MITM Incident Response: Checkliste vom Alert bis zur Isolation

Ein MITM Incident Response-Prozess (Man-in-the-Middle) entscheidet im Ernstfall darüber, ob Sie einen Angriff schnell eindämmen oder ob sich der Angreifer unbemerkt zwischen Clients und Services „festsetzt“. MITM-Szenarien sind besonders tückisch, weil sie oft nicht wie ein klassischer Ausfall wirken: Nutzer berichten über „komische Zertifikatswarnungen“, sporadische Login-Probleme, ungewöhnliche Latenz, Session-Abbrüche oder plötzlich veränderte Inhalte. In modernen…

VLAN Hopping: Mythos vs. Fakten + richtige Prävention

VLAN Hopping ist ein Begriff, der in Security- und Netzwerkteams schnell Emotionen auslöst: Für die einen ist es ein „alter Mythos“ aus der Frühzeit geswitchter Netze, für die anderen ein realer Segmentation-Bypass, der bei falscher Konfiguration jederzeit passieren kann. Die Wahrheit liegt – wie so oft – dazwischen. VLANs sind primär ein Mechanismus zur logischen…

L2-Controls, die oft Outages verursachen: Vor dem Rollout richtig testen

Layer-2-Sicherheits- und Stabilitätsmechanismen gelten in vielen Netzwerken als „Low Hanging Fruit“: schnell aktiviert, sofort wirksam gegen klassische Angriffe (Rogue DHCP, ARP-Spoofing, Loops, MAC Flooding) und oft ohne große Architekturänderungen. In der Praxis sind es jedoch genau diese L2-Controls, die oft Outages verursachen, weil sie direkt im Zugriffspfad der Endgeräte greifen und dabei stark von korrekter…

MAC Flooding: Switch-Impact und Hardening

MAC Flooding (auch „CAM Table Flooding“) ist ein Layer-2-Problem, das in der Praxis sowohl als Security-Risiko als auch als Reliability-Incident auftreten kann. Die Grundidee ist einfach: Ein Switch lernt MAC-Adressen und speichert sie in seiner MAC-Adress-Tabelle (CAM/FDB), um Frames gezielt nur an den richtigen Port zu senden. Wenn diese Tabelle durch ungewöhnlich viele (oft gefälschte)…

Enterprise-LAN-Hardening-Checkliste: Pflicht-Controls (L2 Edition)

Eine Enterprise-LAN-Hardening-Checkliste auf Layer 2 ist in vielen Organisationen der schnellste Hebel, um typische Angriffs- und Störszenarien im Campus- oder Office-Netz spürbar zu reduzieren. Während Firewalls, WAFs und EDR oft im Fokus stehen, entstehen im täglichen Betrieb viele sicherheitsrelevante Vorfälle direkt „am Rand“: Rogue Switches, Rogue DHCP-Server, ARP-Spoofing/MITM, MAC-Flooding, VLAN-Fehlzuweisungen oder simple Layer-2-Loops durch falsches…

BPDU Spoofing (STP Attack): Schutz mit BPDU Guard/Root Guard

BPDU Spoofing (auch als STP Attack bekannt) beschreibt ein Szenario, in dem ein Gerät im Layer-2-Netz absichtlich oder unbeabsichtigt Spanning-Tree-BPDUs (Bridge Protocol Data Units) sendet, um die STP-Topologie zu beeinflussen. Weil Spanning Tree Protocol (STP) in vielen Ethernet-Netzen weiterhin die Schleifenfreiheit sicherstellt, kann eine Manipulation der Root-Bridge-Wahl oder der Port-Rollen gravierende Folgen haben: Von plötzlichen…

DHCP Snooping: Konfiguration, Validierung und häufige Failure Modes

DHCP Snooping ist eine der wichtigsten Layer-2-Schutzfunktionen in Campus- und Enterprise-Netzen, weil sie eine zentrale Schwachstelle adressiert: DHCP ist standardmäßig „vertrauensbasiert“. Ein Endgerät akzeptiert meist das erste plausible DHCP-Angebot, das es bekommt. Genau das nutzen Rogue-DHCP-Server oder Fehlkonfigurationen aus, um Clients mit falschem Default Gateway, DNS-Servern oder IP-Parametern zu versorgen. Die Folge reicht von „nur“…

Dynamic ARP Inspection (DAI): Funktionsweise + False-Positive-Troubleshooting

Dynamic ARP Inspection (DAI) ist eine zentrale Schutzfunktion auf Layer 2, um ARP-Spoofing und Man-in-the-Middle-Angriffe im lokalen Netzwerk zu verhindern. ARP (Address Resolution Protocol) ist bewusst simpel: Ein Host fragt „Wer hat IP X?“ und erwartet eine Antwort mit der passenden MAC-Adresse. Genau diese Einfachheit macht ARP anfällig: Jeder Teilnehmer im VLAN kann prinzipiell ARP-Antworten…

IP Source Guard: Wann effektiv – und wann nicht

IP Source Guard ist eine Layer-2-Schutzmaßnahme, die in Enterprise- und Campus-Netzen häufig als „dritter Baustein“ nach DHCP Snooping und Dynamic ARP Inspection (DAI) eingeführt wird. Das Ziel ist klar: Ein Endgerät soll auf einem Access-Port nur mit der IP-Adresse(n) senden dürfen, die für diesen Port tatsächlich vorgesehen sind. Damit reduziert IP Source Guard (oft als…

Port Security in Produktion: Tuning ohne legitime User „auszusperren“

Port Security in Produktion klingt auf den ersten Blick nach einer einfachen Stellschraube: Erlaube pro Switchport nur eine bestimmte Anzahl MAC-Adressen – und blockiere alles, was darüber hinausgeht. In der Praxis ist Port Security jedoch ein typisches „Schutzfeature mit Outage-Potenzial“. Denn moderne Arbeitsplätze, Meetingräume und Edge-Umgebungen verhalten sich nicht mehr wie „ein PC pro Dose“.…