BPDU Spoofing (STP Attack): Schutz mit BPDU Guard/Root Guard

BPDU Spoofing (auch als STP Attack bekannt) beschreibt ein Szenario, in dem ein Gerät im Layer-2-Netz absichtlich oder unbeabsichtigt Spanning-Tree-BPDUs (Bridge Protocol Data Units) sendet, um die STP-Topologie zu beeinflussen. Weil Spanning Tree Protocol (STP) in vielen Ethernet-Netzen weiterhin die Schleifenfreiheit sicherstellt, kann eine Manipulation der Root-Bridge-Wahl oder der Port-Rollen gravierende Folgen haben: Von plötzlichen…

DHCP Snooping: Konfiguration, Validierung und häufige Failure Modes

DHCP Snooping ist eine der wichtigsten Layer-2-Schutzfunktionen in Campus- und Enterprise-Netzen, weil sie eine zentrale Schwachstelle adressiert: DHCP ist standardmäßig „vertrauensbasiert“. Ein Endgerät akzeptiert meist das erste plausible DHCP-Angebot, das es bekommt. Genau das nutzen Rogue-DHCP-Server oder Fehlkonfigurationen aus, um Clients mit falschem Default Gateway, DNS-Servern oder IP-Parametern zu versorgen. Die Folge reicht von „nur“…

Dynamic ARP Inspection (DAI): Funktionsweise + False-Positive-Troubleshooting

Dynamic ARP Inspection (DAI) ist eine zentrale Schutzfunktion auf Layer 2, um ARP-Spoofing und Man-in-the-Middle-Angriffe im lokalen Netzwerk zu verhindern. ARP (Address Resolution Protocol) ist bewusst simpel: Ein Host fragt „Wer hat IP X?“ und erwartet eine Antwort mit der passenden MAC-Adresse. Genau diese Einfachheit macht ARP anfällig: Jeder Teilnehmer im VLAN kann prinzipiell ARP-Antworten…

IP Source Guard: Wann effektiv – und wann nicht

IP Source Guard ist eine Layer-2-Schutzmaßnahme, die in Enterprise- und Campus-Netzen häufig als „dritter Baustein“ nach DHCP Snooping und Dynamic ARP Inspection (DAI) eingeführt wird. Das Ziel ist klar: Ein Endgerät soll auf einem Access-Port nur mit der IP-Adresse(n) senden dürfen, die für diesen Port tatsächlich vorgesehen sind. Damit reduziert IP Source Guard (oft als…

Port Security in Produktion: Tuning ohne legitime User „auszusperren“

Port Security in Produktion klingt auf den ersten Blick nach einer einfachen Stellschraube: Erlaube pro Switchport nur eine bestimmte Anzahl MAC-Adressen – und blockiere alles, was darüber hinausgeht. In der Praxis ist Port Security jedoch ein typisches „Schutzfeature mit Outage-Potenzial“. Denn moderne Arbeitsplätze, Meetingräume und Edge-Umgebungen verhalten sich nicht mehr wie „ein PC pro Dose“.…

802.1X für Einsteiger (Security): Architektur, Flow und Best Practices

802.1X ist ein Standard für portbasierte Netzwerkzugangskontrolle und gehört zu den wirksamsten Security-Baselines im Enterprise-Access-Netz – sowohl kabelgebunden (Switchport) als auch im WLAN. Für Einsteiger wirkt 802.1X zunächst komplex, weil mehrere Komponenten zusammenspielen: Endgerät, Switch oder Access Point, ein RADIUS-Server sowie Zertifikate und Identitäten. Der Nutzen ist jedoch sehr konkret: Ein Gerät erhält erst dann…

NAC-Deployment: Stufenweiser Rollout ohne Ops zu stören

Ein erfolgreiches NAC-Deployment (Network Access Control) entscheidet sich selten an der Lizenz oder der „besten“ Plattform, sondern an der Art, wie Sie es in den Betrieb bringen. NAC greift direkt in den Netzwerkzugang ein – also in genau den Bereich, in dem Ausfälle sofort sichtbar werden: Benutzer kommen nicht ins Netz, Drucker drucken nicht, IoT-Geräte…

NAC-Bypasses beheben: Typische Szenarien und Countermeasures

NAC-Bypasses beheben ist ein Thema, das viele Teams erst dann ernst nehmen, wenn trotz „ausgerolltem NAC“ plötzlich unbekannte Geräte im Produktionsnetz auftauchen oder Segmentierungsregeln umgangen werden. Das ist kein Widerspruch: Network Access Control ist nur so stark wie seine schwächste Ausnahmeregel, sein Fallback-Design und die Konsequenz im Enforcement. In der Praxis entstehen NAC-Bypasses selten durch…

Rogue Switch / Rogue AP erkennen: IR-Prozess im LAN

Einen Rogue Switch oder einen Rogue AP im LAN zu erkennen, gehört zu den Vorfällen, die im Alltag unterschätzt werden: Oft sieht zunächst alles „normal“ aus, bis es plötzlich zu ARP-Anomalien, DHCP-Problemen, unerklärlichen Latenzspitzen oder Security-Alerts kommt. In vielen Fällen ist der Auslöser banal – ein Mitarbeiter steckt einen günstigen 5-Port-Switch unter den Schreibtisch, ein…

IoT-Segmentierung: Sichere und praktikable VLAN/ACL-Designs

IoT-Segmentierung ist eine der wirksamsten Maßnahmen, um Sicherheitsrisiken durch vernetzte Geräte zu begrenzen, ohne den Betrieb zu blockieren. In realen Umgebungen treffen jedoch gegensätzliche Anforderungen aufeinander: IoT-Geräte sind oft schwer zu patchen, sprechen proprietäre Protokolle, nutzen Cloud-Dienste und verhalten sich in Netzen „laut“ (Broadcasts, Multicast, häufige DNS- oder NTP-Requests). Gleichzeitig müssen sie zuverlässig funktionieren –…