مشکل در برگرداندن پورت err-disabled به دلیل Psecure Violation

**aliafzalan** · 2010-06-03, 09:46 PM

نوشته اصلی توسط mhdganji

راست میگید ها !! پس چیکار کنیم ؟

حفاظت فیزیکی! حراست نباید اجازه بده لپ تاپ وارد سازمان بشه! توی اتاقها دوربین نصب میشه همه مانیتور بشن!

نوشته اصلی توسط mhdganji

بالاخره چیکار کردید ؟

والا من که کاری نکردم! چون پروژه که تموم شد رفتم سربازی

ولی ظاهراً بعداً خودشون Port Security رو برداشتن

نوشته اصلی توسط mhdganji

راه اندازی چیش سخت نیست ؟ آیا این مشکل ما رو حل میکنه ! من هنوز جواب این سوالم رو نگرفتم که با این dot1x دقیقا توی بحث امنیت چه میشود کرد ؟ یه جا بچه ها پیاده کردند اون هم فقط برای dynamic vlan

ببینید با dot1x سیستم (کاربر) تا وقتی که تائید هویت نشه نمیوته به شبکه دسترسی داشته باشه، که میتونه مبتنی بر user & pass باشه و یا Computer Authentication.
حالا فقط وقتی certificate روی سیستم کاربر باشه کاربر میتونه به شبکه دسترسی پیدا میکنه و اگر که لپ تاپش رو بزنه به پورت، چون certificate روی سیستمش نیست نمیتونه به شبکه دسترسی پیدا کنه.

**al1p0ur** · 2010-06-03, 10:03 PM

نوشته اصلی توسط aliafzalan

ببینید با dot1x سیستم (کاربر) تا وقتی که تائید هویت نشه نمیوته به شبکه دسترسی داشته باشه، که میتونه مبتنی بر user & pass باشه و یا Computer Authentication.
حالا فقط وقتی certificate روی سیستم کاربر باشه کاربر میتونه به شبکه دسترسی پیدا میکنه و اگر که لپ تاپش رو بزنه به پورت، چون certificate روی سیستمش نیست نمیتونه به شبکه دسترسی پیدا کنه.

جالبه . من تا حالا باهاش کار نکردم . اگه تست کردید و به نتیجه رسیدید ما رو در جریان بذارید .
ممنون

**th95** · 2010-06-03, 10:06 PM

حفاظت فیزیکی که به شدت انجام میشه ! مطمئنا ما ترکیب موارد رو در نظر داریم. ولی خوب برای جابجا نشدن بیجای کاربران port-security بد نیست. البته بعضی ها مجوز لپتاپ دارند و حتی ممکنه ناخواسته پورت رو اشتباه بزنند. برای اونها هم بد نیست

حالا فقط وقتی certificate روی سیستم کاربر باشه کاربر میتونه به شبکه دسترسی پیدا میکنه و اگر که لپ تاپش رو بزنه به پورت، چون certificate روی سیستمش نیست نمیتونه به شبکه دسترسی پیدا کنه.

این رو نفهمیدم. یعنی چی cert رو سیستمش نیست. خوب من لپتاپم رو میارم. تنظیمان سیستم شبکه ام رو روی همون لپتاپ انجام میدم. MAC رو هم عوض میکنم و با یوزر و پس شبکه خودم میام بالا

**aliafzalan** · 2010-06-03, 10:26 PM

الان دقیقاً مراحل یادم نیست ولی خب اینجوریه که روی سیستم certificate نصب میشه (البته برای computer certificate) سیستم که روشن میشه کارت شبکه certificate اش رو به سمت سرور می فرسته، اگر که سرور certificate کلاینت رو قبول کنه به سوئیچ میگه پورت رو برای این کلاینت enable کن و در غیر این صورت پورت برای کاربر غیرفعال میشه.
پس از اونجایی که روی لپ تاپ کاربر certificate نصب نیست پس سوئیچ پورتش رو up نمیکنه.

**th95** · 2010-06-03, 10:36 PM

نوشته اصلی توسط aliafzalan

الان دقیقاً مراحل یادم نیست ولی خب اینجوریه که روی سیستم certificate نصب میشه (البته برای computer certificate) سیستم که روشن میشه کارت شبکه certificate اش رو به سمت سرور می فرسته، اگر که سرور certificate کلاینت رو قبول کنه به سوئیچ میگه پورت رو برای این کلاینت enable کن و در غیر این صورت پورت برای کاربر غیرفعال میشه.
پس از اونجایی که روی لپ تاپ کاربر certificate نصب نیست پس سوئیچ پورتش رو up نمیکنه.

این cert منظورتون یه سری تنظیماته یا نه واقعا یه cert که از اون ور هم به یه سرور وصله (CA) و ...
همین قابل نصب روی لپتاپ نیست. (میخوام بگم cert چه ملاکی برای تشخیص سیستم داره غیر از MAC )
ضمنا یکی از بچه ها میگفت برای این کار حتما لازم نیست CA داشته باشیم !! ضن اینکه میگفت بهترین راه استفاده از SecureACS هستش ! در این مورد نظرتون چیه ؟

**aliafzalan** · 2010-06-03, 11:09 PM

شما نیاز به CA سرور دارید، IAS و Active Directory - هر سیستمی که به دومین شما join میشه، certificate مربوطه رو به صورت اتوماتیک از سرور دریافت میکنه (البته تظیمات داره) و این Certificate روی سیستم نصب میشه، حالا هر وقت که سیستم روشن بشه، ویندوز شما certificate رو به سمت CA میفرسته و اگر که همه چیز درست باشه ارتباطش با شبکه برقرار میشه، توجه داشته باشید که MAC سیستم هیچ نقشی نداره. (البته شما می تونید تنظیم کنید که علاوه بر Computer Certificate از کاربر user و password هم سوال کنه و اگر که درست بود ارتباطش با شبکه برقرار بشه)
حالا وقتی من کلاینت لپ تاپم رو میارم و میزنم به شبکه، از اونجایی که به دومین سازمان join نیستم certificate مربوطه رو ندارم که بخواهم به شبکه وصل بشم.

**th95** · 2010-06-03, 11:19 PM

نوشته اصلی توسط aliafzalan

شما نیاز به CA سرور دارید، IAS و Active Directory - هر سیستمی که به دومین شما join میشه، certificate مربوطه رو به صورت اتوماتیک از سرور دریافت میکنه (البته تظیمات داره) و این Certificate روی سیستم نصب میشه، حالا هر وقت که سیستم روشن بشه، ویندوز شما certificate رو به سمت CA میفرسته و اگر که همه چیز درست باشه ارتباطش با شبکه برقرار میشه، توجه داشته باشید که MAC سیستم هیچ نقشی نداره. (البته شما می تونید تنظیم کنید که علاوه بر Computer Certificate از کاربر user و password هم سوال کنه و اگر که درست بود ارتباطش با شبکه برقرار بشه)
حالا وقتی من کلاینت لپ تاپم رو میارم و میزنم به شبکه، از اونجایی که به دومین سازمان join نیستم certificate مربوطه رو ندارم که بخواهم به شبکه وصل بشم.

سه تا سوال
1- اگر این CA بترکه چی میشه ؟ بدبخت میشیم و شبکه میخوابه ؟ بعد دوباره نصب کنیم همه چیز ردیف میشه
2- اون ca سیستم رو چطوری میشناسه !؟ mac که گفتید نیست ! پس چطوری ؟ از سریال مادربردش ؟ از SSID که بهش میده ! میخوام بدونم میشه لپتاپ رو بجاش جا زد یا نه ؟
3- لپتاپی که میزنه طرف حتما باید join باشه یا اینکه یه یوزر و پسورد از دومین داشته باشه ؟ میخوام بگم اگه یوزر خودم لپتاپ بیاره و با یوزر و پس که از دومین داره میتونه کاری کنه ؟ یا این join بودن مهمه ؟

**aliafzalan** · 2010-06-03, 11:39 PM

نوشته اصلی توسط mhdganji

سه تا سوال
1- اگر این CA بترکه چی میشه ؟ بدبخت میشیم و شبکه میخوابه ؟ بعد دوباره نصب کنیم همه چیز ردیف میشه

نه، میری روی سوئیچ و dot1x رو غیرفعال میکنی.
راستی یه سوال! اگه DC شما بترکه چی میشه ؟! اتوماسیون همکاران ؟! دیتاهای حساس ؟!

نوشته اصلی توسط mhdganji

2- اون ca سیستم رو چطوری میشناسه !؟ mac که گفتید نیست ! پس چطوری ؟ از سریال مادربردش ؟ از SSID که بهش میده ! میخوام بدونم میشه لپتاپ رو بجاش جا زد یا نه ؟

احتمالاً بر اساس Computer Name دومین و اطلاعات دیگه، توی این مورد اینترنت بهترین منبع هست.

نوشته اصلی توسط mhdganji

3- لپتاپی که میزنه طرف حتما باید join باشه یا اینکه یه یوزر و پسورد از دومین داشته باشه ؟ میخوام بگم اگه یوزر خودم لپتاپ بیاره و با یوزر و پس که از دومین داره میتونه کاری کنه ؟ یا این join بودن مهمه ؟

تا اونجایی که میدونم dot1x رو میشه به شکل های مختلف پیاده سازی کرد. توی این مدلی که من باهاش آشنایی کمی دارم join بودن مهمه، یعنی سیستم کاربر حتماً باید به دومین join شده باشه تا بتونه به شبکه وصل بشه.

**th95** · 2010-06-03, 11:51 PM

نه، میری روی سوئیچ و dot1x رو غیرفعال میکنی.
راستی یه سوال! اگه DC شما بترکه چی میشه ؟! اتوماسیون همکاران ؟! دیتاهای حساس ؟!

علی آقا اذیتمون نکن
من از تمام زندگیم بکاپ دارم ! همه جوره رو همه جور مدیا ! هر روز و هر شب ! خوب بکاپ رو برمیگردونم
اما در مورد ca شنیدم بکاپ رو هم برگردونی cert روی سیستم کلاینتها بازم درست کار نمیکنند و با ca مچ نمیشن و ... و مشکلات زیادی پیش میاد. حتی فول بکاپ رو ! حتی image رو ! اینه که میگم ملت من رو ترسوندن

راستی اگه داکیومنت قدم به قدم برای پیاده سازی این قضیه داشتید ممنون میشم.
شبتون بخیر ! خیلی زحمت دادم تا این موقع شب ! لطف کردید

**aliafzalan** · 2010-06-04, 12:10 AM

خب شما میتونید یه CA سرور backup بزاری (البته من تست نکردم، ولی حتماً میشه چنین کاری کرد)
بقیه بحث هم باشه بعد از تحقیقات و مطالعات شما، من هم خودم حتماً تحقیقی در موردش میکنم.
شب بخیر
.
.
.
راستی شما کاری به حرف ملت نداشته باش، اینترنت بهترین منبع هست.
ملت اشتباه میکنن، یکیش خوده من.

**th95** · 2010-06-04, 08:28 AM

مرسی منم بررسی میکنم چیز خاصی پیدا کنم برای بقیه هم مستند میکنم تا استفاده کنند

**aliafzalan** · 2010-06-04, 09:29 AM

نوشته اصلی توسط mhdganji

ضمنا یکی از بچه ها میگفت برای این کار حتما لازم نیست CA داشته باشیم !!

آره درست میگفت، اگر شما بخواهید Authentication فقط بر اساس user & pass باشه دیگه نیازی به CA نیست.
ولی مسئله اینجاست که توی این حالت هر کسی که یوزر و پسورد داشته باشه میتونه بیاد توی شبکه و دیگه فرقی نمیکنه سیستم شرکت باشه و یا لپ تاپ شخصی. این حالت بیشتر مورد استفاده در شبکه های وایرلس هست.

**th95** · 2010-06-04, 09:33 AM

نوشته اصلی توسط aliafzalan

آره درست میگفت، اگر شما بخواهید Authentication فقط بر اساس user & pass باشه دیگه نیازی به CA نیست.
ولی مسئله اینجاست که توی این حالت هر کسی که یوزر و پسورد داشته باشه میتونه بیاد توی شبکه و دیگه فرقی نمیکنه سیستم شرکت باشه و یا لپ تاپ شخصی. این حالت بیشتر مورد استفاده در شبکه های وایرلس هست.

خوب ! خوبه ! پس حداقل برای راه اندازی Dynamic Vlanning با Dot1X دیگه نیازی به CA نیست. این رو راه بندازیم دیگه لازم نیست بریم روی همه پورتها هی یکی یکی وی لن شون رو مشخص کنیم. راستی در این مورد هم همون IAS کفایت میکنه یا SecureACS ؟ البته به نظر میرسه فقط یکی از اینها باید استفاده بشه که ظاهرا SecureACS بهتره ! البته حدس میزنم .. اگه یه راهنمای خوب در مورد راه اندازی Dynamic Vlanning با Dot1X پیدا کردید ممنون میشم بذارید

یه چیزی رو دقت کردید. بحثهای ما خیلی جالبه ! از err-disabled شروع میشه به dot1x میرسه !! از ندیدن کامپیوترها در دامین شروع میشه به پرینت سرور و اکسس لیست میرسه !!

یاد الهی قمشه ای میفتم. از بحث معرفی یه شاعر گمنام شروع میکنه آخرش به اثبات خدا مختوم میشه :-)

موضوع: مشکل در برگرداندن پورت err-disabled به دلیل Psecure Violation

پیوند

ابزارهای موضوع

نمایش

کلمات کلیدی در جستجوها:

مشکل err-disabled

غیر فعال کردن err-disable در سوئیچ

مشکلات port security

err disable در سوییچ سیسکو

فعال کردن لاگ error disable

dot1x

رفع مشکل err disabled در سوئیچ سیسکو

دلیل disable شدن کارت شبکه

dchp disabled رفع مشکل

err-disable state مشکل

port security err-disable

err-disabledمشکل

دستورات رفع اشکال port security

حل مشکل error disable port security switch

حل مشکل port security

پاک کردن error disabl در سسیکو

پاک کردن error disabled در سوئیچ

err dis پورت سوئیچ سیسکو dhcp

درآوردن mac پورت سوئیچ سیسکو

برگرداندن بک اپ سوئیچ 2960

غیر فعال کردن err-disabled در سوئیچ سیسکو

مشکل psecure در سوییچ سیسکو

راه اندازی مجدد پورت خاموش شده در port security

برگرداندن پورت disabled

دراوردن پورت از حالت security در سیسکو

برچسب برای این موضوع

مجوز های ارسال و ویرایش