MAC Flooding (auch „CAM Table Flooding“) ist ein Layer-2-Problem, das in der Praxis sowohl als Security-Risiko als auch als Reliability-Incident auftreten kann. Die Grundidee ist einfach: Ein Switch lernt MAC-Adressen und speichert sie in seiner MAC-Adress-Tabelle (CAM/FDB), um Frames gezielt nur an den richtigen Port zu senden. Wenn diese Tabelle durch ungewöhnlich viele (oft gefälschte)…
Eine Enterprise-LAN-Hardening-Checkliste auf Layer 2 ist in vielen Organisationen der schnellste Hebel, um typische Angriffs- und Störszenarien im Campus- oder Office-Netz spürbar zu reduzieren. Während Firewalls, WAFs und EDR oft im Fokus stehen, entstehen im täglichen Betrieb viele sicherheitsrelevante Vorfälle direkt „am Rand“: Rogue Switches, Rogue DHCP-Server, ARP-Spoofing/MITM, MAC-Flooding, VLAN-Fehlzuweisungen oder simple Layer-2-Loops durch falsches…
BPDU Spoofing (auch als STP Attack bekannt) beschreibt ein Szenario, in dem ein Gerät im Layer-2-Netz absichtlich oder unbeabsichtigt Spanning-Tree-BPDUs (Bridge Protocol Data Units) sendet, um die STP-Topologie zu beeinflussen. Weil Spanning Tree Protocol (STP) in vielen Ethernet-Netzen weiterhin die Schleifenfreiheit sicherstellt, kann eine Manipulation der Root-Bridge-Wahl oder der Port-Rollen gravierende Folgen haben: Von plötzlichen…
DHCP Snooping ist eine der wichtigsten Layer-2-Schutzfunktionen in Campus- und Enterprise-Netzen, weil sie eine zentrale Schwachstelle adressiert: DHCP ist standardmäßig „vertrauensbasiert“. Ein Endgerät akzeptiert meist das erste plausible DHCP-Angebot, das es bekommt. Genau das nutzen Rogue-DHCP-Server oder Fehlkonfigurationen aus, um Clients mit falschem Default Gateway, DNS-Servern oder IP-Parametern zu versorgen. Die Folge reicht von „nur“…
Dynamic ARP Inspection (DAI) ist eine zentrale Schutzfunktion auf Layer 2, um ARP-Spoofing und Man-in-the-Middle-Angriffe im lokalen Netzwerk zu verhindern. ARP (Address Resolution Protocol) ist bewusst simpel: Ein Host fragt „Wer hat IP X?“ und erwartet eine Antwort mit der passenden MAC-Adresse. Genau diese Einfachheit macht ARP anfällig: Jeder Teilnehmer im VLAN kann prinzipiell ARP-Antworten…
IP Source Guard ist eine Layer-2-Schutzmaßnahme, die in Enterprise- und Campus-Netzen häufig als „dritter Baustein“ nach DHCP Snooping und Dynamic ARP Inspection (DAI) eingeführt wird. Das Ziel ist klar: Ein Endgerät soll auf einem Access-Port nur mit der IP-Adresse(n) senden dürfen, die für diesen Port tatsächlich vorgesehen sind. Damit reduziert IP Source Guard (oft als…
Port Security in Produktion klingt auf den ersten Blick nach einer einfachen Stellschraube: Erlaube pro Switchport nur eine bestimmte Anzahl MAC-Adressen – und blockiere alles, was darüber hinausgeht. In der Praxis ist Port Security jedoch ein typisches „Schutzfeature mit Outage-Potenzial“. Denn moderne Arbeitsplätze, Meetingräume und Edge-Umgebungen verhalten sich nicht mehr wie „ein PC pro Dose“.…
802.1X ist ein Standard für portbasierte Netzwerkzugangskontrolle und gehört zu den wirksamsten Security-Baselines im Enterprise-Access-Netz – sowohl kabelgebunden (Switchport) als auch im WLAN. Für Einsteiger wirkt 802.1X zunächst komplex, weil mehrere Komponenten zusammenspielen: Endgerät, Switch oder Access Point, ein RADIUS-Server sowie Zertifikate und Identitäten. Der Nutzen ist jedoch sehr konkret: Ein Gerät erhält erst dann…
Ein erfolgreiches NAC-Deployment (Network Access Control) entscheidet sich selten an der Lizenz oder der „besten“ Plattform, sondern an der Art, wie Sie es in den Betrieb bringen. NAC greift direkt in den Netzwerkzugang ein – also in genau den Bereich, in dem Ausfälle sofort sichtbar werden: Benutzer kommen nicht ins Netz, Drucker drucken nicht, IoT-Geräte…
NAC-Bypasses beheben ist ein Thema, das viele Teams erst dann ernst nehmen, wenn trotz „ausgerolltem NAC“ plötzlich unbekannte Geräte im Produktionsnetz auftauchen oder Segmentierungsregeln umgangen werden. Das ist kein Widerspruch: Network Access Control ist nur so stark wie seine schwächste Ausnahmeregel, sein Fallback-Design und die Konsequenz im Enforcement. In der Praxis entstehen NAC-Bypasses selten durch…
Got questions? Ideas? Fill out the form below & our specialist will contact you.