Jump to content
Sign in to follow this  
Bieradler

Switchprt Security / Switch Security Features

Recommended Posts

Hallo,

 

bin neu hier und in der ganzen Cisco-Materie noch nicht allzu weit gekommen...

 

Nunja, nun zu meinem Problem:

 

Ich soll passive Möglichkeiten zur Absicherung des Netzwerkes ausarbeiten. Was gibt es und wie lassen sie sich sinnvoll einsetzen.

 

Dafür bräuchte ich ne Übersicht über die unterschiedlichen Securtiy Features von Cisco Access Switches.

 

Sollen so Sachen wie MAC-Freeze, BPDU-Guard,DHCP lease, Switchport Security sein...

 

Wäre super, wenn mir da jemand weiterhelfen könnte und ne Übersicht geben könnte, was es da so alles gibt !!!

 

DANKE !!!

Share this post


Link to post

Hallo Bieradler

 

Deine Frage ist sehr allgemein gehalten.

Allerdings gehe ich mal davon aus, dass es sich bei deinen

Fragen um die Security im LAN handelt.

Deswegen gleich eine Gegenfrage:

Was ist mit passive gemeint ?

Soll das heißen, dass Protokolle wie 802.1x hierbei

nicht zum Einsatz kommen sollen ?

(Radius).

Vor wen und was möchte das LAN geschützt werden ?

Braodcast ? Nicht autorisierte Hosts ? Sniffing ? DoS attacks ?

usw. ?

 

Gruß

 

Mr. Oiso

Share this post


Link to post

Hi,

 

ja es geht um LAN - Security, also innerhalb des Netzes.

Um 802.1x geht es zum Teil. Aber mehr um möglich Alternativen dazu.

Also eben auch um die Themen:

 

Broadcast, nicht autorisierte Hosts, Sniffing, DoS attacks, Viren/Würmer ... (ebensehr allgemein, ich weiss)

 

Danke.

 

Gruss,

Bieradler

Share this post


Link to post

Hallo Bieradler

 

Die meisten Features hast Du ja bereits schon angesprochen. Jedoch machen passive Möglichkeiten

zur Absicherung des Netzwerkes auf Layer 2 einen hohen administrativen Aufwand.

Das Pflegen von Access-Listen als Beispiel. Man kann natürlich Mac-Adr. auf port/port-gruppen und

Vlan`s (inbound/outbound) beschränken, oder bei nicht eingetragenen Mac`s ports direkt abschalten

um unerwünschte Host`s zu sperren, was eine hohe Sicherheit schon darstellt.

Jedoch ist diese Sache sehr starr und vor allem statisch. Zum Beispiel ebenfals (Mac-Freeze) was

wohl eher bedeuten soll, die Mac-Tables zu begrenzen, damit sie z.B. nicht mit einer DOS-Attack

geflutet werden können.

Oder als Folge davon port security zu konfigurieren, welche den port schließt wenn ein Max Count

erreicht wurde.

Hierzu gehören auch Methoden wie port protect und oder storm control, um unicast/multicast/broadcast

Schwellwerte zu setzen, wo nach erreichen dieser portaction (filter/shutdown/trap) als mögliche

features zur security zu konfigurieren wären.

Port protection eher zum isolieren von unicast/multicast/broadcast z.B.

Der BPDU Guard ist in jedem Fall eine gute Sache. Hierzu ist natürlich die Notwendigkeit von STP

zu berücksichtigen. Zumindest hätte man damit eine große Sicheheitslücke geschlossen.

Zum Thema Viren/Würmer möchte ich nur auf die neue Kooperation von Cisco mit TrendMicro hinweisen

NAC = Network-Admission-Control welches ein Feature zur Überprüfung von Virenupdates als Zugangs-

vorraussetzung für Netzwerk-Connect bietet. Host welche nicht die zu erfüllenden Anforderungen

mitbringen, werden somit erst garnicht zugelassen, sondern als alternative in eine Art Dummy Vlan

für Updates und Upgrade geschickt, um sich per Policy eine Zugangsvorraussetzung zu schaffen.

Zum Thema Vlan. Mit Vlantechniken, lässt sich ebenfals eine Security-strategie entwickeln.

Jedoch erfordert das wieder Routinginstanzen welche das dann anfallende Intervlan-Routing auch

bewältigen können.

Hierfür wäre auch VMPS eine sehr hilfreiche Sache um von der starren/statischen Konfiguration

wegzukommen. "Vlan Membership Policy Server" Ein Zentrales Verwaltungsorgan, welches das

Mac-to-Valn Mapping erledigt. Hierbei ist es dan egal wann, und wo sich ein Host im Netz Connect

verschaft, er wird immer in das richtige Vlan gelegt. Allerdings lauert auch hier dann das Problem

bei wechselnden Usern am gleichen Host, da nur der Host gemappt wird, nicht aber der User.

Letztendlich erreiche ich die maximale Sicherheit nur mit 802.1x.

 

Ich werde aber die Tage mal eine Liste zusammenstellen, welche Dir so machne Möglichkeit beschreibt.

 

Gruß

Mr. Oiso

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...