Port Scanning in Produktion: Low-Noise-Detection (SIEM/NDR)

Port Scanning in Produktion ist kein exotisches Hacker-Klischee, sondern eine alltägliche Realität in Enterprise-Netzen: Schwachstellen-Scanner, Asset-Discovery, Fehlkonfigurationen, kompromittierte Hosts oder externe Angreifer erzeugen Verbindungsversuche auf vielen Ports und Zielen. Das Problem im Betrieb ist selten das Erkennen an sich, sondern die Low-Noise-Detection: SIEM- und NDR-Systeme sollen relevante Scans zuverlässig melden, ohne den SOC- oder NOC-Workflow…

ARP/ND Storm: Monitoring-Thresholds und Response-Plan

Eine ARP/ND Storm ist einer der häufigsten Gründe, warum ein eigentlich gesundes Layer-2-Netz plötzlich „zäh“ wird oder partiell ausfällt. Der Effekt fühlt sich oft wie ein zufälliger Performance-Einbruch an: Clients bekommen keine IP, DNS wirkt instabil, VoIP knackt, WLAN-Controller verlieren APs, und Switch-CPUs steigen, obwohl die Link-Auslastung scheinbar niedrig bleibt. Ursache ist nicht „zu viel…

ARP-Spoofing/MITM: Funktionsweise, Packet Evidence und schnelle Detection

ARP-Spoofing/MITM gehört zu den klassischen Angriffsmustern in lokalen Netzwerken (Layer 2) und ist gleichzeitig eine der häufigsten Ursachen für schwer erklärbare Störungen: „Der Server ist manchmal erreichbar“, „TLS bricht sporadisch ab“, „DNS liefert plötzlich andere Antworten“ oder „nur einige Clients haben Probleme“. Der Kern ist immer ähnlich: Ein Angreifer bringt Endgeräte dazu, falsche Zuordnungen zwischen…

Layer-2-Forensics: Evidence sammeln ohne Traffic zu stören

Layer-2-Forensics ist in vielen Incidents der schnellste Weg, belastbare Evidence zu sammeln, weil sich L2-Symptome oft früher zeigen als L3/L7: MAC-Flapping, Broadcast-Spikes, STP-Topologieänderungen, ARP/ND-Anomalien oder plötzlich auftauchende Rogue Devices. Gleichzeitig ist genau hier die Gefahr am größten, den Betrieb unbeabsichtigt zu stören – etwa durch zu aggressive SPAN-Mirrorings, falsch platzierte Taps, überlastete Switch-Control-Planes oder unkontrollierte…

Rogue DHCP: Symptome, Täter identifizieren und sichere Mitigation

Rogue DHCP bezeichnet das Auftreten eines nicht autorisierten DHCP-Servers in einem Netzwerksegment, der IP-Konfigurationen an Clients verteilt. Das kann durch ein Fehlverhalten (z. B. versehentlich aktivierter DHCP-Dienst auf einem Testsystem) entstehen – oder durch einen absichtlichen Angriff, bei dem ein Täter Clients gezielt mit falschen Einstellungen versorgt. Die Auswirkungen reichen von „nur“ instabiler Konnektivität bis…

MITM Incident Response: Checkliste vom Alert bis zur Isolation

Ein MITM Incident Response-Prozess (Man-in-the-Middle) entscheidet im Ernstfall darüber, ob Sie einen Angriff schnell eindämmen oder ob sich der Angreifer unbemerkt zwischen Clients und Services „festsetzt“. MITM-Szenarien sind besonders tückisch, weil sie oft nicht wie ein klassischer Ausfall wirken: Nutzer berichten über „komische Zertifikatswarnungen“, sporadische Login-Probleme, ungewöhnliche Latenz, Session-Abbrüche oder plötzlich veränderte Inhalte. In modernen…

VLAN Hopping: Mythos vs. Fakten + richtige Prävention

VLAN Hopping ist ein Begriff, der in Security- und Netzwerkteams schnell Emotionen auslöst: Für die einen ist es ein „alter Mythos“ aus der Frühzeit geswitchter Netze, für die anderen ein realer Segmentation-Bypass, der bei falscher Konfiguration jederzeit passieren kann. Die Wahrheit liegt – wie so oft – dazwischen. VLANs sind primär ein Mechanismus zur logischen…

L2-Controls, die oft Outages verursachen: Vor dem Rollout richtig testen

Layer-2-Sicherheits- und Stabilitätsmechanismen gelten in vielen Netzwerken als „Low Hanging Fruit“: schnell aktiviert, sofort wirksam gegen klassische Angriffe (Rogue DHCP, ARP-Spoofing, Loops, MAC Flooding) und oft ohne große Architekturänderungen. In der Praxis sind es jedoch genau diese L2-Controls, die oft Outages verursachen, weil sie direkt im Zugriffspfad der Endgeräte greifen und dabei stark von korrekter…

MAC Flooding: Switch-Impact und Hardening

MAC Flooding (auch „CAM Table Flooding“) ist ein Layer-2-Problem, das in der Praxis sowohl als Security-Risiko als auch als Reliability-Incident auftreten kann. Die Grundidee ist einfach: Ein Switch lernt MAC-Adressen und speichert sie in seiner MAC-Adress-Tabelle (CAM/FDB), um Frames gezielt nur an den richtigen Port zu senden. Wenn diese Tabelle durch ungewöhnlich viele (oft gefälschte)…

Enterprise-LAN-Hardening-Checkliste: Pflicht-Controls (L2 Edition)

Eine Enterprise-LAN-Hardening-Checkliste auf Layer 2 ist in vielen Organisationen der schnellste Hebel, um typische Angriffs- und Störszenarien im Campus- oder Office-Netz spürbar zu reduzieren. Während Firewalls, WAFs und EDR oft im Fokus stehen, entstehen im täglichen Betrieb viele sicherheitsrelevante Vorfälle direkt „am Rand“: Rogue Switches, Rogue DHCP-Server, ARP-Spoofing/MITM, MAC-Flooding, VLAN-Fehlzuweisungen oder simple Layer-2-Loops durch falsches…