حماية السويتش
Switch Security
Switch Security :
لماذا حماية جهاز السويتش أو المبدل لأنه يمثل العمود الفقري للشبكة المحلية وهو الجهاز الذي يربط جميع أجهزة الشبكات مع بعضها البعض في مكان واحد وتكون جميع الأجهزة متصلة بشكل مباشر في نقطة واحدة، ويقوم بتوصيل الأجهزة بمركز البيانات بشكل كامل لهذا السبب يجب أن يكون محمي بشكل كامل من أي عملية اختراق أو عملية هاك وسنتعرف على طرق حماية الجهاز بشكل كامل .
خطوات حماية جهاز السويتش :
يوجد عدة خطوات و عدة طرق لحماية الجهاز سنتعرف على هذه الخطوات بشكل مرتب ومفصل لنستطيع حماية الجهاز بشكل مفهوم.
1- إلغاء TDP
يجب إلغاء عملية التفاوض في منافذ السويتش Trucking Dynamic Protocol (TDP) .
لماذا يجب أن نقوم بعملية إلغاء عملية التفاوض ؟
يتم استغلال هذه المرحلة في عملية اختراق السويتش مثلا عندما ا يكون المنفذ متغير يستطيع أي شخص أن يقوم بربط جهاز اللاب توب في منفذ السوتيش ويأخذ حالة المنفذ التي يريدها ويقوم بعدها بعمل فحص وتحليل كل شيء متصل في السويتش وكشف كل عناوين الماك ادرس المخزنة في جهاز السويتش ، ويمكن أيضا أن يتم استغلال المنفذ مثل ربط جهاز ال Hub ولا ننسى أن جهاز السويتش يقوم بعملية البث المباشر Broad Cast في حالة البث المباشر في داخل السويتش سيتم وصول البيانات إلى جهاز ال Hub وجهاز الهاب يكون موصول بجهاز لاب توب بهذه الحالة سيتم كشف كل معلومات الشبكات والعناوين المرسلة والمستقبلة من قبل الشخص الذي قام بربط الهاب بالمنفذ، و هذه من أخطر العمليات التي يجب إغلاقها وعدم ترك المنافذ متغيرة ، وعدم ترك عملية التفاوض تتغير في حالة التوصيل.
إعدادات إلغاء عملية التفاوض في السويتش :
Switch (config) # interface fastetherent 0/1
هذا الأمر لتحديد منفذ واحد فقط لتطبيق عملية منع التفاوض عليه
Switch (config) # interface fastetherent 0/1-10
هذا الأمر لتحديد مجموعة من المنافذ وتطبيق عملية منع التفاوض
Switch (config-if-range) # switchport mode trunk
هذا الأمر لتطبيق أمر عملية منع التفاوض على منافذ ال Trunk بمعنى أن المنافذ التي تعمل في حالة ال Trunk فقط لا غير سيتم تجهيز المنفذ ليعمل Trunk فقط لا غير.
و بنفس الأمر نقوم بعمل باقي الحالات مثل :
Switch (config-if-range) # switchport mode access
Switch (config-if-range) # switchport nonegotiate
٢- عمل Port Security
يجب تحديد عدد الأجهزة الموجودة في الشبكة والأجهزة المتصلة فقط في السويتش والمسموح لها الاتصال بالمنافذ فقط ، مثلا نريد تحديد جهاز حاسوب معين هو من يستطيع الاتصال بأحد المنافذ في السويتش بعد أن نقوم بتحديد عنوان الماك ادرس الخاص بالجهاز المطلوب ، وهذه العملية تسمى Port Security .
Switch (config)# interface fastethernet 0/10
تحديد المنفذ
Switch (config-if) # switchport port-security maximum 1
تحديد عدد المنافذ التي نريد تطبيق الحماية عليها
Switch (config-if) # switchport port-security mac-address ?
تحديد عنوان الماك ادرس للأجهزة المتصلة في المنافذ
Switch (config-if) # switchport port-security violation ?
تقرير حالة المنفذ في حالة تم فصل أو تركيب جهاز غير الجهاز المعين
3- إغلاق البورتات الغير مستخدمه
يجب إغلاق المنافذ التي لم يتم استعمالها ونقلها لشبكة Vlan غير مفعلة لكي لا يتم استغلال هذه المنافذ في عملية ربط جهاز خارج الشبكة، مثلا عندما ا يكون منفذ مفعل ويعمل من الطبيعي جدا أن يتم ربط أي جهاز حاسوب مثل اللاب توب فيه ومراقبة الشبكة بأكثر من طريق ، مع العلم أن هذا ما يبحث عنه المخترقين.
4- عمل باسورد وتشفيره على السويتش
يجب أن تقوم بعمل إعدادات كلمات المرور على السويتش بشكل عام، على جميع السويتشات نقوم بتشفير كلمة المرور أيضا .
5- عدم إستخدام ال VLAN الإفتراضيه VLAN 1
يجب عدم استخدام شبكة ال Vlan1 الموجودة في السويتش ، لأنها قد تكون أخطر شبكة في السويتش لأنها الرئيسية في السويتش ويفضل عدم استخدامها وأن نقوم بعمل Vlan أخرى وإضافة الأجهزة عليها.
6- علم شبكات VLAN مقسمة
عليك أن تقوم بعمل شبكة Vlan في السويتش وتوزيع جميع المنافذ على ال Vlan على حسب تقسيم الشبكة لديك ويفضل أيضا أن تقوم بعمل Vlan غير مستعملة للمنافذ الغير مستعمله أيضا ونقل هذه المنافذ إلى ال Vlan الغير مستعملة
