Überblick über die Sicherheits-Einstellungen des Linksys Managed Gigabit Switch

Um die Sicherheits-Einstellungen des Linksys Managed Gigabit Switch zu konfigurieren, führen Sie die folgenden Schritte durch.
 
Wenn die Bilder, die Sie hier sehen, oder die Schritte, die Sie durchführen, anders aussehen als auf der aktuellen Seite, finden Sie hier eine alternative Anleitung/Informationen.
 
1. Greifen Sie auf die Web-Schnittstelle Ihres Switches zu.
 
2. Klicken Sie auf Security (Sicherheit).
 
User-added image
 
3. Die folgenden Einstellungen können unter Security (Sicherheit) konfiguriert werden:
 
802.1x
Radius Server
Access (Zugriff)
Port Security (Port-Sicherheit)
Port Isolation (Port-Isolierung)
DoS
 
 
802.1x
 
Die standardmäßige IEEE 802.1x-Authentifizierung verwendet das RADIUS-Protokoll (Remote Authentication Dial In User Service), um Benutzer zu verifizieren und einen Sicherheitsstandard für die Zugriffskontrolle auf das Netzwerk zu bieten. Der Benutzer, der authentifiziert werden möchte, wird als Supplicant bezeichnet.
 
Der aktuelle Server, der die Authentifizierung durchführt, wird authentication server (Authentifizierungs Server) genannt (normalerweise ein RADIUS-Server). Das vermittelnde Gerät, z. B. ein Switch, wird als Authentifikator bezeichnet. Clients, die mit einem Port des Switches verbunden sind, müssen vom RADIUS-Server authentifiziert werden, bevor sie auf die vom Switch im LAN angebotenen Dienste zugreifen können. Verwenden Sie einen RADIUS-Server zur Authentifizierung von Benutzern, die versuchen, auf ein Netzwerk zuzugreifen, indem Sie EAPoL-Pakete (Extensible Authentication Protocol over LAN) zwischen dem Client und dem Server weiterleiten. Damit werden die Voraussetzungen für ein Protokoll zwischen dem Authentifikator (dem System, das eine Authentifizierungsanfrage an den Authentifizierungsserver weiterleitet) und dem Supplicant (dem System, das eine Authentifizierung anfordert) sowie zwischen dem Authentifikator und dem Authentifizierungsserver geschaffen.
 
Die folgenden Einstellungen können für 802.1x konfiguriert werden:
 
Global Settings (Allgemeine Einstellungen)
Port Settings (Port-Einstellungen)
Authenticated Host (Authentifizierter Host)
Statistics (Statistiken)
 
Global Settings (Allgemeine Einstellungen)
 
Wenn ein Supplicant an einen Switch-Port angeschlossen ist, stellt der Port eine 802.1x-Authentifizierungsanfrage an den angeschlossenen 802.1x-Supplicant. Der Supplicant antwortet mit dem angegebenen Benutzernamen und Passwort in einer Authentifizierungsanfrage, die dann an einen konfigurierten RADIUS-Server weitergeleitet wird. Die Benutzerdatenbank des Authentifizierungsservers unterstützt das Extensible Authentication Protocol (EAP), mit dem für jeden einzelnen Benutzer bestimmte Gast-VLAN-Mitgliedschaften definiert werden können. Vor der erfolgreichen Autorisierung wird der Port, der mit dem authentifizierten Supplicant verbunden ist, ein Mitglied des angegebenen Gast-VLANs. Wenn der Supplicant erfolgreich authentifiziert ist, wird der Verkehr automatisch dem im 802.1Q-VLAN konfigurierten VLAN-Benutzer zugewiesen.
 
Die EAP-Authentifizierungsmethoden, die der Switch unterstützt, sind:  
 
  • EAP-MD5
  • EAPTLS
  • EAP-TTLS
  • EAP-PEAP
 
User-added image
 
  • Guest VLAN (Gäste-VLAN):  Wählen Sie auf dem Switch Gäste-VLAN als Enabled (Aktiviert) oder Disable (Deaktiviert) aus. Die Standardeinstellung ist Disable (Deaktiviert).
  • Guest VLAN ID (Gäste-VLAN-ID):  Wählen Sie die Gäste-VLAN-ID aus der Liste der VLANs die derzeit eingestellt sind.
 
Klicken Sie auf Apply (Anwenden), um die Systemeinstellungen zu speichern.
 
Port Settings (Port-Einstellungen)
 
Die portbasierte Authentifizierung von IEEE 802.1x bietet einen Sicherheitsstandard für die Kontrolle des Netzwerkzugriffs mit RADIUS-Servern und blockiert die Netzwerk-Ports, bis die Authentifizierung erfolgreich durchgeführt wurde. Bei der portbasierten 802.1x-Authentifizierung gibt der Supplicant die erforderlichen Anmeldeinformationen wie Benutzername, Passwort oder digitales Zertifikat an den Authentifikator weiter, und der Authentifikator leitet die Anmeldeinformationen zur Überprüfung an den Authentifizierungsserver weiter. Wenn der Authentifizierungsserver feststellt, dass die Anmeldeinformationen gültig sind, darf der Anmelder auf Ressourcen zugreifen, die sich auf der geschützten Seite des Netzwerks befinden.
 
Hier können Sie die Port-Einstellungen in Verbindung mit 802.1x konfigurieren. Um Ihre Änderungen vorzunehmen, wählen Sie zuerst einen Port aus und verwenden Sie dann die freien Felder (in der ersten Zeile), um die Einstellungen des ausgewählten Ports zu ändern. Scrollen Sie dann nach unten und klicken Sie auf Apply (Anwenden), um Ihre Einstellungen zu speichern.
 
User-added image
 
  • Port:  Die Port-Nummer auf dem Switch.
  • Mode (Modus)Sie können den Modus Auto, Force_UnAuthorized oder Force_Authorized aus dieser Liste auswählen.
  • Reauthentication (Neu-Authentifizierung):  Sie können auswählen, wenn die Neuauthentifizierung des Ports aktiviert oder deaktiviert ist.
  • Reauthentication Period (Neu-Authentifizierungs Zeitraum):  Sie können die Zeitspanne eingeben, in der der ausgewählte Port neu authentifiziert wird. Der Standardwert ist 3600 Sekunden.
  • Quiet Period (Stiller Zeitraum):  Sie können die Anzahl der Geräte eingeben, die nach einem fehlgeschlagenen Authentifizierungs-Vorgangs im Ruhezustand bleiben. Der Standardwert ist 60 Sekunden.
  • Supplicant Period (Anfragesteller Zeitraum):  Sie können die Zeitspanne eingeben, die abläuft, bevor eine EAP-Anfrage erneut an den Supplicant gesendet wird. Der Standardwert ist 30 Sekunden.
  • Authorized Status (Autorisierter Status):  Zeigt den autorisierten Status der 802.1x-Informationen an.
  • Guest VLAN (Gäste-VLAN):  Zeigt an, ob das Gäste-VLAN an bestimmten Ports aktiviert oder deaktiviert ist.
  • RADIUS VLAN Assign (RADIUS VLAN-Zuordnung)Wenn diese Option aktiviert ist, erhält der Client das VLAN vom RADIUS-Server.
 
Authenticated Host (Authentifizierter Host)
 
Einige der Felder im Abschnitt Authenticated Host (Authentifizierter Host) sind Port, Authenticated Method (Authentifizierungs-Methode) und MAC Address (MAC-Adresse).
 
User-added image
 
  • User Name (Benutzername)Zeigt den Benutzernamen des Clients für die 802.1x RADIUS-Server-Authentifizierung an.
  • Port:  Zeigt die authentifizierte Portnummer des Clients an.
  • Session Time (Sitzungs Dauer):  Zeigt die 802. 1x-Sitzungsdauer des Clients an.
  • Authenticate Method (Authentifizierungs-Methode):  Zeigt die Methode der Authentifizierung des Clients an.
  • MAC Address (MAC-Adresse):  Zeigt die MAC-Adresse des Clients an.
  • Dynamic VLAN Cause (Dynamische VLAN Ursache):  Zeigt die VLAN-Informationen des Clients an.
  • Dynamic VLAN ID (Dynamische VLAN-ID)Zeigt die VLAN-ID des Clients an (wenn der RADIUS-Server eine zuordnet).
 
Statistics (Statistiken)
 
Zeigt 802.1x-bezogene Datenpaket-Zähler und die Quell-MAC-Adresse des zuletzt empfangenen 802.1x-Pakets für jeden Port an. Klicken Sie unten auf die Schaltfläche Clear (Löschen), um die 802. 1x-Datenpaketzähler für bestimmte Ports zu löschen.
 
User-added image
 

Radius Server
 
RADIUS-Server werden für eine zentralisierte Verwaltung verwendet. Es handelt sich um ein Netzwerkprotokoll, das eine zentralisierte Authentifizierungs-, Autorisierungs- und Kontoverwaltung (AAA) für Benutzer bereitstellt, die eine Verbindung herstellen und einen Netzwerkdienst für besseren Service nutzen. RADIUS ist ein Serverprotokoll, das in der Anwendungsschicht läuft und UDP als Transport verwendet. Ein Netzwerk-Switch mit portbasierter Authentifizierung verfügt über einen RADIUS-Client-Teil das mit dem RADIUS-Server in Verbindung steht. Clients, die mit einem Port des Switches verbunden sind, müssen vom Authentifizierungsserver authentifiziert werden, bevor sie auf die vom Switch bereitgestellten Dienste im LAN zugreifen können. Verwenden Sie einen RADIUS-Server, um Benutzer zu authentifizieren, die auf ein Netzwerk zuzugreifen wollen, indem er EAPoL-Pakete (Extensible Authentication Protocol over LAN) zwischen dem Client und dem Server weiterleitet. Der RADIUS-Server verwaltet eine Benutzerdatenbank, die Anmeldeinformationen enthält. Der Switch leitet Informationen an den konfigurierten RADIUS-Server weiter, der einen Benutzernamen und ein Passwort authentifizieren kann, bevor er die Verwendung des Netzwerks zulässt.
 
User-added image
 
  • Index:  Zeigt den Index des RADIUS-Servers an.
  • Server IP:  Geben Sie in dieses Feld die IP-Adresse des RADIUS-Servers ein.
  • Authorized Port (Autorisierter Port):  Geben Sie in dieses Feld die autorisierte Portnummer ein. Der Standardport ist 1812.
  • Key String (Schlüssel-Zeichenfolge):  Geben Sie den Schlüssel-String ein, der für die Verschlüsselung der gesamten RADIUS-Kommunikation zwischen dem Gerät und dem RADIUS-Server verwendet wird.
  • Timeout Reply (Zeitüberschreitung Antwort):  Geben Sie die Zeitspanne ein, die ein Gerät auf eine Antwort des RADIUS-Servers wartet, bevor es zum nächsten Server wechselt. Der Standardwert ist 3.
  • Retry (Erneut versuchen):  Geben Sie die Anzahl der gesendeten Anfragen an. Der Standardwert ist 3.
 
Klicken Sie auf die Schaltfläche Apply (Anwenden) User-added image, um die Änderungen zu übernehmen, oder auf die Schaltfläche Cancel (Abbrechen) User-added image, um sie zu verwerfen.
 
 
Access (Zugriff)
 
Der Switch bietet eine integrierte Web-Schnittstelle, mit der Sie den Switch über Hypertext Transfer Protocol (HTTP) und Hypertext Transfer Protocol Secure (HTTPS) konfigurieren und verwalten können, um Sicherheitsverstöße im Netzwerk zu verhindern. Sie können Ihre HTTP- und HTTPS-Einstellungen für jeden Switch noch genauer verwalten, indem Sie die  Einstellungen für Sitzungszeitüberschreitungen konfigurieren für HTTP- und HTTPS-Anfragen.
 
User-added image
 
 
Port Security (Port-Sicherheit)
 
Die Netzwerksicherheit kann verbessert werden, indem der Zugriff auf einem bestimmten Port nur für Benutzer mit bestimmten MAC-Adressen zugelassen wird. Die Port Security (Port-Sicherheit) verhindert, dass nicht autorisierte Geräte auf den Switch zugreifen können, bevor die automatische Lernverarbeitung gestoppt wird.
 
Um die Einstellungen zu ändern, wählen Sie zuerst einen Port aus und bearbeiten Sie dann die Einstellungen über die freien Felder in der ersten Zeile und klicken Sie unten auf Apply (Anwenden).
 
User-added image
 
  • Port:  Zeigt die Portnummer des Switches an.
  • State (Status):  Wählen Sie die Option Enabled (Aktiviert) oder Disabled (Deaktiviert) der Portsicherheit für den ausgewählten Port.
  • Max MAC Address (Maximale MAC-Adresse)Geben Sie die höchste Anzahl von MAC-Adressen ein, die für den Port gelernt werden können. Der Bereich geht von 1 bis 256.
 
 
Port Isolation (Port-Isolierung)
 
Die Funktion Port-Isolation bietet L2-Isolierung zwischen Ports die innerhalb der gleichen Broadcast-Domäne sind. Wenn sie aktiviert ist, können isolierte Ports Datenverkehr an Not Isolated ports (nicht isolierte Ports) weiterleiten, aber nicht an andere Isolated ports (isolierte Ports). Nicht isolierte Ports können Datenverkehr an jeden Port senden, egal ob isoliert oder nicht isoliert. Die Standardeinstellung ist Nicht isoliert.
 
Um die Einstellung zu ändern, wählen Sie zuerst einen Port aus und bearbeiten Sie dann Ihre Einstellungen über die freien Felder in der ersten Zeile und klicken Sie unten auf Apply (Anwenden).
 
User-added image
 
 
DoS
 
Denial of Service (DoS) (Verweigerung des Dienstes) wird verwendet, um bestimmte Arten von DoS-Angriffen zu klassifizieren und zu sperren. Hier können Sie den Switch so einrichten, dass er verschiedene Arten von Angriffen überwacht und sperrt.
 
Standardmäßig ist DoS deaktiviert. Klicken Sie auf die Dropdown-Liste, um sie zu aktivieren, und klicken Sie auf Apply (Anwenden).
 
User-added image

Was this support article useful?

Additional Support Questions?
Search Again