🖥️ Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: • ftp_sftp • routing_protokolle
it-themen:grundlagen:netzwerkdienste:vlan_sicherheit

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Ăśberarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
it-themen:grundlagen:netzwerkdienste:vlan_sicherheit [04.12.2025 10:00] – [Best Practices] larsit-themen:grundlagen:netzwerkdienste:vlan_sicherheit [04.12.2025 10:07] (aktuell) – [Zusammenfassung] lars
Zeile 87: Zeile 87:
   * nur definierte VLANs taggen   * nur definierte VLANs taggen
  
-ASCII: 
  
 <code> <code>
Zeile 105: Zeile 104:
 Port Security schĂĽtzt Access-Ports vor: Port Security schĂĽtzt Access-Ports vor:
  
-  * MAC-Spoofing  Â +  * MAC-Spoofing 
-  * MAC-Flooding  +  * MAC-Flooding
   * unerlaubten Geräten   * unerlaubten Geräten
  
Zeile 112: Zeile 111:
  
 <code> <code>
-interface Gi0/10 + 
-  switchport mode access + interface Gi0/10 
-  switchport access vlan 10 +   switchport mode access 
-  switchport port-security +   switchport access vlan 10 
-  switchport port-security maximum 1 +   switchport port-security 
-  switchport port-security violation shutdown +   switchport port-security maximum 1 
-  switchport port-security mac-address sticky+   switchport port-security violation shutdown 
 +   switchport port-security mac-address sticky 
 + 
 </code> </code>
  
 Funktionen: Funktionen:
-  * maximale MAC-Adressen pro Port  Â +  * maximale MAC-Adressen pro Port 
-  * Sticky MAC (lernt automatisch)  Â +  * Sticky MAC (lernt automatisch) 
-  * Shutdown bei VerstoĂź  +  * Shutdown bei VerstoĂź
  
 --- ---
Zeile 134: Zeile 136:
 SchĂĽtzt vor: SchĂĽtzt vor:
   * Rogue DHCP-Servern   * Rogue DHCP-Servern
-  * falschen IP-Konfigurationen  +  * falschen IP-Konfigurationen
   * Manipulation von Gateway/DNS   * Manipulation von Gateway/DNS
  
Zeile 140: Zeile 142:
   * **IP Source Guard**   * **IP Source Guard**
   * **Dynamic ARP Inspection**   * **Dynamic ARP Inspection**
 +
  
 --- ---
Zeile 149: Zeile 152:
 Angreifer versucht: Angreifer versucht:
 <code> <code>
-Ich bin das Gateway. Schickt mir euren Traffic.+ 
 + Ich bin das Gateway. Schickt mir euren Traffic. 
 + 
 </code> </code>
  
Zeile 155: Zeile 161:
  
 <code> <code>
-MAC ↔ IP ↔ Port+ 
 + MAC ↔ IP ↔ Port 
 + 
 </code> </code>
  
Zeile 163: Zeile 172:
  
 <code> <code>
-ip arp inspection vlan 10+ 
 + ip arp inspection vlan 10 
 + 
 </code> </code>
  
Zeile 174: Zeile 186:
 Nur IPs, die in der DHCP-Snooping-Tabelle stehen, dĂĽrfen vom Port ausgehen. Nur IPs, die in der DHCP-Snooping-Tabelle stehen, dĂĽrfen vom Port ausgehen.
  
-ASCII:+Schema:
  
 <code> <code>
-MAC A darf nur IP 192.168.10.20 senden → sonst block+ 
 + MAC A darf nur IP 192.168.10.20 senden → sonst block 
 + 
 </code> </code>
  
Zeile 194: Zeile 209:
  
 <code> <code>
-spanning-tree portfast + 
-spanning-tree bpduguard enable+ spanning-tree portfast 
 + spanning-tree bpduguard enable 
 + 
 </code> </code>
  
Zeile 203: Zeile 221:
  
 <code> <code>
-spanning-tree guard root+ 
 + spanning-tree guard root 
 + 
 </code> </code>
 +
  
 --- ---
Zeile 211: Zeile 233:
  
 SchĂĽtzt vor: SchĂĽtzt vor:
-  * Broadcast-StĂĽrmen  Â +  * Broadcast-StĂĽrmen 
-  * Loop-Katastrophen  +  * Loop-Katastrophen
   * schlecht programmierten Geräten (z. B. Kameras)   * schlecht programmierten Geräten (z. B. Kameras)
  
 Beispiel Cisco: Beispiel Cisco:
 <code> <code>
-storm-control broadcast level 5 + 
-storm-control multicast level 5+ storm-control broadcast level 5 
 + storm-control multicast level 5 
 + 
 </code> </code>
 +
  
 --- ---
Zeile 226: Zeile 252:
  
   * nur nötige VLANs auf Trunk erlauben:   * nur nötige VLANs auf Trunk erlauben:
 +
 <code> <code>
-switchport trunk allowed vlan 10,20+ 
 + switchport trunk allowed vlan 10,20 
 + 
 </code> </code>
   * Native VLAN sichern (siehe oben)   * Native VLAN sichern (siehe oben)
   * DTP deaktivieren (keine automatischen Trunks)   * DTP deaktivieren (keine automatischen Trunks)
 +
  
 --- ---
Zeile 239: Zeile 270:
  
 <code> <code>
-switchport mode access + 
-switchport access vlan X + switchport mode access 
-switchport nonegotiate + switchport access vlan X 
-spanning-tree portfast + switchport nonegotiate 
-spanning-tree bpduguard enable + spanning-tree portfast 
-ip dhcp snooping trust  ❌ (nur Uplinks!) + spanning-tree bpduguard enable 
-ip arp inspection limit rate 15+ ip dhcp snooping trust  ❌ (nur Uplinks!) 
 + ip arp inspection limit rate 15 
 + 
 </code> </code>
 +
  
 --- ---
Zeile 252: Zeile 287:
 ===== Zusammenfassung ====== ===== Zusammenfassung ======
  
-  * VLAN-Hopping → verhindern durch Native VLAN + feste Access-Ports  Â +  * VLAN-Hopping → verhindern durch Native VLAN + feste Access-Ports 
-  * Port Security → verhindert MAC-Spoofing & unbekannte Geräte  Â +  * Port Security → verhindert MAC-Spoofing & unbekannte Geräte 
-  * DHCP Snooping → schĂĽtzt IP-Konfiguration  Â +  * DHCP Snooping → schĂĽtzt IP-Konfiguration 
-  * DAI → schĂĽtzt ARP  Â +  * DAI → schĂĽtzt ARP 
-  * IP Source Guard → schĂĽtzt IP/MAC-Zuordnung  Â +  * IP Source Guard → schĂĽtzt IP/MAC-Zuordnung 
-  * BPDU Guard → schĂĽtzt STP vor Angriffen  Â +  * BPDU Guard → schĂĽtzt STP vor Angriffen 
-  * Storm Control → schĂĽtzt vor Broadcast-StĂĽrmen  Â +  * Storm Control → schĂĽtzt vor Broadcast-StĂĽrmen 
-  * Nur notwendige VLANs auf Trunks → Minimierungsprinzip  Â +  * Nur notwendige VLANs auf Trunks → Minimierungsprinzip 
-  * VLAN 1 NICHT nutzen → Sicherheitsrisiko  +  * VLAN 1 NICHT nutzen → Sicherheitsrisiko
it-themen/grundlagen/netzwerkdienste/vlan_sicherheit.1764838855.txt.gz · Zuletzt geändert: von lars