Netzwerksicherheit

[dornbirn2000 10]

Hallo zusammen,

 

aus aktuellem Anlass hätte folgende Frage: gibt es eine Möglichkeit mittels eines Befehls einem Cisco Switch 2950/2960 zu sagen, dass er das betroffene Interface auf shutdown setzen soll wenn der Port mit einem anderen (Cisco-Switch)Port zusammengeschlossen wird?

Aktueller Anlass deshalb weil bei uns in der Firma so ein Schlaumeier ein Netzwerkkabel in zwei Ethernet-Bodendosen eingesteckt hat und ich fast 24 Stunden dran war den Fehler zu finden. (über 50 Switches) Die Ethernet-Bodendosen waren bei auf einen Switch gepatcht. Auf dem einen Port war das öffentliche Internet welches mit einem Layer 2 VLAN im lokalen LAN von den Access-Switches zum DSL Anschluß geht, und auf dem anderen Port war das Standard VLAN definiert wo alle Server, PC´s, Notebooks und Drucker drinnen hängen.

 

Gibt es irgendeine Konfigurationsmöglichkeit das sowas nicht mehr vorkommt bzw. das Interface auf shut gesetzt wird?

 

Danke & Gruß

[carlito 10]

Ich bin kein Cisco Spezi, aber sollte sowas nicht durch STP automatisch verhindert werden?

[B@dNeo 10]

sollte über port-security funktionieren, oder du setz den port auf "switchport mode host", dann ist keine kommunikation mit anderen switches über den port möglich.

[mturba 10]

Mit BPDUGuard kannst du erreichen, dass ein Port in den errdisable-Status wechselt, sobald er BPDUs von einem anderen Switch an einem Port empfängt, an dem PortFast aktiviert ist. Das hilft leider nicht gegen extrem günstige Switche (oder Hubs), die kein Spanning Tree verwenden.

[Wordo 11]

Gibt es irgendeine Konfigurationsmöglichkeit das sowas nicht mehr vorkommt bzw. das Interface auf shut gesetzt wird?

 

Kein Portfast verwenden .. und nix an der Grundkonfiguration der Switche aendern ;)

[hegl 10]

Kein Portfast verwenden .. und nix an der Grundkonfiguration der Switche aendern ;)

 

Ohne Portfast gibts bei uns massive Probleme bei der Domänanmeldung :mad:

[sven.schneider 10]

Wir hatten dieses Problem in einem Projekt so geregelt,

 

 

1. Nur 1 MAC am Port erlaubt

2. BPDUGuard aktive.

 

Portfast war aktive auch wegen der Domain anmeldung.. weil die Ports zulange auf Learn standen und der Client dann in ein Time Out lief.

 

Gruss,

Sven

[Nightwalker_z 10]

Portfast ist auch beinahe zwingend wegen PXE Boot (Netzwerk Boot) notwendig.

Wenn der Port erst nach 30 Sekunden wegen STP auf Forwarding geht, ist der spannende Teil schon vorbei (DHCP vom PXE/WDS Server)

 

Ich würde auch auf den BPDUGuard setzen

[Otaku19 33]

mit "spanning-tree portfast bpduguard " aktiviert mans generell und das zieht dann auf allen Ports wo man portfast aktiviert ?

[mturba 10]

mit "spanning-tree portfast bpduguard " aktiviert mans generell und das zieht dann auf allen Ports wo man portfast aktiviert ?

Ja, genau...

[Franz2 10]

Hallo,

 

Der port security und BPDU Guard ist eine gute idee.

Du könntest zusätzlich überlegen ob du alle freien Ports sperrst und sie nur auf anforderung aktivierst.

 

Dann sollte sowas auch nicht mehr passieren.

 

Falls es wirklich 24 Stunden lang Probleme gab ist der erhöhte Aufwand vielleicht zu vertreten.

 

Falls das Trozdem nichts Hilft kannst du noch 802.1x verwenden.

[dornbirn2000 10]

Hallo zusammen,

 

also das mit BPDUGuard und Port-Security hört sich nach einer tollen Kombination an. Damit kann ja auch verhindert werden das ein Hub oder billig Switch illegalerweise betrieben wird. Habe ich das richtig verstanden das ein Hub oder billig Switch keine BPDU Pakete weiter transportieren kann?

 

Der nächste Schritt in Richtung Sicherheit wäre dann wohl noch einen Cisco NAC Server einzusetzen. Hat sowas schon jemand im Einsatz?

[mturba 10]

Hi,

 

also das mit BPDUGuard und Port-Security hört sich nach einer tollen Kombination an. Damit kann ja auch verhindert werden das ein Hub oder billig Switch illegalerweise betrieben wird. Habe ich das richtig verstanden das ein Hub oder billig Switch keine BPDU Pakete weiter transportieren kann?

 

...mit BPDUGuard kannst du verhindern, dass ein Switch betrieben wird, der Spanning Tree verwendet. Damit kannst du nicht verhindern, dass Hubs oder billige Switche betrieben werden, die kein Spanning Tree können. Ein Hub oder ein Billig-Switch können BPDUs weiterleiten (tun sie auch), sie senden aber selbst keine aus.

 

...mit Port-Security kannst du in gewissem Maß verhindern, dass irgendwo Switche betrieben werden, da du nur eine bestimmte Anzahl MAC-Adressen an einem Port zulässt.

 

Der nächste Schritt in Richtung Sicherheit wäre dann wohl noch einen Cisco NAC Server einzusetzen. Hat sowas schon jemand im Einsatz?

 

Ja, wir haben einen Cisco NAC-Server im Testbetrieb, ist aber zur Zeit noch nicht produktiv...

[dornbirn2000 10]

Hallo,

 

ist es möglich bei einem NAC auch nur ein bestimmtes VLAN zu überprüfen? Wir hätten vor in manchen Bereichen der Firma Cisco Access-Points aufzubauen, mit denen die Kunden dann online gehen können. Damit aber nicht jeder, der an der Firma vorbeifährt und einen Laptop oder PDA dabei hat, über die Gäste-Leitung online gehen kann, würden wir das ganze gerne mit einem Ticketsystem in Verbindung bringen (wie in Hotels oder öffentlichen Pay-Hotspots). Den BBSM von Cisco gibt es ja leider nicht mehr, der diesen Service unterstützt hätte.

 

Danke & Gruß

[mturba 10]

Ja, das geht...

 

zur Zeit setzen wir noch das Proxy-Authentication-Feature der ASA ein, um den Internetzugang aus den Gästenetzen zu regulieren. Unter anderem zu diesem Zweck (Gästezugang) soll aber dann die Cisco NAC-Lösung eingesetzt werden.