- بواسطة x32x01 ||
في مجال الشبكات، السويتش يعتبر قلب الشبكة ❤️🔥
هو اللي بيربط الأجهزة ببعض، وبينقل البيانات بينهم، وعلشان كده لازم نحميه كويس جدًا من أي اختراق أو خطأ ممكن يسبب مشكلة كبيرة.
هنتكلم عن خطوات حماية جهاز السويتش (Switch Security) بشكل عملي ومبسط، وهنفهم كل أمر وليه بنستخدمه 👇
بس قبل ما نبدأ، خلينا نفهم الأول يعني إيه "عملية تفاوض" أصلاً 🤔
البروتوكول اللي بيقوم بالكلام ده اسمه Trunking Dynamic Protocol (TDP).
بس المشكلة إن البروتوكول ده ممكن يستغل في الهجمات (زي هجوم DTP Spoofing) 😬
علشان كده لازم نقفل التفاوض ونحدد كل منفذ هيشتغل إزاي بإيدينا.
ده لتحديد المنفذ اللي هنشتغل عليه.
الأمر ده بيحدد مجموعة منافذ (من 0/1 لحد 0/10) علشان تطبق الإعدادات مرة واحدة.
يعني المنفذ ده هيكون خاص بربط السويتشات ببعض (وليس بأجهزة المستخدمين).
ولو المنفذ Access:
الأمر الأخير switchport nonegotiate هو اللي بيمنع أي عملية تفاوض على المنفذ 🔒
الهدف منها إنك تمنع أي جهاز غير مصرح له من التوصيل على المنافذ بتاعت السويتش 🚫
يعني ببساطة، لو عندك PC معين هو اللي المفروض يتوصل على المنفذ، ممكن تمنع أي جهاز تاني غيره من الدخول 👇
يعني هنا المسموح بس لجهاز واحد يتوصل على المنفذ.
(استبدل الماك أدرس بالقيمة الفعلية للجهاز عندك).
الأمر ده بيقفل المنفذ تلقائيًا لو تم توصيل جهاز غير مصرح له 🚫
وفيه أوضاع تانية زي:
السكربت ده بيأمن المنفذ 0/10 بشكل كامل 🔐
ومش هيسمح لأي جهاز تاني ياخد مكان الجهاز المصرّح له.
لو عندك منافذ مش مستخدمة، اقفلها فورًا ومتسيبهاش مفتوحة لأي حد يركب عليها جهاز خارجي.
ليه؟
علشان أي منفذ مفتوح ممكن يستغله هاكر في توصيل جهازه والدخول على الشبكة 👾
1️⃣ حدد المنافذ الغير مستخدمة مثلاً:
2️⃣ غير المود بتاعها وخليها Access Mode:
3️⃣ انقلها على VLAN غير مفعّلة (زي VLAN 99 مثلًا):
4️⃣ اقفلها:
وبكده تكون ضمنت إن مفيش منفذ فاضي ممكن يتلعب بيه 😎
🚷 امنع الدخول الغير مصرح بيه عن طريق SSH فقط بدل Telnet
🧾 دايمًا تابع الـ Logs علشان تعرف لو حصل أي تغيير أو محاولة اتصال مش مصرح بيها
لأن أي ثغرة في المنافذ ممكن تفتح باب لاختراق الشبكة بالكامل 😱
ابدأ دايمًا بـ:
هو اللي بيربط الأجهزة ببعض، وبينقل البيانات بينهم، وعلشان كده لازم نحميه كويس جدًا من أي اختراق أو خطأ ممكن يسبب مشكلة كبيرة.
هنتكلم عن خطوات حماية جهاز السويتش (Switch Security) بشكل عملي ومبسط، وهنفهم كل أمر وليه بنستخدمه 👇
⚙️ الخطوة الأولى: إلغاء عملية التفاوض في منافذ السويتش
أول خطوة لازم تعملها لحماية السويتش هي إنك تلغي عملية التفاوض (Negotiation) في المنافذ.بس قبل ما نبدأ، خلينا نفهم الأول يعني إيه "عملية تفاوض" أصلاً 🤔
💬 يعني إيه عملية التفاوض في السويتش؟
العملية دي بتحصل لما منفذين بيتواصلوا مع بعض علشان يحددوا هل هيشتغلوا في وضع Access ولا Trunk.البروتوكول اللي بيقوم بالكلام ده اسمه Trunking Dynamic Protocol (TDP).
بس المشكلة إن البروتوكول ده ممكن يستغل في الهجمات (زي هجوم DTP Spoofing) 😬
علشان كده لازم نقفل التفاوض ونحدد كل منفذ هيشتغل إزاي بإيدينا.
🧠 طيب نطبق عملي: أوامر إلغاء التفاوض
🖥️ لتطبيق الأمر على منفذ واحد بس:
Code:
Switch(config)# interface fastethernet 0/1🔢 لو عايز تطبق على أكتر من منفذ:
Code:
Switch(config)# interface fastethernet 0/1-10🧩 بعد كده بتحدد نوع المود اللي المنفذ هيشتغل عليه:
لو المنفذ Trunk: Code:
Switch(config-if-range)# switchport mode trunkولو المنفذ Access:
Code:
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport nonegotiate🧱 الخطوة التانية: تفعيل Port Security لحماية المنافذ
دلوقتي بعد ما حددنا وضع المنافذ، نبدأ نحميها فعلاً بأداة قوية جدًا اسمها Port Securityالهدف منها إنك تمنع أي جهاز غير مصرح له من التوصيل على المنافذ بتاعت السويتش 🚫
يعني ببساطة، لو عندك PC معين هو اللي المفروض يتوصل على المنفذ، ممكن تمنع أي جهاز تاني غيره من الدخول 👇
🧰 خطوات تفعيل Port Security
1️⃣ تحديد المنفذ اللي هتفعل عليه الحماية:
Code:
Switch(config)# interface fastethernet 0/102️⃣ تحديد عدد الأجهزة المسموح لها تتوصل على المنفذ:
Code:
Switch(config-if)# switchport port-security maximum 13️⃣ تحديد الماك أدرس للجهاز المسموح له:
Code:
Switch(config-if)# switchport port-security mac-address 00AA.BBCC.DDEE4️⃣ تحديد الإجراء اللي هيحصل لو حد حاول يدخل بجهاز تاني:
Code:
Switch(config-if)# switchport port-security violation shutdownوفيه أوضاع تانية زي:
- restrict (بيمنع الاتصال بس من غير ما يقفل المنفذ)
- protect (بيتجاهل الجهاز الغريب من غير تسجيل خطأ)
🧩 مثال عملي كامل على إعداد منفذ محمي
Code:
Switch(config)# interface fastethernet 0/10
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address 00AA.BBCC.DDEE
Switch(config-if)# switchport port-security violation shutdownومش هيسمح لأي جهاز تاني ياخد مكان الجهاز المصرّح له.
💤 الخطوة التالتة: اقفل المنافذ اللي مش مستخدمة
واحدة من أهم طرق حماية السويتش واللي ناس كتير بتغفلها 😴لو عندك منافذ مش مستخدمة، اقفلها فورًا ومتسيبهاش مفتوحة لأي حد يركب عليها جهاز خارجي.
ليه؟
علشان أي منفذ مفتوح ممكن يستغله هاكر في توصيل جهازه والدخول على الشبكة 👾
🚧 الطريقة الصح لإغلاق المنافذ الغير مستخدمة
1️⃣ حدد المنافذ الغير مستخدمة مثلاً:
Code:
Switch(config)# interface range fastethernet 0/11-242️⃣ غير المود بتاعها وخليها Access Mode:
Code:
Switch(config-if-range)# switchport mode access3️⃣ انقلها على VLAN غير مفعّلة (زي VLAN 99 مثلًا):
Code:
Switch(config-if-range)# switchport access vlan 994️⃣ اقفلها:
Code:
Switch(config-if-range)# shutdown🧠 نصايح إضافية لحماية السويتش
🔐 استخدم كلمة مرور قوية لحساب الـ console و الـ enable Code:
Switch(config)# enable secret StrongPassword123🚷 امنع الدخول الغير مصرح بيه عن طريق SSH فقط بدل Telnet
Code:
Switch(config)# line vty 0 4
Switch(config-line)# transport input ssh🧾 دايمًا تابع الـ Logs علشان تعرف لو حصل أي تغيير أو محاولة اتصال مش مصرح بيها
Code:
Switch# show port-security
Switch# show interfaces status⚡ خلاصة البوست
حماية السويتش مش خطوة إضافية… دي ضرورة 💥لأن أي ثغرة في المنافذ ممكن تفتح باب لاختراق الشبكة بالكامل 😱
ابدأ دايمًا بـ:
- إلغاء التفاوض في المنافذ
- تفعيل Port Security
- غلق المنافذ الغير مستخدمة
- متابعة الأجهزة الموصولة بشكل مستمر
التعديل الأخير:
