ComputerBase Menü
Aktuelles

Sicherheit von Switchen

D

=DarkEagle=

Gast
Hallo,
für ein größeres Netzwerk suche ich einen 48-Port Gigabit-Switch. Bei der Suche habe ich mir natürlich mal die Funktionalitäten angeschaut und was welcher leistet. Mich persönlich interssiert nun gerade verstärkt der Bereich der Sicherheit von Switchen und welche Switche da Schutz bieten. Ich würde dies gerne etwas diskutieren, um meinen Horizont zu erweitern und ggf. zu hören, was in der Praxis eingesetzt wird. Meine Fragen nummeriere ich einmal durch.

Grundsätzlich werden in größeren Netzwerken sehr gerne VLANs aus mehreren Gründen eingesetzt. Dies ist ja schon mal ein erster Schutz, um Rechner überhaupt zu trennen, die nicht zusammen gehören.

Eine Angriffstechnik ist wohl das MAC-Flooding. Eine Gegenmaßnahme hier ist die Port Security, die nur zugelassene MACs durchlässt bzw. ggf. den Port beim Flooden abschaltet. 1. Gibt es hier noch weitere Gegenmaßnahmen?

Dann haben wir MAC-Spoofing. Jmd. fälscht eine MAC-Adresse und erhält dadurch den Datenverkehr vom "Opfer".
2. Was sind hier Gegenmaßnahmen von Seiten der Switche?

Zuletzt gibt es laut Wikipedia noch ARP-Spoofing. Als Gegenmaßnahme reicht hier nun das zuordnen von IP-Adressen zu den Ports. Dies kann leider nur ein entsprechender Layer-3-Switch. 3. Gibt es auch "günstige" Switche, die sowas können?

HP schreibt zu seinem HP 2530 auf der Website mehreren Sicherheitsmechanismen (meine Kommentare habe ich in Klammern gesetzt):
lokale MAC-Authentifizierung (dürfte klar sein)
802.1X (das ist wohl die ganze Geschichte mit Authentifizierung via RADIUS-Servern)
MAC- und Web-Authentifizierung (4. der Punkt sagt mir leider nicht viel bzw. ich kann mir nicht vorstellen. kann das einer ausführen?)
Erweiterter DOS-Schutz (Denial of Service), wie z. B. DHCP-Schutz, dynamischer ARP-Schutz, und Dynamic IP Lockdown (5. wie muss ich mir diesen Schutz vorstellen? Dynamischer ARP-Schutz??? Dynamic IP LOckdown kann ich noch verstehen, in dem temporär IP-Adressen geblockt werden)

Bei TP-Link habe ich mir einmal den TL-SG2424P angeschaut. Hier schreiben sie von "Sturmkontrolle für Broadcasts, Multicasts und Unknown-Unicasts". 6. Heißt das einfach, dass Braodcast geblockt werden, sollten sie die Stabilität des Netzes bedrohen?

Der TP-Link verfügt auch über eine ACL nach folgenden Kriterien:"L2..L4-Paketfilterung, basierend auf Quell- und Ziel-MAC-Adresse,
IP-Adresse, TCP-/UDP-Ports
Zeitbasierend"
7. Damit ist der entsprechend sehr flexibel, was die Vergabe von Zugriffsrechten einzelner Rechner angeht, oder?

Das sind die Ergebnisse meiner abendlichen Recherche. Über Antworten auf meine 7 Fragen würde ich mich freuen ;-)

EDIT// OK. Die ersten 3 Fragen haben sich inzwischen erledigt. MAC-Flooding, MAC-Spoofing und ARP-Spoofing lassen sich durch Port-Security + Festlegung der IP-Adressen auf einen Port beseitigen.
 
Zuletzt bearbeitet:
6) Sturmkontrolle
auf Cisco Switchen kannst du zB sagen, wenn 20% des Traffics Broadcast sind, dann -> Portshutdown.

Außerdem ist es wichtig, dass keine fremde Switche angeschlossenwerden dürfen / können: bpdu Guard
Loops Vermeiden : SPT Protokol / Root Bridge, und dessen Schutz

7) Ja, je nachdem was der Hersteller erlaubt. Das ist sicher vom Hersteller zur Herstller anders.


für ein größeres Netzwerk suche ich einen 48-Port Gigabit-Switch
Zum Vergrößern anklicken....
wie groß ? :)
was für Switche sind schon verbaut ?

Das ist die wichtigste Frage
 
Zuletzt bearbeitet:
Bisher ist nur ein "dummer" Switch verbaut, der nicht kann ;-)
Groß heißt nur, dass ca. 45 Netzwerkdosen im Gebäude verteilt sind und insgesamt bisher 10 Rechner angeschlossen sind :-)

Die Anforderungen für den Switch bzgl. der Sicherheit ergeben sich nicht aus der wirklichen Situation, sonder eher daraus, dass
ich möglichst viel in diesem Themengebiet lernen will. Dazu könnte ich wohl auch Cisco-Zertifikate ala CCNA und CCNP machen,
aber dafür fehlt mir doch etwas die Zeit :-)

Zum bpdu Guard habe ich auch schon einiges gelesen. SPT schaue ich mir auch nochmal genau an. Das ist noch eine Wissenslücke :-)
 
Alle Sicherheitsmechanismen bringen nichts, wenn man sie nicht anzuwenden weiß. Es ist denkbar schwierig, darüber zu diskutieren, wenn es am Ende (noch) nicht umgesetzt werden kann. VLANs sind noch ohne allzu große Kenntnisse nutzbar, aber wenn man Portblocks und sowas einbaut und - sorry - wenig Ahnung hat, dann blockiert man am Ende mehr als man will. Das kann im schlimmsten Falle dazu führen, dass man ständig "ran" muss.

Beispiel: Ich habe auf meinem Linux-Server Sicherheitsvorkehrungen gegen unbefugte Logins. Unter anderem 3 falsche Logins -> Login gesperrt. Diese Sperre ist in der Regel nur 24h aktiv (bei mir kürzer) und sollte tunlichst nicht zu groß gewählt sein, sonst sperrt man sich selbst aus -> kontraproduktiv. Schon doof, wenn man an den Server muss, aber bis morgen (oder länger) nicht rankommt..

Ich will dir damit mitnichten den Wind aus den Segeln nehmen, aber du solltest dir dessen bewusst sein was du da tust. Trial and Error kann fies sein, wenn im worst case ganze Abteilungen plötzlich offline sind..
 
Ich kann deinen Beitrag schon verstehen. Es ist auch nicht so, dass ich der Admin eines Firmennetzes bin, der keine Ahnung hat, was er tut. Das ganze ist rein für den privaten Gebrauch und teilweise eine Hobbyangelegenheit. Wenn was schief läuft, kann halt mal jmd kurz nichts ins Internet. Sollte es gar nicht laufen, werden die Maßnahmen einfach abgeschaltet. Ich bin mir bewusst, was ich tue ;-) und auch weiß ich, dass ich in produktiven Umgebungen sowas nie konfigurieren würde, wenn ich nicht 100% Ahnung von der mir vorliegenden Materie habe.
Das ganze soll mir erstmal als Einstieg in den Bereich dienen und sozusagen meinen Horizont erweitern.

Trial and Error kann man gut machen, sofern das ganze privat ist und nichts geschäftliches.

Switch und neue Firewall mit VPN stehen schon. Bisher läuft alles gut.
 
=DarkEagle= schrieb:
MAC- und Web-Authentifizierung (4. der Punkt sagt mir leider nicht viel bzw. ich kann mir nicht vorstellen. kann das einer ausführen?)
Erweiterter DOS-Schutz (Denial of Service), wie z. B. DHCP-Schutz, dynamischer ARP-Schutz, und Dynamic IP Lockdown (5. wie muss ich mir diesen Schutz vorstellen? Dynamischer ARP-Schutz??? Dynamic IP LOckdown kann ich noch verstehen, in dem temporär IP-Adressen geblockt werden)
Zum Vergrößern anklicken....

4) Die MAC- und Webauthentifizierung gehört zum Thema 802.1X. Sie sind Ersatzauthentifizierungen, wenn Endgeräte kein 802.1X beherrschen bzw. nicht dafür konfiguriert sind.
MAC-Authentifizierung nutzt die MAC-Adresse zu Authentifizierung als Benutzername und Passwort. Ist in diesem Fall recht unsicher und sollte im Firmenumfeld nach Möglichkeit immer mit Zusatzsicherungen eingesetzt werden. Bsp. bei Cisco : Mac-Authentifizierung + dACL .
Die Webauthentifizierung verlagert die Authentifizierung auf eine Weboberfläche in der dann Benutzername und Passwort angegeben werden muss. Ist eher schlecht als recht implementiert und wird meines Wissen so gut wie gar nicht genutzt (Gastportale mal abgesehen).

5)Wenn ich es richtig interpretiere, dann bezieht sich das auch wieder auf die Portsecurity. Es gibt Möglichkeiten ARP-Anfragen zu fälschen. Und der Switch hat Möglichkeiten, MACs als "fest" einem Port zuzuweisen. Dadurch ist ausgeschlossen, dass plötzlich Mac-Adressen an diesem Port auftauchen, die vorher nicht da waren.

Ich hoffe das ist so verständlich :)

EDIT:
Wenn du an den Themen CCNA, etc. interessiert bist hilft dir das evtl. weiter dein Wissen zu vertiefen:
How to study for CCNA for free - Cisco Learning Network
 
Zuletzt bearbeitet:
error schrieb:
Und der Switch hat Möglichkeiten, MACs als "fest" einem Port zuzuweisen. Dadurch ist ausgeschlossen, dass plötzlich Mac-Adressen an diesem Port auftauchen, die vorher nicht da waren.
Zum Vergrößern anklicken....

Man könnte doch auch die MAC-Adresse fälschen, oder?
 
bof schrieb:
Man könnte doch auch die MAC-Adresse fälschen, oder?
Zum Vergrößern anklicken....

Ja, das ist ohne Probleme möglich. Deswegen gibt es diesen dynamische ARP-Schutz.
Das Feature läuft bei Cisco unter dem Begriff "Sticky MACs". Leider ist mir keine gute Übersetzung eingefallen.
An sich lernt der Switch die MAC-Adressen und du kannst ein Limit an MAC-Adressen pro Port einstellen. Dadurch können nicht mehr MAC-Adressen an einen Port wie eingestellt wurde. Durch das "sticky" (beste Übersetzung wäre "klebrig") bleiben die MAC-Adressen fest dem Port zugewiesen, auch nach einem Neustart des Switches.
https://supportforums.cisco.com/discussion/10276931/what-exactly-does-mac-address-sticky-do

iDont_Know schrieb:
Ja, aber zuerst musst du diese rausfinden.
Zum Vergrößern anklicken....
Ja,das geht leider sehr einfach. Geh an einen großen Drucker in einer Firma und lass dir eine Diagnoseseite ausdrucken. Da steht immer die MAC-Adresse drauf.
 
Sticky MACs
das ist so wie ein kleiner Script
danach schreibt der Switch ihm bekannte MAC Addresse von dem Interface in die Konfig rein ( fest!)

durch:
Switch(config-if)# switchport port-security maximum value
kannst du festelegen wie viele MACs pro Port

dann kast du festelgen ob Port Down geht, oder nur die unbekannten MACs geblockt werden sollen
violation {habe den Namen vergessen | restrict | shutdown}

dann kannst du die Zeit festelegen ( aging time )

(config-if)#
switchport port-security aging static
(config-if)#
switchport port-security aging time
minutes
(config-if)#
switchport port-security aging type
[
inactivity
|
absolute
]





und dann gibt es noch tausende weitere Befehle, die man wissen sollte :)
( Da gibt es genug Lernstoff fürs ganzes Leben und drüber hinaus)
 
Und ich hab mich schon immer gefragt wie man eigentlich ein Netzwerk "kabelgebunden" abischern kann.
Bei WLAN gibts ja die Verschlüsselung mit Kennwort, aber was ist eben wenn man an einen Switch kommt und sich anstöpselt. Sticky Mac is das Zauberwort :-)

Ich vermute das können nur Managed-Switch oder gibts auch Router (Software) die das können? Mein DD-WRT hats nicht! (hab schon geguckt ^^)
 
bof schrieb:
Und ich hab mich schon immer gefragt wie man eigentlich ein Netzwerk "kabelgebunden" abischern kann.
Bei WLAN gibts ja die Verschlüsselung mit Kennwort, aber was ist eben wenn man an einen Switch kommt und sich anstöpselt. Sticky Mac is das Zauberwort :-)

Ich vermute das können nur Managed-Switch oder gibts auch Router (Software) die das können? Mein DD-WRT hats nicht! (hab schon geguckt ^^)
Zum Vergrößern anklicken....

Du wirst 802.1X immer den "sticky MACs" vorziehen.
Sticky MACs haben das Problem, dass die PCs immer am selben Standort stehen müssen. Und das ist in 90% der Fälle kontraproduktiv.
802.1X bietet dir einen höhere Bewegungsfreiheit der Geräte. :)

Und dein DD-WRT müsste 802.1X beherrschen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

R
Nachfrage MAC-Adressen Fritzbox
Antworten
10
Aufrufe
2.036
TheCadillacMan
TheCadillacMan
Chibi88
Frage zu Layer2 Switchen und switching / ip Adressen
Antworten
5
Aufrufe
836
Pitt_G.
Pitt_G.
T
Glasfaser FTTH mit SFP Modul
Antworten
8
Aufrufe
1.127
TheCadillacMan
TheCadillacMan
M
FritzBox Netzwerk Übersicht. Geräte mit unbekannter MAC verbunden
Antworten
8
Aufrufe
2.582
mdrmdr
M
F
Opfer von Cyberkriminalität
2 3
Antworten
51
Aufrufe
5.913
Limmbo
L
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz