Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- it-themen:grundlagen:netzwerkdienste:vlan_sicherheit [04.12.2025 10:01] – [3. Port Security] lars
+++ it-themen:grundlagen:netzwerkdienste:vlan_sicherheit [04.12.2025 10:07] (aktuell) – [Zusammenfassung] lars
@@ Zeile 111: / Zeile 111: @@
 <code>
-interface Gi0/10
-  switchport mode access
+ interface Gi0/10
-  switchport access vlan 10
+   switchport mode access
-  switchport port-security
+   switchport access vlan 10
-  switchport port-security maximum 1
+   switchport port-security
-  switchport port-security violation shutdown
+   switchport port-security maximum 1
-  switchport port-security mac-address sticky
+   switchport port-security violation shutdown
+   switchport port-security mac-address sticky
 </code>
 Funktionen:
   * maximale MAC-Adressen pro Port
   * Sticky MAC (lernt automatisch)
   * Shutdown bei Verstoß
 ---
@@ Zeile 133: / Zeile 136: @@
 Schützt vor:
   * Rogue DHCP-Servern
   * falschen IP-Konfigurationen
   * Manipulation von Gateway/DNS
@@ Zeile 139: / Zeile 142: @@
   * **IP Source Guard**
   * **Dynamic ARP Inspection**
 ---
@@ Zeile 148: / Zeile 152: @@
 Angreifer versucht:
 <code>
-Ich bin das Gateway. Schickt mir euren Traffic.
+ Ich bin das Gateway. Schickt mir euren Traffic.
 </code>
@@ Zeile 154: / Zeile 161: @@
 <code>
-MAC ↔ IP ↔ Port
+ MAC ↔ IP ↔ Port
 </code>
@@ Zeile 162: / Zeile 172: @@
 <code>
-ip arp inspection vlan 10
+ ip arp inspection vlan 10
 </code>
@@ Zeile 173: / Zeile 186: @@
 Nur IPs, die in der DHCP-Snooping-Tabelle stehen, dürfen vom Port ausgehen.
-ASCII:
+Schema:
 <code>
-MAC A darf nur IP 192.168.10.20 senden → sonst block
+ MAC A darf nur IP 192.168.10.20 senden → sonst block
 </code>
@@ Zeile 193: / Zeile 209: @@
 <code>
-spanning-tree portfast
-spanning-tree bpduguard enable
+ spanning-tree portfast
+ spanning-tree bpduguard enable
 </code>
@@ Zeile 202: / Zeile 221: @@
 <code>
-spanning-tree guard root
+ spanning-tree guard root
 </code>
 ---
@@ Zeile 210: / Zeile 233: @@
 Schützt vor:
   * Broadcast-Stürmen
   * Loop-Katastrophen
   * schlecht programmierten Geräten (z. B. Kameras)
 Beispiel Cisco:
 <code>
-storm-control broadcast level 5
-storm-control multicast level 5
+ storm-control broadcast level 5
+ storm-control multicast level 5
 </code>
 ---
@@ Zeile 225: / Zeile 252: @@
   * nur nötige VLANs auf Trunk erlauben:
 <code>
-switchport trunk allowed vlan 10,20
+ switchport trunk allowed vlan 10,20
 </code>
   * Native VLAN sichern (siehe oben)
   * DTP deaktivieren (keine automatischen Trunks)
 ---
@@ Zeile 238: / Zeile 270: @@
 <code>
-switchport mode access
-switchport access vlan X
+ switchport mode access
-switchport nonegotiate
+ switchport access vlan X
-spanning-tree portfast
+ switchport nonegotiate
-spanning-tree bpduguard enable
+ spanning-tree portfast
-ip dhcp snooping trust  ❌ (nur Uplinks!)
+ spanning-tree bpduguard enable
-ip arp inspection limit rate 15
+ ip dhcp snooping trust  ❌ (nur Uplinks!)
+ ip arp inspection limit rate 15
 </code>
 ---
@@ Zeile 251: / Zeile 287: @@
 ===== Zusammenfassung ======
   * VLAN-Hopping → verhindern durch Native VLAN + feste Access-Ports
   * Port Security → verhindert MAC-Spoofing & unbekannte Geräte
   * DHCP Snooping → schützt IP-Konfiguration
   * DAI → schützt ARP
   * IP Source Guard → schützt IP/MAC-Zuordnung
   * BPDU Guard → schützt STP vor Angriffen
   * Storm Control → schützt vor Broadcast-Stürmen
   * Nur notwendige VLANs auf Trunks → Minimierungsprinzip
   * VLAN 1 NICHT nutzen → Sicherheitsrisiko