port-security درس فى الحماية الداخلية [الأرشيف]

مشاهدة النسخة كاملة : port-security درس فى الحماية الداخلية

m_el_share

30-10-2008, 12:29

السلام عليكم ورحمة الله وبركاته
نسمع عن الحماية الشبكة وكل كورسات الحماية الى الناس بتدور عليها عشان تحمى الشبكة الخاصة بيها من ان يحصلها اختراق من خارج الشبكة عن طريق الانترنت مثلا او اى طرق اخرى
طيب ديه الحماية الخارجية طيب لو حصل ان الاختراق كان من جوه الشركة الى انتا شغال فيها
مثل دخل زائر لئى سبب جوه الشركة وكان معاه labtop ووصله بئى بورت موجود داخل الشبكة وابتدى يعمل sniffer للشبكة ويعمل محاولات اختراق اذا نتفادى محاولات الاختراق الداخلية
فيه ناس كتير بتعمل vlan's ومبتشغلش الDHCP وتخلى كل مستخدم يثبت عنده IP بحيث محدش ياخد ايبى غير لما يقولى عليه الادمن طيب ايه ممكن يتعمل تانى ازاى نعمل حماية على الport's الى موزعه داخل الشركة عشان يوصل عليها الناس وكل واحد يركب وصلة النتورك فى البورت القريب منه cisco عندها حل جميل اوى وهوه قالة انا هتبع التعليمات ديه اولا مش هنخلى كل البورتات الى على السوتش كلها شغالة مش هشغل غير البروتات الى انا محتجها والباقى هنعمله shutdown تمام والحل الثانى ان احنا هنشغل خدمة port-security وهيه خدمة حماية البروتات الخاصة فى السويتش بطريقتين اولا ربط البورت الى فى السويتش بالماك ادرس الموجود على كرت النتورك وفى حالت انه اتغير اقفل البورت او نحدد عدد معين من الماك ادرس الى ممكن يتغير عليها نحدد رقم مثلا 4 ماك ادرس اقصى رقم ولو فى حالت ان العدد عدى 4 ماك ادرس اقفل البورت
-اولا-نبتدى بحالت ربط الماك ادرس واحد بى بورت واحد

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport port-security mac-address 0007.EC6D.CB58
Port-security not enabled on interface FastEthernet0/1.

وى احنا شغلبن ممكن نلقى الرسالة ديه وهيه ان الحماية مش هتشتغل على البورت ده والسبب فى كده ان الحماية مش هتشتغل غير على البورت الى متحول الى access والسبب فى كده ان البورت فى حالته العاديه ممكن يكون بورت واصل بى سوتش ثانى او يكون واصل بى كمبيوتر طيب لو هوه واصل بى سوتش بكون فى حالة auto negotiation يعنى ممكن يشتغل على سوتش ثانى او hup او جهاز كمبيوتر وفى حالة ان احنا بنحوله لى access يعنى بنقول ان البورت ده هيكون واصل بكمبيوتر يبقى نبتدى من الاول

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security mac-address 0007.ec6d.3210
Switch(config-if)#switchport port-security violation shutdown

طيب لو انتا مش عاوز تكتب الماك ادرس فيه امر تانى اسمه sticky الامر ده بيقول للسوتش احفظ الماك ادرس الى هيجيلك من على البورت ده واحفظه على البروت وهنضيف الامر فى حالة تغيره اقفل البورت
switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation shutdown

طيب الحالة الثانية ان احنا نحط عدد معبن من الماك ادرس يتربطوا على البورت ده وفى الحالة ديه
احنا مش هنكتب كل ماك ادرس لا السوتش هيحجز اول اعدد من الماك ادرس الى احنا حددنا مثلا 2 وفى حالة غير كده يقفل البورت

switch(config-if)#switchport port-security maximum 2
switch(config-if)#switchport port-security violation shutdown

طيب فى اوامر اخرى غير امر الshutdown فى حالة تجاوز العدد المحدد من الماك ادرس الى مربوط على البورت وهيه امر الprotect وظيفته عند تجاوز العدد المحدد من الماك ادرس المربوط على البورت يعمل drop لى الداتا الى معديه منه بس لو وجد ماك ادرس هوه عرفه يعدى الداتا لو ماك ادرس غريب يعملها drop تمام نشرح تانى البورت عارف 2 ماك ادرس همه مثلا 000.111.222
و الماك ادرس 000.222.333 لو البورت ركب عليه جهاز كمبيوتر بماك ادرس غير دول يعمل للداتا الى خرجه منه drop لكن لو الكمبيوتر صاحب الماك ادرس 000.111.222 وصل على نفس البورت يعدى الداتا

switch(config-if)#switchport port-security violation protect

الامر الاخير restrict وظيفته نفس وظيفة الprotect + انه بيطلع رسالة انه حصل فيه تجاوز على البورت رقم كذا وكمان الprotect بيطلع نفس الرسالة لكن الرسالة الى بيطلها الrestric مختلفه عن الرسائل الى بيطلعها الprotect هوه ده الفرق الى بينهم

switch(config-if)#switchport port-security violation restrict

ان شاء الله الدرس ينتفع بيه الجميع وشكرا لكم
ولا تنسونى من صالح دعائكم

المستعصم بالله

30-10-2008, 13:33

درس جميل جدا
فى انتظار شروحاتك دائما
وجزاك الله كل خير

lumark_s

30-10-2008, 17:23

شرح جميل ورائع

بارك الله فيك و جعل ما تقدم في موازيين حسناتك

Eng.MagoooD

30-10-2008, 18:19

شرح ممتاز
جزاك الله خيرا
منتظرين منك المزيد.

Tech_Admin

30-10-2008, 20:04

بارك الله فيك

actual

30-10-2008, 20:21

جزاك الله خيرا

hisham_munshar

30-10-2008, 20:28

مشكور و بارك الله فيك

SyrianCyclone

30-10-2008, 23:05

جزاك الله كل خير أخي الكريم , درس مفيد جدا

eng.awahab

31-10-2008, 13:22

جزاك الله خير اخوي ..

7amasa7

31-10-2008, 14:08

مشكور اخى على الشرح وفى انتظار المزيد

الكبده

31-10-2008, 14:36

الشرح جميل والمجهود واضح بس واجهتني مشكلة القراءه ..

اتمنى يكون الشرح بالعربية الفصحى .. ^_^

اشكرك ..

hamidh

31-10-2008, 18:16

جزاك الله خير

فعلاً رائع .. استفدت منه كثير

عمرو الشريف

02-11-2008, 13:40

جزاك الله خيرا

Foadd

07-11-2008, 21:49

بارك الله فيك

أحسن الله إليك

CiscoCertified

07-11-2008, 22:22

بارك الله فيك أخي العزيز

كثر من الشروحات جزاك الله خير عشان نرتقي بالمنتدى للأفضل

warior10

07-11-2008, 22:37

بارك الله فيك يا اخى العزيز وفي كل الأخوة فى جامعة عرب هارد وير

c i s c o

09-11-2008, 01:29

جزاك الله الف خير

ننتظر منك المزيد بارك الله فيك

hanyibm

09-11-2008, 08:46

شكرا جزاك الله خير اخي العزيز

egyptiondevil

09-11-2008, 11:55

الف شكر يا كبيييير ربنا يجزاك خير و الله كنت بدور على الحوار ده من فترة

barka

09-11-2008, 23:39

مشكور اخي الكريم

شرح خفيف ظريف وجميل

تحياتي

aktshf

12-11-2008, 08:56

شكرا مجهود رائع وشرح جميل بارك الله فيك

jeddah66

13-11-2008, 19:40

ممتاز ، والله اليوم في الصباح وانا رايح العمل كنت افكر فيها.

انت جبت نصف اللي كان في بالي ، والنصف الثاني انه مش لازم ان اخذ معي اللابتوب عشان ادخل على الشبكة الداخلية ، لو قلنا انني جبت جهاز usb connect GSM عشان ادخل على النت عن طريق اليو اس بي

بكذا ممكن اني ادخل على مواقع كلها فيروسات و تروجن و مواقع مش من مصلحة العمل انني ادخلها لدواعي الامان مثلا.

اعتقد بالطريقة هذه راح افتح Back Door على الشبكة الداخلية .

اش راح يكون الحل في مثال زي كذا .؟

white.heart

09-12-2009, 11:40

جزاك الله خيرا على دروسك الرائعة

hisooka_dos

09-12-2009, 12:02

جزاك الله خيرا..