Layer 5 (Session)-Security wirkt auf den ersten Blick abstrakt, ist aber in modernen Umgebungen eine der häufigsten Ursachen für echte Account-Compromises, Datenabfluss und „mysteriöse“ Incidents: Nicht die Verschlüsselung bricht, sondern die Sitzung wird übernommen, wiederverwendet oder missbraucht. Gerade weil viele Protokolle und Plattformen heute „stateless“ aussehen (APIs, Microservices, JWT, Mobile Apps), ist die Session-Schicht in…
BGP Flowspec klingt für viele SecOps-Teams wie die perfekte „One-Button“-Antwort auf DDoS, Scans oder Exploit-Wellen: Eine zentrale Detection-Engine erkennt bösartigen Traffic und verteilt in Sekunden Filter- und Mitigation-Regeln an Router, Firewalls oder Edge-Geräte – genau dorthin, wo der Verkehr bereits im Transit gestoppt werden kann. In der Praxis ist BGP Flowspec aber beides: eine äußerst…
Layer-2-Security wirkt auf den ersten Blick wie ein Spezialthema für Netzwerkteams. In der Praxis ist sie jedoch ein entscheidender Faktor dafür, ob ein Angreifer nach dem ersten Fuß in der Tür schnell zum „beweglichen“ Problem wird oder frühzeitig gestoppt werden kann. Viele Sicherheitsarchitekturen setzen stark auf Layer 3 bis 7: Firewalls, Zero Trust Policies, WAF,…
Anycast-Security ist für öffentliche Services längst kein Nischenthema mehr: DNS-Resolver, CDNs, DDoS-Schutz, API-Gateways und sogar einzelne Web-Endpunkte werden heute häufig über Anycast bereitgestellt. Das Prinzip ist bestechend einfach: Mehrere geografisch verteilte Standorte announcen dasselbe IP-Präfix per BGP, und der Verkehr wird aus Sicht des Internets „automatisch“ zum jeweils nächsten oder aus Routing-Sicht attraktivsten Standort gelenkt.…
ARP-Spoofing/MITM gehört zu den klassischen Angriffsarten im lokalen Netzwerk, weil es ohne komplexe Exploits auskommen kann und oft wie ein „normales“ Netzwerkproblem aussieht. Bei einem Man-in-the-Middle (MITM) wird der Datenverkehr zwischen zwei Parteien unbemerkt über einen dritten Knoten umgeleitet, der mitlesen, manipulieren oder selektiv stören kann. In Enterprise-Umgebungen passiert das selten als Hollywood-Szenario, aber durchaus…
IPv6-Security-Pitfalls werden in vielen Organisationen unterschätzt, weil IPv6 „einfach mitläuft“: Betriebssysteme aktivieren IPv6 standardmäßig, Dual-Stack wird aus Komfortgründen geduldet, und Netzwerkgeräte lassen Neighbor Discovery (ND) sowie Router Advertisements (RA) häufig ohne zusätzliche Kontrollen passieren. Genau hier entsteht ein typisches Risiko: Ein Angreifer braucht oft keinen Admin-Zugriff auf Router oder Firewalls, sondern nur Layer-2-Nähe im lokalen…
DHCP-Spoofing & Rogue DHCP sind im Unternehmensnetzwerk besonders gefährlich, weil sie nicht wie ein klassischer Exploit wirken. Ein Angreifer muss keinen Server „hacken“, sondern nur erreichen, dass Clients ihre Netzwerkkonfiguration von einer falschen Quelle beziehen. Damit lassen sich Gateways, DNS-Server, Proxy-Einstellungen oder weitere DHCP-Optionen manipulieren – mit Auswirkungen von „nur“ DoS bis zu echter Man-in-the-Middle-Positionierung.…
VRF-basierte Segmentierung ist eine der praktischsten Methoden, um in Multi-Tenant-Umgebungen echte Trennung auf Layer 3 zu erreichen, ohne für jeden Mandanten eine komplett eigene physische Infrastruktur betreiben zu müssen. Während VLANs oft als „Segmentierung“ verstanden werden, liefern sie im Kern nur Layer-2-Abgrenzung – und sie werden in der Praxis schnell unübersichtlich, sobald mehrere Standorte, Routing,…
VLAN Hopping wird in Security-Trainings und Pentest-Berichten häufig als „der Trick, um aus einem VLAN ins nächste zu springen“ dargestellt. Das führt zu zwei Extremen: Entweder wird VLAN Hopping als allgegenwärtige Gefahr überbewertet, oder es wird als überholter Mythos abgetan. In der Realität liegt die Wahrheit dazwischen. Moderne Enterprise-Switches und gute Standards machen klassisches VLAN…
NAT und Attribution sind in Security-Investigations ein Spannungsfeld, das in der Praxis immer wieder zu Verzögerungen, Fehlannahmen und unnötig großen „Blast Radius“-Maßnahmen führt. Network Address Translation (NAT) ist aus Betriebssicht oft unverzichtbar: Es spart IPv4-Adressen, vereinfacht Übergänge zwischen Netzbereichen und ermöglicht in vielen Umgebungen erst den wirtschaftlichen Betrieb von Internetzugängen oder Segmenten. Aus Sicht von…
Got questions? Ideas? Fill out the form below & our specialist will contact you.