Anycast-Security: Vorteile und Risiken für öffentliche Services

Anycast-Security ist für öffentliche Services längst kein Nischenthema mehr: DNS-Resolver, CDNs, DDoS-Schutz, API-Gateways und sogar einzelne Web-Endpunkte werden heute häufig über Anycast bereitgestellt. Das Prinzip ist bestechend einfach: Mehrere geografisch verteilte Standorte announcen dasselbe IP-Präfix per BGP, und der Verkehr wird aus Sicht des Internets „automatisch“ zum jeweils nächsten oder aus Routing-Sicht attraktivsten Standort gelenkt.…

ARP-Spoofing/MITM: Erkennung mit Telemetrie und Packet Evidence

ARP-Spoofing/MITM gehört zu den klassischen Angriffsarten im lokalen Netzwerk, weil es ohne komplexe Exploits auskommen kann und oft wie ein „normales“ Netzwerkproblem aussieht. Bei einem Man-in-the-Middle (MITM) wird der Datenverkehr zwischen zwei Parteien unbemerkt über einen dritten Knoten umgeleitet, der mitlesen, manipulieren oder selektiv stören kann. In Enterprise-Umgebungen passiert das selten als Hollywood-Szenario, aber durchaus…

IPv6-Security-Pitfalls: RA/ND-Spoofing und Schutzmaßnahmen

IPv6-Security-Pitfalls werden in vielen Organisationen unterschätzt, weil IPv6 „einfach mitläuft“: Betriebssysteme aktivieren IPv6 standardmäßig, Dual-Stack wird aus Komfortgründen geduldet, und Netzwerkgeräte lassen Neighbor Discovery (ND) sowie Router Advertisements (RA) häufig ohne zusätzliche Kontrollen passieren. Genau hier entsteht ein typisches Risiko: Ein Angreifer braucht oft keinen Admin-Zugriff auf Router oder Firewalls, sondern nur Layer-2-Nähe im lokalen…

DHCP-Spoofing & Rogue DHCP: Detection- und Mitigation-Playbook

DHCP-Spoofing & Rogue DHCP sind im Unternehmensnetzwerk besonders gefährlich, weil sie nicht wie ein klassischer Exploit wirken. Ein Angreifer muss keinen Server „hacken“, sondern nur erreichen, dass Clients ihre Netzwerkkonfiguration von einer falschen Quelle beziehen. Damit lassen sich Gateways, DNS-Server, Proxy-Einstellungen oder weitere DHCP-Optionen manipulieren – mit Auswirkungen von „nur“ DoS bis zu echter Man-in-the-Middle-Positionierung.…

VRF-basierte Segmentierung: Praktische Sicherheit für Multi-Tenant

VRF-basierte Segmentierung ist eine der praktischsten Methoden, um in Multi-Tenant-Umgebungen echte Trennung auf Layer 3 zu erreichen, ohne für jeden Mandanten eine komplett eigene physische Infrastruktur betreiben zu müssen. Während VLANs oft als „Segmentierung“ verstanden werden, liefern sie im Kern nur Layer-2-Abgrenzung – und sie werden in der Praxis schnell unübersichtlich, sobald mehrere Standorte, Routing,…

VLAN Hopping: Mythos vs. Realität und wie man es verhindert

VLAN Hopping wird in Security-Trainings und Pentest-Berichten häufig als „der Trick, um aus einem VLAN ins nächste zu springen“ dargestellt. Das führt zu zwei Extremen: Entweder wird VLAN Hopping als allgegenwärtige Gefahr überbewertet, oder es wird als überholter Mythos abgetan. In der Realität liegt die Wahrheit dazwischen. Moderne Enterprise-Switches und gute Standards machen klassisches VLAN…

NAT und Attribution: Warum Security-Investigations schwieriger werden

NAT und Attribution sind in Security-Investigations ein Spannungsfeld, das in der Praxis immer wieder zu Verzögerungen, Fehlannahmen und unnötig großen „Blast Radius“-Maßnahmen führt. Network Address Translation (NAT) ist aus Betriebssicht oft unverzichtbar: Es spart IPv4-Adressen, vereinfacht Übergänge zwischen Netzbereichen und ermöglicht in vielen Umgebungen erst den wirtschaftlichen Betrieb von Internetzugängen oder Segmenten. Aus Sicht von…

MAC-Flooding: Auswirkungen auf Switches und richtiges Hardening

MAC-Flooding wird häufig als „altbekannter Layer-2-Trick“ eingeordnet – und genau das ist der Grund, warum er in vielen LANs nicht konsequent adressiert wird. Dabei kann MAC-Flooding in der Praxis sehr unangenehme Effekte auslösen: von massiver Netzinstabilität über Performance-Einbrüche bis hin zu Situationen, in denen Switches unbekannten Unicast-Verkehr fluten und damit ungewollt Sichtbarkeit im Segment entsteht.…

STP-Angriff (BPDU-Spoofing): Schutz mit BPDU Guard/Root Guard

Ein STP-Angriff (BPDU-Spoofing) ist ein typisches Beispiel dafür, wie ein vermeintlich „betriebsnahes“ Layer-2-Thema unmittelbar sicherheitsrelevant wird. Spanning Tree Protocol (STP) sorgt dafür, dass Ethernet-Netze ohne Schleifen stabil bleiben, indem redundante Links kontrolliert blockiert und bei Ausfällen schnell wieder freigeschaltet werden. Genau diese Steuerlogik lässt sich missbrauchen: Wer in der Lage ist, BPDUs (Bridge Protocol Data…

Port Security: Design, Tuning und Risiko von False Positives

Port Security gehört zu den wirksamsten, aber auch am häufigsten missverstandenen Schutzmaßnahmen auf Layer 2. Richtig eingesetzt, verhindert Port Security, dass an einem Switchport plötzlich „zu viel“ passiert: zu viele MAC-Adressen, unerwartete Gerätewechsel, Rogue Switches, Bridging oder bestimmte Formen von MAC-Flooding. Falsch eingesetzt, erzeugt Port Security hingegen genau die Art von Störungen, die Security-Teams vermeiden…