Dynamic ARP Inspection (DAI) ist eine zentrale Schutzfunktion auf Layer 2, um ARP-Spoofing und Man-in-the-Middle-Angriffe im lokalen Netzwerk zu verhindern. ARP (Address Resolution Protocol) ist bewusst simpel: Ein Host fragt „Wer hat IP X?“ und erwartet eine Antwort mit der passenden MAC-Adresse. Genau diese Einfachheit macht ARP anfällig: Jeder Teilnehmer im VLAN kann prinzipiell ARP-Antworten…
IP Source Guard ist eine Layer-2-Schutzmaßnahme, die in Enterprise- und Campus-Netzen häufig als „dritter Baustein“ nach DHCP Snooping und Dynamic ARP Inspection (DAI) eingeführt wird. Das Ziel ist klar: Ein Endgerät soll auf einem Access-Port nur mit der IP-Adresse(n) senden dürfen, die für diesen Port tatsächlich vorgesehen sind. Damit reduziert IP Source Guard (oft als…
Port Security in Produktion klingt auf den ersten Blick nach einer einfachen Stellschraube: Erlaube pro Switchport nur eine bestimmte Anzahl MAC-Adressen – und blockiere alles, was darüber hinausgeht. In der Praxis ist Port Security jedoch ein typisches „Schutzfeature mit Outage-Potenzial“. Denn moderne Arbeitsplätze, Meetingräume und Edge-Umgebungen verhalten sich nicht mehr wie „ein PC pro Dose“.…
802.1X ist ein Standard für portbasierte Netzwerkzugangskontrolle und gehört zu den wirksamsten Security-Baselines im Enterprise-Access-Netz – sowohl kabelgebunden (Switchport) als auch im WLAN. Für Einsteiger wirkt 802.1X zunächst komplex, weil mehrere Komponenten zusammenspielen: Endgerät, Switch oder Access Point, ein RADIUS-Server sowie Zertifikate und Identitäten. Der Nutzen ist jedoch sehr konkret: Ein Gerät erhält erst dann…
Ein erfolgreiches NAC-Deployment (Network Access Control) entscheidet sich selten an der Lizenz oder der „besten“ Plattform, sondern an der Art, wie Sie es in den Betrieb bringen. NAC greift direkt in den Netzwerkzugang ein – also in genau den Bereich, in dem Ausfälle sofort sichtbar werden: Benutzer kommen nicht ins Netz, Drucker drucken nicht, IoT-Geräte…
NAC-Bypasses beheben ist ein Thema, das viele Teams erst dann ernst nehmen, wenn trotz „ausgerolltem NAC“ plötzlich unbekannte Geräte im Produktionsnetz auftauchen oder Segmentierungsregeln umgangen werden. Das ist kein Widerspruch: Network Access Control ist nur so stark wie seine schwächste Ausnahmeregel, sein Fallback-Design und die Konsequenz im Enforcement. In der Praxis entstehen NAC-Bypasses selten durch…
Einen Rogue Switch oder einen Rogue AP im LAN zu erkennen, gehört zu den Vorfällen, die im Alltag unterschätzt werden: Oft sieht zunächst alles „normal“ aus, bis es plötzlich zu ARP-Anomalien, DHCP-Problemen, unerklärlichen Latenzspitzen oder Security-Alerts kommt. In vielen Fällen ist der Auslöser banal – ein Mitarbeiter steckt einen günstigen 5-Port-Switch unter den Schreibtisch, ein…
IoT-Segmentierung ist eine der wirksamsten Maßnahmen, um Sicherheitsrisiken durch vernetzte Geräte zu begrenzen, ohne den Betrieb zu blockieren. In realen Umgebungen treffen jedoch gegensätzliche Anforderungen aufeinander: IoT-Geräte sind oft schwer zu patchen, sprechen proprietäre Protokolle, nutzen Cloud-Dienste und verhalten sich in Netzen „laut“ (Broadcasts, Multicast, häufige DNS- oder NTP-Requests). Gleichzeitig müssen sie zuverlässig funktionieren –…
Wireless MITM ist für SecOps besonders tückisch, weil der Angriff nicht zwingend „laut“ sein muss: Ein sauber umgesetzter Man-in-the-Middle über WLAN kann Nutzer unbemerkt auf ein falsches Funknetz lenken, Sessions umleiten und Anmeldedaten oder Tokens abgreifen – ohne dass klassische Perimeter-Kontrollen sofort anschlagen. Der bekannteste Praxisfall ist der Evil Twin: Ein Angreifer betreibt einen Access…
Netzwerkrisiken auf OSI-Layer mappen ist eine der schnellsten Methoden, um ein belastbares Risk-Register aufzubauen, das sowohl für Security Engineering als auch für Audit, Betrieb und Management verständlich bleibt. Viele Risk Registers scheitern in der Praxis daran, dass Risiken zu abstrakt beschrieben werden („Netzwerk unsicher“) oder zu toolzentriert sind („Firewall fehlt“), ohne den technischen Ort der…
Got questions? Ideas? Fill out the form below & our specialist will contact you.