18سپاس
LinkBack URL
About LinkBacksممنون از پاسخهای همه دوستان.اما گفته بودین که امکان attack کردن به پورت هایی dynamic هستن وجود داره.نوشته اصلی توسط kazem_m
یعنی اگه پورت رو به حالت mode trunk تنظیم کنیم بازم میشه attack کرد؟
شرمنده که سوالام کمی از پیش پا افتاده است.
ممنون از پاسخهای همه دوستان.اما گفته بودین که امکان attack کردن به پورت هایی dynamic هستن وجود داره.
یعنی اگه پورت رو به حالت mode trunk تنظیم کنیم بازم میشه attack کرد؟
شرمنده که سوالام کمی از پیش پا افتاده است.
خوب دیگه ، Case های خاص ، اما توی LAN نیست. جایی که Device در مسیر هست که trunk ندارد اما نیاز است که از همین طریق manage بشه ، مثل Wireless Unit ها ! که خارج از خود LAN هستند!
دقیقا .
خیلی وقت ها trunk ها رو با wireless unit بین سوئیچ ها جا به جا میکنند که در اینصورت دیگه امکان Manage کردن اونا وجود نداره که این در نوع خودش مشکل کوچیکی نیست .
(راستی ایمان جان تو نوشته هات چرا از نقل قول استفاده نمیکنی ؟! اینجوری سخت میشه فهمید با کی داری حرف میزنی یا جواب کی رو داری میدی !)
دوست عزیزممنون از پاسخهای همه دوستان.اما گفته بودین که امکان attack کردن به پورت هایی dynamic هستن وجود داره.
یعنی اگه پورت رو به حالت mode trunk تنظیم کنیم بازم میشه attack کرد؟
شرمنده که سوالام کمی از پیش پا افتاده است.
شما وقتی پورتی رو ترانک کردی حتما به صورت فیزیکی اون پورت رو به همتای خودش به سویچ بعدی متصل کردی. در این صورت مشکلی وجود نداره.
این صحبت ها در خصوص نحوه اتصال کاربران هست به سویچ (PC, Laptop , ....به سویچ) که اگر موارد گفته شده رعایت نشه این Attack می تونه صورت بگیره.
در ضمن شما نباید پورت کاربران رو Trunk کنی. اگر کاربری رو Trunk کردی یه مرحله انداختیش جلو.
علی آقا
یه سوالی دارم. حالا بر فرض از دستور آقای منصوری جهت Tag زدن به Native vlan استفاده نکنیم باز هم فکر می کنم موردی که فرمودید پا برجاست. نظر شما چیست ؟
نه آقا مسعود .
وقتی Native Vlan رو بهش تگ میزنید دستگاههای بین راه که پکت های تگ خورده رو نمیتونن بخونن ، با مشکل مواجه میشوند . اما وقتی پکت های Native تگ نخوره شما از روی Native VLAN میتونید به اون دستگاهها دسترسی داشته باشید چون اونا پکت های شما رو میتونن بخونن . واضحه ؟
با سلام دوستان
به نظر خودتون این آقای صفاریان به جوابی رسید
بابا یه سئوال کرد اینقدر تخصصی جواب ندید آدم گیج میشه
این دستورات مخصوص موقعیه که بخوایم چند کاربر یا وسیله رو تو شبکه از همدیگه مجزا کنیم و در سویچ یا روتر این دستورات رو اعمال میکنیم البته همه گفته های اساتید بالا کامل و صحیحه
دوباره ار همه دوستان به خاطر پاسخهاشون تشکر مخصوص می کنم.و اما من چون سطحم در حد ccna هستش کمی پاسخهاتون گیج کننده بود.که من تو کتاب های ccna ندیدم.و یا شایدم دقت کافی رو در خوندنش نکردم.
اما اقا کاظم فرمده بودن این راه حل های برای زمانی که پورت بخواد مورد استفاده pc یا... غیر سوئیچ قرار بگیره.
آقا زحمت آخر اینکه:به طور کلی برای اینکه بخوایم امنیت رو در پورت ها به بالاترین سطح برسونیم چه اقداماتی رو بایست انجام بدیم.سوالام خیلی کلی شد.اما شما با توجه به تجربه هاتون بیان کنید.بازم شرمنده اگه سوالام کلی بود.
دوست عزیز
یه مقدار بحث از سوال شما فاصله گرفت. چیزی که من گفتم صرفا در خصوص VLAN Hopping Attack بود.
اما در مورد سوال شما:
برای بالاتر بردن امنیت شما
1)هیچ پورتی رو به حالت Dynamic نگذارید. اگه به سویچ دیگری خورده Trunk و اگر به End Device خورده Access
Native Vlan رو خالی بگذارید یا از دستور جناب منصوری استفاده کنید.
3) از دستورات port security هم می تونید برای امنیت بالاتر استفاده کنید.
4) از 802.1x جهت Authenticate استفاده کنید. (در موارد خاص)
در انتها می گم اینها رو اگر امنیت بسیار بالایی نیاز دارید استفاده کنید. فکر نکنید هر کی از در اومد می تونه نفوذ کنه. امنیت به سیاست های کاری سازمان شما بستگی داره و نوع کاری که انجام می دید.
این مباحث به صورت کامل در دوره BCMSN قدیم یا Switching جدید سیسکو هست و همچنین در Course های Security هم مطرح می شه.
اما فکر می کنم سوال اصلی شما swtich port mode access بود.
کاربرد این دستور همنطور که اساتید انجمن همگی اشاره کردند اینه که به سویچ بفهمانید داره به یه End device مثل PC وصل می شه.
در حالت Trunk شما اجازه می دید که ترافیک Vlan ها از پورت مورد نظرتون عبور کنه
یه حالت Dynamic یا همون Auto negotiate هم وجود داره که به صورت اتوماتیک خود سویچ شروع به بررسی Device متصل بهش می پردازه.
امید وارم جواب سوالتون رو گرفته باشید
موفق باشید
بسیار بسیار از پاسخهای شما و باقی دوستان تشکر می کنم.خیلی عالی بود.
مجوز های ارسال و ویرایش
