Incident Response für Router: Forensik, Captures, Isolation & Recovery Runbook

Ein Security-Incident auf Routern ist anders als ein Server-Incident: Der Router ist gleichzeitig Produktionskomponente, Kontrollpunkt und oft Teil der Angriffskette. Incident Response muss daher zwei Ziele balancieren: Beweise sichern (Forensik) und den Geschäftsbetrieb stabilisieren (Containment/Recovery). Ein gutes Runbook verhindert hektische Aktionen wie „reload“ oder „debug all“, die Beweise zerstören oder die Lage verschlimmern. Stattdessen arbeitest…

GRE over IPsec vs. VTI: Performance, MTU, Troubleshooting im Vergleich

GRE over IPsec und VTI (Virtual Tunnel Interface) sind zwei etablierte Wege, um IPsec-VPNs „route-based“ zu betreiben. Beide können dynamisches Routing (BGP/OSPF/EIGRP) transportieren, beide können Multi-Subnetz-Szenarien sauber abbilden – und beide können trotzdem im Betrieb schmerzhaft sein, wenn MTU/PMTUD, Encapsulation und Troubleshooting nicht verstanden sind. Der wichtigste Unterschied ist die Schichtung: Bei GRE over IPsec…

Zertifikatsbasierte VPNs (PKI): Enrollment, CRL/OCSP und Betriebsprozesse

Zertifikatsbasierte VPNs ersetzen Pre-Shared Keys durch eindeutige, kryptografisch geprüfte Identitäten. Das ist in großen Umgebungen der entscheidende Vorteil: Kein „Shared Secret“ für 100+ Standorte, saubere Rotation, klare Ownership und bessere Auditierbarkeit. Der Preis ist Prozessdisziplin: Enrollment (Zertifikatsausstellung), Trust Chain (CA/Intermediate), sowie Revocation (CRL/OCSP) müssen zuverlässig funktionieren – sonst scheitern IKEv2-Verbindungen scheinbar „zufällig“ bei Rekeys oder…

IPsec Performance Tuning: AES-GCM, Offload, Rekey Timer, Throughput

IPsec-Performance ist selten nur „mehr Bandbreite kaufen“. In der Praxis bremsen vier Faktoren: Wahl der Crypto-Suite (AES-GCM vs. AES-CBC+HMAC), Hardware-Offload/Dataplane-Path (QFP/ASIC vs. CPU), Rekey- und DPD-Timer (Mikrospikes, Flaps) sowie MTU/Fragmentierung (Goodput-Verlust, Retransmits). Wer IPsec im Gigabit-Bereich stabil betreiben will, muss deshalb bewusst tunen: starke, aber effiziente Algorithmen wählen, Offload sicherstellen, Rekey-Events entschärfen und Throughput richtig…

VPN Failover ohne Flaps: Tracking, SLA, Routing und Session-Stabilität

VPN-Failover ist in der Praxis weniger ein „Tunnel hoch oder runter“-Problem, sondern ein Stabilitätsproblem: Wenn Tracking zu aggressiv ist, flappen Tunnels bei kurzen Loss-Spikes. Wenn Tracking zu träge ist, dauert der Ausfall zu lange. Und wenn Routing oder NAT-State nicht symmetrisch bleiben, brechen Sessions, obwohl der Tunnel „wieder da“ ist. Ein robustes Failover-Design verbindet deshalb…

Troubleshooting IPsec Deep Dive: SAs, Rekey, NAT-T, Fragmentierung

IPsec-Probleme wirken im Betrieb oft „mysteriös“: Der Tunnel ist „up“, aber Traffic geht nicht. Oder alles läuft, bis ein Rekey kommt – dann gibt es kurze Aussetzer. Oder nur große Transfers brechen, während Ping/SSH noch funktionieren. In fast allen Fällen steckt dahinter eine saubere, erklärbare Ursache: falsche SA-States, Rekey-Mismatches, NAT-Traversal (NAT-T) Effekte oder Fragmentierung/PMTUD-Blackholes. Dieses…

Multicast über VPN: Optionen, Einschränkungen und Best Practices

Multicast über VPN ist eines der Themen, das in Lab-Setups oft „einfach geht“, im Betrieb aber schnell an Grenzen stößt: IPsec ist per Default unicast-orientiert, Multicast-Routing braucht Nachbarschaften (PIM), und viele Underlays sind für Multicast nicht optimiert. Trotzdem gibt es saubere, praxiserprobte Wege: GRE over IPsec (klassisch), DMVPN (mGRE) für Hub-and-Spoke, oder – je nach…

Zone-Based Firewall (ZBFW) auf Cisco Routern: Policy-Design für Experten

Zone-Based Firewall (ZBFW) ist auf Cisco Routern das stateful Firewall-Framework, um Traffic nicht mehr „interface-by-interface“ mit ACLs zu filtern, sondern zonenbasiert nach Sicherheitsdomänen zu steuern. Für Experten ist ZBFW vor allem ein Policy-Design-Thema: Welche Zonen existieren, welche Flows sind erlaubt, wo wird inspiziert (stateful) vs. nur gefiltert (stateless), und wie vermeidest du Lockouts sowie Performance-Fallen?…

CoPP Advanced: Baseline, Exception Handling und False Positives vermeiden

Control Plane Policing (CoPP) schützt Cisco Router vor Angriffen und Fehlkonfigurationen, indem es Traffic zur Control Plane (CPU) klassifiziert und rate-limitiert. In der Praxis scheitern CoPP-Rollouts aber selten an Syntax, sondern an Betriebsrealität: fehlende Baseline-Messungen, zu harte Policers, nicht erfasste Ausnahmefälle (z. B. Routing-Protokolle, ICMPv6/ND, NTP, Telemetrie) und daraus resultierende False Positives. Ein „zu strenges“…

Infrastructure ACLs (iACLs): Schutz vor lateral movement im WAN Edge

Infrastructure ACLs (iACLs) sind ein bewährtes Security-Pattern, um die eigene Netzwerk-Infrastruktur (Router, Switches, Firewalls, Controller, Management-Services) vor lateral movement zu schützen. Die Idee ist simpel, aber wirkungsvoll: Infrastruktur-IPs sind keine „normalen Server“. Von Endnutzer- oder Partnernetzen aus sollte es praktisch keinen direkten Zugriff auf Routing-Protokolle, Management-Ports oder Control-Plane-Services geben. Im WAN Edge Kontext sind iACLs…