waishon
Goto Top

UnifiSwitch - Loop Protection

Moin zusammen,

wir planen aktuell ein Upgrade unserer Infrastruktur und würden gerne Unifi Switche einsetzen, da wir ebenfalls mit den Unifi NanoHDs sehr zufrieden sind. Die Unifi Switche erfüllen alle Voraussetzungen die wir benötigen. Insbesondere das zentrale Management ist uns wichtig.

Nur bei einer Funktion werden wir aus der Unifi Dokumentation nicht ganz schlau: Loop Protection, Loop Guard oder wie das sonst so heißt. Unifi spricht immer nur von STP, obwohl dies ja nicht das gleiche ist.

Folgendes Szenario:
Es kommt jemand daher und schließt an einen Netzwerkport einen unmanaged Switch vom Grabbeltisch an und verbindet an diesem sowohl Port 1 und 2. Was folgt ist ein Broadcaststorm, der typische Angriff um ein Netzwerk lahm zu legen.

Wir möchten dies jetzt allerdings verhindern. Ich finde beim Unifi Switch nur die Möglichkeit STP/RSTP zu konfigurieren, aber keine Information zu LoopProtection oder ahnlichem. Meines Wissens verhindert STP/RSTP eine Loop, wenn man Port 1 und 2 am Unifi Switch verbinden würde, aber wohl nicht per Spezifikationen, wenn eine Loop an einem unmamaged Switch, der am STP fähigen Switch hängt, entsteht. Korrigiert mich gerne wenn ich falsch liegen sollte.

Allerdings habe ich ebenfalls gelesen, dass z.B. Cisco das STP Protokoll angepasst hat, dass es die Ports ebenfalls "deaktiviert", wenn auf dem gleichen Port der BPDU wieder rein kommt.
https://community.cisco.com/t5/switching/similar-feature-to-hp-loop-prot ...
This is only partially true. Cisco's implementation of STP is done in such a way that if a port receives a STP BPDU it has originated itself, the port will be automatically put into Blocking state  

Unsere Zyxel GS1920 (leider nicht zentral managbar) haben die Funktion LoopProtection, damit werden die Ports auch sauber abgeschaltet im entsprechenden Szenario.

Hat jemand Erfahrung wie Unifi das umsetzt? Bzw hätte jemand die Möglichkeit dies einmal auszuprobieren? Ich finde zu diesem Thema nichts was sich auf die Unifi Switche bezieht (nicht Edgeswitch).

Content-ID: 519553

Url: https://administrator.de/contentid/519553

Ausgedruckt am: 17.11.2024 um 01:11 Uhr

Visucius
Visucius 27.11.2019 um 22:29:43 Uhr
Goto Top
Ich will den Kollegen nicht vorgreifen, glaube aber, dass Du mit der Frage in der Ubiquiti Community besser (evtl. auch schneller) aufgehoben bist face-wink

https://community.ui.com
107235
107235 27.11.2019 um 23:00:12 Uhr
Goto Top
Mit diesem Risiko wirst du immer leben müssen. Einen vollständigen Schutz gegen die Folgen eines Loops gibt es nicht.
Spirit-of-Eli
Spirit-of-Eli 28.11.2019 um 07:24:25 Uhr
Goto Top
Zitat von @107235:

Mit diesem Risiko wirst du immer leben müssen. Einen vollständigen Schutz gegen die Folgen eines Loops gibt es nicht.

Es gibt tatsächlich schon Lösungen dafür. Diese lassen sich aber mit Unifi nicht ansatzweise umsetzten.

Z.b. könnte man mit einer NAC Lösung die komplette Netzwerk Infrastruktur quasi als trusted zone definieren und jegliche neuen Komponenten müssen authoriziert werden.
aqui
aqui 28.11.2019 aktualisiert um 09:18:25 Uhr
Goto Top
UniFi ist ein Billiganbieter der Loop Protection nicht supportet. Mal ganz abgesehen davon das die aus dem WiFi Bereich kommen. Deren Switches sind nicht selber entwickelt sondern zugekaufte und OEMte Massenware von Accton, Taiwan. Da darf man seine Erwartungen an solche Features nicht zu hoch schrauben.
Du hast es oben schon sehr richtig beschrieben. Die Loop Protection schützt den Switch vor BPDU Loops am gleichen Port. Spanning Tree (und hier sollte man ausschliesslich nur noch RSTP verwenden !) kann generell BPDU Loops am gleichen Port nicht erkennen, nur auf unterschiedlichen Ports.
Genau dein Killerszenario mit dem kleinen Blödmarkt Switch deckt Spanning Tree nicht ab, dafür braucht es die Loop Protection.
Sehr richtig ist dann auch BPDU Guard einzurichten, denn das verhindert das jemand mit dem Blödmarkt Switch deinen Spanning Tree Topologie kapert (Root Bridge) und so das netz in den Orkus reisst. Alles sehr sinnvolle Features die ein moderner Switch auch aus dem Mittelsegment heute haben sollte. Siehe Zyxel ! Premium Switches haben es sowieso alle.
Du solltest dir also sehr gut überlegen ob ein fachfremder Hersteller der nicht aus dem Routing und Switching Umfeld kommt mit zugekauften Produkten im Portfolio die richtige Wahl für dein Netzwerk ist ? Und das wo du richtigerweise diese Security Anforderungen stellst. Wenn du schon eine gute Zyxel Basis hast warum bleibst du nicht sinnvollerweise dabei zumal diese Switches deine Anforderungen ja erfüllen. Zyxel ist ein langjähriger Hersteller in diesem Bereich mit entsprechend ausgereiften Produkten. Zyxel und jeder andere Hersteller bietet auch ein SW Management an mit dem alle Switches zentral Managebar sind.
107235
107235 28.11.2019 um 14:39:48 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Zitat von @107235:

Mit diesem Risiko wirst du immer leben müssen. Einen vollständigen Schutz gegen die Folgen eines Loops gibt es nicht.

Es gibt tatsächlich schon Lösungen dafür. Diese lassen sich aber mit Unifi nicht ansatzweise umsetzten.

Z.b. könnte man mit einer NAC Lösung die komplette Netzwerk Infrastruktur quasi als trusted zone definieren und jegliche neuen Komponenten müssen authoriziert werden.

NAC ist ja kein Loop Schutz per Se.
Zugriffsschutz auf die Hardware und Authorisierung von Verbindungen ist immer eine gute Idee.

Einen vollständigen Schutz gegen Loops die einen Broadcaststorm verursachen gibt es nicht.
Interessanter ist die Frage, wie schnell reagieren die Schutzmaßnahmen und wie lange braucht das Netzwerk bis es von allein wieder forwarded.

Nichtbefugte oder Nichtbeauftragte sollten kein Patchkabel stecken.
Spirit-of-Eli
Spirit-of-Eli 28.11.2019 um 14:54:20 Uhr
Goto Top
Zitat von @107235:
NAC ist ja kein Loop Schutz per Se.
Zugriffsschutz auf die Hardware und Authorisierung von Verbindungen ist immer eine gute Idee.

Ne, aber wenn keine Geräte angeschlossen werden können die nicht kontrolliert werden, tritt das Problem gar nicht erst auf.
107235
107235 28.11.2019 um 14:59:08 Uhr
Goto Top
Ja, was ist aber wenn das angeschlossene Geräte keine Mac Adresse hat? Und hinter einem aktiven Link ist?
Spirit-of-Eli
Spirit-of-Eli 28.11.2019 um 15:18:30 Uhr
Goto Top
Ich sprach doch auch von vernünftiger HW.
107235
107235 28.11.2019 um 15:23:25 Uhr
Goto Top
Auch wenn bei vernünftiger Hardware das Risiko geringer ist, kann ich dir dazu eine Story erzählen.

Der TO hat Angst vor Kollegen die es nicht besser wissen. Die gibt es zu hauf.
Spirit-of-Eli
Spirit-of-Eli 28.11.2019 um 17:22:22 Uhr
Goto Top
Mir scheint eher das du solche eine Lösung noch nicht gesehen hast.
Gehen tut das sehr wohl.
107235
107235 28.11.2019 um 17:31:39 Uhr
Goto Top
NAC Lösungen? Doch kenne ich, ganz gut sogar.

Ich komme aber aus der Praxis und habe schon ganze Industriestandorte stehen sehen, weil eine Netzwerkkomponente, Sachen gemacht hat, die sich niemand vorstellen konnte und diese Komponente auch eigentlich nicht machen sollte.

Es gibt viel Hardware, die nur einen Port enthält und durch die integrierte Bridge ordentlich für Verwunderung sorgen kann.

Du wirst erstaunt sein was es z.b. aus dem Hause Siemens würde Industrial Bereich für kleines fieses Zeug gibt. Da sind so Spielereien wie MAC Adressen kopieren noch verhältnismäßig harmlos.