1 00:00:00,960 --> 00:00:07,410 În acest videoclip vom discuta despre securitatea portului care este folosit pentru a oferi un nivel 2 00:00:07,770 --> 00:00:13,110 de autentificare într-un mediu Ethernet într-un mediu ethernet prin cablu ca exemplu. 3 00:00:13,110 --> 00:00:19,630 Nu vă oprește nimic pur și simplu conectați PC-ul în orice port deschis din rețea. 4 00:00:19,680 --> 00:00:27,390 De exemplu, nu există nimic care să oprească un utilizator care să le conecteze PC-ul la un port într-un birou al unui 5 00:00:27,750 --> 00:00:32,110 director, ceea ce înseamnă că aceștia au acces la personajul regizorului. 6 00:00:32,190 --> 00:00:39,060 De asemenea, nu există nimic care să împiedice utilizatorul să conecteze un punct de acces fără fir la rețea și să permită 7 00:00:39,060 --> 00:00:44,310 mai multor utilizatori să acceseze rețeaua prin cablu prin intermediul acestui punct de acces fără fir. 8 00:00:44,580 --> 00:00:46,790 Acesta este un risc major de securitate. 9 00:00:46,800 --> 00:00:53,070 Ceea ce face securitatea portului este că se uită la adresa de sursă MAC a cadrelor recepționate pe 10 00:00:53,070 --> 00:01:00,540 un port și puteți restricționa că cadrele sunt permise pe un anumit port la o singură adresă MAC pe care o 11 00:01:00,900 --> 00:01:05,890 configurați sau la un număr limitat de adrese MAC care sunt dinamic învățat. 12 00:01:05,910 --> 00:01:07,920 Există diferite opțiuni pe care le vom discuta. 13 00:01:07,920 --> 00:01:15,090 Dar, ca exemplu, ați putea spune în portul care se conectează la biroul directorului numai adresa MAC 14 00:01:15,090 --> 00:01:22,050 asociată cu laptopul lor sau PC-ul lor este permis să trimită cadru la comutator și, prin 15 00:01:22,080 --> 00:01:24,610 urmare, aparțin directorilor de teren. 16 00:01:24,810 --> 00:01:30,750 Sau puteți limita numărul de adrese MAC permise într-un port ca exemplu, puteți limita 17 00:01:30,750 --> 00:01:37,750 numărul de adrese MAC la unul care ar permite unui singur PC să acceseze rețeaua prin acel port. 18 00:01:38,040 --> 00:01:45,180 Sau dacă aveți un PC conectat la un telefon IP, puteți limita adresele MAC la trei 2 pentru telefonul IP 19 00:01:45,690 --> 00:01:48,800 și unul pentru PC atașat la telefonul IP. 20 00:01:48,960 --> 00:01:56,280 Acest lucru ar opri un utilizator care leagă un punct de acces sau un hub în rețea și permițând 21 00:01:56,280 --> 00:01:59,590 accesul mai multor dispozitive neautorizate la rețeaua Ethernet. 22 00:01:59,610 --> 00:02:03,570 Vă rugăm să rețineți că acest lucru nu este de a folosi orice utilizator cation. 23 00:02:03,660 --> 00:02:07,200 Orice întrebare poate fi implementată folosind Ada la acel x. 24 00:02:07,200 --> 00:02:13,920 Aceasta este o autentificare mai bazată pe adrese MAC, astfel că sunt permise numai cadrele de la anumite adrese MAC 25 00:02:14,010 --> 00:02:21,150 sau un număr limitat de adrese MAC sunt permise pe un port de pe un switch care rezolvă problema unui utilizator care 26 00:02:21,150 --> 00:02:26,310 se conectează la un port pe care nu este autorizat pentru a vă conecta. 27 00:02:26,640 --> 00:02:33,000 Oprirea unui utilizator care conectează un hub un punct de acces fără fir la rețea și, prin urmare, 28 00:02:33,000 --> 00:02:34,880 permite accesul neautorizat la rețea. 29 00:02:35,300 --> 00:02:40,200 Puteți decide ce se întâmplă atunci când există o încălcare a securității portuare. 30 00:02:40,200 --> 00:02:45,990 Ați putea să renunțați la cadre sau să închideți portul în jos utilizând ceea ce se numește o 31 00:02:45,990 --> 00:02:50,970 eroare sau starea de dezactivare în cea mai sigură implementare în care dezactivați portul. 32 00:02:51,000 --> 00:02:56,870 În calitate de administrator trebuie să reactivați manual portul astfel încât utilizatorul să contacteze biroul de asistență 33 00:02:56,890 --> 00:03:01,340 ca exemplu și să explice că nu mai are acces la rețea. 34 00:03:01,470 --> 00:03:07,080 Și apoi ați putea investiga ce sa întâmplat și ați putea vedea dacă o adresă MAC autorizată sau un 35 00:03:07,470 --> 00:03:11,470 grup de adrese MAC a încercat să acceseze rețeaua prin acel port. 36 00:03:14,960 --> 00:03:20,910 Siguranța portului este unul dintre mecanismele multiple de securitate pe care le puteți implementa într-o rețea. 37 00:03:21,110 --> 00:03:25,520 Securitatea este un fel de castel vechi așa cum se arată aici. 38 00:03:25,520 --> 00:03:32,300 Ideea este că aveți mai multe mecanisme de securitate care, în sine, nu oferă 39 00:03:32,300 --> 00:03:40,330 securitate totală, dar fiecare nivel de securitate sau fiecare mecanism adaugă un nivel mai mare de securitate. 40 00:03:40,340 --> 00:03:45,460 Deci, în acest exemplu, va trebui să treci peste mare pentru a ajunge la castel. 41 00:03:45,650 --> 00:03:51,420 Apoi, va trebui să scalzi peretele exterior și încă nu în centrul castelului. 42 00:03:51,560 --> 00:03:58,880 Va trebui să urcați pe acest deal și apoi să scalați peretele interior pentru a putea ajunge la rege în 43 00:03:58,880 --> 00:04:00,450 castel ca un exemplu. 44 00:04:00,710 --> 00:04:07,130 Deci, în securitate implementați pereți sau mecanisme multiple pentru a face mai greu pentru un hacker să vă 45 00:04:07,130 --> 00:04:08,120 atace rețeaua. 46 00:04:08,120 --> 00:04:14,900 Acest lucru se aplică și utilizatorilor care, din neatenție sau fără a fi rău intenționat, fac ceva ce nu ar trebui să 47 00:04:14,910 --> 00:04:16,250 fie în rețeaua dvs. 48 00:04:16,250 --> 00:04:19,770 Deci, securitatea porturilor nu este o capturare a întregului mecanism de securitate. 49 00:04:19,850 --> 00:04:27,560 Este doar unul dintre multe și oferă un mecanism de securitate de bază sau de intrare la nivelul rețelei dvs. Ethernet. 50 00:04:27,560 --> 00:04:30,830 Încă o dată nu are nici o securitate încorporată în ea. 51 00:04:30,830 --> 00:04:37,860 Un utilizator ar putea pur și simplu conecta un laptop la rețeaua dvs. și obține acces complet la rețea acum există mai 52 00:04:37,870 --> 00:04:41,090 multe modalități prin care adresele MAC pot fi învățate. 53 00:04:41,330 --> 00:04:47,750 Primul mod static este să configurați în mod static anumite adrese MAC care sunt permise sau permise pe un 54 00:04:47,750 --> 00:04:53,510 port orice adresă mac pe care nu o specificați pe care nu este permisă pe port. 55 00:04:53,510 --> 00:04:57,980 Avantajul acestei metode este că aveți foarte mult control, dar 56 00:04:57,980 --> 00:05:05,660 dezavantajul este că trebuie să realizați manual adresele MAC ale tuturor dispozitivelor dvs. și apoi să le configurați manual. 57 00:05:05,690 --> 00:05:11,570 De asemenea, puteți utiliza învățarea dinamică în cazul în care specificați câte adrese MAC sunt permise pe un port 58 00:05:12,020 --> 00:05:13,970 și acestea sunt învățate dinamic. 59 00:05:14,210 --> 00:05:19,220 De exemplu, ați putea spune că numai două adrese MAC sunt permise pe 60 00:05:19,220 --> 00:05:24,710 un port și primele două adrese MAC care sunt învățate sunt permise, eventualele adrese MAC ulterioare 61 00:05:24,710 --> 00:05:31,220 nu sunt permise, ați folosi acest lucru ca exemplu pentru a limita adresele MAC permise, dar nu la 62 00:05:31,500 --> 00:05:38,970 care sunt permise adresele MAC, astfel încât să limitați numărul de adrese MAC și nu o limitare bazată pe adrese MAC specifice. 63 00:05:38,990 --> 00:05:44,540 Lucrul pe care trebuie să-l amintiți despre învățarea Domenica este că, atunci când comutatorul este repornit în timp 64 00:05:44,540 --> 00:05:51,200 ce portul se duce în jos, adresele MAC învățate sunt eliminate și noi adrese MAC ar fi apoi permise atunci când portul 65 00:05:51,200 --> 00:05:52,440 revine din nou. 66 00:05:52,460 --> 00:06:00,570 De asemenea, puteți specifica un interval de îmbătrânire pentru a permite ca adresele MAC să fie uitate după o anumită perioadă de timp. 67 00:06:00,620 --> 00:06:07,100 Deci, dacă ați avut o situație în care ați avut un birou fierbinte sau o cameră de bord, puteți permite doar un anumit 68 00:06:07,100 --> 00:06:11,820 număr de adrese MAC pe un port, dar acele adrese MAC se pot schimba în timp. 69 00:06:11,840 --> 00:06:16,850 De asemenea, puteți face o combinație de învățare statică și dinamică, în cazul în care permiteți în mod explicit 70 00:06:16,850 --> 00:06:17,880 anumite adrese MAC. 71 00:06:17,930 --> 00:06:24,440 De exemplu, ați putea limita numărul de adrese MAC pe un port la patru, dar numai static 72 00:06:24,470 --> 00:06:29,410 configurat pentru adresele MAC, celelalte două adrese MAC pot fi învățate dinamic. 73 00:06:29,690 --> 00:06:35,360 Adresele statice la adresele MAC nu au un jot, însă ați putea permite adreselor MAC 74 00:06:35,360 --> 00:06:44,030 învățate dinamic la o învățare de tip jot stickie, care vă permite să adăugați automat o adresă MAC învățată la configurația de rulare 75 00:06:44,030 --> 00:06:44,950 a comutatorului. 76 00:06:45,230 --> 00:06:50,150 Deci, mai degrabă decât configurarea statică a adreselor MAC, ați putea permite comutatorului să 77 00:06:50,540 --> 00:06:56,820 învețe adresele MAC și apoi să le adăugați la configurație atunci când salvați configurația de funcționare pentru a porni configurarea. 78 00:06:56,990 --> 00:07:03,290 Aceste adrese MAC vor fi păstrate în nv ram și, prin urmare, nu vor fi pierdute dacă comutatorul repornește. 79 00:07:03,350 --> 00:07:05,250 Deci, există mai multe opțiuni. 80 00:07:05,270 --> 00:07:09,660 Amintiți-vă că securitatea portului este o modalitate inițială de a implementa securitatea. 81 00:07:09,680 --> 00:07:16,190 Vă permite să limitați numărul de adrese MAC permise pe un port și vă permite să specificați 82 00:07:16,460 --> 00:07:19,840 adresele MAC care sunt permise pe un port. 83 00:07:19,880 --> 00:07:24,590 Aveți opțiunea de a limita doar la adresele MAC pe un port, dar nu vă faceți griji cu privire la acele 84 00:07:24,590 --> 00:07:25,210 adrese MAC. 85 00:07:25,400 --> 00:07:32,180 S-ar opri un utilizator care să aducă un punct de acces sau un router acasă pentru a funcționa și conectarea la rețea 86 00:07:32,510 --> 00:07:35,280 și pentru a permite prietenilor să acceseze rețeaua. 87 00:07:35,480 --> 00:07:43,040 Sau puteți fi strict și permiteți doar adresele MAC specifice pe un port, astfel încât un utilizator să nu se poată conecta la 88 00:07:43,040 --> 00:07:47,360 portul unui director și, prin urmare, să aibă acces la vizualizarea directorului și.