Management Plane Hardening: AAA/TACACS+, RBAC, Command Authorization

Im Bereich der Netzwerksicherheit ist das Management Plane Hardening ein essenzieller Bestandteil, um die Netzwerkgeräte vor unbefugtem Zugriff zu schützen. Hierbei kommen Technologien wie AAA/TACACS+, RBAC und Command Authorization zum Einsatz, um die Zugriffskontrolle und das Management zu sichern. In diesem Artikel werden wir die besten Praktiken für das Management Plane Hardening auf Cisco-Geräten erläutern…

HSRP/VRRP auf Catalyst SVIs: Tuning, Tracking, Failover-Qualität

HSRP (Hot Standby Router Protocol) und VRRP (Virtual Router Redundancy Protocol) sind wichtige Technologien, um Hochverfügbarkeit für IP-Netzwerke bereitzustellen. Auf Catalyst-Switches, die mit SVIs (Switched Virtual Interfaces) arbeiten, ermöglichen diese Protokolle, dass ein virtueller Gateway-Router zur Verfügung steht, selbst wenn der primäre Router ausfällt. In diesem Artikel werden wichtige Aspekte des Tunings, Trackings und der…

SNMPv3 sicher designen: Views, Auth/Priv, Rotation und Monitoring-Impact

SNMPv3 (Simple Network Management Protocol Version 3) ist eine sichere Version des weit verbreiteten Protokolls zur Netzwerkverwaltung. Im Vergleich zu früheren Versionen bietet SNMPv3 verbesserte Sicherheitsfunktionen, die Authentifizierung und Verschlüsselung beinhalten. Die Konfiguration von SNMPv3 erfordert jedoch eine sorgfältige Planung, insbesondere im Hinblick auf Views, Authentifizierung, Verschlüsselung und Rotation. In diesem Artikel zeigen wir, wie…

Fast Convergence im Campus: BFD/UDLD/STP-Fast-Start sinnvoll kombinieren

Die schnelle Konvergenz im Campus-Netzwerk ist entscheidend, um eine hohe Verfügbarkeit und minimalen Datenverkehrsausfall zu gewährleisten. Verschiedene Protokolle und Mechanismen können kombiniert werden, um schnelle Reaktionen auf Netzwerkänderungen zu erzielen. In diesem Artikel werden wir uns ansehen, wie BFD (Bidirectional Forwarding Detection), UDLD (Unidirectional Link Detection) und STP Fast-Start effektiv kombiniert werden können, um eine…

Secure SSH auf Catalyst: KEX/Ciphers/MACs, Key Management, Banner

Die Verwendung von SSH (Secure Shell) für den Fernzugriff auf Catalyst-Switches bietet eine sichere Kommunikationsmethode, die sowohl die Vertraulichkeit als auch die Integrität der Daten schützt. Um die Sicherheit weiter zu erhöhen, ist es entscheidend, SSH mit den richtigen Schlüsseln, Ciphers und anderen Sicherheitsmechanismen zu konfigurieren. In diesem Artikel gehen wir auf wichtige Aspekte wie…

ISSU im Campus: Voraussetzungen, Reality Check und Fallback Plan

In modernen Campusnetzwerken ist ein ISSU (In-Service Software Upgrade) eine Schlüsseltechnik, um Software-Updates durchzuführen, ohne den Betrieb zu unterbrechen. Diese Methode ermöglicht es Netzwerkadministratoren, die neuesten Funktionen und Sicherheitsupdates zu implementieren, ohne dass es zu einer Ausfallzeit kommt. Doch bevor man ISSU in einem Campusnetzwerk implementiert, gibt es eine Reihe von Voraussetzungen und Best Practices,…

TrustSec/SGT im Campus: Segmentierung ohne ACL-Spaghetti

In modernen Campusnetzwerken ist eine effektive Segmentierung der Schlüssel zur Sicherstellung der Sicherheit und Leistung. Traditionelle Methoden wie Access Control Lists (ACLs) bieten zwar grundlegende Sicherheit, aber bei komplexen Netzwerkinfrastrukturen können sie schnell unübersichtlich werden. Cisco TrustSec, zusammen mit Security Group Tags (SGT), stellt eine elegantere Lösung dar, indem es eine rollenbasierte Zugriffskontrolle und Segmentierung…

Power Redundancy & PoE Budget: HA auch bei Strom sauber planen

Im modernen Campusnetzwerk ist Power over Ethernet (PoE) eine wichtige Technologie, die es ermöglicht, Geräte wie IP-Telefone, Access Points und Kameras über das Ethernet-Kabel mit Strom zu versorgen. Eine zuverlässige Stromversorgung ist unerlässlich, um den kontinuierlichen Betrieb dieser Geräte sicherzustellen. Power Redundancy und das PoE-Budget sind dabei entscheidende Faktoren, die bei der Planung von Hochverfügbarkeit…

SGACL vs. VLAN/VRF: Welche Segmentierung passt für welchen Use-Case?

In modernen Netzwerkinfrastrukturen ist es entscheidend, das richtige Segmentierungskonzept zu wählen, um Sicherheit, Performance und Skalierbarkeit zu gewährleisten. Zwei gängige Methoden der Segmentierung sind SGACLs (Security Group Access Control Lists) und VLAN/VRF-basierte Segmentierung. Beide Methoden haben ihre spezifischen Anwendungsfälle und Vor- sowie Nachteile, die bei der Planung und Umsetzung berücksichtigt werden müssen. In diesem Artikel…

Hitless Failover? Messmethoden für echte Downtime im LAN

Im Netzwerkdesign wird oft das Ziel verfolgt, ein „hitless failover“ zu erreichen, also einen Ausfall ohne wahrnehmbare Unterbrechung der Dienste. Dies ist besonders in kritischen Infrastrukturen wie in Rechenzentren oder Campusnetzwerken von Bedeutung. Dabei wird ein Übergang von einem ausgefallenen System auf ein funktionierendes System ohne Ausfallzeit oder signifikante Latenz erreicht. Doch wie misst man…