حافظه فلش (Flash Memory) چیست؟

حافظه فلش داده ها را در مجموعه ای از سلول ها ذخیره می کند و هر سلول حداقل ۱ بیت داده را در خود نگه می دارد. سلول ها به صورت بلوک هایی سازمان دهی شده اند، جایی که یک بلوک به عنوان مجموعه ای از بایت های پیوسته تعریف می شود که یک واحد قابل شناسایی از داده ها را تشکیل می دهد.

یک بلوک کوچکترین قسمت قابل برنامه ریزی / پاک شدن آرایه است. بلوک ها توسط بار الکتریکی نوشته می شوند؛ هر سلول یا نشان دهنده عدد ۱ است یا ۰. وقتی همه بلوک ها با هم در نظر گرفته شوند؛ یک تراشه حافظه تشکیل می دهند. چند نوع حافظه فلش وجود دارد که حافظه فلش NAND رایج ترین نوع آن است. حافظه فلش NAND را می توان در کارت های USB، دستگاه های MP3 Player و سایر دستگاه هایی که به ذخیره سازی داده با ظرفیت بالا نیاز دارند، پیدا کرد.

حافظه فلش دارای دو ویژگی اصلی است:

ـ غیر فرار است – حافظه غیر فرار برای نگهداری اطلاعات به منبع تغذیه نیاز ندارد. به همین ترتیب معمولا برای ذخیره سازی طولانی مدت استفاده می شود. حافظه رم کامپیوتر شما یک نوع حافظه فرار است و این بدان معناست که با خاموش کردن سیستم؛ تمام اطلاعات نگهداری شده از دست می روند.

ـ تعداد محدود سیکل نوشتن دارد – به دلیل نحوه کار، حافظه فلش فقط می تواند تا تعداد محدودی از سیکل یا چرخه نوشتن پشتیبانی کند. سلول ها کم کم به آرامی از کار می افتند و عملکرد کاهش پیدا می کند.

فلش مموری NAND چیست؟

NAND نوعی حافظه فلش است که در دسته حافظه‌های غیرفرار ( Non-Volatile storage) قرار می‌گیرد. این نوع از حافظه حتی در صورت قطع برق و نبود منبع تغذیه نیز اطلاعات موجود در خود را حفظ می‌کند. هدف مهم توسعه فلش NAND کاهش هزینه هر بیت و افزایش حداکثر ظرفیت تراشه است تا حافظه فلش بتواند با دستگاه های ذخیره سازی مغناطیسی مانند هارد دیسک رقابت کند.

حافظه‌های فلش مموری قابلیت حمل بسیار بالا همراه با عمر و سرعت زیادی دارند. آنها قادر به ذخیره‌سازی اطلاعاتی که از یک SSD و یا فلش مموری انتظار می‌رود. حافظه‌های فلش مموری در واقع آرایه‌ای از سلول‌ها است که قابلیت ذخیره‌سازی یک یا چند بیت از داده‌های صفر و یک را دارد. هر سلول شامل چند Floating Gate Transistor است که شارژ الکتریکی را در خود نگه داری می‌کنند که در نهایت نشان دهنده نماد صفر و یا یک است.

SLC (Single-Level Cells) یک بیت را ذخیره سازی می‌کند. MLC (Multi-Level Cells) دو بیت را ذخیره سازی می‌کند، TLC (Ttriple-Level Cells) سه بیت و در نهایت QLC (Quad-Level Cells) چهار بیت را ذخیره سازی می‌کنند. با استفاده از واحد‌های ذخیره‌سازی بیت بیشتر، هزینه‌ها کاهش پیدا می‌کند.

این فلش برای دستگاه های مناسب است که فایل های حجیم، اغلب در آنها آپلود و جایگزین می شوند. پخش کننده های MP3، دوربین های دیجیتال و درایوهای فلش USB از فناوری NAND استفاده می کنند. فلش NAND داده ها را به صورت بلوک ذخیره می کند و برای ذخیره داده ها به مدارهای الکتریکی متکی است. هنگامی که برق از حافظه فلش NAND جدا می شود، یک metal-oxide نیمه رسانا، شارژ اضافی را برای سلول حافظه فراهم می کند و داده ها را حفظ می کند. metal-oxide نیمه رسانا که معمولاً استفاده می شود یک ترانزیستور floating-gate (FGT) است. ساختار FGT ها شبیه به گیت های منطقی NAND است.

سلول های حافظه NAND با دو نوع گیت کنترلی و گیت شناور ساخته می شوند. هر دو گیت به کنترل جریان داده کمک خواهند کرد و برای برنامه ریزی یک سلول، یک شارژ ولتاژ به گیت کنترل ارسال می شود.

عملکرد حافظه فلش NAND:

حافظه فلش نوع خاصی از تراشه حافظه خواندنی قابل برنامه ریزی (EEPROM) با قابلیت پاک کردن الکترونیکی است. مدار فلش، شبکه ای از ستون ها و ردیف ها را ایجاد می کند. هر تقاطع شبکه دو ترانزیستور را نگه می دارد که توسط یک لایه نازک اکسید از هم جدا شده اند. یکی از ترانزیستورها دروازه شناور و دیگری دروازه کنترل نامیده می شود. گیت کنترل، دروازه شناور را به ردیف مربوطه خود در شبکه متصل می کند.

تا زمانی که گیت کنترل این پیوند را فراهم می کند، سلول حافظه دارای مقدار دیجیتالی 1 است که به معنای پاک شدن بیت است. برای تغییر سلول به مقدار دیجیتال 0، باید فرآیندی به نام Fowler-Nordheim tunneling و در کل باید تونل زنی انجام شود که تونل زنی نحوه قرارگیری الکترون ها در دروازه شناور را تغییر می دهد.

یک ولتاژ سیگنال در امتداد خط ستون شبکه ارسال، وارد دروازه شناور می شود و شارژ دروازه شناور را به زمین تخلیه می کند. این تغییر باعث می شود که الکترون ها در سراسر لایه اکسید رانده شوند و بار روی لایه اکسید را تغییر می دهد که مانعی بین دروازه های شناور و کنترل ایجاد می کند.

از آنجایی که این تغییر بار را به زیر یک ولتاژ آستانه معین کاهش می دهد، مقدار سلول به عدد دیجیتال 0 تبدیل می شود. یک سلول فلش را می توان با اعمال شارژ با ولتاژ بالاتر پاک کرد و سلول فلش را به دیجیتال 1 بازگرداند. با اعمال شارژ ولتاژ بالاتر، تونل زنی را متوقف کرده و شارژ را به دروازه شناور برمی گرداند.

این فرآیند به ولتاژی نیاز دارد که توسط مدار کنترل فعال ارائه می شود. اما سلول هایی که فلش را تشکیل می دهند، پس از قطع برق خارجی به تراشه، حالت شارژ یا تخلیه خود را به طور نامحدود حفظ می کنند. این همان چیزی است که حافظه فلش NAND را غیرفرار می کند.

فرآیند شارژ و تونل زنی که در یک سلول فلش انجام می شود برای ترانزیستورها مخرب است و سلول فقط می تواند قبل از اینکه سلول شروع به خراب شدن و از کار افتادن کند به تعداد محدودی برنامه ریزی و پاک شود. که به این مفهوم حافظه فرسوده و یا پوسیده شده گفته می شود.

تاریخچه و تکامل حافظه فلش NAND:

تاریخچه فلش NAND در واقع به توسعه metal-oxide-semiconductor field-effect transistors (MOSFETs) برمی گردد. فناوری MOSFET در سال 1959 توسعه یافته و در سال 1967 MOSFET های دروازه شناور توسعه یافت. توسعه دهندگان این ترانزیستورهای اولیه متوجه شدند که این دستگاه ها می توانند وضعیت را بدون برق نگه دارند و استفاده از آنها را به عنوان سلول های حافظه دروازه شناور برای تراشه های حافظه فقط خواندنی قابل برنامه ریزی (PROM) پیشنهاد کردند که هم غیرفرار و هم قابل برنامه ریزی مجدد هستند.

بیش از تراشه های رام موجود این ترانزیستورها پایه و اساس دستگاه های پاک شدنی PROM (EPROM) و EEPROM را در دهه 1970 تشکیل دادند، اگرچه استفاده از آنها محدود بود.

طراحان توشیبا اولین کسانی بودند که گروه‌هایی از سلول‌های حافظه فلش را در بلوک‌ها یا گروه‌ها بازسازی کردند و مدار مورد نیاز برای پاک کردن سریع بلوک‌ها را اضافه کردند. فلش NOR در سال 1984 و فلش NAND در سال 1987 ارائه شد. توشیبا برخی از اولین دستگاه‌های فلش NAND را در سال 1987 تولید کرد، در حالی که اینتل دستگاه‌های فلش NOR را در سال 1988 تولید کرد. دستگاه‌های کارت حافظه قابل جابجایی مبتنی بر NAND، مانند SmartMedia، در اواسط دهه 1990 ظاهر شدند و شامل چندین تغییر از جمله MultiMediaCard و سایر عوامل بودند. کارت های قابل جابجایی، مانند miniSD و microSD، تکامل یافته و عملکرد بهتری را در فاکتورهای کوچکتر ارائه می دهند.

سازندگان در دهه‌های 2000 و 2010 پیشرفت‌هایی را در زمینه چگالی، عملکرد و قابلیت اطمینان حافظه‌های فلش NAND انجام دادند که از فناوری‌های نوظهور طراحی سلول مانند سلول چند سطحی (MLC) بهره بردند که دو بیت در هر سلول، سلول سه‌سطحی (TLC) را ذخیره می‌کرد. بیت در هر سلول و سلول چهار سطحی (QLC) که چهار بیت در هر سلول را ذخیره می کند. پیشرفت‌های بیشتر در فناوری سلول‌های حافظه، لایه‌هایی از سلول‌های حافظه را قادر می‌سازد تا در لایه‌هایی روی هم قرار گیرند تا ظرفیت ذخیره‌سازی فلش حتی بیشتر شود.

انواع حافظه فلش NAND:

انواع متداول ذخیره سازی فلش NAND شامل SLC، MLC، TLC، QLC و 3D NAND است. عاملی که آنها را از هم جدا می کند تعداد بیت ها در هر سلول است. هرچه بیت های بیشتری در هر سلول ذخیره شود، هزینه ذخیره سازی فلش NAND کمتر خواهد بود.

ـ SLC یا سلول های تک سطحی: در هر سلول یک بیت ذخیره می کند. SLC بالاترین استقامت را دارد اما همچنین گرانترین نوع حافظه فلش NAND است.

ـ MLC یا سلول های چند سطحی: دو بیت را در هر سلول ذخیره می کند. از آنجایی که چرخه های پاک کردن و نوشتن دو برابر بیشتر اتفاق می افتد، MLC در مقایسه با SLC استقامت کمتری دارد. با این حال، هزینه کمتری دارد. بسیاری از رایانه های شخصی از MLC استفاده می کنند.

ـ TLC یا سلول‌های سطح سه‌گانه: سه بیت در هر سلول ذخیره می‌کنند. بسیاری از محصولات سطح مصرف کننده از این استفاده می کنند زیرا ارزان تر است، هر چند عملکرد پایین تری دارد.

ـ QLC یا سلول های چهار سطحی: چهار بیت در هر سلول ذخیره می کند. QLC ها حتی استقامت کمتری دارند و عموماً هزینه کمتری دارند.

ـ NAND سه بعدی: NAND دو بعدی یا مسطح فقط یک لایه سلول حافظه دارد، در حالی که NAND سه بعدی سلول ها را روی هم قرار می دهد. سامسونگ از NAND سه بعدی به عنوان NAND عمودی یا V-NAND یاد می کند.

تفاوت میان NAND و V-NAND چیست؟

V-NAND و یا 3D V-NAND آخرین تکنولوژی در زمینه ساخت فلش مموری در دنیا است. در این تکنولوژی از سلول‌های NAND به صورت سطح دو وجهی استفاده می‌شود. این سلول‌ها به صورت عمودی در کنار یکدیگر قرار می‌گیرند که باعث شده از نماد V (Vertical یا عمودی) در نام این تکنولوژی استفاده شود.

با توجه به استفاده از ساختار عمودی سلول‌ها، SSD‌های ساخته شده با استفاده از این تکنولوژی حجم بالاتری دارند، مصرف برق آنها کمتر و در نهایت هزینه تولید آنها نیز کاهش پیدا کرده است. از دیگر ویژگی‌های V-NAND می‌توان به سرعت دو برابر و ماندگاری داده‌ها تا ده برابر اشاره کرد. سامسونگ اولین بار با استفاده از V-NAND توانست اولین SSD با حجم دو ترابایت در جهان را به نام Samsung 850 Pro را به بازار عرضه کند.

عدم وجود فلش NAND:

تقاضای بی وقفه ذخیره سازی داده ها و دستگاه های قابل حمل باعث کمبود تراشه های فلش NAND شده است. کمبود فلاش NAND در سال 2016 آغاز شد و تا سال 2021 ادامه داشت. کمبود تا حدی نتیجه تقاضا است، اما همچنین به این دلیل است که فروشندگان از تولید NAND 2 بعدی یا مسطح به فناوری NAND بسیار متراکم تر 3D تغییر می کنند. ساخت تراشه های NAND سه بعدی فرآیند پیچیده تری است.

امروزه، درایوهای حالت جامد (SSD) و گوشی‌های هوشمند، محرک‌های اصلی بازار فلش NAND هستند. بازار حافظه های فلش NAND تا سال 2020 به بیش از 46 میلیارد دلار رسید و انتظار می رود تا سال 2026 به بیش از 85 میلیارد دلار برسد.

تفاوت فلش NAND و فلش NOR:

دو نوع اصلی فلش، حافظه فلش NAND و NOR هستند که نام خود را از گیت های منطقی مربوط به خود می گیرند. حافظه فلش NAND در بلوک هایی که کوچکتر از دستگاه هستند نوشته و خوانده می شود، در حالی که حافظه فلش NOR به طور مستقل بایت ها را می خواند و می نویسد. موارد استفاده برای هر دو حافظه فلش NOR و NAND شامل لپ تاپ و کامپیوترهای های رومیزی، دوربین های دیجیتال و پخش کننده های صوتی؛ گوشی های هوشمند؛ بازی های ویدیویی؛ و الکترونیک علمی، صنعتی و پزشکی می باشد.

فلاش NAND زمان پاک کردن و نوشتن سریع‌تری نسبت به فلاش NOR ارائه می‌کند، در حالی که فناوری NAND چگالی بهتری را با هزینه کمتر برای هر بیت ارائه می‌کند. NAND همچنین تا 10 برابر NOR تحمل بیشتری را ارائه می دهد.

NAND جایگزین مناسبی برای ROM نیست زیرا دسترسی تصادفی در سطح بایت را ارائه نمی دهد، که معمولاً داده های ذخیره شده در ROM به آن نیاز دارند. حافظه NOR جایگزین خوبی برای درایوهای RAM و ROM است. NAND بیشتر با دستگاه های ذخیره سازی ثانویه مانند هارد دیسک مرتبط است. این باعث می شود فلش NAND برای ذخیره سازی انبوه، مانند SSD ها خوب باشد.

فناوری NAND Flash در حافظه SSD:

امروزه دنیای فناوری اطلاعات در بخش ذخیره سازی نیز با سرعت بسیار زیادی در حال پیشرفت است. اکنون کمتر کسی هست که با حافظه های SSD آشنایی نداشته باشد. حافظه هایی که آرام آرام جایگزین هارددیسک‌های مکانیکی می شوند و در آینده نزدیک مطمئناً آنها را از بازار خارج خواهند کرد.

عملکردحافظه های SSD مبتنی بر چرخش اجسام و حرکت اجزای داخلی آن نیست. در SSDها، اطلاعات به جای دیسک چرخان، در دریایی از فلش ناند (NAND) ذخیره می‌شوند. NANd خود از اجزایی ساخته شده است که ترانزیستورهای گیت شناور نامیده می‌شوند. برخلاف ترانزیستورهای استفاده شده در ساخت DRAM که باید هر ثانیه چندین بار رفرش شوند، فلش NAND به گونه‌ای طراحی شده است که حتی اگر منبع انرژی در دسترسش نباشد باز هم بتواند حالت شارژ خود را حفظ کند. همین امر موجب شده است که NAND را در دسته‌ی حافظه‌های غیر فرار (Non-volatile memory) دسته‌بندی کنند.

تکنولوژی NAND Flash در حدود ۱۰۰۰ برابر از دیسک‌های چرخان سریعتر و در مقابل DRAM در حدود ۱۰۰۰ برابر از NAND سریعتر است.

یک حافظه SSD از سه بخش اصلی تشکیل شده است:

ـ NAND Flash

ـ DDR Memory

ـ Controller

در بخش A دیتا ذخیره می شود و نیازی به برق برای حفظ داده ندارد. بخش B همان کش هارد است که برای حفظ داده ها نیاز به برق دارد. بخش C کنترولر نام دارد که به عنوان کانکتور اصلی بین هارد و کامپیوتر است و سیستم عامل (firmware) نیز بر روی آن نصب می شود.

معرفی تکنولوژی 3D NAND:

نسل جدید حافظه های ذخیره سازی در حقیقت یک معماری برای طراحی فلش‌های تجهیزات ذخیره‌سازی است که با عنوان فلش‌های NAND سه‌بعدی ( 3D Nand Flash) شناخته می‌شوند و شرکت‌هایی که در زمینه تولید چیپ‌های فلش فعالیت می‌کنند به توسعه ساختار فعلی فلش‌ها با استفاده از ساختار 3D Nand Flash روی آورده‌اند تا بتوانند به بهترین کارایی و پایین ترین قیمت در بازار رقابتی تجهیزات ذخیره‌سازی دست یابند.

در ساختار فلش‌های دو وجهی سلول‌ها در راستای محورهای X و Y کنار هم قرار می‌گیرند و بسته به اندازه فیزیکی سلول‌ها می‌تواند تا حجم محدودی از ذخیره‌سازی اطلاعات را پشتیبانی کند. در حالی که ساختار 3D Nand Flash لایه‌هایی از سلول‌ها روی هم قرار می‌گیرند و از راستای محور Z هم استفاده می‌شود و بدیهی است که حجم ذخیره‌سازی به صورت قابل توجهی افزایش می‌یابد. در کنار این ساختار فیزیکی از الگوریتم‌هایی نیز برای کاهش نرخ خطا و کاهش مصرف انرژی نیز استفاده شده تا کارایی بهینه‌ای را نیز از این معماری شاهد باشیم.

بزرگترین مزیت ساختار 3D Nand Flash ظرفیت بالای ذخیره‌سازی در آن‌ها در قیاس با سایز فیزیکی این نوع فلش است که باعث پایین آمدن قیمت تمام‌شده به ازای هر گیگابایت می‌شود. این افزایش ظرفیت می‌تواند نوید اس‌اس‌دی‌هایی با حجم بیش از 10 ترابایت در فرم‌فکتور 2.5 اینچی و یک اس‌اس‌دی 3.5 ترابایتی را در اندازه یک آدامس بادکنکی بدهد! از دیگر مزیت‌های ساختار 3D Nand Flash می‌توان به افزایش قابل توجه کارایی نسبت به ساختار دو وجهی اشاره کرد. این افزایش کارایی در سرعت خواندن/نوشتن و نیز بهبود سرعت دستیابی تصادفی در حالت 4K بسیار مشهود است. همچنین مصرف انرژی در حافظه‌هایی که بر اساس این تکنولوژی ساخته می‌شوند تا ۴۵ درصد کمتر است.

محدودیت ها و چالش های فلش NAND:

فن‌آوری‌های حافظه فلش مزایای بسیار زیادی را برای دستگاه‌های الکترونیکی مدرن فراهم کرده‌اند، از کارت‌های حافظه غیرفرار در دوربین‌ها تا SSD‌های کلاس سازمانی. اما علیرغم مزایا، فناوری‌های فلش مانند حافظه فلش NAND چندین محدودیت و چالش کلیدی را ارائه می‌کنند که بر عملکرد و قابلیت اطمینان تأثیر می‌گذارند، از جمله سایش، پاک کردن، تداخل و حساسیت.

ـ پاک کردن بلوکی:

در حافظه فلش هر یک از بیت‌ها جداگانه قابل برنامه‌نویسی یا خواندن می‌باشند، اما اگر بخواهیم یک بیت دلخواه را پاک کنیم کل بلوک پاک می‌شود؛ یعنی وقتی حتی تنها یک بیت صفر شده‌است برای یک کردن آن بیت باید کل بلوک را یک کنیم. حافظه فلش NOR، به ما قابلیت اجرای عملیات دوباره‌نویسی و پاک کردن، همراه با دسترسی تصادفی و دلخواه را نمی‌دهد.

ـ تحلیل حافظه:

حافظه فلش از تعداد محدودی حلقه نوشتن و پاک کردن پشتیبانی می‌کند. بیشتر فلش‌های در دسترس ما، به‌طور تضمینی قبل از تحلیل رفتن حافظه کیفیت آن را پایین می آورد، حدود ۱۰۰۰۰۰ حلقه نوشتن و پاک کردن را پوشش می‌دهند. برای کمتر کردن آثار این مشکل در بعضی از سیستم‌ها از روشی استفاده می‌شود که در آن با شمارش تعداد عملیات نوشتن و بازنگاری پویای بلوک‌ها جهت توزیع عملیات نوشتن در بین بخش‌های مختلف، باعث پایین آمدن سطح تحلیل حافظه می‌شویم.

ـ اختلال در خواندن:

اختلال در خواندن وقتی اتفاق می‌افتد که در طول عملیات خواندن یک بیت یا بیشتر تغییر کنند. اختلال در خواندن درون بلوکی که در حال خوانده شدن است، اما در صفحه یا صفحات دیگر که در حال خوانده شدن نیستند، اتفاق می‌افتد. اگر تعداد زیادی عملیات خواندن (حدود چند ۱۰۰۰۰۰ یا چند میلیون) قبل از انجام عملیات پاک کردن انجام دهیم، این اختلال ممکن است اتفاق بیفتد. بعد از وقوع این اختلال باید بلوکی را که اختلال در آن اتفاق افتاده‌است را پاک کنیم و دوباره داده‌ها را در آن بنویسیم.

تولید کنندگان حافظه فلش NAND:

طبق اطلاعات Mordor Intelligence، ارزش بازار حافظه های فلش NAND در سال 2020 بیش از 46 میلیارد دلار برآورد شده است و پیش بینی می شود تا سال 2026 از 85 میلیارد دلار فراتر رود.

انتظار می‌رود که این رشد ناشی از تقاضای دستگاه‌های رایانه‌ای مانند گوشی‌های هوشمند، کارت‌های حافظه، SSD و حتی پروژه‌های حافظه فشرده مانند هوش مصنوعی باشد. شش سازنده اصلی جهانی دستگاه های حافظه فلش NAND وجود دارد که عبارتند از:

ـ سامسونگ الکترونیک
ـ کیوکسیا
ـ شرکت وسترن دیجیتال (WD).
ـ فناوری میکرون
ـ SK Hynix
ـ اینتل

آینده حافظه فلش NAND:

حافظه فلش NAND به یکی از اجزای حیاتی دستگاه های موبایل مدرن تبدیل شده است. با افزایش این دستگاه ها و تلاش برای ارائه ویژگی ها و عملکردهای بیشتر، حجم بیشتری از حافظه فلش NAND برای رسیدگی به نیازهای رو به رشد کد و ذخیره سازی داده مورد نیاز خواهد بود.

هدف اصلی طراحی و تکامل حافظه فلش NAND این است که تراکم بیت‌های بیشتری را در تراشه‌های کوچک‌تر و با مشخصات پایین‌تر قرار دهد. سال های اخیر شاهد توسعه NAND چهار بعدی 128 لایه از SK Hynix بوده ایم. این به طور موثر امکان تولید دستگاه های ذخیره سازی NAND یک ترابایتی را با ضخامت بسته تراشه ای فقط 1 میلی متر که برای گوشی های هوشمند ایده آل هستند، فراهم می کند.

به طور مشابه، سامسونگ یک دستگاه V-NAND با بیش از 100 لایه تولید کرده است که عملکرد حافظه بهتری را به دلیل تأخیر کمتر و مصرف انرژی کمتر ارائه می دهد. این انگیزه های اساسی به سمت ظرفیت بیشتر و عملکرد برتر احتمالاً آینده دستگاه های NAND را شکل خواهد داد.

منبع : فلش مموري NAND چيست

وقتی مهاجم می تواند وارد شبکه ای شود که می خواهد به آن حمله کند، کار مهاجم نسبتاً آسان می شود. شبکه های محلی اترنت در برابر حمله بسیار آسیب پذیر هستند زیرا درگاه های سوئیچ به طور پیش فرض برای استفاده باز هستند. پس با ما همراه باشید تا بفهمیم Port Security چیست و چگونه آن را برقرار کنیم.

یک راه حل برای حمله DoS به سرویس دهنده DHCP که همان Starvation attack می باشد استفاده از Port Security است. در کل یکی از مسائل در حال رشد که امروزه مدیران شبکه با آن برخورد می کنند نحوه دسترسی افزاد به شبکه داخل سازمانی می باشد. آیا هر شخصی می تواند وارد سازمان شده، لپ تاپ خود را به پریز شبکه یا پورت سوئیچ شبکه متصل کرده و به شبکه داخلی دسترسی داشته باشد؟

همانطور که دیدیم یک سری از حملات به نام DHCP Stravation Attack با استفاده از همین روش و وصل شدن غیر مجاز به یک شبکه می تواند باعث از کار انداختن سرویس دهنده DHCP گردد. در ادامه به بررسی ویژگی های CISCO Port security خواهیم پرداخت. port Security به مدیر شبکه برای محدود نمودن اجازه دسترسی تعداد معین از آدرس MAC بر روی یک پورت خاص کمک می نماید.

در ساده ترین حالت port Security آدرس MAC متصل به پورت سوئیچ را به خاطر می سپارد و فقط به همان آدرس MAC اجازه برقراری اربتاط با پورت سوئیچ را می دهد. اگر آدرس MAC دیگری بخواهد از طریق همان پورت به شبکه متصل شود، پورت مذکور غیر فعال می شود. اکثر اوقات میدران شبکه سوئیچ را طوری تنظیم می کنند که یک SNMP Trap به سیستم مانیتورینگ مبنی بر غیر فعال شدن یک پورت به دلایل امنیتی فرستاده شود.

اگر چه پیاده سازی راه حل های امنیتی همیشه شامل یک trade-off می باشد ولی این کاهش سهولت در مقابل افزایش امنیت سیستم می باشد. وقتی شما از امنیت پورت استفاده می کنید می توانید از دسترسی دستگاه های مختلف به شبکه جلوگیری کرده و این امر موجب افزایش امنیت می شود. از طرفی دیگر فقط مدیر شبکه است که می تواند پورت را فعال کند و این امر در جایی که به دلایل مجاز قرار به تغییر دستگاه ها باشد ایجاد مشکل می کند.

حملات مختلفی مانند حمله Dos در لایه 2 و address spoofing ممکن است رخ دهد. اگر ادمین، شبکه را کنترل کند، بدیهی است که شبکه امن است. برای کنترل کامل پورت های سوئیچ، از ویژگی به نام Port Security می توان استفاده کرد. اگر به نحوی از استفاده کاربر غیرمجاز از این پورت ها جلوگیری شود، امنیت در لایه 2 تا حد زیادی افزایش می یابد.

در دو مرحله می توان پورت ها را ایمن کرد:

1. محدود کردن تعداد آدرس‌های MAC به یک پورت سوئیچ، یعنی اگر بیشتر از حد مجاز، آدرس‌های MAC از یک پورت واحد آموخته شود، اقدامات مناسب انجام خواهد شد.
2. در صورت مشاهده دسترسی غیرمجاز، باید با استفاده از هر یک از گزینه ها، ترافیک را حذف کرد، یا باید یک پیام گزارش ایجاد کرد تا دسترسی غیرمجاز به راحتی قابل مشاهده باشد.

Port Security در تجهیزات سیسکو: 

در بالا متوجه شدیم که Port Security چیست حال تجهیزات سیسکو نیز دارای قابلیت امنیتی port Security هستند که این توانمندی همانطور که گفته شد امنیت را بر روی پورت های سوئیچ افزایش خواهد داد، این افزایش امنیت مخصوصاً بر روی سوئیچ های سیسکو لایه Access که کامپیوترهای کاربران به آن متصل می باشند اهمیت بیشتری خواهد داشت. در صورتی که یک Hacker به راحتی به پورت های سوئیچ دسترسی پیدا کند، می تواند حملات مختلفی از جمله CAM table overflow، MAC spoofing attack و MAC flooding و سایر حملات را آغاز نماید.

port Security به شما این امکان را می دهد که قادر باشید کنترل کاملی روی پورت های Ethernet، Fast Ethernet و Gigbit Ethernet داشته باشید که در این توانمندی با تغیین MAc Address های مجاز به استفاده از پورت از دسترسی سایر تجهیزات با پورت سوئیچ جلوگیری می شود. در این حالت پورت سوئیچ فقط با مک آدرس های تعیین شده قادر به برقراری ارتباط خواهند بود و در صورتی که دستگاه دیگری مثل لپ تاپ یک هکر که جز مک آدرس های مجاز برای استفاده از پورت نیست قصد دسترسی به پورت سوئیچ را داشته باشد، توانایی برقراری اتصال با آن پورت را نخواهد داشت.

در پیکربندی port Security باید مک آدرس های مجاز به استفاده از پورت تعیین شوند که مک آدرس های مجاز به استفاده از پورت به دو صورت Static و Dynamic تعریف خواهند شد.

حالت های Port Security:

ـ Protect: در این حالت بسته‌های دارای مک آدرس مبدأ ناشناخته را رها و صرفا ادرس های مک شناخته شده در سوئیچ قابل استفاده است و سایر ترافیک از MAC های اضافی مسدود یا به اصطلاح drop می شوند.

ـ Restrict: این حالت همان عملکرد Protect را انجام می دهد، یعنی مک آدرس مبدأ ناشناخته را رها می کند. علاوه بر این، یک پیام گزارش ایجاد می کند و آن را برای ادمین شبکه ارسال می کند، مقدار شمارنده را افزایش می دهد و همچنین trap SNMP را ارسال می کند.

ـ shut down: این حالت به صورت پیش فرض است و در صورت دسترسی غیرمجاز پورت را فوراً خاموش می کند. همچنین یک log تولید می کند، مقدار شمارنده را افزایش می دهد و یک trap SNMP ارسال می کند.  پورت  مورد نظر در حالت خاموش باقی می ماند تا زمانی که ادمین دستور ” no shut down” را انجام دهد.

ـ Sticky: با استفاده از دستور Sticky ، ادمین امنیت MAC آدرس استاتیک را بدون تایپ آدرس مک مطلق فراهم می کند. به عنوان مثال، اگر ادمین حداکثر محدودیت 2 را ارائه دهد، 2 آدرس مک اولی که در آن پورت آموخته شده است در پیکربندی در حال اجرا قرار خواهند گرفت. پس از دومین آدرس مک آموخته شده، اگر کاربر سوم بخواهد دسترسی داشته باشد، مطابق با حالت نقض اعمال شده، اقدام مناسب انجام می شود.

نکته: Port Security فقط روی پورت access کار می کند، یعنی برای فعال کردن آن، ابتدا باید آن را به پورت access تبدیل کنید.

پیکربندی Port Security:

برای اعمال Port Security بر روی اینترفیس fa0/1، ابتدا پورت را به پورت access تبدیل کنید و سپس Port Security را فعال کنید:

Mrshabake (config)#int fa0/1

Mrshabake (config-if)#switchport mode access

Mrshabake (config-if)#switchport port-security

بدون پیکربندی هیچ پارامتر خاص دیگری، ویژگی Port Security تنها اجازه می دهد تا یک آدرس MAC در هر پورت سوئیچ (به صورت داینامیک) یاد گرفته شود. این بدان معنی است که اگر یک MAC آدرس دوم در سوئیچ پورت مشاهده شود، پورت خاموش می شود و در حالت err-disabled قرار می گیرد.

از دستور sticky استفاده کنید تا مک آدرس را به صورت داینامیک یاد بگیرد و محدودیت و اقدام مناسبی را که باید انجام شود را ارائه دهد.

Mrshabake (config-if)#switchport port-security

Mrshabake (config-if)#switchport port-security mac-address sticky

mac-address sticky ترکیبی بین مک آدرس استاتیک و داینامیک است. هنگامی که به صورت داینامیک یاد گرفته می شود، به طور خودکار به عنوان یک MAC آدرس استاتیک در پیکربندی در حال اجرا وارد می شود. سپس آدرس تا زمان راه اندازی مجدد در پیکربندی در حال اجرا نگهداری می شود. در راه اندازی مجدد، MAC آدرس از بین خواهد رفت. اگر مهندس شبکه بخواهد MAC آدرس را در راه‌اندازی مجدد حفظ کند، ذخیره پیکربندی لازم است (write).

مشاهده وضعیت Port Security:

برای مشاهده وضعیت Port Security روی سوئیچ ها از دستور show port-security و همچنین دستور show port-security interfaces استفاده کنید:

Mrshabake# show port-security address

          Secure Mac Address Table

——————————————————————-

Vlan    Mac Address       Type                Ports   Remaining Age

                                                         (mins)

—-    ———–       —-                —–   ————-

   1    0004.00d5.285d    SecureDynamic       Fa0/18       –

——————————————————————-

Total Addresses in System (excluding one mac per port)     : 0

Max Addresses limit in System (excluding one mac per port) : 1024

به عنوان مثالی دیگر بر روی یک اینترفیس خاص:

Mrshabake# show port-security interface fa0/18

Port Security                        : Enabled

Port Status                          : Secure-up

Violation Mode                       : Shutdown

Aging Time                           : 0 mins

Aging Type                           : Absolute

SecureStatic Address Aging           : Disabled

Maximum MAC Addresses                : 1

Total MAC Addresses                  : 1

Configured MAC Addresses             : 0

Sticky MAC Addresses                 : 0

Last Source Address                  : 0004.00d5.285d

Security Violation Count             : 0