1 00:00:00,960 --> 00:00:07,410 In questo video parleremo della sicurezza della porta che viene utilizzata come esempio per fornire un 2 00:00:07,770 --> 00:00:13,110 livello di autenticazione in un ambiente Ethernet in un ambiente Ethernet cablato. 3 00:00:13,110 --> 00:00:19,630 Non c'è niente che ti impedisce semplicemente di collegare il tuo PC a qualsiasi porta aperta della rete. 4 00:00:19,680 --> 00:00:27,390 Quindi, ad esempio, non c'è nulla che impedisca a un utente di connettere il proprio PC a una porta in un ufficio del 5 00:00:27,750 --> 00:00:32,110 direttore, il che si traduce in un accesso al malvagio del regista. 6 00:00:32,190 --> 00:00:39,060 Non c'è nemmeno nulla che impedisca a un utente di collegare un punto di accesso wireless alla rete e consentire 7 00:00:39,060 --> 00:00:44,310 a più utenti di accedere alla rete cablata attraverso quel punto di accesso wireless. 8 00:00:44,580 --> 00:00:46,790 Questo è un grande rischio per la sicurezza. 9 00:00:46,800 --> 00:00:53,070 Ciò che fa la sicurezza della porta è che guarda l'indirizzo MAC di origine dei frame 10 00:00:53,070 --> 00:01:00,540 ricevuti su una porta e che è possibile limitare i frame su una porta specifica a un singolo indirizzo 11 00:01:00,900 --> 00:01:05,890 MAC configurato o a un numero limitato di indirizzi MAC dinamicamente imparato. 12 00:01:05,910 --> 00:01:07,920 Ci sono varie opzioni di cui discuteremo. 13 00:01:07,920 --> 00:01:15,090 Ad esempio, si può dire sulla porta che si collega all'ufficio del direttore solo l'indirizzo MAC associato 14 00:01:15,090 --> 00:01:22,050 al proprio laptop o al proprio PC è autorizzato ad inviare frame allo switch e quindi 15 00:01:22,080 --> 00:01:24,610 appartenere ai direttori del terreno. 16 00:01:24,810 --> 00:01:30,750 Oppure si potrebbe limitare il numero di indirizzi MAC consentiti in una porta come esempio, si potrebbe 17 00:01:30,750 --> 00:01:37,750 limitare il numero di indirizzi MAC a uno che consentirebbe a un solo PC di accedere alla rete attraverso quella porta. 18 00:01:38,040 --> 00:01:45,180 Oppure se hai un PC collegato a un telefono IP puoi limitare gli indirizzi MAC a tre 2 per il telefono IP 19 00:01:45,690 --> 00:01:48,800 e uno per il PC collegato al telefono IP. 20 00:01:48,960 --> 00:01:56,280 Ciò fermerebbe un utente che collega un punto di accesso o un hub alla rete e consentendo a più 21 00:01:56,280 --> 00:01:59,590 dispositivi non autorizzati di accedere alla rete ethernet. 22 00:01:59,610 --> 00:02:03,570 Si prega di notare che questo non è quello di utilizzare qualsiasi utente cationico. 23 00:02:03,660 --> 00:02:07,200 Qualsiasi domanda può essere implementata usando Ada per quella x. 24 00:02:07,200 --> 00:02:13,920 Si tratta di un'autenticazione più semplice basata su indirizzi MAC in modo che siano consentiti solo frame da specifici 25 00:02:14,010 --> 00:02:21,150 indirizzi MAC o un numero limitato di indirizzi MAC su una porta su uno switch che risolva il problema di 26 00:02:21,150 --> 00:02:26,310 un utente che si connette a una porta che non sono autorizzati connettersi a. 27 00:02:26,640 --> 00:02:33,000 Arresto di un utente che collega un hub a un punto di accesso wireless alla rete e pertanto consente 28 00:02:33,000 --> 00:02:34,880 l'accesso non autorizzato alla rete. 29 00:02:35,300 --> 00:02:40,200 Puoi decidere cosa succede quando c'è una violazione della sicurezza del porto. 30 00:02:40,200 --> 00:02:45,990 Si potrebbe semplicemente rilasciare i frame o chiudere la porta usando quello che viene chiamato un errore 31 00:02:45,990 --> 00:02:50,970 o disabilitato lo stato nell'implementazione più sicura in cui si disabilita la porta. 32 00:02:51,000 --> 00:02:56,870 Come amministratore è necessario riattivare manualmente la porta in modo che l'utente debba contattare l'helpdesk 33 00:02:56,890 --> 00:03:01,340 come esempio e spiegare che non ha più accesso alla rete. 34 00:03:01,470 --> 00:03:07,080 E poi potresti indagare su cosa è successo e sarai in grado di vedere se un indirizzo MAC autorizzato o 35 00:03:07,470 --> 00:03:11,470 un gruppo di indirizzi MAC hanno tentato di accedere alla rete attraverso quella porta. 36 00:03:14,960 --> 00:03:20,910 La sicurezza della porta è uno dei molteplici meccanismi di sicurezza che è possibile implementare in una rete. 37 00:03:21,110 --> 00:03:25,520 La sicurezza è un po 'come un castello vecchio come mostrato qui. 38 00:03:25,520 --> 00:03:32,300 L'idea è che si dispone di più meccanismi di sicurezza che di per sé non 39 00:03:32,300 --> 00:03:40,330 forniscono una sicurezza totale, ma ogni livello di sicurezza o ogni meccanismo aggiunge un ulteriore livello di sicurezza. 40 00:03:40,340 --> 00:03:45,460 Quindi in questo esempio dovresti attraversare il mare per raggiungere il castello. 41 00:03:45,650 --> 00:03:51,420 Quindi dovresti ridimensionare il muro esterno e non sei ancora al centro del castello. 42 00:03:51,560 --> 00:03:58,880 Dovresti arrampicarti su questa collina e poi scalare il muro interno per essere in grado di raggiungere il re 43 00:03:58,880 --> 00:04:00,450 nel castello come esempio. 44 00:04:00,710 --> 00:04:07,130 Quindi in sicurezza si implementano più muri o meccanismi per rendere più difficile per un hacker attaccare 45 00:04:07,130 --> 00:04:08,120 la rete. 46 00:04:08,120 --> 00:04:14,900 Questo vale anche per gli utenti che inavvertitamente o senza essere dannosi fanno qualcosa che non dovrebbero 47 00:04:14,910 --> 00:04:16,250 fare sulla rete. 48 00:04:16,250 --> 00:04:19,770 Quindi la sicurezza del porto non è un meccanismo che cattura tutti i meccanismi di sicurezza. 49 00:04:19,850 --> 00:04:27,560 È solo uno dei tanti e fornisce un meccanismo di sicurezza di base o entry level alla rete Ethernet. 50 00:04:27,560 --> 00:04:30,830 Ancora una volta non vi è alcuna sicurezza integrata. 51 00:04:30,830 --> 00:04:37,860 Un utente può semplicemente collegare un laptop alla rete e ottenere l'accesso completo alla rete, ora ci sono molti modi 52 00:04:37,870 --> 00:04:41,090 in cui gli indirizzi MAC possono essere appresi. 53 00:04:41,330 --> 00:04:47,750 Il primo è un modo statico in cui vengono configurati in modo statico indirizzi MAC specifici autorizzati o 54 00:04:47,750 --> 00:04:53,510 consentiti su una porta su qualsiasi indirizzo mac non specificato su non consentito sulla porta. 55 00:04:53,510 --> 00:04:57,980 Il vantaggio di questo metodo è che hai molto controllo ma 56 00:04:57,980 --> 00:05:05,660 lo svantaggio è che devi calcolare manualmente quali sono gli indirizzi MAC di tutti i tuoi dispositivi e poi configurarli manualmente. 57 00:05:05,690 --> 00:05:11,570 È anche possibile utilizzare l'apprendimento dinamico dove si specifica quanti indirizzi MAC sono consentiti su una porta e 58 00:05:12,020 --> 00:05:13,970 vengono appresi in modo dinamico. 59 00:05:14,210 --> 00:05:19,220 Quindi, ad esempio, si può affermare che su una porta sono consentiti solo due 60 00:05:19,220 --> 00:05:24,710 indirizzi MAC e che i primi due indirizzi MAC appresi sono consentiti, eventuali indirizzi MAC successivi 61 00:05:24,710 --> 00:05:31,220 non sono consentiti. Si utilizzerà questo come esempio per limitare gli indirizzi MAC consentiti ma non a cui sono 62 00:05:31,500 --> 00:05:38,970 permessi gli indirizzi MAC in modo da limitare il numero di indirizzi MAC e non una limitazione basata su specifici indirizzi MAC. 63 00:05:38,990 --> 00:05:44,540 La cosa da ricordare sull'apprendimento di Domenica è che quando lo switch viene riavviato mentre 64 00:05:44,540 --> 00:05:51,200 la porta si interrompe, gli indirizzi MAC appresi vengono rimossi e i nuovi indirizzi MAC saranno quindi consentiti quando 65 00:05:51,200 --> 00:05:52,440 la porta riappare. 66 00:05:52,460 --> 00:06:00,570 È inoltre possibile specificare un intervallo di tempo per consentire l'eliminazione degli indirizzi MAC dopo un periodo di tempo. 67 00:06:00,620 --> 00:06:07,100 Quindi, se hai una situazione in cui hai una hot-desk o una sala riunioni, puoi consentire solo un certo numero 68 00:06:07,100 --> 00:06:11,820 di indirizzi MAC su una porta, ma questi indirizzi MAC possono cambiare nel tempo. 69 00:06:11,840 --> 00:06:16,850 Puoi anche fare una combinazione di apprendimento statico e dinamico dove autorizzi esplicitamente determinati 70 00:06:16,850 --> 00:06:17,880 indirizzi MAC. 71 00:06:17,930 --> 00:06:24,440 Quindi, ad esempio, è possibile limitare il numero di indirizzi MAC su una porta a quattro ma solo configurati staticamente 72 00:06:24,470 --> 00:06:29,410 in indirizzi MAC, i due indirizzi MAC rimanenti possono essere appresi in modo dinamico. 73 00:06:29,690 --> 00:06:35,360 Lo statico sugli indirizzi MAC non è un jot ma è possibile consentire agli indirizzi 74 00:06:35,360 --> 00:06:44,030 MAC appresi in modo dinamico di apprendere tramite jot stickie che consente di aggiungere automaticamente un indirizzo MAC appreso alla configurazione in esecuzione 75 00:06:44,030 --> 00:06:44,950 dello switch. 76 00:06:45,230 --> 00:06:50,150 Quindi, anziché configurare in modo statico gli indirizzi MAC, è possibile consentire allo switch di 77 00:06:50,540 --> 00:06:56,820 acquisire gli indirizzi MAC e quindi aggiungerli alla configurazione quando si salva la configurazione in esecuzione per avviare la configurazione. 78 00:06:56,990 --> 00:07:03,290 Questi indirizzi MAC saranno mantenuti nella RAM di NV e pertanto non andranno persi se lo switch si riavvia. 79 00:07:03,350 --> 00:07:05,250 Quindi ci sono varie opzioni. 80 00:07:05,270 --> 00:07:09,660 Ricordare che la sicurezza della porta è un modo iniziale per implementare la sicurezza. 81 00:07:09,680 --> 00:07:16,190 Consente di limitare il numero di indirizzi MAC consentiti su una porta e consente di specificare 82 00:07:16,460 --> 00:07:19,840 quali indirizzi MAC sono consentiti su una porta. 83 00:07:19,880 --> 00:07:24,590 Hai la possibilità di limitarti agli indirizzi MAC su una porta, senza preoccuparti di quali siano questi 84 00:07:24,590 --> 00:07:25,210 indirizzi MAC. 85 00:07:25,400 --> 00:07:32,180 Fermerebbero un utente che porta un punto di accesso o un router di casa a lavorare e collegarlo alla rete 86 00:07:32,510 --> 00:07:35,280 e consentire agli amici di accedere alla rete. 87 00:07:35,480 --> 00:07:43,040 Oppure potresti essere severo e consentire solo specifici indirizzi MAC su una porta in modo che un utente non possa connettersi alla porta 88 00:07:43,040 --> 00:07:47,360 di un direttore e quindi avere accesso alla vista del regista e.