Werbung
Security
7.6 Port-Security
ACHTUNG
Sicherheitsrisiko – Gefahr des unbefugten Zugriffs und/oder der Ausnutzung
SINEC OS unterstützt Protected Extensible Authentication Protocol (PEAP), EAP Transport Layer
Security (EAP-TLS) und EAP-MD5. Die MD5-Hashfunktion in EAP-MD5 ist gegenüber
Wörterbuch- und Man-in-the-Middle-Angriffen anfällig. PEAP und EAP-TLS sind sicherer und
sollten statt EAP-MD5 verwendet werden, sofern sie vom Supplicant unterstützt werden.
Hinweis
SINEC OS unterstützt nur den Einzelhostmodus für die MAB-Authentifizierung. Ein
Sicherheitsverstoß wird gemeldet, wenn mehr als eine Quell-MAC-Adresse auf einem sicheren
Bridge-Port erkannt wird, nachdem ein Endpunkt mit MAB authentifiziert wurde.
7.6.1.4
Eingeschränkte VLANs
Sie können sichere Bridge-Ports so konfigurieren, dass sie in den Quarantäne- oder Gast-VLAN-
Modus wechseln, wenn die Authentifizierung eines Supplicants mit IEEE 802.1X oder
IEEE 802.1X mit MAB fehlschlägt. Dadurch werden Dienste für den Supplicant automatisch
beschränkt.
Ein Administrator kann beispielsweise den Zugriff nur auf Drucker, das Internet
oder bestimmte Downloads für nicht authentifizierte Benutzer beschränken. Wenn
die Authentifizierung eines Supplicant nach einer festgelegten Anzahl von Versuchen
fehlschlägt, wechselt der konfigurierte Bridge-Port abhängig vom Port-Security-Modus und
von der Security-Einstellung des Supplicant automatisch entweder in den Quarantänemodus
oder in den Gast-VLAN-Modus:
• Wenn der Supplicant den Standard IEEE 802.1X unterstützt, aber nicht authentifiziert
werden konnte, wird der Bridge-Port dem Quarantäne-VLAN hinzugefügt.
• Wenn der Supplicant IEEE 802.1X nicht unterstützt und der Bridge-Port so eingestellt ist, dass
er IEEE 802.1X-Authentifizierungsprotokolle verwendet, wird der Bridge-Port dem Gast-
VLAN hinzugefügt, wenn die Authentifizierung fehlgeschlagen ist.
• Wenn der Supplicant IEEE 802.1X nicht unterstützt und der Bridge-Port so eingestellt ist, dass
er die IEEE 802.1X-Authentifizierung mit MAB verwendet, wird der Bridge-Port dem
Quarantäne-VLAN hinzugefügt, wenn die Authentifizierung fehlgeschlagen ist.
Ein Alarm wird generiert, wenn ein sicherer Bridge-Port dem Quarantäne- oder Gast-VLAN
hinzugefügt wird.
Wenn ein sicherer Bridge-Port dem Quarantäne-VLAN hinzugefügt wurde, versucht SINEC OS
in konfigurierten Intervallen, den Supplicant erneut zu authentifizieren. Wenn der Supplicant
IEEE 802.1X unterstützt, kommt die Authentifizierungsmethode gemäß IEEE 802.1X zum
Einsatz. Andernfalls wird die IEEE 802.1X-Authentifizierung mit MAB verwendet.
Supplicants, deren Authentifizierung fehlschlägt, bleiben im Quarantäne-VLAN, bis sie
erfolgreich authentifiziert wurden oder der physikalische Link unterbrochen wird. Wenn die
erneute Authentifizierung fehlschlägt, bleibt der Port Mitglied im Quarantäne-VLAN.
Es werden keine erneuten Authentifizierungsversuche für Supplicants unternommen, wenn
ein sicherer Bridge-Port ein Mitglied im Gast-VLAN ist.
222
Web User Interface (Web UI) SINEC OS v3.0
Projektierungshandbuch, 04/2024, C79000-G8900-C680-03
Werbung
