Überblick über die Sicherheits-Einstellungen des Linksys Managed Switch für Unternehmen

Um die Security (Sicherheits) -Einstellungen des Linksys Managed Switch für Unternehmen zu konfigurieren, führen Sie die folgenden Schritte durch.
 
Schritt 1:
Greifen Sie auf die Web-Schnittstelle Ihres Switches zu.  Um Anweisungen zu erhalten, klicken Sie hier.

Schritt 2:
Klicken Sie in der oberen linken Ecke der Webschnittstelle auf das Menu (Menü) sf333574-001_en_v1.png -Symbol.

Schritt 3:
Klicken Sie auf Security (Sicherheit).
 
sf333574-002_en_v1.png

Schritt 4:
Die folgenden Einstellungen können unter Security (Sicherheit) konfiguriert werden:

802.1x
Access (Zugriff)
Port Security (Port-Sicherheit)
Radius Server
DoS


802.1x

Die standardmäßige IEEE 802.1x-Authentifizierung verwendet das RADIUS-Protokoll (Remote Authentication Dial In User Service), um Benutzer zu verifizieren und einen Sicherheitsstandard für die Zugriffskontrolle auf das Netzwerk zu bieten.  Der Benutzer, der authentifiziert werden möchte, wird als Supplicant bezeichnet.  Ein RADIUS-Server authentifiziert Benutzer, die versuchen, auf ein Netzwerk zuzugreifen, indem er EAPoL-Pakete (Extensible Authentication Protocol over LAN) zwischen dem Client und dem Server weiterleitet.  Auf diese Weise werden die Voraussetzungen für ein Protokoll zwischen dem Authentifikator (dem System, das eine Authentifizierungsanforderung an den Authentifizierungsserver weiterleitet) und dem Supplicant (dem System, das eine Authentifizierung anfordert) sowie zwischen dem Authentifikator und dem Authentifizierungsserver erstellt.

Die folgenden Einstellungen können für 802.1x konfiguriert werden:

Global Settings (Allgemeine Einstellungen)
Port Settings (Port-Einstellungen)
Authenticated Host (Authentifizierter Host)

Global Settings (Allgemeine Einstellungen)

Wenn ein Supplicant an einen Switch-Port angeschlossen ist, stellt der Port eine 802.1x-Authentifizierungsanfrage an den angeschlossenen 802.1x-Supplicant.  Der Supplicant antwortet mit dem angegebenen Benutzernamen und Passwort in einer Authentifizierungsanfrage, die dann an einen konfigurierten RADIUS-Server weitergeleitet wird.  Die Benutzerdatenbank des Authentifizierungsservers unterstützt das Extensible Authentication Protocol (EAP), mit dem für jeden einzelnen Benutzer bestimmte Gast-VLAN-Mitgliedschaften definiert werden können.  Vor der erfolgreichen Autorisierung wird der Port, der mit dem authentifizierten Supplicant verbunden ist, ein Mitglied des angegebenen Gast-VLANs.  Wenn der Supplicant erfolgreich authentifiziert ist, wird der Verkehr automatisch dem im 802.1Q-VLAN konfigurierten VLAN-Benutzer zugewiesen.

Die EAP-Authentifizierungsmethoden, die der Switch unterstützt, sind:
 
  • EAP-MD5
  • EAPTLS
  • EAP-TTLS
  • EAP-PEAP
 
sf333574-003_en_v1.png
 
  • State (Status) – Wählen Sie, um die Funktion zu aktivieren oder zu deaktivieren.
  • Guest VLAN (Gäste-VLAN) – Wählen Sie auf dem Switch Gäste-VLAN als Enabled (Aktiviert) oder Disable (Deaktiviert) aus.  Die Standardeinstellung ist Disable (Deaktiviert).
  • Guest VLAN ID (Gäste-VLAN-ID) – Wählen Sie die Gäste-VLAN-ID aus der Liste der VLANs die derzeit eingestellt sind.

Klicken Sie auf Apply (Anwenden), um die Einstellungen zu speichern.

Port Settings (Port-Einstellungen)

Die portbasierte Authentifizierung von IEEE 802.1x bietet einen Sicherheitsstandard für die Kontrolle des Netzwerkzugriffs mit RADIUS-Servern und blockiert die Netzwerk-Ports, bis die Authentifizierung erfolgreich durchgeführt wurde.  Bei der portbasierten 802.1x-Authentifizierung gibt der Supplicant die erforderlichen Anmeldeinformationen wie Benutzername, Passwort oder digitales Zertifikat an den Authentifikator weiter, und der Authentifikator leitet die Anmeldeinformationen zur Überprüfung an den Authentifizierungsserver weiter.  Wenn der Authentifizierungsserver feststellt, dass die Anmeldeinformationen gültig sind, darf der Anmelder auf Ressourcen zugreifen, die sich auf der geschützten Seite des Netzwerks befinden.

Hier können Sie die Port-Einstellungen in Verbindung mit 802.1x konfigurieren.  Um Ihre Änderungen vorzunehmen, wählen Sie zuerst einen Port aus und klicken Sie anschließend auf Edit (Bearbeiten), um die erforderlichen Änderungen vorzunehmen.  Wenn Sie fertig sind, klicken Sie auf Apply (Anwenden), um Ihre Einstellungen zu speichern.
 
sf333574-004_en_v1.png
 
  • Port:  Die Port-Nummer auf dem Switch.
  • Mode (Modus)Sie können den Modus Auto, Force_UnAuthorized oder Force_Authorized aus dieser Liste auswählen.
  • Reauthentication (Neu-Authentifizierung):  Sie können auswählen, wenn die Neuauthentifizierung des Ports Enabled (aktiviert) oder Disabled (deaktiviert) ist.
  • Reauthentication Period (Neu-Authentifizierungs Zeitraum):  Sie können die Zeitspanne eingeben, in der der ausgewählte Port neu authentifiziert wird.  Der Standardwert ist 3600 Sekunden.
  • Quiet Period (Stiller Zeitraum):  Sie können die Anzahl der Geräte eingeben, die nach einem fehlgeschlagenen Authentifizierungs-Vorgangs im Ruhezustand bleiben.  Der Standardwert ist 60 Sekunden.
  • Supplicant Period (Anfragesteller Zeitraum):  Sie können die Zeitspanne eingeben, die abläuft, bevor eine EAP-Anfrage erneut an den Supplicant gesendet wird.  Der Standardwert ist 30 Sekunden.
  • Authorized Status (Autorisierter Status):  Zeigt den autorisierten Status der 802.1x-Informationen an.
  • Guest VLAN (Gäste-VLAN):  Zeigt an, ob das Gäste-VLAN an bestimmten Ports Enabled (aktiviert) oder Disabled (deaktiviert) ist.
  • RADIUS VLAN Assign (RADIUS VLAN-Zuordnung)Wenn diese Option Enabled (aktiviert) ist, erhält der Client das VLAN vom RADIUS-Server.

Authenticated Host (Authentifizierter Host)

Die folgenden Informationen sind auf der Seite Authenticated Host (Authentifizierter Host) zu finden.
 
sf333574-005_en_v1.png
 
  • User Name (Benutzername)Zeigt den Benutzernamen des Clients für die 802.1x RADIUS-Server-Authentifizierung an.
  • Port:  Zeigt die authentifizierte Portnummer des Clients an.
  • Session Time (Sitzungs Dauer):  Zeigt die 802. 1x-Sitzungsdauer des Clients an.
  • Authenticate Method (Authentifizierungs-Methode):  Zeigt die Methode der Authentifizierung des Clients an.
  • MAC Address (MAC-Adresse):  Zeigt die MAC-Adresse des Clients an.
  • Dynamic VLAN Cause (Dynamische VLAN Ursache):  Zeigt die VLAN-Informationen des Clients an.
  • Dynamic VLAN ID (Dynamische VLAN-ID)Zeigt die VLAN-ID des Clients an (wenn der RADIUS-Server eine zuordnet).

Access (Zugriff)

Auf der Webseite können Sie die Zeitbegrenzung für die Sitzung ändern und HTTP und HTTPS deaktivieren oder aktivieren.  Die Standardeinstellung für die Sitzungszeit ist 5 Minuten.  Um zu erfahren, wie Sie die Einstellungen für die Zugriffszeitüberschreitung konfigurieren können, klicken Sie hier.
 
sf333574-006_en_v1.png
 
  • Timeout (Zeitüberschreitung) – Geben Sie ein, wie lange es dauern soll, bis HTTP/HTTPS abgelaufen ist.  Der Standardwert ist 5 Minuten, und der Bereich geht von 0 bis 10000 Minuten.
  • HTTP Service (HTTP Dienst) – Richten Sie den HTTP-Dienst auf dem Switch als Enabled (Aktiviert) oder Disabled (Deaktiviert) ein.  Standardmäßig ist es Enabled (Aktiviert).
  • HTTPS Service (HTTPS Dienst) – Richten Sie den HTTPS-Dienst auf dem Switch als Enabled (Aktiviert) oder Disabled (Deaktiviert) ein.  Standardmäßig ist es Disabled (Deaktiviert).

Auf der CLI-Seite können Sie die Zeitüberschreitung für die Sitzung ändern und den Telnet- und SSH-Zugriff aktivieren oder deaktivieren.

HINWEIS:  Der CLI-Zugriff ist auf dem Linksys LGS328C, LGS352C, LGS352MPC, LGS328MPC und LGS310MPC unterstützt.
 
sf333574-007_en_v1.png
 
  • Timeout (Zeitüberschreitung) – Geben Sie ein, wie lange es dauern soll, bis Telnet/SSH abgelaufen ist.  Der Standardwert ist 5 Minuten, und der Bereich geht von 0 bis 10000 Minuten.
  • Telnet Service (Telnet Dienst) – Richten Sie den Telnet -Dienst auf dem Switch als Enabled (Aktiviert) oder Disabled (Deaktiviert) ein.  Standardmäßig ist es Enabled (Aktiviert).
  • SSH Service (SSH Dienst) – Richten Sie den SSH -Dienst auf dem Switch als Enabled (Aktiviert) oder Disabled (Deaktiviert) ein.  Standardmäßig ist es Disabled (Deaktiviert).

Port Security (Port-Sicherheit)

Die Netzwerksicherheit kann verbessert werden, indem der Zugriff auf einem bestimmten Port nur für Benutzer mit bestimmten MAC-Adressen zugelassen wird.  Die Port Security (Port-Sicherheit) verhindert, dass nicht autorisierte Geräte auf den Switch zugreifen können, bevor die automatische Lernverarbeitung gestoppt wird.

Um die Einstellungen zu ändern, wählen Sie einen Port aus und klicken Sie anschließend auf Edit (Bearbeiten).  Wenn Sie fertig sind, klicken Sie auf Apply (Anwenden).

HINWEIS:  Die Nummer von Anschlüssen ist von Modell zu Modell unterschiedlich.
 
sf333574-008_en_v1.png
 
 
  • Port (Anschluss) – Hier wird der Port am Switch angezeigt, für den die Portsicherheit eingerichtet ist.
  • State (Status) – Wählen Sie die Option Enabled (Aktiviert) oder Disabled (Deaktiviert) der Portsicherheit für den ausgewählten Port.
  • Max MAC Address (Maximale MAC-Adresse) – Geben Sie die höchste Anzahl von MAC-Adressen ein, die für den Port gelernt werden können.  Der Bereich geht von 1 bis 256.
 
Radius Server

RADIUS-Server werden für eine zentralisierte Verwaltung verwendet.  Es handelt sich um ein Netzwerkprotokoll, das eine zentralisierte Authentifizierungs-, Autorisierungs- und Kontoverwaltung (AAA) für Benutzer bereitstellt, die eine Verbindung herstellen und einen Netzwerkdienst für besseren Service nutzen.  RADIUS ist ein Serverprotokoll, das in der Anwendungsschicht läuft und UDP als Transport verwendet.  Ein Netzwerk-Switch mit portbasierter Authentifizierung verfügt über einen RADIUS-Client-Teil das mit dem RADIUS-Server in Verbindung steht.  Clients, die mit einem Port des Switches verbunden sind, müssen vom Authentifizierungsserver authentifiziert werden, bevor sie auf die vom Switch bereitgestellten Dienste im LAN zugreifen können.  Verwenden Sie einen RADIUS-Server, um Benutzer zu authentifizieren, die auf ein Netzwerk zuzugreifen wollen, indem er EAPoL-Pakete (Extensible Authentication Protocol over LAN) zwischen dem Client und dem Server weiterleitet.  Der RADIUS-Server verwaltet eine Benutzerdatenbank, die Anmeldeinformationen enthält.  Der Switch leitet Informationen an den konfigurierten RADIUS-Server weiter, der einen Benutzernamen und ein Passwort authentifizieren kann, bevor er die Verwendung des Netzwerks zulässt.
 
sf333574-009_en_v1.png
 
  • Index:  Zeigt den Index des RADIUS-Servers an.
  • Server IP:  Geben Sie in dieses Feld die IP-Adresse des RADIUS-Servers ein.
  • Authorized Port (Autorisierter Port):  Geben Sie in dieses Feld die autorisierte Portnummer ein.  Der Standardport ist 1812.
  • Key String (Schlüssel-Zeichenfolge):  Geben Sie den Schlüssel-String ein, der für die Verschlüsselung der gesamten RADIUS-Kommunikation zwischen dem Gerät und dem RADIUS-Server verwendet wird.
  • Timeout Reply (Zeitüberschreitung Antwort):  Geben Sie die Zeitspanne ein, die ein Gerät auf eine Antwort des RADIUS-Servers wartet, bevor es zum nächsten Server wechselt.  Der Standardwert ist 3.
  • Retry (Erneut versuchen):  Geben Sie die Anzahl der gesendeten Anfragen an.  Der Standardwert ist 3.
 
Klicken Sie auf die Schaltfläche Add (Hinzufügen), um einen Eintrag hinzuzufügen.  Klicken Sie anschließend auf die Schaltfläche Apply (Anwenden), um die Änderungen zu übernehmen, oder auf die Schaltfläche Cancel (Abbrechen), um den Vorgang abzubrechen.

DoS

Denial of Service (DoS) (Verweigerung des Dienstes) wird verwendet, um bestimmte Arten von DoS-Angriffen zu klassifizieren und zu sperren.  Hier können Sie den Switch so einrichten, dass er verschiedene Arten von Angriffen überwacht und sperrt.  Standardmäßig ist DoS Disabled (deaktiviert).  Klicken Sie auf den Radioknopf Enabled (Aktiviert), um es zu aktivieren, und klicken Sie auf Apply (Anwenden).
 
sf333574-010_en_v1.png
 

Was this support article useful?

Additional Support Questions?
Search Again