Jump to content
speer

Cisco Port Security

Recommended Posts

Hallo zusammen,

beschäftige mich Privat gerade mit einem alten 3750 Cisco Switch. Mein Verständnisproblem betrifft das Thema Port-Security.

Als Beispiel möchte ich einen neuen Server an einen Port freischalten an dem Port-Security aktiviert ist.

Meine Konfig soweit:

switchport mode access
switchport port-security
switchport port-security maximum 50
switchport port-security violation restrict

 

Somit könnte ich neben der Server MAC Adresse am Switchport noch zusätzliche 49 MAC Adressen in die Whitelist eintragen... doch mit welchem Befehl trage ich diese in die Whitelist ein?

Share this post


Link to post
Am 29.6.2020 um 17:59 schrieb speer:

Somit könnte ich neben der Server MAC Adresse am Switchport noch zusätzliche 49 MAC Adressen in die Whitelist eintragen... doch mit welchem Befehl trage ich diese in die Whitelist ein?

 

Moin @speer.
Wenn du MACs manuell whitelisten möchtest, dann geht das mit dem Befehl:
switchport port-security mac-address XXX

Was ist dein genaues Ziel?

Share this post


Link to post

Mit dem maximum 50 bin ich etwas über das Ziel gegangen. Möchte gerne, dass ein Switchport nur für den Server reserviert ist. Sprich, falls ein Kollege das LAN Kabel ziehen sollte und ein anderes Gerät anschließt, darf keine Verbindung zustandekommen. Denke dann reicht auch ein maximum 1.

 

Bei meiner kleinen Umgebung ist das händische eintragen der MAC kein problem. Wie macht man das bei einem Mittelstandsunternehmen mit mehreren 100 Geräten?

Share this post


Link to post
Am 2.7.2020 um 19:45 schrieb speer:

Wie macht man das bei einem Mittelstandsunternehmen mit mehreren 100 Geräten?

 

Ich meine, entweder kann man von selbst mit den Ciscos umgehen, besucht eine Schulung dafür, holt sich einen einem Fachmann aus der Nähe dafür. Ich weiss es ja, das ist alles nicht so praktikabel in diesem Fall. Was noch? Den alten Kram ersetzen durch modernes Gerät mit grafischer Benutzeroberfläche. Ich hatte das Glück, ich konnte mit HP Procurve anfangen, die grafische Benutzeroberfläche ist zeitsparend, weitgehend intiutiv, Manual auf deutsch.

 

Und https://www.ip-insider.de/eine-einfuehrung-in-softwaredefiniertes-networking-d-34113/

Edited by lefg

Share this post


Link to post
Am 2.7.2020 um 19:45 schrieb speer:

falls ein Kollege das LAN Kabel ziehen sollte

 

Wieso kann ein Kollege an das Kabel vom Server kommen?

 

Nun, früher bei uns standen die einzelnen Hörsaakserver unter dem Tisch des Dozenten. Irgendwann gab es dann LAN-Schränke und Serverraum. Und wenn Studenten ungefragt eignes Gerät anschlossen, dann blieben wir höflich, die Studierenden, deren Arbeitgeber bezahlten das Studium, das sind Kunden.

 

Im Verwaltungsbereich sind Privatgeräte nicht gestattet. Wer zusätzlich einen Laptop benötigte, der bekam den Anschluss dafür.

 

Jedenfall war es nicht üblich, jeden Rechner auf seinen Port zu schmieden. Es war einfach nicht gefordert.

Edited by lefg

Share this post


Link to post
Am 2.7.2020 um 19:45 schrieb speer:

Bei meiner kleinen Umgebung ist das händische eintragen der MAC kein problem. Wie macht man das bei einem Mittelstandsunternehmen mit mehreren 100 Geräten?

802.1x, oder ähnliches.

Vlans verhindern auch noch ein paar Dinge. 

Abgesehen davon sind die Server in einem Raum, zu dem nur ein eingeschränkter Personenkreis Zutritt hat. 

 

Dazu kommt ein Monitoring, welches beim Abziehen des Kabel Alarm schlägt. 

 

Share this post


Link to post
Am 2.7.2020 um 19:45 schrieb speer:

Bei meiner kleinen Umgebung ist das händische eintragen der MAC kein problem. Wie macht man das bei einem Mittelstandsunternehmen mit mehreren 100 Geräten?

Da gibt es mehrere Möglichkeiten.
Wenn man das wirklich restriktiv gestalten möchte, dann gibts z.B. sowas: https://www.macmon.eu/loesungen/funktionen/network-access-control/

 

Man darf in Sachen Port-Security auch nicht vergessen das alles auf der MAC basiert.
Und MACs kann man easy spoofen, entsprechend ist es eine Erschwernis aber keine 100% Sicherheit.

Share this post


Link to post

Kein Problem, es war lediglich in meiner virtuellen Switch Umgebung. Spontan würde mir nur eine sinnvolle Möglichkeit der statischen port security einfallen.

Bei unseren Besprechungsräume stehen Laptops bereit die ein Präsentator verwenden kann. Es kam in der Vergangenheit des öftern vor, dass das LTE beim Präsentator nicht funktionierte. Also wurde das fremde Laptop direkt mit diesem VLAN verbunden... natürlich nach Rücksprache mit den unwissenden Kollegen. Hier wäre es ein sinnvoller Zweck, die bekannten MAC Adressen der Laptops mit Port Security zu verbinden.

Ansonsten, vielen Dank für die Hilfen, vorallem an @falkebo

 

Danke Euch :)

Share this post


Link to post

Hahaha, das passt perfekt in ein IT-Forum... 

 

Ich persönlich empfinde die Web-GUIs nicht als Fortschritt gegenüber der Cli.

Eine REST-Api empfinde ich als Fortschritt. 

Dann kann man die gesamte Config zentral auslagern und z.B. Einem Puppet o.ä. Übergeben. 

 

Im Besprechungsraum würde ich ein Gäste-VLAN einrichten. Bei uns führt das sogar auf einen separaten DSL-Anschluss... 

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...