Netzwerksicherheit

In den meisten Netzwerken kann jeder ein Gerät an eine freie Netzwerkdose stecken und hat sofort Zugang. In Büros, Praxen, Hotels oder Geschäften sind diese Ports oft frei zugänglich, ein Sicherheitsrisiko, das selten bedacht wird.

Ein geteiltes WLAN-Passwort kennt irgendwann jeder. Ehemalige Mitarbeiter, Gäste, Nachbarn. Ohne individuelle Authentifizierung gibt es keine Kontrolle darüber, wer sich verbindet.

Ein unbekanntes Gerät im Netz kann Daten abgreifen, Malware verbreiten oder als Einfallstor für Angriffe dienen. Ohne Zugangskontrolle bleibt das unbemerkt.

Jedes Gerät muss sich ausweisen, bevor es Zugang zum Netzwerk bekommt, egal ob per LAN oder WLAN. Ohne gültige Anmeldedaten oder Zertifikat bleibt der Port gesperrt. Das ist der Industriestandard für Netzwerkzugangskontrolle.

Nur Geräte mit bekannter MAC-Adresse dürfen sich verbinden. Einfach umzusetzen und ein guter erster Schritt, besonders für Umgebungen, in denen 802.1X zu aufwändig wäre. Wichtig zu wissen: MAC-Adressen lassen sich fälschen, weshalb MAC-Filtering allein keinen vollständigen Schutz bietet.

Ein zentraler RADIUS-Server verwaltet alle Zugangsdaten und entscheidet in Echtzeit, ob ein Gerät ins Netz darf und in welches VLAN es kommt. So lässt sich die Zugangskontrolle für das gesamte Netzwerk zentral steuern.

Abhängig davon, wer sich anmeldet, landet das Gerät automatisch im richtigen Netzwerk-Segment. Ein Mitarbeiter-Laptop kommt ins Firmennetz, ein Gast-Gerät ins Gäste-WLAN, vollautomatisch.

Ein starkes WLAN-Passwort allein reicht nicht. Mit WPA2-Enterprise oder WPA3 authentifiziert sich jeder Benutzer individuell, und gemeinsame Passwörter gehören der Vergangenheit an. Damit ist auch nachvollziehbar, wer wann verbunden war.

Netzwerk-Segmentierung per VLAN ist nur die halbe Miete. Ohne Firewall-Regeln zwischen den Segmenten können Geräte im Gäste-VLAN unter Umständen trotzdem auf das Firmennetz zugreifen. Klare Regeln definieren, welcher Traffic zwischen VLANs erlaubt ist und welcher nicht.

Verhindert, dass jemand einen eigenen DHCP-Server ins Netz bringt und damit den gesamten Datenverkehr umleiten kann.

Schützt gegen ARP-Spoofing, also Angriffe, bei denen sich ein Gerät als Gateway ausgibt, um Traffic mitzulesen.

Begrenzt die Anzahl erlaubter Geräte pro Port. Wird ein unbekanntes Gerät angesteckt, wird der Port automatisch gesperrt.

Geräte im gleichen Netzwerk können sich gegenseitig nicht sehen. Besonders wichtig in Gäste-WLANs, Hotels und Coworking-Spaces.

Switches, Access Points und Router haben eigene Software, die regelmäßig aktualisiert werden muss. Bekannte Sicherheitslücken werden durch Updates geschlossen. Wer nicht patcht, lässt die Tür offen.