March 29, 2026

21.8 Mini-Projekt: Ein kleines Firmennetz sicher absichern

Ein kleines Firmennetz sicher abzusichern ist eine der praxisrelevantesten Aufgaben im Netzwerkbetrieb. Gerade in kleineren Unternehmen sind Budgets, Personalressourcen und Zeit oft begrenzt, während gleichzeitig dieselben grundlegenden Risiken bestehen wie in größeren Infrastrukturen: unzureichend segmentierte Netze, unsichere Benutzerzugänge, schlecht geschützte Management-Schnittstellen, unkontrollierte Endgeräte, fehlerhafte Freigaben und fehlende Basismaßnahmen gegen Layer-2- und Layer-3-Angriffe. Ein Mini-Projekt zur Absicherung eines kleinen Firmennetzes ist deshalb ideal, um technische Grundlagen, Sicherheitsprinzipien und konkrete Konfigurationsschritte zusammenzuführen. Ziel ist nicht der Aufbau einer hochkomplexen Enterprise-Sicherheitsarchitektur, sondern ein sauber strukturiertes, verständliches und wirksames Basiskonzept, das typische Alltagsrisiken deutlich reduziert und sich in Laboren oder kleinen Realumgebungen nachvollziehen lässt.

Table of Contents

Projektziel und Ausgangssituation

In diesem Mini-Projekt wird ein kleines Unternehmensnetz logisch getrennt, zentral geroutet und mit grundlegenden Sicherheitsmechanismen gehärtet. Typischerweise besteht ein kleines Firmennetz aus einem Internetanschluss, einem Router oder einer Firewall, einem oder mehreren Switches, einigen Büro-PCs, Druckern, einem oder zwei Servern, WLAN-Komponenten und eventuell VoIP- oder IoT-Geräten. In vielen gewachsenen Umgebungen befinden sich diese Komponenten zunächst im selben Netzsegment. Genau das erhöht die Angriffsfläche erheblich.

Typische Schwächen in kleinen Firmennetzen

  • Alle Geräte befinden sich im selben VLAN oder IP-Subnetz
  • Management-Zugänge sind aus Benutzersegmenten erreichbar
  • Drucker, Clients und Server kommunizieren ohne Einschränkung
  • Switch-Ports sind offen und ungehärtet
  • DHCP und ARP auf Access-Ports sind nicht abgesichert
  • Administrative Zugänge nutzen unsichere Standardkonfigurationen

Das Projektziel lautet deshalb: Ein kleines Firmennetz so strukturieren, dass Benutzer, Server, Management und Gäste logisch getrennt werden, Routing kontrolliert erfolgt und grundlegende Sicherheitsrichtlinien technisch durchgesetzt werden.

Netzwerkdesign für ein kleines, sicheres Firmennetz

Ein sauberes Design ist die Basis jeder Absicherung. Anstatt alle Geräte in einem flachen Netz zu betreiben, wird das Firmennetz in mehrere VLANs und Subnetze gegliedert. Diese Segmentierung reduziert Broadcast-Domänen, erleichtert das Troubleshooting und schafft die Grundlage für Zugriffskontrolle.

Empfohlene logische Segmentierung

  • VLAN 10 für Büro-Clients
  • VLAN 20 für Server
  • VLAN 30 für Drucker und Infrastrukturgeräte
  • VLAN 40 für Netzwerk-Management
  • VLAN 50 für Gäste oder untrusted Geräte

Eine einfache IP-Struktur könnte so aussehen:

  • 192.168.10.0/24 für Clients
  • 192.168.20.0/24 für Server
  • 192.168.30.0/24 für Drucker
  • 192.168.40.0/24 für Management
  • 192.168.50.0/24 für Gäste

Die Gateways werden auf einem Router oder Layer-3-Switch bereitgestellt. Entscheidend ist, dass Inter-VLAN-Routing zwar möglich, aber durch ACLs und klare Kommunikationsregeln eingeschränkt wird.

Projektplanung und Sicherheitsprinzipien

Bevor Konfigurationen umgesetzt werden, sollte das Mini-Projekt technisch geplant werden. Auch in kleinen Umgebungen gilt: Sicherheit ist wirksamer, wenn sie strukturiert und nachvollziehbar umgesetzt wird. Dabei helfen einige grundlegende Prinzipien.

Wichtige Sicherheitsprinzipien

  • Least Privilege: Nur notwendige Zugriffe erlauben
  • Segmentierung: Benutzer, Server und Management trennen
  • Härtung: Unbenutzte Dienste und Ports abschalten
  • Kontrolle: Zugriffe protokollieren und überwachen
  • Nachvollziehbarkeit: Änderungen dokumentieren

Projektphasen

  • Bestandsaufnahme der vorhandenen Geräte und Ports
  • Planung von VLANs, IP-Bereichen und Gateway-Struktur
  • Einrichtung von Switching und Routing
  • Absicherung durch ACLs, Port Security und DHCP Snooping
  • Härtung von Management-Zugängen
  • Validierung mit Tests und Troubleshooting

Ein kleineres Projekt profitiert besonders von dieser klaren Reihenfolge, weil dadurch Fehler leichter isoliert und Abhängigkeiten sauber erkannt werden.

VLANs und Access-Ports auf dem Switch konfigurieren

Im ersten technischen Schritt werden die VLANs auf dem Switch angelegt und die Ports den passenden Bereichen zugeordnet. Damit wird die logische Trennung auf Layer 2 umgesetzt.

Beispiel für die VLAN-Erstellung

enable
configure terminal
vlan 10
 name CLIENTS
vlan 20
 name SERVERS
vlan 30
 name PRINTERS
vlan 40
 name MGMT
vlan 50
 name GUEST
exit

Beispiel für Access-Ports

interface FastEthernet0/1
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
exit

interface FastEthernet0/2
 switchport mode access
 switchport access vlan 20
 spanning-tree portfast
exit

interface FastEthernet0/3
 switchport mode access
 switchport access vlan 30
 spanning-tree portfast
exit

Unbenutzte Ports sollten nicht offen bleiben. Das ist eine einfache, aber wirksame Härtungsmaßnahme.

Unbenutzte Ports deaktivieren

interface range FastEthernet0/10 - 24
 shutdown
 description UNUSED_PORT
exit

Wichtige Prüfkommandos

show vlan brief
show interfaces status
show running-config

Trunking und Inter-VLAN-Routing einrichten

Damit mehrere VLANs zwischen Switch und Router oder Layer-3-Switch transportiert werden können, wird ein Trunk benötigt. Anschließend erfolgt das Routing zwischen den Subnetzen. Für kleine Firmennetze eignen sich Router-on-a-Stick oder ein Layer-3-Switch mit SVIs.

Trunk-Konfiguration am Switch

interface GigabitEthernet0/1
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,40,50
 no shutdown
exit

Beispiel für Router-on-a-Stick

interface GigabitEthernet0/0
 no shutdown
exit

interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
exit

interface GigabitEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
exit

interface GigabitEthernet0/0.30
 encapsulation dot1Q 30
 ip address 192.168.30.1 255.255.255.0
exit

interface GigabitEthernet0/0.40
 encapsulation dot1Q 40
 ip address 192.168.40.1 255.255.255.0
exit

interface GigabitEthernet0/0.50
 encapsulation dot1Q 50
 ip address 192.168.50.1 255.255.255.0
exit

Nach diesem Schritt ist Routing technisch möglich. Aus Sicherheitsgründen soll aber nicht jedes VLAN auf jedes andere zugreifen dürfen. Deshalb folgt nun die Zugriffskontrolle.

ACLs für kontrollierte Kommunikation zwischen den VLANs

Ein sicheres Firmennetz braucht klare Kommunikationsregeln. Clients sollen typischerweise auf definierte Serverdienste zugreifen dürfen, aber nicht auf das Management-VLAN. Gäste dürfen nicht ins interne Firmennetz. Drucker sollen druckbar sein, aber keine freien Verbindungen in sensible Segmente aufbauen.

Typische Kommunikationsregeln

  • Clients dürfen definierte Server im VLAN 20 erreichen
  • Clients dürfen nicht auf VLAN 40 Management zugreifen
  • Gäste dürfen nur ins Internet, nicht in interne VLANs
  • Drucker-VLAN darf nicht frei zu Server- oder Management-Netzen sprechen

Beispiel einer ACL zum Schutz des Management-VLAN

configure terminal
ip access-list extended CLIENT_FILTER
 deny ip 192.168.10.0 0.0.0.255 192.168.40.0 0.0.0.255
 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
 permit ip any any
exit

ACL auf Client-Subinterface anwenden

interface GigabitEthernet0/0.10
 ip access-group CLIENT_FILTER in
exit

Beispiel einer ACL für das Gäste-VLAN

configure terminal
ip access-list extended GUEST_FILTER
 deny ip 192.168.50.0 0.0.0.255 192.168.10.0 0.0.0.255
 deny ip 192.168.50.0 0.0.0.255 192.168.20.0 0.0.0.255
 deny ip 192.168.50.0 0.0.0.255 192.168.30.0 0.0.0.255
 deny ip 192.168.50.0 0.0.0.255 192.168.40.0 0.0.0.255
 permit ip any any
exit

Diese Basisregeln schaffen bereits eine deutlich bessere Trennung im kleinen Firmennetz und verhindern viele typische Fehlfreigaben.

Management-Zugänge und Administrationspfade absichern

Ein häufig unterschätzter Punkt in kleinen Netzen ist die Absicherung der Netzwerkverwaltung. Router, Switches und Firewalls dürfen nicht aus normalen Benutzersegmenten frei administrierbar sein. Management-Verkehr sollte ausschließlich aus dem dedizierten Management-VLAN erlaubt werden.

Wichtige Härtungsmaßnahmen für Management

  • Nur SSH statt Telnet verwenden
  • Management-IP nur im VLAN 40 betreiben
  • VTY-Zugriffe per ACL einschränken
  • Starke lokale oder zentrale Authentifizierung nutzen
  • Unbenötigte Dienste deaktivieren

SSH aktivieren und Telnet vermeiden

hostname SW1
ip domain-name firma.local
crypto key generate rsa
username admin privilege 15 secret StarkesPasswort123
line vty 0 4
 login local
 transport input ssh
exit
ip ssh version 2

VTY-Zugriff auf Management-VLAN beschränken

access-list 10 permit 192.168.40.0 0.0.0.255
line vty 0 4
 access-class 10 in
exit

Damit ist sichergestellt, dass administrative Logins nicht aus Benutzer- oder Gäste-VLANs erfolgen.

Layer-2-Schutz auf Access-Ports aktivieren

Ein kleines Firmennetz sollte nicht nur auf Layer 3, sondern auch im Access-Layer abgesichert werden. Gerade dort entstehen viele praktische Risiken durch unbekannte Geräte, Rogue-DHCP-Server oder unkontrollierte Mehrfachanschlüsse.

DHCP Snooping für Benutzer-VLANs aktivieren

ip dhcp snooping
ip dhcp snooping vlan 10,30,50

Der Uplink zum legitimen DHCP-Server oder zum Router wird als trusted markiert:

interface GigabitEthernet0/1
 ip dhcp snooping trust
exit

Port Security auf Access-Ports aktivieren

interface FastEthernet0/1
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address sticky
 switchport port-security violation shutdown
exit

Zusätzliche Schutzmaßnahmen am Access-Port

  • Spanning Tree PortFast auf Endgeräteports
  • Rate Limits für DHCP auf untrusted Ports
  • Unbenutzte Ports deaktivieren
  • Nur Access-Modus für Benutzerports zulassen

Beispiel für einen gehärteten Benutzerport

interface FastEthernet0/5
 switchport mode access
 switchport access vlan 10
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address sticky
 switchport port-security violation shutdown
 ip dhcp snooping limit rate 10
 spanning-tree portfast
exit

Diese Konfiguration schützt den Port gegen typische Alltagsprobleme in kleinen Büroumgebungen, etwa unerlaubte Geräte oder manipulative DHCP-Aktivität.

Drucker, Infrastruktur und Spezialgeräte richtig einordnen

In kleinen Firmennetzen werden Drucker, Scanner, Kameras oder andere Spezialgeräte oft vergessen. Gerade diese Systeme sind jedoch sicherheitstechnisch problematisch, weil sie selten gepflegt werden, veraltete Firmware nutzen oder unnötig viele Dienste anbieten. Deshalb sollten solche Geräte nicht im selben Segment wie Clients oder Management-Systeme betrieben werden.

Warum ein eigenes Infrastruktur- oder Drucker-VLAN sinnvoll ist

  • Bessere Übersicht über Kommunikationspfade
  • Einfachere ACL-Regeln
  • Begrenzung seitlicher Bewegungen bei kompromittierten Geräten
  • Kontrollierter Zugriff aus Benutzersegmenten

Drucker müssen typischerweise nur aus bestimmten Benutzersegmenten erreichbar sein, nicht aber selbst frei auf Management- oder Serverdienste zugreifen. Diese Trennung ist ein häufiger und sehr sinnvoller Schritt in kleinen Sicherheitsprojekten.

Internetzugang und Gäste sauber abgrenzen

Gäste oder private Geräte dürfen in einem kleinen Firmennetz nicht als normale interne Systeme behandelt werden. Ein Gäste-VLAN sollte vom internen Netz strikt getrennt und möglichst nur über eine definierte Internet-Freigabe geführt werden.

Wichtige Regeln für Gäste

  • Kein Zugriff auf interne VLANs
  • Kein Zugriff auf Management-Adressen
  • Separate Adressvergabe und idealerweise separates WLAN
  • Klare Bandbreiten- und Richtliniensteuerung, wenn verfügbar

Auch wenn in kleinen Umgebungen nicht jede Enterprise-Funktion vorhanden ist, sollte die Trennung von internem Netz und Gästen konsequent umgesetzt werden. Schon einfache ACLs und saubere VLAN-Zuordnung erreichen hier einen großen Sicherheitsgewinn.

Logging, Monitoring und Prüfbefehle im Projekt

Ein sicheres Netzwerk ist nicht nur korrekt konfiguriert, sondern auch überprüfbar. Nach der Umsetzung müssen VLANs, Routing, ACLs und Port-Schutzmechanismen getestet werden. Gleichzeitig sollten Protokolle und Zustände einsehbar sein, um Fehler oder Sicherheitsereignisse schnell zu erkennen.

Wichtige Prüfkommandos auf Switch und Router

show vlan brief
show interfaces trunk
show ip interface brief
show access-lists
show running-config
show port-security
show port-security interface FastEthernet0/5
show ip dhcp snooping
show ip dhcp snooping binding
show logging

Was geprüft werden sollte

  • Sind alle Ports im richtigen VLAN?
  • Transportiert der Trunk alle vorgesehenen VLANs?
  • Sind die Gateway-Adressen korrekt aktiv?
  • Blockieren ACLs den Management-Zugriff aus Clients und Gästen?
  • Funktioniert Port Security an Benutzerports?
  • Ist DHCP Snooping in den richtigen VLANs aktiv?

Auch von Endgeräten aus sollten Tests durchgeführt werden, zum Beispiel Ping, Gateway-Erreichbarkeit, DNS-Auflösung oder bewusst geblockte Ziele, um die Segmentierung praktisch zu validieren.

Praktische Testfälle für das Mini-Projekt

Ein Projekt zur Netzabsicherung ist erst dann belastbar, wenn konkrete Tests zeigen, dass die gewünschten Regeln wirklich greifen. Dabei sollte nicht nur Normalbetrieb getestet werden, sondern auch die absichtlich unerwünschte Kommunikation.

Beispielhafte Testfälle

  • Client aus VLAN 10 erreicht Server im VLAN 20
  • Client aus VLAN 10 erreicht Management-IP im VLAN 40 nicht
  • Gast aus VLAN 50 erreicht interne Netze nicht
  • Drucker aus VLAN 30 ist für Clients erreichbar, aber nicht frei in Management-Netze kommunizierend
  • Neues unbekanntes Gerät an gehärtetem Port löst Port-Security-Verstoß aus
  • Rogue-DHCP an untrusted Port wird durch DHCP Snooping blockiert

Typische Endgeräte-Tests

ping 192.168.20.10
ping 192.168.40.1
traceroute 192.168.20.10
ipconfig /all
nslookup server.firma.local

Diese Prüfungen machen das Mini-Projekt nicht nur fachlich sauber, sondern auch didaktisch wertvoll. Jede Sicherheitsregel wird damit nachvollziehbar und messbar.

Häufige Fehler bei der Absicherung kleiner Firmennetze

Gerade in kleinen Umgebungen entstehen Probleme oft durch scheinbar harmlose Vereinfachungen. Die häufigsten Fehler liegen nicht in fehlender High-End-Security, sondern in inkonsistenter Basis-Konfiguration.

Typische Fehlerbilder

  • VLANs wurden angelegt, aber Ports falsch zugeordnet
  • Trunking transportiert nicht alle benötigten VLANs
  • ACLs sind in falscher Richtung oder am falschen Interface aktiv
  • Management bleibt aus Benutzersegmenten erreichbar
  • Port Security ist auf Uplinks oder ungeeigneten Ports aktiviert
  • Trusted und untrusted Ports bei DHCP Snooping wurden verwechselt

Ein weiterer häufiger Fehler ist die zu großzügige Regel „permit ip any any“ an der falschen Stelle. In kleinen Netzen wird aus Bequemlichkeit oft zu früh pauschal freigegeben. Dadurch wird die gesamte Segmentierung konzeptionell geschwächt.

Dokumentation und Betriebsreife

Auch ein kleines Firmennetz sollte nicht ohne Dokumentation betrieben werden. Eine saubere Übersicht über VLANs, Subnetze, Portbelegungen, ACL-Regeln und Management-Zugänge spart im Alltag viel Zeit und reduziert Fehlkonfigurationen bei späteren Änderungen.

Wichtige Dokumentationsinhalte

  • VLAN- und IP-Plan
  • Portzuordnung auf Switches
  • Trunk- und Uplink-Verbindungen
  • ACL-Regeln mit Zweckbeschreibung
  • Management-Zugänge und Admin-Pfade
  • Besondere Sicherheitsfunktionen pro Port

Gerade für kleine Unternehmen ist eine einfache, klare und technisch genaue Dokumentation ein entscheidender Sicherheitsfaktor. Sie unterstützt Betrieb, Fehlersuche, Erweiterung und Auditierbarkeit.

Praxisnutzen des Mini-Projekts für CCNA-, CCNP- und SMB-Umgebungen

Dieses Mini-Projekt verbindet zentrale Grundlagen der Netzwerksicherheit in einer realistischen Kleinunternehmensumgebung. VLAN-Segmentierung, Inter-VLAN-Routing, ACLs, gehärtete Access-Ports, Management-Schutz und Gäste-Isolation gehören zu den wichtigsten Bausteinen, die auch in größeren Designs wiederkehren. Für Lernende ist das besonders wertvoll, weil das Projekt nicht nur einzelne Befehle vermittelt, sondern die technische Logik hinter einem sicheren Netzwerkaufbau zeigt.

Für kleine Unternehmen liefert derselbe Ansatz eine praxistaugliche Basis: überschaubar im Aufwand, klar in der Struktur und wirksam gegen viele typische Risiken im Alltag. Genau darin liegt die Stärke eines kleinen, sauber abgesicherten Firmennetzes: nicht maximale Komplexität, sondern kontrollierte Segmentierung, nachvollziehbare Richtlinien und robuste Basissicherheit im täglichen Betrieb.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Anhang E Zusätzliche Lernressourcen für CCST Networking

Anhang A Wichtige Netzwerkbegriffe einfach erklärt

Anhang B Grundlegende Cisco-Befehle für Einsteiger im Überblick

Anhang C Tabelle wichtiger Ports und Protokolle einfach erklärt

Anhang D Schnelle Übersicht zu IPv4 und Subnetting

21.2 Fragen zu OSI, TCP/IP und Ethernet zum Üben

21.3 Übungsfragen zu IP-Adressierung und Subnetting

21.4 Fragen zu Switching, VLAN und Routing mit Lösungen

21.5 Fragen zu Wireless und Netzwerksicherheit

21.6 Praxisnahe Fallfragen für Networking-Einsteiger

21.7 Ausführliche Lösungen zu den Übungsfragen

21.8 Lernerfolg bewerten: So prüfst du deinen Wissensstand