RPKI für Praktiker: Funktionsweise, Nutzen und Implementierungsphasen

RPKI (Resource Public Key Infrastructure) ist für viele Netzbetreiber der pragmatischste Hebel, um BGP-Routing sicherer zu machen, ohne das Internet „neu zu erfinden“. Während klassische BGP-Mechanismen historisch auf Vertrauen und bilateralen Policies basieren, liefert RPKI eine kryptografisch abgesicherte Antwort auf eine zentrale Frage: Darf dieses autonome System (ASN) dieses IP-Präfix überhaupt originieren? Genau hier setzt…

Edge-Filtering-Best-Practices: Von Bogons bis Geo Blocking

Edge-Filtering-Best-Practices sind ein zentraler Baustein, um Netzwerke und Internet-Exposed Services stabil, sicher und kosteneffizient zu betreiben. „Edge“ meint dabei bewusst die äußere Kante Ihres Netzes: Internet-Uplinks, Provider-Übergänge, DDoS-Scrubbing-Anbindungen, CDN-Edges oder Security Gateways, die unmittelbar mit untrusted Traffic konfrontiert sind. Wer am Edge sauber filtert, verhindert, dass offensichtlicher Müll (Bogons, Spoofing, fehlerhafte Routen, scanning-lastiger Noise) überhaupt…

Routing Security fürs Enterprise: Prefix Filtering und Policy Hygiene

Routing Security fürs Enterprise ist längst kein reines Provider-Thema mehr. Moderne Unternehmensnetze hängen an mehreren Upstreams, nutzen MPLS/SD-WAN-Underlays, Cloud-Interconnects, Partneranbindungen und teils sogar eigenes BGP am Edge. In diesem Umfeld reicht „läuft schon“ nicht aus: Ein einzelnes falsch akzeptiertes Präfix, ein zu großzügiges Routing-Policy-Template oder ein fehlender Max-Prefix-Guard kann zu Blackholing, Umwegen, Datenabfluss über unerwünschte…

Hardening-Checkliste L3/L4: Minimum Controls für Public Infrastructure

Eine Hardening-Checkliste L3/L4 beschreibt die minimalen, aber wirkungsvollen Schutzmaßnahmen auf Netzwerk- und Transportebene, die jede Public Infrastructure zuverlässig umsetzen sollte. Gemeint sind dabei Systeme und Übergabepunkte, die direkt oder indirekt vom Internet erreichbar sind: Edge-Router, Transit-Links, Internet-Gateways, DDoS-Mitigation, Load-Balancer, Firewalls, NAT, VPN-Edges und öffentliche Services, die auf L4 (TCP/UDP) exponiert werden. Gerade weil L3/L4-Controls oft…

ICMP Hardening: Wann begrenzen – wann erlauben

ICMP ist eines der am häufigsten missverstandenen Protokolle in Unternehmensnetzen. Viele Security-Teams neigen dazu, ICMP pauschal zu blockieren, weil „Ping“ als Angriffsvektor wahrgenommen wird. Gleichzeitig verlassen sich Betrieb, Monitoring, Troubleshooting und sogar Teile der Pfadsteuerung (Path MTU Discovery) auf bestimmte ICMP-Typen. Genau hier setzt ICMP Hardening an: nicht „alles erlauben“ und nicht „alles verbieten“, sondern…

SYN Flood: Angriff vs. normaler Traffic-Spike unterscheiden

Ein SYN Flood ist eine der bekanntesten Formen von Denial-of-Service gegen TCP-basierte Dienste – und gleichzeitig eine der häufigsten Ursachen für Fehlalarme im NOC. Denn ein starker Nutzeransturm, ein Release-Rollout, ein fehlerhafter Health-Check oder ein Retry-Sturm nach einem kurzen Outage kann auf den ersten Blick genauso aussehen: viele neue TCP-Verbindungen, steigende SYN-Raten, volle Load-Balancer-Queues und…

UDP Amplification Attack: Muster, Indikatoren und sicheres Blocking

Eine UDP Amplification Attack ist eine der effektivsten DDoS-Varianten, weil sie zwei Dinge kombiniert: Source-IP-Spoofing und Dienste, die auf kleine Anfragen mit sehr großen Antworten reagieren. Angreifer senden dabei viele UDP-Requests mit gefälschter Absenderadresse (IP des Opfers) an sogenannte „Reflektoren“ im Internet – beispielsweise offene DNS-Resolver oder falsch konfigurierte NTP-Server. Die Reflektoren schicken ihre (deutlich…

DDoS Layer 3/4: Mitigation-Playbook vom Edge bis zum Scrubbing

Ein DDoS Layer 3/4 Mitigation-Playbook beschreibt nicht nur einzelne technische Maßnahmen, sondern einen durchgängigen Ablauf: von der schnellen Verifikation am Edge über gezielte Filter und Rate Limits bis hin zur Eskalation in ein Scrubbing-Center oder eine Cloud-Mitigation. Layer-3/4-DDoS-Angriffe zielen auf Netzwerk- und Transportebene (IP, ICMP, UDP, TCP) und versuchen, Bandbreite, Paketverarbeitung (pps), State-Tabellen, NAT-Kapazitäten oder…

Firewall-State-Table voll: Symptome, Telemetrie und Recovery-Plan

Wenn die Firewall-State-Table voll ist, fühlt sich ein Netzwerkvorfall oft „diffus“ an: Einzelne Anwendungen brechen weg, neue Verbindungen hängen in Timeouts, während bestehende Sessions teilweise noch funktionieren. Der Grund liegt im Kernprinzip vieler Firewalls: Sie arbeiten stateful und halten pro Verbindung einen Zustand (State) in einer Tabelle, damit Rückverkehr korrekt zugeordnet, Regeln konsistent angewendet und…

Conntrack Exhaustion (Linux/K8s): Schnelle Detection und dauerhafte Fixes

Conntrack Exhaustion ist eine der häufigsten, aber am schwersten zu erkennenden Ursachen für „plötzliches“ Netzwerk- oder Service-Fehlverhalten in Linux- und Kubernetes-Umgebungen. Gemeint ist die Erschöpfung der Connection-Tracking-Tabelle (nf_conntrack) im Kernel, die für stateful Paketverarbeitung genutzt wird – etwa durch NAT (SNAT/DNAT), Stateful Firewalls (iptables/nftables), kube-proxy, Service-Mesh-Komponenten oder Node/Ingress-Gateways. Wenn die Conntrack-Tabelle ihr Limit erreicht, können…