|
|
| Zeile 47: |
Zeile 47: |
|
| |
|
| = Wikipedia = | | = Wikipedia = |
| '''Port Security''' ist ein Sicherheitsfeature von Ethernet-Switches, das es ermöglicht, jede [[Port (Schnittstelle)|Schnittstelle]] eines [[Switch (Computertechnik)|Switches]] fest mit einer [[MAC-Adresse]] (oder einer Liste von MAC- bzw. Hardware-Adressen) zu verknüpfen, so dass nur mit der erlaubten MAC-Adresse eine Kommunikation zugelassen wird.
| |
| * Der Switch prüft dazu bei jedem Verbindungsaufbau des Ports (Link) die Absender-MAC-Adresse anhand der Source in jedem Frame (z. B. einer [[Address Resolution Protocol|ARP]]- oder [[DHCP]]-Anfrage), bevor Nutzdaten übertragen werden.
| |
| * Hat sich die MAC-Adresse geändert, etwa durch [[MAC-Spoofing]] oder [[Netzwerkkarte]]ntausch, setzt der Switch den Port-Status administrativ auf ''Down'' (Portsperre), so dass keine weitere Kommunikation stattfindet, solange der Port nicht administrativ wieder auf ''Up'' geschaltet wird.
| |
|
| |
| Um den Konfigurationsaufwand in großen Netzen zu verringern, kann im Switch bei vorgesehenen Wechseln der MAC-Adresse ein sogenannter Lernmodus aktiviert werden.
| |
| * Während dieser Zeit speichert er alle am betreffenden Port erkannten MAC-Adressen als erlaubt, fügt sie also der Liste der autorisierten MAC-Adressen hinzu.
| |
|
| |
| In modernen Netzen wird die Portsecurity teilweise nicht mehr auf dem Switch (d. h. ''sticky'', die MAC-Adresse "klebt" am Port), sondern mittels [[IEEE 802.1X|IEEE-802.1X-Authentifizierung]] auf einem [[RADIUS-Server]] gespeichert und administriert mit dem Vorteil, dass innerhalb eines [[Local Area Network|LANs]]/[[VLAN]]s oder sogar einer ganzen VLAN-Gruppe eine MAC-Adresse global berechtigt und administriert werden kann.
| |
|
| |
| == Problemfälle ==
| |
| Einige Netzwerkkartentypen vergessen, verstümmeln oder vertauschen unregelmäßig die MAC-Adresse, die sie in den [[Ethernet]]-Rahmen mitschicken und lösen so eine Portsperre aus.
| |
| * Das genaue Gegenteil – nämlich die Weiterleitung aller Pakete an alle Ports und Umgehung der Port Security – kann durch sogenanntes [[MAC-Flooding]] hervorgerufen werden.
| |
| * Hier wird der Port bzw. der Switch so lange mit unterschiedlichen MAC-Adressen geflutet, bis er automatisch in den ''failopen''-Modus geht, in dieser Zeit wie ein [[Hub (Netzwerktechnik)|Hub]] arbeitet und alle Pakete an alle Ports weiterleitet.
| |
| * Dieser Umstand kann von einem an einen Port angeschlossenen Angreifer dazu ausgenutzt werden, den Datenverkehr aller an den Switch angeschlossenen Rechnersysteme mitzuhören.
| |
| * Aktuelle Switches sind jedoch in der Lage, diesen Angriff zu erkennen und den Port innerhalb kürzester Zeit abzuschalten, zur weiteren Sicherheit wird auch eine Manuelle Port-Sperre genutzt, diese kann man in neueren Switches einstellen.
| |
|
| |
|
| == Weblinks == | | == Weblinks == |
topic kurze Beschreibung
Beschreibung
Installation
Anwendungen
Fehlerbehebung
Syntax
Optionen
Parameter
Umgebungsvariablen
Exit-Status
Konfiguration
Dateien
Sicherheit
Dokumentation
RFC
Man-Pages
Info-Pages
Siehe auch
Links
Projekt-Homepage
Weblinks
- https://de.wikipedia.org/wiki/Port_Security
Einzelnachweise
Testfragen
Wikipedia
Weblinks
Index.php?title=Kategorie:Entwurf