Eth-SW# show port-security addressدوره آموزشی CCNP Security | دوره آموزش CCNP رایگان | گام به گام
دوره آموزشی CCNP Security | آموزش CCNP Security | دوره SENSS | دوره آموزشی CCNP امنیت | همه اینها کلیدواژه های یادگیری این دوره آموزشی رایگان متنی CCNP Security است. هر چند که در این مقاله بصورت مفصل در خصوص دوره امنیت سیسکو صحبت خواهیم کرد ، اما اگر هدف شما یادگیری دوره آموزشی CCNP SP یا Service Provider است ، یا به دنبال یادگیری دوره آموزشی CCNP Enterprise هستید و یا در نهایت به دنبال یادگیری دوره آموزشی CCNP ENARSI هستید ، پیشنهاد می کنیم به لینک های زیر سری بزنید ::
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
- دوره آموزش CCNP Security قسمت ۱: مقدمات دوره CCNP Security
- دوره آموزشی CCNP Security قسمت 2 : آموزش Port Security
- دوره آموزش CCNP Security قسمت 3: آموزش Storm Control
- دوره آموزش CCNP Security قسمت 4: آموزش راه اندازی DAI
- دوره آموزش CCNP Security قسمت 5: آموزش راه اندازی MACSec
- دوره آموزش CCNP Security قسمت 6: آموزش راه اندازی uRPF
- دوره آموزش CCNP Security قسمت ۸: آموزش راه اندازی Root Guard
- دوره آموزش CCNP Security قسمت 9: آموزش راه اندازی NAT
- کاملترین دوره آموزش CCNP SPCOR صفر تا صد پشتیبانی + گواهینامه ( مهندس تنگسیری )
- دوره آموزشی CCNP ENCOR | دوره CCNP Enterprise + گواهینامه ( مهندس رمضانی )
- کاملترین دوره آموزش CCNP ENARSI صفر تا صد + گواهینامه و پشتیبانی ( مهندس تنگسیری )
- دوره آموزش CCNP Security | SNCF کاملا رایگان | دوره CCNP Security ( مهندس مردان )
دوره آموزش CCNP Security قسمت ۱: مقدمات دوره CCNP Security
امنیت یک موضوع بسیار گسترده می باشد و ما منبابه طراحی شبکه چه شبکه های بی سیم و چه شبکه های سیمی می بایست مباحث امنیتی در آنها را هم نیز رعایت کرده و پیش ببریم. از این رو امنیت شبکه مباحث مختلف، روش ها و زمینههای مختلفی نیز به همراه دارند.
این امر به ویژه برای افرادی که در زمینه امنیت شبکه می باشند بیشتر صدق می کند در این دوره ما به بررسی مباحث جلوگیری از حملات درون شبکه های سیسکویی می پردازیم.با انواع حملات درون شبکه و جلوگیری از آنها در شبکه خود و نحوه Protected کردن شبکه خود اشنا می شویم و به صورت عملی پیش میبریم دوره CCNP Security SENSS جزوه دوره های سطح پیشرفته شرکت سیسکو به منظور EndPoint Security میباشد
پیشنیاز دوره آموزشی CCNP Security چیست؟
پیش نیاز این دوره گذراندن دوره CCNA Security و یا حداقلش CCNP & CCIE Security CORE یا همان SCOR می باشد میباشد
- نکته: بنده این دوره را طبق سرفصل های بین المللی خوده سیسکو در رابطه با CCNP Security SENSS پیش می برم و امیدوارم تا پایان دوره باهم همراه باشیم
دوره آموزشی CCNP Security قسمت 2 : آموزش Port Security
اولین مبحث از Theat Defence در CCNP SENSS مبحث و قابلیت Port Security در سیسکو می باشد
- به زبان ساده به دفاع دربرابر حملات مختلف و Protected کردن محیط شبکه خود دربرابر تحدیدات و حملات احتمالی که ممکن است رخ دهد Theat Defence گفته میشود
قابلیت Port Security یکی از بهترین و بااهمیت ترین قابلیت های امنیتی Layer-2 در شبکه های سیسکو می باشد زیرا این قابلیت به متخصصین امنیت و مدیران شبکه این امکان را می دهد که به محدود سازی اتصال Mac Address بر روی یک پورت را تنظیم کنند تا که در هر پورت فقد یک Mac Address امکان استفاده داشته باشد درصورت تخلف و گذشتن از Maximum و یا نقض Policy که برایش تعیین شده باشد آن Port بسته شود.قابلیت Port Security به سه حالت پیکربندی می شود که عبارتند از:
- Dynamic: در این حالت Mac Address های که از پورت هارا یادبگیرد بر روی آن Port اعمال می کند به این منظور که هر پورت فقد با Mac Address که از اول داشته امکان استفاده از پورت را دارد
- Static: در این حالت ما به صورت دستی فرایند Port Security را پیاده سازی می کنیم که By-Default در این حالت هستیم
- Sticky: در این حالت Mac Address های یادگرفته شده توسط سوییچ را بر روی آن پورت ها اعمال و آن پورت هارا فقد با آن Mac Address ها میشناسد با این تفاوت که محدودیت های دارد
CAM Table چیست؟
قايدتا با جدل CAM آشنایی دارید ولی نگاهی کلی بر روی آن میندازیم, همانطور که روترها اطلاعات مسیریابی لینک های خود در یک Routing Table قرار می دهند، سوییچ ها هم نیز جدوالی تحت عنوان CAM مخفف Content Addressable Memory دارند که اطلاعات Mac Address هر پورت را در آن ذخیره می کند و توانایی مسیریابی و ارسال و دریافت بسته هارا پیدا می کنند در گذشته در تجهیزات قدیمی مانند Hub اگر یک کامپیوتر قرار باشد بسته ایی را به سمت یک کامپیوتر دیگر درون شبکه ارسال کند، آن بسته در کل شبکه Broadcast میشد و از این رو هرعکس میتوانست بسته های بین شمارا Sniff ویا شنود کند. در تکنولوژی های مدرن تر مانند سوییچ این جدول به منظور جلوگیری از Broadcast ایجاد شد
سوییچ وقتی روشن می شود جدول CAM آن خالی می باشد وقتی پیغامی به آن ارسال می شود ابتدا پیغام را برای همه لینک های خودش به صورت Broadcast ارسال می کند و درصورت کشف آن Mac Address آنرا در جدول CAM خودش قرار می دهد از این طریق Mac Address رابط های خود را یاد میگیرد
حمله CAM Table OverFlow چگونه انجام می شود؟
حمله ایی تحت عنوان CAM Table OverFlow با ارسال Mac address های جعلی به یک پورت سوییچ موجب پر شدن CAM table آن سوییچ می شود و سوییچ زمانی که CAM table آن پر شود رفتاری شبیه به Hub را به خود میگیرد و شروع به broadcast کردن Packet های دریافتی از پورت ها میشود و فرد مهاجم موفق به پیاده سازی حمله MITM و استراق سمع در شبکه میشود.
- حمله MITM: مخفف Man In The Middle یا حمله مرد در میانه, به طور خلاصه این حمله به این صورت است که فرد مهاجم در وسط یک ارتباط قرار می گیرد و توانایی دریافت بسته های ردوبدل شده بین دو طرف را دارد.
نحوه پیاده سازی حمله CAM Table Overflow چگونه است؟
شما از طریق ابزار macof میوانید این حمله را پیاده سازی کنید نمونه حمله:
macof -i eth0 -n 5
در دسنور بالا با سوییچ -i رابط خود را وارد کردیم و با سوییچ -n مقدار زمان ارسال هر بسته
آموزش جلوگیری از حمله CAM Table OverFlow
نحوه جلوگیری از این حمله را به صورت یک سناریو خیلی خوب و قابل فهم پیش میبریم. به این صورت است ما قصد داریم روی پورت Ethernet 0/0 سوییچ خود که به کامپیوتر A وصل می باشد تعداد Mac Address های مجاز ارسال شده از سمت آنرا فقد روی 2 عدد قرار بدیم و بیشتر از این عدد Mac Address از سمت این پورت آمد این پورت به عنوان یک پورت غیرمجاز شناخته شود و واکنش مورد نظر یروی اون اعمال شود(برای مثال درحالت Drop All Packet قرار بگیرد یا Shutdown شود)
ما قصد داریم بر روی پورت Ethernet 0/1 سوییچ که به کامپیوتر Attacker و یا فرد مهاجم ما متصل می باشد یک Port Security مبنی بر محدودیت معرفی شدن فقد دو Mac Address از این پورت را قرار دهیم
Eth-SW#:configure terminal
Eth-SW(config):interface Ethernet 0/1
Eth-SW(config-if):switchport port-security maximum 2در کانفینگ بالا در سوییچ خود به پورت Ethernet 0/1 رفتیم، با استفاده از Port Security تعداد Mac address های که مجاز به وارد شدن از این پورت به سوییچ هستند فقط دوتا قرار دادیم و بیشتر از این مقدار حق آمدن Mac Address از این پورت وجود ندارد
- نکته: این تعداد از 1 تا 4097 قابل افزایش است
بررسی Port Security Violation در Port Security
از این قسمت شما توانایی تعیین واکنش سوییچ نسبت به رابط غیرمجاز خود را دارید. نحوه فعال سازی آن:
switchport port-security violation { protect | restrict | shutdown }بررسی انواع واکنش های آن:
- Protect: درصورت نقض قوانین و Policy ها بسته های که به سمتش می آید را Drop می کند ولی لاگ آن را ذخیره نمیکند
- Restrict: درصورت نقض قوانین و Policy ها بسته های که به سمتش می آید را Drop می کند ولی ولی لاگ آن را ذخیره نمیکند
- Shutdown: درصورت نقض قوانین و Policy ها پورت را Shutdown می کند
دستور Verification قابلیت Port-Security:
دوره آموزش CCNP Security قسمت 3: آموزش Storm Control
در ادامه مباحث Theat Defence میرسیم به قابلیت Storm Control. در واقع Storm Control وظیفه جلوگیری از ارسال زیاد ترافیک های زیاد ( Storm Traffic ) که به طوفان ترافیک نیز معروف هستند را دارد در شبکه طوفان ترافیک یا ارسال ترافیک های جعلی ( Bogus Traffic ) موجب اختلالاتی در شبکه می شود و گاهی موجب Down شدن یک شبکه و به هم ریختن اتصالات شود. این ویژگی توانایی جلوگیری از Traffic Flooding به صورت Multicast و Unicast و Broadcast در پورت ها را دارد. دلایل بسیاری به منظور Storm Traffic و یا همان طوفان ترافیک در شبکه وجود دارد که عبارتند از:
- DDOS/DOS Attack: حمله ایی به منظور ارسال Traffic Bogus به منظور ایجاد مزاحمت و آسیب زدن به سمت یک سرور/وب سرور/روتر/سوییچ و هر تجهیز و دیوایس دیگری که در خیلی مواقع موجب down شدن و انجام برخی حملات و کارای مختلف بر روی آن تجهیز میشود. گاهی این حمله زمانی توسط فرد مهاجم انجام می شود که فرایند نفوذ و هرکاری که مد نظر فرد مهاجم بوده انجام شده است و از این رو می خواهد ردپای خود را کم رنگ کند تا کشف ردپای آن بین ترافیک های زیاد و جعلی که ارسال کرده است گم شود. همچنین این حمله جزوه خطرناک ترین حملات در زمینه امنیت سایبری میباشد و خیلی از سازمان ها از این حمله به منظور حذف کردن رقبای خود نیز استفاده میکنند
- Protocol Implementation: یاده سازی پروتکل های مختلفی که موجب آنها ترافیک های زیادی درون شبکه ایجاد شود که موجب از دست رفتن و یا Down شدن شبکه بشود
- Network Configuration Mismatch: پیاده سازی های ناصحیح در شبکه که موجب ایجاد بسته های مختلف درون شبکه شود برای مثال غیرفعال کردن Spanning-Tree-Protocol و ایجاد Loop درون شبکه
مکانیزم Storm Control بسته به iOS شما می تواند به دو صورته زیر عمل کند
- (Per Packet Second (PPS
- (Bit Packet Second (BPS
درصورت وقوع طوفان ترافیک، Storm Control وظیفه های زیر را برعهده دارد:
- ارسال لاگ به سمت syslog server و Drop کردن بسته ها( این مکانیزم By-Default می باشد )
- ایجاد یک SNMP Trap
- قرار دادن پورت در State و یا حالت err-disable
آموزش راه اندازی Storm Control
سناریو ما به شکل زیر می باشد. در این سناریو روتر ما 3 پورت دارد که 2تا از آنها به یک دو سرور و یکی از آنها به یک کلاینت خورده است که قرار است Storm Control بر روی Port ۲ که به کلاینت خورده است آن را فعال کنیم
به صورت پیش فرض Storm Control درحالت Disable قرار دارد همچنین این قابلیت بر روی پورت مد نظر اعمال می شود نحوه اصول دستوری آن به شکل زیر می باشد:
Router(config)# interface {{ type 1 slot/port } | { port-channel number }}
Router(config-if)# storm-control broadcast level level [. level ]فعال کردن Traffic Storm بر روی Interface برای ترافیک های Multicast و تعیین Storm Level و اعمال آن
Router(config-if)# storm-control multicast level level [. level ]- Storm Control بر روی تمامی ترافیک ها اعمال می شود
- استفاده ازویزگی storm-control برای ترافیک های Multicast فقد در پورت های Gigabit Ethernet و 10-Gigabit Ethernet قابل استفاده می باشد
فعال کردن Traffic Storm بر روی Interface برای ترافیک های unicast و تعیین Storm Level و اعمال آن
Router(config-if)# storm-control unicast level level [. level ]- استفاده از ویژگی storm-control برای ترافیک های unicast فقد در پورت های Gigabit Ethernet و 10-Gigabit Ethernet قابل استفاده می باشد
Router#enable
Router#configure terminal
Router(config)#interface gigEthernet 0/0
Router(config-if)#storm-control broadcast level 50
Router(config-if)#storm-control broadcast level 60
دستور Verification ویژگی Storm Control
Router#show storm-control (Router#show storm-control ( broadcast/multicast/unicast )
دوره آموزش CCNP Security قسمت 4: آموزش راه اندازی DAI
ویژگی در شبکه های کامپیوتری تحت عنوان DAI مخفف Dynamic Arp Inspection وجود دارد که وظیفه بازرسی بسته ها و جلوگیری از حملات مختلف از جمله Arp Spoofing, Arp Cache Poisoning و CAM Table OverFlow که موجب پیاده سازی حملات Man in the middle در شبکه های Broadcast-Domain می شوند. این مکانیزم وظیفه بازرسی بسته های Arp را دارید و درصورت نامعتبر بودن یک بسته IP-To-Mac آن بسته دور ریخته می شود. همانطور که گفتیم DAI وظیفه محافظت و Protested سازی شبکه از حملات مختلف Man in the middle را از طریق جدولی که توسط DHCP Snooping ایجاد میشود را دارد همچنین ویژگی DAI اطمینان می دهد که فقد پیغام های معتبر Arp اجازه عبور در شبکه را داشته باشند.
DAI چیست و چه وظیفه ای دارد؟
- رهگیری تمامی درخواست های غیرمعتبر از Port های غیرقابل اعتماد
- تأیید می کند که هرکدام از این بسته های رهگیری شده دارای یک آدرس معتبر IP-To-MAC قبل از بروزرسانی Memory Arp Cache و یا قبل از ارسال بسته به مقصد مناسب هستند
- دور ریختن تمامی بسته های که به عنوان نامعتبر شناخته می شوند
- این ویژگی برپایه معتبر بودن IP-To-Mac می باشد.
آموزش راه اندازی DAI ( Dynamic ARP Inspection )
در هنگام پیاده سازی آن به دلیل استفاده از Database ویژگی DHCP Snooping می بایست قبل از فعال سازی DAI حتما DHCP Snooping فعال شود به دلیل فعال شدن DHCP Snooping بر روی Vlan ها برای فعال سازی DAI بر روی یک Vlan خاص از دستور زیر استفاده کنید
switch#enable
switch#configure terminal
switch(config)ip arp inspection vlan [vlan-range]
نکته: به منظور استفاده از DAI در محیط های که DHCP در آن وجود ندارد می بایست از مباحثی همچون Arp ACL استفاده کنید که در همین آموزش توضیح میدهیم
- Arp Inspection Rate Limiting: سوییچ به منظور انجام فرایند Arp Inspection و بازرسی بسته های Arp برای هر Port که به صورت Untrusted و یا غیرقابل اعتماد هستند محدودیت ارسال بسته قرار می دهد که این محدودیت به صورت پیش فرض 15 بسته می باشد. اینکار به منظور جلوگیری از حملات تکذیب سرویسو یا همان DoS( Denial Of Service) استفاده می شود این مقدار با دستور زیر در حالت Interface configuration قابل تقییر می باشد.
switch#enable
switch#configure terminal
switch(config-if):ip arp inspection limit
نکته: در Port های Trusted و یا قابل اعتماد دارای محدودیت ارسال بسته نیستند
زمانی که یک Port از حد Arp Rate Limiting تعیین شده فراتر برود، سوییچ آن Port را درحالت error-disabled قرار می دهد تا زمانی که شما از دستور زیر استفاده کنید
switch#enable
switch#configure terminal
switch(config)errdisable recovery cause arp-inspection
چند نکته در رابطه با ویژگی های موجود در Arp Inspection و وضعیت پیش فرض آنها:
- تمامی Interface به صورت پیش فرض Untrusted هستند
- ویژگی DAI به صورت پیش فرض بر روی تمامی Vlan ها غیرفعال می باشد
- مقدار Rate Limiting برای رابط های Untrusted مقدار 15 ثانیه و برای رابط های Trusted مقدار نامحدود و محدود در ارسال پشت سرهم بسته ها که این محدودیت یک ثانیه می باشد
- در محیط های nom-DHCP به صورت پیش فرض هیچ Arp ACL برای DAI تعریف نشده است
- ویژگی Validation check، هیچ Check کردنی را انجام نمی دهد
- همچنین شما توانایی اعمال DAI بروی Port های مختلف با وضعیت های مختلف از جمله Access ,Trunk ,EtherChannel و Private Vlan
- نکته: نمی توانید DAI بر روی RSPAN VLAN ها فعال کنید زیر به صورت پیش فرض DAI بر روی آنها فعال می باشد
آموزش فعال سازی DAI در محیط های Non-DHCP
Switch(config)# arp access-list TangsiriNET
Switch(config-arp-acl)# permit ip host 192.168.10.1 mac host 0011.0011.0011
Switch(config-arp-acl)# exit
Switch(config)# ip arp inspection filter TangsiriNET vlan 10
Switch(config)# interface FastEthernet 0/0
Switch(config-if)# no ip arp inspection trust
آموزش فعال سازی DAI در محیط های دارای DHCP
Switch(config)# interface FastEthernet 0/0
Switch(config-if)# ip arp inspection trust
Switch(config)#ip arp inspection vlan 5-10
- معرفی دستورات Verification
Switch#show ip arp inspection
Switch#show ip arp inspection interfaces
دوره آموزش CCNP Security قسمت 5: آموزش راه اندازی MACSec
مکانیزمی تحح عنوان MACSec که توسط استاندارد IEEE 802.1AE به منظور تامین امنیت یک ارتباط Point-To-Point از طریق Ethernet را دارد. این مکانیزم را می توان کنار مکانیزم های دیگری همچون Internet Protocol Security(IPSec) و Secure Socket Layer(SSL) به منظور تعمین امنیت ارتباطات End-Yo-End قرار داد. این مکانیزم توانایی جلوگیری از حملات مختلف درون شبکه را دارد. برخی از این حملات که MACSec توانایی Prevention آنهارا دارد به شرح زیر هستند.
- Denial Of Service (DOS)
- Man in the middle (MITM)
- PlayBack
- Passive Wiretapping
- Masquerading
مکانیزم MACSec توانایی Securing انواع پروتکل هارا دارد. از جمله این پروتکل ها:
- Link Layer Discovery Protocol (LLDP)
- Link Aggregation Control Protocol (LACP)
- Dynamic Host Configuration Protocol (DHCP)
- Address Resolution Protocol (ARP)
بررسی روش کار MACSec
این پروتکل وقتی در یک ارتباط Ethernet به صورت Point-To-Point فعال می شود یک Key بین هردو ردوبدل می شود که این Key بسته به حالت MACSec هم می توانید به صورت Static تعیین شود و یا حتی به صورت Dynamic ساخته شود.
توانایی های MACSec در یک ارتباط Ethernet به صورت Point-To-Point
- Data Integrity: مکانیزم MACSec به منظور Data Entergy از روش ICV مخفف Integrity Check Value به این صورت است که بروی قاب Ethernet بسته ها دو Header جدید را وارد می کند یکی 8 Bit و دیگری 16 Bit تا درصورت رسیدن به مقصد این Header ها به منظور تایید کردن بسته ها Check شوند
- Encryption: رمزگذاری تضمین می کند که داده های موجود در قاب اترنت توسط کسی که ترافیک موجود در پیوند را مشاهده می کند، قابل مشاهده نباشند، رمزگذاری MACsec اختیاری می باشد و توسط کاربر قابل تنظیم است.
نکته: درصورت فعال بودن MACSec بر روی یک رابط، مقدار Vlan Tag موجود در قاب توسط این مکانیزم Encrypted نمی شود و به صورت Clear Text ارسال می شود.
معرفی حالت های MACSec
به طور معمول MACSec به سه حالت قابل پیکربندی می باشد که به شرح زیر هستند
- Static connectivity association key (CAK) mode: در این حالت دو Key در سمت دو طرف ساخته می شود و در بین یک دیگر به منظور کنترل ترافیک های Data Plane ردوبدل می شوند( توصیه می شود از این روش در بین ارتباطات Switch-To-Switch استفاده کنید )
- Static secure association key (SAK) mode: برای امنیت لینک های Switch-To-Switch می توان از حالت امنیتی استاتیک SAK استفاده کرد. از این حالت فقط در صورتی استفاده کنید که دلیل قانع کننده ای برای استفاده از آن به جای حالت استاتیک CAK داشته باشید
این حالت توصیه شده برای پیوندهای Switch-To-Switch است.
- Dynamic secure association key (SAK) mode: از این حالت زمانی استفاده می شود که ما می خواهیم یک ارتباط Switch-To-Host داشته باشیم. دستگاه Host باید از MACsec پشتیبانی کند و باید نرم افزاری را اجرا کند که به آن امکان می دهد یک اتصال امن MACsec را فعال کند.
پیاده سازی MACSec انواع مختلف و بسیار زیادی درحالت های مختلف و طراحی های مختلف دارد که ما نمیتونیم به همه آن ها بپردازیم و در دوره CCNP SENSS نیز MACSec تحت عنوان یک توضیح در رابطه آن وجود داشت
یکی از پیاده سازی های MACSec به صورت زیر برای شما قرار می دهیم
Switch(config)# mka policy mka_policy
Switch(config-mka-policy)# key-server priority 200
Switch(config-mka-policy)# macsec-cipher-suite gcm-aes-128
Switch(config-mka-policy)# confidentiality-offset 30
Switch(config-mka-policy)# end
دوره آموزش CCNP Security قسمت 6: آموزش راه اندازی uRPF
مخفف Unicast Reverse Path Forwarding, ویژگی Unicast Reverse Pward Forwarding ترافیک مخرب در یک شبکه را محدود می کند. این ویژگی دستگاه ها را قادر می سازد تا دسترسی به آدرس مبدأ را در بسته هایی که ارسال می شوند تأیید کنند و آدرس های ناسزا یا نادرست را در یک شبکه محدود کنند. اگر آدرس IP منبع معتبر نباشد، Unicast Reverse Path Forwarding (RPF) وظیفه دارد که بسته را Discard کند. به طور ساده تر: ویژگی به منظور جلوگیری از حملات از سمت بیرون و درون شبکه با فعال سازی این قابلیت روی تجهیز خود ( فایروال/روتر/سرور و... ) شما توانایی این را دارید که از حملات IP Spoofing در شبکه جلوگیری کنید.
حملات IP Spoofing چیست؟!
همانطور که هم از ترجمه اسمش پیداست( جعل IP ) برای مثال یک فرد مهاجم قصد حملات مختلفی در سمت سازمان ما دارد ولی نمیخواد این حمله از سمت IP Address سیستم خودش باشد. پس به منظور این حمله IP Address خود را با یک سرور و یا یک IP دیگر عوض و با IP دیگری که متعلق به کس دیگری است این حمله را انجام میدهد در این حمله SRC-Address فرد مهاجم میشود IP قربانی دیگری. به طور مثال بخواهم براتون توضیح بدم دو وب سرور وجود دارد یکی IIS و یکی هم Nginx و یک فرد مهاجم, فرد مهاجم قصد ایجاد یک حمله DoS به وب سرور IIS دارد و میخواهد SRC-Address حمله اش IP وب سرور Nginx باشد با استفاده از این حمله اینکار را میتواند انجام دهد.
همانطور که گفتیم مکانیزمی تحت عنوان uRPF وجود دارد که این به منظور این مکانیزم همانطور که گفتم ما توانایی جلوگیری این حمله را درون شبکه خود داریم
این مکانیزم به چندین حالت مختلفتقسیم می شود که به شرح زیر می باشند:
- Strict Mode
- Loose Mode
- Feasible Path
- VRF Mode
نکته: این مکانیزم هم برای IPv4 هم IPv6 می باشد
بررسی پیشنیازهای راه اندازی uRPF
برای عملکرد بهتر آن در روتر های Cisco نیاز به فعال بودن Cisco Express Forwarding(CEF) دارد
پیکربندی ACL
برای عملکرد بهتر RPF از چند ACL برای اجازه به Traffic های از IP های معتبر درون شبکه استفاده کنید و به IP های دیگر ویا نامعتبر اجازه وارد شدن ندید
آدرس های غیرمعتبر درون یک شبکه:
- آدرس های Broadcast
- آدرس های Loopback
- آدرس های Private
- آدرس های Reserved
- نکته: uRPF * از ACL پشتیبانی نمی کند
- در اکثر ISP ها از uRPF به منظور جلوگیری از حملات Denial-Of-Service(DOS) به روش های مختلف از جمله Smurf و Tribal-Flood-Network(TFN) با آدرس های IP که جعلی (Spoofed) و یا کار های همچون دور زدن Filtering با استفاده از آدرس های IPV6 جعلی(Spoofed) استفاده می کنند
- uRPF illustration
- شکل زیر چگونگی همکاری Unicast RPF و CEF را برای تأیید صحیح بودن آدرس های IP نشان می دهد. در این مثال مشتری بسته ای با آدرس منبع 192.168.1.1 را از رابط FDDI 2/0/0 ارسال کرده است. Unicast RPF به سراغ FIB Table می رود و آن را بررسی می کند تا ببیند آیا آدرس 192.168.1.1 مسیر FDDI 2/0/0 را دارد یا خیر. اگر مسیر مطابقت وجود داشته باشد ، بسته ارسال می شود. اگر مسیری مطابق وجود نداشته باشد بسته حذف می شود.تصویر 1-1
- تصویر 1-1
- فعال سازی بروی IPv4 روتر Cisco
- ابتدا وارد محیط Global-Config می شویم و CEF رو فعال می کنیم و وارد Interface مد نظرمان که قرار است uRPF بروی آن فعال شود می شویم(معمولا بروی Interface که به سمت OutSide شبکه ما است فعال می سازیم)
- فعال سازی بروی IPv6 روتر Cisco
- خب پس از وارد شدن به محیط Global-Config ابتدا CEF و IPv6 Unicast-Routing را فعال می سازیم و پس از وارد شدن به Interface مورد نظر uRPF را بر روی آن فعال می سازیم
- فعال سازی uRPF در فایروال سخت افزاری ASA
- دوره آموزش CCNP Security قسمت 7: BPDU Guard
- در شبکه های Layer-2 پروتکلی به منظور Loop-Prevention وجود دارد تحت عنوان STP که قطعا اکثر شماها با آن اشنا هستید. ویژگی تحت عنوان BPDU-Guard وجود دارد که توانایی جلوگیری از حملات مختلف تحت BPDU را دارد. در یک شبکه که در آن STP فعال است اگر یک پیغام BPDU از یک سوییچ جدید دیگر وارد شبکه شود که حاوی Bridge-ID پایین تری می باشد و اولویت بیشتری نسبت به Root-Bridge فعلی درون STP دارد آن Switch به عنوان Root-Bridge انتخاب می شود
- فرض کنید یک فرد مهاجم اینکار را انجام دهد و خود را جای Root-Bridge جا بزند؟!
- اینجاس که قابلیت و مکانیزمی در STP تحت عنوان BPDU-Guard به وجود می آید که وظیفه جلوگیری از این نوع حملات را وارد
- این مکانیزم بروی Port های یک Switch فعال می شود و درصورت فعال شدن بروی یک Port اگر از آن Port پیغام BPDU بیاید BPDU-Guard آن Port را درحالت err-disable قرار می دهد.
- پیاده سازی BPDU-Guard
- درواقع پیاده سازی آن به دو صورت می باشد که ما می توانیم از دستور آن در Global-Config استفاده کنیم که بر روی تمامی Port های یک Switch فعال می شود و یا خیر می توانیم به صورت Per-Interface تعریف کنیم و بروی روی یک Port خاص آن را فعال سازی کنیم.
- فعال سازی بروی تمامی Port های یک Switch در حالت Global-Config
- IOU2#enable
IOU2#configure terminal
IOU2(config)#spanning-tree portfast bpduguard default - غیر فعال سازی بروی تمامی Port های یک Switch در حالت Global-Config
- IOU2#enable
IOU2#configure terminal
IOU2(config)#no spanning-tree portfast bpduguard default - فعال سازی بر روی یک Port در حالت Global-Config Interface
- IOU2#enable
IOU2#configure terminal
IOU2(config)#interface ethernet 0/0
IOU2(config-if)#spanning-tree bpduguard enable - غیر فعال سازی بر روی یک Port در حالت Global-Config Interface
- IOU2#enable
IOU2#configure terminal
IOU2(config)#interface ethernet 0/0
IOU2(config-if)#spanning-tree bpduguard disbale
تصویر 1-1
دوره آموزش CCNP Security قسمت ۸: آموزش راه اندازی Root Guard
در پی آموزش دوره CCNP Security SENSS میرسیم به ببرسی Root-Guard ، مکانیزمی در STP تحت عنوان Root-Guard وجود دارد که وظیفه جلوگیری از تغییر Root-Bridge در شبکه را دارد. نحوه کار Root-Guard به این صورت میباشد که اگر از سمت یک Port پیغامی ارسال شود که قرار نیست به عنوان یک Root-Bridge انجام شود می بایست بر روی آن Root-Guard را فعال نمود. درصورت فعال سازی بروی Port مورد نظر اگر از آن Port پیغام های BPDU با Priority پایین ارسال شود آن Port درحالت Root-Inconsistent تازمانی که ارسال پیغام های BPDU با مقدار Priority پایین ادامه داشته باشد قرار می گیرد
- نحوه فعال سازی آن به شکل زیر می باشد
نحوه فعال سازی آن بر روی یک Port خاص:
SW#configure terminal
SW(config)#interface Ethernet 0/0
SW(config-if)#spanning-tree guard root
SW(config-if)#exit
SW(config)#exitنحوه غیرفعال سازی آن:
SW#configure terminal
SW(config)#interface Ethernet 0/0
SW(config-if)#no spanning-tree guard root
SW(config-if)#exit
SW(config)#exitدوره آموزش CCNP Security قسمت 9: آموزش راه اندازی NAT
آدرس های IPv4 که یک مقدار عددی 32Bit هستند به دلیل مقدار بسیار کم آن معضلی به منظور کم بود IP در دنیای شبکه بهبار آورد به همین دلیل مکانیزمی به وجود آمد تحت عنوان NAT مخفف Network Address Translationa که تاحدودی هم میزان امنیت یک شبکه را تعمین می سازد و هم در هدر رفتن آدرس های IP بسیار کارآمد می باشد.
در واقع شبکه ایی را متصل از 10کامپیوتر تصور کنید، منبابه دسترسی تمامی آنها به Internet می بایست تک تک یک Public IP داشته باشند که هم کار هزینهبری می باشد و هم اینکار درهدر رفتن آدرس های IP کمک بسیاری می کند که برای ما اصلا خوش آیند نیست, به این منظور ما از NAT استفاده خواهیم کرد تا آدرس های Private IP موجود در شبکه خودمان را به یک آدرس Public IP ترجمه کند و در هدر رفت هزینه و آدرس های IP جلوگیری بسیاری شود.
به طور خلاصه NAT وظیفه ترجمه Private IP به Public IP را دارد. مکانیزم NAT در افزایش امنیت شبکه ما نیز کمک به سزایی می کند زیرا اگر فرد مهاجم بخواهد به یکی از کلاینت های درون شبکه ما حمله ایی کند با مکانیزم NAT توانایی پیدا کردن آدرس IP آن را ندارد و NAT به شکلی عمل می کند که از داخل توانایی دیدن بیرون را داریم ولی از بیرون کسی توانایی دیدن داخل را ندارد
مزایای استفاده از NAT چیست؟
- کاهش هزینه
- کاهش استفاده در آدرس های IP و هدر رفت آنها
- افزایش میزان امنیت شبکهمان
- پشتیبانی از VRF(Virtual Routing Forwarding)
معرفی انواع NAT
مکانیزم NAT بر روی روتر فعال می شود و قبل از ارسال یک بسته به یک شبکه دیگر در دنیای Internet ابتدا Private IP مارا به Public IP ترجمه می سازد از این سو با ترجمه کل Private IP های شبکه ما به یک Public IP امکان کشف کلاینت های درون شبکه ما با Public IP بسیار دشوار می شود و از این رو امنیت شبکه خود را نیز تعمین کرده اییم
انواع مختلف NAT وجود دارند که عبارتند از:
- Static NAT
- Dynamic NAT
- PAT ( OverLoaded NAT )
بررسی انواع NAT Type
- Static NAT: در Static NAT یک آدرس Private IP به یک آدرس Public IP ترجمه می شود و آدرس Private IP ما در دنیای Internet با آدرس Public IP اختصاص داده شده قابل مشاهده و یافتن می باشد
- Dynamic NAT: در این روش برای تمامی Private IP های درون شبکه می بایست Public IP داشته باشیم ، در این روش Public IP های ما درون یک Pool قرار می گیرند و اگر کلاینت های ما 10 کامپیوتر باشند و Public IP موجود در Pool ما 5 عدد باشد به منظور دسترسی کامپیوتر های درون شبکه فقد می توانند 5 نفر از آن ها به Internet دسترسی داشته باشند و در صورت تمام شدن Pool کامپیوتر ششم می بایست صبرکن که یکی از کامپیوتر ها از Internet خارج شود تا یک Public IP آزاد شود و بتواند به شبکه Internet متصل شود. در این روش می بایست Public IP های درون Pool با تعداد کلاینت های که قرار است به Internet دسترسی داشته باشند یکسال باشد
- PAT ( OverLoaded NAT ): در روش PAT مزیت های مختلفی وجود دارد و پیاده سازی آن نیز بسیار شبیه به Dynamic NAT می باشد با این تفاوت که به تعداد دستگاه هایی که می خواهند از اینترنت استفاده کنند نیاز به Public IP برای هرکدام نداریم و تعداد آن Public IP ها می تواند کمتر و یا حتی یک عدد باشد.
مفاهیم Inside و OutSide در NAT
- Inside Local Address: به آدرس های غیرمعتبر درون شبکه که توسط Service Provider و یا NIC ارائه داده نشده اند به عبارتی این آدرس ها همان Private IP های ما هستند
- Inside Global Address: به آدرس های معتبری که توسط Service Provider و یا NIC ارائه داده شده اند که توسط آن ها کاربران Public IP خود را درون شبکه Internet داشته باشند به عبارتی این آدرس ها همان Public IP های ما هستند
- Outside Local Address: به آدرس های درون شبکه (Private IP) که ما با استفاده از شبکه های خارج از آن شبکه توانایی اتصال و برقراری ارتباط با آن هارا داریم گفته می شود
- Outside Global Address: به آدرس های Public IP بیرون شبکه ما که توانایی دسترسی به آن هارا داریم گفته می شود به عنوان مثال آدرس وب سایت Tosinso
پیاده سازی Static NAT
فرض کنید قضد داریم یک کلاینت با آدرس Private IP برابر با 192.168.100.10 که قرار است به آدرس Public برابر با 50.50.50.1 ترجمه شود
Router#enable
Router#configure terminal
Router(config)#ip nat inside source static 192.168.100.10 50.50.50.1
شبکه را به تقسیم بندی Outside و Inside بر روی Interface های داخلی و خارجی تقسیم بندی می کنیم
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside
سپس دستور زیر را به منظور Verification پیکربندی خود استفاده می کنیم
Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 50.50.50.1:0 192.168.100.10:0 50.50.50.1:0 50.50.50.1:0
icmp 50.50.50.1:0 192.168.100.10:0 192.168.100.10:0 192.168.100.10:0
پیاده سازی Dynamic NAT
سناریو ما شکل زیر می باشد:
برای پیاده سازی Dynamic NAT ابتدا به منظور تعیین Traffic های مجاز به منظور NAT از یک Standard ACL استفاده می کنیم
1Router(config)#access-list 10 permit 192.168.100.0 0.0.0.255
پس از آن یک Pool به شکل زیر تعریف می کنیم و Public IP های مد نظر خودمان را درونش قرار می دهیم
1Router(config)#ip nat pool virgool 50.50.50.1 50.50.50.2 prefix-length 24
پس از آن NAT را پیاده سازی می کنیم و ACL و Pool متعلق به Public IP هایمان را بهش معرفی می کنیم
1Router(config)#ip nat inside source list 10 pool tosinso
پس از آن هم شبکه را براساس Outside و Inside تقسیم بندی می کنیم
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside
پیاده سازی PAT
طبق عادت همیشگی خودم که در دوره های که تدریس میکنم از چند قسمت که میگذریم بررخی پیاده سازی هارا به عهده خوده دانشجو و خواننده می گذارم که به عنوان یک کار عملی اینکار را انجام دهند و با Research و تحقیق و پیاده سازی به تنهایی آشنا شود و عادت کند در این دوره پیااده سازی PAT را نیز برعهده شما عزیزان قرار میدهم
اگر در یادگیری سیسکو مشکل دارید ، به شما پیشنهاد می کنیم از طریق دوره های آموزش سیسکو حرفه ای سایت توسینسو و با دوره آموزش CCNA روتینگ و سویچینگ شروع کنید ، فراموش نکنید که پیشنیاز همه این دوره های آموزش شبکه ، دوره آموزش نتورک پلاس است ، فراموش نکنید توسینسو اولین و بهترین انتخاب شما در حوزه آموزش فناوری اطلاعات فارسی است.
-
دوره آموزشی CCNP Security چیست؟
دوره آموزشی CCNP Security یک دوره تخصصی برقراری امنیت و جلوگیری از هک و نفوذ در تجهیزات زیرساختی سیسکو است که بعد از دوره آموزشی CCNA Security یادگیری آن توصیه می شود