In modernen Netzwerken ist es von entscheidender Bedeutung, vor verschiedenen Arten von Angriffen, wie beispielsweise IP-Spoofing, zu schützen. Insbesondere an Access-Ports, wo Geräte regelmäßig ins Netzwerk eingebunden werden, ist der Schutz vor Spoofing-Angriffen eine grundlegende Sicherheitsmaßnahme. IP Source Guard und Device Tracking sind zwei Funktionen auf Cisco Switches, die effektiv dazu beitragen, solche Bedrohungen zu verhindern. In diesem Artikel erfahren Sie, wie Sie diese Funktionen korrekt konfigurieren und in Ihrem Netzwerk implementieren.
1. Was ist IP Source Guard?
IP Source Guard (IPSG) ist eine Sicherheitsfunktion, die dafür sorgt, dass nur IP-Adressen, die mit MAC-Adressen und IP-Adressen in der DHCP Snooping-Datenbank übereinstimmen, den Switch passieren. Wenn ein Gerät versucht, sich mit einer IP-Adresse anzumelden, die nicht mit der zugewiesenen MAC-Adresse übereinstimmt, wird der Zugriff auf das Netzwerk blockiert. Diese Funktion schützt vor IP-Spoofing-Angriffen, bei denen ein Angreifer die Quelle einer IP-Adresse fälscht, um unbefugten Zugriff zu erlangen.
1.1. Konfiguration von IP Source Guard
Um IP Source Guard zu aktivieren, müssen Sie zuerst DHCP Snooping auf den betroffenen VLANs konfigurieren. Danach aktivieren Sie IP Source Guard, um nur legitime IP-MAC-Paare zuzulassen.
ip dhcp snooping
ip dhcp snooping vlan 10
ip source-guard
Mit dieser Konfiguration wird sicherstellt, dass nur IP-Adressen, die mit der DHCP Snooping-Datenbank übereinstimmen, zugelassen werden.
2. Was ist Device Tracking?
Device Tracking ist eine weitere wichtige Funktion, die hilft, die Sicherheit an Access-Ports zu verbessern. Sie verfolgt alle Geräte, die über ihre MAC-Adresse und IP-Adresse miteinander verbunden sind. Im Fall eines Angriffs wird das Gerät mit einer ungültigen Kombination von MAC-Adresse und IP-Adresse sofort blockiert. Device Tracking arbeitet in Kombination mit IPSG, um eine noch stärkere Sicherheit zu gewährleisten.
2.1. Aktivierung von Device Tracking
Device Tracking kann auf Access-Ports aktiviert werden, um die genaue Zuordnung von IP-Adressen und MAC-Adressen sicherzustellen. Die folgenden Befehle aktivieren Device Tracking auf einem Switch:
interface range gigabitEthernet 0/1 - 24
ip device tracking
Durch diesen Befehl wird Device Tracking für die angegebenen Ports aktiviert, sodass jeder Versuch, eine falsche IP-MAC-Kombination zu verwenden, erkannt und blockiert wird.
3. IP Source Guard und Device Tracking kombinieren
Die Kombination von IP Source Guard und Device Tracking bietet eine doppelte Absicherung gegen IP-Spoofing-Angriffe. Während IPSG die Übereinstimmung zwischen IP-Adressen und MAC-Adressen sicherstellt, sorgt Device Tracking dafür, dass jede MAC-Adresse und IP-Adresse eindeutig einem bestimmten Gerät zugeordnet wird. Dies ermöglicht eine noch zuverlässigere Kontrolle des Netzwerkzugriffs und schützt das Netzwerk vor vielen bekannten Angriffen.
3.1. Beispielkonfiguration
In einem typischen Szenario würden Sie beide Funktionen auf den Access-Ports aktivieren. Die folgende Konfiguration zeigt, wie Sie sowohl IP Source Guard als auch Device Tracking auf den Ports eines Cisco Switches aktivieren:
ip dhcp snooping
ip dhcp snooping vlan 10
ip source-guard
interface range gigabitEthernet 0/1 - 24
ip device tracking
Mit dieser Konfiguration wird gewährleistet, dass auf den Access-Ports nur berechtigte Geräte basierend auf der MAC-IP-Zuordnung kommunizieren können. Jegliche Abweichung wird sofort erkannt und blockiert.
4. Troubleshooting und Best Practices
Obwohl IP Source Guard und Device Tracking hervorragende Sicherheitsmechanismen bieten, können sie in bestimmten Szenarien auch zu Problemen führen. Wenn Geräte aufgrund falscher MAC-IP-Kombinationen fälschlicherweise blockiert werden, können Sie dies durch die folgenden Schritte beheben:
- Überprüfen Sie die DHCP Snooping-Datenbank auf Inkonsistenzen.
- Vergewissern Sie sich, dass die IP-Adressen korrekt zugewiesen und die MAC-Adressen aktuell sind.
- Nutzen Sie den Befehl „show ip source binding“, um die Zuordnungen der IP-Adressen zu den MAC-Adressen zu überprüfen.
Mit diesen Best Practices können Sie sicherstellen, dass IP Source Guard und Device Tracking effizient arbeiten und Ihr Netzwerk zuverlässig vor Spoofing-Angriffen schützen.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
