Jump to content

Switchprt Security / Switch Security Features


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

bin neu hier und in der ganzen Cisco-Materie noch nicht allzu weit gekommen...

 

Nunja, nun zu meinem Problem:

 

Ich soll passive Möglichkeiten zur Absicherung des Netzwerkes ausarbeiten. Was gibt es und wie lassen sie sich sinnvoll einsetzen.

 

Dafür bräuchte ich ne Übersicht über die unterschiedlichen Securtiy Features von Cisco Access Switches.

 

Sollen so Sachen wie MAC-Freeze, BPDU-Guard,DHCP lease, Switchport Security sein...

 

Wäre super, wenn mir da jemand weiterhelfen könnte und ne Übersicht geben könnte, was es da so alles gibt !!!

 

DANKE !!!

Link zu diesem Kommentar

Hallo Bieradler

 

Deine Frage ist sehr allgemein gehalten.

Allerdings gehe ich mal davon aus, dass es sich bei deinen

Fragen um die Security im LAN handelt.

Deswegen gleich eine Gegenfrage:

Was ist mit passive gemeint ?

Soll das heißen, dass Protokolle wie 802.1x hierbei

nicht zum Einsatz kommen sollen ?

(Radius).

Vor wen und was möchte das LAN geschützt werden ?

Braodcast ? Nicht autorisierte Hosts ? Sniffing ? DoS attacks ?

usw. ?

 

Gruß

 

Mr. Oiso

Link zu diesem Kommentar

Hallo Bieradler

 

Die meisten Features hast Du ja bereits schon angesprochen. Jedoch machen passive Möglichkeiten

zur Absicherung des Netzwerkes auf Layer 2 einen hohen administrativen Aufwand.

Das Pflegen von Access-Listen als Beispiel. Man kann natürlich Mac-Adr. auf port/port-gruppen und

Vlan`s (inbound/outbound) beschränken, oder bei nicht eingetragenen Mac`s ports direkt abschalten

um unerwünschte Host`s zu sperren, was eine hohe Sicherheit schon darstellt.

Jedoch ist diese Sache sehr starr und vor allem statisch. Zum Beispiel ebenfals (Mac-Freeze) was

wohl eher bedeuten soll, die Mac-Tables zu begrenzen, damit sie z.B. nicht mit einer DOS-Attack

geflutet werden können.

Oder als Folge davon port security zu konfigurieren, welche den port schließt wenn ein Max Count

erreicht wurde.

Hierzu gehören auch Methoden wie port protect und oder storm control, um unicast/multicast/broadcast

Schwellwerte zu setzen, wo nach erreichen dieser portaction (filter/shutdown/trap) als mögliche

features zur security zu konfigurieren wären.

Port protection eher zum isolieren von unicast/multicast/broadcast z.B.

Der BPDU Guard ist in jedem Fall eine gute Sache. Hierzu ist natürlich die Notwendigkeit von STP

zu berücksichtigen. Zumindest hätte man damit eine große Sicheheitslücke geschlossen.

Zum Thema Viren/Würmer möchte ich nur auf die neue Kooperation von Cisco mit TrendMicro hinweisen

NAC = Network-Admission-Control welches ein Feature zur Überprüfung von Virenupdates als Zugangs-

vorraussetzung für Netzwerk-Connect bietet. Host welche nicht die zu erfüllenden Anforderungen

mitbringen, werden somit erst garnicht zugelassen, sondern als alternative in eine Art Dummy Vlan

für Updates und Upgrade geschickt, um sich per Policy eine Zugangsvorraussetzung zu schaffen.

Zum Thema Vlan. Mit Vlantechniken, lässt sich ebenfals eine Security-strategie entwickeln.

Jedoch erfordert das wieder Routinginstanzen welche das dann anfallende Intervlan-Routing auch

bewältigen können.

Hierfür wäre auch VMPS eine sehr hilfreiche Sache um von der starren/statischen Konfiguration

wegzukommen. "Vlan Membership Policy Server" Ein Zentrales Verwaltungsorgan, welches das

Mac-to-Valn Mapping erledigt. Hierbei ist es dan egal wann, und wo sich ein Host im Netz Connect

verschaft, er wird immer in das richtige Vlan gelegt. Allerdings lauert auch hier dann das Problem

bei wechselnden Usern am gleichen Host, da nur der Host gemappt wird, nicht aber der User.

Letztendlich erreiche ich die maximale Sicherheit nur mit 802.1x.

 

Ich werde aber die Tage mal eine Liste zusammenstellen, welche Dir so machne Möglichkeit beschreibt.

 

Gruß

Mr. Oiso

Link zu diesem Kommentar
  • 2 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...