Benutzer-Werkzeuge

Webseiten-Werkzeuge


konfigurationsbeispiel_fuer_userport-sicherheit

UserPorts Sicherheit

Über die Funktion UserPorts können bestimmte Protokolle auf Access-Ports gefiltert werden oder diese Ports bei eingehenden Paketen dieser Art deaktiviert werden. Dieses ist speziell beim Empfang von BPDUs relevant, wobei in diesem Fall nicht das BPDU selbst ausschlaggebend ist, sondern die vorhandene Loop. Um diese zu erkennen, senden OmniSwitches auf UserPorts sog. Fake-BPDUs und schalten bei einem Empfang dieser Fake-BPDUs die betroffenen Ports down. Über diesen Mechanismus können Loops im Edge auf einfache Art und Weise verhindert werden. Eine Beispielkonfiguration sieht so aus:

qos user-port filter bgp ospf rip vrrp dhcp-server pim dvmrp dns-reply user-port shutdown bpdu 
policy port group UserPorts  1/3-5  
qos apply

Es ist wichtig dass die Portrange nicht die Uplink-Ports beeinhaltet, da dort STP/BPDU Pakete zu erwarten sind!

Das Beispiel oben filtert Pakete die einen Angriff auf zentrale dynamische Routingprotokolle darstellen können raus und schützt vor einfacher Art des DHCP- und DNS-Spoofings (da nur Client-seitige Pakete zugelassen werden). „BPDU“ muss in jedem Fall im Bereich „shutdown“ bleiben, da sonst die Wirkung verfehlt wird.

In Netzwerken wo intelligentere „SoHo-Baumarktswitches“ als Porterweiterung am Arbeitsplatz eingesetzt werden, empfiehlt sich der Einsatz von Loopback-Detection: loopback-detection

konfigurationsbeispiel_fuer_userport-sicherheit.txt · Zuletzt geändert: 2014/06/18 22:00 von benny