1 00:00:00,960 --> 00:00:07,410 In diesem Video werden wir die Port-Sicherheit beschreiben, mit der beispielsweise eine Authentifizierungsebene 2 00:00:07,770 --> 00:00:13,110 in einer Ethernet-Umgebung in einer Ethernet-Umgebung mit Kabel bereitgestellt wird. 3 00:00:13,110 --> 00:00:19,630 Es gibt nichts, was Sie daran hindert, Ihren PC einfach an einen offenen Port im Netzwerk anzuschließen. 4 00:00:19,680 --> 00:00:27,390 Als Beispiel gibt es nichts, was einen Benutzer daran hindert, seinen PC mit einem Anschluss in einem Büro eines Direktors zu verbinden, 5 00:00:27,750 --> 00:00:32,110 was dazu führt, dass er Zugriff auf den Schurken des Direktors hat. 6 00:00:32,190 --> 00:00:39,060 Es gibt auch nichts, was einen Benutzer daran hindert, einen drahtlosen Zugangspunkt mit dem Netzwerk zu verbinden und mehreren 7 00:00:39,060 --> 00:00:44,310 Benutzern den Zugriff auf das drahtgebundene Netzwerk über diesen drahtlosen Zugangspunkt zu ermöglichen. 8 00:00:44,580 --> 00:00:46,790 Das ist ein großes Sicherheitsrisiko. 9 00:00:46,800 --> 00:00:53,070 Bei der Port-Sicherheit wird nach der Quell-MAC-Adresse des an einem Port empfangenen Frames gesucht. 10 00:00:53,070 --> 00:01:00,540 Sie können die Frames für einen bestimmten Port auf eine von Ihnen konfigurierte MAC-Adresse oder eine 11 00:01:00,900 --> 00:01:05,890 begrenzte Anzahl von MAC-Adressen beschränken, die dynamisch konfiguriert sind gelernt. 12 00:01:05,910 --> 00:01:07,920 Es gibt verschiedene Optionen, die wir besprechen werden. 13 00:01:07,920 --> 00:01:15,090 Als Beispiel könnte man sagen, dass an dem Port, der mit dem Büro des Direktors verbunden ist, nur die 14 00:01:15,090 --> 00:01:22,050 MAC-Adresse, die mit dem Laptop oder dem PC verbunden ist, Frames an den Switch senden darf und daher 15 00:01:22,080 --> 00:01:24,610 zu den Direktoren des Landes gehört. 16 00:01:24,810 --> 00:01:30,750 Oder Sie können die Anzahl der in einem Port zulässigen MAC-Adressen begrenzen. Als Beispiel können Sie 17 00:01:30,750 --> 00:01:37,750 die Anzahl der MAC-Adressen auf eine beschränken, die nur einem einzelnen PC den Zugriff auf das Netzwerk über diesen Port ermöglicht. 18 00:01:38,040 --> 00:01:45,180 Wenn Sie einen PC mit einem IP-Telefon verbunden haben, können Sie die MAC-Adressen für das IP-Telefon auf drei 2 und für den 19 00:01:45,690 --> 00:01:48,800 an das IP-Telefon angeschlossenen PC auf eine Adresse festlegen. 20 00:01:48,960 --> 00:01:56,280 Dies würde einen Benutzer daran hindern, einen Zugangspunkt oder einen Hub mit dem Netzwerk zu verbinden und mehreren nicht autorisierten 21 00:01:56,280 --> 00:01:59,590 Geräten den Zugriff auf das Ethernet-Netzwerk zu ermöglichen. 22 00:01:59,610 --> 00:02:03,570 Bitte beachten Sie, dass hier kein Kation-Benutzer verwendet wird. 23 00:02:03,660 --> 00:02:07,200 Jede Frage kann mit Ada zu diesem x implementiert werden. 24 00:02:07,200 --> 00:02:13,920 Dies ist eine einfachere Basisauthentifizierung basierend auf MAC-Adressen. Daher sind nur Frames von bestimmten MAC-Adressen oder eine 25 00:02:14,010 --> 00:02:21,150 begrenzte Anzahl von MAC-Adressen an einem Port an einem Switch zulässig, der das Problem löst, dass ein Benutzer eine 26 00:02:21,150 --> 00:02:26,310 Verbindung mit einem Port herstellt, an dem er nicht autorisiert ist verbinden mit. 27 00:02:26,640 --> 00:02:33,000 Anhalten eines Benutzers, der einen Hub mit einem drahtlosen Zugangspunkt an das Netzwerk anschließt, und ermöglichen somit den 28 00:02:33,000 --> 00:02:34,880 unberechtigten Zugriff auf das Netzwerk. 29 00:02:35,300 --> 00:02:40,200 Sie können entscheiden, was passiert, wenn die Port-Sicherheit verletzt wird. 30 00:02:40,200 --> 00:02:45,990 Sie können die Frames einfach fallen lassen oder den Port mit einem so genannten Fehler herunterfahren oder 31 00:02:45,990 --> 00:02:50,970 den Status in der sichersten Implementierung deaktivieren, in der Sie den Port deaktivieren. 32 00:02:51,000 --> 00:02:56,870 Sie als Administrator müssen den Port manuell erneut aktivieren, damit der Benutzer als Beispiel den Helpdesk kontaktieren 33 00:02:56,890 --> 00:03:01,340 und erklären muss, dass er keinen Zugriff mehr auf das Netzwerk hat. 34 00:03:01,470 --> 00:03:07,080 Dann könnten Sie untersuchen, was passiert ist, und Sie könnten feststellen, ob eine autorisierte MAC-Adresse oder eine 35 00:03:07,470 --> 00:03:11,470 Gruppe von MAC-Adressen versucht hat, über diesen Port auf das Netzwerk zuzugreifen. 36 00:03:14,960 --> 00:03:20,910 Die Port-Sicherheit ist einer von mehreren Sicherheitsmechanismen, die Sie in einem Netzwerk implementieren können. 37 00:03:21,110 --> 00:03:25,520 Sicherheit ist wie eine alte Burg, wie hier gezeigt. 38 00:03:25,520 --> 00:03:32,300 Die Idee ist, dass Sie über mehrere Sicherheitsmechanismen verfügen, die an sich 39 00:03:32,300 --> 00:03:40,330 keine vollständige Sicherheit bieten, aber jede Sicherheitsebene oder jeder Mechanismus fügt eine andere Sicherheitsebene hinzu. 40 00:03:40,340 --> 00:03:45,460 In diesem Beispiel müssten Sie also über das Meer gelangen, um zum Schloss zu gelangen. 41 00:03:45,650 --> 00:03:51,420 Dann müsstest du die Außenmauer erklimmen und bist immer noch nicht im Kern der Burg. 42 00:03:51,560 --> 00:03:58,880 Man müsste diesen Hügel hochklettern und dann die innere Mauer erklimmen, um als König zum König in der 43 00:03:58,880 --> 00:04:00,450 Burg zu gelangen. 44 00:04:00,710 --> 00:04:07,130 Aus Sicherheitsgründen implementieren Sie mehrere Wände oder Mechanismen, die es einem Hacker erschweren, Ihr 45 00:04:07,130 --> 00:04:08,120 Netzwerk anzugreifen. 46 00:04:08,120 --> 00:04:14,900 Dies gilt auch für Benutzer, die versehentlich oder ohne böswillig zu sein tun, was sie in Ihrem Netzwerk 47 00:04:14,910 --> 00:04:16,250 nicht tun sollten. 48 00:04:16,250 --> 00:04:19,770 Die Port-Sicherheit ist also kein Sicherheitsmechanismus. 49 00:04:19,850 --> 00:04:27,560 Es ist nur einer von vielen und bietet einen grundlegenden Sicherheitsmechanismus für Ihr Netzwerk-Ethernet. 50 00:04:27,560 --> 00:04:30,830 Wieder hat keine Sicherheit eingebaut. 51 00:04:30,830 --> 00:04:37,860 Ein Benutzer kann einfach einen Laptop an Ihr Netzwerk anschließen und vollen 52 00:04:37,870 --> 00:04:41,090 Zugriff auf das Netzwerk erhalten. 53 00:04:41,330 --> 00:04:47,750 Die erste ist eine statische Art und Weise, statisch bestimmte MAC-Adressen zu konfigurieren, die an einem Port 54 00:04:47,750 --> 00:04:53,510 zulässig sind oder nicht. Mac-Adressen, die Sie nicht angeben, sind für den Port nicht zulässig. 55 00:04:53,510 --> 00:04:57,980 Der Vorteil dieser Methode ist, dass Sie viel Kontrolle haben, 56 00:04:57,980 --> 00:05:05,660 der Nachteil besteht jedoch darin, dass Sie die MAC-Adressen aller Geräte manuell ermitteln und anschließend manuell konfigurieren müssen. 57 00:05:05,690 --> 00:05:11,570 Sie können auch dynamisches Lernen verwenden, wenn Sie angeben, wie viele MAC-Adressen an einem Port zulässig sind 58 00:05:12,020 --> 00:05:13,970 und diese dynamisch gelernt werden. 59 00:05:14,210 --> 00:05:19,220 Als Beispiel könnte man sagen, dass an einem Port nur zwei 60 00:05:19,220 --> 00:05:24,710 MAC-Adressen zulässig sind und die ersten beiden erlernten MAC-Adressen zulässig sind. Nachfolgende MAC-Adressen 61 00:05:24,710 --> 00:05:31,220 sind nicht zulässig. Sie würden dies als Beispiel verwenden, um die zulässigen MAC-Adressen zu begrenzen, jedoch 62 00:05:31,500 --> 00:05:38,970 nicht Auf welche MAC-Adressen sind zulässig, so beschränken Sie die Anzahl der MAC-Adressen und nicht auf bestimmte MAC-Adressen. 63 00:05:38,990 --> 00:05:44,540 Beim Lernen von Domenica ist zu beachten, dass die erlernten MAC-Adressen entfernt werden, wenn 64 00:05:44,540 --> 00:05:51,200 der Switch neu gestartet wird, während der Port ausfällt, und dann neue MAC-Adressen zugelassen werden, wenn der Port 65 00:05:51,200 --> 00:05:52,440 wieder hochgefahren wird. 66 00:05:52,460 --> 00:06:00,570 Sie können auch ein Alterungsintervall angeben, damit MAC-Adressen nach einiger Zeit vergessen werden können. 67 00:06:00,620 --> 00:06:07,100 Wenn Sie also eine Situation hatten, in der Sie einen Hotdesk oder einen Boardroom hatten, können Sie möglicherweise nur eine bestimmte Anzahl 68 00:06:07,100 --> 00:06:11,820 von MAC-Adressen an einem Port zulassen. Diese MAC-Adressen können sich jedoch mit der Zeit ändern. 69 00:06:11,840 --> 00:06:16,850 Sie können auch statisches und dynamisches Lernen kombinieren, indem Sie bestimmte MAC-Adressen 70 00:06:16,850 --> 00:06:17,880 explizit zulassen. 71 00:06:17,930 --> 00:06:24,440 So können Sie beispielsweise die Anzahl der MAC-Adressen an einem Port auf vier beschränken, jedoch nur 72 00:06:24,470 --> 00:06:29,410 statisch für MAC-Adressen konfiguriert. Die verbleibenden zwei MAC-Adressen können dynamisch gelernt werden. 73 00:06:29,690 --> 00:06:35,360 Die statischen bei MAC-Adressen sind kein Jot, aber Sie können den dynamisch gelernten 74 00:06:35,360 --> 00:06:44,030 MAC-Adressen zu einem Jot Stickie-Lernprogramm erlauben, mit dem Sie automatisch eine erlernte MAC-Adresse zur laufenden Konfiguration des Switches hinzufügen 75 00:06:44,030 --> 00:06:44,950 können. 76 00:06:45,230 --> 00:06:50,150 Anstatt die MAC-Adressen statisch zu konfigurieren, können Sie dem Switch gestatten, MAC-Adressen zu 77 00:06:50,540 --> 00:06:56,820 lernen, und diese dann der Konfiguration hinzufügen, wenn Sie Ihre laufende Konfiguration speichern, um die Konfiguration zu starten. 78 00:06:56,990 --> 00:07:03,290 Diese MAC-Adressen bleiben im NV-RAM erhalten und gehen daher nicht verloren, wenn der Switch neu startet. 79 00:07:03,350 --> 00:07:05,250 Es gibt also verschiedene Möglichkeiten. 80 00:07:05,270 --> 00:07:09,660 Denken Sie daran, dass die Portsicherheit eine erste Möglichkeit zur Implementierung der Sicherheit ist. 81 00:07:09,680 --> 00:07:16,190 Sie können die Anzahl der für einen Port zulässigen MAC-Adressen begrenzen und angeben, welche 82 00:07:16,460 --> 00:07:19,840 MAC-Adressen für einen Port zulässig sind. 83 00:07:19,880 --> 00:07:24,590 Sie haben die Möglichkeit, sich nur auf MAC-Adressen an einem Port zu beschränken, ohne sich um die MAC-Adressen 84 00:07:24,590 --> 00:07:25,210 zu kümmern. 85 00:07:25,400 --> 00:07:32,180 Sie würden einen Benutzer daran hindern, einen Access Point oder einen Heimrouter zum Arbeiten zu bringen, ihn an das Netzwerk anzuschließen und den 86 00:07:32,510 --> 00:07:35,280 Freunden den Zugriff auf das Netzwerk zu ermöglichen. 87 00:07:35,480 --> 00:07:43,040 Oder Sie können streng sein und nur bestimmte MAC-Adressen an einem Port zulassen, sodass ein Benutzer keine Verbindung zum Director-Port 88 00:07:43,040 --> 00:07:47,360 herstellen kann und somit Zugriff auf die Director-Ansicht und hat.