The Quieter you become , The more you are able to hear

۱ مطلب با کلمه‌ی کلیدی «اموزش dynamic arp inspection» ثبت شده است


در این پست سعی دارم به بررسی سناریوهای INE که بصورت lab ارائه می شود بپردازم و بررسی بیشتری روی اون ها انجام بدم و در مورد بعضی از نکات امنیتی در برقراری امنیت در لایه 2 و همچنین چند مثال روی سوییچ های کاتالیست جهت یاداوری بحث کنیم. هدف از بحث نحوه کانفیگ و کامندهای مورد استفاده نیست بلکه به بررسی مفهوم این چند مورد خواهم پرداخت.



یکی از سناریو هایی که برای یکی از مدیران شبکه پیش اومده بود این بود که در اون سازمان علاوه بر سرور DHCP اصلی ، یک کاربر یک DHCP در اون سازمان راه اندازی کرده بود و چیزی در حدود 100 کلاینت تمامی مسیریابی ها و ترافیک آنها از طریق سیستم اون کاربر صورت می گرفت ، اگر چه امروزه راههای زیادی برای جلوگیری از مطرح شدن حتی این گونه سناریوهای مخرب وجود دارد اما کمتر ادمین شبکه ای به این گونه تهدیدات امنیتی توجه ای می کند و سعی به پیاده سازی آنها دارد. 


برای مثال میتوان در این سناریوی مطرح شده می توان راهکار DHCP snooping را معمول ترین روش برای جلوگیری از این گونه تهدیدات عنوان کرد که مکانیزم کاری ان بدین صورت می باشد که جز پورتی که به سرور DHCP اصلی متصل است ، بقیه پورت ها را درحالت Untrust قرار می دهد. حال مشخص است که تمامی پیغام های مربوط به DHCP که روی پورت های untrust باشد را دراپ می کند و از انتشار آنها جلوگیری می کند و این عمل دراپ کردن پکت با ارسال یک لاگ به سمت سرور syslog هم می تواند همراه باشد.
نکته ای که در اینجا باید رعایت شود این است که پورتی که به درخواست های DHCP پاسخ می دهد باید در حالت trust قرار گیرد.



در سناریوی ما sw1 ، R1 ، R2 و R3 به ترتیب به پورت های Fa0/1 ، Fa0/2 و Fa0/3 سوییچ متصل شده اند و همین طور R1 یک سرور اصلی DHCP می باشد که همان طور که گفته شد از طریق پورت Fa0/1 به سوییج متصل شده است.
می توان گفت که یکی از مهمترین مزیت استفاده از DHCP snooping ، مکانیزم جلوگیری از پاسخگویی این گونه سرورها با اهداف مخرب هستند. البته استفاده از این مکانیز مزیت های دیگری نیز دارد و در مکانیزم های دیگری هم مورد استفاده قرار می گیرد که در ادامه نیز بحث خواهد شد.

۰ نظر موافقین ۰ مخالفین ۰ ۲۴ دی ۹۵ ، ۱۳:۱۹
حسین لاجوردی