تکنولوژی TrustSec Cisco

پیاده سازی Protected Port در سوئیچ سیسکو

پیاده سازی Protected Port در سوئیچ سیسکو: Protected Port یکی از قالبیت های ساده ولی هیجان انگیز و کارا در سوئیچ سیسکو ست، که امکان افزایش ضریب امنیتی و مدیریتی را در سوئیچ سیسکو فراهم می آورد.

به زبان ساده Protected Port قابلیتی است که از ارتباط پورت های یک VLAN یا Broadcast Domain با یکدیگر در سوئیچ کاتالیست سیسکو جلوگیری مینماید به بیان دیگر مثلا یک سوئیچ 2960 سیسکو را در نظر بگیرید که همه پورت های آن به صورت دیفالت در یک vlan قرار دارند پس همگی آنها میتوانند با هم در ارتباط باشند و مثلا از منابع و فایل های کامپیوتر هایی که به آن پورت ها متصل اند استفاده کنند. فرضا شما میخواهید پورت fast0/1 که متصل به کامپیوتر آقای X است با پورت fast0/12 که مربوط به کامپیوتر خانوم xx است (که با هم فولدر آهنگ ها و …. را share کرده اند)، ارتباط نداشته باشند ولی به شبکه که به مابقی پورت های سوئیچ سیسکو 2960 متصل است دسترسی و امکان تبادل اطلاعات را داشته باشد خب چه باید کرد؟!

راه حل استفاده از قابلیت Protected Port است، بدین ترتیب که ما پورت های fast0/1 و fast0/12 را Protected میکنیم. بدین ترتیب این دو پورت با یکدیگر (و دیگر پورت های protected) نمیتوانند تبادل اطلاعات نموده ولی به مابقی شبکه دسترسی دارند.

پیاده سازی Protected Port در سوئیچ سیسکو

به شکل کلی در یک Broadcast Domain سوئیچ سیسکو هر پورت Protected نمیتواند با هیچ پورت Protected دیگری ارتباط داشته باشه ولی میتواند با پورت های Unprotected ارتباط داشته باشد.

همانطور که در تصویر بالا مشاهده میکنید پورت های مربوط به کلاینت A و کلاینت B به شکل Protected در آمده و نمیتوانند با یکدیگر ارتباط داشته باشند ولی میتوانند با Server که به یک پورت Unprotected متصل است ارتباط داشته باشند.

برای قراردادن یک پورت سوئیچ سیسکو در حالت Protected کافیست از این کامند استفاده کنید:

R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#interface GigabitEthernet1/0/5
R1(config-if)#switchport protected
R1(config-if)#^Z

R1#sh int gi 1/0/5 switchport
Name: Gi1/0/5
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 807 (cisco asa dmz1)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: true
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none

همانطور که مشاهده کردید در پایان خروجی دستور:

sh int gi 1/0/5 switchport

قید شده است Protected true

پیاده سازی Protected Port در سوئیچ سیسکو

شاید این موارد نیز مورد علاقه شما باشد:

آموزش پیکربندی VLAN سوئیچ سیسکو

Inter Vlan Routing از طریق روتر

کاربرد ها و پروتکل های VLAN قسمت اول

کاربرد هاوپروتکل های VLAN قسمت دوم

مفهوم VLAN Trunking در سوئیچ های سیسکو

پورت Trunk چیست

راه اندازی DHCP بر روی سوئیچ سیسکو

تکنولوژی TrustSec Cisco

آموزش سیسکو استفاده از علامت سوال در CLI

آموزش پیکربندی پروتکل های مسیریابی پیشرفته

پیاده سازی Protected Port در سوئیچ سیسکو

تکنولوژی TrustSec متعلق به شرکت Cisco علاوه بر تسهیل فرآیند آماده‌سازی و مدیریت دسترسی ایمن به شبکه، مدیران امنیتی را در تسریع عملیات امنیتی و اجرای هماهنگ Policy ها در سراسر شبکه یاری می‌کند. برخلاف مکانیسم‌های کنترل دسترسی که بر اساس توپولوژی شبکه عمل می‌کنند؛ روند کنترل TrustSec Cisco با استفاده از گروه بندی Policy ها تعریف می‌شود. در نتیجه قابلیت بخش بندی منابع و دسترسی ایمن حتی در صورت جابجایی منابع در شبکه‌های مجازی و سیار، به طور هماهنگ و پیوسته حفظ خواهد شد.

عملکردهای TrustSec Cisco به منظور محافظت از دارایی ها و برنامه های کاربردی در سازمان‌ها و شبکه‌های دیتاسنتر در فرآیند سوئیچینگ، مسیریابی، LAN، بی‌سیم و محصولات فایروال گنجانده می‌شود.

قابلیت بخش بندی مبتنی بر Policy

در روش‌های قدیمی، بخش بندی یا Segmentation و محافظت از دارایی‌ها با استفاده از VLAN و ACL صورت می‌گیرد. اما در تکنولوژی TrustSec Cisco از Policy های امنیتی استفاده می‌شود که به زبان ساده ماتریسی نوشته شده و از IP و VLAN مجزا هستند. در این تکنولوژی، کاربران و اطلاعات آن‌ها دارای نقش‌های یکسان بوده و در یک گروه امنیتی قرار می‌گیرند.

Policy های TrustSec Cisco به صورت مرکزی ایجاد و به طور خودکار در شبکه‌های بی‌سیم، باسیم و VPN توزیع می‌شوند. در نتیجه کاربران و اطلاعات سازمانی، حتی در هنگام جابجایی در شبکه‌های مجازی و سیار نیز قادر به دریافت دسترسی ها و محافظت پیوسته و هماهنگ خواهند بود. بدین ترتیب زمان صرف شده برای امور مهندسی شبکه و اعتبارسنجی کاهش می‌یابد.

مزایای استفاده از TrustSec Cisco

TrustSec Cisco می‌تواند امور مهندسی تکراری و زمانبر امنیتی را در شبکه از قبیل تعریف قوانین فایروال، VLAN و ACL ساده‌سازی کند. در نتیجه علاوه بر کمک به بهینه‌سازی زمان در IT ، موجب بهبود وضعیت امنیتی سازمان می‌شود.

ساده سازی روند مدیریت دسترسی

ایجاد سیاست‌ها و مدیریت آن در یک ماتریس ساده با استفاده از یک زبان ساده می‌تواند روند مدیریت برای بخش بندی و کنترل دسترسی در سراسر سازمان را تسهیل کند. به علاوه این فناوری می‌تواند دسترسی به اطلاعات مهم و حیاتی را از طریق تعیین نقش‌های اصلی آن‌ها به راحتی کنترل کرده و گروه‌های کاربری مانند پیمانکاران، حسابداران و مدیران فروش یا نقش های سروری مانند پایگاه‌های داده HR یا سیستم‌های CRM را تعریف نماید.

تسریع عملیات های امنیتی

TrustSec Cisco علاوه بر ساده کردن فرآیندهای مدیریت و مهندسی در سازمان‌های IT، به صرفه جویی در زمان کمک می‌کند و آن‌ها را در همگام شدن با تغییرات کسب و کار یاری خواهد کرد. سرورهای جدید قادر هستند ظرف مدت چند دقیقه Onboard شوند. ضمن اینکه جابجایی، تغییرات و افزودن مواردی که نیازمند پشتیبانی IT است؛ به سرعت انجام شده و قابلیت خودکارسازی قوانین فایروال و مدیریت ACL نیز وجود دارد.

Policy های هماهنگ در هر مکان

TrustSec Cisco این قابلیت را داراد که Policy ها را در هر جایی از شبکه به صورت هماهنگ اجرا کرده و محافظت از اطلاعات و امکان دسترسی بدون مانع کاربران به منابع را تضمین کند. مدیرانی که مسئولیت تعریف Policy را بر عهده دارند، می‌توانند آن را در توپولوژی های باسیم، وایرلس و VPN استفاده کنند. در حالی که گسترش روش‌های قدیمی بخش بندی در شبکه‌های سازمانی به سختی صورت می‌گیرد؛ طراحی TrustSec Cisco به نحوی است که برای عملیات مختلف در هر اندازه‌ای مناسب بوده و ممکن است کاربران سیار، دفاتر شعب، محیط های Campus و دانشگاهی (چند ساختمان در یک محدوده که دارای ارتباطات شبکه‌ای هستند) و دیتاسنترها را دربرگیرد.

[su_box title=”حتما بخوانید:” style=”soft” box_color=”#1753ff” radius=”0″]پیاده سازی Protected Port در سوئیچ سیسکو
بررسی فایروال Cisco ASA (قسمت اول)
بررسی فایروال Cisco ASA (قسمت دوم)[/su_box]

بخش بندی شبکه‌های CAN

در شبکه‌های Campus یا به عبارتی شبکه‌هایی که شامل ساختمان‌هایی مجاور یکدیگر هستند؛ فرآیند بخش بندی گروه‌های مختلف کاربران در VLAN موضوعی متداول محسوب می‌شود. هر VLAN نیاز به یک فضای آدرس دارد و باید در یک Interface مسیریابی شده Upstream طراحی شود. این امر ممکن است مستلزم استفاده از ACL استاتیک یا عملکردهای ارسال و مسیریابی مجازی VRF برای حفظ جداسازی باشد. تعاملات کنترل شده بین گروه‌های کاربری باید در پیکربندی سوئیچ یا روتر تعریف شوند که امکان دارد این روند را پیچیده‌تر کند. به علاوه اینکه کنترل ارتباط در یک VLAN یا بخش بندی آن، کاری دشوار است.

راهکار TrustSec Cisco برای شبکه های CAN

TrustSec Cisco از تگ‌های مربوط به گروه‌های امنیتی یا STG برای تعریف دسترسی‌ها در شبکه استفاده می‌کند. تعامل سیستم‌های مختلف از طریق Policy های مبتنی بر گروه‌های امنیتی تعیین شده و نیاز به انجام تنظیمات پیچیده بر روی VLAN را از بین برده و طراحی نحوه دسترسی به شبکه را به صورت ساده حفظ می‌کند. ضمن این‌که از ازدیاد تعداد VLAN ها نیز جلوگیری خواهد شد. به علاوه می‌توان ارتباطات بین گروه‌های کاربری مختلف را رد کرده و ارتباطات کنترل شده در پورت‌ها و پروتکل های خاص را مجاز کرد. ACL های مربوط به گروه‌های امنیتی در این فناوری می‌تواند ترافیک‌های ناخواسته بین کاربران با نقش‌های مشابه را مسدود کرده و در نتیجه از فعالیت‌های مخرب و حتی Exploit کردن بدافزار به صورت Remote جلوگیری کند.

خودکارسازی Rule های فایروال

کنترل دسترسی بر اساس IP اغلب به ایجاد جداول بزرگی از قواعد فایروال منتهی می‌شود که درک و مدیریت آن را دشوار می‌کند. در دیتاسنترهای مجازی‌سازی شده به احتمال زیاد تعدادی فرآیند از سرورهای منطقی برای محافظت وجود دارد که ممکن است به طور مکرر تغییر در آن‌ها اتفاق بیافتد.

راهکار TrustSec Cisco جهت مدیریت Rule های فایروال

با TrustSec Cisco می‌توان قوانین فایروال را به جای IP سرورها، با استفاده از Role هر سرور نوشت. بنابراین Policy ها، ساده شده و مدیریت آن‌ها نیز تسهیل می‌شود. در دیتاسنترهای مجازی، عملکردهای TrustSec Ciscoدر پلتفرم های سوئیچینگ مجازی V 1000 Nexus Cisco این امکان را فراهم می‌کند که تخصیص نقش سرورها در یک پروفایل آماده‌سازی مشخص شده و به صورت خودکار با فایروال‌های سیسکو به اشتراک گذاشته شود. با افزایش بار کاری در یک پروفایل مشخص یا با جابجایی بار کاری، اطلاعات عضویت در گروه‌ها بر روی فایروال‌ها به طور آنی به روز رسانی می‌شود. در صورت اضافه شدن یک سرور با نقش مشخص نیازی به اضافه کردن آن به جدول دسترسی فایروال نخواهد بود.

قواعد مبتنی بر TrustSec Cisco در Manager Security Cisco

Policy های دسترسی BYOD به طور معمول با استفاده از فهرست‌های کنترل دسترسی IP محور به کار می‌روند تا قادر به کنترل نحوه دسترسی کاربران مجاز به منابع باشند. مدیریت ACL بر اساس IP می‌تواند به دلیل نیاز به نگهداری مداوم به یک مسئولیت اجرایی تبدیل شود.

راهکار TrustSec Cisco در امنیت BYOD

پروفایل بندی گسترده ISE، اعتبارسنجی موقعیت و قابلیت‌های یکپارچه سازی در مدیریت تجهیزات سیار را می‌توان به عنوان بخشی از فرآیند دسته بندی BYOD در طراحی Cisco TrustSec استفاده کرد. پس از آن، سوئیچ‌ها و فایروال‌های TrustSec Cisco می‌توانند دسته بندی BYOD را در نظر گرفته و موارد مبتنی بر Policy را در آن اجرا کنند. این رویکرد نه تنها به ارائه کنترل دسترسی با عملکرد بالا می‌پردازد بلکه Policy های دسترسی را به شیوه‌های بسیار ساده همراه با تلاش‌های مدیریتی کمتر تعریف خواهد کرد.

نوشته‌ها

پیاده سازی Protected Port در سوئیچ سیسکو