MAC-Flooding wird häufig als „altbekannter Layer-2-Trick“ eingeordnet – und genau das ist der Grund, warum er in vielen LANs nicht konsequent adressiert wird. Dabei kann MAC-Flooding in der Praxis sehr unangenehme Effekte auslösen: von massiver Netzinstabilität über Performance-Einbrüche bis hin zu Situationen, in denen Switches unbekannten Unicast-Verkehr fluten und damit ungewollt Sichtbarkeit im Segment entsteht.…
Ein STP-Angriff (BPDU-Spoofing) ist ein typisches Beispiel dafür, wie ein vermeintlich „betriebsnahes“ Layer-2-Thema unmittelbar sicherheitsrelevant wird. Spanning Tree Protocol (STP) sorgt dafür, dass Ethernet-Netze ohne Schleifen stabil bleiben, indem redundante Links kontrolliert blockiert und bei Ausfällen schnell wieder freigeschaltet werden. Genau diese Steuerlogik lässt sich missbrauchen: Wer in der Lage ist, BPDUs (Bridge Protocol Data…
Port Security gehört zu den wirksamsten, aber auch am häufigsten missverstandenen Schutzmaßnahmen auf Layer 2. Richtig eingesetzt, verhindert Port Security, dass an einem Switchport plötzlich „zu viel“ passiert: zu viele MAC-Adressen, unerwartete Gerätewechsel, Rogue Switches, Bridging oder bestimmte Formen von MAC-Flooding. Falsch eingesetzt, erzeugt Port Security hingegen genau die Art von Störungen, die Security-Teams vermeiden…
802.1X + NAC gilt in vielen Unternehmen als der wichtigste Hebel, um „wer darf ins Netz?“ endlich kontrollierbar zu machen. Während Firewalls und EDR häufig erst greifen, wenn ein Gerät bereits kommunizieren kann, setzt Network Access Control (NAC) deutlich früher an: am Switchport oder WLAN-Association-Prozess. Damit wird 802.1X zur gemeinsamen Grundlage für Zero-Trust-orientierte Segmentierung, sauberes…
Private VLANs sind eine bewährte Technik, um auf Layer 2 eine feinere Segmentierung zu erreichen, ohne für jeden einzelnen Host ein eigenes VLAN aufbauen zu müssen. Gerade in Rechenzentren, DMZs, Shared-Hosting-Umgebungen oder bei großen Server-Farmen entsteht häufig ein Dilemma: Einerseits sollen Systeme im selben IP-Subnetz bleiben (zum Beispiel aus Betriebs- oder Applikationsgründen), andererseits darf sich…
Dynamic ARP Inspection (DAI) ist eine der effektivsten Layer-2-Schutzmaßnahmen gegen ARP-Spoofing und Man-in-the-Middle-Szenarien in IPv4-Netzen. Gleichzeitig ist DAI berüchtigt dafür, bei falscher Konfiguration „plötzlich alles kaputt zu machen“: Clients bekommen zwar eine IP, aber keine stabile Verbindung; einzelne Geräte fallen sporadisch aus; Voice- oder Drucker-VLANs wirken unzuverlässig; oder nach einem Switch-Reboot treten scheinbar zufällige Störungen…
Layer-3-Security entscheidet in vielen Netzen darüber, ob Angriffe nur „Lärm“ bleiben oder ob sie sich schnell ausweiten: Auf IP-Ebene lassen sich Quellen fälschen, Routing-Entscheidungen missbrauchen und ganze Kommunikationspfade umleiten. Während Layer-2-Kontrollen wie DHCP Snooping oder Dynamic ARP Inspection vor allem lokale Segmente schützen, betrifft Layer 3 die Netzgrenzen, Inter-VLAN-Routing, WAN-Anbindungen, Cloud-Konnektivität und die Übergänge zu…
uRPF in Produktion (Unicast Reverse Path Forwarding) ist eine der wichtigsten, gleichzeitig aber am häufigsten falsch eingeführten Anti-Spoofing-Kontrollen auf Layer 3. Der Grund ist einfach: uRPF greift direkt im Weiterleitungsprozess ein. Es entscheidet anhand der Routing-Tabelle, ob die Quelladresse eines Pakets „plausibel“ ist – und verwirft Traffic, wenn diese Plausibilität nicht gegeben ist. Damit kann…
ICMP-Abuse ist ein wiederkehrendes Thema in Netzwerk- und Security-Teams: Einerseits wird ICMP (Internet Control Message Protocol) regelmäßig missbraucht – für Reconnaissance, zur Überlastung von Links, als Träger für Tunneling-Ansätze oder zur Störung von Services. Andererseits ist ICMP kein „nice to have“, sondern ein elementarer Bestandteil stabiler IP-Kommunikation. Wenn ICMP pauschal blockiert wird, funktionieren Path-MTU-Discovery, Fehlersignalisierung…
Route Injection bezeichnet das Einspeisen von falschen oder unerwünschten Routing-Informationen in ein Netzwerk – absichtlich durch Angreifer oder unbeabsichtigt durch Fehlkonfiguration. Im Ergebnis werden Datenpakete über falsche Pfade geleitet, Sicherheitskontrollen umgangen, Traffic abgefangen (Man-in-the-Middle), ausgeleitet (Exfiltration) oder komplett „ins Leere“ geroutet (Blackholing). Besonders relevant ist Route Injection bei dynamischen Routing-Protokollen wie BGP und OSPF, weil…
Got questions? Ideas? Fill out the form below & our specialist will contact you.