1
00:00:00,960 --> 00:00:07,410
Neste vídeo, vamos discutir a segurança da porta, que é usada para fornecer um nível de

2
00:00:07,770 --> 00:00:13,110
autenticação em um ambiente Ethernet em um ambiente ethernet com fio como exemplo.

3
00:00:13,110 --> 00:00:19,630
Não há nada que o impeça de simplesmente conectar seu PC a qualquer porta aberta na rede.

4
00:00:19,680 --> 00:00:27,390
Então, como exemplo, não há nada que impeça que um usuário conecte seu PC a uma porta no escritório de

5
00:00:27,750 --> 00:00:32,110
um diretor, o que resulta no acesso ao vilão do diretor.

6
00:00:32,190 --> 00:00:39,060
Também não há nada que impeça que um usuário conecte um ponto de acesso sem fio à rede e permita

7
00:00:39,060 --> 00:00:44,310
que vários usuários acessem a rede com fio por meio desse ponto de acesso sem fio.

8
00:00:44,580 --> 00:00:46,790
Esse é um grande risco de segurança.

9
00:00:46,800 --> 00:00:53,070
O que a segurança de porta faz é verificar o endereço MAC de origem do quadro recebido

10
00:00:53,070 --> 00:01:00,540
em uma porta e você pode restringir os quadros são permitidos em uma porta específica para um único endereço MAC que

11
00:01:00,900 --> 00:01:05,890
você configura ou para um número limitado de endereços MAC que são dinamicamente aprendido.

12
00:01:05,910 --> 00:01:07,920
Existem várias opções que discutiremos.

13
00:01:07,920 --> 00:01:15,090
Mas, como exemplo, você poderia dizer na porta que se conecta ao escritório do diretor, apenas o

14
00:01:15,090 --> 00:01:22,050
endereço MAC associado ao seu laptop ou seu PC pode enviar quadros para o switch e,

15
00:01:22,080 --> 00:01:24,610
portanto, pertencer aos diretores da terra.

16
00:01:24,810 --> 00:01:30,750
Ou você poderia limitar o número de endereços MAC permitidos em uma porta, por exemplo, você poderia

17
00:01:30,750 --> 00:01:37,750
limitar o número de endereços MAC a um que permitiria apenas um único PC acessar a rede através dessa porta.

18
00:01:38,040 --> 00:01:45,180
Ou, se você tiver um PC conectado a um telefone IP, poderá limitar os endereços MAC a três 2 para o telefone

19
00:01:45,690 --> 00:01:48,800
IP e outro para o PC conectado ao telefone IP.

20
00:01:48,960 --> 00:01:56,280
Isso impediria que um usuário conectasse um ponto de acesso ou um hub à rede e permitisse que

21
00:01:56,280 --> 00:01:59,590
vários dispositivos não autorizados acessassem a rede ethernet.

22
00:01:59,610 --> 00:02:03,570
Por favor note que isto não é para usar qualquer usuário de cátion.

23
00:02:03,660 --> 00:02:07,200
Qualquer questão pode ser implementada usando Ada para esse x.

24
00:02:07,200 --> 00:02:13,920
Esta é uma autenticação mais básica baseada em endereços MAC, portanto somente quadros de endereços MAC específicos são permitidos

25
00:02:14,010 --> 00:02:21,150
ou um número limitado de endereços MAC é permitido em uma porta em um switch que resolve o problema de

26
00:02:21,150 --> 00:02:26,310
um usuário se conectar a uma porta que não está autorizada para se conectar.

27
00:02:26,640 --> 00:02:33,000
Parar um usuário conectando um hub a um ponto de acesso sem fio à rede e, portanto, permitindo o

28
00:02:33,000 --> 00:02:34,880
acesso não autorizado à rede.

29
00:02:35,300 --> 00:02:40,200
Você pode decidir o que acontece quando há uma violação da segurança da porta.

30
00:02:40,200 --> 00:02:45,990
Você poderia simplesmente soltar os quadros ou desligar a porta usando o que é chamado de erro

31
00:02:45,990 --> 00:02:50,970
ou desabilitar o estado na implementação mais segura em que você desativa a porta.

32
00:02:51,000 --> 00:02:56,870
Você, como administrador, precisa reabilitar manualmente a porta para que o usuário tenha que entrar em contato com

33
00:02:56,890 --> 00:03:01,340
o helpdesk como exemplo e explicar que eles não têm mais acesso à rede.

34
00:03:01,470 --> 00:03:07,080
E então você poderia investigar o que aconteceu e você seria capaz de ver se um endereço MAC autorizado

35
00:03:07,470 --> 00:03:11,470
ou grupo de endereços MAC de tentou acessar a rede através dessa porta.

36
00:03:14,960 --> 00:03:20,910
A segurança de porta é um dos vários mecanismos de segurança que você pode implementar em uma rede.

37
00:03:21,110 --> 00:03:25,520
A segurança é como um castelo antigo, como mostrado aqui.

38
00:03:25,520 --> 00:03:32,300
A idéia é que você tem vários mecanismos de segurança que, por si só, não

39
00:03:32,300 --> 00:03:40,330
oferecem segurança total, mas cada camada de segurança ou cada mecanismo adiciona um nível de segurança superior.

40
00:03:40,340 --> 00:03:45,460
Então, neste exemplo, você teria que atravessar o mar para chegar ao castelo.

41
00:03:45,650 --> 00:03:51,420
Então você teria que escalar a parede externa e você ainda não está no centro do castelo.

42
00:03:51,560 --> 00:03:58,880
Você teria que subir essa colina e então escalar a parede interna para poder chegar ao rei no

43
00:03:58,880 --> 00:04:00,450
castelo como um exemplo.

44
00:04:00,710 --> 00:04:07,130
Então, na segurança, você implementa várias paredes ou mecanismos para tornar mais difícil para um hacker

45
00:04:07,130 --> 00:04:08,120
atacar sua rede.

46
00:04:08,120 --> 00:04:14,900
Isso também se aplica a usuários que, inadvertidamente ou sem serem maliciosos, fazem algo que não deveriam

47
00:04:14,910 --> 00:04:16,250
em sua rede.

48
00:04:16,250 --> 00:04:19,770
Então, a segurança da porta não é um mecanismo de segurança de captura.

49
00:04:19,850 --> 00:04:27,560
É apenas um dos muitos e fornece um mecanismo de segurança básico ou de entrada para a rede Ethernet.

50
00:04:27,560 --> 00:04:30,830
Mais uma vez não tem segurança embutida.

51
00:04:30,830 --> 00:04:37,860
Um usuário pode simplesmente conectar um laptop à sua rede e obter acesso total à rede, agora

52
00:04:37,870 --> 00:04:41,090
há várias maneiras de aprender os endereços MAC.

53
00:04:41,330 --> 00:04:47,750
A primeira é uma maneira estática que você configura estatisticamente endereços MAC específicos que são permitidos ou

54
00:04:47,750 --> 00:04:53,510
permitidos em uma porta, quaisquer endereços mac que você não especificar não são permitidos na porta.

55
00:04:53,510 --> 00:04:57,980
A vantagem deste método é que você tem muito controle, mas a desvantagem

56
00:04:57,980 --> 00:05:05,660
é que você precisa descobrir manualmente quais são os endereços MAC de todos os seus dispositivos e, em seguida, configurá-los manualmente.

57
00:05:05,690 --> 00:05:11,570
Você também pode usar o aprendizado dinâmico onde você especifica quantos endereços MAC são permitidos em uma

58
00:05:12,020 --> 00:05:13,970
porta e eles são aprendidos dinamicamente.

59
00:05:14,210 --> 00:05:19,220
Então, como um exemplo, você poderia dizer que apenas dois endereços MAC são permitidos em

60
00:05:19,220 --> 00:05:24,710
uma porta e os dois primeiros endereços MAC que são aprendidos são permitidos. Qualquer endereço MAC

61
00:05:24,710 --> 00:05:31,220
subseqüente não é permitido, você usaria isso como um exemplo para limitar os endereços MAC permitidos, mas não a

62
00:05:31,500 --> 00:05:38,970
quais endereços MAC são permitidos, então você está limitando o número de endereços MAC e não limitando com base em endereços MAC específicos.

63
00:05:38,990 --> 00:05:44,540
O que devemos lembrar sobre o aprendizado do Domenica é que, quando o switch é reinicializado

64
00:05:44,540 --> 00:05:51,200
enquanto a porta fica inativa, os endereços MAC aprendidos são removidos e novos endereços MAC são permitidos quando a

65
00:05:51,200 --> 00:05:52,440
porta é ativada novamente.

66
00:05:52,460 --> 00:06:00,570
Você também pode especificar um intervalo de envelhecimento para permitir que os endereços MAC sejam esquecidos após um período de tempo.

67
00:06:00,620 --> 00:06:07,100
Então, se você tivesse uma situação em que tivesse uma mesa quente ou uma sala de reuniões, só permitiria um certo

68
00:06:07,100 --> 00:06:11,820
número de endereços MAC em uma porta, mas esses endereços MAC podem mudar com o tempo.

69
00:06:11,840 --> 00:06:16,850
Você também pode fazer uma combinação de aprendizado estático e dinâmico em que permite explicitamente

70
00:06:16,850 --> 00:06:17,880
determinados endereços MAC.

71
00:06:17,930 --> 00:06:24,440
Então, como um exemplo, você pode limitar o número de endereços MAC em uma porta para quatro, mas apenas

72
00:06:24,470 --> 00:06:29,410
estaticamente configurado para endereços MAC. Os dois endereços MAC restantes podem ser aprendidos dinamicamente.

73
00:06:29,690 --> 00:06:35,360
A estática em endereços MAC não faz um jitter, mas você pode permitir que

74
00:06:35,360 --> 00:06:44,030
os endereços MAC aprendidos dinamicamente para um aprendizado de jot stickie lhe adicionem automaticamente um endereço MAC aprendido para a configuração em

75
00:06:44,030 --> 00:06:44,950
execução do comutador.

76
00:06:45,230 --> 00:06:50,150
Portanto, em vez de configurar estaticamente os endereços MAC, você pode permitir que o

77
00:06:50,540 --> 00:06:56,820
switch aprenda os endereços MAC e adicioná-los à configuração quando salvar sua configuração em execução para iniciar a configuração.

78
00:06:56,990 --> 00:07:03,290
Esses endereços MAC serão mantidos em nv ram e, portanto, não serão perdidos se o switch for reinicializado.

79
00:07:03,350 --> 00:07:05,250
Então, existem várias opções.

80
00:07:05,270 --> 00:07:09,660
Lembre-se de que a segurança de porta é uma maneira inicial de implementar segurança.

81
00:07:09,680 --> 00:07:16,190
Ele permite limitar o número de endereços MAC permitidos em uma porta e permite especificar

82
00:07:16,460 --> 00:07:19,840
quais endereços MAC são permitidos em uma porta.

83
00:07:19,880 --> 00:07:24,590
Você tem a opção de apenas limitar a endereços MAC em uma porta, mas não se preocupar com o que são

84
00:07:24,590 --> 00:07:25,210
esses endereços MAC.

85
00:07:25,400 --> 00:07:32,180
Eles impediriam que um usuário levasse um ponto de acesso ou roteador doméstico para trabalhar e conectá-lo à rede

86
00:07:32,510 --> 00:07:35,280
e permitir que os amigos acessassem a rede.

87
00:07:35,480 --> 00:07:43,040
Ou você pode ser rigoroso e permitir apenas endereços MAC específicos em uma porta, de modo que um usuário não possa se conectar à porta

88
00:07:43,040 --> 00:07:47,360
de um diretor e, portanto, ter acesso à visão e ao diretório do diretor.