Ein kleines Firmennetz sicher abzusichern ist eine der praxisrelevantesten Aufgaben im Netzwerkbetrieb. Gerade in kleineren Unternehmen sind Budgets, Personalressourcen und Zeit oft begrenzt, während gleichzeitig dieselben grundlegenden Risiken bestehen wie in größeren Infrastrukturen: unzureichend segmentierte Netze, unsichere Benutzerzugänge, schlecht geschützte Management-Schnittstellen, unkontrollierte Endgeräte, fehlerhafte Freigaben und fehlende Basismaßnahmen gegen Layer-2- und Layer-3-Angriffe. Ein Mini-Projekt zur Absicherung eines kleinen Firmennetzes ist deshalb ideal, um technische Grundlagen, Sicherheitsprinzipien und konkrete Konfigurationsschritte zusammenzuführen. Ziel ist nicht der Aufbau einer hochkomplexen Enterprise-Sicherheitsarchitektur, sondern ein sauber strukturiertes, verständliches und wirksames Basiskonzept, das typische Alltagsrisiken deutlich reduziert und sich in Laboren oder kleinen Realumgebungen nachvollziehen lässt.
Projektziel und Ausgangssituation
In diesem Mini-Projekt wird ein kleines Unternehmensnetz logisch getrennt, zentral geroutet und mit grundlegenden Sicherheitsmechanismen gehärtet. Typischerweise besteht ein kleines Firmennetz aus einem Internetanschluss, einem Router oder einer Firewall, einem oder mehreren Switches, einigen Büro-PCs, Druckern, einem oder zwei Servern, WLAN-Komponenten und eventuell VoIP- oder IoT-Geräten. In vielen gewachsenen Umgebungen befinden sich diese Komponenten zunächst im selben Netzsegment. Genau das erhöht die Angriffsfläche erheblich.
Typische Schwächen in kleinen Firmennetzen
- Alle Geräte befinden sich im selben VLAN oder IP-Subnetz
- Management-Zugänge sind aus Benutzersegmenten erreichbar
- Drucker, Clients und Server kommunizieren ohne Einschränkung
- Switch-Ports sind offen und ungehärtet
- DHCP und ARP auf Access-Ports sind nicht abgesichert
- Administrative Zugänge nutzen unsichere Standardkonfigurationen
Das Projektziel lautet deshalb: Ein kleines Firmennetz so strukturieren, dass Benutzer, Server, Management und Gäste logisch getrennt werden, Routing kontrolliert erfolgt und grundlegende Sicherheitsrichtlinien technisch durchgesetzt werden.
Netzwerkdesign für ein kleines, sicheres Firmennetz
Ein sauberes Design ist die Basis jeder Absicherung. Anstatt alle Geräte in einem flachen Netz zu betreiben, wird das Firmennetz in mehrere VLANs und Subnetze gegliedert. Diese Segmentierung reduziert Broadcast-Domänen, erleichtert das Troubleshooting und schafft die Grundlage für Zugriffskontrolle.
Empfohlene logische Segmentierung
- VLAN 10 für Büro-Clients
- VLAN 20 für Server
- VLAN 30 für Drucker und Infrastrukturgeräte
- VLAN 40 für Netzwerk-Management
- VLAN 50 für Gäste oder untrusted Geräte
Eine einfache IP-Struktur könnte so aussehen:
- 192.168.10.0/24 für Clients
- 192.168.20.0/24 für Server
- 192.168.30.0/24 für Drucker
- 192.168.40.0/24 für Management
- 192.168.50.0/24 für Gäste
Die Gateways werden auf einem Router oder Layer-3-Switch bereitgestellt. Entscheidend ist, dass Inter-VLAN-Routing zwar möglich, aber durch ACLs und klare Kommunikationsregeln eingeschränkt wird.
Projektplanung und Sicherheitsprinzipien
Bevor Konfigurationen umgesetzt werden, sollte das Mini-Projekt technisch geplant werden. Auch in kleinen Umgebungen gilt: Sicherheit ist wirksamer, wenn sie strukturiert und nachvollziehbar umgesetzt wird. Dabei helfen einige grundlegende Prinzipien.
Wichtige Sicherheitsprinzipien
- Least Privilege: Nur notwendige Zugriffe erlauben
- Segmentierung: Benutzer, Server und Management trennen
- Härtung: Unbenutzte Dienste und Ports abschalten
- Kontrolle: Zugriffe protokollieren und überwachen
- Nachvollziehbarkeit: Änderungen dokumentieren
Projektphasen
- Bestandsaufnahme der vorhandenen Geräte und Ports
- Planung von VLANs, IP-Bereichen und Gateway-Struktur
- Einrichtung von Switching und Routing
- Absicherung durch ACLs, Port Security und DHCP Snooping
- Härtung von Management-Zugängen
- Validierung mit Tests und Troubleshooting
Ein kleineres Projekt profitiert besonders von dieser klaren Reihenfolge, weil dadurch Fehler leichter isoliert und Abhängigkeiten sauber erkannt werden.
VLANs und Access-Ports auf dem Switch konfigurieren
Im ersten technischen Schritt werden die VLANs auf dem Switch angelegt und die Ports den passenden Bereichen zugeordnet. Damit wird die logische Trennung auf Layer 2 umgesetzt.
Beispiel für die VLAN-Erstellung
enable
configure terminal
vlan 10
name CLIENTS
vlan 20
name SERVERS
vlan 30
name PRINTERS
vlan 40
name MGMT
vlan 50
name GUEST
exit
Beispiel für Access-Ports
interface FastEthernet0/1
switchport mode access
switchport access vlan 10
spanning-tree portfast
exit
interface FastEthernet0/2
switchport mode access
switchport access vlan 20
spanning-tree portfast
exit
interface FastEthernet0/3
switchport mode access
switchport access vlan 30
spanning-tree portfast
exit
Unbenutzte Ports sollten nicht offen bleiben. Das ist eine einfache, aber wirksame Härtungsmaßnahme.
Unbenutzte Ports deaktivieren
interface range FastEthernet0/10 - 24
shutdown
description UNUSED_PORT
exit
Wichtige Prüfkommandos
show vlan brief
show interfaces status
show running-config
Trunking und Inter-VLAN-Routing einrichten
Damit mehrere VLANs zwischen Switch und Router oder Layer-3-Switch transportiert werden können, wird ein Trunk benötigt. Anschließend erfolgt das Routing zwischen den Subnetzen. Für kleine Firmennetze eignen sich Router-on-a-Stick oder ein Layer-3-Switch mit SVIs.
Trunk-Konfiguration am Switch
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 10,20,30,40,50
no shutdown
exit
Beispiel für Router-on-a-Stick
interface GigabitEthernet0/0
no shutdown
exit
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
exit
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
exit
interface GigabitEthernet0/0.30
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
exit
interface GigabitEthernet0/0.40
encapsulation dot1Q 40
ip address 192.168.40.1 255.255.255.0
exit
interface GigabitEthernet0/0.50
encapsulation dot1Q 50
ip address 192.168.50.1 255.255.255.0
exit
Nach diesem Schritt ist Routing technisch möglich. Aus Sicherheitsgründen soll aber nicht jedes VLAN auf jedes andere zugreifen dürfen. Deshalb folgt nun die Zugriffskontrolle.
ACLs für kontrollierte Kommunikation zwischen den VLANs
Ein sicheres Firmennetz braucht klare Kommunikationsregeln. Clients sollen typischerweise auf definierte Serverdienste zugreifen dürfen, aber nicht auf das Management-VLAN. Gäste dürfen nicht ins interne Firmennetz. Drucker sollen druckbar sein, aber keine freien Verbindungen in sensible Segmente aufbauen.
Typische Kommunikationsregeln
- Clients dürfen definierte Server im VLAN 20 erreichen
- Clients dürfen nicht auf VLAN 40 Management zugreifen
- Gäste dürfen nur ins Internet, nicht in interne VLANs
- Drucker-VLAN darf nicht frei zu Server- oder Management-Netzen sprechen
Beispiel einer ACL zum Schutz des Management-VLAN
configure terminal
ip access-list extended CLIENT_FILTER
deny ip 192.168.10.0 0.0.0.255 192.168.40.0 0.0.0.255
permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip any any
exit
ACL auf Client-Subinterface anwenden
interface GigabitEthernet0/0.10
ip access-group CLIENT_FILTER in
exit
Beispiel einer ACL für das Gäste-VLAN
configure terminal
ip access-list extended GUEST_FILTER
deny ip 192.168.50.0 0.0.0.255 192.168.10.0 0.0.0.255
deny ip 192.168.50.0 0.0.0.255 192.168.20.0 0.0.0.255
deny ip 192.168.50.0 0.0.0.255 192.168.30.0 0.0.0.255
deny ip 192.168.50.0 0.0.0.255 192.168.40.0 0.0.0.255
permit ip any any
exit
Diese Basisregeln schaffen bereits eine deutlich bessere Trennung im kleinen Firmennetz und verhindern viele typische Fehlfreigaben.
Management-Zugänge und Administrationspfade absichern
Ein häufig unterschätzter Punkt in kleinen Netzen ist die Absicherung der Netzwerkverwaltung. Router, Switches und Firewalls dürfen nicht aus normalen Benutzersegmenten frei administrierbar sein. Management-Verkehr sollte ausschließlich aus dem dedizierten Management-VLAN erlaubt werden.
Wichtige Härtungsmaßnahmen für Management
- Nur SSH statt Telnet verwenden
- Management-IP nur im VLAN 40 betreiben
- VTY-Zugriffe per ACL einschränken
- Starke lokale oder zentrale Authentifizierung nutzen
- Unbenötigte Dienste deaktivieren
SSH aktivieren und Telnet vermeiden
hostname SW1
ip domain-name firma.local
crypto key generate rsa
username admin privilege 15 secret StarkesPasswort123
line vty 0 4
login local
transport input ssh
exit
ip ssh version 2
VTY-Zugriff auf Management-VLAN beschränken
access-list 10 permit 192.168.40.0 0.0.0.255
line vty 0 4
access-class 10 in
exit
Damit ist sichergestellt, dass administrative Logins nicht aus Benutzer- oder Gäste-VLANs erfolgen.
Layer-2-Schutz auf Access-Ports aktivieren
Ein kleines Firmennetz sollte nicht nur auf Layer 3, sondern auch im Access-Layer abgesichert werden. Gerade dort entstehen viele praktische Risiken durch unbekannte Geräte, Rogue-DHCP-Server oder unkontrollierte Mehrfachanschlüsse.
DHCP Snooping für Benutzer-VLANs aktivieren
ip dhcp snooping
ip dhcp snooping vlan 10,30,50
Der Uplink zum legitimen DHCP-Server oder zum Router wird als trusted markiert:
interface GigabitEthernet0/1
ip dhcp snooping trust
exit
Port Security auf Access-Ports aktivieren
interface FastEthernet0/1
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation shutdown
exit
Zusätzliche Schutzmaßnahmen am Access-Port
- Spanning Tree PortFast auf Endgeräteports
- Rate Limits für DHCP auf untrusted Ports
- Unbenutzte Ports deaktivieren
- Nur Access-Modus für Benutzerports zulassen
Beispiel für einen gehärteten Benutzerport
interface FastEthernet0/5
switchport mode access
switchport access vlan 10
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation shutdown
ip dhcp snooping limit rate 10
spanning-tree portfast
exit
Diese Konfiguration schützt den Port gegen typische Alltagsprobleme in kleinen Büroumgebungen, etwa unerlaubte Geräte oder manipulative DHCP-Aktivität.
Drucker, Infrastruktur und Spezialgeräte richtig einordnen
In kleinen Firmennetzen werden Drucker, Scanner, Kameras oder andere Spezialgeräte oft vergessen. Gerade diese Systeme sind jedoch sicherheitstechnisch problematisch, weil sie selten gepflegt werden, veraltete Firmware nutzen oder unnötig viele Dienste anbieten. Deshalb sollten solche Geräte nicht im selben Segment wie Clients oder Management-Systeme betrieben werden.
Warum ein eigenes Infrastruktur- oder Drucker-VLAN sinnvoll ist
- Bessere Übersicht über Kommunikationspfade
- Einfachere ACL-Regeln
- Begrenzung seitlicher Bewegungen bei kompromittierten Geräten
- Kontrollierter Zugriff aus Benutzersegmenten
Drucker müssen typischerweise nur aus bestimmten Benutzersegmenten erreichbar sein, nicht aber selbst frei auf Management- oder Serverdienste zugreifen. Diese Trennung ist ein häufiger und sehr sinnvoller Schritt in kleinen Sicherheitsprojekten.
Internetzugang und Gäste sauber abgrenzen
Gäste oder private Geräte dürfen in einem kleinen Firmennetz nicht als normale interne Systeme behandelt werden. Ein Gäste-VLAN sollte vom internen Netz strikt getrennt und möglichst nur über eine definierte Internet-Freigabe geführt werden.
Wichtige Regeln für Gäste
- Kein Zugriff auf interne VLANs
- Kein Zugriff auf Management-Adressen
- Separate Adressvergabe und idealerweise separates WLAN
- Klare Bandbreiten- und Richtliniensteuerung, wenn verfügbar
Auch wenn in kleinen Umgebungen nicht jede Enterprise-Funktion vorhanden ist, sollte die Trennung von internem Netz und Gästen konsequent umgesetzt werden. Schon einfache ACLs und saubere VLAN-Zuordnung erreichen hier einen großen Sicherheitsgewinn.
Logging, Monitoring und Prüfbefehle im Projekt
Ein sicheres Netzwerk ist nicht nur korrekt konfiguriert, sondern auch überprüfbar. Nach der Umsetzung müssen VLANs, Routing, ACLs und Port-Schutzmechanismen getestet werden. Gleichzeitig sollten Protokolle und Zustände einsehbar sein, um Fehler oder Sicherheitsereignisse schnell zu erkennen.
Wichtige Prüfkommandos auf Switch und Router
show vlan brief
show interfaces trunk
show ip interface brief
show access-lists
show running-config
show port-security
show port-security interface FastEthernet0/5
show ip dhcp snooping
show ip dhcp snooping binding
show logging
Was geprüft werden sollte
- Sind alle Ports im richtigen VLAN?
- Transportiert der Trunk alle vorgesehenen VLANs?
- Sind die Gateway-Adressen korrekt aktiv?
- Blockieren ACLs den Management-Zugriff aus Clients und Gästen?
- Funktioniert Port Security an Benutzerports?
- Ist DHCP Snooping in den richtigen VLANs aktiv?
Auch von Endgeräten aus sollten Tests durchgeführt werden, zum Beispiel Ping, Gateway-Erreichbarkeit, DNS-Auflösung oder bewusst geblockte Ziele, um die Segmentierung praktisch zu validieren.
Praktische Testfälle für das Mini-Projekt
Ein Projekt zur Netzabsicherung ist erst dann belastbar, wenn konkrete Tests zeigen, dass die gewünschten Regeln wirklich greifen. Dabei sollte nicht nur Normalbetrieb getestet werden, sondern auch die absichtlich unerwünschte Kommunikation.
Beispielhafte Testfälle
- Client aus VLAN 10 erreicht Server im VLAN 20
- Client aus VLAN 10 erreicht Management-IP im VLAN 40 nicht
- Gast aus VLAN 50 erreicht interne Netze nicht
- Drucker aus VLAN 30 ist für Clients erreichbar, aber nicht frei in Management-Netze kommunizierend
- Neues unbekanntes Gerät an gehärtetem Port löst Port-Security-Verstoß aus
- Rogue-DHCP an untrusted Port wird durch DHCP Snooping blockiert
Typische Endgeräte-Tests
ping 192.168.20.10
ping 192.168.40.1
traceroute 192.168.20.10
ipconfig /all
nslookup server.firma.local
Diese Prüfungen machen das Mini-Projekt nicht nur fachlich sauber, sondern auch didaktisch wertvoll. Jede Sicherheitsregel wird damit nachvollziehbar und messbar.
Häufige Fehler bei der Absicherung kleiner Firmennetze
Gerade in kleinen Umgebungen entstehen Probleme oft durch scheinbar harmlose Vereinfachungen. Die häufigsten Fehler liegen nicht in fehlender High-End-Security, sondern in inkonsistenter Basis-Konfiguration.
Typische Fehlerbilder
- VLANs wurden angelegt, aber Ports falsch zugeordnet
- Trunking transportiert nicht alle benötigten VLANs
- ACLs sind in falscher Richtung oder am falschen Interface aktiv
- Management bleibt aus Benutzersegmenten erreichbar
- Port Security ist auf Uplinks oder ungeeigneten Ports aktiviert
- Trusted und untrusted Ports bei DHCP Snooping wurden verwechselt
Ein weiterer häufiger Fehler ist die zu großzügige Regel „permit ip any any“ an der falschen Stelle. In kleinen Netzen wird aus Bequemlichkeit oft zu früh pauschal freigegeben. Dadurch wird die gesamte Segmentierung konzeptionell geschwächt.
Dokumentation und Betriebsreife
Auch ein kleines Firmennetz sollte nicht ohne Dokumentation betrieben werden. Eine saubere Übersicht über VLANs, Subnetze, Portbelegungen, ACL-Regeln und Management-Zugänge spart im Alltag viel Zeit und reduziert Fehlkonfigurationen bei späteren Änderungen.
Wichtige Dokumentationsinhalte
- VLAN- und IP-Plan
- Portzuordnung auf Switches
- Trunk- und Uplink-Verbindungen
- ACL-Regeln mit Zweckbeschreibung
- Management-Zugänge und Admin-Pfade
- Besondere Sicherheitsfunktionen pro Port
Gerade für kleine Unternehmen ist eine einfache, klare und technisch genaue Dokumentation ein entscheidender Sicherheitsfaktor. Sie unterstützt Betrieb, Fehlersuche, Erweiterung und Auditierbarkeit.
Praxisnutzen des Mini-Projekts für CCNA-, CCNP- und SMB-Umgebungen
Dieses Mini-Projekt verbindet zentrale Grundlagen der Netzwerksicherheit in einer realistischen Kleinunternehmensumgebung. VLAN-Segmentierung, Inter-VLAN-Routing, ACLs, gehärtete Access-Ports, Management-Schutz und Gäste-Isolation gehören zu den wichtigsten Bausteinen, die auch in größeren Designs wiederkehren. Für Lernende ist das besonders wertvoll, weil das Projekt nicht nur einzelne Befehle vermittelt, sondern die technische Logik hinter einem sicheren Netzwerkaufbau zeigt.
Für kleine Unternehmen liefert derselbe Ansatz eine praxistaugliche Basis: überschaubar im Aufwand, klar in der Struktur und wirksam gegen viele typische Risiken im Alltag. Genau darin liegt die Stärke eines kleinen, sauber abgesicherten Firmennetzes: nicht maximale Komplexität, sondern kontrollierte Segmentierung, nachvollziehbare Richtlinien und robuste Basissicherheit im täglichen Betrieb.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.