You are using an unsupported browser. Please update your browser to the latest version on or before July 31, 2020.
close
You are viewing the article in preview mode. It is not live at the moment.
clear search
Startseite > Tech Hub > Grundlagen der Sicherheit bei Netzwerk-Switches
Grundlagen der Sicherheit bei Netzwerk-Switches
print icon

Der Schutz eines Netzwerk-Switches erfordert keine komplizierten Lösungen. Mit den richtigen Sicherheitspraktiken können Organisationen das Risiko von unbefugtem Zugriff und Netzwerkangriffen erheblich reduzieren.


Netzwerk-Switch Sicherheit


Das Folgende fasst die wichtigsten Praktiken zusammen, die helfen, einen Netzwerk-Switch zu schützen und eine sichere Netzwerkumgebung zu erhalten.

 

Deaktivieren Sie ungenutzte Ports – Ports sind häufige Angriffseingänge. Deaktivieren Sie Switch-Ports, die derzeit nicht genutzt werden, um zu verhindern, dass jemand ein unbefugtes Gerät anschließt.

 

Aktivieren Sie die Portsicherheit – Beschränken Sie, welche Geräte eine Verbindung zu jedem Switch-Port herstellen dürfen. Dies schützt vor unbefugten Geräten und MAC-Flooding-Angriffen.

 

Verwenden Sie die 802.1X-Authentifizierung – Geräte oder Benutzer müssen ihre Identität nachweisen, bevor sie Zugang zum Netzwerk erhalten. Dies schränkt unbefugten Zugriff ein, selbst wenn sich die Geräte physisch in unmittelbarer Nähe befinden.


Sichern Sie den Verwaltungszugriff – Um eine unbefugte Übernahme zu verhindern, stellen Sie sicher, dass Ihre Verwaltungstools (CLI, Web-UI, SNMP) abgeschirmt sind:

  • Verwenden Sie Verschlüsselung: Verwenden Sie nur HTTPS und SSH (deaktivieren Sie HTTP und Telnet).
  • Zugriff einschränken: Sperren Sie den Zugriff auf bestimmte Verwaltungs-VLANs oder IP-Adressen.
  • Passwörter verstärken: Implementieren und rotieren Sie komplexe Passwörter. Verschlüsseln Sie Ihre Verbindung und beschränken Sie, wer sich anmelden kann, um zu verhindern, dass Angreifer Ihre Anmeldeinformationen ausspionieren.

Erstellen Sie ein dediziertes Verwaltungs-VLAN – Trennen Sie den Verwaltungsverkehr vom regulären Benutzerverkehr, um den administrativen Zugriff zu schützen. Dies verhindert, dass Angreifer leicht an die Switch-Konfiguration gelangen.

 

Aktivieren Sie DHCP Snooping – Erlauben Sie dem Switch, vertrauenswürdige DHCP-Server zu identifizieren und nicht autorisierte zu blockieren. Dies schützt Ihr Netzwerk, indem es vertrauenswürdige Ports für autorisierte Server und Uplinks kennzeichnet, während es gleichzeitig bösartige DHCP-Antworten von nicht vertrauenswürdigen Ports automatisch blockiert.

 

Verwenden Sie Dynamic ARP Inspection (DAI) – DAI fungiert als zweite Verteidigungsschicht, die "Identitätsdiebstahl" im lokalen Netzwerk verhindert.

  • Es verwendet die von DHCP Snooping erstellte Datenbank, um die MAC- und IP-Adresse jedes Geräts zu überprüfen.
  • Wenn ein Angreifer versucht, andere Computer dazu zu bringen, ihm Daten zu senden (ARP-Spoofing), bemerkt DAI, dass die Anmeldeinformationen des Geräts nicht mit der Datenbank übereinstimmen, und blockiert den Datenverkehr.

Aktivieren Sie IP Source Guard (IPSG) – Stellen Sie sicher, dass Geräte nur ihre zugewiesenen IP-Adressen verwenden. IPSG fungiert als digitale Kontrollstelle, die die "Anmeldeinformationen" jedes Datenpakets überprüft und den Datenverkehr nur dann durchlässt, wenn seine spezifische Kombination aus IP, MAC-Adresse und physischem Port mit einer vorab genehmigten Liste übereinstimmt. Dieser strenge Validierungsprozess verhindert, dass betrügerische Benutzer andere Geräte „spoofen“ oder sich als diese ausgeben.

 

Segmentieren Sie das Netzwerk mit VLANs – Teilen Sie das Netzwerk in kleinere Gruppen auf, um Sicherheit und Kontrolle zu verbessern. Die VLAN-Segmentierung funktioniert wie das Hinzufügen von Innenwänden und Schlössern zu einem offenen Büro.

  • Für maximalen Schutz fungieren Private VLANs als isolierte Kabinen, die verhindern, dass Geräte mit Nachbarn kommunizieren, während eine Firewall den gesamten Verkehr zwischen diesen Bereichen überwacht. Dies fängt Bedrohungen in einer Zone ein und verhindert, dass ein einzelnes infiziertes Gerät das gesamte Unternehmen gefährdet.

Sichern Sie das Spanning Tree Protocol (STP) – STP fungiert als Verkehrsregler, der verhindert, dass Daten in Endlosschleifen gefangen werden.

  • Um zu verhindern, dass unbefugte Geräte dieses System missbrauchen, um Ihren Datenverkehr abzufangen oder zum Absturz zu bringen, sollten Sie digitale Sperren wie Root Guard und BPDU Guard einsetzen, um sicherzustellen, dass nur autorisierte Switches die Kontrolle behalten.
  • Durch das Hinzufügen von Tools wie BPDU Filter und Loop Guard schaffen Sie ein Alarmsystem, das verhindert, dass Außenstehende oder versehentliche Fehler das "Gehirn" Ihres Netzwerks übernehmen.

Deaktivieren Sie ungenutzte Dienste und Protokolle – Schalten Sie unnötige Funktionen aus, die Sicherheitslücken schaffen könnten. Betrachten Sie Ihren Switch als ein sicheres Gebäude; jede aktive Funktion ist ein offenes Fenster.

  • Verstärken Sie die Sicherheitsvorkehrungen, indem Sie unnötige Zugriffspunkte schließen, wie z. B. Tools zur Erkennung von Hintergrunddaten (LLDP/CDP) an Benutzeranschlüssen und nicht benötigte VLAN-Trunking-Verbindungen.
  • Entfernen Sie alte Routing-Protokolle und aktualisieren Sie auf sicheres SNMPv3, um Ihre "Angriffsfläche" zu verkleinern.

Überwachen Sie Protokolle und verwenden Sie Syslog-Server – Überprüfen Sie regelmäßig die Netzwerkaktivität, um ein ungewöhnliches Verhalten zu erkennen.

  • Halten Sie Ihr Netzwerk unter ständiger Beobachtung, indem Sie automatische Warnungen aktivieren. Durch die Aktivierung von Aktivitätsprotokollen für Sicherheitsverletzungen, Anmeldeversuche und Systemfehler kann Ihr Switch Sie sofort über verdächtiges Verhalten benachrichtigen. Diese "digitale Papierspur" ermöglicht es Ihnen, Bedrohungen frühzeitig zu erkennen und zu stoppen.

Aktualisieren Sie die Firmware und sichern Sie Konfigurationen – Halten Sie die Switch-Software auf dem neuesten Stand und bewahren Sie Sicherungskopien der Konfigurationseinstellungen auf.

  • Installieren Sie regelmäßig Software-Updates, um versteckte Schwachstellen zu patchen.
  • Bewahren Sie verschlüsselte Sicherungen Ihrer Einstellungen auf, um eine schnelle Wiederherstellung nach einem Notfall zu gewährleisten. Durch die Verwendung automatisierter Systeme zur Speicherung dieser Versionen wird das Risiko eines menschlichen Fehlers ausgeschlossen.

Sichern Sie Netzwerk-Switches physisch – Platzieren Sie Switches in abgeschlossenen Räumen oder Schränken, um unbefugten physischen Zugriff zu verhindern.

  • Verwenden Sie Sicherheitsausweise oder biometrische Schlösser, um sicherzustellen, dass nur autorisiertes Personal auf die Geräte zugreifen kann.
  • Sichern Sie physische Konsolenanschlüsse, um zu verhindern, dass jemand Ihre digitalen Abwehrmaßnahmen umgeht. Physische Sicherheit ist unerlässlich, da ein Angreifer durch direkten physischen Zugriff alle anderen Schutzmaßnahmen auf Netzwerkebene umgehen kann.

Die Befolgung dieser empfohlenen Vorgehensweisen trägt dazu bei, dass Netzwerk-Switches sicher und zuverlässig bleiben und ein ausfallsicheres Netzwerk unterstützen können.


Weitere Informationen:


Leitfaden zu Netzwerk-Switches und Montage
Was Power over Ethernet (PoE) in Netzwerk-Switches bedeutet

War dieser Support-Artikel für Sie hilfreich?
0 von 0 fanden dies hilfreich

Kontaktieren Sie uns
Rufen Sie uns an  Hier finden Sie unsere Liste der globalen Supportnummern
Reddit  Werden Sie Mitglied und abonnieren Sie unsere offizielle Reddit-Community
Chatten Sie mit uns  Wir sind für Sie da, um Ihnen bei allen Fragen zu helfen
close button
Linksys
NowSupport
Scrollen Sie zum obersten Symbol