Zum Inhalt
Klicken Sie hier, um die Dokumentation der lokal verwalteten Switches einschließlich der CLI- und API-Handbücher zu öffnen.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=switch-management-security

Sicherheit

Sie können Sicherheitseinstellungen für Sophos Switch konfigurieren.

DoS

Sophos Switch kann auf Denial-of-Service-Angriffe (DoS) überwachen und diese blockieren. Ein DoS-Angriff ist Netzwerkverkehr, der einen Host überfordern und seine Verbindung zum Netzwerk unterbrechen soll.

Wählen Sie Ein oder Aus, um den DoS-Schutz ein- oder auszuschalten. Wählen Sie Nicht festgelegt, um lokal auf dem Switch konfigurierte Einstellungen zu verwenden.

Klicken Sie nach dem Ein- oder Ausschalten von DoS auf Aktualisieren, um Ihre Änderungen zu speichern.

Wenn Sie DoS einschalten, verwirft der Switch Pakete, die den folgenden Arten von DoS-Angriffen entsprechen:

  • Ziel-MAC entspricht Quell-MAC: Verwirft Datenverkehr, wenn Quell- und Ziel-MAC-Adressen identisch sind.
  • LAND-Angriff-Ziel-IP gleich Quell-IP (IPv4/IPv6): Verwirft Pakete, bei denen die Quell- und Ziel-IP-Adressen identisch sind.

  • TCP Blat (Ziel-TCP-Port gleich dem Quell-TCP-Port): Verwirft TCP-Pakete, bei denen die TCP-Quell- und TCP-Zielports identisch sind.

    Hinweis

    Der NTP-Client (Network Time Protocol) verwendet manchmal denselben Quell- und Zielport. Wenn Sie den DoS-Schutz aktivieren, erkennt Sophos Switch diesen als TCP-Blat-Angriff und verwirft die Pakete. Wir empfehlen, den DoS-Schutz zu deaktivieren, wenn Sie ältere NTP-Clients ausführen, die dieselben Quell- und Zielports verwenden.

  • UDP Blat (Ziel-UDP-Port gleich dem Quell-UDP-Port): Verwirft UDP-Pakete, bei denen die UDP-Quell- und UDP-Zielports identisch sind.

  • Ping of Death (IPv4/IPv6): Verwirft Pakete mit einer Länge von mehr als 64 KB durch Fragmente.
  • IPv6 Minimum Fragment (Byte): Begrenzt die Mindestgröße von IPv6-Fragmenten auf 1240 Byte.
  • ICMP-Fragmente (IPv4/IPv6): Verwirft fragmentierte ICMP-Pakete.
  • IPv4-Ping Max. Größe: Begrenzt die maximale Länge eines IPv4-Ping-Pakets auf 512 Byte.
  • IPv6-Ping Max. Größe: Begrenzt die maximale Länge eines IPv6-Ping-Pakets auf 512 Byte.
  • Smurf Attack (Netmask Length): Begrenzt die Netzmasken-Länge von Broadcast-ICMP-Paketen auf 24 (x.x.x.255).
  • TCP Minimum Header Size (Bytes): Begrenzt die Mindestgröße des TCP-Headers auf 20 Byte.
  • TCP-SYN: Verwirft TCP-Pakete, bei denen das SYN-Flag gesetzt ist, das ACK-Flag nicht gesetzt ist und der Quellport kleiner als 1024 ist.
  • Null Scan: Verwirft TCP-Pakete, bei denen keine Flags gesetzt sind und die Sequenznummer Null ist.
  • Xmas: Verwirft TCP-Pakete mit der Sequenznummer Null und den FIN-, URG- und PSH-Flags.
  • TCP SYN-FIN: Verwirft TCP-Pakete mit festgelegten SYN- und FIN-Flags.
  • TCP SYN-RST: Verwirft TCP-Pakete mit festgelegten SYN- und RST-Flags.