DHCP-Spoofing & Rogue DHCP: Detection- und Mitigation-Playbook

DHCP-Spoofing & Rogue DHCP sind im Unternehmensnetzwerk besonders gefährlich, weil sie nicht wie ein klassischer Exploit wirken. Ein Angreifer muss keinen Server „hacken“, sondern nur erreichen, dass Clients ihre Netzwerkkonfiguration von einer falschen Quelle beziehen. Damit lassen sich Gateways, DNS-Server, Proxy-Einstellungen oder weitere DHCP-Optionen manipulieren – mit Auswirkungen von „nur“ DoS bis zu echter Man-in-the-Middle-Positionierung.…

VRF-basierte Segmentierung: Praktische Sicherheit für Multi-Tenant

VRF-basierte Segmentierung ist eine der praktischsten Methoden, um in Multi-Tenant-Umgebungen echte Trennung auf Layer 3 zu erreichen, ohne für jeden Mandanten eine komplett eigene physische Infrastruktur betreiben zu müssen. Während VLANs oft als „Segmentierung“ verstanden werden, liefern sie im Kern nur Layer-2-Abgrenzung – und sie werden in der Praxis schnell unübersichtlich, sobald mehrere Standorte, Routing,…

VLAN Hopping: Mythos vs. Realität und wie man es verhindert

VLAN Hopping wird in Security-Trainings und Pentest-Berichten häufig als „der Trick, um aus einem VLAN ins nächste zu springen“ dargestellt. Das führt zu zwei Extremen: Entweder wird VLAN Hopping als allgegenwärtige Gefahr überbewertet, oder es wird als überholter Mythos abgetan. In der Realität liegt die Wahrheit dazwischen. Moderne Enterprise-Switches und gute Standards machen klassisches VLAN…

NAT und Attribution: Warum Security-Investigations schwieriger werden

NAT und Attribution sind in Security-Investigations ein Spannungsfeld, das in der Praxis immer wieder zu Verzögerungen, Fehlannahmen und unnötig großen „Blast Radius“-Maßnahmen führt. Network Address Translation (NAT) ist aus Betriebssicht oft unverzichtbar: Es spart IPv4-Adressen, vereinfacht Übergänge zwischen Netzbereichen und ermöglicht in vielen Umgebungen erst den wirtschaftlichen Betrieb von Internetzugängen oder Segmenten. Aus Sicht von…

MAC-Flooding: Auswirkungen auf Switches und richtiges Hardening

MAC-Flooding wird häufig als „altbekannter Layer-2-Trick“ eingeordnet – und genau das ist der Grund, warum er in vielen LANs nicht konsequent adressiert wird. Dabei kann MAC-Flooding in der Praxis sehr unangenehme Effekte auslösen: von massiver Netzinstabilität über Performance-Einbrüche bis hin zu Situationen, in denen Switches unbekannten Unicast-Verkehr fluten und damit ungewollt Sichtbarkeit im Segment entsteht.…

STP-Angriff (BPDU-Spoofing): Schutz mit BPDU Guard/Root Guard

Ein STP-Angriff (BPDU-Spoofing) ist ein typisches Beispiel dafür, wie ein vermeintlich „betriebsnahes“ Layer-2-Thema unmittelbar sicherheitsrelevant wird. Spanning Tree Protocol (STP) sorgt dafür, dass Ethernet-Netze ohne Schleifen stabil bleiben, indem redundante Links kontrolliert blockiert und bei Ausfällen schnell wieder freigeschaltet werden. Genau diese Steuerlogik lässt sich missbrauchen: Wer in der Lage ist, BPDUs (Bridge Protocol Data…

Port Security: Design, Tuning und Risiko von False Positives

Port Security gehört zu den wirksamsten, aber auch am häufigsten missverstandenen Schutzmaßnahmen auf Layer 2. Richtig eingesetzt, verhindert Port Security, dass an einem Switchport plötzlich „zu viel“ passiert: zu viele MAC-Adressen, unerwartete Gerätewechsel, Rogue Switches, Bridging oder bestimmte Formen von MAC-Flooding. Falsch eingesetzt, erzeugt Port Security hingegen genau die Art von Störungen, die Security-Teams vermeiden…

802.1X + NAC: Architektur, Bypass und wie man es stärkt

802.1X + NAC gilt in vielen Unternehmen als der wichtigste Hebel, um „wer darf ins Netz?“ endlich kontrollierbar zu machen. Während Firewalls und EDR häufig erst greifen, wenn ein Gerät bereits kommunizieren kann, setzt Network Access Control (NAC) deutlich früher an: am Switchport oder WLAN-Association-Prozess. Damit wird 802.1X zur gemeinsamen Grundlage für Zero-Trust-orientierte Segmentierung, sauberes…

Private VLANs & L2-Segmentierung: Wann effektiv – wann nicht

Private VLANs sind eine bewährte Technik, um auf Layer 2 eine feinere Segmentierung zu erreichen, ohne für jeden einzelnen Host ein eigenes VLAN aufbauen zu müssen. Gerade in Rechenzentren, DMZs, Shared-Hosting-Umgebungen oder bei großen Server-Farmen entsteht häufig ein Dilemma: Einerseits sollen Systeme im selben IP-Subnetz bleiben (zum Beispiel aus Betriebs- oder Applikationsgründen), andererseits darf sich…

Dynamic ARP Inspection: Häufige Failure Modes & schnelle Validierung

Dynamic ARP Inspection (DAI) ist eine der effektivsten Layer-2-Schutzmaßnahmen gegen ARP-Spoofing und Man-in-the-Middle-Szenarien in IPv4-Netzen. Gleichzeitig ist DAI berüchtigt dafür, bei falscher Konfiguration „plötzlich alles kaputt zu machen“: Clients bekommen zwar eine IP, aber keine stabile Verbindung; einzelne Geräte fallen sporadisch aus; Voice- oder Drucker-VLANs wirken unzuverlässig; oder nach einem Switch-Reboot treten scheinbar zufällige Störungen…