابداری وجود دارد که به شکل زیر برای هر بخش یک VLAN در نظر می گیریم.

VLAN-Example2

همانطور که مشاهده می کنید ممکن است کلاینت های یک مجموعه همیشه در کنار هم نباشند. مثلا در تصویر بالا می بینید که سیستم مدیر حسابداری در اتاق مدیران قرار دارد، ولی بر اساس نیاز ما باید در VLAN حسابداران قرار بگیرد تا به داده های آن بخش دسترسی داشته باشد.

برای شروع به سراغ سوئیچ Main می رویم که تقریبا مرکز این شبکه می باشد و سوئیچ های دیگر شبکه به آن متصل می باشند.
مجموعه دستورات زیر برای ایحاد VLAN ها و تعاریف مورد نیاز بر روی سوئیچ Main می باشد:

۱
۲
۳
۴
۵
۶
۷
۸
۹
۱۰
۱۱
۱۲
۱۳
۱۴
۱۵
۱۶
۱۷
۱۸
۱۹
۲۰
۲۱
۱.  Switch> enable
۲.  Switch# configure terminal
۳.  Switch(config)# hostname  MainSwitch
۴.  MainSwitch (config)# vlan 10
۵.  MainSwitch (config -vlan)# name Manager
۶.  MainSwitch (config -vlan)# exit
۷.  MainSwitch (config)# vlan 20
۸.  MainSwitch (config -vlan)# name Accounting
۹.  MainSwitch (config -vlan)# exit
۱۰. MainSwitch (config)# vlan 30
۱۱. MainSwitch (config -vlan)# name Enginners
۱۲. MainSwitch (config -vlan)# exit
۱۳. MainSwitch (config)# interface range fastEthernet 0/1 ۳
۱۴. MainSwitch (config -if-range)# switchport mode access
۱۵. MainSwitch (config -if-range)# switchport access vlan 30
۱۶. MainSwitch (config -if-range)# exit
۱۷. MainSwitch (config)# interface range gigabitEthernet 1/1 ۲
۱۸. MainSwitch (config -if-range)# switchport mode trunk
۱۹. MainSwitch (config -if-range)# exit
۲۰. MainSwitch (config)# exit
۲۱. MainSwitch# write

سوئیچ Main از یک طرف به صورت مستقیم با سیستم های مجموعه مهندسین و از طرف دیگر به دو سوئیچ متصل است، به همین جهت درگاه های گیگابیت ۱ و ۲ سوئیچ را در حالت trunk قرار می دهیم.
دقت کنید در VLaning اگر شبکه شما بیش از یک سوئیچ داشته باشد باید VLan ها در همه سوئیچ ها تعریف شوند. از طرفی اگر شما یک شبکه بزرگ با تعداد زیادی کلاینت و سوئیچ های شبکه باشد، فرایند تعریف VLan ها در همه سوئیچ ها می تواند بسیار زمان بر و خسته کننده شود.
برای حل این معضل سیسکو پروتکلی به نام VTP را ابداع کرد. با فعال سازی و تعریف این پروتکل VLan ها بصورت خودکار در شبکه به تمام سوئیچ هایی که تنظیمات VTP مورد نیاز جهت دریافت VLan در آنها انجام شده باشد ارسال خواهد شد. سوئیچ های یک شبکه در تعاریف VTP می توانند در سه وضعیت client ، server و یا transparent قرار گیرند.
سوئیچی که حالت VTP آن در وضعیت server باشد هم قابلیت تغییر در VLan ها را دارا می باشد و هم ارسال کننده و دریافت کننده تنضیمات VLan می باشد. در حالت client سوئیچ قابلیت ارسال و دریافت به سوئیچ های دیگر را دارا می باشد اما خود قابلیت دخل و تصرف در VLan ها را ندارد.
سوئیچ transparent به نوعی یک واحد خود مختار است، به این معنی که VLan های سوئیچ های دیگر را از خود عبور داده و در شبکه منتشر می کند ولی تنظیمات خود را تغییر نمی دهد. این سوئیچ همچنین قابلیت ویرایش VLan های خود را به صورت مجزا از شبکه دارا می باشد.
در سناریو شبکه این مقاله ، سوئیچ Main را در حالت server و دو سوئیچ دیگر را در حالت client قرار می دهیم.

  • نکته ۱ : سوئیچ های سیسکو بصورت پیش فرض در وضعیت server می باشند.

مجموعه دستورات زیر تعاریف مورد نیاز VTP بر روی سوئیچ Main می باشد:

۱
۲
۳
۴
۵
۶
۷
۸
۲۲. MainSwitch > enable
۲۳. MainSwitch # configure terminal
۲۴. MainSwitch(config)# vtp mode server
۲۵. MainSwitch(config)# vtp version 2
۲۶. MainSwitch(config)# vtp domain mynetwork.com
۲۷. MainSwitch(config)# vtp password mypass
۲۸. MainSwitch(config)# exit
۲۹. MainSwitch# write

در دستورات بالا ، خط ۲۴ برای این سوئیچ اختیاری می باشد ، به دلیل اینکه سوئیچ بصورت پیش فرض در وضعیت server قرار گرفته است، ولی برای اطمینان بیشتر وارد کردن آن ضرری ندارد.
VTP دارای دو نسخه (۱و ۲) می باشد، انتخاب آن بسته به نیاز و نوع سوئیچ های شما در شبکه می باشد. بهتر است همیشه از بالاترین نسخه استفاده کنید، اما در بعضی سوئیچ های قدیمی ممکن است پشتیبانی نشود.

  • نکته ۲ : mynetwork.com و mypass برای این سناریو می باشند و شما می توانید هر نام و رمز عبوری که خود می خواهید به دلخواه و نیاز شبکه خود انتخاب نمایید، فقط دقت کنید این تعاریف در تمام بخش های شبکه باید یکسان باشد.

بعد از تعریف VLan ها و تنظیم VTP در سوئیچ Main حال فقط کافیست در سوئیچ های مجموعه حسابداری و مدیریت سرویس VTP را تنظیم کنیم تا تعاریف مربوط به VLan ها بصورت خودکار به این سوئیچ ها نیز منتقل شود.
مجموعه دستورات زیر تعاریف مورد نیاز VTP بر روی سوئیچ های Accounting و Manager می باشد:

۱
۲
۳
۴
۵
۶
۷
۸
۳۰. Manager> enable
۳۱. Manager# configure terminal
۳۲. Manager(config)# vtp version 2
۳۳. Manager(config)# vtp mode client
۳۴. Manager(config)# vtp domain mynetwork.com
۳۵. Manager(config)# vtp password mypass
۳۶. Manager(config)# exit
۳۷. Manager# write

۱
۲
۳
۴
۵
۶
۷
۸
۳۸. AccSwitch>enable
۳۹. AccSwitch# configure terminal
۴۰. AccSwitch(config)#vtp version 2
۴۱. AccSwitch(config)#vtp mode client
۴۲. AccSwitch(config)#vtp domain mynetwork.com
۴۳. AccSwitch(config)#vtp password mypass
۴۴. AccSwitch(config)#exit
۴۵. AccSwitch# write

بعد از تنظیم VTP بر روی سوئیچ ها با وارد کردن دستور show vlan می توانید مشاهده کنید که تعاریف VLan به صورت خودکار به این سوئیچ ها منتقل شده است:

۱
۲
۳
۴
۵
۶
۷
۸
۹
۱۰
۱۱
۱۲
۱۳
۱۴
۱۵
۱۶
۱۷
۱۸
۱۹
۴۶. AccSwitch# show vlan
VLAN Name                          Status    Ports
---- ---------------------------- --------- -------------------------------
۱    default                         active      Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5,     Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9,     Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13,   Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17,   Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21,   Fa0/22, Fa0/23, Fa0/24
                                                Gig1/2
۱۰   Manager                            active   
۲۰   Accounting                         active   
۳۰   Enginners                          active
۱۰۰۲ fddi-default                       act/unsup
۱۰۰۳ token-ring-default                 act/unsup
۱۰۰۴ fddinet-default                    act/unsup
۱۰۰۵ trnet-default                      act/unsup   
--More--

همانطور که می بینید VLan های ۱۰ و ۲۰ و ۳۰ به صورت خودکار به این سوئیچ منتقل شده اند.
بعد از تعریف VLan ها تنها کار باقی مانده عضو کردن هر درگاه به VLan مربوط به خود است.
مجموعه دستورات زیر تعاریف مورد نیاز بر روی سوئیچ های Accounting و Manager می باشد:

۱
۲
۳
۴
۵
۶
۷
۸
۹
۱۰
۴۷. AccSwitch>enable
۴۸. AccSwitch# configure terminal
۴۹. AccSwitch(config)# interface range fastEthernet 0/1 - 3
۵۰. AccSwitch(config-if-range)# switchport mode access
۵۱. AccSwitch(config-if-range)# switchport access vlan 20
۵۲. AccSwitch(config-if-range)# exit
۵۳. AccSwitch(config)# interface gigabitEthernet 1/1
۵۴. AccSwitch(config-if)# switchport mode trunk
۵۵. AccSwitch(config-if)# end
۵۶. AccSwitch# write

۱

۲

۳

۴

۵

۶

۷

۸

۹

۱۰

۱۱

۱۲

۱۳

۱۴

۱۵

۱۶

۱۷

۱۸

۱۹

۲۰

۲۱

۲۲

۲۳

۲۴

۲۵

۲۶

۲۷

۲۸

۲۹

۳۰

۳۱

۳۲

۳۳

۳۴

۳۵

۳۶

۳۷

۳۸

۳۹

۴۰

۴۱

۴۲

۴۳

۴۴

۴۵

Manager> enable

۵۸. Manager# configure terminal

۵۹. Manager(config)# interface range fastEthernet 0/1 - 2

۶۰. Manager(config-if-range)# switchport mode access

۶۱. Manager(config-if-range)# switchport access vlan 10

۶۲. Manager(config-if-range)# exit

۶۳. Manager(config)# interface range fastEthernet 0/3

۶۴. Manager(config-if)# switchport mode access

۶۵. Manager(config-if)# switchport access vlan 20

۶۶. Manager(config-if)# exit

۶۷. Manager(config)# interface gigabitEthernet 1/1

۶۸. Manager(config-if)# switchport mode trunk

۶۹. Manager(config-if)# end

۷۰. Manager# write

۷۱. Manager# show vlan

VLAN Name                        Status    Ports

---- --------------------------- --------- -------------------------------

۱    default                    active    Fa0/4, Fa0/5, Fa0/6, Fa0/7

                                             Fa0/8,   Fa0/9, Fa0/10, Fa0/11

                                             Fa0/12, Fa0/13, Fa0/14, Fa0/15

                                             Fa0/16, Fa0/17, Fa0/18, Fa0/19

                                             Fa0/20, Fa0/21, Fa0/22, Fa0/23

                                             Fa0/24, Gig1/2

۱۰   Manager                       active    Fa0/1, Fa0/2

۲۰   Accounting                    active    Fa0/3

۳۰   Enginners                     active   

۱۰۰۲ fddi-default                  act/unsup

۱۰۰۳ token-ring-default            act/unsup

۱۰۰۴ fddinet-default               act/unsup

۱۰۰۵ trnet-default                 act/unsup

--More--

۷۲. Manager# show vtp status

VTP Version              : ۲

Configuration Revision           : ۰

Maximum VLANs supported locally      : ۲۵۵

Number of existing VLANs             : ۸

VTP Operating Mode               : Client

VTP Domain Name                  : mynetwork.com

VTP Pruning Mode                 : Disabled

VTP V2 Mode                      : Enabled

VTP Traps Generation             : Disabled

MD5 digest                       : ۰xA6 0x9C 0xEF 0x9A 0xF1 0x29 0xBC 0x5A

Configuration last modified by 0.0.0.0 at 3-1-93 00:45:51

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید