Zugangskontrolle

[Kay-it]

Gude Leute,

kann mir jemand eventuell Tipps geben wie ich die Netzwerk Lan Ports am Switch oder die Dosen vor unberechtigten Zugriff schützen kann?

 

Vielen Dank im voraus

[RubberDog]

Als erste Ideen würde mir einfallen - entweder, Patchkabel von unbenutzten Anschlüssen ziehen, oder MAC-Filter.

[Smau]

Auf dem Switch: Port-Security oder 802.1X (NAC)

[Han_Trio]

Zusätzlich zum MAC-Filter (wäre auch mein erster Tip gewesen) : Alle ports standardmäßig auf disabled / shutdown stellen; nur diejenigen, die wirklich in Gebrauch sind, überhaupt öffnen.

[Crash2001]

Meist wird dafür in größeren Unternehmen eine Cisco ISE (Identity Service Engine) eingesetzt. Dann kann sich anhand von Zertifikaten auf dem Gerät, oder aber anhand dessen MAC-Adresse der ISE gegenüber authentifiziert werden und der Port wird dann freigeschaltet. Geht auch noch in Kombination mit dynamischer vlan-Zuteilung auf dem entsprechenden Port anhand der MAC-Adresse / dem Zertifikat. Zusätzlich kann mna auch noch festlegen, dass nur 1 Gerät (pro Kontext - Voice und Data), oder mehrere erlaubt sein sollen (z.B. wenn ein unmanaged Switch noch dahinter hängt, was man definitiv vermeiden sollte, oder aber virtuelle Maschinen auf dem Rechner laufen)

MAC-basiert kann man das auch in kleinem Umfang direkt per Port-Security-Konfiguration statisch machen, so dass nur bestimmte MAC-Adressen erlaubt sind. Alternativ noch so, dass die erste MAC-Adresse die sich am Port anmeldet ab sofort nur noch erlaubt sein soll (mac address sticky).

Ungenutzte Ports sollte man möglichst deaktivieren. Vor allem auch an Core- und Distri-Switchen, auf denen meist kein NAC eingesetzt wird.

Bearbeitet 26. März 2018 von Crash2001