1 00:00:00,960 --> 00:00:07,410 W tym filmie omówimy zabezpieczenia portów, które służą do zapewnienia poziomu 2 00:00:07,770 --> 00:00:13,110 uwierzytelnienia w środowisku Ethernet w środowisku przewodowej sieci Ethernet. 3 00:00:13,110 --> 00:00:19,630 Nic nie stoi na przeszkodzie, aby po prostu podłączyć komputer do dowolnego otwartego portu w sieci. 4 00:00:19,680 --> 00:00:27,390 Dla przykładu nic nie stoi na przeszkodzie, aby użytkownik łączył swój komputer z portem w 5 00:00:27,750 --> 00:00:32,110 biurze dyrektora, co skutkuje dostępem do złoczyńcy reżysera. 6 00:00:32,190 --> 00:00:39,060 Nic nie stoi na przeszkodzie, aby użytkownik łączył bezprzewodowy punkt dostępowy z siecią i umożliwia 7 00:00:39,060 --> 00:00:44,310 wielu użytkownikom dostęp do sieci przewodowej przez ten punkt dostępu bezprzewodowego. 8 00:00:44,580 --> 00:00:46,790 To poważne zagrożenie dla bezpieczeństwa. 9 00:00:46,800 --> 00:00:53,070 Jakie jest bezpieczeństwo portów? Sprawdza źródłowy adres MAC odebranych ramek na porcie i 10 00:00:53,070 --> 00:01:00,540 można ograniczyć ramki są dozwolone na określonym porcie do pojedynczego adresu MAC, który konfigurujesz lub 11 00:01:00,900 --> 00:01:05,890 do ograniczonej liczby adresów MAC, które są dynamicznie nauczyliśmy. 12 00:01:05,910 --> 00:01:07,920 Są różne opcje, które omówimy. 13 00:01:07,920 --> 00:01:15,090 Ale na przykład można powiedzieć, że na porcie, który łączy się z biurem dyrektora, tylko adres 14 00:01:15,090 --> 00:01:22,050 MAC powiązany z laptopem lub komputerem osobistym może wysyłać ramki do przełącznika, a zatem 15 00:01:22,080 --> 00:01:24,610 należy do dyrektorów tego terenu. 16 00:01:24,810 --> 00:01:30,750 Lub możesz ograniczyć liczbę adresów MAC dozwolonych w porcie, jako przykład możesz ograniczyć 17 00:01:30,750 --> 00:01:37,750 liczbę adresów MAC do jednego, który pozwoliłby tylko jednemu komputerowi na dostęp do sieci przez ten port. 18 00:01:38,040 --> 00:01:45,180 Lub jeśli masz komputer podłączony do telefonu IP, możesz ograniczyć adresy MAC do trzech 2 dla telefonu IP i 19 00:01:45,690 --> 00:01:48,800 jednego dla komputera podłączonego do telefonu IP. 20 00:01:48,960 --> 00:01:56,280 To zatrzymałoby użytkownika łączącego punkt dostępowy lub koncentrator z siecią i umożliwiając wielu nieautoryzowanym 21 00:01:56,280 --> 00:01:59,590 urządzeniom dostęp do sieci Ethernet. 22 00:01:59,610 --> 00:02:03,570 Należy pamiętać, że nie należy używać żadnego użytkownika kationowego. 23 00:02:03,660 --> 00:02:07,200 Każde pytanie można zaimplementować za pomocą Ada do tego jednego x. 24 00:02:07,200 --> 00:02:13,920 Jest to bardziej podstawowe uwierzytelnianie na podstawie adresów MAC, więc dozwolone są tylko ramki z określonych 25 00:02:14,010 --> 00:02:21,150 adresów MAC lub ograniczona liczba adresów MAC jest dozwolona na porcie przełącznika, co rozwiązuje problem użytkownika łączącego 26 00:02:21,150 --> 00:02:26,310 się z portem, do którego nie są uprawnieni. połączyć się z. 27 00:02:26,640 --> 00:02:33,000 Zatrzymanie użytkownika łączącego koncentrator z bezprzewodowym punktem dostępowym z siecią, umożliwiając w ten sposób 28 00:02:33,000 --> 00:02:34,880 nieautoryzowany dostęp do sieci. 29 00:02:35,300 --> 00:02:40,200 Możesz zdecydować, co się stanie, gdy dojdzie do naruszenia zabezpieczeń portów. 30 00:02:40,200 --> 00:02:45,990 Możesz po prostu upuścić klatki lub możesz zamknąć port używając tego, co nazywa się 31 00:02:45,990 --> 00:02:50,970 błędem lub wyłączyć stan w najbezpieczniejszej implementacji, w której wyłączasz port. 32 00:02:51,000 --> 00:02:56,870 Jako administrator musisz ręcznie ponownie włączyć port, aby użytkownik musiał skontaktować się z działem pomocy technicznej 33 00:02:56,890 --> 00:03:01,340 jako przykładem i wyjaśnić, że nie ma już dostępu do sieci. 34 00:03:01,470 --> 00:03:07,080 Następnie możesz zbadać, co się stało, i zobaczysz, czy autoryzowany adres MAC lub grupa adresów 35 00:03:07,470 --> 00:03:11,470 MAC próbowały uzyskać dostęp do sieci przez ten port. 36 00:03:14,960 --> 00:03:20,910 Zabezpieczenia portów to jeden z wielu mechanizmów bezpieczeństwa, które można wdrożyć w sieci. 37 00:03:21,110 --> 00:03:25,520 Bezpieczeństwo jest jak stary zamek, jak pokazano tutaj. 38 00:03:25,520 --> 00:03:32,300 Chodzi o to, że masz wiele mechanizmów bezpieczeństwa, które same w sobie 39 00:03:32,300 --> 00:03:40,330 nie zapewniają całkowitego bezpieczeństwa, ale każda warstwa zabezpieczeń lub każdy mechanizm dodaje wyższy poziom bezpieczeństwa. 40 00:03:40,340 --> 00:03:45,460 W tym przykładzie musielibyście przejść przez morze, aby dostać się do zamku. 41 00:03:45,650 --> 00:03:51,420 Wtedy musisz przeskalować zewnętrzną ścianę, a ty wciąż nie jesteś w centrum zamku. 42 00:03:51,560 --> 00:03:58,880 Musiałbyś wspiąć się na to wzgórze, a następnie przeskalować wewnętrzną ścianę, aby jako przykład dostrzec 43 00:03:58,880 --> 00:04:00,450 króla w zamku. 44 00:04:00,710 --> 00:04:07,130 Tak więc w bezpieczeństwie implementujesz wiele ścian lub mechanizmów, aby utrudnić hakerom zaatakowanie 45 00:04:07,130 --> 00:04:08,120 twojej sieci. 46 00:04:08,120 --> 00:04:14,900 Dotyczy to również użytkowników, którzy nieumyślnie lub nie złośliwie robią coś, czego nie powinni wykonywać w 47 00:04:14,910 --> 00:04:16,250 Twojej sieci. 48 00:04:16,250 --> 00:04:19,770 Tak więc bezpieczeństwo portów nie jest mechanizmem catch all security. 49 00:04:19,850 --> 00:04:27,560 To tylko jeden z wielu i zapewnia podstawowy lub podstawowy mechanizm zabezpieczeń sieci Ethernet. 50 00:04:27,560 --> 00:04:30,830 Po raz kolejny nie ma wbudowanego zabezpieczenia. 51 00:04:30,830 --> 00:04:37,860 Użytkownik może po prostu podłączyć laptopa do sieci i uzyskać pełny dostęp do sieci, teraz jest 52 00:04:37,870 --> 00:04:41,090 kilka sposobów na poznanie adresów MAC. 53 00:04:41,330 --> 00:04:47,750 Pierwszy statyczny sposób statycznej konfiguracji określonych adresów MAC, które są dozwolone lub dozwolone 54 00:04:47,750 --> 00:04:53,510 na porcie, adresy MAC, których nie określa się niedozwolonymi na porcie. 55 00:04:53,510 --> 00:04:57,980 Zaletą tej metody jest to, że masz dużo kontroli, ale 56 00:04:57,980 --> 00:05:05,660 wadą jest to, że musisz ręcznie określić, jakie są adresy MAC wszystkich urządzeń, a następnie ręcznie je skonfigurować. 57 00:05:05,690 --> 00:05:11,570 Można również użyć uczenia dynamicznego, w którym określa się, ile adresów MAC jest dozwolone na porcie 58 00:05:12,020 --> 00:05:13,970 i są one dynamicznie uczone. 59 00:05:14,210 --> 00:05:19,220 Na przykład można powiedzieć, że tylko dwa adresy MAC są dozwolone 60 00:05:19,220 --> 00:05:24,710 na porcie, a pierwsze dwa adresy MAC, które są wyuczone, są dozwolone, a wszelkie 61 00:05:24,710 --> 00:05:31,220 kolejne adresy MAC są niedozwolone, użyłbyś tego jako przykładu do ograniczenia adresów MAC dozwolonych, ale nie 62 00:05:31,500 --> 00:05:38,970 do których adresy MAC są dozwolone, więc ograniczasz liczbę adresów MAC, a nie ograniczanie na podstawie określonych adresów MAC. 63 00:05:38,990 --> 00:05:44,540 Pamiętać o nauce Domenica jest to, że gdy przełącznik zostanie ponownie uruchomiony, gdy port 64 00:05:44,540 --> 00:05:51,200 zostanie opuszczony, adresy MAC zostaną usunięte, a nowe adresy MAC będą wtedy dozwolone, gdy port pojawi 65 00:05:51,200 --> 00:05:52,440 się ponownie. 66 00:05:52,460 --> 00:06:00,570 Można również określić przedział wiekowania, aby umożliwić zapomnienie adresów MAC po pewnym czasie. 67 00:06:00,620 --> 00:06:07,100 Więc jeśli miałeś sytuację, w której miałeś gorące biurko lub salę konferencyjną, możesz zezwolić na określoną liczbę adresów 68 00:06:07,100 --> 00:06:11,820 MAC na porcie, ale te adresy MAC mogą się zmieniać z czasem. 69 00:06:11,840 --> 00:06:16,850 Można również wykonać połączenie uczenia statycznego i dynamicznego, w którym wyraźnie dozwolone są określone 70 00:06:16,850 --> 00:06:17,880 adresy MAC. 71 00:06:17,930 --> 00:06:24,440 Jako przykład można ograniczyć liczbę adresów MAC na porcie do czterech, ale tylko statycznie skonfigurowane 72 00:06:24,470 --> 00:06:29,410 do adresów MAC pozostałe dwa adresy MAC mogą być dynamicznie nauczone. 73 00:06:29,690 --> 00:06:35,360 Statyczne adresy MAC nie są jotą, ale możesz pozwolić dynamicznie 74 00:06:35,360 --> 00:06:44,030 wyuczonym adresom MAC na uczenie się stikkiem pozwala automatycznie dodać wyuczony adres MAC do uruchomionej konfiguracji 75 00:06:44,030 --> 00:06:44,950 przełącznika. 76 00:06:45,230 --> 00:06:50,150 Zamiast statycznego konfigurowania adresów MAC można zezwolić przełącznikowi na poznanie 77 00:06:50,540 --> 00:06:56,820 adresów MAC, a następnie dodanie ich do konfiguracji po zapisaniu uruchomionej konfiguracji do konfiguracji startowej. 78 00:06:56,990 --> 00:07:03,290 Te adresy MAC będą przechowywane w pamięci nv i dlatego nie zostaną utracone, jeśli przełącznik zostanie ponownie uruchomiony. 79 00:07:03,350 --> 00:07:05,250 Istnieją różne opcje. 80 00:07:05,270 --> 00:07:09,660 Pamiętaj, że bezpieczeństwo portów to pierwszy sposób na wdrożenie zabezpieczeń. 81 00:07:09,680 --> 00:07:16,190 Umożliwia ograniczenie liczby adresów MAC dozwolonych na porcie i pozwala określić, które 82 00:07:16,460 --> 00:07:19,840 adresy MAC są dozwolone na porcie. 83 00:07:19,880 --> 00:07:24,590 Możesz ograniczyć się tylko do adresów MAC na porcie, ale nie martwić się, jakie są te 84 00:07:24,590 --> 00:07:25,210 adresy MAC. 85 00:07:25,400 --> 00:07:32,180 Zatrzymaliby użytkownika, który doprowadziłby punkt dostępowy lub router domowy do pracy i podłączenie go do sieci 86 00:07:32,510 --> 00:07:35,280 oraz umożliwienie znajomym dostępu do sieci. 87 00:07:35,480 --> 00:07:43,040 Albo możesz być surowy i zezwalać tylko na określone adresy MAC na porcie, aby użytkownik nie mógł połączyć się z 88 00:07:43,040 --> 00:07:47,360 portem reżysera, a tym samym mieć dostęp do widoku reżysera i.