Forensik an Firewalls: Evidence, Chain of Custody und Export-Workflows

Forensik an Firewalls ist in vielen Incident-Response-Szenarien der schnellste Weg zu belastbaren Fakten: Welche Verbindungen gab es wirklich? Welche Policy hat gegriffen? Welche NAT-Übersetzung hat eine interne Quelle nach außen abgebildet? Welche administrativen Änderungen wurden vorgenommen – und wann? Damit diese Erkenntnisse nicht nur technisch hilfreich, sondern auch als Evidence verwertbar sind, müssen sie reproduzierbar,…

Anti-Spoofing (BCP38/uRPF): Ingress/Egress Filtering richtig umsetzen

Anti-Spoofing (BCP38/uRPF) gehört zu den wirkungsvollsten, aber am häufigsten unterschätzten Sicherheitsmaßnahmen in IP-Netzwerken. Spoofing bedeutet, dass ein Angreifer Pakete mit gefälschter Quelladresse (Source IP) versendet – etwa um DDoS-Angriffe zu verstärken, Reflexionsangriffe zu ermöglichen oder die Herkunft von Traffic zu verschleiern. Wenn Netze an ihren Kanten (Ingress/Egress) nicht konsequent filtern, können sie ungewollt als „Verstärker“…

Incident Response im Netzwerk: Isolation, Blocken und Recovery Patterns

Incident Response im Netzwerk entscheidet in der Praxis darüber, ob ein Sicherheitsvorfall ein begrenztes Ereignis bleibt oder sich in Minuten zu einem flächendeckenden Ausfall entwickelt. Während Endpoint-Maßnahmen wie EDR-Isolation wichtig sind, liegt die schnellste und oft wirksamste Hebelwirkung häufig im Netzwerk: Isolation kompromittierter Systeme, gezieltes Blocken von Command-and-Control (C2) und Datenabfluss sowie ein kontrolliertes Recovery,…

DDoS Schutzarchitektur: Scrubbing, RTBH und Flowspec explained

Eine moderne DDoS Schutzarchitektur entscheidet darüber, ob geschäftskritische Online-Services bei Angriffen erreichbar bleiben oder ob ein einzelnes Ereignis zu stundenlangen Ausfällen, Umsatzverlust und Reputationsschäden führt. Distributed Denial of Service (DDoS) ist dabei kein „Spezialfall“ mehr: Angriffe sind heute häufig, automatisiert, oft kurz („hit and run“) und kombinieren mehrere Vektoren wie volumetrische Floods, Protokollmissbrauch und applikationsnahe…

Deception im Netzwerk: Honeytokens und Canary Credentials einsetzen

Deception im Netzwerk ist eine der wenigen Security-Methoden, die nicht primär auf „Blocken“ oder „Erkennen bekannter Muster“ setzt, sondern Angreifer aktiv in die Irre führt und dabei extrem hochwertige Alarme erzeugt. Genau hier kommen Honeytokens und Canary Credentials ins Spiel: künstlich platzierte Köderdaten (Tokens) und bewusst ausgebrachte Zugangsdaten (Credentials), die in einem normalen Betrieb niemals…

DDoS Runbooks: Playbooks für schnelle Reaktion und Kommunikation

DDoS Runbooks sind der Unterschied zwischen „wir reagieren irgendwie“ und einer kontrollierten, schnellen Abwehr mit klarer Kommunikation. In vielen Organisationen ist die Technik für DDoS-Schutz vorhanden – Scrubbing-Option beim Provider, RTBH/Flowspec-Mechanismen, WAF-Regeln, Rate Limits –, aber im Ernstfall fehlen die Playbooks: Wer entscheidet? Wer setzt welche Maßnahme? Welche Daten braucht das NOC/SOC? Wie informieren wir…

Purple Teaming: Firewall Telemetrie für Detection verbessern

Purple Teaming ist eine der effektivsten Methoden, um Detection nachhaltig zu verbessern – nicht durch mehr Tools, sondern durch bessere Zusammenarbeit zwischen Offensive (Red Team) und Defensive (Blue Team). Im Netzwerkbereich ist der Hebel besonders groß, weil Firewalls an Trust Boundaries sitzen und damit einen einzigartigen Blick auf Traffic, Policies, NAT, Zonenpfade und oft auch…

IDS/IPS Design: Placement, Inline vs. Tap und Tuning

Ein solides IDS/IPS Design entscheidet darüber, ob ein Unternehmen Angriffe früh erkennt, zuverlässig blockiert und dabei den Betrieb stabil hält. IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) werden im Alltag oft zusammen genannt, sind aber im Design grundverschieden: Ein IDS überwacht und alarmiert, ein IPS greift aktiv in den Datenpfad ein und kann…

NDR/NSM (Network Detection & Response): Use Cases und Integration

NDR/NSM (Network Detection & Response / Network Security Monitoring) gewinnt in Unternehmen rasant an Bedeutung, weil klassische Sicherheitskontrollen in modernen Netzwerken an Sichtbarkeitsgrenzen stoßen. Immer mehr Traffic ist verschlüsselt, Anwendungen sind verteilt (Cloud, SaaS, Microservices), und Angriffe bewegen sich häufig seitlich (East-West) statt nur über das Internet-Edge. Genau hier setzt NDR/NSM an: Es nutzt Netzwerktelemetrie…

TLS/SSL Inspection: Architektur, Risiken und Datenschutz-Trade-offs

TLS/SSL Inspection (auch „TLS-Entschlüsselung“ oder „HTTPS-Inspection“) ist eine der wirkungsvollsten, aber gleichzeitig kontroversesten Maßnahmen in der Netzwerksecurity. Der Grund ist offensichtlich: Ein Großteil des Datenverkehrs ist heute verschlüsselt – Web, SaaS, APIs, Update-Mechanismen, Collaboration-Tools. Ohne Entschlüsselung sieht eine Firewall oder ein Secure Web Gateway oft nur Ziel-IP, SNI und Metadaten. Malware-Downloads, Command-and-Control-Verbindungen oder Datenabfluss verstecken…