Gude Leute,

kann mir jemand eventuell Tipps geben wie ich die Netzwerk Lan Ports am Switch oder die Dosen vor unberechtigten Zugriff schützen kann?

 

Vielen Dank im voraus

Als erste Ideen würde mir einfallen - entweder, Patchkabel von unbenutzten Anschlüssen ziehen, oder MAC-Filter.

Auf dem Switch: Port-Security oder 802.1X (NAC)

Zusätzlich zum MAC-Filter (wäre auch mein erster Tip gewesen) : Alle ports standardmäßig auf disabled / shutdown stellen; nur diejenigen, die wirklich in Gebrauch sind, überhaupt öffnen.

Meist wird dafür in größeren Unternehmen eine Cisco ISE (Identity Service Engine) eingesetzt. Dann kann sich anhand von Zertifikaten auf dem Gerät, oder aber anhand dessen MAC-Adresse der ISE gegenüber authentifiziert werden und der Port wird dann freigeschaltet. Geht auch noch in Kombination mit dynamischer vlan-Zuteilung auf dem entsprechenden Port anhand der MAC-Adresse / dem Zertifikat. Zusätzlich kann mna auch noch festlegen, dass nur 1 Gerät (pro Kontext - Voice und Data), oder mehrere erlaubt sein sollen (z.B. wenn ein unmanaged Switch noch dahinter hängt, was man definitiv vermeiden sollte, oder aber virtuelle Maschinen auf dem Rechner laufen)

MAC-basiert kann man das auch in kleinem Umfang direkt per Port-Security-Konfiguration statisch machen, so dass nur bestimmte MAC-Adressen erlaubt sind. Alternativ noch so, dass die erste MAC-Adresse die sich am Port anmeldet ab sofort nur noch erlaubt sein soll (mac address sticky).

Ungenutzte Ports sollte man möglichst deaktivieren. Vor allem auch an Core- und Distri-Switchen, auf denen meist kein NAC eingesetzt wird.

Bearbeitet 26. März 20187 j von Crash2001