- بواسطة x32x01 ||
في مجال الشبكات، السويتش يعتبر قلب الشبكة 
هو اللي بيربط الأجهزة ببعض، وبينقل البيانات بينهم، وعلشان كده لازم نحميه كويس جدًا من أي اختراق أو خطأ ممكن يسبب مشكلة كبيرة.
هنتكلم عن خطوات حماية جهاز السويتش (Switch Security) بشكل عملي ومبسط، وهنفهم كل أمر وليه بنستخدمه
أول خطوة لازم تعملها لحماية السويتش هي إنك تلغي عملية التفاوض (Negotiation) في المنافذ.
بس قبل ما نبدأ، خلينا نفهم الأول يعني إيه "عملية تفاوض" أصلاً
العملية دي بتحصل لما منفذين بيتواصلوا مع بعض علشان يحددوا هل هيشتغلوا في وضع Access ولا Trunk.
البروتوكول اللي بيقوم بالكلام ده اسمه Trunking Dynamic Protocol (TDP).
بس المشكلة إن البروتوكول ده ممكن يستغل في الهجمات (زي هجوم DTP Spoofing)
علشان كده لازم نقفل التفاوض ونحدد كل منفذ هيشتغل إزاي بإيدينا.
ده لتحديد المنفذ اللي هنشتغل عليه.
الأمر ده بيحدد مجموعة منافذ (من 0/1 لحد 0/10) علشان تطبق الإعدادات مرة واحدة.
لو المنفذ Trunk:
يعني المنفذ ده هيكون خاص بربط السويتشات ببعض (وليس بأجهزة المستخدمين).
ولو المنفذ Access:
الأمر الأخير switchport nonegotiate هو اللي بيمنع أي عملية تفاوض على المنفذ 
دلوقتي بعد ما حددنا وضع المنافذ، نبدأ نحميها فعلاً بأداة قوية جدًا اسمها Port Security
الهدف منها إنك تمنع أي جهاز غير مصرح له من التوصيل على المنافذ بتاعت السويتش
يعني ببساطة، لو عندك PC معين هو اللي المفروض يتوصل على المنفذ، ممكن تمنع أي جهاز تاني غيره من الدخول
يعني هنا المسموح بس لجهاز واحد يتوصل على المنفذ.
(استبدل الماك أدرس بالقيمة الفعلية للجهاز عندك).
الأمر ده بيقفل المنفذ تلقائيًا لو تم توصيل جهاز غير مصرح له
وفيه أوضاع تانية زي:
السكربت ده بيأمن المنفذ 0/10 بشكل كامل 
ومش هيسمح لأي جهاز تاني ياخد مكان الجهاز المصرّح له.
واحدة من أهم طرق حماية السويتش واللي ناس كتير بتغفلها 
لو عندك منافذ مش مستخدمة، اقفلها فورًا ومتسيبهاش مفتوحة لأي حد يركب عليها جهاز خارجي.
ليه؟
علشان أي منفذ مفتوح ممكن يستغله هاكر في توصيل جهازه والدخول على الشبكة
حدد المنافذ الغير مستخدمة مثلاً:
غير المود بتاعها وخليها Access Mode:
انقلها على VLAN غير مفعّلة (زي VLAN 99 مثلًا):
اقفلها:
وبكده تكون ضمنت إن مفيش منفذ فاضي ممكن يتلعب بيه 
استخدم كلمة مرور قوية لحساب الـ console و الـ enable
امنع الدخول الغير مصرح بيه عن طريق SSH فقط بدل Telnet
دايمًا تابع الـ Logs علشان تعرف لو حصل أي تغيير أو محاولة اتصال مش مصرح بيها
حماية السويتش مش خطوة إضافية… دي ضرورة 
لأن أي ثغرة في المنافذ ممكن تفتح باب لاختراق الشبكة بالكامل
ابدأ دايمًا بـ:
هو اللي بيربط الأجهزة ببعض، وبينقل البيانات بينهم، وعلشان كده لازم نحميه كويس جدًا من أي اختراق أو خطأ ممكن يسبب مشكلة كبيرة.
هنتكلم عن خطوات حماية جهاز السويتش (Switch Security) بشكل عملي ومبسط، وهنفهم كل أمر وليه بنستخدمه
الخطوة الأولى: إلغاء عملية التفاوض في منافذ السويتش
أول خطوة لازم تعملها لحماية السويتش هي إنك تلغي عملية التفاوض (Negotiation) في المنافذ.بس قبل ما نبدأ، خلينا نفهم الأول يعني إيه "عملية تفاوض" أصلاً
يعني إيه عملية التفاوض في السويتش؟
العملية دي بتحصل لما منفذين بيتواصلوا مع بعض علشان يحددوا هل هيشتغلوا في وضع Access ولا Trunk.البروتوكول اللي بيقوم بالكلام ده اسمه Trunking Dynamic Protocol (TDP).
بس المشكلة إن البروتوكول ده ممكن يستغل في الهجمات (زي هجوم DTP Spoofing)
علشان كده لازم نقفل التفاوض ونحدد كل منفذ هيشتغل إزاي بإيدينا.
طيب نطبق عملي: أوامر إلغاء التفاوض
لتطبيق الأمر على منفذ واحد بس:
Code:
Switch(config)# interface fastethernet 0/1
لو عايز تطبق على أكتر من منفذ:
Code:
Switch(config)# interface fastethernet 0/1-10
بعد كده بتحدد نوع المود اللي المنفذ هيشتغل عليه:
لو المنفذ Trunk: Code:
Switch(config-if-range)# switchport mode trunkولو المنفذ Access:
Code:
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport nonegotiate
الخطوة التانية: تفعيل Port Security لحماية المنافذ
دلوقتي بعد ما حددنا وضع المنافذ، نبدأ نحميها فعلاً بأداة قوية جدًا اسمها Port Securityالهدف منها إنك تمنع أي جهاز غير مصرح له من التوصيل على المنافذ بتاعت السويتش
يعني ببساطة، لو عندك PC معين هو اللي المفروض يتوصل على المنفذ، ممكن تمنع أي جهاز تاني غيره من الدخول
خطوات تفعيل Port Security
تحديد المنفذ اللي هتفعل عليه الحماية:
Code:
Switch(config)# interface fastethernet 0/10 تحديد عدد الأجهزة المسموح لها تتوصل على المنفذ:
Code:
Switch(config-if)# switchport port-security maximum 1 تحديد الماك أدرس للجهاز المسموح له:
Code:
Switch(config-if)# switchport port-security mac-address 00AA.BBCC.DDEE تحديد الإجراء اللي هيحصل لو حد حاول يدخل بجهاز تاني:
Code:
Switch(config-if)# switchport port-security violation shutdownوفيه أوضاع تانية زي:
- restrict (بيمنع الاتصال بس من غير ما يقفل المنفذ)
- protect (بيتجاهل الجهاز الغريب من غير تسجيل خطأ)
مثال عملي كامل على إعداد منفذ محمي
Code:
Switch(config)# interface fastethernet 0/10
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address 00AA.BBCC.DDEE
Switch(config-if)# switchport port-security violation shutdownومش هيسمح لأي جهاز تاني ياخد مكان الجهاز المصرّح له.
الخطوة التالتة: اقفل المنافذ اللي مش مستخدمة
واحدة من أهم طرق حماية السويتش واللي ناس كتير بتغفلها لو عندك منافذ مش مستخدمة، اقفلها فورًا ومتسيبهاش مفتوحة لأي حد يركب عليها جهاز خارجي.
ليه؟
علشان أي منفذ مفتوح ممكن يستغله هاكر في توصيل جهازه والدخول على الشبكة
الطريقة الصح لإغلاق المنافذ الغير مستخدمة
حدد المنافذ الغير مستخدمة مثلاً: Code:
Switch(config)# interface range fastethernet 0/11-24 Code:
Switch(config-if-range)# switchport mode access Code:
Switch(config-if-range)# switchport access vlan 99 Code:
Switch(config-if-range)# shutdown نصايح إضافية لحماية السويتش
استخدم كلمة مرور قوية لحساب الـ console و الـ enable Code:
Switch(config)# enable secret StrongPassword123 Code:
Switch(config)# line vty 0 4
Switch(config-line)# transport input ssh Code:
Switch# show port-security
Switch# show interfaces status
خلاصة البوست
حماية السويتش مش خطوة إضافية… دي ضرورة لأن أي ثغرة في المنافذ ممكن تفتح باب لاختراق الشبكة بالكامل
ابدأ دايمًا بـ:
- إلغاء التفاوض في المنافذ
- تفعيل Port Security
- غلق المنافذ الغير مستخدمة
- متابعة الأجهزة الموصولة بشكل مستمر
التعديل الأخير: