Netzwerk/L2/Port/Security: Unterschied zwischen den Versionen

Aktuelle Version vom 2. Februar 2024, 02:50 Uhr

Port Security - Sicherheitsfunktion von Ethernet-Switches

Beschreibung

Ermöglicht, jede Schnittstelle eines Switches fest mit einer MAC-Adresse (oder einer Liste von MAC- bzw. Hardware-Adressen) zu verknüpfen, so dass nur mit der erlaubten MAC-Adresse eine Kommunikation zugelassen wird

Der Switch prüft dazu bei jedem Verbindungsaufbau des Ports (Link) die Absender-MAC-Adresse anhand der Source in jedem Frame (z. B. einer ARP- oder DHCP-Anfrage), bevor Nutzdaten übertragen werden
Hat sich die MAC-Adresse geändert, etwa durch MAC-Spoofing oder Netzwerkkartentausch, setzt der Switch den Port-Status administrativ auf Down (Portsperre), so dass keine weitere Kommunikation stattfindet, solange der Port nicht administrativ wieder auf Up geschaltet wird

Um den Konfigurationsaufwand in großen Netzen zu verringern, kann im Switch bei vorgesehenen Wechseln der MAC-Adresse ein sogenannter Lernmodus aktiviert werden

Während dieser Zeit speichert er alle am betreffenden Port erkannten MAC-Adressen als erlaubt, fügt sie also der Liste der autorisierten MAC-Adressen hinzu

IEEE 802.1X

In modernen Netzen wird Portsecurity nicht mehr auf dem Switch (d. h. sticky, die MAC-Adresse "klebt" am Port), sondern mittels IEEE-802.1X-Authentifizierung auf einem RADIUS-Server gespeichert und administriert

Vorteil, dass innerhalb eines LANs/VLANs oder sogar einer ganzen VLAN-Gruppe eine MAC-Adresse global berechtigt und administriert werden kann

Problemfälle

Einige Netzwerkkartentypen vergessen, verstümmeln oder vertauschen unregelmäßig die MAC-Adresse, die sie in den Ethernet-Rahmen mitschicken und lösen so eine Portsperre aus
Das genaue Gegenteil – nämlich die Weiterleitung aller Pakete an alle Ports und Umgehung der Port Security – kann durch sogenanntes MAC-Flooding hervorgerufen werden
Hier wird der Port bzw. der Switch so lange mit unterschiedlichen MAC-Adressen geflutet, bis er automatisch in den failopen-Modus geht, in dieser Zeit wie ein Hub arbeitet und alle Pakete an alle Ports weiterleitet
Dieser Umstand kann von einem an einen Port angeschlossenen Angreifer dazu ausgenutzt werden, den Datenverkehr aller an den Switch angeschlossenen Rechnersysteme mitzuhören
Aktuelle Switches sind jedoch in der Lage, diesen Angriff zu erkennen und den Port innerhalb kürzester Zeit abzuschalten, zur weiteren Sicherheit wird auch eine Manuelle Port-Sperre genutzt, diese kann man in neueren Switches einstellen

Anwendungen

T2600G/Security/Port Security

Siehe auch

Links

Weblinks

@@ Zeile 1: / Zeile 1: @@
-'''Port Security''' ist eine Sicherheitsfunktion von Ethernet-Switches
+'''Port Security''' - Sicherheitsfunktion von Ethernet-Switches
 == Beschreibung ==
-; ''Port Security'' ist ein Sicherheitsfeature von Ethernet-Switches
+Ermöglicht, jede [[Port (Schnittstelle)|Schnittstelle]] eines [[Switch (Computertechnik)|Switches]] fest mit einer [[MAC-Adresse]] (oder einer Liste von MAC- bzw.&nbsp;Hardware-Adressen) zu verknüpfen, so dass nur mit der erlaubten MAC-Adresse eine Kommunikation zugelassen wird
-* Ermöglicht, jede [[Port (Schnittstelle)|Schnittstelle]] eines [[Switch (Computertechnik)|Switches]] fest mit einer [[MAC-Adresse]] (oder einer Liste von MAC- bzw.&nbsp;Hardware-Adressen) zu verknüpfen, so dass nur mit der erlaubten MAC-Adresse eine Kommunikation zugelassen wird.
+* Der Switch prüft dazu bei jedem Verbindungsaufbau des Ports (Link) die Absender-MAC-Adresse anhand der Source in jedem Frame (z.&nbsp;B.&nbsp;einer [[Address Resolution Protocol|ARP]]- oder [[DHCP]]-Anfrage), bevor Nutzdaten übertragen werden
-* Der Switch prüft dazu bei jedem Verbindungsaufbau des Ports (Link) die Absender-MAC-Adresse anhand der Source in jedem Frame (z.&nbsp;B.&nbsp;einer [[Address Resolution Protocol|ARP]]- oder [[DHCP]]-Anfrage), bevor Nutzdaten übertragen werden.
+* Hat sich die MAC-Adresse geändert, etwa durch [[MAC-Spoofing]] oder [[Netzwerkkarte]]ntausch, setzt der Switch den Port-Status administrativ auf ''Down'' (Portsperre), so dass keine weitere Kommunikation stattfindet, solange der Port nicht administrativ wieder auf ''Up'' geschaltet wird
-* Hat sich die MAC-Adresse geändert, etwa durch [[MAC-Spoofing]] oder [[Netzwerkkarte]]ntausch, setzt der Switch den Port-Status administrativ auf ''Down'' (Portsperre), so dass keine weitere Kommunikation stattfindet, solange der Port nicht administrativ wieder auf ''Up'' geschaltet wird.
-Um den Konfigurationsaufwand in großen Netzen zu verringern, kann im Switch bei vorgesehenen Wechseln der MAC-Adresse ein sogenannter Lernmodus aktiviert werden. Während dieser Zeit speichert er alle am betreffenden Port erkannten MAC-Adressen als erlaubt, fügt sie also der Liste der autorisierten MAC-Adressen hinzu.
+Um den Konfigurationsaufwand in großen Netzen zu verringern, kann im Switch bei vorgesehenen Wechseln der MAC-Adresse ein sogenannter Lernmodus aktiviert werden
+* Während dieser Zeit speichert er alle am betreffenden Port erkannten MAC-Adressen als erlaubt, fügt sie also der Liste der autorisierten MAC-Adressen hinzu
-In modernen Netzen wird die Portsecurity teilweise nicht mehr auf dem Switch (d.&nbsp;h. ''sticky'', die MAC-Adresse "klebt" am Port), sondern mittels [[IEEE 802.1X|IEEE-802.1X-Authentifizierung]] auf einem [[RADIUS-Server]] gespeichert und administriert mit dem Vorteil, dass innerhalb eines [[Local Area Network|LANs]]/[[VLAN]]s oder sogar einer ganzen VLAN-Gruppe eine MAC-Adresse global berechtigt und administriert werden kann.
+; IEEE 802.1X
+In modernen Netzen wird ''Portsecurity'' nicht mehr auf dem Switch (d.&nbsp;h. ''sticky'', die MAC-Adresse "klebt" am Port), sondern mittels [[IEEE 802.1X|IEEE-802.1X-Authentifizierung]] auf einem [[RADIUS-Server]] gespeichert und administriert
+* Vorteil, dass innerhalb eines [[Local Area Network|LANs]]/[[VLAN]]s oder sogar einer ganzen VLAN-Gruppe eine MAC-Adresse global berechtigt und administriert werden kann
 == Problemfälle ==
-* Einige Netzwerkkartentypen vergessen, verstümmeln oder vertauschen unregelmäßig die MAC-Adresse, die sie in den [[Ethernet]]-Rahmen mitschicken und lösen so eine Portsperre aus.
+* Einige Netzwerkkartentypen vergessen, verstümmeln oder vertauschen unregelmäßig die MAC-Adresse, die sie in den [[Ethernet]]-Rahmen mitschicken und lösen so eine Portsperre aus
-* Das genaue Gegenteil – nämlich die Weiterleitung aller Pakete an alle Ports und Umgehung der Port Security – kann durch sogenanntes [[MAC-Flooding]] hervorgerufen werden.
+* Das genaue Gegenteil – nämlich die Weiterleitung aller Pakete an alle Ports und Umgehung der Port Security – kann durch sogenanntes [[MAC-Flooding]] hervorgerufen werden
-* Hier wird der Port bzw.&nbsp;der Switch so lange mit unterschiedlichen MAC-Adressen geflutet, bis er automatisch in den ''failopen''-Modus geht, in dieser Zeit wie ein [[Hub (Netzwerktechnik)|Hub]] arbeitet und alle Pakete an alle Ports weiterleitet.
+* Hier wird der Port bzw.&nbsp;der Switch so lange mit unterschiedlichen MAC-Adressen geflutet, bis er automatisch in den ''failopen''-Modus geht, in dieser Zeit wie ein [[Hub (Netzwerktechnik)|Hub]] arbeitet und alle Pakete an alle Ports weiterleitet
-* Dieser Umstand kann von einem an einen Port angeschlossenen Angreifer dazu ausgenutzt werden, den Datenverkehr aller an den Switch angeschlossenen Rechnersysteme mitzuhören.
+* Dieser Umstand kann von einem an einen Port angeschlossenen Angreifer dazu ausgenutzt werden, den Datenverkehr aller an den Switch angeschlossenen Rechnersysteme mitzuhören
-* Aktuelle Switches sind jedoch in der Lage, diesen Angriff zu erkennen und den Port innerhalb kürzester Zeit abzuschalten, zur weiteren Sicherheit wird auch eine Manuelle Port-Sperre genutzt, diese kann man in neueren Switches einstellen.
+* Aktuelle Switches sind jedoch in der Lage, diesen Angriff zu erkennen und den Port innerhalb kürzester Zeit abzuschalten, zur weiteren Sicherheit wird auch eine Manuelle Port-Sperre genutzt, diese kann man in neueren Switches einstellen
 == Anwendungen ==
-[[T2600G/Security/PORT SECURITY]]
+[[T2600G/Security/Port Security]]
 == Siehe auch ==