11.7 Schutz vor unautorisierten Switches im Unternehmensnetz

Der Schutz vor unautorisierten Switches im Unternehmensnetz ist eine der wichtigsten Maßnahmen auf der Access-Schicht, weil ein einziges unerwartet angeschlossenes Netzwerkgerät die Stabilität, Sichtbarkeit und Sicherheit eines ganzen LAN-Bereichs beeinträchtigen kann. In vielen Unternehmen konzentriert sich die Sicherheitsplanung stark auf Firewalls, VPNs, Serverhärtung oder Benutzerrechte. Diese Themen sind wichtig, doch ein lokales Netzwerk bleibt verwundbar, wenn an offenen Access-Ports beliebige Switches, Mini-Hubs oder andere aktive Netzgeräte angeschlossen werden können. Ein unautorisierter Switch ist nicht nur ein harmloser Verteiler. Er kann neue Endgeräte in das interne Netz bringen, VLAN-Grenzen indirekt schwächen, Broadcast-Domänen unnötig erweitern, lokale Angriffe erleichtern oder sogar Einfluss auf Spanning Tree und die Layer-2-Topologie nehmen. Für CCNA, Netzwerkpraxis und Cybersecurity ist dieses Thema deshalb besonders relevant. Es zeigt sehr klar, dass Netzwerksicherheit nicht erst an Servern oder am Perimeter beginnt, sondern direkt am Switch-Port. Wer unautorisierte Switches wirksam verhindert, schützt damit einen zentralen Eintrittspunkt in das Unternehmensnetz.

Warum unautorisierte Switches ein Sicherheitsproblem sind

Ein zusätzlicher Switch erweitert das interne Netz ungeplant

Wenn an einem Access-Port ein privater oder nicht freigegebener Switch angeschlossen wird, entsteht sofort eine neue Verteilungsstelle im Netzwerk. Aus einem einzelnen vorgesehenen Endgeräteanschluss wird dann ein kleiner lokaler Verteiler, an dem mehrere weitere Systeme betrieben werden können. Genau das widerspricht in vielen Unternehmensnetzen der geplanten Access-Sicherheit.

• mehrere Geräte können hinter einem einzelnen Port betrieben werden
• die Zahl der tatsächlich verbundenen Systeme steigt unkontrolliert
• unbekannte Geräte erhalten Zugang zum internen VLAN
• die Nachvollziehbarkeit von Anschlüssen sinkt

Damit wird aus einem klar definierten Zugangspunkt ein unkontrollierter Netzbereich.

Ein fremder Switch ist mehr als nur ein „Mehrfachstecker“

Viele Benutzer oder sogar manche IT-fernen Entscheider betrachten kleine Switches als harmlose Erweiterung, ähnlich wie eine Steckdosenleiste. Aus Netzwerksicht ist das falsch. Ein Switch ist ein aktives Infrastrukturgerät, das MAC-Adressen lernt, Broadcasts weitergibt und lokale Topologieverhältnisse verändern kann. Genau deshalb muss sein Einsatz kontrolliert werden.

Typische Szenarien mit unautorisierten Switches

Privater Mini-Switch am Arbeitsplatz

Ein klassisches Szenario ist ein Mitarbeiter, der mehr Netzwerkanschlüsse benötigt und deshalb eigenständig einen kleinen unmanaged Switch anschließt. Technisch funktioniert das oft sofort. Sicherheitstechnisch entstehen dadurch jedoch mehrere Probleme, weil plötzlich zusätzliche Geräte am Port auftauchen, die weder geplant noch dokumentiert sind.

• zweiter Laptop oder privates Gerät wird angeschlossen
• Drucker oder IoT-Gerät landet im falschen Segment
• Gäste oder Fremdgeräte bekommen Zugang zum Unternehmensnetz

Falsch angeschlossener zusätzlicher Access-Switch

Problematischer wird es, wenn ein echter Switch mit Uplink-Funktion, STP-Verhalten oder sogar VLAN-Fähigkeiten unerlaubt in ein Netz eingebracht wird. Dann entstehen nicht nur zusätzliche Anschlüsse, sondern auch potenzielle Auswirkungen auf die Layer-2-Topologie. Gerade dann werden BPDU Guard, Root Guard und Portrollen besonders wichtig.

Externe Dienstleister oder temporäre Installationen

Auch in Konferenzräumen, Veranstaltungsflächen, Schulungsräumen oder temporären Projektbereichen werden häufig Netzwerkgeräte improvisiert angeschlossen. Wenn diese nicht in das offizielle Design integriert sind, entsteht schnell ein Schattennetz innerhalb des Unternehmensnetzes.

Welche Risiken durch unautorisierte Switches entstehen

Mehr unbekannte Geräte im Produktivnetz

Das offensichtlichste Risiko besteht darin, dass über den zusätzlichen Switch weitere Systeme in das interne Netz gelangen. Selbst wenn der ursprüngliche Port legitim genutzt wird, sind die dahinter angeschlossenen Geräte oft nicht kontrolliert. Das kann zu einem erheblich größeren Vertrauensraum führen als geplant.

• private Geräte gelangen in interne VLANs
• Testsysteme oder unsichere Geräte werden aktiv
• fremde Hosts kommunizieren mit internen Diensten
• Asset- und Inventarkontrolle wird erschwert

Layer-2-Angriffe werden erleichtert

Ein zusätzlicher Switch kann nicht nur Endgeräte verteilen, sondern auch lokale Angriffe vereinfachen. ARP-Spoofing, Rogue-DHCP, MAC-Flooding oder andere Layer-2-Manipulationen werden eher möglich, wenn unkontrolliert mehrere Geräte hinter einem Port betrieben werden. Die physische Hürde für interne Angriffe sinkt deutlich.

Topologie und Spanning Tree können beeinflusst werden

Besonders kritisch wird es, wenn ein unautorisierter Switch selbst BPDUs sendet oder auf andere Weise Einfluss auf Spanning Tree nimmt. Dann drohen nicht nur lokale Sichtbarkeitsprobleme, sondern auch topologische Veränderungen, Root-Bridge-Probleme oder im schlimmsten Fall Schleifen und Broadcast-Stürme.

Fehlersuche wird deutlich schwieriger

Ein nicht dokumentierter Switch macht den Betrieb unübersichtlicher. Wenn hinter einem Port plötzlich mehrere MAC-Adressen, wechselnde Geräte oder unerwartete Kommunikationsmuster auftreten, wird die Analyse von Störungen, Sicherheitsvorfällen oder Segmentierungsproblemen deutlich komplizierter.

Warum Access-Ports besonders geschützt werden müssen

Der Access-Port ist der Eintrittspunkt ins interne Netz

In einem geswitchten Unternehmensnetz ist der Access-Port die erste logische Sicherheitsgrenze für Endgeräte. Dort entscheidet sich, welches VLAN ein Gerät erhält, wie viele MAC-Adressen akzeptiert werden und ob nur ein einzelner Client oder plötzlich eine kleine Kaskade von Geräten hinter dem Port aktiv ist. Genau deshalb ist Access-Sicherheit ein Kernthema der Layer-2-Härtung.

• Portrolle klar definieren
• nur erwartete Gerätetypen zulassen
• unerwartetes Switch-Verhalten erkennen
• physische Netzerweiterung unterbinden

Ein offener Port ist ein Vertrauensangebot

Wenn ein Port ohne Begrenzung jede MAC-Adresse akzeptiert und keine STP-Schutzmechanismen besitzt, vertraut das Netz implizit jedem Gerät, das dort angeschlossen wird. Genau dieses blinde Vertrauen ist in modernen Unternehmensnetzen unnötig riskant.

Port Security als wichtigste Schutzmaßnahme

Port Security begrenzt die Zahl der erlaubten MAC-Adressen

Die direkteste und oft wirksamste Maßnahme gegen unautorisierte Switches ist Port Security. Wenn an einem Access-Port nur eine oder wenige MAC-Adressen erlaubt sind, fällt ein Mini-Switch hinter diesem Port sehr schnell auf, weil plötzlich mehrere MAC-Adressen erscheinen.

Ein einfaches Beispiel für einen Arbeitsplatzport lautet:

interface fastethernet0/10
 switchport mode access
 switchport access vlan 10
 switchport port-security
 switchport port-security maximum 1

Damit ist nur eine MAC-Adresse an diesem Port zulässig. Ein zusätzlicher Switch mit mehreren Geräten dahinter würde einen Verstoß auslösen.

Bei Telefon plus PC die Grenze passend anpassen

In Umgebungen mit IP-Telefonen kann es legitim sein, dass an einem Port zwei MAC-Adressen erscheinen: eine für das Telefon und eine für den dahinter angeschlossenen PC. Genau deshalb muss Port Security realistisch konfiguriert werden.

interface fastethernet0/11
 switchport mode access
 switchport access vlan 10
 switchport port-security
 switchport port-security maximum 2

So bleibt der Port praxistauglich, ohne beliebig viele Geräte zuzulassen.

Sticky MAC als praxistaugliche Ergänzung

Der Switch merkt sich bekannte Geräte automatisch

Eine besonders praktische Form von Port Security ist Sticky MAC. Dabei lernt der Switch die erlaubte MAC-Adresse dynamisch und behandelt sie anschließend wie eine gesicherte Adresse. Das ist hilfreich, wenn nicht jede MAC-Adresse manuell dokumentiert und eingetragen werden soll.

interface fastethernet0/10
 switchport mode access
 switchport access vlan 10
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address sticky

Wenn später plötzlich weitere MAC-Adressen hinter einem unerlaubten Switch auftauchen, erkennt der Port die Abweichung.

Sticky ersetzt keine Betriebspflege

Auch Sticky MAC muss sinnvoll verwaltet werden. Bei Gerätewechseln, Arbeitsplatzumzügen oder Hardwaretausch sollten alte Bindungen überprüft und bei Bedarf entfernt werden. Sonst entstehen vermeidbare Violation-Meldungen.

Violation Modes richtig einsetzen

Was passiert, wenn ein unerlaubter Switch erkannt wird?

Port Security kann unterschiedlich auf Regelverstöße reagieren. Diese Reaktion ist wichtig, weil sie bestimmt, ob ein unautorisierter Switch nur protokolliert, teilweise begrenzt oder sofort effektiv abgeschaltet wird.

Typische Modi sind:

• shutdown – der Port geht in einen Error-Disabled-Zustand
• restrict – unerlaubte Frames werden verworfen und Verstöße gezählt
• protect – unerlaubte Frames werden verworfen, oft mit weniger sichtbarer Reaktion

Für sicherheitskritische Benutzerports ist shutdown oft sinnvoll

Wenn ein Access-Port nur für genau ein Endgerät vorgesehen ist, ist der Modus shutdown häufig die sicherste Option. Ein nicht autorisierter Switch führt dann sofort zu einer deutlichen Störung des Ports und fällt schneller auf.

interface fastethernet0/10
 switchport port-security violation shutdown

Gerade in stark regulierten oder klar dokumentierten Netzen ist das ein sinnvoller Standard.

BPDU Guard gegen aktive Switches an Endgeräteports

Ein echter Switch sendet oft BPDUs

Port Security schützt über MAC-Adressen. Wenn hinter einem Port jedoch ein echter Switch angeschlossen wird, kann zusätzlich das Spanning Tree Protocol betroffen sein. Ein solches Gerät sendet möglicherweise BPDUs. Genau hier ist BPDU Guard eine sehr wichtige Ergänzung, weil ein normaler Endgeräteport keine BPDUs empfangen sollte.

interface fastethernet0/10
 switchport mode access
 spanning-tree portfast
 spanning-tree bpduguard enable

Wenn an diesem Port ein unautorisierter Switch BPDUs sendet, wird der Port in einen Fehlerzustand versetzt. Damit wird nicht nur der zusätzliche Anschluss, sondern auch ein potenzieller Topologieeinfluss verhindert.

BPDU Guard ergänzt Port Security ideal

Port Security erkennt zu viele MAC-Adressen oder unerwartete Geräte hinter dem Port. BPDU Guard erkennt aktives Switch-Verhalten. Gemeinsam bilden beide Mechanismen einen sehr starken Schutz gegen nicht autorisierte Layer-2-Geräte an Benutzerports.

Root Guard und Topologieschutz in der Verteilung

Nicht jeder unerlaubte Switch hängt an einem klassischen User-Port

In manchen Umgebungen tauchen zusätzliche Switches nicht nur an Benutzeranschlüssen auf, sondern an Links, an denen zwar Switch-Verkehr legitim ist, aber keine Root-Übernahme stattfinden darf. Dort ist Root Guard sinnvoll, um die geplante STP-Hierarchie zu schützen.

interface gigabitethernet0/2
 spanning-tree guard root

Root Guard ist damit kein Ersatz für BPDU Guard an Endgeräteports, sondern ein ergänzender Schutz gegen unerwartete STP-Einflüsse in hierarchischen Switch-Strukturen.

Topologieschutz ist Teil des Schutzes gegen unerlaubte Infrastruktur

Ein unautorisierter Switch ist nicht nur wegen seiner zusätzlichen Ports gefährlich. Er kann auch versuchen, die Layer-2-Topologie zu beeinflussen. Root Guard hilft, genau diesen Aspekt unter Kontrolle zu halten.

DHCP Snooping und Dynamic ARP Inspection als zusätzliche Schutzschicht

Ein unerlaubter Switch kann weitere Geräte und Dienste ins Netz bringen

Wenn hinter einem unautorisierten Switch mehrere Systeme betrieben werden, können diese nicht nur normal kommunizieren, sondern auch als Rogue-DHCP-Server auftreten oder ARP-basierte Angriffe durchführen. Deshalb lohnt sich eine Kombination mit DHCP Snooping und Dynamic ARP Inspection.

• DHCP Snooping verhindert unerlaubte DHCP-Antworten
• DAI schützt vor ARP-Spoofing
• Port Security verhindert oder begrenzt die Anzahl der Geräte

Gerade gemeinsam erzeugen diese Funktionen eine deutlich robustere Access-Sicherheit.

Einzelmaßnahmen reichen oft nicht allein aus

Ein Netzwerk ist sicherer, wenn mehrere Layer-2-Schutzmechanismen ineinandergreifen. Ein unerlaubter Switch, der Port Security umgeht oder in einem Sonderfall nicht sofort erkannt wird, trifft dann immer noch auf weitere Barrieren wie DHCP Snooping oder BPDU Guard.

VLAN-Segmentierung und klare Access-Rollen

Ein Port sollte nicht nur sicher, sondern auch logisch sauber definiert sein

Der Schutz vor unautorisierten Switches beginnt nicht nur bei Sicherheitsfeatures, sondern auch bei sauberem Design. Ein Access-Port sollte klar dokumentiert sein: Welche Rolle hat er, welches VLAN trägt er, wie viele Geräte sind legitim, und welche Schutzmechanismen gelten?

• Benutzer-VLAN klar definieren
• Gast- und IoT-Bereiche trennen
• Management-VLANs nicht an normale Access-Ports bringen
• Trunks nur dort verwenden, wo sie wirklich nötig sind

Falsch konfigurierte Ports erleichtern Schattennetzwerke

Wenn Access-Ports zu offen oder gar trunkfähig sind, wird die Gefahr durch unerlaubte Switches noch größer. Gute Portrollen sind deshalb eine wichtige Grundlage dafür, dass zusätzliche Geräte nicht unbemerkt ganze Segmentlogiken unterlaufen.

Physische und organisatorische Schutzmaßnahmen

Nicht jede Lösung ist rein technisch

Auch physische Sicherheit spielt eine Rolle. Offene Netzwerkdosen in öffentlich zugänglichen Bereichen, unbeschriftete Ports oder unkontrollierte Patchfelder erhöhen das Risiko, dass jemand unerlaubt Infrastruktur anschließt. Technische Schutzmaßnahmen sind entscheidend, aber nicht die einzige Ebene.

• Netzwerkanschlüsse in kritischen Bereichen kontrollieren
• Patchfelder und Verteilerräume sichern
• Ports dokumentieren und beschriften
• Richtlinien gegen private Netzgeräte durchsetzen

Awareness im Unternehmen reduziert Fehlverhalten

Viele unerlaubte Switches entstehen nicht aus Angriffsabsicht, sondern aus Bequemlichkeit. Mitarbeiter wollen „nur schnell“ mehr Anschlüsse schaffen. Genau deshalb helfen auch klare Richtlinien und Aufklärung darüber, warum private Switches im Unternehmensnetz problematisch sind.

Wichtige Cisco-Befehle zur Erkennung und Prüfung

Mehrere MAC-Adressen an einem Port sind ein Warnsignal

Ein erster Blick sollte immer auf gelernte MAC-Adressen und Portverhalten gehen. Hilfreiche Cisco-Befehle sind:

show mac address-table
show port-security
show port-security interface fastethernet0/10
show spanning-tree
show logging
show running-config

show mac address-table zeigt, wie viele MAC-Adressen an einem Port gelernt wurden. show port-security und show port-security interface geben Aufschluss über Grenzwerte, Violations und gelernte Adressen. show logging hilft, BPDU- oder Security-Verstöße sichtbar zu machen.

Topologie- und Portanomalien systematisch prüfen

Wenn ein Port plötzlich ungewöhnlich viele MAC-Adressen, BPDU-Verhalten oder unerwartete Broadcast-Muster zeigt, sollte immer geprüft werden, ob dort ein nicht autorisierter Switch oder ein ähnliches Gerät angeschlossen wurde. Gute Beobachtung der Access-Schicht ist dafür zentral.

Typische Fehler beim Schutz gegen unerlaubte Switches

Port Security nicht oder zu weich konfigurieren

Ein häufiger Fehler ist, Access-Ports ohne Port Security zu betreiben oder die MAC-Grenzen viel zu hoch zu setzen. Dann bleibt der Port faktisch offen für mehrere Geräte. Auch ein zu milder Violation Mode kann dazu führen, dass Verstöße nicht schnell genug sichtbar werden.

BPDU Guard auf Benutzerports vergessen

Wenn an einem Access-Port ein echter Switch angeschlossen wird, reicht Port Security allein unter Umständen nicht aus, um Topologieeinfluss sicher zu verhindern. BPDU Guard ist deshalb eine sehr wichtige Ergänzung, wird aber in der Praxis häufig vergessen.

Uplinks und Access-Ports nicht sauber unterscheiden

Ein weiterer Fehler ist, Portrollen nicht klar zu definieren. Wenn nicht dokumentiert ist, welcher Port ein User-Port und welcher ein Uplink ist, werden Schutzfunktionen oft falsch oder inkonsistent eingesetzt. Gute Access-Sicherheit beginnt mit sauberer Rollenlogik.

Warum dieses Thema für CCNA und Netzwerksicherheit unverzichtbar ist

Es zeigt, wie wichtig die Access-Schicht wirklich ist

Der Schutz vor unautorisierten Switches macht sehr deutlich, dass Netzwerksicherheit nicht nur aus Perimeter-Firewalls und Serverhärtung besteht. Ein offener Access-Port kann ein erheblicher Schwachpunkt sein, wenn dort unerlaubt Infrastruktur angeschlossen wird. Wer diesen Bereich kontrolliert, reduziert eine zentrale lokale Angriffsfläche.

• Port Security schützt gegen zusätzliche Geräte
• BPDU Guard schützt gegen unerwartete Switch-BPDUs
• Root Guard schützt die geplante Topologie
• DHCP Snooping und DAI ergänzen die lokale Abwehr

Ein sicheres Unternehmensnetz beginnt mit kontrollierten Ports

Am Ende ist die wichtigste Erkenntnis sehr klar: Ein Unternehmensnetz bleibt nur dann strukturiert und sicher, wenn nicht jeder physische Anschluss zur freien Erweiterung des LAN missbraucht werden kann. Der Schutz vor unautorisierten Switches ist deshalb kein Nebenthema, sondern ein grundlegender Bestandteil professioneller Access-Sicherheit und moderner Cisco-Netzwerkpraxis.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.