صفحه 8 از 8 نخستنخست ... 678
نمایش نتایج: از شماره 71 تا 79 , از مجموع 79

موضوع: پرسش و پاسخ وبکس هاي امنیت جناب محمدی

  1. #71
    Disable auto-trunking
    Unused ports, other than trunk port should be removed
    For backbone switch to switch connections, explicitly
    configure trunking
    Do not use the user native VLAN as the trunk port native
    VLAN
    Do not use VLAN 1 as the switch management VLAN
    همون طور که قبلا گفتم و در مراجع هم ذکر شده بهتره که ترانک بصورت دستی set بشه.و سوال من این نبود که در محیط real ما manual کانفیگ میکنیم یا auto.بحث روی موردی بود که جناب خلیلی فرمودن.چون من که تا بحال تو هیچ رفرنسی در این باره نخونده بودم، برام جالب بود که چطور این نوع حمله انجام میشه.به هر حال از وقتی که گذاشتین بسیار ممنون

  2. The Following 4 Users Say Thank You to mohaddeseh kamali For This Useful Post:


  3. #72
    Senior Member poker آواتار ها
    تاریخ عضویت
    Jan 2011
    محل سکونت
    Isfahan
    نوشته ها
    174
    Thanked: 337
    نقل قول نوشته اصلی توسط mohaddeseh kamali نمایش پست ها
    Disable auto-trunking
    Unused ports, other than trunk port should be removed
    For backbone switch to switch connections, explicitly
    configure trunking
    Do not use the user native VLAN as the trunk port native
    VLAN
    Do not use VLAN 1 as the switch management VLAN
    همون طور که قبلا گفتم و در مراجع هم ذکر شده بهتره که ترانک بصورت دستی set بشه.و سوال من این نبود که در محیط real ما manual کانفیگ میکنیم یا auto.بحث روی موردی بود که جناب خلیلی فرمودن.چون من که تا بحال تو هیچ رفرنسی در این باره نخونده بودم، برام جالب بود که چطور این نوع حمله انجام میشه.به هر حال از وقتی که گذاشتین بسیار ممنون
    بله حرف شما کاملا درسته.

    فکر میکنم بحث از اونجایی شروع شد که آقای خلیلی در پست 62 گفتند " تنظیم DTP پورت بر روی مود Desirable : ( مود Auto راه Attack رو باز میذاره )" .هرچند ایشون در همون پست گفتند با استفاده از nonegotiation جلوگیری کنیم از این مشکل.
    در کل بهتر است برای ایجاد امنیت DTP رو غیر فعال کنیم. desireble و Auto هیچکدام هیچ امنیتی پیاده سازی نمیکند.
    [Only registered and activated users can see links. ]

  4. The Following 3 Users Say Thank You to poker For This Useful Post:


  5. #73
    نقل قول نوشته اصلی توسط poker نمایش پست ها
    بله حرف شما کاملا درسته.

    فکر میکنم بحث از اونجایی شروع شد که آقای خلیلی در پست 62 گفتند " تنظیم DTP پورت بر روی مود Desirable : ( مود Auto راه Attack رو باز میذاره )" .هرچند ایشون در همون پست گفتند با استفاده از nonegotiation جلوگیری کنیم از این مشکل.
    در کل بهتر است برای ایجاد امنیت DTP رو غیر فعال کنیم. desireble و Auto هیچکدام هیچ امنیتی پیاده سازی نمیکند.
    دقیقا منظورم همین بود.البته در نظر داشته باشیم که حالت nonegotiation رو نمیتونیم در حالت dynamic بکار ببریم.فقط در حالت access و trunk دستی بکار میره.
    مرسی

  6. #74
    Senior Member amir_khalili آواتار ها
    تاریخ عضویت
    Jun 2011
    محل سکونت
    Tehran
    نوشته ها
    196
    Thanked: 359
    سلام دوستان
    در پستهای قبلی مخصوصا 62# موارد 2 و 4 بصورت کاملا متناقض مطرح شد و از دوستان خواهش شد که در بحث شرکت داشته باشن و نظر بدن.
    در مورد 2 که مربوط به روش Trunking بود ( اتوماتیک / دستی ) کلمه Desirable جهت جلب توجه بیشتر برنگ آبی ذکر گردید ولی در مورد 4 کلا روش اتوماتیک در ترانکینگ غیر فعال گردید که بنوبه خود بالاترین امنیت رو میتونه تامین کنه.
    متاسفانه دوستان در مورد این تناقض و تفاوتهای کارکرد و قابلیتهای هر یک دقتی نشون ندادن که امیدوارم تا زمانیکه میخوان در فیلد شبکه متخصص باشن باید در مورد نکات ریزی همانند این مورد توجه بیشتری نشون بدن.
    با تشکر ازدوستانی که بر روی جزئیات دقت داشتن و نظر دادن.
    MCITP-MCSA-MCTS-CCNA R&S-CCNP R&S-CCIE R&S

  7. The Following 3 Users Say Thank You to amir_khalili For This Useful Post:


  8. #75
    Member
    تاریخ عضویت
    Sep 2013
    نوشته ها
    34
    Thanked: 35
    نقل قول نوشته اصلی توسط mohaddeseh kamali نمایش پست ها
    سوال 2 این که چرا پیش فرض سوییچ های جدید مد auto هست؟ حتما یه دلیلی داره دیگه. بالاخره سعی شده در سوییچ های جدید تا حدی فاکتورهایی مثل performance,speed,security , … رعایت بشن.
    اینکه تنتظیمات پیش فرض همیشه گزینه مناسبی بوده و دلیل بر improve preformance هستش اشتباهه مخصوصا در سیسکو وگرنه چرا آموزش میبینیم میتونیم همین جوری سوییچ رو در شبکه قرار بدیم و شاید درست کار کنه(شاید)
    یا یک روتر بخریم و از طریق setup mode به چند سوال پاسخ بدیم و روتر خودش کانفیگ میشه
    درکل من با نظر دوستانی که میگن مد Trunk در پورتها باید Off باشه موافق هستم
    مثل این که شما پورتی رو که ازش استفاده ندارید Shutdown نکنید که این مسله به شدت باگ امنیتی داره و حتی در همه رفرنسها Recommended شده
    اگر به جواب نرسیدید بازهم سوال کنید چرا که ندانستن عیب نیست بلکه نپرسیدن عیبه

  9. The Following 2 Users Say Thank You to m.sho8 For This Useful Post:


  10. #76
    Member
    تاریخ عضویت
    Sep 2013
    نوشته ها
    34
    Thanked: 35
    در آخر در مورد پورت سکوریتی که در کلاس امنیت استاد محمدی هم به این نکته اشاره کردن
    کلا مورد پورت سکوریتی سیف نیست و احتمال نفوذ داخلش زیاده مثله نرم افزارهای MAC changer
    برای امنیت پرتها در لایه ۲ استفاده از پروتکل 802.1x هستش که به صورت خلاصه یک سرور جهت ذخیره مک های مجاز در شبکه قرار داده میشه (مثل ACS)
    سوییج یا AP به عنوان یک Authenticator محسوب میشه وقتی کامپیوتری به پرت سوییج متصل میشه در همان لحظه پرت به حالت Unauthorized قرار میگیره و تمامی ترافیک اعم از DNS,DHCP بر روی پرت Drop میشه و فقط پروتکلهای شناسایی مثل EAP اجازه عبور دارند در همین حالت کامپیوتر یا هر دیوایس دیگری باید Username/Password یا MAC خود را برای سروری که جهت Authentication در شبکه قرار داده شده(مثل ACS) ارسال کند و اطلاعات ارسالی در سرور مذکور چک میشود و در صورت اهراز هویت پورت فعال میشود در صورتی که اطلاعات ارسالی با Database سرور مغایرت داشته باشد پورت غیر فعال شده است دقت کنید که پروتکلهای مربوط به STP و CDP از این قاعده تبعیت نمیکنند و ترافیک ارسال میشود
    جهت آشنایی بیشتر با این استاندارد میتوانید مقاله امنیت در لایه دو نوشته استاد محمدی رو مطالعه کنید که تمامی اطلاعات فوق چه کم و زیاد از این مقاله نوشته شده است
    با تشکر از استاد محمدی
    لینک تاپیک مربوطه جهت مطالعه مقاله
    [Only registered and activated users can see links. ]
    با تشکر از دوستان که وقت گذاشتن و مطلب بنده رو مطالعه کردید
    ویرایش توسط m.sho8 : 10-08-2014 در ساعت 06:43 PM

  11. The Following 3 Users Say Thank You to m.sho8 For This Useful Post:


  12. #77
    Moderator Alireza.mohammadi آواتار ها
    تاریخ عضویت
    Jul 2010
    محل سکونت
    iran.tehran
    نوشته ها
    1,156
    Thanked: 4555
    دراوج خستگی فکری و ذهنی اومدم و دارم پاسخ میدم!!!
    مود Auto حالتی را بوجود می آورد که سوییچ هر درخواستی بابت ترانک شدن را میپذیرد.
    مود Desirable پیشنهاد برای ترانک شدن میدهد و پیشنهاد ترانک میپذیرد.
    در حالتی که nonegotiation را فعال کنیم هیچ یک از این دو حالت اگر وجود داشته باشند باعث برقراری ارتباط نخواهد شد.


    حال سوال از دوستان

    تفاوت switchport mode access و switchport nonegotiate در چیست و در کجا کدام بخش کاربرد دارد؟

    در تنطیم زیر ما به پورت مربوطه Vlan داده ایم،آیا با این وجود پورت احتمال خطر حملات DTP را دارد یا نه؟چرا؟راه حل رفع ایراد در صورتی که مشکل بوجود می آید چیست؟

    کد:
    Switch(config-if)#do sh int fa 0/1 sw Name: Fa0/1 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: down Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: native Negotiation of Trunking: On Access Mode VLAN: 10 (VLAN0010) Trunking Native Mode VLAN: 1 (default) Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false Appliance trust: none
    ویرایش توسط Alireza.mohammadi : 10-08-2014 در ساعت 07:18 PM
    تا ابد آب شرمنده عباس ماند...

    [Only registered and activated users can see links. ]


    دوستانی که سوال میپرسند در نحوه بیان مشکل دقت کنند تا من و سایر دوستان بتوانیم سریع مشکل را متوجه شویم.
    مشاوره از طریق پیام خصوصی انجام می شود.

  13. The Following 6 Users Say Thank You to Alireza.mohammadi For This Useful Post:


  14. #78
    Senior Member amir_khalili آواتار ها
    تاریخ عضویت
    Jun 2011
    محل سکونت
    Tehran
    نوشته ها
    196
    Thanked: 359
    نقل قول نوشته اصلی توسط Alireza.mohammadi نمایش پست ها
    حال سوال از دوستان


    تفاوت switchport mode access و switchport nonegotiate در چیست و در کجا کدام بخش کاربرد دارد؟


    در تنطیم زیر ما به پورت مربوطه Vlan داده ایم،آیا با این وجود پورت احتمال خطر حملات DTP را دارد یا نه؟چرا؟راه حل رفع ایراد در صورتی که مشکل بوجود می آید چیست؟


    کد:
    Switch(config-if)#do sh int fa 0/1 sw
    Name: Fa0/1
    Switchport: Enabled
    Administrative Mode: dynamic auto
    Operational Mode: down
    Administrative Trunking Encapsulation: dot1q
    Operational Trunking Encapsulation: native
    Negotiation of Trunking: On
    Access Mode VLAN: 10 (VLAN0010)
    Trunking Native Mode VLAN: 1 (default)
    Voice VLAN: none
    Administrative private-vlan host-association: none
    Administrative private-vlan mapping: none
    Administrative private-vlan trunk native VLAN: none
    Administrative private-vlan trunk encapsulation: dot1q
    Administrative private-vlan trunk normal VLANs: none
    Administrative private-vlan trunk private VLANs: none
    Operational private-vlan: none
    Trunking VLANs Enabled: ALL
    Pruning VLANs Enabled: 2-1001
    Capture Mode Disabled
    Capture VLANs Allowed: ALL
    Protected: false
    Appliance trust: none

    Switchport mode Access:
    با اجرای این کامند پورت اکسس بصورت دائمی در حالت Nontrunking قرار میگیرد ولی این پورت توانائی تولید و ارسال DTP Frame را دارد و همچنین با اینترفیس طرف مقابل جهت تبدیل لینک به لینکی Nontrunk مذاکره میکند و حتی اگر طرف مقابل راضی به Nontrunk شدن نباشد باز هم لینک Nontrunk خواهد شد.


    Switchport nonegotiate:
    با اجرای این کامند از تولید بسته های DTP Frame جلوگیری میشود و تنها در صورتی میتوانیم از این کامند استفاده کنیم که switchport mode روی Access یا Trunk تنظیم شده باشد.همچنین باید بصورت دستی پورت مقابل را ترانک قرار دهیم تا لینک ترانک داشته باشیم در غیر اینصورت لینک ما Nontrunk خواهد بود.
    چنانچه سوئیچهای غیر سیسکو داشته باشیم ( DTP انحصاری سیسکو میباشد ) در اینصورت ملزم به استفاده از کامندهای switchport mode trunk بهمراه switchport nonegotiation جهت برقراری لینک ترانک میباشیم و اگر بخواهیم لینک اکسس داشته باشیم باید switchport mode access را بهمراه switchport nonegotiate بکار ببریم.

    DTP Combination.jpg
    ویرایش توسط amir_khalili : 10-09-2014 در ساعت 09:46 PM
    MCITP-MCSA-MCTS-CCNA R&S-CCNP R&S-CCIE R&S

  15. The Following 3 Users Say Thank You to amir_khalili For This Useful Post:


  16. #79
    Special Member k.mohammadreza آواتار ها
    تاریخ عضویت
    Jul 2011
    محل سکونت
    کرمان
    نوشته ها
    660
    Thanked: 1106
    نقل قول نوشته اصلی توسط amir_khalili نمایش پست ها
    switchport mode access:
    با اجرای این کامند پورت اکسس بصورت دائمی در حالت nontrunking قرار میگیرد ولی این پورت توانائی تولید و ارسال dtp frame را دارد و همچنین با اینترفیس طرف مقابل جهت تبدیل لینک به لینکی nontrunk مذاکره میکند و حتی اگر طرف مقابل راضی به nontrunk شدن نباشد باز هم لینک nontrunk خواهد شد.


    Switchport nonegotiate:
    با اجرای این کامند از تولید بسته های dtp frame جلوگیری میشود و تنها در صورتی میتوانیم از این کامند استفاده کنیم که switchport mode روی access یا trunk تنظیم شده باشد.همچنین باید بصورت دستی پورت مقابل را ترانک قرار دهیم تا لینک ترانک داشته باشیم در غیر اینصورت لینک ما nontrunk خواهد بود.
    چنانچه سوئیچهای غیر سیسکو داشته باشیم ( dtp انحصاری سیسکو میباشد ) در اینصورت ملزم به استفاده از کامندهای switchport mode trunk بهمراه switchport nonegotiation جهت برقراری لینک ترانک میباشیم و اگر بخواهیم لینک اکسس داشته باشیم باید switchport mode access را بهمراه switchport nonegotiate بکار ببریم.

    DTP Combination.jpg
    این نکته بسیار مهم است و اگر سوییچ غیر سیسکویی در شبکه دارید حتما نکته فوق را رعایت کنید وگرنه مشکلات شبکه ای زیادی با پکت های dtp خواهید داشت
    هرگاه خدا بنده‏اى را خوار دارد ، او را از آموختن علم بركنار دارد

  17. The Following 4 Users Say Thank You to k.mohammadreza For This Useful Post:


صفحه 8 از 8 نخستنخست ... 678

کلمات کلیدی این موضوع

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •