Suchen

Erweiterte Port- und Netzwerküberwachung Sicherheitsfunktionen für Barox-Switches

| Autor / Redakteur: Bernhard Lück / Dipl.-Ing. (FH) Andreas Donner

Barox, ein Hersteller von Switches für Videonetzwerke, erhöht mit „Smart Sticky“ die Netzwerksicherheit seiner RY-Switches. Das Tool könne die MAC- und IP-Adressen von allen angeschlossenen Geräten lernen und automatisiert in die Konfiguration übernehmen.

Firma zum Thema

„Smart Sticky“: Nur Geräte mit bekannter MAC- und IP-Adresse können im Netzwerk betrieben werden.
„Smart Sticky“: Nur Geräte mit bekannter MAC- und IP-Adresse können im Netzwerk betrieben werden.
(Bild: Barox)

„Smart Sticky“ gehe über den traditionellen Geräteschutz mittels MAC-Filter hinaus, welcher allein einen nur einfachen Schutz vor unerwünschtem Netzwerkzugriff biete, aber beispielsweise nicht vor MAC-Spoofing schützen könne – beim „MAC-Spoofing“ werden grundlegende Adressierungssysteme in Computernetzen manipuliert, um die eigene Identität zu verbergen oder eine andere zu imitieren.

Bei Aktivierung seien die „Smart-Sticky“-Funktionen in der Lage, die gesamte MAC- und IP-Adresskonfiguration aller Ports eines Netzwerks zu lernen und diese einzufrieren. Dies biete Schutz vor einem unerlaubten Zugriff auf die Ports der Switches, da nur noch autorisierte MAC- und IP-Adressen an jedem Port akzeptiert werden. Nur Geräte mit bekannter MAC- und IP-Adresse könnten damit im Netzwerk betrieben werden.

Sind nicht verwaltete Switches am Barox-Switch angeschlossen, könnten mit der so genannten "Limit Control"-Funktion, die alle über einen unmanaged Switch angeschlossenen Geräte kennt und den entsprechenden managed Port am eigenen Switch auf diese Geräte, IP- und MAC-Adressen limitiert, unbekannte Geräte und die Nutzung freier Ports blockiert werden. Freie IP/Ethernet-Ports am unmanaged Switch werden damit blockiert und der Zugriff über diese Netzwerk-Ports verhindert. Auch ein Abstecken einzelner Komponenten von aktiven Ports eines unmanaged Switches und ein dortiges Einstecken eines Rouge-Geräts wird damit vereitelt, bzw. dieses Gerät vom Netzwerk ausgeschlossen.

Alternativ zur automatischen Speicherung der Netzwerkadressen sei es möglich, die angeschlossenen Geräte auch über eine grafische Weboberfläche manuell einzutragen und zu verwalten.

Switches könnten außerdem so eingestellt werden, dass sie den spezifische Port-In/Out-TCP-Stream lernen und damit eine White-/Blacklist-Konfiguration steuern. So wird ein an einem Port unüblicher Traffic sicher erkannt und blockiert – so ändert sich bspw. das Traffic-Muster, wenn eine Überwachungskamera unbefugt gegen ein Spoofing-Device oder einen Rouge Access Point ausgetauscht wird. Zudem müssten alle Änderungen an der Netzwerk- bzw. der Gerätekonfiguration angeschlossener Devices zuerst genehmigt werden, um wirksam zu werden.

(ID:46202817)