Werbung
7.6.1
Wissenswertes zu Port-Security
Die Port-Security bietet die Möglichkeit, den Netzwerkzugang über einzelne Bridge-Ports mit
einer der folgenden Methoden zu authentifizieren:
• Authentifizierung über statische MAC-Adressen
Diese Methode authentifiziert Frames anhand ihrer Quell-MAC-Adresse. Wenn die Quell-
MAC-Adresse in der statischen MAC-Adressentabelle aufgelistet ist, wird der Endpunkt
authentifiziert.
Ein sicherer Bridge-Port kann so konfiguriert werden, dass er Frames von MAC-Adressen in
der statischen MAC-Adressentabelle akzeptiert, oder so konfiguriert werden, dass er N MAC-
Adressen aus den Frames lernt, die er empfängt. Gelernte MAC-Adressen werden der
statischen MAC-Adressentabelle automatisch hinzugefügt und können nur manuell explizit
entfernt werden.
Für weitere Informationen siehe "Authentifizierung über statische MAC-Adressen
(Seite 219)".
• IEEE 802.1X-Authentifizierung
Diese Methode authentifiziert einen Endpunkt oder Benutzer mit einem externen RADIUS-
Authentifizierungsserver. Zugriff wird gewährt, wenn der Endpunkt oder Benutzer die
richtigen Anmeldedaten übergibt.
Für weitere Informationen siehe "IEEE 802.1X-Authentifizierung (Seite 220)".
• IEEE 802.1X-Authentifizierung mit MAB
Diese Methode verwendet zuerst die IEEE 802.1X-Authentifizierung. Wenn der Endpunkt
IEEE 802.1X nicht unterstützt, verwendet SINEC OS MAC Authentication Bypass (MAB), um
das Gerät anhand seiner MAC-Adresse zu authentifizieren.
Für weitere Informationen siehe "IEEE 802.1X-Authentifizierung mit MAB (Seite 221)".
ACHTUNG
Sicherheitsrisiko – Gefahr des unbefugten Zugriffs und/oder der Ausnutzung
Wenden Sie die Port-Security nicht auf Switch-Verbindungen im Kern des Netzwerks an. Port-
Security wird am Rand des Netzwerks eingesetzt, um externen Zugriff auf bestimmte Geräte
einzuschränken.
7.6.1.1
Authentifizierung über statische MAC-Adressen
Die Methode der Authentifizierung über statische MAC-Adressen validiert die Quell-MAC-
Adresse jedes empfangenen Frames anhand des Inhalts der statischen MAC-Adressentabelle.
SINEC OS unterstützt außerdem eine hochflexible Port-Security-Konfiguration, die es
Netzwerkadministratoren gestattet, die Funktion in verschiedenen Netzwerkszenarien zu
verwenden.
Eine statische MAC-Adresse kann der statischen MAC-Adressentabelle hinzugefügt werden,
ohne explizit einen Bridge-Port festzulegen. In diesem Fall wird die konfigurierte MAC-
Adresse automatisch auf dem Bridge-Port autorisiert, auf dem sie erkannt wird. Hierdurch
können Endpunkte mit jedem sicheren Bridge-Port des Switch verbunden werden, ohne dass
eine Neukonfiguration erforderlich ist.
SINEC OS kann zudem so programmiert werden, dass es eine vorkonfigurierte Anzahl von
Quell-MAC-Adressen lernt (und somit autorisiert), die erstmals an einem sicheren Bridge-Port
Web User Interface (Web UI) SINEC OS v3.0
Projektierungshandbuch, 04/2024, C79000-G8900-C680-03
Security
7.6 Port-Security
219
Werbung
