Subnetz
Was ist Subnetz?
SubnetzZusammenhangender IP-Adressbereich mit gemeinsamem Prafix, der eine einzelne Broadcast-Domane und Routing-Grenze im Netz definiert.
Ein Subnetz (Subnetwork) fasst IP-Adressen, die die hoherwertigen Bits ihrer Adresse gemeinsam haben, zu einem einzigen Layer-3-Netz zusammen. Subnetting wurde im RFC 950 (1985) formalisiert, das das starre Klassen-A/B/C-Schema in Netz- und Host-Anteile aufteilte, die durch eine Subnetzmaske definiert werden; RFC 4632 verallgemeinerte dies spater zum klassenlosen CIDR mit beliebigen Prafixlangen wie /24 oder /27, und RFC 1918 reservierte 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 fur die private Nutzung. Hosts im selben Subnetz kommunizieren direkt uber ARP oder IPv6-Neighbor-Discovery; Verkehr in andere Subnetze wird uber einen Router weitergeleitet. Variable Length Subnet Masking (VLSM) erlaubt es, ein Prafix in passend bemessene Blocke aufzuteilen, um Adressen zu sparen.
In der Sicherheitsarchitektur ist das Subnetz die naturliche Grenze fur VLANs, ACLs, Firewall-Regeln und Mikrosegmentierung, und es begrenzt den Wirkungsradius von Layer-2-Angriffen wie ARP-Spoofing, die eine geroutete Grenze nicht uberwinden konnen. Flache, uberdimensionierte Subnetze sind eine wiederkehrende Grundursache in Breach-Berichten: Sobald ein Angreifer auf einem Host Fuss fasst, erlaubt ihm ein unsegmentiertes /16, frei zu scannen und zu pivotieren. Der Target-Vorfall von 2013 ist ein Lehrbuchbeispiel - die Angreifer erreichten die Zahlungssysteme, weil dem Netz die Segmentierung zwischen den lieferantenseitigen und den kartenverarbeitenden Zonen fehlte. Uberlappende oder fehlgeroutete Subnetze, die Vertrauenszonen uberbrucken, sind ein ebenso haufiges Risiko fur laterale Bewegung.
flowchart TB R[Router / Layer-3 firewall] R --> A[10.1.10.0/24<br/>Production servers] R --> B[10.1.20.0/24<br/>User workstations] R --> C[10.1.30.0/24<br/>Build agents] A -.ACL denies.- C B -.ACL denies.- A
● Beispiele
- 01
Das /24-Subnetz 10.1.20.0/24 enthalt 256 Adressen; 10.1.20.255 ist als Broadcast reserviert.
- 02
Produktionsserver liegen in 10.1.10.0/24, Build-Agenten in 10.1.30.0/24 isoliert.
● Häufige Fragen
Was ist Subnetz?
Zusammenhangender IP-Adressbereich mit gemeinsamem Prafix, der eine einzelne Broadcast-Domane und Routing-Grenze im Netz definiert. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet Subnetz?
Zusammenhangender IP-Adressbereich mit gemeinsamem Prafix, der eine einzelne Broadcast-Domane und Routing-Grenze im Netz definiert.
Wie schützt man sich gegen Subnetz?
Schutzmaßnahmen gegen Subnetz kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Subnetz?
Übliche alternative Bezeichnungen: Subnetz, IP-Subnetz.