Port-Security
Stell dir ein Bürogebäude vor, in dem jede Steckdose am Netzwerk hängt. Jemand bringt von zuhause einen Hub mit und steckt ihn rein – plötzlich hängen fünf unbekannte Geräte im Firmennetz. Oder jemand startet einen Angriff und generiert tausende falscher MAC-Adressen, um den Switch zu verwirren. Port-Security ist die Türsteher-Funktion des Switches: Sie legt fest, welche MAC-Adressen an einem Port erlaubt sind, und reagiert auf Verstöße.
1) Das Problem: CAM-Table Overflow und MAC-Spoofing
Die CAM-Tabelle (MAC-Adresstabelle) eines Switches ist endlich groß – typischerweise einige Tausend bis Hunderttausend Einträge. Mit dem Tool macof lassen sich in Sekunden Frames mit Tausenden zufälliger Quell-MACs generieren. Wenn die Tabelle voll ist, behandelt der Switch alle unbekannten Frames wie bei einem Hub – er flutet alles an alle Ports. Ein Angreifer mit einem Packet-Sniffer am gleichen Switch kann jetzt den gesamten Netzwerkverkehr mithören.
Port-Security begrenzt die Anzahl der erlaubten MAC-Adressen pro Port. Erscheinen mehr als erlaubt, reagiert der Switch je nach Konfiguration. Wie der Switch die CAM-Tabelle aufbaut und warum sie endlich groß ist, erklärt die vorherige Lektion.
2) Konfiguration im Detail
3) Die drei Lernmethoden für MACs
| Methode | Wie MAC gelernt wird | Bleibt nach Reboot? | Wann sinnvoll? |
|---|---|---|---|
| Dynamic | Automatisch, nicht in Config gespeichert | Nein | Wenn Geräte oft wechseln |
| Static | Manuell eingetragen: mac-address 00:1A:2B:… | Ja | Wenn eine bestimmte MAC erzwungen werden soll |
| Sticky | Automatisch gelernt, in Running-Config übernommen | Ja (nach copy run start) | Feste Endgeräte – bequem und sicher |
Sticky ist in der Praxis am beliebtesten: Der Switch lernt die MAC-Adresse beim ersten Verbinden automatisch und speichert sie dauerhaft. Wird das Gerät gegen ein anderes ausgetauscht, löst es einen Verstoß aus – genau das, was man in einem gesicherten Büronetz möchte.
4) Die drei Violation-Modi
Wenn eine nicht erlaubte oder überzählige MAC-Adresse erscheint, reagiert der Switch nach dem konfigurierten Modus:
shutdown, dann no shutdown eingeben. Oder automatisch: errdisable recovery cause psecure-violation + errdisable recovery interval 300 – nach 300 Sekunden reaktiviert der Switch den Port selbst.Zusammenfassung
Port-Security begrenzt MACs pro Port, schützt vor CAM-Table Overflow und MAC-Spoofing. Nur auf Access-Ports. Lernmethoden: Dynamic, Static, Sticky (persistent nach copy run start). Violation-Modi: Shutdown (sperren, Standard), Restrict (verwerfen + loggen), Protect (still verwerfen). Error-Disabled: shutdown / no shutdown.
Verwandte Lektionen: Nächste Lektion: Link Aggregation (LACP) · CAM-Table Overflow verstehen: MAC-Adresstabelle und Lernprozess · MAC-Spoofing als Angriffstechnik: Man-in-the-Middle und Replay-Angriffe · Netzwerk-Scanning und Angriffserkennung: Netzwerk-Scanning mit Nmap · 802.1X-Authentifizierung als stärkere Alternative: Authentifizierung: Faktoren und MFA · DHCP Snooping als ergänzende Maßnahme: DHCP-Optionen: Gateway, DNS, Domäne · IDS/IPS zur Erkennung von MAC-Flooding: IDS vs. IPS · Zugriffsrechte und Berechtigungskonzepte: Access Control Lists (ACL) · BSI-Grundschutz und Netzsicherheit: BSI-Grundschutz