دانلود تحقیق سیسکو

چکیده شرکت Cisco بعنوان بزرگترین و معتبرترین شرکت در زمینه ساخت، طراحی و اجرای شبکه‌ های کامپیوتری و تجهیزات آن در جهان شناخته شده است و در زمینه های مختلف روتر و فایروال تخصص دارد .

فایروال وسیله ای است که کنترل دسترسی به یک شبکه را بنابر سیاست امنیتی شبکه تعریف می کند.علاوه بر آن از آنجایی که معمولا یک فایروال بر سر راه ورودی یک شبکه می نشیند لذا برای ترجمه آدرس شبکه نیز بکار گرفته می شود.

مشخصه های مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارتند از: 1- توانایی ثبت و اخطار :ثبت وقایع یکی از مشخصه های بسیار مهم یک فایروال به شمار می شود و به مدیران شبکه این امکان را می دهد که انجام حملات را کنترل کنند.

همچنین مدیر شبکه می تواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد.

2- بازدید حجم بالایی از بسته های اطلاعات: یکی از تستهای یک فایروال ، توانایی آن در بازدید حجم بالایی از بسته های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است.

حجم داده ای که یک فایروال می تواند کنترل کند برای شبکه های مختلف متفاوت است اما یک فایروال قطعا نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود.عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند.

بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی فایروال تحمیل می شوند.

عامل محدودکننده دیگر می تواند کارتهای واسطی باشد که بر روی فایروال نصب می شوند.

فایروالی که بعضی کارها مانند صدور اخطار ، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.

.

کلید واژه- ویروس های کامیپوتری، ضد ویروس، فایروال Firewall، امنیت، لایه های شبکه، سیسکو 1-مقدمه CCNA مخفف کلمه Cisco Certified Network Associate است که به ‌معنای مدرکی است که دارنده آن را شرکت سیسکو به‌ عنوان همکار شبکه قبول دارد!

این مدرک به کسانی تعلق می‌گیرد که پس از گذراندن آن توانائی نصب و راه اندازی و خطایابی صد Node در شبکه را داشته باشند.

همچنین طی گذراندن این مدرک فرد مورد نظر با پروتکلهای پایه شبکه مثل IP – IPX – VLAN – GRP آشنائی پیدا می‌کنند ولی نه بطور اخص و حرفه‌ای ]6[.

2-روترهای Cisco: همانطور که گفتیم در میان محصولات شبکه, Cisco آشناترین و محبوبترین نام را دارد.

محصولات Cisco معمولا” بهترین و مطمئن ترین ابزارهای شبکه هستند.

با داشتن یک روتر Cisco بعید است مدیر یک شبکه در حل مسائل و مشکلات خود به بن بست برسد.

چرا که Cisco برای هر مسئله ای راه حلی را پیشنهاد کرده است.

ما در اینجا تنها مقداری درباره روترهای Cisco بحث می کنیم و وارد سایر محصولات Cisco نمی شویم.

بدیهی است پرداختن به جزئیات کامل روترهای Cisco نیز امکان پذیر نیست.

برای آگاهی کامل از محصولات و هر یک از تجهیزات Cisco می توانید به سایت Cisco.com مراجعه نمایید.

امروزه استفاده از روترهای Cisco به منظور برقراری ارتباط کاربران با ISP از جمله رایج ترین روشهای موجود است.

علاوه بر این روترهای Cisco می توانند به منظورهای مختلفی نظیر Firewall , Routing , VoIP , ..

]6[.

همانطور که می‌دانید شرکت Cisco بعنوان بزرگترین و معتبرترین شرکت در زمینه ساخت، طراحی و اجرای شبکه‌های کامپیوتری و تجهیزات آن در جهان شناخته شده است .

از این رو برای آشنائی بیشتر متخصصان شبکه با اصول طراحی و کار با تجهیزات، این شرکت اقدام به برگزاری دوره‌های متعددی در زمینه‌های مختلف شبکه نموده است.

همچنین برای آگاهی از صحت و کار آزمودگی دانش آموختگان این دوره‌ها پس از گرفتن آزمون از آنها، به آنها مدرک بین‌المللی ارائه می‌نماید .

در کشور ما شرکتها و موسسات آموزشی متعددی نسبت به برگزاری این دوره ها اقدام نموده اند، ولی به علت اینکه شرکت سیسکو در آمریکا قرار دارد و ما هم تحت تحریم قرار داریم، لذا هیچگونه مدرکی از طرف این شرکت در داخل ایران صادر نمی گردد و دانش آموختگان بایستی پس از گذراندن این دوره‌ها به یک کشور دیگر ( معمولا شهر دبی ) رفته و در امتحانات آنجا شرکت نموده و مدرک را در آن کشور اخذ نمایند.

می‌توان گفت اولین مدرک رسمی که از سوی شرکت به دانش آموختگان ارائه می‌شود، مدرک CCNA است.

هرچند توصیه می‌شود قبل از گزراندن این دوره بهتر است مدرک +Network یا ICND اخذ شود، ولی اجباری در گذراندن این مدارک نیست ]6[.

3-سایر مدارک سیسکو CCDA : یکی دیگر از مدارک سیسکو که در ایران کمتر به آن توجه شده است، مدرک CCDA یا Cicso Certified Design Associate است.

این مدرک روی طراحی و مهندسی شبکه زوم نموده است]4[.

CCDP : مدرک CCDP یا Cicso Certified Design Professional یعنی طراح حرفه‌ای شبکه مورد تائید سیسکو]4[.

CCIE : بعد از گذراندن CCDP، شما می‌توانید مدرک CCIE را نیز اخذ کنید.

تفاوت اخذ این مدرک با بقیه مدارک شرکت سیسکو در نحوه برگزاری آزمون آن می‌باشد، چون این مدرک بصورت عملی و در لابراتوار برگزار می‌شود]4[.

CCIP: شرکت Cisco جدیدا اقدام به برگزاری دوره CCIP نموده است که در آن بصورت محض روی مباحث IP , DSL پرداخته می‌شود]4[.

4- مفهوم Cisco Unified communications چیست ؟

Unified communications در یک جمله به مفهوم مجتمع سازی ، یکپارچه سازی و تلفیق انواع سرویس های ارتباطی از قبیل صوت ، تصویر ، دیتا بر روی پلتفروم سخت افزاری نرم افزاری خاص و بهنیه سازی و integrate نمودن سرویس ها در کنار یکدیگر]3[.

Cisco unified communication به مجموع نرم افزار های ارتباطی و سخت افزار های سیسکو که امکان برقراری انواع ارتباطات Voice – Video – Data را بر روی بستر شبکه های مبتنی بر سیسکو به شکل یکپارچه و هماهنگ و تکمیل کننده یکدیگر اطلاق میشود]4[.

منشاء unified communication به سال 1997 بازمیگردد ، زمانی که سیسکو پا به عرصه سرویس Voice بر روی بستر شبکه یا همان Voice over IP – VOIP – ویپ ، گذاشت ، این شروع با انتشار نسخه اول نرم افزار Selsius CallManager آغاز شد ]6[.

در طی 12 سال سیسکو به Cisco Unified Communication Manager نسخه 9 که هسته اصلی این تکنولوژی است ، رسید .

Cisco Unified communication مشتمل بر 4 پلتفورم اصلی است : 1 – Cisco Unified Communication Manager 2 – Cisco Unified Communication Manager Express 3 – Cisco Unity Connection 4 – Cisco Unified Presence Cisco Unified Communication Manager به عنوان مادر و هسته اصلی سرویس های مجتمع ارتباطی سیسکو شناخته شده و یک سیستم Enterprise برای کسب کارهای کوچک تا بسیار وسیع ، کاملا حرفه ای ، با پشتیبانی از بیش از 40000 End Point ، بسیار پایدار و شناخته شده ، جهت ارائه انواع سرویس های ارتباطی بر روی بستر شبکه طراحی شده است ]9[.

هسته اصلی CUCM بر روی کرنل لینوکس و توزیع اختصاصی سیسکو با امکان پیاده سازی و سازگاری با انواع مجازی سازها بلاخص ESXI ، جهت نصب بر روی سرور های IBM – HP و برند های مورد تائید سیسکو و UTM های سری VG سیسکو است]7[.

جهت استفاده از CUCM ملزم به خرید Licence به میزان چگالی شبکه که مشتمل بر نوع دیوایس ها و تعداد آنها است میباشید ، همچنین بدنیست که بدانید که سیسکو امکان root Access سیستم عامل را به شما نمیدهد و تنها میتوانید از طریق Browser و یا نرم افزار های مدیریتی با CUCM ازتباط برقرار کنید]4[.

از مزایای بزرگ CUCM امکان Clustering جهت تقسیم بار بر رو چندین سرور و همچنین ایجاد Fault Tolerance و Redundancy و افزایش حوزه شبکه ارتباطی می باشد .

محصولات Unified Communication سیسکو در ابتده فقط از پروتکل اختصاصی سیسکو SCCP یا همان Skinny - Skinny Client Control Protocol و MGCP پشتیبانی میکردند ، ولی بعده ها سیسکو دریافت که نمیتواند سیاست Apple را در پیش بگیرد و به سمت استاندارد های جهانی پیش رفت ، همکنون سیسکو از SIP نیز پشتیبانی میکند ولی همچنان از SCCP به عنوان پروتکل پیشفرض برای ارتباط با End point های سیسکو استفاده مینماید]5[.

مثلا فرض کنید یک سازمان با چندین Branch در نقاط مختلف دنیا و تعداد 10000 end point ، با استفاده از قابلیت های CUCM می تواند ، در هر Head Quarter یک سرور اصلی CUCM و در Branch ها از CME ( که در ادامه به آن اشاره خواهیم کرد) ، استفاده کند ، بدین ترتیب هم در پهنای ارتباطی WAN صرفه جویی میشود و هم از افت کیفیت و delay در ارتباطات داخلی خبری نخواهد بود و هم بار بین سرور ها تقسیم میشود]3[.

امکانات CUCM بسیار وسیع تر از ارتباطات Voice – Video – IM است که در این مجال نمیگنجد ، ولی به قدرت میتوان گفت مجموعه Cisco Unified Communication - که مشتمل بر پلتفرم مادر CUCM و عناصر دیگر شبکه که همگی از برند سیسکو هستند ، قوی ترین شبکه ارتباطی چند رسانه ای مبتنی بر IP در دنیاست]7[.

و اما CME – Cisco Unified Communication Manager Express ، که همانا فرزند خلف CUCM است ، در واقع نگارش سبک CUCM است که به صورت IOS Embedded در دل روتر سیسکو نهاده شده]5[.

CME که در اوایل Call Manager Express نام گرفته بود ، دارای امکانات ساده تری نسبت به CUCM ولی به همان میزان کارا و قابل اطمینان ، جهت شبکه های کوچک و متوسط و یا در ارتباط با CUCM در branch ها مورد استفاده قرار میگیرد CME که در اوایل Call Manager Express نام گرفته بود ، دارای امکانات ساده تری نسبت به CUCM ولی به همان میزان کارا و قابل اطمینان ، جهت شبکه های کوچک و متوسط و یا در ارتباط با CUCM در branch ها مورد استفاده قرار میگیرد ]6[.

CME بر روی روتر های استاندارذ ISR و سپس ISR نسل دو بعد از IOS 12.4T چپانده :دی شده و شامل امکانات ارتباطی صدا تصویر و به کمک Cisco Unity امکانات Voice Mail می باشد]5[.

بسته به ورژن IOS و مدل و سری روتر CME قابلیت پستیبانی تا 450 IP Phone و انواع خطوط آنالوگ FXO FXS و دیجیتال E1/T1 را داراست]7[.

5-CME IOS Support Cisco Unity که در قدیم به صورت (Cisco SRE Internal Service Module (ISM که در شکاف AIM قرار میگرفت و دارای Flash شبیه روتر و RAM و سیستم عامل Linux Base و (Cisco SRE Service Module (SM که ماژول NM بوده و دارای هارد دیسک و ram مجزا و امکان ذخیره سازی بالاتر و سیستم عامل مجزا ، بوده است ]6[.

شکل 1- شماتیکی از روتر CME 5-1-سیسکو unity در حال حاضر سیسکو یونیتی 8 و 9 امکان نصب بر روی سرور ها را داشته و ظرفیت و قابلیت های بالاتری را دارد]9[.

6-رده بندی Unified Communication Platform بر حسب نیاز : شکل 2- شماتیکی ازUnified Communication Platform چرا که Cisco برای هر مسیله ای راه حلی را پیشنهاد کرده است]4[.

ما در اینجا تنها مقداری درباره روترهای Cisco بحث می کنیم و وارد سایر محصولات Cisco نمی شویم]7[.

بدیهی است پرداختن به جزییات کامل روترهای Cisco نیز امکان پذیر نیست.

برای آگاهی کامل از محصولات و هر یک از تجهیزات Cisco می توانید به سایت Cisco.com مراجعه نمایید]7[.

علاوه بر این روترهای Cisco می توانند به منظورهای مختلفی نظیر Firewall , Routing , VoIP , ...

مورد استفاده قرار گیرند ]6[.

8-روترهای Cisco دارای مدلهای مختلفی بوده که برخی از آنها به اختصار عبارتند از: 8-1-Cisco 2511 این مدل دارای 1 ماژول Ethernet می باشد.

برای اتصال خط Leased دارای پورت سریال Onboard است.

میزان Ram آن4 الی 8 مگابایت می باشد و امکان افزایش را نیز داراست.

میزان Flash آن8 الی 16 مگابایت بوده و امکان تعویض یا افزایش را نیز داراست.

ماژول نمی توان به آن اضافه کرد.

اما می توان 2 پورت سریال برای اتصال خط Leased یا E1/T1 به آن اضافه کرد.

سرعت Ethernet آن 10 Mb/s می باشد]7[.

8-2-Cisco 26XX این مدل دارای 1 پورت یا 2 پورت Ethernet می باشد.

برای اتصال خط Leased به کارت سریال WIC1T یا WIC2T نیاز است.

میزان Ram آن حداقل 16 و حداکثر 256 مگابایت می باشد.

میزان Flash آن حداقل 8 و حداکثر 128 مگابایت می باشد.

حداکثر 1 ماژول می توان به آن اضافه کرد.

حداکثر 2 کارت WIC می توان به آن اضافه کرد.

سرعت Ethernet آن 100/10 یا10 می باشد.

8-3- Cisco 36XX این مدل دارای 1 پورت یا 2 پورت Ethernet می باشد.

برای اتصال خط Leased به آن به ماژول NM-1FE2W و کارت سریال WIC1T یا WIC2T نیاز است میزان Ram آن 32 می باشد و امکان افزایش را نیز داراست.

میزان Flash آن 8 بوده و امکان تعویض یا افزایش را نیز داراست]6[.

حداکثر 6 ماژول می توان به آن اضافه کرد.

سرعت Ethernet آن 100 می باشد.

8-4Cisco 5300 این مدل Router نبوده و فقط Access Server می باشد.

دارای 2 پورت Ethernet است.

یکی با سرعت 10 و دیگری با سرعت 100 است.

خط Leased نمی توان به آن اضافه کرد.

میزان Ram آن 64 می باشد و امکان افزایش را نیز داراست.

میزان Flash آن 16 بوده و امکان تعویض یا افزایش را نیز داراست.

حداکثر 3 ماژول می توان به آن اضافه کرد.

حداکثر 4 خط E1 می توان به آن اضافه کرد.

(برای 120 خط VoIP همزمان) ]7[.

8-5- Cisco 5350 این مدل دارای 2 پورت Ethernet با سرعت 10/100 می باشد.

حداکثر 7 خط E1 می توان به آن اضافه کرد.

دارای دو سریال پورت Onboard است که از آن می توان برای اتصال خط Leased استفاده کرد.

میزان Ram آن 128 مگابایت می باشد و امکان افزایش را نیز داراست.

میزان Flash آن 32 مگابایت بوده و امکان تعویض یا افزایش را نیز داراست.

حداکثر 7 خط E1 می توان به آن اضافه کرد]5[.

8-6-Cisco 1750 این مدل دارای 1 ماژول Ethernet می باشد.

به این مدل می توان 2 کارت WAN اضافه کرد.

مورد استفاده آن فقط به منظور Voice Gateway است.

برای اتصال خط Leased به آن باید ماژول WIC به آن اضافه کرد]9[.

میزان Ram آن16 مگابایت می باشد و امکان افزایش را نیز داراست ]6[.

میزان Flash آن 4 مگابایت بوده و امکان تعویض یا افزایش را نیز داراست.

با استفاده از کارتهای VIC-2FXO می توان از حداکثر 4 خط به منظور VoIP استفاده کرد.

سرعت Ethernet آن10/100 می باشد]10[.

8-7Cisco Vg200 این مدل دارای 1 ماژول Ethernet می باشد.

اتصال خط Leased به آن ممکن نیست.

میزان Ram آن16مگابایت می باشد و امکان افزایش را نیز داراست.

میزان Flash آن 4مگابایت بوده و امکان تعویض یا افزایش را نیز داراست.

حداکثر 1 ماژول می توان به آن اضافه کرد ]7[.

سرعت Ethernet آن 100/10 می باشد.

همانگونه که گفته شد روترهای Cisco نسبت به سایر روترها قابلیت انعطاف پذیری بیشتری داشته و ماژول های مختلفی می توان بر روی آنها نصب کرد و به منظورهای مختلف از آنها استفاده نمود.

از میان انواع ماژولهایی که می توان بر روی روترهای Cisco نصب کرد می توان به موارد زیر اشاره کرد : ▪ NM16AM: ماژول Data برای 16 خط تلفن به همراه 16 مودم Internal با سرعت 56Kb/s می باشد]7[.

▪ NM32A: ماژول Data برای 32 خط تلفن بدون مودم Internal می باشد.

اگر از این ماژول استفاده شود باید 32 مودم External به روتر وصل شود ]6[.

▪ NM16A: ماژول Data برای 16 خط تلفن بدون مودم Internal می باشد.

اگر از این ماژول استفاده شود باید 16 مودم External به روتر وصل شود.

▪ NM-HDV-2E1: بوسیله این ماژول 2 خط E1 را می توان به روتر متصل کرد ]6[.

▪ NM-HDV-1E1: بوسیله این ماژول می توان 1 خط E1 به روتر متصل کرد ]6[.

NM-HDV-1E1e همانند NM-HDV-1E1 بوده با این تفاوت که DSP Proccessor آن قوی تر است ]6[.

▪ NM-HDV-1T1 : بوسیله این ماژول می توان 1 خط T1 به روتر متصل کرد ]6[.

▪ NM-HDV-2T1 : بوسیله این ماژول می توان 2 خط T1 به روتر متصل کرد ]6[.

▪ NM-2V : ماژولی است که روی روتر نصب می شود و به آن می توان 2 کارت FXO یا FXS وصل کرد ]6[.

▪ VIC-2FXO : بوسیله این کارت می توان دو خط آنالوگ معمولی را به منظور VoIP به روتر وصل کرد ]6[.

▪ VIC-2FXS : همانند FXO بوده با این تفاوت که به ماژول FXO خطوط تلفن شهری (PSTN) وصل می شود اما به ماژول FXS مستقیما" گوشی تلفن وصل می شود ]6[.

▪ RAM : روترها هم مثل کامپیوترها دارای Ram مخصوصی بصورت ماژول در ظرفیتهای 8 , 16 و 32 و ...

مگابایتی می باشند ]6[.

9-کاربرد Cisco در فایروال شبکه 9-1-لایه پیوند داده ها مهمترین وظیفه آن کنترل خطاست.

برای این منظور داده ها در قالب بسته هایی به نام ”قاب“ (Frame) بسته بندی می شوند]5[.

وظیفه دیگر آن حل مشکل عدم تطابق سرعت فرستنده و گیرنده (کنترل جریان) است]5[.

در شبکه های پخشی وظیفه ”کنترل دسترسی به خط مشترک“ را نیز دارد]5[.

-Scapy - Yersinia - Macof - TCPDump - Cain & Abel - EtterCap - Ethereal شکل 3- مدل 7 لایه ای OSI 9-2-محیط نرم افزار Yersinia شکل 4- شماتیکی از محیط نرم افزار این نوع از حملات تمرکز مستقیم خود را بر روی Content Address Memory که محلی برای ذخیره سازی آدرس MAC دستگاههای مختلف است می گذارند ]6[.

در این نوع حمله CAM Table با آدرس های غیر واقعی آنقدر پر میشود که کارایی سوییچ مربوطه پایین آمده و Flooding رخ میدهد ، سپس آدرس های نا معتبر از پورتهای متصل به سوییچ های دیگر عبور کرده و شروع به پرکردن حافظه آنها می کند]5[.

شکل 5- شماتیکی از نوع حمله 9-3-عملکرد ویروس بدین صورت تمامی شبکه آلوده شده و سوییچ ها یکی پس از دیگری هنگ میکند ]5[.

از مشکلاتی که این نوع حمله بوجود می آورد میتوان به از بین رفتن اطلاعات در حال انتقال بر روی شبکه و نیز Down شدن شبکه به صورت وقت اشاره کرد ]5[.

استفاده از دستور Port Security : Port Security یک دستور خاص و امنیتی می باشد که کاربردهای زیادی در زمینه امنیت و در سوییچ های سیسکو قابل اجراست]4[.

شیوه کار بدین صورت است که به هر پورت از پورتهای سوییچ میتوان یک یا چندMac مختلف متصل کرد]4[.

با توجه به این موضوع MAC های ذخیره شده در CAM توسط مدیر شبکه کنترل شده و به نوعی قابل مدیریت میباشد .

در ساده ترین حالت Port Security آدرس MAC متصل شده به سوییچ را به خاطر می سپارد و فقط به همان آدرس اجازه برقراری ارتباط را می دهد و اگر MAC دیگری بخواهد از طریق همان پورت به شبکه متصل شود ، پورت مذکور غیرفعال خواهد شد ]8[.

اکثر مدیران شبکه سوییچ را طوری تنظیم می کنند که یک SNMP Trap به سیستم مانیتورینگ مبنی بر غیر فعال شدن یک پورت به دلایل امنیتی فرستاده شود تا بتوانند نقاطی را که حمله ازآنجا بیشتر صورت میگیرد را شناسایی کنند ]7[.

9-4 تنظیمات پایه : Port Security Switch# config t Switch(config)# int fa0/18 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security mac-address sticky Switch(config-if)#^Z 9-5- حمله از نوع ARP Spoofing حالتی است که با بوجود آوردنARP های جعلی سرو کار دارد .

جدول ARPبرای گرفتن آدرس فیزیکی MACمورد استفاده قرار میگیرد و دارای جدول خاصی میباشد که به طور مرتب در حال بروزرسانی است .در حالت کلی این جدول از امنیت بسیار پایینی قرار دارد و حتی شخصی میتواند با فرستادن ARPهای جعلی بدون اینکه کامپیوتر قربانی متوجه باشد ، بگوید که بطور مثال کامپیوتر SERVER من هستم ]7[.

انجام این عمل به این معناست که سیستم از این به بعد داده های خود را بجای سرور اصلی به سیستم مهاجم می فرستد .

این نوع حملات جزء دسته حملات man-in-the-middle می باشد.

شکل 6- شماتیکی از حمله man-in-the-middle برای کاستن این نوع حملات می توان از DHCP Snooping وDynamic ARP Inspectionاستفاده کرد.

DAI بدین شکل عمل می نماید که بر روی پورتهای غیر قابل اعتماد نشسته و پکتهای ARPی را که در شبکه در حال گذر میباشند را بازرسی و محتویات IP وMACآن را با Databaseخود DHCP Snooping مقایسه و پکتهای غیر مجاز را Drop می نماید ]6[.

در این نوع از حمله ، شخص حمله کننده با مانیتور کردن شبکه در خواست های ارسالی برای DHCP را گوش کرده و خود را جای DHCP جای زده و به Clientها آدرس Gatewayخود را می دهد تا ترافیک از کامپیوتر حمله کننده عبور کند ]6[.

شکل 7- نحوه درخواست حمله DHCP شکل 8- نحوه درخواست حمله DHCP برای جلوگیری از این نوع حملات ، سیسکو راهکاری بنام DHCP Snooping را معرفی می نماید ]2[.

در این حالت تنها پورتهایی از Uplink اجازه دارند پیام های DHCPرا ارسال نمایند که جزء دسته پورت های Trust باشند .

در صورتی که این پیامها از کامپیوتر های غیر مجاز و از پورت های غیر مجاز ارسال گردد پورت به حالت Shutdown در می آید ]10[.

Switch(config)# ip dhcp snooping Switch(config)# ip dhcp snooping information option Switch(config)# ip dhcp snooping vlan number number Switch(config-if)# ip dhcp snooping trust 9-10- IP Source Guard با استفاده از این حالت آدرس IP کامپیوتر به پورت مربوطه و آدرس MACی که برای هر IP در نظر گرفته شده ، حالت Bind(چسبیدن)پیدا می کند و در صورتی که IP به هر شکل جعل شود و سوییچ طبعا“ نتواند پورت و آدرس IP و MAC را در Databaseپیدا کند ، اقدام به فیلتر کردن فریم های ارسالی از Ipآدرسی که در حال ارسال می باشد می کند .

لازم به ذکر است که اینگونه از تنظیمات در لایه 2 قابل پیکربندی می باشند ]6[.

شکل 9- IP Source Guard شکل 8- نمونه از یک حالت Binding 9-11- VLAN-Based Attacks این نوع حمله اصولا“ به مواردی اشاره دارد که کاربر خاطی با استفاده از یک سوییچ غیر مجاز وارد Trunk شده و شروع به دریافت اطلاعات کاربران می نماید ]3[.

شکل 10- شماتیکی از VLAN-Based Attacks برای رفع این موضوع ، می توانیم : از دستور Switchport mode Trunk برای پورت های ترانک و از دستور Switchport mode Access برای پورت های متصل به Clientها استفاده نماییم ]7[.

ضمنا“ می توان پورت های غیر ضروری را نیز Shutdown کرد]7[.

10- ایجاد امنیت در استفاده از پروتکل CDP همانطور که می دانید Cisco Discovery Protocol به صورت پیش فرض بر روی تمامی پورت های سوییچ فعال است و هر 60 ثانیه یکبار اطلاعاتی را از طریق پورتهای فعال ارسال می نماید .

این داده ها شامل نوع دستگاه ، اطلاعاتی در مورد پورتها و حتی اطلاعاتی در مورد IOS می باشد.

برای امنیت بیشتر لازم است این پروتکل را بر روی تمامی پورتهای غیر ضروری مانند پورتهای لایه Access که به End Deviceها متصل هستند غیر فعال نمایید]7[.

شکل 11- ایجاد امنیت در استفاده از پروتکل CDP برای پیکربندی تنظیمات CDP بر روی اینترفیس ها به شکل زیر عمل می نماییم : Switch(config)#interface fastEthernet 0/1 Switch(config-if)#no cdp enable Switch(config-if)#exit 11-پیشنهاداتی برای ایجاد امنیت بیشتر استفاده از کلمه عبور پیچیده شامل حروف بزرگ و کوچک ، اعداد و کارکترهای خاص استفاده از SSH بجای Telnet ایجاد محیط امن فیزیکی برای تجهیزات شبکه غیر فعال کردن سرویس های غیر ضروری مانند : Finger ،Service Config ، HTTP Server ، Secure Server ، CDP مانیتورینگ شبکه و بررسی پیام های صادر شده از سوی تجهیزات شبکه ]3[.

12-نتیجه گیری به طور کلی از گذشته تا به حال تجهیزاتی مانند Firewall در لایه 3 برای جلوگیری از حملات مورد استفاده قرار می گیرد ، ]5[.در حالی که حفظ امنیت در لایه 2 از مهمترین مسایل در شبکه می باشد ، زیرا با انجام این کار از حملاتی که ممکن است توسط برخی کارمندان در لایه 2 با اتصال یک Access Point و یا Switch بوجود آید ]5[.

طبق آمار حدود 80 درصد نفوذ به شبکه ها توسط کارکنان سازمان مربوطه، بنا به دلایل مختلف مانند کنجکاوی ، جاسوسی و دلایل شخصی انجام میگیرد و در نظر نگرفتن امنیت در این لایه باعث ایجاد مشکلات جدی از قبیل از کار افتادن سوییچ ها ، از دست دادن اطلاعات و یا دزیده شدن اطلاعات می شود]5[.

کرم برنامه ای رایانه ای است که علاوه بر اثرات جانبی، خود را نیز تکثیر می کند و برای تکثیر نیازی به یک برنامه ناقل ندارد.

کرمها بیشتر در شبکه های رایانه ای وجود دارند.

درخت کریسمس نمونه ای از برنامه کرم است.

این برنامه هنگامی که اجرا می شود، یک درخت کریسمس مانند شکل 4-3 روی صفحه نمایش می دهد و همزمان خود را نیز روی شبکه منتشر می کند]5[.

13-منابع: Catalyst 3560 Command Reference www.cisco.com/en/US/partner/docs/switches/lan/catalyst3560/software/release/12.2_55_se/command/reference/3560_cr.html Configuring Port Security: www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_55_se/configuration/guide/swtrafc.html#wp1038501 Configuring IEEE 802.1X: www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_55_se/configuration/guide/sw8021x.html Configuring DAI: www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_55_se/configuration/guide/swdynarp.html Configuring IP Source Guard: www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_55_se/configuration/guide/swdhcp82.html حسین قنبریدانشجوی کارشناسی ناپیوسته دانشگاه آزاد اسلامی واحد مشهدEmail:[email protected]