Layer2 Filterung ohne 802.1X: Unterschied zwischen den Versionen

Zeile 1: Zeile 1:
 +
=== Layer2 Filterung ohne 802.1X ===
 
Wenn die interne Infrastruktur keine Layer2 Filterung über 802.1X zulässt, besteht bei Cisco<br>
 
Wenn die interne Infrastruktur keine Layer2 Filterung über 802.1X zulässt, besteht bei Cisco<br>
 
IOS die Möglichkeit auch anhand von MAC-Adress-Listen zu filtern. Das schützt zwar nicht die<br> Geräte intern, erlaubt aber die Steuerung welche internen MAC Adressen auch ins Internet bzw.<br> in einen VPN Tunnel dürfen.<br><br>
 
IOS die Möglichkeit auch anhand von MAC-Adress-Listen zu filtern. Das schützt zwar nicht die<br> Geräte intern, erlaubt aber die Steuerung welche internen MAC Adressen auch ins Internet bzw.<br> in einen VPN Tunnel dürfen.<br><br>
 
 
Da wir hier im Beispiel eine Liste nur erlaubter MAC Adresse verwenden, ist das reine Ändern<br> einer Ad-resse für einen Angreifer nicht zielführend.<br><br>
 
Da wir hier im Beispiel eine Liste nur erlaubter MAC Adresse verwenden, ist das reine Ändern<br> einer Ad-resse für einen Angreifer nicht zielführend.<br><br>
 
 
Die Konfiguration wurde auf einer Cisco C886VA getestet:<br><br>
 
Die Konfiguration wurde auf einer Cisco C886VA getestet:<br><br>
 
class-map match-any DROP<br>
 
class-map match-any DROP<br>
 
match any<br><br>
 
match any<br><br>
 
 
class-map match-any ALLOWED<br>
 
class-map match-any ALLOWED<br>
 
match source-address mac AC3A.E34E.240B<br>
 
match source-address mac AC3A.E34E.240B<br>
Zeile 17: Zeile 15:
 
match source-address mac AC3A.E34E.240A<br>
 
match source-address mac AC3A.E34E.240A<br>
 
match source-address mac AC3A.B34E.240C<br><br>
 
match source-address mac AC3A.B34E.240C<br><br>
 
 
policy-map IN-POLICY<br>
 
policy-map IN-POLICY<br>
 
class ALLOWED<br>
 
class ALLOWED<br>
Zeile 23: Zeile 20:
 
drop<br>
 
drop<br>
 
class class-default<br><br>
 
class class-default<br><br>
 
 
interface Vlan1<br>
 
interface Vlan1<br>
 
ip address 192.168.1.1 255.255.255.0<br>
 
ip address 192.168.1.1 255.255.255.0<br>

Version vom 26. Oktober 2020, 07:58 Uhr

Layer2 Filterung ohne 802.1X

Wenn die interne Infrastruktur keine Layer2 Filterung über 802.1X zulässt, besteht bei Cisco
IOS die Möglichkeit auch anhand von MAC-Adress-Listen zu filtern. Das schützt zwar nicht die
Geräte intern, erlaubt aber die Steuerung welche internen MAC Adressen auch ins Internet bzw.
in einen VPN Tunnel dürfen.

Da wir hier im Beispiel eine Liste nur erlaubter MAC Adresse verwenden, ist das reine Ändern
einer Ad-resse für einen Angreifer nicht zielführend.

Die Konfiguration wurde auf einer Cisco C886VA getestet:

class-map match-any DROP
match any

class-map match-any ALLOWED
match source-address mac AC3A.E34E.240B
match source-address mac AC3A.A34E.240B
match source-address mac AC3A.B34E.240B
match source-address mac AC3A.C34E.240B
match source-address mac AC3B.E34E.240B
match source-address mac AC3C.E34E.240B
match source-address mac AC3A.E34E.240A
match source-address mac AC3A.B34E.240C

policy-map IN-POLICY
class ALLOWED
class DROP
drop
class class-default

interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
service-policy input IN-POLICY

Tags

Cisco IOS 802.1X MAC Filter

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben,
melden Sie sich bitte bei uns unter TechCorner@max-it.de.