Start/News/ARP-GUARD
SECURITY · 9 Min. Lesezeit · Security-Notes

ARP-GUARD
AUSGEROLLT.
MAC-POLICY
OHNE 802.1X-DRAMA.

Wir haben ARP-GUARD von ISL bei einem Mittelstands-Kunden eingeführt. Über 600 Endpunkte, drei Standorte, keine neuen Switches. Wer was am Netz darf, entscheidet jetzt eine zentrale MAC-Policy.

3C:2A:F4:7B:00:11 · IT-Abt.-NotebookB8:27:EB:14:9A:C2 · Produktions-IPCA4:5E:60:C9:33:F7 · Drucker Halle 2FF:00:00:DE:AD:00 · Unbekannt PERMITPERMIT · VLAN 200PERMIT · VLAN 30DENY · QUARANTINE ARP-GUARD · POLICY DECISION Vier Endpunkte, vier Entscheidungen. ARP-GUARD wertet bei jedem ARP-Paket aus, ob die MAC bekannt und freigegeben ist — und in welches VLAN sie gehört.

Vorab: 802.1X ist die "richtige" Lösung. Wenn Sie Greenfield bauen und genug Zeit haben, machen Sie 802.1X. Wir hatten weder Greenfield noch viel Zeit — und genau dafür gibt es ARP-GUARD.

01 AUSGANGSLAGE

Ein Mittelstands-Kunde, drei Standorte, gewachsenes Switch-Setup mit drei verschiedenen Generationen Cisco-Hardware. 802.1X war auf zwei Standorten möglich, am dritten hätten wir die halbe Hardware tauschen müssen. Gleichzeitig kam aus dem NIS2-Maßnahmenkatalog die Anforderung: Wer hängt am Netz, wer darf nicht?

02 WARUM ARP-GUARD

ARP-GUARD von ISL.de arbeitet im Wesentlichen Layer 2: jeder MAC, der auf einem Port auftaucht, wird gegen eine zentrale Policy geprüft. Erlaubt → Freigabe ins richtige VLAN. Nicht erlaubt → Quarantäne-VLAN, Alarm im NOC. Das funktioniert mit so gut wie jedem managebaren Switch, unabhängig vom Hersteller.

  • Kein RADIUS-Rollout zwingend
  • Keine Client-Konfiguration nötig
  • Asset-Inventur fällt als Nebenprodukt ab
  • Drucker, IPCs und IoT-Geräte werden mit derselben Policy abgedeckt

03 DER ROLLOUT

Wir sind in drei Phasen vorgegangen — bewusst defensiv, weil Falsch-Quarantäne in einer Produktionshalle teure Folgen hat:

  1. Discovery (2 Wochen) — alle MACs in einer Lern-Phase eingesammelt, mit Standort und VLAN. Wir haben 1 414 Adressen gefunden, davon 38 unbekannt.
  2. Whitelist + Audit (3 Wochen) — Policy aktiviert, aber im Audit-Modus: alles wird geloggt, nichts wird blockiert. Falsche Whitelist-Einträge in dieser Phase zu finden ist viel billiger als später.
  3. Enforcement — schrittweise pro Standort, pro Switch-Stack. Mit Rollback-Plan, mit Test in einem Quarantäne-VLAN, mit Notfall-Bypass-Procedure dokumentiert.

04 WAS WIR GELERNT HABEN

  • Drucker sind das Ärgernis Nummer eins. Manche ändern die MAC nach Firmware-Update.
  • IoT-Geräte mit Random-MAC sind die Hölle. Wir haben für diese Geräte einen eigenen, segmentierten VLAN-Bereich mit Time-Limited-MACs.
  • Der Quarantäne-VLAN muss DHCP haben — sonst weiß der Anwender nicht, warum nichts geht.
  • Tickets im NOC haben sich messbar reduziert: weniger "irgendwer hat sein eigenes Gerät angesteckt"-Themen.

05 WANN ARP-GUARD, WANN 802.1X

Wir empfehlen ARP-GUARD, wenn (a) ein Switch-Tausch zu teuer wäre, (b) Sie viele "dumme" Endgeräte haben (Drucker, IPCs, Geräte ohne Supplicant), oder (c) Sie schnell Sichtbarkeit über das Netz brauchen, bevor Sie 802.1X richtig einführen. Für Greenfield-Office-Netze ist 802.1X mit Zertifikaten weiterhin die saubere Wahl.

Anfragen über unsere Kontakt-Seite oder telefonisch unter +43 (0)1 235 1277.

Aus derselben Werkstatt

WEITERE ENGINEERING-NOTES.

PLATFORM · HOSTED AI

LLM-INFERENZ IN ÖSTERREICH

OpenAI-kompatible API auf GPUs in Graz und Wien.

 PLATFORM · GITOPS

ARGOCD IM PRODUKTIVBETRIEB

Drei Plattformen parallel, eine Source of Truth.

 DATACENTER · S2D

2-NODE STORAGE SPACES DIRECT

Hyperconverged für 40 VMs ohne Ballast.
Zur News-Übersicht