Bieradler 10 Geschrieben 30. Juni 2004 Melden Geschrieben 30. Juni 2004 Hallo, bin neu hier und in der ganzen Cisco-Materie noch nicht allzu weit gekommen... Nunja, nun zu meinem Problem: Ich soll passive Möglichkeiten zur Absicherung des Netzwerkes ausarbeiten. Was gibt es und wie lassen sie sich sinnvoll einsetzen. Dafür bräuchte ich ne Übersicht über die unterschiedlichen Securtiy Features von Cisco Access Switches. Sollen so Sachen wie MAC-Freeze, BPDU-Guard,DHCP lease, Switchport Security sein... Wäre super, wenn mir da jemand weiterhelfen könnte und ne Übersicht geben könnte, was es da so alles gibt !!! DANKE !!! Zitieren
mr._oiso 10 Geschrieben 1. Juli 2004 Melden Geschrieben 1. Juli 2004 Hallo Bieradler Deine Frage ist sehr allgemein gehalten. Allerdings gehe ich mal davon aus, dass es sich bei deinen Fragen um die Security im LAN handelt. Deswegen gleich eine Gegenfrage: Was ist mit passive gemeint ? Soll das heißen, dass Protokolle wie 802.1x hierbei nicht zum Einsatz kommen sollen ? (Radius). Vor wen und was möchte das LAN geschützt werden ? Braodcast ? Nicht autorisierte Hosts ? Sniffing ? DoS attacks ? usw. ? Gruß Mr. Oiso Zitieren
Bieradler 10 Geschrieben 2. Juli 2004 Autor Melden Geschrieben 2. Juli 2004 Hi, ja es geht um LAN - Security, also innerhalb des Netzes. Um 802.1x geht es zum Teil. Aber mehr um möglich Alternativen dazu. Also eben auch um die Themen: Broadcast, nicht autorisierte Hosts, Sniffing, DoS attacks, Viren/Würmer ... (ebensehr allgemein, ich weiss) Danke. Gruss, Bieradler Zitieren
mr._oiso 10 Geschrieben 5. Juli 2004 Melden Geschrieben 5. Juli 2004 Hallo Bieradler Die meisten Features hast Du ja bereits schon angesprochen. Jedoch machen passive Möglichkeiten zur Absicherung des Netzwerkes auf Layer 2 einen hohen administrativen Aufwand. Das Pflegen von Access-Listen als Beispiel. Man kann natürlich Mac-Adr. auf port/port-gruppen und Vlan`s (inbound/outbound) beschränken, oder bei nicht eingetragenen Mac`s ports direkt abschalten um unerwünschte Host`s zu sperren, was eine hohe Sicherheit schon darstellt. Jedoch ist diese Sache sehr starr und vor allem statisch. Zum Beispiel ebenfals (Mac-Freeze) was wohl eher bedeuten soll, die Mac-Tables zu begrenzen, damit sie z.B. nicht mit einer DOS-Attack geflutet werden können. Oder als Folge davon port security zu konfigurieren, welche den port schließt wenn ein Max Count erreicht wurde. Hierzu gehören auch Methoden wie port protect und oder storm control, um unicast/multicast/broadcast Schwellwerte zu setzen, wo nach erreichen dieser portaction (filter/shutdown/trap) als mögliche features zur security zu konfigurieren wären. Port protection eher zum isolieren von unicast/multicast/broadcast z.B. Der BPDU Guard ist in jedem Fall eine gute Sache. Hierzu ist natürlich die Notwendigkeit von STP zu berücksichtigen. Zumindest hätte man damit eine große Sicheheitslücke geschlossen. Zum Thema Viren/Würmer möchte ich nur auf die neue Kooperation von Cisco mit TrendMicro hinweisen NAC = Network-Admission-Control welches ein Feature zur Überprüfung von Virenupdates als Zugangs- vorraussetzung für Netzwerk-Connect bietet. Host welche nicht die zu erfüllenden Anforderungen mitbringen, werden somit erst garnicht zugelassen, sondern als alternative in eine Art Dummy Vlan für Updates und Upgrade geschickt, um sich per Policy eine Zugangsvorraussetzung zu schaffen. Zum Thema Vlan. Mit Vlantechniken, lässt sich ebenfals eine Security-strategie entwickeln. Jedoch erfordert das wieder Routinginstanzen welche das dann anfallende Intervlan-Routing auch bewältigen können. Hierfür wäre auch VMPS eine sehr hilfreiche Sache um von der starren/statischen Konfiguration wegzukommen. "Vlan Membership Policy Server" Ein Zentrales Verwaltungsorgan, welches das Mac-to-Valn Mapping erledigt. Hierbei ist es dan egal wann, und wo sich ein Host im Netz Connect verschaft, er wird immer in das richtige Vlan gelegt. Allerdings lauert auch hier dann das Problem bei wechselnden Usern am gleichen Host, da nur der Host gemappt wird, nicht aber der User. Letztendlich erreiche ich die maximale Sicherheit nur mit 802.1x. Ich werde aber die Tage mal eine Liste zusammenstellen, welche Dir so machne Möglichkeit beschreibt. Gruß Mr. Oiso Zitieren
Bieradler 10 Geschrieben 6. Juli 2004 Autor Melden Geschrieben 6. Juli 2004 Super, schon jetzt vielen Dank !!! Zitieren
mr._oiso 10 Geschrieben 20. Juli 2004 Melden Geschrieben 20. Juli 2004 Hallo Bieradler Sorry dass ich mich so lange nicht gemeldet ! Hatte nen "Gelben" und war krank ! port security : http://www.cisco.com/en/US/partner/products/hw/switches/ps628/products_configuration_guide_chapter09186a00800d84c2.html BPDU Guard / Root Guard : http://www.cisco.com/en/US/partner/tech/tk389/tk621/technologies_tech_note09186a00800ae96b.shtml Configure ACL´s : http://www.cisco.com/en/US/partner/products/hw/switches/ps628/products_configuration_guide_chapter09186a00800d84c8.html Catalyst Sercurity : http://www.cisco.com/application/pdf/en/us/guest/netsol/ns294/c643/ccmigration_09186a008014956e.pdf Schon mal vor ab ! Gruß Mr. Oiso Zitieren
Bieradler 10 Geschrieben 21. Juli 2004 Autor Melden Geschrieben 21. Juli 2004 Danke ! Bin nur leider kein Cisco-Partner... Bis auf den letzten Link komm ich nicht an die Dokus... Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.