staybb
Goto Top

Netzwerk sicher und performant einrichten - Grundlagen

Hallo,

ich habe ein paar Allgemeine Fragen hauptsächlich zu Switching und Routing in einem Netzwerk.

Welche Vorkehrungen sollte man treffen wenn man ein Netz so sicher wie möglich vor Angreifern absichern möchte? Das betrifft intern so wie extern. Ich weiß, Firewall optimierung und sichere Zugänge sind Grundausstattung.

Aber mehr im Detail auf den Routern und Switchen, was kann oder sollte man dort aktivieren?

Ich kenne Techniken wie OSPF und STP auf Switchen. Sind diese bei größeren Switchen schon automatisch vorkonfiguriert?

Diese zwei Protokolle wären für die Performance zuständigt. Was gibt es alles an Sicherheitstechniken speziell im Switching und Routing Bereich?

Ich kenne zum Beispiel noch Dynamic ARP Inspection auf Switchen.

Dynamic ARP Inspection (DAI) is a security feature that rejects invalid and malicious ARP
packets. DAI prevents a class of man-in-the-middle attacks where an unfriendly station
intercepts traffic for other stations by poisoning the ARP caches of its unsuspecting
neighbors. The malicious attacker sends ARP requests or responses mapping another
station’s IP address to its own MAC address.
When DAI is enabled, the switch drops ARP packets whose sender MAC address and
sender IP address do not match an entry in the DHCP snooping bindings database. You can
optionally configure additional ARP packet validation.
When DAI is enabled on a VLAN, DAI is enabled on the interfaces (physical ports or LAGs)
that are members of that VLAN. Individual interfaces are configured as trusted or untrusted.
The trust configuration for DAI is independent of the trust configuration for DHCP snooping.

Wie funktioniert dies zum Beispiel genau wenn ich so etwas auf den Switchen konfiguriere?

Wenn sich ein entsprechender Angreifer im Netz befindet, erhält er eh eine IP von dem DHCP. Daher würde diese Funktion eigentlich garnichts bringen, wenn der Angreifer sich im selben Netzwerk befindet?

Was gibt es noch alles für Techniken, die man sich unbedingt anschauen sollte wenn man ein sicheres Netzwerk einrichten möchte?

VIelen Dank euch schonmal!

Content-Key: 270040

Url: https://administrator.de/contentid/270040

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: killtec
killtec 23.04.2015 um 16:10:15 Uhr
Goto Top
Hi,
schau dir mal den NPS von MS an. Du kannst den Zugriff so einstellen, dass nur "Zertifizierte" Rechner (also mit einem Zertifikat) Zugreifen dürfen etc...

Gruß
Mitglied: aqui
aqui 23.04.2015 aktualisiert um 18:02:17 Uhr
Goto Top
Welche Vorkehrungen sollte man treffen wenn man ein Netz so sicher wie möglich vor Angreifern absichern möchte?
  • 802.1x Port Authentication auf allen Ports außer Trunks (Uplinks)
  • ARP Inspection
  • DHCP Snooping (Option 82)
  • DHCP Nailing nach Mac Adresse
  • BPDU Root Guard
  • STP Protection
  • Loop Protection
  • Bei dynamischen Routing OSPF etc. mit Password Protection.
  • sFlow oder NetFlow aktivieren und über einen Snort Server schicken zur internen IPS Absicherung.
Das wäre so eine Grundsicherung
Wie funktioniert dies zum Beispiel genau wenn ich so etwas auf den Switchen konfiguriere?
Ganz einfach: Konfigurationskommando eingeben entweder als Global Kommando oder Interface spezifisch, je nach Funktion und gut iss. Klicki Bunti Knechte nhemen das GUI.
Sowie das konfiguriert ist ist die Funktion auf dem Switch aktiv...ganz einfach. face-wink
Wenn sich ein entsprechender Angreifer im Netz befindet
Dann ist es eigentlich schon zu spät und deine o.a. Absicherungen haben nicht gegriffen..
erhält er eh eine IP von dem DHCP.
Nein, das ist Unsinn ! Nicht wenn du DHCP Nailing, 802.1x und Snooping machst ! Dann bekommen nur authentisierte User eine gültige IP. Genau DAS ist doch der tiefere Sinn der Massnahmen von oben !
Was gibt es noch alles für Techniken, die man sich unbedingt anschauen sollte wenn man ein sicheres Netzwerk einrichten möchte?
Sieh dir die Liste an oben, da steht (fast) alles !
Network Access Protection, NPS wäre nch ein Thema das du Clients egal mit welchem OS noch auf bestimmte Policies und Viren scannst BEVOR die per .1x ins Netz kommen.
Sind sie nicht compliant kommen sie erst in ein "Gummizellen VLAN".
Mitglied: VGem-e
VGem-e 23.04.2015 um 17:13:27 Uhr
Goto Top
Servus,

auch, obwohl nicht so tiefgreifend wie o.g. Infos:

- externe Zugänge auf jeden Fall an den Clients deaktivieren (keine DVD-Laufwerke, USB-Anschlüsse per GPO/Security-Suite u.ä.)
- nicht benutzte Patchdosen nicht patchen

Gruß
VGem-e
Mitglied: SlainteMhath
SlainteMhath 24.04.2015 um 11:10:33 Uhr
Goto Top
Moin,

- nicht benutzte Patchdosen nicht patchen
ist bei der Verwendung von NAP/NPS/NAC nicht notwendig, da eh nur korrekt (per Zertifikat) authentifizierte Geräte Netzwerkzugriff erhalten.

lg,
Slainte