تلفن شرکت: 000 36 422 021

انتقادات و پیشنهادات: 63 26 639 0920

سیستم اتوماسیون و کنترل صنعتی (بخش دوم)

03 ژوئن

سیستم اتوماسیون و کنترل صنعتی (بخش دوم)

مکانیزم‌های نظارتی و محافظتی شبکه

DHCP Snooping

DHCP Snoopingمانند یک فایروال عمل می‌کند که ما بین کلاینت‌های غیرقابل‌اعتماد (Untrusted Hosts) و سرورهای DHCP قابل‌اعتماد (Trusted DHCP Servers) قرار می‌گیرد. این قابلیت گزینه های زیر را شامل میشود:

·بررسی (Validate) پیام‌های DHCP دریافتی از پورت‌های غیرقابل‌اعتماد و فیلتر کردن پیام‌های نامعتبر.

·اعمال محدودیت نرخ (Rate Limiting) روی ترافیک DHCP، هم از منابع قابل‌اعتماد و هم غیرقابل‌اعتماد.

·ساخت و نگهداری پایگاه داده‌ی Binding (پایگاه داده‌ی DHCP Snooping Binding ) که شامل اطلاعات مربوط به کلاینت‌های غیرقابل‌اعتماد و آدرس‌های IP اجاره داده‌شده به آن میشود.

·استفاده از همین پایگاه داده برای اعتبارسنجی درخواست‌های بعدی کلاینت‌های غیرقابل‌اعتماد.

قابلیت DHCP Snooping به صورت جداگانه برای هر VLAN فعال می‌شود . به‌صورت پیش‌فرض، این قابلیت روی همه‌ی VLANها غیرفعال بوده و شما می‌توانید آن را برای یک VLAN خاص یا بازه‌ای از VLANها فعال کنید.

DHCP Snooping

 

بررسی پویا  ARP (DAI)

  Dynamic ARP Inspection (DAI Dynamic ARP Inspection (DAI)) مسئول بررسی و اعتبارسنجی بسته‌های ARP در شبکه است. این قابلیت بسته‌های ARP مشکوک را بررسی (Intercept) ، ثبت (Log) و در صورت نامعتبر بودن، حذف (Discard) می‌کند. DAI از شبکه در برابر حملاتMan-in-the-Middle (MiTM)  محافظت می‌کند.

DAI اطمینان حاصل می‌کند که فقط درخواست‌ها و پاسخ‌های ARP معتبر از شبکه عبور داده می شوند. و سوئیچ موارد زیر را بررسی میکند:

  • تمام درخواست‌ها و پاسخ‌های ARP را که از پورت‌های غیرقابل‌اعتماد (Untrusted Ports) هستند رهگیری می‌کند
  • قبل از بروزرسانی کش ARP یا ارسال بسته به مقصد، بررسی می‌کند تا IP به MAC آدرس مربوطه به‌درستی هماهنگ شده باشد (در پایگاه داده معتبر باشد).
  • بسته‌های ARP نامعتبر رو حذف می‌کند (Drop).

مبنای اعتبارسنجی بسته‌های ARP در  DAI، تطبیق آدرس‌های IP و MAC با اطلاعات ذخیره‌شده در پایگاه داده DHCP Snooping Binding  هست. این پایگاه داده توسط DHCP Snooping ساخته می‌شود، به شرطی که DHCP       Snooping روی  VLANها و سوئیچ فعال شده باشد

اگر بسته ARP از طریق یک پورت قابل‌اعتماد (Trusted Interface) دریافت شود، سوئیچ آن اطلاعات را بدون بررسی عبور می‌دهد. اما اگر بسته از پورت غیرقابل‌اعتماد (Untrusted Interface) بیاد، فقط در صورتی ارسال می‌شود که اعتبارش تأیید بشود.

 

بررسی پویا ARP (DAI)

محافظت از منبع (IP Source Guard) IP

IP Source Guard (IPSG) یک مکانیزم امنیتی لایه دوم است که به جلوگیری از جعل آدرس (IP Spoofing) IP توسط میزبان‌های مخرب کمک می‌کند. این ویژگی در پورت‌های دسترسی (Access Ports) که به عنوان Untrusted علامت‌گذاری شده‌اند، پیاده‌سازی می‌شود.

عملکرد اصلی  :IP Source Guard

  1. در ابتدا تمام ترافیک IP روی پورت محافظت‌شده مسدود می‌شود، به جز DHCP
  2. پس از اختصاص IP به کلاینت:
    • اگر DHCP Snooping فعال باشد، پس از دریافت آدرس IP از DHCP، دستگاه به‌عنوان یک میزبان قانونی شناسایی شده و ترافیکش مجاز می‌شود.
    • یا اگر نگاشت IP به MAC توسط ادمین به‌صورت دستی (Static Binding) تعریف شده باشد، فقط ترافیک آن IP مشخص مجاز خواهد بود.
  3. هرگونه ترافیک با IP غیرمجاز یا جعلی مسدود می‌شود.

 

 

مزایای IPSG:

  • جلوگیری از جعل IP در شبکه (IP Spoofing)
  • جلوگیری از حملات Man-in-the-Middle و ARP poisoning در سناریوهای صنعتی
  • افزایش امنیت پورت‌های سوییچ در برابر نفوذ غیرمجاز
  • عملکرد خودکار در ترکیب با DHCP Snooping برای کاهش نیاز به تنظیمات دستی

 

سناریو کاربردی در IIoT:

در شبکه‌ای که شامل تجهیزات صنعتی مثل PLC یا حسگرهای IoT است، مهاجم می‌تواند تلاش کند با جعل IP یک PLC معتبر، خود را جایگزین آن کند. با فعال بودن IP Source Guard، چنین ترافیکی شناسایی و بلافاصله مسدود می‌شود، زیرا آدرس IP مربوطه با MAC ثبت‌شده در پایگاه‌داده DHCP snooping یا نگاشت استاتیک تطابق ندارد.

پیش‌نیازهای فعال‌سازی موثر:

  • DHCP Snooping باید فعال باشد تا پایگاه داده‌ای از IP/MAC ایجاد شود.
  • یا IP Source Binding به‌صورت دستی باید پیکربندی شده باشد.

 

این ویژگی به خصوص در شبکه‌های صنعتی حیاتی، که در آن صحت شناسایی هر دستگاه اهمیت بالایی دارد، بسیار مؤثر است و با سایر ابزارهای امنیتی مانند DAI  و  DHCP Snooping به‌صورت مکمل کار می‌کند تا یک چارچوب امنیتی جامع برای شبکه فراهم کند

 

سناریو کاربردی در IIoT

 

لیست کنترل دسترسی IPv4/IPv6 (ACL)

فیلترینگ بسته‌ها و لیست‌های کنترل دسترسی (ACL)

فیلترینگ بسته‌ها یکی از روش‌های پایه‌ای امنیت شبکه است که با کنترل ترافیک شبکه، دسترسی کاربران یا دستگاه‌های خاص را محدود می‌کند. این روش اطمینان حاصل می‌کند که فقط ترافیک مجاز امکان عبور از زیرساخت شبکه را دارد.

لیست‌های کنترل دسترسی (ACL)، فیلترینگ بسته‌ها را با تعریف مجموعه‌ای از قوانین “اجازه” یا “ممنوعیت” برای بسته‌های عبوری از تجهیزات شبکه (مانند سوئیچ) پیاده‌سازی می‌کنند. هنگام ورود یک بسته به رابط شبکه:

  1. سوئیچ Header بسته را بررسی می‌کند.
  2. بسته را با قوانین تعریف‌شده در ACL مقایسه می‌کند.
  3. بر اساس معیارهایی مانند آدرس IP، نوع پروتکل یا شماره پورت، تصمیم به اجازه یا مسدود کردن بسته می‌گیرد.
By مقالات بدون نظر
Share:

ارسال دیدگاه

avatar
  مشترک شدن  
مطلع شدن از

مطالب مرتبط

جولای 29, 2018

IP Rating چیست ؟

ادامه مطلب
LLF آوریل 28, 2019

قابلیت (LLF(Link Loss Forwarding

ادامه مطلب
پورت Trunk جولای 30, 2018

پورت Trunk چیست ؟

ادامه مطلب
; آوریل 15, 2025

کامپیوتر صنعتی ATC 3750-IP7-6C نگهبان هوشمند سایت‌های ساختمانی

ادامه مطلب
HMI سپتامبر 25, 2018

HMI چیست؟

ادامه مطلب
vtc 210 جولای 24, 2022

رایانه صنعتی بدون فن VTC 210 قابل نصب درون وسیله نقلیه

ادامه مطلب
Intel AMT اکتبر 22, 2019

تکنولوژی Intel AMT برای کاهش هزینه‌های نگهداری و افزایش بهره‌وری جهت مدیریت از راه دور کامپیوترها

ادامه مطلب
پنل سرور 5200 می 13, 2025

NEXCOM NSA 5200 با قدرت هوش مصنوعی، امنیت سایبری را به سطح بالاتری می‌برد

ادامه مطلب
پروتکل LLDP مارس 2, 2019

پروتکل LLDP

ادامه مطلب
media converter فوریه 21, 2021

مدیا کانورتور چیست؟

ادامه مطلب
02142236000