D
=DarkEagle=
Gast
Hallo,
für ein größeres Netzwerk suche ich einen 48-Port Gigabit-Switch. Bei der Suche habe ich mir natürlich mal die Funktionalitäten angeschaut und was welcher leistet. Mich persönlich interssiert nun gerade verstärkt der Bereich der Sicherheit von Switchen und welche Switche da Schutz bieten. Ich würde dies gerne etwas diskutieren, um meinen Horizont zu erweitern und ggf. zu hören, was in der Praxis eingesetzt wird. Meine Fragen nummeriere ich einmal durch.
Grundsätzlich werden in größeren Netzwerken sehr gerne VLANs aus mehreren Gründen eingesetzt. Dies ist ja schon mal ein erster Schutz, um Rechner überhaupt zu trennen, die nicht zusammen gehören.
Eine Angriffstechnik ist wohl das MAC-Flooding. Eine Gegenmaßnahme hier ist die Port Security, die nur zugelassene MACs durchlässt bzw. ggf. den Port beim Flooden abschaltet. 1. Gibt es hier noch weitere Gegenmaßnahmen?
Dann haben wir MAC-Spoofing. Jmd. fälscht eine MAC-Adresse und erhält dadurch den Datenverkehr vom "Opfer".
2. Was sind hier Gegenmaßnahmen von Seiten der Switche?
Zuletzt gibt es laut Wikipedia noch ARP-Spoofing. Als Gegenmaßnahme reicht hier nun das zuordnen von IP-Adressen zu den Ports. Dies kann leider nur ein entsprechender Layer-3-Switch. 3. Gibt es auch "günstige" Switche, die sowas können?
HP schreibt zu seinem HP 2530 auf der Website mehreren Sicherheitsmechanismen (meine Kommentare habe ich in Klammern gesetzt):
lokale MAC-Authentifizierung (dürfte klar sein)
802.1X (das ist wohl die ganze Geschichte mit Authentifizierung via RADIUS-Servern)
MAC- und Web-Authentifizierung (4. der Punkt sagt mir leider nicht viel bzw. ich kann mir nicht vorstellen. kann das einer ausführen?)
Erweiterter DOS-Schutz (Denial of Service), wie z. B. DHCP-Schutz, dynamischer ARP-Schutz, und Dynamic IP Lockdown (5. wie muss ich mir diesen Schutz vorstellen? Dynamischer ARP-Schutz??? Dynamic IP LOckdown kann ich noch verstehen, in dem temporär IP-Adressen geblockt werden)
Bei TP-Link habe ich mir einmal den TL-SG2424P angeschaut. Hier schreiben sie von "Sturmkontrolle für Broadcasts, Multicasts und Unknown-Unicasts". 6. Heißt das einfach, dass Braodcast geblockt werden, sollten sie die Stabilität des Netzes bedrohen?
Der TP-Link verfügt auch über eine ACL nach folgenden Kriterien:"L2..L4-Paketfilterung, basierend auf Quell- und Ziel-MAC-Adresse,
IP-Adresse, TCP-/UDP-Ports
Zeitbasierend"
7. Damit ist der entsprechend sehr flexibel, was die Vergabe von Zugriffsrechten einzelner Rechner angeht, oder?
Das sind die Ergebnisse meiner abendlichen Recherche. Über Antworten auf meine 7 Fragen würde ich mich freuen ;-)
EDIT// OK. Die ersten 3 Fragen haben sich inzwischen erledigt. MAC-Flooding, MAC-Spoofing und ARP-Spoofing lassen sich durch Port-Security + Festlegung der IP-Adressen auf einen Port beseitigen.
für ein größeres Netzwerk suche ich einen 48-Port Gigabit-Switch. Bei der Suche habe ich mir natürlich mal die Funktionalitäten angeschaut und was welcher leistet. Mich persönlich interssiert nun gerade verstärkt der Bereich der Sicherheit von Switchen und welche Switche da Schutz bieten. Ich würde dies gerne etwas diskutieren, um meinen Horizont zu erweitern und ggf. zu hören, was in der Praxis eingesetzt wird. Meine Fragen nummeriere ich einmal durch.
Grundsätzlich werden in größeren Netzwerken sehr gerne VLANs aus mehreren Gründen eingesetzt. Dies ist ja schon mal ein erster Schutz, um Rechner überhaupt zu trennen, die nicht zusammen gehören.
Eine Angriffstechnik ist wohl das MAC-Flooding. Eine Gegenmaßnahme hier ist die Port Security, die nur zugelassene MACs durchlässt bzw. ggf. den Port beim Flooden abschaltet. 1. Gibt es hier noch weitere Gegenmaßnahmen?
Dann haben wir MAC-Spoofing. Jmd. fälscht eine MAC-Adresse und erhält dadurch den Datenverkehr vom "Opfer".
2. Was sind hier Gegenmaßnahmen von Seiten der Switche?
Zuletzt gibt es laut Wikipedia noch ARP-Spoofing. Als Gegenmaßnahme reicht hier nun das zuordnen von IP-Adressen zu den Ports. Dies kann leider nur ein entsprechender Layer-3-Switch. 3. Gibt es auch "günstige" Switche, die sowas können?
HP schreibt zu seinem HP 2530 auf der Website mehreren Sicherheitsmechanismen (meine Kommentare habe ich in Klammern gesetzt):
lokale MAC-Authentifizierung (dürfte klar sein)
802.1X (das ist wohl die ganze Geschichte mit Authentifizierung via RADIUS-Servern)
MAC- und Web-Authentifizierung (4. der Punkt sagt mir leider nicht viel bzw. ich kann mir nicht vorstellen. kann das einer ausführen?)
Erweiterter DOS-Schutz (Denial of Service), wie z. B. DHCP-Schutz, dynamischer ARP-Schutz, und Dynamic IP Lockdown (5. wie muss ich mir diesen Schutz vorstellen? Dynamischer ARP-Schutz??? Dynamic IP LOckdown kann ich noch verstehen, in dem temporär IP-Adressen geblockt werden)
Bei TP-Link habe ich mir einmal den TL-SG2424P angeschaut. Hier schreiben sie von "Sturmkontrolle für Broadcasts, Multicasts und Unknown-Unicasts". 6. Heißt das einfach, dass Braodcast geblockt werden, sollten sie die Stabilität des Netzes bedrohen?
Der TP-Link verfügt auch über eine ACL nach folgenden Kriterien:"L2..L4-Paketfilterung, basierend auf Quell- und Ziel-MAC-Adresse,
IP-Adresse, TCP-/UDP-Ports
Zeitbasierend"
7. Damit ist der entsprechend sehr flexibel, was die Vergabe von Zugriffsrechten einzelner Rechner angeht, oder?
Das sind die Ergebnisse meiner abendlichen Recherche. Über Antworten auf meine 7 Fragen würde ich mich freuen ;-)
EDIT// OK. Die ersten 3 Fragen haben sich inzwischen erledigt. MAC-Flooding, MAC-Spoofing und ARP-Spoofing lassen sich durch Port-Security + Festlegung der IP-Adressen auf einen Port beseitigen.
Zuletzt bearbeitet: