اجرای میکروتیک در GNS3

Mikrotik RouterOS سیستم عامل RouterBoard های میکروتیک است که میتوان آن را روی یک PC نصب کرد و آن را به یک روتر با تمام امکانات مورد نیاز تبدیل کرد (Routing،Firewall،hotspot،Vpn Gateway و …).

در این مقاله نحوه نصب RouterOS  روی دیسک مجازی QEMU  و تنظیم نرم افزار GNS3 برای اجرای این روتر را توضیح میدهیم.

نرم افزار های مورد نیاز:

  • GNS3 با قابلیت پشتیبانی از QEMU یا VirtualBox
  • Qemu یا VirtualBox
  • فایل ISO مربوط به RouterOS –  دانلود mikrotik-6.32.4.iso

نصب RouterOS x86

  1. توسط دستور زیر فایل RouterOS را دانلود میکنیم.
  2. با اجرای دستورات زیر ، ابتدا دیسک مجازی QEMU را میسازیم و سپس ماشین مجازی را با فایل ISO که در مرحله قبل دریافت کردیم ، boot میکنیم:

     
  3. در پنجره ای که باز میشود ، میتوانید پکیج هایی را که مایلید روی میکروتیم فعال شوند را توسط کلید spacebar تیک بزنید و بعد از آن با فشردن کلید i ، نصب میکروتیک روی دیسک مجازی QEMU آغاز میشود.پس از نصب میکروتیک 24 ساعت فرصت دارید تا لایسنس را وارد  کنید و زمانی که روتر را خاموش کنید تایمر متوقف میشود.اما با توجه به اینکه هر زمان که یک RouterOs به صفحه GNS3 اضافه میکنیم در واقع به صورت اتوماتیک یک کپی از ایمیج اصلی Qemu توسط GNS3 ساخته میشود و هر کدام از این کپی ها قادرند 24 ساعت بدون نیاز به لایسنس فعال باشند.
  4. بعد از اینکه دیسک مجازی فرمت شد و پکیج های انتخاب شده نصب شدند ، توسط دستور زیر، RouterOS را راه اندازی میکنیم:

    در این مرحله باید بتوانید توسط Telnet به RouterOS  وارد شوید:

    یوزرنیم را admin  و بدون پسورد وارد کنید.
  5. اتصال ایمیج qemu به GNS3 : در این مرحله فرض ما بر این است که شما gns3 را به درستی نصب و پیکربندی کرده اید. از منوی Edit  گزینه ی Preferences را اتنخاب کنید.به قسمت QEMU رفته و سپس گزینه QEMU VMs را انتخاب کنید و روی گزینه New کلیک کنید.با فشردن کلید Finish ، ایمیج میکروتیک به GNS3 اضافه میشود و میتوانید از آن در توپولوژی های مختلف استفاده کنید.

بازی با port security – قسمت دوم

در قسمت قبل با دستورات کلی و نحوه ی پیاده سازی port security آشنا شدیم. در این قسمت به نکاتی در مورد این مکانیزم میپردازیم که گاه ممکن است مهم به نظر نیاید ولی اغلب مشکل آفرین میباشد!!!در قسمت قبل اشاره کردیم که برای تنظیم مک آدرس های مجاز میتوان یکی از دو دستور زیر را به کار گرفت:

یا

و اگر هیچکدام از دستورات بالا را اجرا نکنیم ،سوییچ به صورت اتوماتیک مک آدرس اولین فریم ورودی را به عنوان مک آدرس مجاز قرار خواهد داد(چون به صورت پیش فرض تنها یک مک آدرس مجاز است).پس sticky  چه فایده ای دارد اگر سوییچ به صورت اتوماتیک مک آدرس مجاز را تنظیم میکند؟!!!

حال به بررسی تفاوت این دو میپردازیم. شبکه زیر را در نظر بگیرید:

با اجرای دستورات مرحله یک و دو از قسمت قبل ،port security را روی اینترفیس e0/0 فعال کرده ایم. دیدیم که بعد از فعال کردن  port security بر روی یک اینترفیس، مک آدرس متناظر با آن اینترفیس در جدول مک آدرس ها از حالت Dynamic به Static تغییر میکند.

با اجرای دستور زیر ، جدولی ظاهر میشود به نام Secure Mac Address Table که مک آدرس های تنظیم شده در port security  را نمایش میدهد:

پس سوییچ به صورت اتوماتیک ، مک آدرس اولین فریم ورودی را به  عنوان مک آدرس مجاز وارد این جدول کرده است.دستور show running-config را اجرا میکنیم و نگاهی به تنظیمات اینترفیس Ethernet0/0 می اندازیم:

تا اینجا مشکلی نیست. مراحل بالا را را با روش sticky بررسی میکنیم.جهت فعال سازی قابلیت sticky ،علاوه بر اجرای دو دستور اول بیان شده در قسمت اول مقاله،دستور زیر را نیز اجرا میکنیم:

جدول Secure Mac Address Table به شکل زیر تغییر میکند:

و تنظیمات اینترفیس به صورت زیر در می آید:

پس در حالت دوم آدرس ها در جدول Secure Mac Address Table از SecureDynamic به SecureSticky تغییر میکنند و دوخط زیر به تنظیمات اینترفیس مربوطه اضافه میشوند:

شاید در نگاه اول تفاوت زیادی به نظر نرسد اما مشکل زمانی شروع میشود که به اصطلاح یک Violation اتفاق بیفتد. یعنی یک کامپیوتر دیگر به اینترفیسی که port security  روی آن فعال شده متصل گردد.به صورت پیش فرض violation mode روی حالت shutdown  میباشد.فرض کنید میخواهیم کامپیوتر PC1 را با یک کامپیوتر جدید به نام PC2 جایگزین کنیم.ببینیم که در دو حالت (dynamic و sticky) چه اتفاقی می افتد :

حالت اول: کابل شبکه PC1 را جدا میکنیم و PC2 را به اینترفیس e0/0 وصل میکنیم.بلافاصله پیام های زیر بر روی سوییچ ظاهر میشوند:

این پیام ها مشخص میکنند که یک مک آدرس نامعتبر به اینترفیس e0/0 وصل شده و port security ، این اینترفیس را shutdown کرده یا به اصطلاح به حالت err-disable  در آورده.جدول مک آدرس ها و جدول Secure Mac Address Table را چک میکنیم:

میبینیم که هیچ رکوردی در این جداول نمیباشد.زیرا وقتی یک اینترفیس shutdown یا err-disable میشود،رکوردهای جدول مک آدرس پاک میشوند و  همچنین رکوردهای از نوع SecureDynamic در جدول Secure Mac Address Table نیز از بین میروند.برای بیرون آوردن یک اینترفیس از حالت err-disable باید یک بار آن را خاموش و سپس روشن کرد .پس به ترتیب دستورات زیر را روی اینترفیس e0/0 اجرا میکنیم:

مجددا جدول های فوق را چک میکنیم:

میبینیم که مک آدرسی جدید که متعلق به PC2 میباشد در هر دو جدول اضافه شده و بدون هیچ مشکلی میتواند از شبکه استفاده کند.

حالت دوم:کابل شبکه PC1 را جدا میکنیم و PC2 را به اینترفیس e0/0 وصل میکنیم.بلافاصله پیام های زیر بر روی سوییچ ظاهر میشوند:

همانطور که در بالا اشاره کردیم این پیام ها مشخص میکنند که یک مک آدرس نامعتبر به اینترفیس e0/0 وصل شده و port security ، این اینترفیس را shutdown کرده یا به اصطلاح به حالت err-disable  در آورده.جدول مک آدرس ها و جدول Secure Mac Address Table را چک میکنیم:

رکوردهای جدول مک آدرس پاک شده اند اما رکورد جدول Secure Mac Address Table  که از نوع SecureSticky میباشد(چون دستور switchport port-security mac-address sticky روی این اینترفیس تنظیم شده) ، همچنان در جدول جا خوش کرده است. تلاش میکنیم با یک بار خاموش و سپس روشن کرد  اینترفیس، آن را از حالت err-disable خارج کنیم:

میبینیم که بلافاصله بعد از up شدن اینترفیس مربوطه ، مجددا port security آن را به حالت err-disable میبرد. دلیل این موضوع اینست که مک آدرس PC1 که به صورت sticky تنظیم شده است ، در واقع به جدولSecure Mac  Address Table چسبیده است و حتی با خاموش شدن یا err-disable شدن اینترفیس ، رکورد آن پاک نمیشود. و همچنین خط  switchport port-security mac-address sticky 0050.7966.6800 که در running-config وجود دارد بر این موضوع تاکید دارد که این مک آدرس به این اینترفیس چسبیده است.

پس راه حل برای جایگزین کردن PC1 با PC2 چیست؟

دستور زیر معجزه میکند:

با اجرای این دستور ، تمامی رکوردهای از نوع SecureSticky پاک میشوند و همچنین خط زیر از running-config پاک میشود:

و بعد از ین فقط باید یک بار اینترفیس را خاموش و سپس روشن کرد تا مک آدرس PC2 به عنوان رکورد جدیدی از نوع SecureSticky در جدول ثبت شود و بتواند از اینترفیس استفاده کند.

نکاتی راجع به دستورات مرتبط با port security:

  • با اجرای دستور زیر تمام آدرس های SecureSticky در جدول باقی می مانند اما تمامی آدرس های SecureDynamic از جدول پاک میشوند.
  • با اجرای دستور زیر ، تمام رکوردهای SecureSticky تبدیل به SecureDynamic میشوند :

    و همچنین دو خط زیر از running-conf پاک میشوند:

  • زمانی که یک اینترفیس به حالت err-disable  در می آید و یا خاموش و روشن میشود (یا به اصطلاح Bounce میشود) تمامی رکورد های SecureDynamic مربوط به آن اینترفیس پاک میشوند اما رکوردهای SecureSticky در جدول باقی میمانند.

 

بازی با Port Security – قسمت اول

        اگر مدیر شبکه در نظر داشته باشد که فقط تجهیزات مشخصی به پورت های خاصی از سوییچ متصل شوند ، این امکان وجود دارد که با استفاده از port security دسترسی به این پورت ها را محدود کند و تنها تجهیزات مورد نظر اجازه ی دسترسی و اتصال به پورت های مورد نظر را داشته باشند. با استفاده از این قابلیت احتمال وقوع حملاتی که در آن Attacker لپ تاپ خود را به سوکت دیواری شبکه متصل نموده و به اجرای حملات میپردازد را کاهش میدهد.

تنظیم port security مراحل زیر را شامل میشود:

  1. تنظیم اینترفیس مورد نظر به عنوان access :
  2. فعال کردن port security :
  3. (اختیاری) مشخص کردن حداکثر تعداد مک آدرس هایی که که اجازه استفاده از این اینترفیس را دارند(به صورت پیش فرض این مقدار برابر یک میباشد):

     
  4. (اختیاری) تعیین نوع عملی که سوییچ باید انجام دهد  بعد از اینکه  یک فریم با مک آدرسی به غیر از آدرس های تنظیم شده دریافت کند(به صورت پیش فرض shutdown میباشد):

     
  5. تعیین مک آدرس هایی که اجازه ارسال فریم به این اینترفیس را دارند:

     
  6. به جای اینکه در مرحله قبل مک آدرس ها را به صورت دستی وارد کنید، با استفاده از دستور زیر میتوانید به صورت دینامیکی مک آدرس دستگاههای متصل به اینترفیس را تنظیم کنید:

 

حال به مقایسه نحوه عملکرد آپشن های مختلفی که در دستور مرحله 4 میتوان تنظیم کرد میپردازیم:

آپشن تنظیم شده در دستور switchport port-security violationProtectRestrictShutdown
ترافیک ارسالی از مک آدرس نامعتبر را دور میریزدبلهبلهبله
log و پیام SNMP ارسال میکندخیربلهبله
اینترفیس مورد نظر را غیرفعال میکندخیرخیربله