1 00:00:00,960 --> 00:00:07,410 Dans cette vidéo, nous allons parler de la sécurité des ports, utilisée pour fournir un 2 00:00:07,770 --> 00:00:13,110 niveau d'authentification dans un environnement Ethernet dans un environnement Ethernet câblé. 3 00:00:13,110 --> 00:00:19,630 Rien ne vous empêche simplement de brancher votre PC dans n’importe quel port ouvert du réseau. 4 00:00:19,680 --> 00:00:27,390 Ainsi, à titre d'exemple, rien n'empêche un utilisateur de connecter son ordinateur à un port situé dans le bureau du 5 00:00:27,750 --> 00:00:32,110 directeur, ce qui lui permet d'accéder au méchant du directeur. 6 00:00:32,190 --> 00:00:39,060 De plus, rien n'empêche un utilisateur de connecter un point d'accès sans fil au réseau et permettant à 7 00:00:39,060 --> 00:00:44,310 plusieurs utilisateurs d'accéder au réseau câblé via ce point d'accès sans fil. 8 00:00:44,580 --> 00:00:46,790 C'est un risque majeur pour la sécurité. 9 00:00:46,800 --> 00:00:53,070 La sécurité des ports examine l’adresse MAC source des trames reçues sur un port 10 00:00:53,070 --> 00:01:00,540 et vous pouvez limiter les trames autorisées sur un port spécifique à une adresse MAC unique que 11 00:01:00,900 --> 00:01:05,890 vous configurez ou à un nombre limité d’adresses MAC dynamiquement. appris. 12 00:01:05,910 --> 00:01:07,920 Nous allons discuter de différentes options. 13 00:01:07,920 --> 00:01:15,090 Mais à titre d'exemple, vous pouvez dire que sur le port qui se connecte au bureau du directeur, seule 14 00:01:15,090 --> 00:01:22,050 l'adresse MAC associée à son ordinateur portable ou son PC est autorisée à envoyer des trames au commutateur et 15 00:01:22,080 --> 00:01:24,610 appartient donc aux administrateurs du site. 16 00:01:24,810 --> 00:01:30,750 Vous pouvez également limiter le nombre d'adresses MAC autorisées dans un port, par 17 00:01:30,750 --> 00:01:37,750 exemple, à un nombre d'adresses MAC permettant à un seul PC d'accéder au réseau via ce port. 18 00:01:38,040 --> 00:01:45,180 Ou, si vous avez un PC connecté à un téléphone IP, vous pouvez limiter les adresses MAC à trois 2 pour le téléphone 19 00:01:45,690 --> 00:01:48,800 IP et une pour le PC connecté au téléphone IP. 20 00:01:48,960 --> 00:01:56,280 Cela empêcherait un utilisateur de connecter un point d'accès ou un concentrateur au réseau et de permettre à 21 00:01:56,280 --> 00:01:59,590 plusieurs périphériques non autorisés d'accéder au réseau Ethernet. 22 00:01:59,610 --> 00:02:03,570 Veuillez noter que ceci ne doit pas être utilisé par un utilisateur de cations. 23 00:02:03,660 --> 00:02:07,200 Toute question peut être implémentée en utilisant Ada à celui-là x. 24 00:02:07,200 --> 00:02:13,920 Il s'agit d'une authentification plus basique basée sur les adresses MAC, de sorte que seules les trames d'adresses MAC spécifiques 25 00:02:14,010 --> 00:02:21,150 sont autorisées ou qu'un nombre limité d'adresses MAC est autorisé sur un port d'un commutateur qui résout le problème d'un utilisateur 26 00:02:21,150 --> 00:02:26,310 se connectant à un port pour lequel il n'est pas autorisé. se connecter à. 27 00:02:26,640 --> 00:02:33,000 Arrêt d'un utilisateur connectant un concentrateur d'un point d'accès sans fil au réseau, permettant ainsi un accès 28 00:02:33,000 --> 00:02:34,880 non autorisé au réseau. 29 00:02:35,300 --> 00:02:40,200 Vous pouvez décider de ce qui se passera en cas de violation de la sécurité du port. 30 00:02:40,200 --> 00:02:45,990 Vous pouvez simplement supprimer les cadres ou fermer le port en utilisant ce que l’on appelle une erreur ou 31 00:02:45,990 --> 00:02:50,970 désactiver l’état dans la mise en œuvre la plus sécurisée où vous désactivez le port. 32 00:02:51,000 --> 00:02:56,870 En tant qu'administrateur, vous devez réactiver manuellement le port pour que l'utilisateur puisse contacter le service d'assistance 33 00:02:56,890 --> 00:03:01,340 à titre d'exemple et lui expliquer qu'il n'a plus accès au réseau. 34 00:03:01,470 --> 00:03:07,080 Et ensuite, vous pourrez enquêter sur ce qui s’est passé et déterminer si une adresse MAC autorisée ou 35 00:03:07,470 --> 00:03:11,470 un groupe d’adresses MAC a tenté d’accéder au réseau via ce port. 36 00:03:14,960 --> 00:03:20,910 La sécurité des ports est l'un des multiples mécanismes de sécurité que vous pouvez implémenter dans un réseau. 37 00:03:21,110 --> 00:03:25,520 La sécurité est un peu comme un château d’ancien comme montré ici. 38 00:03:25,520 --> 00:03:32,300 L'idée est que vous disposez de plusieurs mécanismes de sécurité qui, en eux-mêmes, n'offrent 39 00:03:32,300 --> 00:03:40,330 pas une sécurité totale, mais chaque couche de sécurité ou chaque mécanisme ajoute un niveau de sécurité supplémentaire. 40 00:03:40,340 --> 00:03:45,460 Donc, dans cet exemple, il faudrait traverser la mer pour se rendre au château. 41 00:03:45,650 --> 00:03:51,420 Ensuite, vous devrez escalader le mur extérieur et vous ne serez toujours pas au cœur du château. 42 00:03:51,560 --> 00:03:58,880 Vous devrez monter cette colline puis escalader le mur intérieur pour pouvoir vous rendre au roi dans le 43 00:03:58,880 --> 00:04:00,450 château, par exemple. 44 00:04:00,710 --> 00:04:07,130 Ainsi, en sécurité, vous implémentez plusieurs murs ou mécanismes pour empêcher un pirate informatique d’attaquer 45 00:04:07,130 --> 00:04:08,120 votre réseau. 46 00:04:08,120 --> 00:04:14,900 Cela s'applique également aux utilisateurs qui, par inadvertance ou sans malveillance, font quelque chose qu'ils ne devraient pas 47 00:04:14,910 --> 00:04:16,250 sur votre réseau. 48 00:04:16,250 --> 00:04:19,770 Ainsi, la sécurité portuaire n'est pas un mécanisme de sécurité à la portée de tous. 49 00:04:19,850 --> 00:04:27,560 Ce n'est qu'un parmi beaucoup d'autres et fournit un mécanisme de sécurité de base ou d'entrée de gamme à votre réseau Ethernet. 50 00:04:27,560 --> 00:04:30,830 Une fois encore, aucune sécurité n'est intégrée. 51 00:04:30,830 --> 00:04:37,860 Un utilisateur peut simplement brancher un ordinateur portable sur votre réseau et obtenir un accès complet au réseau. Les 52 00:04:37,870 --> 00:04:41,090 adresses MAC peuvent être mémorisées de plusieurs façons. 53 00:04:41,330 --> 00:04:47,750 La première consiste à configurer de manière statique des adresses MAC spécifiques autorisées ou autorisées sur un port, 54 00:04:47,750 --> 00:04:53,510 toutes les adresses mac que vous ne spécifiez pas ne sont pas autorisées sur le port. 55 00:04:53,510 --> 00:04:57,980 L'avantage de cette méthode est que vous avez beaucoup de 56 00:04:57,980 --> 00:05:05,660 contrôle mais que vous devez aussi déterminer manuellement les adresses MAC de tous vos périphériques, puis les configurer manuellement. 57 00:05:05,690 --> 00:05:11,570 Vous pouvez également utiliser l'apprentissage dynamique pour spécifier le nombre d'adresses MAC autorisées sur un port 58 00:05:12,020 --> 00:05:13,970 et leur apprentissage dynamique. 59 00:05:14,210 --> 00:05:19,220 Ainsi, à titre d'exemple, vous pouvez dire que seules deux adresses MAC sont 60 00:05:19,220 --> 00:05:24,710 autorisées sur un port et que les deux premières adresses MAC apprises sont autorisées. Les adresses 61 00:05:24,710 --> 00:05:31,220 MAC suivantes ne sont pas autorisées. Utilisez cet exemple pour limiter les adresses MAC autorisées, mais non auquel 62 00:05:31,500 --> 00:05:38,970 les adresses MAC sont autorisées, donc vous limitez le nombre d'adresses MAC et non une limitation basée sur des adresses MAC spécifiques. 63 00:05:38,990 --> 00:05:44,540 Ce qu'il faut retenir de l'apprentissage Domenica est que, lorsque le commutateur est redémarré pendant que 64 00:05:44,540 --> 00:05:51,200 le port tombe en panne, les adresses MAC apprises sont supprimées et les nouvelles adresses MAC sont alors autorisées lorsque 65 00:05:51,200 --> 00:05:52,440 le port revient. 66 00:05:52,460 --> 00:06:00,570 Vous pouvez également spécifier un intervalle de vieillissement pour permettre l’oubli des adresses MAC après une période donnée. 67 00:06:00,620 --> 00:06:07,100 Ainsi, si vous aviez un bureau chaud ou une salle de conférence, vous pouvez n'autoriser qu'un certain nombre d'adresses 68 00:06:07,100 --> 00:06:11,820 MAC sur un port, mais ces adresses MAC peuvent changer avec le temps. 69 00:06:11,840 --> 00:06:16,850 Vous pouvez également combiner apprentissage statique et dynamique en autorisant explicitement certaines 70 00:06:16,850 --> 00:06:17,880 adresses MAC. 71 00:06:17,930 --> 00:06:24,440 Ainsi, à titre d'exemple, vous pouvez limiter le nombre d'adresses MAC sur un port à quatre, mais uniquement configurées de manière 72 00:06:24,470 --> 00:06:29,410 statique en adresses MAC, les deux adresses MAC restantes peuvent être apprises de manière dynamique. 73 00:06:29,690 --> 00:06:35,360 Les adresses statiques sur les adresses MAC n’ont aucune importance, mais vous pouvez autoriser les adresses MAC 74 00:06:35,360 --> 00:06:44,030 apprises de manière dynamique à un apprentissage de type stickie, ce qui vous permet d’ajouter automatiquement une adresse MAC apprise à la configuration en cours 75 00:06:44,030 --> 00:06:44,950 du commutateur. 76 00:06:45,230 --> 00:06:50,150 Ainsi, plutôt que de configurer de manière statique les adresses MAC, vous pouvez permettre au commutateur de 77 00:06:50,540 --> 00:06:56,820 connaître les adresses MAC, puis de les ajouter à la configuration lorsque vous enregistrez la configuration en cours pour démarrer la configuration. 78 00:06:56,990 --> 00:07:03,290 Ces adresses MAC seront conservées dans nv ram et ne seront donc pas perdues si le commutateur redémarre. 79 00:07:03,350 --> 00:07:05,250 Donc, il y a différentes options. 80 00:07:05,270 --> 00:07:09,660 N'oubliez pas que la sécurité du port est un moyen initial de mettre en œuvre la sécurité. 81 00:07:09,680 --> 00:07:16,190 Il vous permet de limiter le nombre d'adresses MAC autorisées sur un port et de spécifier 82 00:07:16,460 --> 00:07:19,840 les adresses MAC autorisées sur un port. 83 00:07:19,880 --> 00:07:24,590 Vous avez la possibilité de limiter les adresses MAC sur un port sans vous soucier de la nature de ces 84 00:07:24,590 --> 00:07:25,210 adresses MAC. 85 00:07:25,400 --> 00:07:32,180 Ils empêcheraient un utilisateur de faire fonctionner un point d'accès ou un routeur domestique, de le brancher sur le réseau 86 00:07:32,510 --> 00:07:35,280 et de permettre aux amis d'accéder au réseau. 87 00:07:35,480 --> 00:07:43,040 Ou bien, vous pouvez être strict et n'autoriser que des adresses MAC spécifiques sur un port afin qu'un utilisateur ne puisse pas se connecter au 88 00:07:43,040 --> 00:07:47,360 port d'un réalisateur et donc avoir accès à sa vue et à son affichage.