Wartungsfenster im Campus: Vorgehen für risikoarme Core/Dist Changes

Die Durchführung von Wartungsarbeiten in einem Campusnetzwerk erfordert präzise Planung und Durchführung, um Ausfallzeiten und Risiken zu minimieren. Besonders beim Arbeiten an den Core- und Distribution-Switches ist es entscheidend, dass Änderungen sicher und ohne Unterbrechung des Betriebs vorgenommen werden. In diesem Artikel wird ein strukturiertes Vorgehen für risikoarme Wartungsfenster vorgestellt, das sowohl die Planung als…

802.1X Design im Enterprise: Rollen, VLANs, DACLs, Fail-Open/Fail-Closed

802.1X ist ein Netzwerkzugangskontrollprotokoll, das zur Absicherung von Netzwerkressourcen verwendet wird, indem es die Authentifizierung von Geräten und Benutzern vor dem Zugang zum Netzwerk erzwingt. Die Implementierung von 802.1X in einem Unternehmensnetzwerk kann jedoch komplex sein, da verschiedene Designüberlegungen berücksichtigt werden müssen, darunter Rollen, VLANs, DACLs (Dynamic Access Control Lists) sowie Fail-Open und Fail-Closed-Strategien. In…

Cisco ISE + Catalyst: Best Practices für Policy Sets und Skalierung

Die Kombination aus Cisco Identity Services Engine (ISE) und Catalyst Switches bietet eine leistungsstarke Lösung für die Netzwerksicherheit und das Zugriffsmanagement in Unternehmen. Um diese Lösung effektiv zu nutzen, ist es entscheidend, Policy Sets und deren Skalierung richtig zu planen und umzusetzen. In diesem Artikel werden Best Practices für die Konfiguration von Cisco ISE in…

MAB als Fallback: Sicher designen ohne „Alles erlaubt“

Die Nutzung von MAB (MAC Authentication Bypass) als Fallback-Mechanismus ist in Netzwerken eine gängige Praxis, um sicherzustellen, dass Geräte, die keine 802.1X-Unterstützung bieten, dennoch Zugang zum Netzwerk erhalten. Es ist jedoch wichtig, MAB sicher zu implementieren, um zu verhindern, dass unautorisierte Geräte ungehindert auf das Netzwerk zugreifen können. In diesem Artikel wird erläutert, wie MAB…

802.1X Troubleshooting Masterclass: EAPOL, RADIUS, Supplicant Issues

Die 802.1X-Authentifizierung ist eine weit verbreitete Methode zur Sicherstellung der Netzwerksicherheit, insbesondere in Campusnetzwerken. Trotz ihrer Effizienz können beim Einsatz von 802.1X verschiedene Probleme auftreten, die die Authentifizierung von Geräten verhindern. In dieser Masterclass gehen wir auf die häufigsten Fehlerquellen ein und bieten praxisorientierte Lösungsansätze für die Diagnose und Behebung von Problemen, die mit EAPOL,…

DHCP Snooping im Detail: Trust Boundaries, Option 82, Edge-Cases

DHCP Snooping ist eine wichtige Sicherheitsfunktion in modernen Netzwerken, die dabei hilft, unbefugte DHCP-Server zu verhindern und die Integrität der IP-Adresszuweisung sicherzustellen. Es ist besonders in Campusnetzwerken von Bedeutung, um zu verhindern, dass Clients von nicht autorisierten DHCP-Servern Adressen erhalten. In diesem Artikel werden wir die grundlegenden Konzepte von DHCP Snooping im Detail betrachten, die…

Dynamic ARP Inspection (DAI) richtig betreiben: False Positives vermeiden

Dynamic ARP Inspection (DAI) ist eine wichtige Sicherheitsfunktion, die ARP-basierte Angriffe im Netzwerk, wie ARP Spoofing oder Man-in-the-Middle-Angriffe, verhindert. Dabei wird der ARP-Verkehr überprüft, um sicherzustellen, dass ARP-Anfragen und -Antworten nur von vertrauenswürdigen Quellen stammen. In diesem Artikel wird erklärt, wie DAI richtig konfiguriert und betrieben wird, um false positives zu vermeiden und die Netzwerksicherheit…

IP Source Guard & Device Tracking: Schutz vor Spoofing auf Access Ports

In modernen Netzwerken ist es von entscheidender Bedeutung, vor verschiedenen Arten von Angriffen, wie beispielsweise IP-Spoofing, zu schützen. Insbesondere an Access-Ports, wo Geräte regelmäßig ins Netzwerk eingebunden werden, ist der Schutz vor Spoofing-Angriffen eine grundlegende Sicherheitsmaßnahme. IP Source Guard und Device Tracking sind zwei Funktionen auf Cisco Switches, die effektiv dazu beitragen, solche Bedrohungen zu…

Port Security für Experten: Sticky MAC, Aging, Violation Handling im Betrieb

Port Security ist eine der wichtigsten Sicherheitsfunktionen auf Switches, die dazu beitragen, unbefugten Zugriff auf das Netzwerk zu verhindern. Besonders in großen Netzwerken, wo viele Geräte an die Access-Ports angeschlossen sind, wird Port Security zu einem unverzichtbaren Werkzeug. In diesem Artikel werden wir fortgeschrittene Aspekte der Port-Security-Konfiguration auf Cisco-Switches betrachten, einschließlich der Verwendung von Sticky…

L2 Attack Surface reduzieren: Unused Ports, Native VLAN, Trunk Restrictions

Im Bereich der Netzwerksicherheit ist die Reduzierung der Angriffsurface auf Layer 2 von großer Bedeutung. Angreifer können Schwachstellen in der Netzwerkarchitektur ausnutzen, um unbefugten Zugriff zu erlangen. In diesem Artikel konzentrieren wir uns auf bewährte Methoden, um das Risiko auf Layer-2-Ebene zu minimieren. Wir behandeln dabei ungenutzte Ports, die Bedeutung des Native VLAN und die…