Das Netzwerk mit VLANs segmentieren: warum und wie
Alles im selben flachen Netzwerk zu haben ist bequem … bis etwas infiziert wird. VLANs begrenzen den Schaden.
Ein flaches Netzwerk bedeutet, dass jedes Gerät mit jedem anderen kommunizieren kann. Fällt eine Maschine aus, bewegt sich der Angreifer frei durch das gesamte Netzwerk.
Die Idee
Ein VLAN teilt einen einzelnen physischen Switch in isolierte logische Netzwerke auf. Der Datenverkehr des einen erreicht das andere nicht, es sei denn, er läuft über einen Router/eine Firewall, wo du die Regeln festlegst.
Ein typisches Schema für ein kleines Unternehmen
- VLAN 10 — Büro: Arbeitsplätze.
- VLAN 20 — Server: eingeschränkter Zugriff.
- VLAN 30 — Gäste / WLAN: Internet ja, internes Netzwerk nein.
- VLAN 40 — IoT / Kameras: so isoliert wie möglich.
Der entscheidende Punkt
Segmentierung funktioniert nur, wenn die Firewall zwischen den VLANs standardmäßig verweigert und du nur die notwendigen Datenflüsse erlaubst (zum Beispiel Büro → Server auf dem konkreten Port und sonst nichts).
Segmentieren verhindert nicht, dass sie eindringen; es verhindert, dass sie alles mitnehmen, wenn sie es tun.