Dieses Buch von Eric Vyncke und Christopher Paggen (CCIE No. 2659) hat 340 Seiten und trägt den Untertitel “A practical guide to hardening Layer 2 devices and stopping campus network attacks” und ist im August 2007 bei Cisco Press erschienen.
Security im Layer 2-Bereich ist ein häufg vernachlässigtes Thema. Zum einen ist es noch nicht sehr lange ein wichtiges Thema in den Cisco Security-Kursen, zum anderen wird die Layer2-Struktur von vielen auch als komplett transparent angesehen. Die aktuellen Cisco Catalyst Switche bieten aber sehr viele Funktionen, um dem Netzwerk eine weitere Verteidigungslinie hinzuzufügen. Und darum geht es in diesem Buch.
Nach der obligatorischen Einführung in die Netzwerk-Sicherheit werden der Reihe nach diverse Layer2-Protokolle und Switch-Funktionen angesprochen und gezeigt, wie diese abgesichert werden. Das geht mit dem Lern-Prozess einer Bridge los und über Angriffe auf das Spanning-Tree-Protokoll zu VLANs, DHCP, IPv4 ARP und Iv6 Neighbor Discovery, PoE, HSRP, VRRP zu CDP, VTP, DTP, LACP und PAgP weiter.
In diesen 10 Kapiteln werden die grundsätzlichen Sicherungsmaßnahmen gut erklärt und mit kleinen Beispielen ergänzt. Die Beispiele sind meiner Meinung nach etwas zu knapp, wenn man diese Funktionen auf seinen Switchen aktivieren möchte, gehört auf jeden Fall noch ein weiteres Nachschlagen in der Command-Referenz und dem Configuration-Guide hinzu.
Die nächsten vier Kapitel beschäftigen sich mit der Abwehr von DOS-Angriffen. Dabei geht es hauptsächlich um das Control Plane Policing, das je nach Plattform in Hard- oder Software implementiert sein kann.
Ein weiteres Kapitel erklärt die Unterschiede der Router-, VLAN- und Port ACLs.
Kapitel 17 beschäftigt sich dann mit den Identity-Based Networking Services, 802.1X. Diese 28 Seiten sind eine der besten Beschreibungen dieses immer wichtiger werdenden Protokolls. Die Grundfunktionen werden erklärt, auf Erweiterungen wie MAC-basierte Ausnahmen und Guest-VLANs wird eingegangen und gezeigt, wie 802.1X zusammen mit anderen Security-Funktionen arbeiten kann.
Die letzten beiden Kapitel sind überschrieben mit “What is next in LAN Security” und handelt von 802.1AE (LanSec) und L2TPv3 Secure Pseudowire.
Insgesamt ist “LAN Switch Security” ein hervorragendes Buch. Auch wenn man nicht direkt vor hat, seine Layer 2-Umgebung umzukonfigurieren, sollte jeder Cisco-Admin, der für die Switche zuständig ist, dieses Buch lesen. Auch ist es eine sehr gute Ergänzung, wenn einem das Security-Kapitel nach dem Besuch des Trainings BCMSN (Building Cisco Multilayer Switched Networks) doch etwas zu knapp vorkam. Wer sich nach dem CCSP auf den CCIE Security vorbereitet, wird feststellen, daß fast alles, was in diesem Buch behandelt wird, Pflichtwissen ist.
Spende hiermit ein “t” für die Überschrift (“Swich”) 😉
Lange hat es gedauert, aber nun ist die Überschrift endlich komplett … 😉 Danke. Wo sind sonst noch Fehler? 😉