Dynamic ARP Inspection: Häufige Failure Modes & schnelle Validierung

Dynamic ARP Inspection (DAI) ist eine der effektivsten Layer-2-Schutzmaßnahmen gegen ARP-Spoofing und Man-in-the-Middle-Szenarien in IPv4-Netzen. Gleichzeitig ist DAI berüchtigt dafür, bei falscher Konfiguration „plötzlich alles kaputt zu machen“: Clients bekommen zwar eine IP, aber keine stabile Verbindung; einzelne Geräte fallen sporadisch aus; Voice- oder Drucker-VLANs wirken unzuverlässig; oder nach einem Switch-Reboot treten scheinbar zufällige Störungen…

Layer-3-Security: IP-Spoofing, Routing-Abuse und Filtering

Layer-3-Security entscheidet in vielen Netzen darüber, ob Angriffe nur „Lärm“ bleiben oder ob sie sich schnell ausweiten: Auf IP-Ebene lassen sich Quellen fälschen, Routing-Entscheidungen missbrauchen und ganze Kommunikationspfade umleiten. Während Layer-2-Kontrollen wie DHCP Snooping oder Dynamic ARP Inspection vor allem lokale Segmente schützen, betrifft Layer 3 die Netzgrenzen, Inter-VLAN-Routing, WAN-Anbindungen, Cloud-Konnektivität und die Übergänge zu…

uRPF in Produktion: Modi, Risiken und sicheres Deployment

uRPF in Produktion (Unicast Reverse Path Forwarding) ist eine der wichtigsten, gleichzeitig aber am häufigsten falsch eingeführten Anti-Spoofing-Kontrollen auf Layer 3. Der Grund ist einfach: uRPF greift direkt im Weiterleitungsprozess ein. Es entscheidet anhand der Routing-Tabelle, ob die Quelladresse eines Pakets „plausibel“ ist – und verwirft Traffic, wenn diese Plausibilität nicht gegeben ist. Damit kann…

ICMP-Abuse: Erkennen und wann ICMP trotzdem erlaubt sein sollte

ICMP-Abuse ist ein wiederkehrendes Thema in Netzwerk- und Security-Teams: Einerseits wird ICMP (Internet Control Message Protocol) regelmäßig missbraucht – für Reconnaissance, zur Überlastung von Links, als Träger für Tunneling-Ansätze oder zur Störung von Services. Andererseits ist ICMP kein „nice to have“, sondern ein elementarer Bestandteil stabiler IP-Kommunikation. Wenn ICMP pauschal blockiert wird, funktionieren Path-MTU-Discovery, Fehlersignalisierung…

Route Injection: Wie Routing-Angriffe entstehen (BGP/OSPF)

Route Injection bezeichnet das Einspeisen von falschen oder unerwünschten Routing-Informationen in ein Netzwerk – absichtlich durch Angreifer oder unbeabsichtigt durch Fehlkonfiguration. Im Ergebnis werden Datenpakete über falsche Pfade geleitet, Sicherheitskontrollen umgangen, Traffic abgefangen (Man-in-the-Middle), ausgeleitet (Exfiltration) oder komplett „ins Leere“ geroutet (Blackholing). Besonders relevant ist Route Injection bei dynamischen Routing-Protokollen wie BGP und OSPF, weil…

BGP-Hijack: Frühe Signale, Auswirkungen und operative Mitigation

Ein BGP-Hijack zählt zu den folgenschwersten Routing-Vorfällen im Internet: Ein fremdes autonomes System (AS) kündigt ein IP-Präfix an, das es nicht kontrolliert, sodass Traffic für dieses Präfix teilweise oder vollständig umgeleitet wird. Die Auswirkungen reichen von harmlos wirkenden Performance-Problemen bis hin zu vollständigen Outages, TLS-Zertifikatswarnungen, Session-Abbrüchen und – in ungünstigen Fällen – Traffic-Abgriff oder Umleitung…

MITRE ATT&CK auf OSI-Schichten mappen: Praxis, die im Feld wirklich hilft

Wer Security „im Feld“ betreibt, merkt schnell: Das MITRE ATT&CK auf OSI-Schichten mappen ist kein akademischer Luxus, sondern eine Abkürzung zu besseren Entscheidungen. MITRE ATT&CK liefert eine gemeinsame Sprache für Angreifer-Taktiken und -Techniken, aber im Alltag bleibt oft unklar, wo genau man ansetzen soll: Welche Telemetrie fehlt? Welche Kontrolle wirkt wirklich? Warum findet das SIEM…

Physische Boundaries in Zero Trust definieren: Layer-1-Perspektive

Wer Physische Boundaries in Zero Trust definieren will, denkt häufig zuerst an Identitäten, Mikrosegmentierung, Policy Engines und Telemetrie. Das ist sinnvoll – aber unvollständig. Zero Trust lebt von klaren Vertrauensgrenzen, und viele dieser Grenzen sind am Ende physisch: Wo steht ein System, wer kann es anfassen, wie laufen Leitungen, wo endet Ihr Verantwortungsbereich, und wo…

OSI-Modell als gemeinsame Sprache für SecOps–NetOps–AppSec

Das OSI-Modell als gemeinsame Sprache für SecOps–NetOps–AppSec ist ein überraschend wirksames Mittel gegen eines der größten Alltagsprobleme in der IT-Security: Teams reden über dieselben Vorfälle, aber in unterschiedlichen Begriffen – und verlieren dabei Zeit, Kontext und Verantwortung. SecOps denkt in Alerts, Indikatoren, Triage und Response; NetOps denkt in Routing, Segmentierung, Latenz und Verfügbarkeit; AppSec denkt…

Den „Owner“ eines Security-Incidents bestimmen durch OSI-Layer-Mapping

Den Owner eines Security-Incidents bestimmen durch OSI-Layer-Mapping ist eine der effektivsten Methoden, um in den ersten Minuten eines Vorfalls Klarheit zu schaffen – ohne in endlose Zuständigkeitsdebatten zu geraten. In vielen Organisationen ist nicht das technische Können das Problem, sondern die Koordination: SecOps sieht einen Alarm, NetOps sieht Auffälligkeiten im Traffic, AppSec sieht Fehler in…