mkruseonline 10 Geschrieben 15. Mai 2012 Melden Geschrieben 15. Mai 2012 Hallo, weiß hier viellecht jemand, ob der 2960er von Cisco DHCP Snooping und Arp Inspection nutzt ? Aktivieren und einstellen geht, aber wird das auch genutzt ? Das Netzt hat 2 Meinungen : Ja und nein. Meine Logs sagen es wird angewendet, andere sagen der Switch ignoriert das ... Hat jemand einen Hinweis ? Gruß Michael
Otaku19 33 Geschrieben 16. Mai 2012 Melden Geschrieben 16. Mai 2012 (bearbeitet) teste ich grade :D stand:2960G 12.2(58)SE2 dhcp snooping: ich sehe zumindest mal eine snooping table zu Stande, das sit schon mal sehr angenehm das ich die IPs der DHCP Clients direkt am Switch sehe ohne erst mit der mac zum Layer3 Device für das LAn gehen zu müssen. Rogue DHCP teste ich erst EDIT grade Zeit gehabt, also das is recht easy gemacht, auf einem port der nicht trust ist kommen einfach keine DHCP Requests an, da werden nur Antworten vom DHCP Server weitergeleitet ARP Inspection wird eben durch DHCP Snooping "gefüttert", wenn man eien andere Source IP als die per DHCP zugewiesene verwendet, bekommt man keine Verbidnung zu Stande. EDIT#2 Somit sind die Features wenn man sie richtig implementiert minimal invasiv, gefährlich wirds halt wenn man DAI im Einsatz hat und zb dummerweise dhcp snooping für ein vlan deaktiviert, alle User da drin sind dann mal weg vom Netz bearbeitet 16. Mai 2012 von Otaku19
mkruseonline 10 Geschrieben 16. Mai 2012 Autor Melden Geschrieben 16. Mai 2012 Hi, das hört sich doch schon mal so an, als würde genau das funktionieren was soll : ARP Inspectionwird eben durch DHCP Snooping "gefüttert", wenn man eien andere Source IP als die per DHCP zugewiesene verwendet, bekommt man keine Verbidnung zu Stande. Das verhindert schon mal "Man in the middle" Attacken. Gruß und Danke Michael
Otaku19 33 Geschrieben 16. Mai 2012 Melden Geschrieben 16. Mai 2012 vergessen zu erwähnen, IMMER zuerst du uplinks auf trust konfigurieren, sonst macht man sich auch keine Freunde. Beachtet man das, sind beide Features mit 0 Impact zu konfigurieren, es wird keine port err-disabled nur weil er gegen irgendeien der beiden features securitymässig verstösst, es werden lediglich Pakete verworfen
mkruseonline 10 Geschrieben 16. Mai 2012 Autor Melden Geschrieben 16. Mai 2012 Hi, vergessen zu erwähnen, IMMER zuerst du uplinks auf trust konfigurieren, sonst macht man sich auch keine Freunde. Beachtet man das, sind beide Features mit 0 Impact zu konfigurieren, es wird keine port err-disabled nur weil er gegen irgendeien der beiden features securitymässig verstösst, es werden lediglich Pakete verworfen Das ist eh schon ;) Es geht eher darum. ob die 2960er Serie das überhaupt verwendet. War hier ein strittiger Punkt bei einer Sicherheitsüberprüfung. Aktiviert haben wir das, nur gibt es auch Aussagen, das man das konfigurieren kann, aber die Switche diese Einstellung ignorieren. Gruß Michael
Otaku19 33 Geschrieben 16. Mai 2012 Melden Geschrieben 16. Mai 2012 ich weiß nur das man diese features beser mal kontrolliert wenn man ein Upgrade am Switch gemacht hat, da gibts immer wieder bugs im IOS.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden