Dieses Buch von Eric Vyncke und Christopher Paggen (CCIE No. 2659) hat 340 Seiten und tr\u00e4gt den Untertitel “A practical guide to hardening Layer 2 devices and stopping campus network attacks” und ist im August 2007 bei Cisco Press erschienen.<\/p>\n
Security im Layer 2-Bereich ist ein h\u00e4ufg vernachl\u00e4ssigtes Thema. Zum einen ist es noch nicht sehr lange ein wichtiges Thema in den Cisco Security-Kursen, zum anderen wird die Layer2-Struktur von vielen auch als komplett transparent angesehen. Die aktuellen Cisco Catalyst Switche bieten aber sehr viele Funktionen, um dem Netzwerk eine weitere Verteidigungslinie hinzuzuf\u00fcgen. Und darum geht es in diesem Buch.<\/p>\n
Nach der obligatorischen Einf\u00fchrung in die Netzwerk-Sicherheit werden der Reihe nach diverse Layer2-Protokolle und Switch-Funktionen angesprochen und gezeigt, wie diese abgesichert werden. Das geht mit dem Lern-Prozess einer Bridge los und \u00fcber Angriffe auf das Spanning-Tree-Protokoll zu VLANs, DHCP, IPv4 ARP und Iv6 Neighbor Discovery, PoE, HSRP, VRRP zu CDP, VTP, DTP, LACP und PAgP weiter.
\nIn diesen 10 Kapiteln werden die grunds\u00e4tzlichen Sicherungsma\u00dfnahmen gut erkl\u00e4rt und mit kleinen Beispielen erg\u00e4nzt. Die Beispiele sind meiner Meinung nach etwas zu knapp, wenn man diese Funktionen auf seinen Switchen aktivieren m\u00f6chte, geh\u00f6rt auf jeden Fall noch ein weiteres Nachschlagen in der Command-Referenz und dem Configuration-Guide hinzu.<\/p>\n
Die n\u00e4chsten vier Kapitel besch\u00e4ftigen sich mit der Abwehr von DOS-Angriffen. Dabei geht es haupts\u00e4chlich um das Control Plane Policing, das je nach Plattform in Hard- oder Software implementiert sein kann.<\/p>\n
Ein weiteres Kapitel erkl\u00e4rt die Unterschiede der Router-, VLAN- und Port ACLs.<\/p>\n
Kapitel 17 besch\u00e4ftigt sich dann mit den Identity-Based Networking Services, 802.1X. Diese 28 Seiten sind eine der besten Beschreibungen dieses immer wichtiger werdenden Protokolls. Die Grundfunktionen werden erkl\u00e4rt, auf Erweiterungen wie MAC-basierte Ausnahmen und Guest-VLANs wird eingegangen und gezeigt, wie 802.1X zusammen mit anderen Security-Funktionen arbeiten kann.<\/p>\n
Die letzten beiden Kapitel sind \u00fcberschrieben mit “What is next in LAN Security” und handelt von 802.1AE (LanSec) und L2TPv3 Secure Pseudowire.<\/p>\n
Insgesamt ist “LAN Switch Security” ein hervorragendes Buch. Auch wenn man nicht direkt vor hat, seine Layer 2-Umgebung umzukonfigurieren, sollte jeder Cisco-Admin, der f\u00fcr die Switche zust\u00e4ndig ist, dieses Buch lesen. Auch ist es eine sehr gute Erg\u00e4nzung, wenn einem das Security-Kapitel nach dem Besuch des Trainings BCMSN (Building Cisco Multilayer Switched Networks) doch etwas zu knapp vorkam. Wer sich nach dem CCSP auf den CCIE Security vorbereitet, wird feststellen, da\u00df fast alles, was in diesem Buch behandelt wird, Pflichtwissen ist.<\/p>\n