امنیت VLAN و Trunk در سوئیچ های سیسکو
امنیت VLAN و Trunk
درست است که VLAN ها از یک جنبه هایی امنیت را فراهم میکنند مثلاً با جدا کردن ترافیک بخش های مختلف از هم، به طوری که یک بخش قادر به مشاهده ترافیک بخش دیگر نباشد؛ اما از لحاظ دیگر می توانند امنیت شبکه را دچار مشکل کنند.
یکی از مهمترین مشکلات وجود VLAN1 است که به صورت پیش فرض در هـمه سوئیچها به عنوان native VLAN تعبیه شده است و پیامهایی که از این VLAN صادر میشود برچسب نخواهند خورد. و همین امر باعث میشود که کلیه پیامهای VLANهای ۱ به راحتی قابل شنود باشند. دلیل بعدی آن همان طور که گفتیم ترافیک بین سوئیچها از طریق ترانکها و توسط پروتکلهای ترانکینگ ISL و Q 802.1 کنترل می شوند.
این پروتکلها تنها از طریق Header بسته های رسیده از VLAN ها به وظایف خود عمل میکنند. حالا یک مهاجم از ترکیب این دو ویژگی میتواند به هر کدام از VLAN ها که خواست دسترسی داشته باشد.
چگونه؟ مهاجم بسته خارج شده از VLAN1 را که به راحتی قابل شنود است، و بسته بندی هم نشده است، بسته بندی میکند و Header خود را به آن اضافه میکند!
پروتکلهای ترانکینگ با بسته هایی سر و کار دارند، که هدر داردو مامور است ومعذور که پیام را به سوئیچ مربوطه برساند !
اما چگونه می توان جلوی این موضوع را گرفت؟
بهترین کار این است که تمامی پورتها و ترانکها را از VLAN1 خارج کنیم و تا آنجا که میتوانیم از این VLAN استفاده نکنیم، در عوض VLAN دیگری را به عنوان native VLAN تعریف کنیم. اگر پروتکلهایی داریم که تنها باید از VLAN1 استفاده کنند سعی کنیم که VLAN1 نهایت امنیت را به کار ببریم .
امنیت VLAN و Trunk
مورد بعدی اینکه تمام پورتهایی که در یک سوئیچ بلا استفاده هستند را خاموش (shut down) کنیم، باید توجه داشت که حتی disable کردن هم امن نیست چرا که امکان Enable کردنش وجود خواهد داشت و سپس این پورتهای بلااستفاده را در یک VLAN جداگانه قرار دهید و آن VLAN را به هیچ VLAN دیگری ارتباط ندهید. به این VLAN ها اصطلاحاً Parking lot VLAN میگویند!
اگر یک سری از پورتها خیلی مهم حیاتی هستند آنها را از سایر پورتها جدا کرده و در یک VLAN جداگانهی امن، نگهداری کنید. اگر نسبت به یک سری از کاربران مشکوک هستید، آنها را در VLAN های جداگانهای قرار بدهید. پروتکل DTPرا که امکان ترانک کردن یک پورت در صورت نیاز را مهیا میکرد، غیر فعال کنیم، چرا که این کار میتواند توسط یک هکر صورت گیرد!
روی سوئیچها پسورد بگذارید. از سیاستهای port security استفاده کنید .
جهت فروش سوئیچ سیسکو ، روی عبارت مورد نظر کلیک کنید .
منبع : آقای اکرمی و www.orbit-computer-solutions.com
لینک های مفید :
مفهوم VLAN Trunking در سوئیچ های سیسکو – مفهوم پایه VLAN در سوئیچ های سیسکو