Multicast Security: IGMP/PIM Controls und Missbrauch verhindern

Multicast Security ist in vielen Netzwerken ein blinder Fleck: Multicast wird „einfach eingeschaltet“, weil IPTV, Finanzdaten-Feeds, Video-Conferencing, Service-Discovery, industrielle Telemetrie oder Routing-Protokolle es benötigen. Gleichzeitig ist Multicast eine Technik, die sich fundamental von Unicast unterscheidet: Ein Sender adressiert eine Gruppe, Empfänger melden sich über IGMP (IPv4) oder MLD (IPv6) an, und das Netzwerk repliziert den…

VoIP/SIP Security: SBC, Firewall Rules und Fraud Prevention

VoIP/SIP Security ist ein eigenständiges Spezialgebiet der Netzwerksicherheit, weil Sprachkommunikation andere Prioritäten und andere Angriffsflächen hat als klassische Web- oder Datenanwendungen. Telefonie muss in Echtzeit funktionieren, Jitter und Latenz sind kritisch, und viele VoIP-Architekturen kombinieren Signalisierung (SIP) mit Medienströmen (RTP/SRTP), die dynamische Ports und NAT-Traversal benötigen. Genau das macht einfache „Firewall-auf-Port-Listen“-Ansätze fehleranfällig: Zu restriktiv führt…

Email Security am Netz: SMTP Controls, DLP und Exfiltration

Email Security am Netz ist heute weit mehr als Spamfilter und Antivirus. E-Mail bleibt in Unternehmen ein kritischer Datenkanal – für legitime Kommunikation, aber auch für Phishing, Malware-Delivery, Identitätsmissbrauch und insbesondere für Datenabfluss. Während Web- und Cloud-Egress in vielen Organisationen inzwischen über Proxys und Secure Web Gateways kontrolliert wird, läuft SMTP-Traffic nicht selten „nebenher“: Clients…

Remote Admin Access: Jump Hosts, Bastions und Break-Glass absichern

Remote Admin Access ist einer der sensibelsten Bereiche der Netzwerk- und Systemsicherheit, weil hier die „Schlüssel zur Krone“ liegen: Administratorzugänge zu Firewalls, Switches, Servern, Cloud-Accounts, IAM, Hypervisoren und sicherheitskritischen Management-Systemen. Wenn Angreifer einen privilegierten Zugang erlangen, können sie nicht nur Daten stehlen, sondern Sicherheitskontrollen ausschalten, Logs manipulieren, Lateralmovement beschleunigen und Recovery erschweren. Genau deshalb müssen…

Mikrosegmentierung mit Policy-Modellen: Tags, Labels und Service Maps

Mikrosegmentierung mit Policy-Modellen ist eine der wirksamsten Antworten auf moderne Angriffsrealitäten in IT-Netzwerken: Angreifer müssen nicht mehr „von außen“ kommen, um Schaden anzurichten. Häufig beginnt ein Vorfall mit kompromittierten Credentials, einem infizierten Endpoint oder einer ungepatchten Anwendung – und setzt sich dann als East-West-Bewegung fort, also lateral zwischen Workloads, Servern und Services. Genau hier greift…

Privileged Access Management im Netzwerk: Sessions, Recording, JIT

Privileged Access Management im Netzwerk ist einer der wirksamsten Hebel, um Security und Auditierbarkeit gleichzeitig zu verbessern. Denn in der Netzwerktechnik entscheiden privilegierte Zugänge über alles: Wer auf Firewalls, Switches, Router, Load Balancer, NAC-Systeme, DNS/DHCP/IPAM, VPN-Gateways und Cloud-Networking zugreifen kann, kann Regeln verändern, Traffic umleiten, Segmentierung aufheben, Logs deaktivieren und im Extremfall ganze Standorte lahmlegen.…

Microsegmentation mit Kubernetes: Network Policies, mTLS und Gateways

Microsegmentation mit Kubernetes ist heute eine Kernkompetenz für moderne Netzwerksecurity, weil Container-Plattformen die klassischen Annahmen von Netzsegmentierung auf den Kopf stellen: IPs sind kurzlebig, Workloads skalieren dynamisch, Services kommunizieren oft East-West über Cluster-Overlay-Netze, und ein großer Teil des Traffics läuft verschlüsselt über HTTP/2 oder gRPC. Wer in dieser Welt weiterhin mit statischen IP-Listen und groben…

Compliance Frameworks: ISO 27001, NIS2, PCI DSS in Firewall Controls übersetzen

Compliance Frameworks wirken auf den ersten Blick abstrakt: ISO 27001 spricht von Managementsystemen und Kontrollen, NIS2 von risikobasierten Maßnahmen und Meldepflichten, PCI DSS von Anforderungen für Zahlungsdaten. In der Praxis landen viele dieser Vorgaben jedoch sehr konkret im Netzwerk – und damit in Firewall Controls. Genau hier scheitern viele Programme: Entweder wird „Compliance“ als Dokumentationsübung…

Threat Intelligence Feeds: Enrichment ohne Alert-Fatigue

Threat Intelligence Feeds sind für viele Security-Teams der schnellste Weg, externe Erkenntnisse in die eigene Erkennung zu bringen: bösartige IPs, Domains, URL-Muster, Dateihashes, Signaturen, TTPs (Tactics, Techniques and Procedures) und Kampagnenkontext. In der Praxis scheitert der Nutzen jedoch häufig an einem bekannten Problem: Alert-Fatigue. Wenn jede neue IOC-Liste (Indicator of Compromise) sofort zu tausenden Treffern…

Geo-IP Policies: Sinnvoller Einsatz und häufige Fehlannahmen

Geo-IP Policies sind in vielen Unternehmen ein beliebtes Werkzeug, um Netzwerkzugriffe „einfach“ zu steuern: Bestimmte Länder werden blockiert, andere zugelassen, und schon wirkt die Angriffsfläche kleiner. In der Realität sind Geo-IP Policies jedoch ein zweischneidiges Schwert. Richtig eingesetzt können sie tatsächlich Risiko reduzieren, Incident-Triage beschleunigen und Compliance-Anforderungen unterstützen. Falsch eingesetzt führen sie dagegen zu trügerischer…