switch security workshop 2014
TRANSCRIPT
![Page 1: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/1.jpg)
Chapter 51© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
بسم اهلل الرحمن الرحیم
گروه شرکت های فنی مهندسی هوشمند
کارگا آهزضی اهیت ضثک
![Page 2: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/2.jpg)
© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
SWITCHv6 Chapter 52
Network security
DOS DDOS حوالت تا آضایی
![Page 3: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/3.jpg)
Chapter 53© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
DOS DDOS حوالت تا آضایی
از کار اداختي سریس ای ضثک•
ایجاد اختالل در هاتع یا سریس ای ضثک•
در تیج هحرم ضدى کارتراى قای از دستیاتی •. استفاد از سریس ا هاتع ضثک
دف از DOSحوالت
![Page 4: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/4.jpg)
Chapter 54© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
دستیاتی ت اداف ایي حوالت از طریق
تاالتردى
RAM usage
CPU usage
bandwidth usage
![Page 5: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/5.jpg)
Chapter 55© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
حالت اص ستشد حالت اجا ظس ت اسد تشخی دس DOS
الص تستش تا ضذ استفاد جاثی ػػش يه ضشع مط ػا ت
.شدد فشا ، اغی تاج تشای
ضثک در کاذب ترافیک ایجاد جت در تالش
هاضیي د تیي ارتثاط در اختالل
سریس یک ت دستیاتی از هجاز کارتراى هواعت
ا سریس در اختالل ایجاد
![Page 6: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/6.jpg)
Chapter 56© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
ح دس و است اي داسد جد dos ddos تی و فشلی
dos يه ت ظ طس ت سشػت ت پیا اث اسسا تا اجی
node، ايجاد تیج دس سیست اتغ وشد طغ تشای تا
اص ddos دس اا .دذ سشيس سیست اسسايی واسايی ػذ
اختیاس دس سیستا اي اذ ضذ spoof و سیست تؼذادی
attacker ضد ی استفاد ح تشای ستذ.
.ضد ی فت zombie آد سیستای اي ت اغطالح دس
![Page 7: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/7.jpg)
Chapter 57© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
![Page 8: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/8.jpg)
Chapter 58© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
![Page 9: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/9.jpg)
Chapter 59© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
![Page 10: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/10.jpg)
Chapter 510© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
SMURF حول
تد ICMP پشتى Reply تاتغ تش ثتی حالت ع اي
حالت، ع اي دس .تاضذ ی ضذ ضاختping ا تا تیطتش
آدسس ت Pingاطالػاتی ای تست اسسا ت الذا اج
اص يه ش ثذاء آدسس آا دس و د ضثى Broadcastای
جايضي ، لشتای واپیتش آدسس تا ضذ Ping اطالػاتی ای تست
اىا ايجاد ضثى دس وارب تشافیه يه تشتیة تذي .شدد ی
.شدد ی اج اختال تا ضثى اتغ اص استفاد
ICMP = Internet Control Message Protocol
![Page 11: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/11.jpg)
Chapter 511© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
pingreply
![Page 12: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/12.jpg)
Chapter 512© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
پیطگیری ای را1.Config ا سیست (host) ای دسخاست ت و غستی ت ستشا
ping تست تا ثال .ذذ پاسخICMP .
2.Config دسخاستای و غستی ت ستشا ping آدسسای ت سا
broadcast ضت تا ثال .ىذ اسساaccess list اػا packet
filtering آدسس سی broadcast ضثى .
تشای ساىاسی یتاذ یض والستشي تاال افضاسی سخت اتغ اص استفاد .3
.تاضذ حذد حالت اص جیشی
اش اي ح ت غست سیغ ستشد غست یشد اىا جیشی اص آ
.پايی است
![Page 13: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/13.jpg)
Chapter 513© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
Fraggle حول
داضت Smurfع اص حالت تا صيادی ضثات حالت اص ع اي
.است ICMP جای ت UDP پشتى اص استفاد ت جد تفات تا
(User Datagram Protocol)
UDPاطالػاتی ای تست اسسا ت الذا اجا ، فق حالت دس
ع اي .ايذ ی Smurfتاج طات Broadcastای آدسس ت
پست يا echo(7) پست مػذ ت UDPاطالػاتی ای تست اص
(19) Chargen شدذ ی ذايت.
![Page 14: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/14.jpg)
Chapter 514© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
پیطگیری ای را
inbound outbound غست ت 19 7 پست تست -1
2-Config ستش host ح دس و غستی ت ا smurf ضشح
.ضذ داد
یتاذ یض والستشي تاال افضاسی سخت اتغ اص استفاد -3
.تاضذ حذد حالت اص جیشی تشای ساىاسی
![Page 15: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/15.jpg)
Chapter 515© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
SYN flood
three-wayضايای اص تاج ع اي دس handshake ت شتط
TCP ای جػ اسسا ت الذا ثذاء سیست .شدد ی استفاد
(synchronization)ای دسخاست اص ستشد SYN د
(acknowledgment و اي تذ ACK) اسسا سا آا ائی
half-open تشتیة تذي .ايذ TCP sessions) ی استثاطات
. شدد ی ايجاد ،(فؼا
![Page 16: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/16.jpg)
Chapter 516© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
دس پست، د resetاص لث،TCP پطت و اي ت تج تا
واپیتش اتػا تافش سشسيض فق، تاج اذ، خاذ تالی اتظاس
سشيس تا ی استثاط ايجاد اىا "ػال داضت دثا ت سا مػذ
.شدد ی ى غیش ، ؼتثش یشذا
![Page 17: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/17.jpg)
Chapter 517© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
wait
![Page 18: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/18.jpg)
Chapter 518© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
پیطگیری ای را
clientاسسای REPLY آخشي تشای صا وشد حذد.1
incomplete تؼذاد وشد حذد.2 connection
syn ث ايی افضاس ش اص استفاد.3 flood block
![Page 19: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/19.jpg)
Chapter 519© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
LAND حول
ت و پاوت ايی دسSpoofingسش اص استفاد تا ح اي دس
ثذاءIPPortجای ت ی ضد اسسا دذ سشيس ست
.ی ضد داد لشاس دذ سشيس اضی خدIPPortمػذ
سشيس خد ست ت دذ سشيس اضیIPPORTالغ دس
سیست دس تا ضد ی تاػث ػ اي .ی ضد اسسا دذ
ای و تیايذ جد تRoutingداخی حم يه لذيی ػا
.ضد یDOSح آذ جد ت حافظ ضذ پش تاػث
![Page 20: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/20.jpg)
Chapter 520© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
![Page 21: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/21.jpg)
Chapter 521© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
ػا ای سیست اص تفاتی ای سخ دس تاو ح، اي
ضذ طاذ سیسى، IOS ىیتاش يیىس، يذص، لذيی
.است
ت لادس اIDSاذ ضذ ای سیست تای اشص اا
سذ تش صيادی تاثیش ح اي تاضذ ی حالت اي ضاسايی
.ذاسد دذ سشيس واسی
![Page 22: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/22.jpg)
Chapter 522© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
![Page 23: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/23.jpg)
Chapter 523© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
Pingحول FloodیاPing of death
واپیتش تPingدسخاست ستمی اسسا تا ح ع اي دس
واص ا آ فؼایت يا تالن ا سشيس و شدد ی سؼی لشتای
صياد حذی ت اطالػاتی ای تست اذاص ح ع اي دس .ياتذ
لادس لشتای واپیتش ضدو ی (جاص غیشPingدس وK64تاالی)
خت یست اطالػاتی ای تست آیخت تا اسة تشخسد ت
.یطد
![Page 24: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/24.jpg)
Chapter 524© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
![Page 25: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/25.jpg)
Chapter 525© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
Teardrop حولت ضد هی هتقل دیگر سیستن ت سیستن یک از اطالعات ک گاهی
هیطد تقسین کچکی ای تک
.ضد هی کاهل ضد هتصل ن ت هجددا تک ایي هقصد سیستن در
تست دد هی طاى ک ستد افست فیلد یک دارای کدام ر تست ایي .است اطالعات از قسوتی چ حای
را ا تست تا کد هی کوک هقصد سیستن ت ترتیة ضوار ورا ت فیلد ایي .کد هتصل ن ت هجددا
هی تاعث ضد ارسال اهرتط ترتیة افست ضوار تا ا تست ک صرتی در.تطکد ن در ضد عاجس آا کردى هرتة از هقصد سیستن ضد
![Page 26: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/26.jpg)
Chapter 526© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
![Page 27: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/27.jpg)
Chapter 527© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
![Page 28: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/28.jpg)
Chapter 528© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
Bonk حول
سیست اص و است ائی اضی تج تیطتش حالت اص ع اي
ت الذا اجا ، فق حالت دس .ايذ ی استفاد يذص ػا
DNS 53 پست مػذ ت خذش UDPاطالػاتی ای تست اسسا
ضذ ايجاد اختال سیست ػىشد دس تشتیة تذي ايذ ی
. ايذ ی Crashسیست
![Page 29: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/29.jpg)
Chapter 529© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
UDP packet
Port:53
![Page 30: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/30.jpg)
Chapter 530© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
Boink حول
طات حالت اص ع اي
تفات اي تا .تاضذ ی Bonkتاج
،53 پست اص استفاد جای ت و
.ییشد لشاس ذف پست، چذي
![Page 31: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/31.jpg)
© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
SWITCHv6 Chapter 531
switch security
VTP (VLAN Trunking Protocol)
![Page 32: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/32.jpg)
Chapter 532© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
VLAN Trunking Protocol
ذيشيت پیىشتذی VLAN Trunk دس) سيیچ صيادی تؼذاد
ت (ضد اجا ته ته دستی غست ت اش تضسي حیط يه
.ضد خاسج وتش اص تاذ ی سشػت
ذيشيت تشای سیسى VLAN يه تضسي ای ضثى تا دس ا
.است وشد اساي سش
![Page 33: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/33.jpg)
Chapter 533© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
VTP ،ا تؼيؽ وشد پان افضد VLAN اص ضثى دس سا ا
آپط يه حاظ اي اص وذ ی ذيشيت شوضی، وتش مط يه
.ضد ی حسب ایتی
دس وذ ضشوت سيیچ ش VTP اطالػات تثاد اص VLAN ا
VTP تسط و VLAN ش اص تاذ ی وذ ی پیذا اطالع
.وذ استفاد ضد ی ذيشيت
![Page 34: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/34.jpg)
Chapter 534© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
VTP هسایای
.ضثى دس اVLAN يىپاسچ سشيغ ذيشيت•
.اVLAN ؾؼیت داضت ظش تحت دلیك سدياتی•
اVLAN تغییشات خػظ دس دايایه غست ت ضاسش وسة•
.ضثى اص مط ش دس
خاذ لادس ديش ىشا ویذ ی استفاد VTP پشتى اص لتی•
.ياتذ دستشسی ضا ضثى ای VLAN پیىشتذی ت تد
![Page 35: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/35.jpg)
Chapter 535© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
![Page 36: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/36.jpg)
© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
SWITCHv6 Chapter 536
switch security
port security
![Page 37: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/37.jpg)
Chapter 537© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
Port security
Port security سی ت ا سيیچ و است خػغیتی
mac پاي تش آ address سا خد ای پست ت دستشسی
.وذ ی وتش
Port security یطد پیىشتذی سيیچ پست ش سی
![Page 38: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/38.jpg)
Chapter 538© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
سشيس port security وی ی فؼا سيیچ سی سا
تؼذاد چ ت سيیچ پست ش وی طخع تايذ سپس
mac address تذذ دستشسی ی اجاص تاذ ی.
يا يه وی ی تؼیی پیىشتذی تؼذی شح دس
mac address تطاسای پست ت چ سا جاص ای.
![Page 39: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/39.jpg)
Chapter 539© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
تايذ يا داسي س پیص دس سا د شح اي دس mac address
اتخاب سا د ی ضي تايذ يا وی اسد دستی سا ظش سد سیست
mac ای تيی يؼی وی address پست اي سی اص و سا
mac ػا ت ضیذی address و اتخاب جاص.
![Page 40: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/40.jpg)
Chapter 540© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
چذ يا يه اش وی طخع سيیچ پست ش تشای تايذ حا
mac address ػىس ضذ تػ ضثى ت سد تشای جاص غیش
تاضذ؟ چ سيیچ اص پست اي اؼ
حالت خاذ ی و سا اجیی ىشا جی سی تذي
.ضد ی شفت وذ اذاصی سا سا ضديه اص
![Page 41: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/41.jpg)
© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
SWITCHv6 Chapter 541
switch security
802.1X Port-Based Authentication
![Page 42: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/42.jpg)
Chapter 542© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
802.1x یت احراز درتار
تا و است ػی سيیچ، ای پست سی واستشا يت احشاص
AAA تشویة Authentication port security اجا لات
IEEE استاذاسد اساس تش لاتیت اي .است 802.1X زاضت تا
سيیچ، ای پست سی تش واستشا يت احشاص 802.1x .است ضذ
احشاص پشتى يه اذ است port-based يت احشاص ع اص
client-server دستشسی وتش يت based وذ ی واس.
![Page 43: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/43.jpg)
Chapter 543© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
تا سا شدد احشاص يتطا و واستشای استثاط پشتى، اي LAN
.دذ ی آا ت سا تشافیه تثاد یچ اجاص وذ ی لطغ
ت سا خد يت تايذ حتا واستش ضد فؼا يژی اي و ای
سا تشافیىی ع یچ سيیچ سی ی پست ش ايذ احشاص سيیچ
.وشد خاذ دسيافت اسسا
![Page 44: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/44.jpg)
Chapter 544© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
802.1x در دستگاا قص
![Page 45: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/45.jpg)
© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
SWITCHv6 Chapter 545
switch security
آدرس جعل حول تا هقاتل
![Page 46: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/46.jpg)
Chapter 546© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
DHCP snooping
IP source guard
Dynamic ARP Inspection (DAI)
![Page 47: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/47.jpg)
Chapter 547© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
DHCP Snooping
DHCP Snooping ایتی خػغیت يه DHCP ت و است
سی ت اػتاد غیشلات DHCP ای پیا وشد فیتش سی
DHCP ديتاتیس يه ذاسی ساخت Snooping binding
DHCP جذ يه ػا ت آ اص و Snooping binding
.ضد ی ضثى ایت تاػث تشذ، ی ا
![Page 48: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/48.jpg)
Chapter 548© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
DHCP Snooping، تی hostث سشسا اػتاد غیشلات ای
DHCP اص استفاد تا ضا .وذ ی ػ فايشا يه Snooping
ايتشفیس ايی واستش ت تػ اػتاد غیشلات ای ايتشفیس تی
تایذ ی ديش سيیچ يا DHCP سشس ت تػ اػتاد لات ای
.ضيذ لاي فشق
![Page 49: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/49.jpg)
Chapter 549© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
![Page 50: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/50.jpg)
Chapter 550© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
IP source guard
IP ا ت لاتیتی اص سیسى ای سيیچ Source Guard تشای
IP لاتیت .وذ ی استفاد آدسس جؼ حالت تا مات Source
Guard وه تا DHCP Snooping تی mac address ای
mac دس ضذ ثثت table سيیچ IP address داد اختػاظ
تشلشاس ظیش ت ظیش استثاط پست ش ت تػ دستاای ت ضذ
DHCP و ای .وذ ی Snooping ای آدسس است، فؼا
mac IP سيیچ سی اطالػاتی تاه يه دس سا تػ ای است
.وذ ی ثثت
![Page 51: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/51.jpg)
Chapter 551© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
IP لتی حا Source Guard سدی ای تست وی ی فؼا سا
:وذ ی تاصسسی صيش ای سش اص يىی ت سا سيیچ ت
Source IP Address Filtering
Source IP and MAC Address Filtering
IP Source Guard for Static Hosts
![Page 52: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/52.jpg)
Chapter 552© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
![Page 53: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/53.jpg)
Chapter 553© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
Dynamic ARP Inspection (DAI)
وشد پیذا تشای ARPپشتى اص ضثى، ای ديايس ا است
.وذ ی استفاد ديش دستاایmac آدسس
مػذ پی آی آدسس حایbroadcast تست يه واس اي تشای آا
آ mac آدسس خػظ دس وشد اسسا ضثى داخ ت سا
.وذ ی اطالػات دسخاست
ARP تست ت پاسخ دس است پی آی آدسس اي داسای و استی
.وذ ی اػال سا خد mac آدسس
![Page 54: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/54.jpg)
Chapter 554© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
سا ARP دسخاست ای تست (Attacker) اجی ىشا
.دذ ی پاسخ آ ت وشد ضد
دس .وذ ی اػال سا ديشی دستا يا خدضا mac آدسس ػذا
ای تست وشد دسيافت سا اضتثا آدسس اي فشستذ، تیج
وشد تؼیی ىش و جؼی mac آدسس ست ت سا خد اطالػاتی
.فشستذ ی
man ع اص ح اي in the middle آ ا ARP
Spoofing يا ARP Poisoning تاضذ ی.
![Page 55: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/55.jpg)
Chapter 555© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
Dynamic لاتیت ARP Inspection (DAI) تست تاصسسی يا
سیسى، ای سيیچ دس حالت، ع اي تا مات تشای ،ARP ای
.است ضذ اساي
DHCP ت صيادی ضثات آ ػىشد Snooping آ دس .داسد
.ضذ ی تذی تمسی trust untrusted دست د ت ا پست
،untrusted ای پست سی اص ضذ دسيافت ARP ای تست
.ضذ ی تاصسسی ضذ تلف
![Page 56: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/56.jpg)
Chapter 556© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
![Page 57: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/57.jpg)
Chapter 557© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
ی دسيافت untrusted پست يه سی اص ARP پاسخ يه لتی
دس و الؼی ماديش تا سا آ mac IP ای آدسس سيیچ ضد،
ديتا اي اطالػات .ايذ ی مايس وشد ثثت خد اطالػاتی تاه
DHCP جذ اص تیس Snooping تسط و استاتیىی ماديش
اي اجا تشای .آيذ ی دست ت ضذ پیىشتذی سيیچ سی ا خد
DHCP مايس Snooping تاه تا تاضذ فؼا سيیچ سی تايذ
.تیشد لشاس استفاد سد ضذ تطىی زوس اطالػاتی
![Page 58: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/58.jpg)
Chapter 558© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
ديتا تا تؼاسؼ دس اضتثا اطالػاتی ضا ARP پاسخ تست اش
تیذ تاس اي دس log يا ضاسش يه ضذ حزف تاضذ، سيیچ تیس
دستاای ت جؼی ARP تست سسیذ اص تشتیة اي ت .شدد ی
.وی ی جیشی آا اذاخت اضتثا ت ضثى دس ديش
![Page 59: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/59.jpg)
© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
SWITCHv6 Chapter 559
Network security
TCP Intercept
![Page 60: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/60.jpg)
Chapter 560© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
TCP Intercept
فیچشای يا خػغیات TCP Interceptافضاسی ش غست ت
حالت اصTCP سشسای اص حافظت تشای ضد ی ساصی پیاد
TCP SYN-floodingسشيس اص حشیت ح ع يه و
Denial) است of Service attack)
![Page 61: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/61.jpg)
Chapter 561© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
SYN-flooding يه attack يه سی ىش و افتذ ی اتفاق لتی
وذ ی ايجاد سیالب يا flood ا دسخاست اص سثاسی تا سشس
TCP ع اص ای دسخاست اص سیی يؼی SYN استثاط تشلشاسی تشای
.ضد ی اسسا سشس ست ت
دستشس دس ضا تاصطت آدسس دسخاست، حای ای پیا اي اا
.ضذ تشلشاس تاذ ی ا واىط يا استثاطات اي پس .یست
![Page 62: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/62.jpg)
Chapter 562© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
تاذ ا واىط اي ضذ تاص تظش سشس ضد ی تاػث واس اي
يا يافت واص سشس واسايی ا، دسخاست حج ت تج تا تیج دس
لای واستشا تیج دس طذ سشيس اساي ت لادس وی طس ت
سشيس اص استفاد ايی، ت دستشسی سايت، ب ت اتػا اص ؼتثش
FTP . . . شدذ ی حش.
![Page 63: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/63.jpg)
Chapter 563© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
Intercept اص اتػا ايجاد ای دسخاست وشد تلف سی ت
جیشی SYN-flooding حالت اص آا سجی اػتثاس TCP ع
.وذ ی
TCP Interceptدسخاست حای اطالػاتی ای تست TCP SYN
سشس ست ت واليت اص داسد دست دس و ACL تا شفت سا
.دذ ی طاتمت
![Page 64: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/64.jpg)
Chapter 564© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
TCP و ضد ی اجا غست اي ت واس اي Intercept طشف اص
ايجاد واىط يه دسخاست، وذ اسسا واليت تا مػذ، سشس
.وذ ی
واىط يه واليت طشف اص سشس تا ضذ، تىی استثاط ايجاد اش
.وذ ی تشلشاس تا سا ی د اي استثاط وشد ايجاد
![Page 65: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/65.jpg)
© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
SWITCHv6 Chapter 565
Network security
Private VLAN
![Page 66: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/66.jpg)
Chapter 566© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
Private VLAN
![Page 67: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/67.jpg)
© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
SWITCHv6 Chapter 567
Network security
VLAN حول Hooping
![Page 68: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/68.jpg)
Chapter 568© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
VLAN حول Hooping
اج ضشط اي تد تا و است الص ضشط 3 ح اي اجا تشای
:وذ اذاصی سا سا ح تاذ ی
.تاضذ تػ سيیچ access پست ت اج -1
.تاضذ 802.1q اساس تش سيیچ تشاه پست وشد وپس ػیات -2
Native تشاه پست سی -3 VLAN ا VLAN اج و تاضذ
.است شفت لشاس آ دس
![Page 69: Switch security workshop 2014](https://reader033.vdocuments.net/reader033/viewer/2022051400/55a94add1a28abc6248b45f0/html5/thumbnails/69.jpg)
Chapter 569© 2007 – 2010, Cisco Systems, Inc. All rights reserved. Cisco Public
VLAN حول Hooping