1 00:00:00,960 --> 00:00:07,410 En este video vamos a hablar sobre la seguridad del puerto que se utiliza para proporcionar un nivel 2 00:00:07,770 --> 00:00:13,110 de autenticación en un entorno Ethernet en un entorno de Ethernet con cable como ejemplo. 3 00:00:13,110 --> 00:00:19,630 No hay nada que te impida simplemente enchufar tu PC en cualquier puerto abierto de la red. 4 00:00:19,680 --> 00:00:27,390 Así que, como ejemplo, no hay nada que impida que un usuario conecte su PC a un puerto en la oficina de 5 00:00:27,750 --> 00:00:32,110 un director, lo que luego les da acceso al villano del director. 6 00:00:32,190 --> 00:00:39,060 Tampoco hay nada que detenga a un usuario que conecta un punto de acceso inalámbrico a la red y permite 7 00:00:39,060 --> 00:00:44,310 que múltiples usuarios accedan a la red cableada a través de ese punto de acceso inalámbrico. 8 00:00:44,580 --> 00:00:46,790 Ese es un gran riesgo de seguridad. 9 00:00:46,800 --> 00:00:53,070 Lo que hace la seguridad del puerto es ver la dirección MAC de origen de los 10 00:00:53,070 --> 00:01:00,540 marcos recibidos en un puerto y puede restringir los marcos permitidos en un puerto específico a una única dirección 11 00:01:00,900 --> 00:01:05,890 MAC que configure o a un número limitado de direcciones MAC dinámicamente aprendido. 12 00:01:05,910 --> 00:01:07,920 Hay varias opciones de las que hablaremos. 13 00:01:07,920 --> 00:01:15,090 Pero como ejemplo, podría decirse que en el puerto que conecta con la oficina del director, solo la dirección 14 00:01:15,090 --> 00:01:22,050 MAC asociada con su computadora portátil o su PC puede enviar fotogramas al conmutador y, por lo tanto, 15 00:01:22,080 --> 00:01:24,610 pertenecen a los directores de la propiedad. 16 00:01:24,810 --> 00:01:30,750 O bien, podría limitar la cantidad de direcciones MAC permitidas en un puerto, por ejemplo, podría limitar el 17 00:01:30,750 --> 00:01:37,750 número de direcciones MAC a una que solo permita que una sola PC acceda a la red a través de ese puerto. 18 00:01:38,040 --> 00:01:45,180 O si tiene una PC conectada a un teléfono IP, puede limitar las direcciones MAC a tres 2 para el teléfono IP 19 00:01:45,690 --> 00:01:48,800 y una para la PC conectada al teléfono IP. 20 00:01:48,960 --> 00:01:56,280 Eso detendría a un usuario que conecta un punto de acceso o un concentrador a la red y permite que 21 00:01:56,280 --> 00:01:59,590 múltiples dispositivos no autorizados accedan a la red ethernet. 22 00:01:59,610 --> 00:02:03,570 Tenga en cuenta que esto no es para usar ningún usuario de catión. 23 00:02:03,660 --> 00:02:07,200 Cualquier pregunta se puede implementar usando Ada para esa x. 24 00:02:07,200 --> 00:02:13,920 Esta es una autenticación más básica basada en direcciones MAC, por lo que solo se permiten tramas de direcciones 25 00:02:14,010 --> 00:02:21,150 MAC específicas o se permite un número limitado de direcciones MAC en un puerto de un conmutador que resuelve el problema 26 00:02:21,150 --> 00:02:26,310 de un usuario que se conecta a un puerto que no está autorizado para conectarse 27 00:02:26,640 --> 00:02:33,000 Detener a un usuario que conecta un concentrador un punto de acceso inalámbrico a la red y, por lo tanto, permite el 28 00:02:33,000 --> 00:02:34,880 acceso no autorizado a la red. 29 00:02:35,300 --> 00:02:40,200 Puede decidir qué sucede cuando hay una violación de la seguridad del puerto. 30 00:02:40,200 --> 00:02:45,990 Simplemente puede soltar los marcos o puede cerrar el puerto utilizando lo que se denomina un 31 00:02:45,990 --> 00:02:50,970 error o deshabilitar el estado en la implementación más segura donde deshabilita el puerto. 32 00:02:51,000 --> 00:02:56,870 Como administrador, debe volver a habilitar manualmente el puerto para que el usuario tenga que ponerse en contacto con el 33 00:02:56,890 --> 00:03:01,340 servicio de asistencia como ejemplo y explicarle que ya no tiene acceso a la red. 34 00:03:01,470 --> 00:03:07,080 Y luego podría investigar qué sucedió y podrá ver si una dirección MAC autorizada o un grupo de 35 00:03:07,470 --> 00:03:11,470 direcciones MAC intentaron acceder a la red a través de ese puerto. 36 00:03:14,960 --> 00:03:20,910 La seguridad del puerto es uno de los múltiples mecanismos de seguridad que puede implementar en una red. 37 00:03:21,110 --> 00:03:25,520 La seguridad es como un castillo de antaño como se muestra aquí. 38 00:03:25,520 --> 00:03:32,300 La idea es que tienes varios mecanismos de seguridad que, en sí mismos, no brindan 39 00:03:32,300 --> 00:03:40,330 seguridad total, pero cada capa de seguridad o cada mecanismo agrega un nivel de seguridad más alto. 40 00:03:40,340 --> 00:03:45,460 Entonces, en este ejemplo, tendrías que atravesar el mar para llegar al castillo. 41 00:03:45,650 --> 00:03:51,420 Entonces tendrías que escalar la pared exterior y todavía no estarías en el centro del castillo. 42 00:03:51,560 --> 00:03:58,880 Tendría que subir esta colina y luego escalar la pared interna para poder llegar al rey en el 43 00:03:58,880 --> 00:04:00,450 castillo como un ejemplo. 44 00:04:00,710 --> 00:04:07,130 Por lo tanto, en seguridad usted implementa múltiples muros o mecanismos para dificultar que un hacker 45 00:04:07,130 --> 00:04:08,120 ataque su red. 46 00:04:08,120 --> 00:04:14,900 Esto también se aplica a los usuarios que inadvertidamente o sin ser maliciosos hacen algo que no deberían 47 00:04:14,910 --> 00:04:16,250 hacer en su red. 48 00:04:16,250 --> 00:04:19,770 Entonces, la seguridad del puerto no es un mecanismo de seguridad. 49 00:04:19,850 --> 00:04:27,560 Es solo uno de muchos y proporciona un mecanismo de seguridad básico o de nivel de entrada a su red Ethernet. 50 00:04:27,560 --> 00:04:30,830 Una vez más, no tiene seguridad incorporada. 51 00:04:30,830 --> 00:04:37,860 Un usuario podría simplemente conectar una computadora portátil a su red y obtener acceso completo a la red ahora hay varias 52 00:04:37,870 --> 00:04:41,090 formas en que se pueden aprender las direcciones MAC. 53 00:04:41,330 --> 00:04:47,750 La primera forma estática de configurar estáticamente direcciones MAC específicas que están permitidas o permitidas en 54 00:04:47,750 --> 00:04:53,510 un puerto, cualquier dirección MAC que no especifique no está permitida en el puerto. 55 00:04:53,510 --> 00:04:57,980 La ventaja de este método es que tiene mucho control, pero 56 00:04:57,980 --> 00:05:05,660 la desventaja es que debe calcular manualmente cuáles son las direcciones MAC de todos sus dispositivos y luego configurarlas manualmente. 57 00:05:05,690 --> 00:05:11,570 También puede usar el aprendizaje dinámico donde especifica cuántas direcciones MAC se permiten en un 58 00:05:12,020 --> 00:05:13,970 puerto y se aprenden dinámicamente. 59 00:05:14,210 --> 00:05:19,220 Como ejemplo, podría decir que solo dos direcciones MAC están permitidas en un puerto 60 00:05:19,220 --> 00:05:24,710 y que las primeras dos direcciones MAC aprendidas están permitidas, cualquier dirección MAC subsiguiente no 61 00:05:24,710 --> 00:05:31,220 está permitida; usted usaría esto como ejemplo para limitar las direcciones MAC permitidas pero no a las que 62 00:05:31,500 --> 00:05:38,970 se permiten las direcciones MAC, por lo que limita el número de direcciones MAC y no limita las direcciones MAC específicas. 63 00:05:38,990 --> 00:05:44,540 Lo que hay que recordar sobre el aprendizaje de Domenica es que cuando el interruptor se reinicia 64 00:05:44,540 --> 00:05:51,200 mientras el puerto se apaga, las direcciones MAC aprendidas se eliminan y luego se permiten nuevas direcciones MAC cuando el 65 00:05:51,200 --> 00:05:52,440 puerto vuelve a aparecer. 66 00:05:52,460 --> 00:06:00,570 También puede especificar un intervalo de antigüedad para permitir que las direcciones MAC se olviden después de un período de tiempo. 67 00:06:00,620 --> 00:06:07,100 Por lo tanto, si tuvo una situación en la que tenía un escritorio caliente o una sala de juntas, solo puede permitir una 68 00:06:07,100 --> 00:06:11,820 cierta cantidad de direcciones MAC en un puerto, pero esas direcciones MAC pueden cambiar con el tiempo. 69 00:06:11,840 --> 00:06:16,850 También puede hacer una combinación de aprendizaje estático y dinámico donde permite explícitamente 70 00:06:16,850 --> 00:06:17,880 ciertas direcciones MAC. 71 00:06:17,930 --> 00:06:24,440 Como ejemplo, puede limitar la cantidad de direcciones MAC en un puerto a cuatro, pero solo estáticamente 72 00:06:24,470 --> 00:06:29,410 configurado para direcciones MAC, las dos direcciones MAC restantes se pueden aprender dinámicamente. 73 00:06:29,690 --> 00:06:35,360 Las direcciones estáticas en MAC no son justas, pero podría permitir que las direcciones 74 00:06:35,360 --> 00:06:44,030 MAC aprendidas dinámicamente a un apunte jot stickie le permitan agregar automáticamente una dirección MAC aprendida a la configuración en ejecución 75 00:06:44,030 --> 00:06:44,950 del conmutador. 76 00:06:45,230 --> 00:06:50,150 Por lo tanto, en lugar de configurar estáticamente las direcciones MAC, podría permitir que el conmutador 77 00:06:50,540 --> 00:06:56,820 aprenda las direcciones MAC y luego agregarlas a la configuración cuando guarde la configuración en ejecución para iniciar la configuración. 78 00:06:56,990 --> 00:07:03,290 Esas direcciones MAC se mantendrán en nv ram y, por lo tanto, no se perderán si el conmutador se reinicia. 79 00:07:03,350 --> 00:07:05,250 Entonces hay varias opciones. 80 00:07:05,270 --> 00:07:09,660 Recuerde que la seguridad del puerto es una forma inicial de implementar la seguridad. 81 00:07:09,680 --> 00:07:16,190 Le permite limitar el número de direcciones MAC permitidas en un puerto y le permite especificar 82 00:07:16,460 --> 00:07:19,840 qué direcciones MAC están permitidas en un puerto. 83 00:07:19,880 --> 00:07:24,590 Usted tiene la opción de limitarse a direcciones MAC en un puerto pero sin preocuparse por las 84 00:07:24,590 --> 00:07:25,210 direcciones MAC. 85 00:07:25,400 --> 00:07:32,180 Evitarían que un usuario pusiera en funcionamiento un punto de acceso o un enrutador doméstico y lo conectarían a la red 86 00:07:32,510 --> 00:07:35,280 y permitirían que los amigos accedieran a la red. 87 00:07:35,480 --> 00:07:43,040 O bien, podría ser estricto y solo permitir direcciones MAC específicas en un puerto para que el usuario no pueda conectarse al puerto de un 88 00:07:43,040 --> 00:07:47,360 director y, por lo tanto, tener acceso a la vista y al director del director.