Opened by QWERTZ7 at 2011-03-31 08:21
User since
2011-03-19
3297 Artikel
BenutzerIn
![[Homepage]](/battie/theme/default/homepage.gif)
2011-03-19
3297 Artikel
BenutzerIn
Noch was zur Port-Security:
Wenn die enabled ist, muss es eine Policy geben, in der steht, was der Switch machen soll (bei Verletzen der Security).
Möglicherweise gibt es keine solche Policy!?
Zum Verstehen der Port-Security ein bischen Grundwissen zum Switch: Kommt ein Gerät rein mit einer neuen, unbekannten MAC-Addr, gibt es einen L2-Broadcast, der Switch wird kurzzeitig zu einem Hub und nimmt die neue MAC in seine Tabelle.
Anders jedoch mit Port-Security, hier kann es eine Policy geben, die nur bestimmte MAC-Adressen am jeweiligen Port erlaubt und somit den Layer2-Broadcast unterbindet.
Wieder eine andere Policy könnte so aussehen:
- erlaube eine neue MAC-Adresse
- erlaube die jedoch nur, wenn nach dem letzten Einstecken eines Gerätes mit einer neuen MAC mindestens 20 Minuten vergangen sind.
Das wäre eine typische Policy für Gast-Zugänge, ein MAC-Spoofing, etwa zum Ausspionieren des LANs ist nicht mehr möglich, der L2-Broadcast findet nur einmal statt und der Nächste erst in 20 Minuten.
In der Policy kann z.B. auch folgendes stehen: Bei einer Sicherheits-Verletzung wird der Port gesperrt und muss per Hand wieder freigeschaltet werden. Das ist hart, der Admin braucht Turnschuhe ;)
Also, ich denke mal, ihr habt ein LAN-Problem was mit der Konfiguration der Switche zusammenhängt. Eine Script-gestützte Fehlersuche ist ok, aber ich würde mir mal die Switche zur Brust nehmen.
--Rolf
Wenn die enabled ist, muss es eine Policy geben, in der steht, was der Switch machen soll (bei Verletzen der Security).
Quoteno policy applied
Möglicherweise gibt es keine solche Policy!?
Zum Verstehen der Port-Security ein bischen Grundwissen zum Switch: Kommt ein Gerät rein mit einer neuen, unbekannten MAC-Addr, gibt es einen L2-Broadcast, der Switch wird kurzzeitig zu einem Hub und nimmt die neue MAC in seine Tabelle.
Anders jedoch mit Port-Security, hier kann es eine Policy geben, die nur bestimmte MAC-Adressen am jeweiligen Port erlaubt und somit den Layer2-Broadcast unterbindet.
Wieder eine andere Policy könnte so aussehen:
- erlaube eine neue MAC-Adresse
- erlaube die jedoch nur, wenn nach dem letzten Einstecken eines Gerätes mit einer neuen MAC mindestens 20 Minuten vergangen sind.
Das wäre eine typische Policy für Gast-Zugänge, ein MAC-Spoofing, etwa zum Ausspionieren des LANs ist nicht mehr möglich, der L2-Broadcast findet nur einmal statt und der Nächste erst in 20 Minuten.
In der Policy kann z.B. auch folgendes stehen: Bei einer Sicherheits-Verletzung wird der Port gesperrt und muss per Hand wieder freigeschaltet werden. Das ist hart, der Admin braucht Turnschuhe ;)
Also, ich denke mal, ihr habt ein LAN-Problem was mit der Konfiguration der Switche zusammenhängt. Eine Script-gestützte Fehlersuche ist ok, aber ich würde mir mal die Switche zur Brust nehmen.
--Rolf