Zum Inhalt
Klicken Sie hier, um die Dokumentation der lokal verwalteten Switches einschließlich der CLI- und API-Handbücher zu öffnen.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=switch-management-security

Sicherheit

Sie können Sicherheitseinstellungen für Sophos Switch konfigurieren, z. B. DoS-Schutz, 802.1X-Authentifizierung, Port-Sicherheit, und RADIUS- und TACACS+-Server hinzufügen und entfernen.

DoS

Sophos Switch kann auf Denial-of-Service-Angriffe (DoS) überwachen und diese blockieren. Ein DoS-Angriff ist Netzwerkverkehr, der einen Host überfordern und seine Verbindung zum Netzwerk unterbrechen soll.

Wählen Sie Ein oder Aus, um den DoS-Schutz ein- oder auszuschalten. Wählen Sie Nicht festgelegt aus, um die lokal auf dem Switch konfigurierten Einstellungen zu verwenden.

Klicken Sie nach dem Ein- oder Ausschalten von DoS auf Aktualisieren, um Ihre Änderungen zu speichern.

Wenn Sie DoS einschalten, verwirft der Switch Pakete, die den folgenden Arten von DoS-Angriffen entsprechen:

  • Ziel-MAC entspricht Quell-MAC: Verwirft Datenverkehr, wenn Quell- und Ziel-MAC-Adressen identisch sind.
  • LAND-Angriff-Ziel-IP gleich Quell-IP (IPv4/IPv6): Verwirft Pakete, bei denen die Quell- und Ziel-IP-Adressen identisch sind.

  • TCP Blat (Ziel-TCP-Port gleich dem Quell-TCP-Port): Verwirft TCP-Pakete, bei denen die TCP-Quell- und TCP-Zielports identisch sind.

    Hinweis

    Der NTP-Client (Network Time Protocol) verwendet manchmal denselben Quell- und Zielport. Wenn Sie den DoS-Schutz aktivieren, erkennt Sophos Switch diesen als TCP-Blat-Angriff und verwirft die Pakete. Wir empfehlen, den DoS-Schutz zu deaktivieren, wenn Sie ältere NTP-Clients ausführen, die dieselben Quell- und Zielports verwenden.

  • UDP Blat (Ziel-UDP Port gleich Quell-UDP Port): Verwirft UDP-Pakete, bei denen die UDP-Quell- und Zielports identisch sind.

  • Ping of Death (IPv4/IPv6): Verwirft Pakete mit einer Länge von mehr als 64 KB durch Fragmente.
  • IPv6 Minimum Fragment (Byte): Begrenzt die Mindestgröße von IPv6-Fragmenten auf 1240 Byte.
  • ICMP-Fragmente (IPv4/IPv6): Verwirft fragmentierte ICMP-Pakete.
  • IPv4-Ping Max. Größe: Begrenzt die maximale Länge eines IPv4-Ping-Pakets auf 512 Byte.
  • IPv6-Ping Max. Größe: Begrenzt die maximale Länge eines IPv6-Ping-Pakets auf 512 Byte.
  • Smurf Attack (Netmask Length): Begrenzt die Netzmasken-Länge von Broadcast-ICMP-Paketen auf 24 (x.x.x.255).
  • TCP Minimum Header Size (Bytes): Begrenzt die Mindestgröße des TCP-Headers auf 20 Byte.
  • TCP-SYN: Verwirft TCP-Pakete, bei denen das SYN-Flag gesetzt ist, das ACK-Flag nicht gesetzt ist und der Quellport kleiner als 1024 ist.
  • Null Scan: Verwirft TCP-Pakete, bei denen keine Flags gesetzt sind und die Sequenznummer Null ist.
  • Xmas: Verwirft TCP-Pakete mit der Sequenznummer Null und den FIN-, URG- und PSH-Flags.
  • TCP SYN-FIN: Verwirft TCP-Pakete mit festgelegten SYN- und FIN-Flags.
  • TCP SYN-RST: Verwirft TCP-Pakete mit festgelegten SYN- und RST-Flags.

802.1X

Sophos Switch unterstützt Port-basierte 802.1X Network Access Control zur Authentifizierung von Benutzern und Geräten über einen RADIUS- oder TACACS+-Server.

Globale Einstellungen

Auf der Registerkarte Globale Einstellungen können Sie die 802.1X-Authentifizierung aktivieren oder deaktivieren. Sie können auch Gast-VLAN-Zuweisungen verwalten, die Gast-VLAN-ID festlegen und die Authentifizierungsmethode auswählen.

Sie können die folgenden globalen Einstellungen konfigurieren:

  • Status: Wählen Sie Ein oder Aus, um die 802.1X-Authentifizierung ein- oder auszuschalten. Wählen Sie Nicht festgelegt aus, um die lokal auf dem Switch konfigurierten Einstellungen zu verwenden.
  • Gast-VLAN: Wählen Sie On oder Off. Sie müssen Ein auswählen, um eine Gast-VLAN-ID festzulegen. Wählen Sie Nicht festgelegt, um lokal auf dem Switch konfigurierte Einstellungen zu verwenden.
  • Gast-VLAN-ID: Wählen Sie ein VLAN aus der Liste der definierten VLANs aus.
  • Authentifizierungsmethode: Wählen Sie Lokaler Benutzer, RADIUS oder TACACS+ aus der Dropdown-Liste aus.

Konfigurationsquelle zeigt den Ursprung der Einstellungen an.

Klicken Sie auf Aktualisieren, um die Einstellungen zu speichern, oder auf Löschen, um nicht gespeicherte Änderungen zu löschen.

Port-Einstellungen

Auf der Registerkarte Port-Einstellungen können Sie die Port-Einstellungen konfigurieren und die Authentifizierung mit 802.1X, MAC Authentication Bypass (MAB) oder einer Kombination aus beidem festlegen. Informationen zur Konfiguration von MAB finden Sie unter MAC Authentication Bypass (MAB) konfigurieren.

Wählen Sie die Ports aus, die Sie konfigurieren möchten, und klicken Sie auf Bearbeiten.

Sie können die folgenden Optionen konfigurieren:

  • Modus: Wählen Sie den Port-Modus aus den folgenden Optionen aus:

    • Nicht festgelegt: Verwenden Sie die Einstellungen, die lokal auf dem Switch konfiguriert wurden.
    • Auto: Aktivieren Sie die 802.1X-Authentifizierung auf der Schnittstelle. Wenn Sie Host-basiert für die Authentifizierungsmethode verwenden, müssen Sie Automatisch auswählen.
    • Authentifizierung erzwingen: Blockiert unauthentifizierten Traffic auf der Schnittstelle.
    • Nicht-Authentifizierung erzwingen: Lässt sämtlichen unauthentifizierten Traffic auf der Schnittstelle zu.

  • MAB-Modus: Wählen Sie den MAB-Modus aus den folgenden Optionen aus:

    • Nicht festgelegt: Verwenden Sie die Einstellungen, die lokal auf dem Switch konfiguriert wurden.
    • MAB: Nur MAB verwenden.
    • Hybrid: Versuchen Sie zuerst, sich mit 802.1X zu authentifizieren. Nach drei Fehlversuchen verwendet der Switch stattdessen MAB.
    • Deaktiviert: Verwenden Sie MAB nicht.

  • Authentisierungsmethode: Wählen Sie den Authentifizierungsmodus aus den folgenden Optionen aus:

    • Nicht festgelegt: Verwenden Sie die Einstellungen, die lokal auf dem Switch konfiguriert wurden.
    • Port-basiert: Authentifiziert an jedem Port angeschlossene Hosts.
    • Host-basiert: Authentifiziert den gesamten Traffic an einem einzigen Port.

  • Maximale Hosts: Diese Einstellung gilt nur, wenn die Authentifizierungsmethode auf Host-basiert eingestellt ist. Sie legt die maximale Anzahl an Hosts fest, die mit einem Port verbunden werden können. Legen Sie einen Wert von 1 bis 10 fest.

  • Gast-VLAN: Aktiviert oder deaktiviert Gast-VLAN. Sie müssen diese Option deaktivieren, wenn Sie Host-basiert als Authentifizierungsmethode verwenden.
  • RADIUS VLAN-Zuweisung: Aktiviert oder deaktiviert die RADIUS-VLAN-Zuweisung. Sie müssen diese Option deaktivieren, wenn Sie Host-basiert als Authentifizierungsmethode verwenden.
  • Erneute Authentisierung: Aktiviert oder deaktiviert die erneute Port-Authentifizierung.
  • Zeitraum für erneute Authentisierung: Die Zeit in Sekunden, bis sich der Port neu authentifizieren muss. Legen Sie einen Wert von 30 bis 65535 fest. Die Standardeinstellung ist 3600.
  • Stiller Zeitraum: Die Zeit in Sekunden, bis der Switch versucht, sich nach einem fehlgeschlagenen Authentifizierungsversuch erneut zu authentifizieren. Legen Sie einen Wert von 0 bis 65535 fest. Die Standardeinstellung ist 60.
  • Anfragesteller-Zeitraum: Diese Einstellung steuert die Häufigkeit in Sekunden, mit der der Switch EAP-Anfragen sendet. Der Switch sendet in diesem Intervall drei Anfragen, bevor er zu MAB wechselt. Legen Sie einen Wert von 0 bis 65535 fest. Die Standardeinstellung ist 30.
  • Autorisierungsstatus: Zeigt den Authentifizierungsstatus des angegebenen Ports an.

Konfigurationsquelle zeigt den Ursprung der Port-Einstellungen an.

Klicken Sie auf Aktualisieren, um die Einstellungen zu speichern, oder auf Löschen, um nicht gespeicherte Änderungen zu löschen.

Authentifizierter Host

Auf der Registerkarte Authentifizierter Host werden Informationen zu authentifizierten Hosts angezeigt.

Port-Sicherheit

Auf der Registerkarte Port-Sicherheit können Sie die Anzahl der MAC-Adressen begrenzen, die der Switch auf einem bestimmten Port lernen kann.

Sie können die folgenden Optionen konfigurieren:

  • Port: Der Port, auf den die Einstellungen angewendet werden.
  • Status: Wählen Sie Aktiviert oder Deaktiviert, um Port-Sicherheit ein- oder auszuschalten.
  • Maximale Anzahl an MAC-Adressen: Geben Sie die maximale Anzahl an MAC-Adressen ein, die der Switch auf dem angegebenen Port lernen kann. Die Nummer muss im Bereich von 1 bis 256 liegen.

Konfigurationsquelle zeigt den Ursprung der Port-Sicherheitseinstellungen an.

Klicken Sie auf Aktualisieren, um die Einstellungen zu speichern, oder auf Löschen, um nicht gespeicherte Änderungen zu löschen.

RADIUS-Server

Sie können einen RADIUS-Server verwenden, um Benutzer zu authentifizieren, die auf ein Netzwerk zugreifen. Der RADIUS-Server unterhält eine Benutzerdatenbank, die Authentifizierungsinformationen enthält. Der Switch leitet Informationen an den RADIUS-Server weiter, um einen Benutzer zu authentifizieren, bevor er den Netzwerkzugriff autorisiert.

Sie können die folgenden Optionen konfigurieren:

  • Server-ID: Die ID des RADIUS-Servers.
  • Server-IP: Die IP-Adresse des RADIUS-Servers.
  • Autorisierter Port: Der Port, der für die Kommunikation mit dem RADIUS-Server verwendet wird. Der Standardport ist 1812.
  • Vereinbarter Schlüssel: Die Zeichenfolge, die für die Verschlüsselung der gesamten RADIUS-Kommunikation zwischen dem Gerät und dem RADIUS-Server verwendet wird.
  • Zeitüberschreitung: Die Zeit, die das Gerät auf eine Antwort vom RADIUS-Server wartet, bevor es zum nächsten Server wechselt. Die Standardeinstellung ist 3.
  • Wiederholen: Die Anzahl der an den RADIUS-Server gesendeten Anfragen, bevor ein Fehler auftritt. Die Standardeinstellung ist 3.

Konfigurationsquelle zeigt den Ursprung der RADIUS-Servereinstellungen an.

Um einen neuen RADIUS-Servereintrag zu erstellen, klicken Sie auf Hinzufügen.

Um RADIUS-Servereinträge zu löschen, wählen Sie die Server aus, die Sie entfernen möchten, und klicken Sie auf Löschen.

TACACS+-Server

TACACS+-Server bieten eine zentrale Authentifizierung für den Netzwerkzugriff. TACACS+ wird hauptsächlich für die Verwaltung von Netzwerkgeräten verwendet.

Sie können die folgenden Optionen konfigurieren:

  • Server-IP: Die IP-Adresse des TACACS+-Servers.
  • Priorität: Die Priorität des TACACS+-Servers. Die Priorität bestimmt, welcher Server zuerst für die Authentifizierung kontaktiert wird, wenn Sie mehr als einen TACACS+-Server haben.
  • Autorisierter Port: Der Port, über den der Server zur Authentifizierung kommuniziert. Der Standardport ist 49.
  • Vereinbarter Schlüssel: Der Verschlüsselungsschlüssel, der auf Ihrem TACACS+-Server konfiguriert ist. Dieser muss exakt mit Ihrem TACACS+-Server übereinstimmen.
  • Zeitüberschreitung: Zeitlimit in Sekunden. Die Zeitüberschreitung gibt an, wie lange Sophos Switch auf eine Authentifizierungsantwort wartet, bevor der nächste TACACS+-Server in der Liste versucht wird. Die Standardeinstellung ist 5.

Konfigurationsquelle zeigt den Ursprung der RADIUS-Servereinstellungen an.

Um einen neuen TACACS+-Servereintrag zu erstellen, klicken Sie auf Hinzufügen.

Um TACACS+-Servereinträge zu löschen, wählen Sie die Server aus, die Sie entfernen möchten, und klicken Sie auf Löschen.