VLANs sorgen für logische Netztrennung – aber nur korrekt konfiguriert sind sie auch sicher.
Switching-Security umfasst alle Maßnahmen, die Layer-2-Angriffe verhindern und Manipulationen im LAN unterbinden.

Diese Seite behandelt:

• VLAN-Hopping
• Native VLAN Sicherheit
• Port Security
• DHCP Snooping
• Dynamic ARP Inspection (DAI)
• BPDU Guard / Root Guard
• Sturmschutz (Broadcast- & Multicast-Limits)

VLAN-Hopping bedeutet, dass ein Angreifer versucht, in ein anderes VLAN zu gelangen, obwohl sein Port dies eigentlich nicht erlaubt.

Zwei typische Angriffe:

Angreifer sendet Frames mit zwei VLAN-Tags:

 [Outer Tag: Native VLAN]
 [Inner Tag: Ziel-VLAN]

Wenn der Switch die Native-VLAN-Tags entfernt → gelangt das Paket unter Umständen in ein anderes VLAN.

• Native VLAN nicht in Nutzung oder auf eigenes, leeres VLAN legen
• Native VLAN ≠ VLAN 1
• VLAN 1 NICHT produktiv verwenden
• nur explizit erlaubte VLANs auf Trunks

Angreifer versucht, den Switch dazu zu bringen, seinen Port als Trunk-Port zu behandeln.

Beispiel:

 DTP (Dynamic Trunking Protocol) manipulieren → trunk negotiation

• alle Access-Ports fest auf access setzen:

 switchport mode access
 switchport access vlan X

• DTP deaktivieren (Cisco):

 switchport nonegotiate

Das Native VLAN ist das VLAN ohne Tag auf einem Trunk.
Standard = VLAN 1 → immer unsicher.

• Native VLAN ändern auf ein ungenutztes VLAN (z. B. VLAN 99)

  • kein produktives Gerät in Native VLAN
    * nur definierte VLANs taggen
    

  ASCII:

Trunk:
  VLAN 10 (tagged)
  VLAN 20 (tagged)
  VLAN 99 (native, ungenutzt)

Port Security schützt Access-Ports vor:

• MAC-Spoofing

  • MAC-Flooding
    * unerlaubten Geräten

  Beispiel Cisco-Konfiguration

interface Gi0/10
  switchport mode access
  switchport access vlan 10
  switchport port-security
  switchport port-security maximum 1
  switchport port-security violation shutdown
  switchport port-security mac-address sticky

Funktionen:

• maximale MAC-Adressen pro Port
  * Sticky MAC (lernt automatisch)
  * Shutdown bei Verstoß
  

—

Hatten wir bereits ausführlich – Teil der VLAN-Security:

Schützt vor:

• Rogue DHCP-Servern
• falschen IP-Konfigurationen
  * Manipulation von Gateway/DNS

Bindet Basis für:

• IP Source Guard
• Dynamic ARP Inspection

DAI verhindert ARP-Spoofing / ARP-Poisoning.

Angreifer versucht:

Ich bin das Gateway. Schickt mir euren Traffic.

DAI nutzt die DHCP Snooping Binding Table:

MAC ↔ IP ↔ Port

Wenn ARP nicht passt → blockiert.

ip arp inspection vlan 10

Schützt Ports vor IP-Spoofing.

Nur IPs, die in der DHCP-Snooping-Tabelle stehen, dürfen vom Port ausgehen.

ASCII:

MAC A darf nur IP 192.168.10.20 senden → sonst block

Spanning Tree Protocol (STP) schützt das LAN vor Schleifen.
Aber Angreifer können BPDUs senden, um Root Bridge zu manipulieren.

Blockiert Ports, wenn sie BPDUs empfangen.

Perfekt für Access-Ports.

spanning-tree portfast
spanning-tree bpduguard enable

Verhindert, dass ein unerlaubter Switch Root wird.

spanning-tree guard root

Schützt vor:

• Broadcast-Stürmen
  * Loop-Katastrophen
  * schlecht programmierten Geräten (z. B. Kameras)

Beispiel Cisco:

storm-control broadcast level 5
storm-control multicast level 5

• nur nötige VLANs auf Trunk erlauben: <code> switchport trunk allowed vlan 10,20 </code>
• Native VLAN sichern (siehe oben)
• DTP deaktivieren (keine automatischen Trunks)

Standard-Template:

switchport mode access
switchport access vlan X
switchport nonegotiate
spanning-tree portfast
spanning-tree bpduguard enable
ip dhcp snooping trust  ❌ (nur Uplinks!)
ip arp inspection limit rate 15

• VLAN-Hopping → verhindern durch Native VLAN + feste Access-Ports

  • Port Security → verhindert MAC-Spoofing & unbekannte Geräte
    * DHCP Snooping → schützt IP-Konfiguration
    * DAI → schützt ARP
    * IP Source Guard → schützt IP/MAC-Zuordnung
    * BPDU Guard → schützt STP vor Angriffen
    * Storm Control → schützt vor Broadcast-Stürmen
    * Nur notwendige VLANs auf Trunks → Minimierungsprinzip
    * VLAN 1 NICHT nutzen → Sicherheitsrisiko