VLAN Trunking Protocol یا VTP در سویچ های سیسکو چیست و چگونه راه اندازی می شود؟

در آموزش قبلی بحث VLAN رو مطرح کردیم و با نحوی عملکرد و تنظیم اون اشنا شدیم حال می خوام براتون پروتکل VTP رو شرح بدم که برای VLAN استفاده میشه.VTP پروتکل اختصاصی سیسکو است که از ان برای تبادل اطلاعات دیتابیس VLAN بین سوئیچ های یک VTP دامین استفاده می شودو با کمک این پروتکل برای ایجاد یا حذف یک VLAN نیاز نیست که اینکار را روی تمام سوئیچ ها انجام دهید فقط کافیست روی یکی از سوئیچ ها (سرور) اینکار را انجام دهید این پروتکل روی باقی سوئیچ ها تغییرات شما را اعمال می کند.VTP دامین یک گروه مدیریتی است که تمام سوئیچ های عضو این گروه باید دارای نام دامین و تنظیمات یکسان باشند در غیر اینصورت اطلاعات دیتابیس VLAN بین آنها تبادل نمی شود.
پروتکل VTP برای تبادل اطلاعات از یک عدد تحت عنوان Revision Number استفاده می کند و بسته های خود را به عنوان VTP Advertisement روی پورت های Trunk خود ارسال می کند.هر سوئیچ هر 5 دقیقه یکبار و یا در هنگام تغییر در دیتابیس خود اقدام به ارسال Advertisement می کند.همانطور که گفتیم در هر Advertisement یک عدد تحت عنوان Revision Number وجود دارد که به ازای هر تغییر در دیتابیس یک واحد به ان اضافه می شود.

Image

 

انواع Advertisement


  • Summary : بسته ای که حاوی اطلاعاتی مانند نام دامین و Revision Number است.
  • Subset : بسته حاوی اطلاعات (update)
  • Request : زمانی که یک کلاینت یک بسته Summary دریافت می کند بعد از چک کردن محتویات ان با تنظیمات خود اگر مقدار Revision Number بسته از مقدار خود بیشتر بود یک Request ارسال می کند و درخواست یک Subset می کند. همچنین در صورت ریست کردن یا تغییر نام دامین این بسته ارسال می شود.

 

نحوی عملکرد


زمانی که یک سوئیچ یک Summary دریافت کند مقدار Revision Number ان را با مقدار خود مقایسه می کند. اگر مقدار Revision Number بزرگتر از مقدار خود بود یک Request ارسال می کند و درخواست Subset می کند و دیتابیس خود را با Subset دریافتی بروز می کند. اگر مقدار برابر بود از Summary صرف نظر می کند و اگر مقدارRevision Number کوچکتر از مقدار خود بود یک Subset حاوی اطلاعات دیتابیس خود که جدیدتر است را برای سوئیچ همسایه خود ارسال می کند.

نسخه های VTP


VTP دارای سه نسخه است :

  • ویژگی های نسخه یک : نسخه پیش فرض سوئیچ می باشد. زمانی که در حالت Transparent است در صورت دریافت Advertisement ، نسخه و نام دامین را چک می کند در صورت مطابقت با مشخصات خود Advertisement ها را ارسال می کند.

 

  • ویژگی های نسخه دوم: از شبکه های Token Ring پشتیبانی می کند.زمانی که در حالت Transparent است بدون در نظر گرفتن نسخه و نام دامین ، Advertisement ها را ارسال می کند. Consistency check : زمانی که اطلاعات جدیدی از طریق CLI یا SNMP ایجاد شود مواردی مانند نام VLAN چک می شود.در صورت استفاده از نسخه دو تمامی سوئیچ های VTP دامین باید بتوانند از این نسخه پشتیبانی کنند. در نسخه دوم تنها یک سوئیچ نقش سرور را ایفا می کند و مابقی در نقش کلاینت عمل می کنند.

 

  • ویژگی های نسخه سوم:بهبود مکانیزم احراز هویت، از VLAN رنج Extended (1006 تا 4094) پشتیبانی می کند.پشتیبانی از Private VLAN،ایجاد مکانیزم Primary Server و Secondary Server ،امکان غیر فعال کردن VTP روی پورت ترانک

نکته : نسخه سوم در Cisco IOS Release 12.2(52) و بعد از ان قابل دسترس است.

انواع نقش ها در VTP


  • Server : نقش پیش فرض سوئیچ ها است. سوئیچی که دارای این نقش است دارای تمام امکانات است می تواند Vlan بسازد ، پاک کند و یا تغییر نام دهد. هر 5 دقیقه یکبار و یا در هنگام تغییر در دیتابیس VLAN خود Advertisement ارسال می کند. در هر VTP دامین حداقل باید یک سوئیچ دارای نقش سرور باشد.
  • Client : صاحب این نقش نمی تواند VLAN ایجاد یا حذف کند اما می تواند تنظیمات VTP خود را تغییر دهد.در این حالت هر 5 دقیقه یکبار Advertisement ارسال می کند.
  • Transparent : صاحب این نقش می تواند VLAN بسازد یا پاک کند اما تنها به صورت Localy (فقط روی این سوئیچ اعمال می شود). در این حالت بروز رسانی اطلاعات دیتابیس با دیگر سوئیچ ها انجام نمی شود و همچنین Advertisement ارسال نمی کند اما در صورت دریافت Advertisement اگر از نسخه یک VTP استفاده کند نام دامین و نسخه Advertisement را چک می کند در صورت مطابقت با مشخصات خود انرا ارسال می کند اما در نسخه دوم محتویات Advertisement را چک نمی کند و انرا ارسال می کند.
  • Off : همانند Transparent می باشد با این تفاوت که Advertisementها را ارسال نمی کند.

 

شرایط عضویت در VTP دامین


  1. عضویت در یک دامین هم نام
  2. وجود لینک از نوع Trunk بین سوئیچ ها
  3. وجود حداقل یک سوئیچ در حالت Server

 

VTP Pruning


قابلیتی است که می توان به وسیله ان ترافیک اضافه مثل Broadcast را کاهش داد. به این صورت که سوئیچ تمام پورت های Trunk خود را چک می کند و مشخص می کند که از هر پورت به چه VLAN هایی می رسد.به طور پیش فرض این ویژگی غیر فعال است.در صورت فعال کردن این ویژگی روی یک سوئیچ این ویژگی رو تمام سوئیچ های دامین فعال خواهد شد.در حالت معمول که در شکل زیر می بینید بسته ارسالی از PC متصل به سوئیچ یک روی کل شبکه ارسال می شود.

Image

 

اما در صورت فعال کردن VTP Pruning بسته ارسالی از PC متصل به سوئیچ یک به سمت سوئیچ 5 و 6 ارسال نخواهد شد مانند شکل زیر:

Image

 

نحوی تنظیم VTP


جهت تعیین نقش سوئیچ از دستور زیر استفاده می کنیم:

Switch(config)#vtp mode client

جهت مشخص کردن نام دامین از دستور زیر:
نکته : اگر نام دامین خالی باشد مقداری که در اولین سوئیچ وارد می کنیم در تمام سوئیچ ها دیگر نیز وارد می شود.

Switch(config)#vtp domain itpro

پسورد گذاشتن:

Switch(config)#vtp password mypass

تعیین نسخه مورد استفاده:

Switch(config)#vtp version 2

فعال کردن VTP Pruning :

Switch(config)#vtp pruning

نمایش وضعیت VTP :
برای دیدن وضعیت VTP از دستور زیر استفاده کنید:

Switch#show vtp status

خروجی این دستور به شکل زیر است:

Image

نحوی اضافه کردن یک سوئیچ جدید به دامین VTP :
به هیچ عنوان یک سوئیچ جدید را مستقیما به شبکه خود متصل نکنید چون ممکن است که از قبل دارای تنظیماتی باشد و باعث از بین رفتن دیتابیس VLAN شما شود حتی قرار دادن یک سوئیچ در حالت Client نیز از تبادل اطلاعات ان سوئیچ جلوگیری نخواهد کرد. سرور در صورت مشاهده اطلاعات یک کلاینت با مقدار Revision Number بالاتر ، اطلاعات خود را با اطلاعات ان کلاینت بروز خواهد کرد.برای جلوگیری از این مشکل باید مقدار Revision Number را Reset کنیم تا مقدار ان صفر شود.برای اینکار به صورت زیر عمل کنید:

  1. سوئیچ را به شبکه متصل نکنید.
  2. سوئیچ را در حالت Transparent قرار دهید یا نام دامین انرا تغییر دهیم با این کار مقدار Revision Number صفر خواهد شد.
  3. سوئیچ را Restart کنید.
  4. تنظیمات صحیح VTP را روی ان انجام دهید.
  5. سوئیچ را به شبکه متصل کنید.

(Intrusion Prevention Systems (IPS راه حلی برای شناسایی و مقابله با تهدیدات – بخش چهارم

در قسمت های قبل نحوی آماده سازی سنسور را با استفاده از دستور Setup دیدیم در اینجا می خواهیم برخی از دستورات قسمت های قبل را به صورت Command اجرا کنیم.
نکته : در IPS همانند روتر و سئویچ Mode های Config و Enable را داریم و علاوه بر این Mode ها ، یک Mode به نام Service داریم که این دستورات را در انجا وارد می کنیم.

جهت تغییر نام سنسور دستورات زیر را وارد کنید:

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# host-name itpro.ir

در صورتی که بخواهید IP سنسور و Gateway را تغییر دهیم به صورت زیر عمل می کنیم

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# host-ip 192.0.2.1/24,192.0.2.2

اگر بخواهید Telnet را فعال یا غیر فعال کنیم از دستورات زیر استفاده می کنیم

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# telnet-option enabled

اگر Access-List که دسترسی به سنسور را مشخص می کند بخواهیم تغییر دهیم دستورات زیر را وارد می کنیم

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings

اضافه کردن:

sensor(config-hos-net)# access-list 192.0.2.110/32

حذف کردن:

sensor(config-hos-net)# no access-list 192.0.2.110/32

برای ایجاد login Banner به صورت زیر عمل می کنیم:
نکته: login Banner جهت نمایش یک متن در هنگام اتصال استفاده می شود(در اینجا itpro is best متن مورد نظر ماست)

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# login-banner-text itpro is best

اگر خواستید DNS ها یا Proxy Server را تغییر دهید از دستورات زیر استفاده کنید

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# http-proxy proxy-server
sensor(config-hos-net-pro)# address 10.10.10.1
sensor(config-hos-net-pro)# port 65
sensor(config-hos-net)# dns-primary-server enabled
sensor(config-hos-net-ena)# address 10.10.10.1

تعیین زمان قطع ارتباط در صورت عدم استفاده:
نکته: اگر شما به دستگاه متصل شده باشید بعد از یک زمان مشخص در صورت عدم استفاده ارتباط شما قطع می شود با دستورات زیر می توانید این مدت زمان را مشخص کنید که براساس ثانیه است.

sensor# configure terminal
sensor(config)# service authentication
sensor(config-aut)# cli-inactivity-timeout 300

تعریف یوزر:

sensor# configure terminal
sensor(config)# username tester privilege administrator
Enter Login Password: ************
Re-enter Login Password: ************

ایجاد سیاست های تعیین رمز:

sensor# configure terminal
sensor(config)# service authentication

با دستور زیر یوزر پس از 3 بار تلاش نا موفق قفل می شود

sensor(config-aut)# attemptLimit 3

تعیین شرایط پسورد:

sensor(config-aut)# password-strength

در پسورد حداقل با شش کاراکتر عددی وجود داشته باشد

sensor(config-aut-pas)# digits-min 6

در پسورد حداقل باید 3 کارکتر غیر عددی و حروف استفاده شود مانند * . !

sensor(config-aut-pas)# other-min 3

حداقل دارای 3 حرف بزرگ باشد

sensor(config-aut-pas)# uppercase-min 3

حداقل دارای 3 حرف کوچک باشد

sensor(config-aut-pas)# lowercase-min 3

از سه پسورد اخیر هم نمی توان استفاده کرد

sensor(config-aut-pas)# number-old-passwords 3

مشاهده تنظیمات دستگاه:

Sensor# show configuration

نکته: بعد از خروج از Service Mode پیغامی جهت ذخیره تغییرات به ما داده می شود

معرفی انواع VLAN در سویچ های سیسکو و نحوه پیاده سازی آنها

به دسته ای از میزبان ها که با استفاده از Switch های مشترک به هم متصل هستند را یک Subnet فیزیکی می توان نامید اما یک Subnet منطقی به دسته ای از میزبان ها گفته می شود که از سوئیچ های فیزیکی به صورت مشترک استفاده می کنند و به صورت منطقی از یکدیگر جدا شده اند هر Subnet منطقی به صورت کاملا مجزا از دیگر Subnetها عمل می کند.به این روش VLAN گفته می شود و در واقع یک شبکه بزرگ را می توانم به شبکه های کوچکتر تقسیم کنیم. یکی از مزایای این روش کاهش Broadcast می باشد.عضوهای هر VLAN را می توانیم براساس پورت های فیزیکی ، MAC Address و یا براساس یوزر مشخص کنیم.

به طور کلی دو نوع VLAN داریم


End-to-End Vlan : در این حالت اعضای هر VLAN در سرتاسر شبکه پراکنده هستند.این حالت برای اشتراک منابع و اعمال سیاست ها و پراکندگی میزبان مورد استفاده قرار می گیرد. در این حالت خطایابی پیچیده تر می باشد چون ترافیک VLANهای مختلف در سراسر شبکه در حال انتقال است.

Image

Local VLAN : در این حالت میزبان ها براساس موقعیت فیزیکی خود در VLANها قرار می گیرند.به طور مثال یک طبقه از یک ساختمان این طراحی مقیاس پذیرتر و خطایابی در ان ساده تر می باشد چون نحوی جریان ترافیک مشخص است. برای اشتراک منابع در این روش نیاز routing داریم.

Image

 

پارامترهایی که قبل از اجرای VLAN باید مورد توجه قرار گیرد


  • طراحی و انتخاب شماره VLANها ، نام و IP Address
  • نوع VLAN مورد نیاز Local یا End-to-End
  • نیاز به Trunk داریم؟ و کجا؟
  • VTP به چه صورت تنظیم و مورد استفاده واقع شود؟
  • بررسی و تست طرح

نکته: به طور پیش فرض تمامی پورت ها عضو VLAN یک هستند.

ایجاد VLANها بسیار ساده است تنها کافیست در Config Mode دستور زیر را وارد کنید:

Switch(Config)#vlan 15

بسته به نوع نرم افزار عددی که برای VLAN می توان در نظر گرفت بین 1 تا 1005 یا بین 1 تا 4094 می باشد.همچنین بهتر است یک نام برای هر VLAN در نظر گرفت با دستور زیر:

Switch(config-vlan)#name itpro

جهت حذف یک VLAN از دستور زیر استفاده می کنیم:

Switch(Config)#no vlan 15

جهت اختصاص یک پورت به یک VLAN از دستور زیر استفاده می کنیم:
وارد اینترفیس مورد نظر شوید.

Switch(Config)#interface fastethernet 0/1

اینترفیس را در حالت Access قرار می دهیم.

Switch(config-if)#switchport mode access

با دستور زیر اینترفیس را عضو vlan 15 می کنیم

Switch(config-if)#switchport access vlan 15

جهت دیدن لیست vlan و portهای اختصاص یافته به ان از دستور زیر استفاده می کنیم:

Switch#show vlan

خروجی این دستور به شکل زیر است:

Image

نکته : اگر پورتی در این دستور نمایش داده نشد ان پورت Trunk می باشد.
نکته: اطلاعات VLAN در فایل vlan.dat در حافظه فلش ذخیره می شود.

انواع mode های قابل استفاده برای هر پورت


  • Access : این حالت جهت ارتباط سوئیچ و میزبان یا به عبارتی End Device ها کاربرد دارد و فریم به صورت untag (بدون تگ) ارسال می شوند.
  • Trunk : معمولا این حالت جهت ارتباط سوئیچ ها با یکدیگر استفاده می شود و فریم به صورت tag شده ارسال می شوند.
  • Dynamic : در این حالت به صورت مذاکره با طرف مقابل نوع Access یا Trunk انتخاب می شود

 

VLAN Trunking چیست ؟


یک لینک یا پورت Trunk توانایی حمل ترافیک چندین VLAN را دارد و به طور معمول جهت ارتباط سوئیچ ها مورد استفاده قرار می گیرد.Trunk می تواند از دوپروتکل جهت حمل ترافیک VLAN استفاده کند.

  • Inter-Switch Link-ISL : پروتکل اختصاصی سیسکو که سایز Header که جهت انتقال VLANها اضافه می کند 26 بایت می باشد و البته در حال حاضر زیاد مورد استفاده قرار نمی گیرد.
  • 802.1Q : پروتکل استاندارد و عمومی می باشد سایز Header که اضافه می شود 4 بایت می باشد و دارای قابلیت Native VLAN می باشد.

سوئیچ زمانی که یک Frame را روی پورت Access دریافت می کند شماره VLAN ان پورت را در Header مربوط به Frame قرار می دهد و به اصلاح Tag می شود و سپس مسیر را طی می کند تا به پورت که قرار است از ان خارج شود می رسد این Tag حذف شده و روی پورت ارسال می شود.

نکته : پروتکل DTP (Dynamic Trunking Protocol) جهت انجام مذاکره در حالت Dynamic برای انتخاب نوع پورت مورد استفاده قرار می گیرد.

جدول زیر نشان دهنده وضعیت دو پورت در حالت های مختلف می باشد:

Image

نکته: اگر پورت را در حالت Dynamic قرار دهیم می توانیم دو حالت Auto یا Desirable را برای ان انتخاب کنیم. حالت Auto به صورت Listening عمل می کند و اگر طرف مقابل پیشنهاد Trunk شدن را بدهد پورت در حالت Trunk فرار می گیرد در غیر این صورت در حالت Access خواهد بود. اما Desirable به صورت فعال شروع به ارسال فریم های DTP می کند و به طرف مقابل پیشنهاد Trunk شدن می دهد.

نتیجه حاصل از دستورات جهت تعیین حالت پورت:

Switch(config-if)#Switchport mode access

این دستور پورت را به صورت دائم در حالت Access قرار می دهد. و شروع به ارسال فریم های DTP می کند تا با طرف مقابل برای تبدیل لینک به حالت Access مذاکره کند. این پورت به حالت Access تغییر می کند حتی اگر پورت مقابل این شرایط را قبول نکند.

Switch(config-if)#Switchport mode dynamic desirable

با زدن این دستور پورت با ارسال فریم های DTP تلاش می کند که پورت را به حالت Trunk تغییر دهد.پورت به حالت Trunk تغییر پیدا می کند در صورتی که طرف مقابل در حالت Auto ، Desirable و یا Trunk باشد به Trunk تبدیل می شود. این حالت پیش فرض برای همه پورت ها می باشد.

Switch(config-if)#Switchport mode dynamic auto

در این حالت پورت در حالت Listening قرار می گیرد و اگر طرف مقابل در حالت Trunk یا Desirable باشد لینک تبدیل به Trunk می شود در غیر اینصورت در حالت Access خواهد بود.

Switch(config-if)#Switchport mode trunk

این دستور پورت را به صورت دائم در حالت Trunk قرار می دهد. و شروع به ارسال فریم های DTP می کند تا با طرف مقابل برای تبدیل لینک به حالت Trunk مذاکره کند. این پورت به حالت Trunk تغییر می کند حتی اگر پورت مقابل این شرایط را قبول نکند.

Switch(config-if)#Switchport nonegotiate

در این حالت پورت DTP ارسال نمی کند.این دستور را زمانی می توانید استفاده کنید که پورت را در حالت Access یا Trunk قرار گرفته باشد. برای استفاده از این حالت باید طرف مقابل را به صورت دستی تنظیم کنیم.جهت مشخص کردن نوع یک پورت از دستور زیر استفاده می کنیم:

Switch(config-if)#Switchport mode {dynamic {auto|desirable} | trunk | Access}
Switch(config-if)#Switchport nonegotiate

در صورتی که از 802.1Q استفاده کنیم با استفاده از دستور زیر یک VLAN را به عنوان Native تعیین کنیم:

Switch(config-if)#Switchport trunk native vlan 15

نکته : VLAN که به عنوان Native انتخاب شود ترافیک ان VLAN بدون tag ارسال می شود.
نکته: بهتر است که VLAN که از ان استفاده نمی شود به عنوان Native انتخاب شود چون Native یک ضعف بزرگ به نام VLAN Hopping دارد.

VLANs Allowed on the Trunk


به طور پیش فرض تمامی VLAN ها اجازه عبور از پورت Trunk را دارند.جهت تعیین پورت های که فقط اجازه عبور دارند از دستور زیر استفاده می کنیم:

Switch(config-if)#Switchport trunk allowed vlan 12,15
Switch(config-if)#Switchport trunk allowed vlan all
Switch(config-if)#Switchport trunk allowed vlan add 20
Switch(config-if)#Switchport trunk allowed vlan remove 15

جهت نمایش وضعیت یک پورت از دستور زیر استفاده می کنیم:

Switch#show interfaces fastEthernet 0/1 switchport

مواردی که در مورد Trunk باید رعایت شود


  1. یک VLAN که استفاده نمی شود به عنوان Native انتخاب شود.
  2. روی پورتی که باید Trunk شود مذاکره جهت Trunk شدن را غیر فعال کنیم.
  3. پورتی که هیچ وقت به عنوان Trunk استفاده نمی شود را در حالت Access قرار دهیم.
  4. تنها به VLANهای که مورد استفاده هستند اجازه عبور روی Trunk را بدهید.

(Intrusion Prevention Systems (IPS راه حلی برای شناسایی و مقابله با تهدیدات – بخش سوم

IPS AIP

نکته : دستورات زیر جهت استفاده برای ماژول AIP می باشد این ماژول دارای دو اینترفیس گیگابیت می باشد که گیکابیت صفر به عنوان Management استفاده می شود

جهت آماده سازی پیشرفته مراحل زیر را دنبال کنید:
1. به سنسور Login کنید

 asa# session 1

2. دستور Setup را وارد کنید تا سیستم آماده سازی سنسور نمایان شود
3. کلید Enter را بدون ایجاد تغییر در گزینه ها بزنید تا منوی دسترسی به آماده سازی پیشرفته ظاهر شود

[0] Go to the command prompt without saving this config.
[1] Return to setup without saving this config.
[2] Save this configuration and exit setup.
[3] Continue to Advanced setup.
Enter your selection[3]:

4. با انتخاب گزینه 3 وارد آماده سازی پیشرفته می شویم
5. در ابتدا وضعیت Telnet را باید مشخص کنید که به طور پیش فرض غیر فعال است

Enter telnet-server status[disabled]:

6. سپس پورت Web Server را مشخص می کنیم که مقدار پیش فرض 443 می باشد

Enter web-server port[443]:

7. برای تغییر اینترفیس ها و Virtual سنسور yes را وارد کنید.

Modify interface/virtual sensor configuration?[no]: yes 
Current interface configuration
 Command control: GigabitEthernet0/0
 Unassigned:

 Virtual Sensor: vs0
  Anomaly Detection: ad0
  Event Action Rules: rules0
  Signature Definitions: sig0
  Monitored:
   GigabitEthernet0/1

  [1] Edit Interface Configuration
  [2] Edit Virtual Sensor Configuration
  [3] Display configuration
Option:

نکته: Virtual Sensor مجموعه از Police ها است که به یک جریان ترافیک نسبت میدهیم تا سیاست های مورد نظر ما را اجرا کند. همچنین می توان چندتا Virtual Senor به صورت مجازی در یک سنسور فیزیکی داشته باشیم و آنها را به جریان مختلف نسبت دهیم.
8. گزینه دوم را انتخاب می کنیم تا سنسور مجازی را تنظیم کنیم

  [1] Remove virtual sensor.
  [2] Modify "vs0" virtual sensor configuration.
  [3] Create new virtual sensor.
Option:

9. گزینه دوم را انتخاب می کنیم تا تنظیمات مربوط به VS0 را انجام دهیم (سنسور مجازی پیش فرض)

Virtual Sensor: vs0
  Anomaly Detection: ad0
  Event Action Rules: rules0
  Signature Definitions: sig0

No Interfaces to remove.

 Unassigned:
  Monitored:
   [1] GigabitEthernet0/1
Add Interface:  

10. عدد یک را وارد می کنیم تا اینترفیس گیگابیت 1 جهت مانیتور شدن اضافه شود
نکته : شما می توانید چندتا سنسور مجازی داشته باشید اما پیشنهاد می شود که اینترفیس گیگابیت 1 را به VS0 نسبت دهید اما می توانید انرا به یک ماشین مجازی دیگر نسبت دهید
11. کلید Enter را بزنید تا به منوی قبل باز گردید

Virtual Sensor: vs0
  Anomaly Detection: ad0
  Event Action Rules: rules0
  Signature Definitions: sig0

  [1] Remove virtual sensor.
  [2] Modify "vs0" virtual sensor configuration.
  [3] Create new virtual sensor.
Option:

12. در صورتی که بخواهید یک سنسور مجازی دیگر بسازید گزینه سه را انتخاب کنید
13. یک نام برای ان انتخاب کنید

Name[]: ITpro.ir

14. در اینجا می توانید یک Description برای ان در نظر بگیرید

Description[Created via setup by user jeffar]: 

15. Anomaly Detection را مشخص می کنیم که در اینجا ما گزینه یک Anomaly Detection موجود استفاده می کنیم

Anomaly Detection Configuration
  [1] ad0
  [2] Create a new anomaly detection configuration
Option[1]:

16. Signature Definition را مشخص می کنیم

Signature Definition Configuration
  [1] sig0
  [2] Create a new signature definition configuration
Option[1]:  

17. در اینجا گزینه دوم را انتخاب می کنیم تا یک signature definition جدید ایجاد کنیم
18. یک نام برای ان انتخاب کنید

Name[]: itpro.ir 

19. گزینه یک Event رول پیش فرض را به ان اختصاص میدهیم

Event Action Rules Configuration
  [1] rules0
  [2] Create a new event action rules configuration
Option[1]: 

20. اینترفیس گیگابیت یک را به ان اختصاص می دهیم

Virtual Sensor: ITpro.ir
  Anomaly Detection: ad0
  Event Action Rules: rules0
  Signature Definitions: itpro.ir
 Unassigned:
  Monitored:
   [1] GigabitEthernet0/1
Add Interface: 

21. کلید Enter را می زنیم تا منوی قبلی ظاهر شود

Virtual Sensor: ITpro.ir
  Anomaly Detection: ad0
  Event Action Rules: rules0
  Signature Definitions: itpro.ir
  Monitored:
   GigabitEthernet0/1

  [1] Remove virtual sensor.
  [2] Modify "test" virtual sensor configuration.
  [3] Modify "vs0" virtual sensor configuration.
  [4] Create new virtual sensor.
Option: 

22. کلید Enter را بزنید تا پیام زیر ظاهر شود

Modify default threat prevention settings?[no]:yes 

23. اگر بخواهیم از بسته هایی با خطر ریسک بالا برای تمام سنسور جلوگیری شود از گزینه زیر استفاده می کنیم

Virtual sensor ITpro.ir is configured to prevent high risk threats in inline mode. (Risk Rating
 90-100)
   Virtual sensor vs0 is configured to prevent high risk threats in inline mode. (Risk Rating 
90-100)
Do you want to enable automatic threat prevention on all virtual sensors?[no]: 

24. در اینجا تنظیمات ما به پایان رسیده و تنظیمات به ما نمایش داده می شود و می توانیم تنظیمات را ذخیره کنیم

The following configuration was entered.

service host
network-settings
host-ip 192.168.1.2/24,192.168.1.1
host-name ITPRO
telnet-option disabled
access-list 192.168.1.0/24
ftp-timeout 300
no login-banner-text 
dns-primary-server enable
address 8.8.8.8
exit
dns-secondary-server disabled
dns-tertiary-server disabled
http-proxy proxy-server
address 192.168.3.11
port 8080
exit
time-zone-settings
offset 330
standard-time-zone-name UTC
exit
summertime-option disabled
ntp-option enabled-ntp-unauthenticated
ntp-server 192.168.1.11
exit
exit
service global-correlation
network-participation off
exit
service web-server
port 443
exit
service analysis-engine
virtual-sensor ITpro.ir
description Created via setup by user jeffar
signature-definition itpro.ir
event-action-rules rules0
anomaly-detection
anomaly-detection-name ad0
exit
physical-interface GigabitEthernet0/1 
exit
exit
service event-action-rules rules0
overrides 
override-item-status Enabled
risk-rating-range 90-100
exit
exit
service event-action-rules itpro.ir
overrides 
override-
risk-rati
exit
exit
  [0] Go to
  [1] Retur
  [2] Save 

Enter you
Enter your selection[2]:

 

معرفی پروتکل مسیریابی EIGRP و چگونگی پیاده سازی آن در روترهای سیسکو

قبل از اینکه به معرفی و بررسی پروتکل EIGRP بپردازیم باید با مفاهیم و مباحث مسیریابی آشنا شویم در نتیجه اول به این مباحث می پردازیم.

مسیریابی :
انتخاب مسیر و جابجایی و هدایت بسته از مبدا تا مقصد را مسیریابی گویند. مسیریابی معمولا توسط دستگاه تحت عنوان روتر انجام می شود.

Image

 

انواع مسیریابی یا Routing


  • Static Routing : این مسیریابی براساس مسیرهایی که به صورت دستی رو روتر ایجاد شده است صورت می گیرد. این روش در شبکه های کوچک قابل اجرا است زیرا با بزرگ شدن شبکه ایجاد تغییرات و اشکال یابی بسیار پیچیده و مشکل می شود.
  • Dynamic Routing : در این روش مسیرها به صورت پویا توسط اطلاعاتی که روتر ها در اختیار هم می گذارند مشخص می شوند و دیگر نیاز به وارد کردن دستی مسیر ها نیست در این روش اعمال تغییرات بسیار ساده و اشکال یابی به راحتی میسر است . این تبادل اطلاعات توسط پروتکل های تحت عنوان Routing Protocol انجام می شود.

 

Routing Protocol


Routing Protocol ها مشخص می کنند که روترها به چه صورت با یکدیگر ارتباط برقرار کنند، چگونه اطلاعت در مورد زیر ساخت شبکه را بین روتر ها منتقل کنند و بهترین مسیر را چگونه انتخاب کنند.

دسته بندی Routing Protocol


  • Interior Gateway Protocol-IGP: این دسته شامل پروتکل هایی است که در یک (AS (Autonomous System عمل می کنند. مانند EIGRP ، OSPF ،RIP
  • Exterior Gateway Protocol-EGP: این دسته شامل پروتکل هایی که جهت مسیربایی بین ASها مورد استفاده واقع می شوند. مانند BGP که پروتکل مسیریابی اینترنت است.

نکته : Autonomous System به مجموعه ای از روترها که تحت یک مدیریت در حال فعالیت هستند.مانند شبکه مخابرات

در دسته IGP پروتکل های مسیریابی به چند نوع زیر تقسیم می شوند


  • Distance-Vector : تنظیم کردن این پروتکل ها بسیار ساده است ، امکانات زیادی در اختیار ما نمی گذارند ، جداول مسیریابی آنها براساس روش های ساده پر می شود ، Classfull هستند و پروتکل های سریعی نیستند از پروتکل های این نوع می توان به RIP ، IGRP اشاره کرد
  • Link-State : تنظیم کردن و پیاده سازی آن پیچیده و مشکل است ، امکانات زیادی در اختیار ما می گذارد و قابلیت پیاده سازی حالت ها ی متنوع را دارد ، پروتکل های سریعی هستند، Classless هستند و قادر به پیاده سازی شبکه های بزرگ را دارند.از پروتکل های این نوع می توان به OSPF و IS IS اشاره کرد.
  • Hybrid : این دسته که شامل ویژگی های خوب هر دو دسته فوق است، تنظیم کردن و پیاده سازی این پروتکل ساده است ، امکانات زیادی در اختیار ما می گذارد ، امکان پیاده سازی شبکه های بزرگ را دارد و سریعترین پروتکل موجود می باشد.

 

مفهوم Administrative Distance


زمانی که یک بسته به روتر می رسد امکان دارد چند مسیر برای ارسال به سمت مقصد وجود داشته باشد که این مسیرها توسط پروتکل های مختلف به روتر معرفی شده اند که با استفاده از Administrative Distance می تواند از بین مسیر ها موجود بهترین مسیر را انتخاب کند.هرچه این مقدار کمتر باشد اولیت ان بالاتر است در جدول زیر برخی از این مقادیر ذکر شده است:

Connected=0
Static=1
EIGRP=90
OSPF=110
RIP=120

مفهوم Metric


مقداری است که برای هر مسیر مشخص می شود و برای انتخاب مسیر از بین مسیرهای یک پروتکل مورد استفاده قرار می گیرد. نحوی محاسبه Metric در هر پروتکل متفاوت است.

EIGRP

Enhanced interior gateway routing protocol

 

تاریخچه پیدایش EIGRP


پروتکل EIGRP در سال 1393 توسط شرکت سیسکو ارائه شد و در واقع نسخه بهینه پروتکل IGRP می باشد که در اواسط دهه 80 ارائه شد که محدودیت های RIP را نداشت.پروتکل EIGRP تا سال 2013 به عنوان پروتکل اختصاص سیسکو بود و تنها رو تجهیزات این شرکت قابل استفاده بود . اما از در سال 2013 توسط شرکت سیسکو به عنوان یک پروتکل استاندارد معرفی شد و در حال حاضر روی برخی از تجهیزات دیگر قابل استفاده است.

ویژگی های EIGRP


  • تبادل سریع اطلاعات بین روترها
  • پشتبانی از VLSM
  • ارسال فقط تغییرات جدول مسیریابی بجای کل جدول مسیریابی
  • پشتیبانی از شبکه های براساس IP ، IPX ، AppleTalk
  • استفاده از شماره پروتکل 88
  • پشتیبانی از load-balancing به صورت نامتقارن
  • ارسال اطلاعات روتینگ به صورت Multicast به ادرس 224.0.0.10
  • پشتیبانی از مکانیزم تائید هویت
  • خلاصه سازی به صورت دستی یا auto
  • AD : EIGRP Summery=5 ، EIGRP Internal=90 ، EIGRP External=170

 

انواع پیام ها در EIGRP


  • Hello : جهت شناسایی همسایه و همچنین به عنوان مکانیزم اعلام فعال بودن
  • Update : ارسال اطلاعات مربوط به جدول مسیریابی
  • Query : درخواست برای یک مسیر خاص
  • Reply : پاسخ به درخواست مربوط به مسیر خاص
  • ACK : تایید دریافت Update

 

جدول های EIGRP


پروتکل EIGRP دارای 3 جدول زیر می باشد:

  • Routing : بهترین مسیر در این جدول قرار می گیرد
  • Neighbor : شامل لیست همسایه ها
  • Topology : مسیرهایی که می توانند جایگزین بهترین مسیر شوند در این جدول قرار می گیرند

نکته : Best Route (بهترین مسیر) به نام Successor عنوان می شود و با حرف S نشان داده می شود و در جدول Routing قرار می گیرد.
نکته : Backup Route (مسیر پشتیبان) به نام Feasible Successor عنوان می شود و با حروف FS نشان داده می شود و در جدول Topology قرار می گیرد.
نکته : Feasible Distance همان Metric روتر تا مقصد می باشد و با حروف FD نمایش داده می شود.
نکته : Reported Distance نشان دهنده Metric همسایه ما تا مقصد می باشد و با حروف RD نمایش داده می شود.
نکته : زمانی یک Route می تواند FS شود که RD ان Route از FD مسیر Successor کمتر باشد.

Image

 

همسایگی و شرایط آن در EIGRP


برای اینکه دو یا چند روتر بین یکدیگر اطلاعات جداول مسیریابی را رد و بدل کنند باید دارای شرایطی باشند که در صورت داشتن این شرایط به عنوان همسایه (Neighbor) شناخته می شوند.شرایط همسایگی:

  1. هر دو روتر باید یک شبکه را Advertise کنند.
  2. داشتن AS یکسان
  3. Authentication
  4. K-Values یکسان
  5. داشتن تاریخ و ساعت یکسان

 

نحوی همسایگی و تبادل اطلاعات جداول مسیریابی


  1. روتر A روی تمام اینترفیس های خود یک Hello ارسال می کند.
  2. روتر B این پیغام را دریافت می کند و یک Hello به همراه یک Update که شامل اطلاعات جدول مسیریابی خود است ارسال می کند
  3. روتر A یک پیام ACK ارسال می کند
  4. روتر A یک Update حاوی اطلاعات جدول مسیریابی خود را ارسال می کند
  5. روتر B یک پیام ACK ارسال می کند

و به این صورت دو روتر با یکدیگر همسایه شده و از این پس در صورت ایجاد تغییر در جدول مسیریابی فقط ان تغییر را به همسایه خود اعلام می کند و همچنین در مدت زمان های مشخص برای یکدیگر Hello ارسال می کنند تا به این وسیله روتر مقابل را از حضور خود اگاه کنند و اگر روتر در مدت زمان مشخص hello از طرف مقابل دریافت نکرد ان روتر را خارج از سرویس در نظر گرفته و تمام Route هایی که از ان گرفته است را از جدولمسیریابی خود حذف می کند.

نکته: مدت زمان ارسال Hello به نوع خط بستگی دارد به طور معمول این مدت زمان هر 5 ثانیه یکبار است و اگر 15 ثانیه(Dead Time) از روتر مقابل Hello دریافت نکرد اینطور تصور می کند که روتر از سرویس دهی خارج شده است این مدت زمان در خطوط با پهنای باند پایین به 60 و 180 تغییر می کند.

نحوی فعال سازی EIGRP و همسایگی


برای فعال سازی EIGRP فقط کافیست دستور زیر را در Config Mode روتر وارد کنیم:

R1(config)#Router eigrp 100
R2(config)#router eigrp 100

برای اینکه دو روتر با یکدیگر همسایه شوند باید یک شبکه مشترک را Advertise کنند:

R1(config-Router)#Network 192.168.12.0   0.0.0.255
R2(config-Router)#Network 192.168.12.0   0.0.0.255

Summarization چیست ؟


به طور پیش فرض خلاصه Auto در eigrp روی تمام اینترفیس ها فعال است که در صورتی که بخواهیم ان را غیر فعال کنیم از دستور زیر استفاده می کنیم:

Router(config-router)#no auto-summary

اگر بخواهیم این خلاصه سازی رو اینترفیس خاص انجام شود از دستور زیر استفاده می کنیم:

Router(config-if)#ip summary-address eigrp 100 172.16.104.0 255.255.252.0

Passive Interface


در صورتی که بخواهیم روی یک اینترفیس Hello Message ارسال نشود از دستور زیر استفاده می شود:

Router(config-router)#passive-interface fastethernet 0/1

احراز هویت در EIGRP


به طور پیش فرض احرازهویت در Eigrp فعال نیست. برخی از پروتکل های مسیریابی مثل OSPF احراز هویت به صورت Clear-text را پشتیبانی می کنند اما EIGRP فقط به صورت MD5 احراز هویت را انجام می دهد. به این پسورد کلید گفته می شود.در صورتی که این احراز هویت با هم مطابقت نکند از یکدیگر update قبول نمی کنند.

نحوی فعال کردن احراز هویت:

Router(config)#key chain DK
Router(config-keychain)#key 1
Router(config-keychain-key)#key-string mykey
Router(config-keychain-key)#send-lifetime 10:15:00 300
Router(config-keychain-key)#accept-lifetime 10:15:00 10:20:00
Router(config-if)#ip authentication mode eigrp 10 md5
Router(config-if)#ip authentication key-chain eigrp 10 DK

K-Values :
نحوی محاسبه Metric در EIGRP براساس K Values صورت می گیرد. که به شرح زیر است:

K1 = Bandwidth
K2 = Load
K3 = Delay
K4 = Reliability
K5 = MTU

به صورت پیش فرض فقط K1 و K3 فقط فعال هستند در صورتی که بخواهیم از باقی K Values ها استفاده کنیم از دستور زیر استفاده می کنیم:

Router(config-router)#metric weights 0 1 1 1 1 1

فرمول محاسبه Metric :

Image

Load Blancing :
پروتکل EIGRP قابلیت Load Blancing را دارد .
به طور پیش فرض می تواند Load Blancing را روی چهار خط که دارای Cost یکسان هستند انجام دهد که این مقدار تا 16 خط می تواند افزایش یابد.
EIGRP تنها پروتکلی است که قابلیت Unequal Load Balancing (نامتقارن) را دارا می باشد.

Image

Default Network :
Default Network باعث می شود به همه روترها اعلام شود که در صورت نداشتن Route برای یک بسته ان را تحویل یک روتر خاص دهند معمولا این روتر روی لبه شبکه و متصل به اینترنت است
در صورتی که بخواهیم یک روتر را به عنوان Default Network معرفی کنیم از دستورات زیر استفاده می کنیم:

Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.23.3
Router(config)#ip default-network 192.168.23.0

 

Image

(Intrusion Prevention Systems (IPS راه حلی برای شناسایی و مقابله با تهدیدات – بخش دوم

وارد شدن به دستگاه:
وارد شدن به IPS های سری 4200 ، 4300 و 4500 با استفاده از کابل کنسول انجام می شود.
تنظیمات مربوط به ترمینال سرویس را به صورت زیر انجام می دهیم:

Stopbits : 1
flowcontrol : hardware
speed : 9600

برای وارد شدن بهASA 5500 AIP SSM از طریق خط فرمان خود ASA توسط دستور زیر انجام می شود.

Asa#session 1

برای وارد شدن بهASA 5500-X IPS SSP از طریق خط فرمان خود ASA توسط دستور زیر انجام می شود.

Asa#session ips

برای وارد شدن بهASA 5585-X IPS SSP از طریق خط فرمان خود ASA توسط دستور زیر انجام می شود.

Asa#session 1
  • نکته : یوزر و پسورد پیش فرض دستگاه کلمه cisco می باشد.

 

یوزرها در IPS از نظر سطح دسترسی به چهار دسته زیر تقسیم می شوند:


  • Administrator : دارای بالاترین سطح دسترسی می باشد
  • Operator : توانایی مشاهده تمامی تنظیمات و Event ها را دارد و توانایی اجرای دستورات سطح پایین را دارد
  • Viewer : تنها توانایی مشاهده تظیمات و Event ها را دارد
  • Service : توان اجرای دستورات اجرای را ندارد و با این یوزر شما به هسته IPS وارد می شود و از این یوزر برای پشتیبانی و troubleshooting استفاده می شود

نکته : تنها یک یوزر با سطح دسترسی Service می توان رو دستگاه تعریف کرد
نکته : از نسخه IPS 5.0 به بعد یوزر cisco را نمی توان پاک کرد و فقط می توان ان را غیرفعال کرد. برای غیر فعال کردن از دستور no password cisco استفاده می کنیم اگر به هر شکل یوزر cisco را پاک کنیم دستگاه دیگر بوت نمی شود

بعد از وارد شدن به دستگاه مراحل زیر را جهت آماده سازی سنسور انجام دهید:

1.برای اولین بار که وارد سنسور می شود از شما میخواهد که پسورد خود را عضو کنید.
2.دستور Setup را وارد کنید تا سیستم اماده سازی سنسور نمایان گردد.

Sensor#setup
Current time: Sun Sep  7 19:50:45 2014
Setup Configuration last modified: Tue Sep 02 16:09:42 2014

3.در ابتدا یک نام برای سنسور از شما می خواهد که مقدار پیش

(Intrusion Prevention Systems (IPS راه حلی برای شناسایی و مقابله با تهدیدات – بخش اول

IPS در واقع نسخه جدید IDS سیستم تشخیص نفوذ است با این تفاوت که علاوه بر شناسایی حملات و ترافیک آلوده توانایی مسدود کردن و جلوگیری از این حملات را دارد. IPS بسته دریافتی را از لایه دوم تا لایه هفتم با جزئیات بیشتری نسبت به فایروال مورد بررسی قرار می دهد تا بتواند حملات پیچیده را شناسایی و متوقف کند.

انواع IPS های شرکت سیسکو


1- IPS 4200 , 4300 , 4500 : یک دستگاه مستقل که این وظیفه را برای ما انجام می دهد.

Image

2- ماژول AIP : این ماژول در فایروال های ASA استفاده می شود.

Image

3- ماژول IDSM2 : این ماژول در سوئیچ های Catalyst 6500 استفاده می شود.

Image

4- ماژول NME-IPS : ماژول جهت استفاده در روتر ISR

Image

5- IPS نرم افزاری : در روتر های ISR کاربرد دارد

Image

انواع Mode های IPS


  1. promiscuous Mode
  2. Inline mode

 

معرفی promiscuous Mode در IPS های سیسکو


در این حالت یک کپی از بسته ها برای پردازش و بررسی به IPS ارسال می شود IDS ها در این حالت کار می کنند.

مزایا این حالت


  1. بر روی سرعت شبکه تاثیر نمی گذارد
  2. در صورت خراب شدن باعث مختل شدن کار شبکه نمی شود
  3. در صورتی که ترافیک ارسالی بیش از حد توان دستگاه باشد باز هم در حریان شبکه بی تاثیر است

 

معایب این حالت


    1. در صورت بروز حمله توانایی جلوگیری از ان را ندارد و فقط مورد را گزارش می کند
    2. بسته های آلوده شناسایی شده وارد شبکه شده بعد شناسایی می شوند
    3. پیاده سازی ان نیاز به یک فکر و ایده مناسب و اگاهی کامل نسب به عملکرد promiscuous mode دارد
Image

 

معرفی inline mode در IPS های سیسکو


در این حالت IPS در مسیر جریان ترافیک قرار دارد و بسته ها را پردازش می کند و تا قبل از بررسی بسته ها اجازه عبور به انها را نمی دهد

مزایا این حالت


  1. توانایی جلوگیری و مسدود کردن ترافیک آلوده را دارد
  2. توانایی استفاده از تکنیک جریان عادی ترافیک (stream normalization techniques)

 

معایب این حالت


    1. با توجه به اینکه ترافیک ابتدا وارد IPS شده و بعد از پردازش اجازه ورود به شبکه را پیدا می کنند در نتیجه نسب به حالت promiscuous کندتر است
    2. در صورتی که جریان ترافیک بیش از حد توان دستگاه باشد بر جریان ترافیک تاثیر می گذارد
    3. در صورت از کار افتادن دستگاه جریان ترافیک نیر قطع می گردد
Image

 

تکنیک های بررسی ترافیک


  1. Signature Based
  2. Policy Based
  3. Anomaly Based

 

تکنیک Signature Based


در این تکنیک بررسی و پردازش بسته براساس دیتابیسی که توسط سیسکو ایجاد و بروز می شود انجام می گیرد

مزایا


  1. تظیم کردن ان ساده است
  2. دارای اشتباه کمتری در تشخیص ترافیک سالم به عنوان ترافیک آلوده
  3. بروز رسانی حملات جدید شناسای شده به صورت خودکار

 

معایب


  1. توانایی شناسایی حملات ناشناخته را ندارد
  2. باید برای ان دیتابیس ایجاد و به طور مداوم بروزرسانی شود
  3. برای استفاده نیاز به خریداری license است

 

تکنیک Policy Based


در این روش سیاست ها و access list ها توسط ما ایجاد می گردد و این ما هستیم که مشخص می کنیم چه ترافیکی عبور و چه ترافیکی باید مسدود گردد

مزایا


  1. ساده و قابل اعتماد
  2. براساس خواسته ها و سیاست های ما عمل می کند
  3. توانایی جلوگیری حملات ناشناخته را دارد

 

معایب


  1. تمام سیاست ها توسط ما باید انجام گیرد
  2. باید تمام جوانب را در نظر گرفت و به وضعیت شبکه خود اشراف داشته باشیم

 

تکنیک Anomaly Based


در این روش یک بازه زمانی برای IPS مشخص می کنیم و در این بازه رفتار شبکه مورد بررسی قرار می گیرد و کلیه رفتار و جریان ترافیک در ان بازه به عنوان جریان عادی در نظر گرفته می شود و از ان پس اگر جریانی غیر از این جریان اتفاق بیفتد ان را مسدود می کند

مزایا


  1. تنظیم کردن ان ساده است
  2. توانایی شناسایی حملات ناشناخته را دارد

 

معایب


  1. مشخص کردن فعالیت عادی در شبکه های بزرگ بسیار سخت است
  2. جریان و فعالیت شبکه باید ثابت باشد
  3. در صورت الوده بودن جریان شبکه در زمان مشخص شده برای بررسی جریان شبکه این جریان نیز به عنوان جریان سالم شناخته می شود

نویسنده : جعفر قنبری شوهانی

حمله MAC Flooding و نحوی عملکرد و جلوگیری از آن

Cam Flooding Attack یا MAC Flooding Attack یکی از حملات لایه دوم می باشد که مهاجم جدول CAM سوئیچ را با MAC آدرس های جعلی پر می کند. بعد از اینکه جدول پر شد. از این پس سوئیچ بدلیل پر شدن جدول Cam خود نمی تواند MAC جدید را یاد بگیرد درنتیجه سوئیچ بسته های دریافتی که آدرس مقصد آنها در جدول CAM ندارد را روی تمام پورت های خود ارسال می کند.

Image

 

این پر شدن جدول Cam دو مشکل به وجود می آورد:

  1. باعث ایجاد ترافیک بیشتر در شبکه می شود که در نتیجه آن ، تجهیزات شبکه نیز مجبور به پردازش این ترافیک اضافه می شوند و حتی باعث از کار افتادن تجهیزات به خاطر ترافیک زیاد خواهد شد.
  2. ترافیک چون روی همه پورت ها ارسال می شود سیستمی که مقصد ترافیک نیست نیز این ترافیک را دریافت می کند در نتیجه محرمانگی اطلاعات در این حالت از بین می رود. با این تکنیک مهاجم می تواند اطلاعات ارسال بین سیستم های مختلف شبکه را دریافت و جهت مقاصد خود از آنها استفاده کند.
  • نکته : بعد از اینکه حمله متوقف شود MAC ادرس های جعلی به مدت 5 دقیقه که مدت زمان نگه داری آدرس ها در جدول Cam می باشد در جدول باقی می مانند سپس از جدول حذف می شوند و شبکه به حالت نرمال باز می گردد.

برای جلوگیری از این حمله می توان از Port Security و Port-based authentication استفاده کرد.

جعفر قنبری شوهانی

راه اندازی Telnet در تجهیزات سیسکو

برای پیکربندی تجهیزات سیسکو از قبیل روتر و سوئیچ از کابل کنسول استفاده می شود اما مشکلی که در این بین وجود دارد این است که ارتباط کنسول نیازمند دسترسی فیزیکی به دستگاه است و همیشه این دسترسی به دلایلی مانند دور بودن مسافت یا نقاطی که دسترسی به آن مشکل است مانند دکل ، مشکل است.

Telnet

به همین منظور باید بتوانیم از راه دور این تجهیزات را پیکربندی کنیم. در این آموزش می خواهیم نحوی ارتباط ، تنظیم و پیکربندی تجهیزات سیسکو به وسیله Telnet را فرا گیریم. Telnet یک پروتکل Command Base است که به ما این امکان را می دهد که بتوانیم از راه دور به تجهیزات متصل و آنها را پیکربندی کنیم. Telnet برای ارتباط خود از پورت TCP 23 استفاده می کند.

نکته : ارتباط Telnet یک مشکل امنیتی بزرگ دارد و آن ارسال اطلاعات بین کاربر و دستگاه به صورت رمز نشده یا همان Clear Text است در صورتیکه یک نفر بسته های ارسالی بین کاربر و دستگاه را Sniff کند به راحتی می تواند محتوای بسته را ببیند و به اطلاعات آن دسترسی پیدا کند برای جلوگیری از این مشکل باید از پروتکل SSH استفاده شود.

 

نحوی فعال سازی Telnet :

در ابتدا باید به اینترفیسی که طریق آن می خواهیم به دستگاه متصل شویم IP می دهیم با استفاده از دستور زیر :

Router(config)#interface fastethernet 0/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown

نکته : برای فعال کردن telnet روی سوئیچ باید به vlan مربوطه IP اختصاص دهیم.

حالا حداکثر تعداد session همزمان برای telnet را مشخص می کنیم:

Router(config)#line vty 0 4

  • نکته : حداکثر تعداد Session می تواند 16 باشد که در مثال بالا 5 در نظر گرفته شده است(خود صفر نیز حساب می شود)

سپس روش login شدن را مشخص می کنیم:

  • در حالت زیر برای login شدن از یوزر و پسورد تعریف شده روی دستگاه استفاده می شود

Router(config-line)#login local

  • اما در حالت زیر باید برای telnet یک پسورد در نظر بگیریم.

Router(conf ig-line)#login
Router(conf ig-line)#password itpro

  • نکته : در حالت بالا زمانی که به دستگاه telnet زده می شود فقط پسورد خواسته می شود و با وارد کردن پسورد به محیط user mode وارد می شویم وبرای ورود به محیط enable mode باید پسورد موبوطه را وارد کنیم در نتیجه حتما برای محیط enable mode باید پسورد در نظر گرفته شود با دستور زیر:

Router(config)#enable secret itpro.ir

برای مشخص کردن نوع اتصال از دستور زیر استفاده می کنیم:

Router(config-line)#transport input telnet

برای امنیت بیشتر می توان یک Access list برای اتصال telnet با دستور زیر مشخص کرد.

Router(config-line)#access-class 23 in

برای مشخص کردن مدت زمانی که اگر از ارتباط استفاده نشد این ارتباط به طور خودکار قطع شود از دستور زیر استفاده می کنیم:

Router(config-line)#exec-timeout 30

برای مشاهده اتصالات و تنظیمات مربوط به telnet از دستورات زیر استفاده می کنیم:

Router#show user
Router#show line vty 0 4
Router#show running-config

یک مثال عملی جهت درک بهتر :

به شکل زیر توجه کنید می خواهیم از PC به روتر R1 ، telnet بزنیم :

telnet

بعد از اینکه IP ها و ارتباطات بین این دستگاه ها را فعال کردیم دستورات زیر را روی روتر R1 می زنیم:

Router(config)#enable secret itpro
Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password itpro.ir

جعفر قنبری شوهانی
jeffghanbari.ir