Cipher-Suite-Hardening: Downgrades und Legacy-Fallen vermeiden

Cipher-Suite-Hardening ist eine der wirksamsten Maßnahmen, um TLS-Verbindungen in Produktion gegen Downgrade-Angriffe, schwache Kryptografie und „Legacy-Fallen“ abzusichern. In vielen Umgebungen ist TLS zwar grundsätzlich aktiviert, aber die tatsächlich erlaubten Cipher Suites sind historisch gewachsen: alte Load-Balancer-Defaults, veraltete JVMs, Kompatibilitätsoptionen für seltene Clients oder Copy-and-Paste-Konfigurationen aus vergangenen Projekten. Genau hier entstehen Risiken. Downgrades nutzen Lücken in…

SNI & ALPN: TLS-Telemetrie, die für Detection nützlich ist

SNI & ALPN sind zwei TLS-Telemetrie-Felder, die in der Praxis besonders wertvoll für Detection und Incident Response sind, weil sie früh im Verbindungsaufbau sichtbar werden und häufig auch dann noch Signal liefern, wenn der eigentliche Applikationsverkehr verschlüsselt bleibt. Das Hauptkeyword „SNI & ALPN“ steht dabei für Server Name Indication (SNI) und Application-Layer Protocol Negotiation (ALPN).…

TLS Inspection: Wann nötig – wann riskant (Privacy/Compliance)

TLS Inspection (auch SSL Inspection oder HTTPS Inspection genannt) ist eine Technik, bei der verschlüsselter Datenverkehr gezielt aufgebrochen, geprüft und anschließend wieder verschlüsselt wird. Das Hauptkeyword „TLS Inspection“ taucht in vielen Security-Strategien auf, weil immer mehr Angriffe über HTTPS stattfinden und klassische Netzwerk-Sensorik ohne Entschlüsselung nur Metadaten sieht. Gleichzeitig ist TLS Inspection ein sensibles Werkzeug:…

Rate-Limiting-Strategie: Collateral Damage vermeiden

Eine durchdachte Rate-Limiting-Strategie ist eines der wirksamsten Mittel, um Systeme vor Überlast, Missbrauch und volumetrischen Angriffen zu schützen – und gleichzeitig ein häufiger Grund für vermeidbaren Collateral Damage: legitime Nutzerinnen und Nutzer, wichtige Integrationen oder ganze Kundensegmente werden ausgebremst, obwohl sie nichts „Falsches“ tun. In der Praxis passiert das oft, weil Rate Limiting zu grob…

NetFlow/IPFIX zur Attack-Detection: Die nützlichsten Felder

NetFlow/IPFIX zur Attack-Detection ist für viele Security- und NOC-Teams der schnellste Weg, aus „Traffic ist komisch“ belastbare Indikatoren zu machen – ohne direkt in PCAPs zu versinken. Flow-Daten liefern keine Payload, aber sie liefern Struktur: Wer spricht mit wem, wie lange, wie viel, über welche Ports und in welche Richtung. Genau diese Metadaten reichen in…

Attack Vector aus Flow-Daten ableiten: Praxisleitfaden

Den Attack Vector aus Flow-Daten ableiten zu können, ist in vielen Enterprise-Umgebungen der schnellste Weg von einem vagen Alarm („ungewöhnlicher Traffic“) hin zu einer belastbaren Hypothese („SYN-Flood“, „Portscan“, „Exfiltration“, „C2-Beaconing“). Flow-Daten wie NetFlow oder IPFIX enthalten keine Payload und keine vollständigen Paketdetails, liefern aber genau die Metadaten, die Angriffe häufig verraten: Kommunikationsbeziehungen, Richtung, Volumen, Häufigkeit,…

QUIC/HTTP3: Auswirkungen auf DDoS und L4-Visibility

QUIC/HTTP3 verändert die Spielregeln an der Kante des Internets: Für Nutzer bedeutet es schnellere Verbindungen, weniger Latenz bei Mobilität und weniger „Handshake-Overhead“. Für Security- und Netzwerk-Teams hat QUIC/HTTP3 jedoch eine zweite, weniger sichtbare Seite: Es verschiebt die DDoS-Angriffsfläche, verändert typische Layer-3/4-Indikatoren und reduziert klassische L4-Visibility, weil Transport und Kryptografie enger verzahnt sind. Viele etablierte Abwehr-…

TCP-Reset-Angriff: Evidence im PCAP und Mitigation

Ein TCP-Reset-Angriff (oft auch „RST Injection“ genannt) zielt darauf ab, eine bestehende TCP-Verbindung abrupt zu beenden, indem ein Angreifer gefälschte TCP-RST-Pakete in den Datenstrom einschleust. In der Praxis äußert sich das als plötzlich abreißende Downloads, „Connection reset by peer“-Fehler, sporadische Abbrüche bei API-Calls oder unerklärliche Session-Resets bei stabiler Netzqualität. Der entscheidende Punkt für Incident Response…

IP Spoofing: Detection und Prevention (uRPF/ACL/BCP38)

IP Spoofing beschreibt das Fälschen der Quell-IP-Adresse in IP-Paketen. Für Angreifer ist das attraktiv, weil sich damit Identitäten verschleiern, Reflexions- und Amplification-DDoS-Attacken auslösen oder interne Vertrauensannahmen umgehen lassen. Gleichzeitig ist IP Spoofing kein exotisches „Hacker-Thema“, sondern eine alltägliche Ursache für schwer nachvollziehbare Incidents: Logs zeigen scheinbar „unmögliche“ Quellen, Firewalls sehen Antworten aus falschen Netzen, und…

DDoS War Room: Kommunikationsstruktur + Pflichtdaten

Ein DDoS War Room ist die zentrale Kommunikations- und Entscheidungszelle, wenn eine Distributed-Denial-of-Service-Attacke (DDoS) die Verfügbarkeit von Services bedroht. In vielen Organisationen scheitert die Abwehr nicht an fehlenden technischen Optionen, sondern an unklaren Zuständigkeiten, widersprüchlichen Updates und fehlenden Pflichtdaten: Wer entscheidet über Scrubbing? Wer spricht mit dem Provider? Welche Metriken gelten als „besser“? Welche Änderungen…