DNS Security ist in modernen IT-Netzwerken ein zentraler Hebel, weil nahezu jede Kommunikation mit einer Namensauflösung beginnt – egal ob Web, SaaS, Updates, API-Calls oder Command-and-Control (C2) von Malware. Genau deshalb ist DNS gleichzeitig ein bevorzugter Angriffsvektor und ein hervorragender Sensor: Angreifer nutzen DNS für Phishing, für die Infrastruktursteuerung von Botnetzen, für Datenabfluss (DNS Tunneling)…
Egress Filtering ist eine der wirkungsvollsten, aber am häufigsten vernachlässigten Sicherheitsmaßnahmen in Enterprise-Netzwerken. Während viele Architekturen stark auf Ingress-Schutz (WAF, IDS/IPS, DDoS, Perimeter-Firewalls) fokussieren, findet ein großer Teil moderner Angriffe im Inneren statt: kompromittierte Endgeräte, gestohlene Credentials, laterale Bewegung und schließlich Command-and-Control (C2) sowie Data Exfiltration nach außen. Genau an diesem Punkt entscheidet sich, ob…
Network Security Monitoring ist nur dann wirklich wirksam, wenn Sie mehrere Datenquellen zusammenführen: klassische Logs (Firewall, VPN, DNS, Proxy), Flow-Daten wie NetFlow/IPFIX und moderne Telemetrie (Streaming Telemetry, SNMP-Alternativen, Cloud Flow Logs). Jede einzelne Quelle liefert nur einen Ausschnitt: Logs sind detailreich, aber selektiv; NetFlow/IPFIX ist skalierbar, aber eher „wer spricht mit wem“; Telemetry zeigt Zustand…
Eine saubere SIEM Integration ist heute der Unterschied zwischen „wir haben viele Firewall Logs“ und „wir erkennen Angriffe früh, priorisieren richtig und reagieren kontrolliert“. Firewalls und Next-Gen Firewalls (NGFW) sind zentrale Kontrollpunkte im Netzwerk: Sie entscheiden über Allow/Deny, führen NAT aus, kennen Zonenpfade, sehen Applikationssignaturen, TLS-Events und oft auch Benutzer- oder Geräte-Kontext. Gleichzeitig erzeugen sie…
Ein professionelles Log-Design für Firewalls ist die Grundlage für wirksames Security Monitoring, Incident Response und auditierbare Compliance. In vielen Umgebungen werden Firewall-Logs zwar „irgendwie“ gesammelt, aber ohne klare Struktur, ohne Normalisierung und ohne definierte Retention. Das Ergebnis ist vorhersehbar: Entweder zu viele Daten (Kostenexplosion, Alert-Fatigue, unübersichtliche Dashboards) oder zu wenig verwertbare Informationen (fehlende Felder, keine…
Alert Engineering ist die Disziplin, aus großen Mengen an Firewall Events wenige, hochrelevante Security Alerts zu bauen, die tatsächlich handlungsfähig sind. In vielen Organisationen werden Firewall-Logs zwar zentral gesammelt, aber die Alarmierung folgt einfachen Mustern: „Deny = Alert“ oder „IOC-Hit = Ticket“. Das führt fast immer zu Alert-Fatigue: Das SOC wird mit tausenden Low-Signal-Events überflutet,…
Anomalie-Erkennung ist in modernen Netzwerken eine der wenigen Methoden, die auch dann noch funktioniert, wenn Angreifer keine bekannten Signaturen auslösen und wenn ein Großteil des Traffics verschlüsselt ist. Statt „was ist bekannt böse?“ fragt Anomalie-Erkennung: „was ist für dieses Netzwerk, dieses Segment oder diesen Service untypisch?“ Genau dafür brauchen Sie Baselines – also belastbare Normalwerte…
Packet Capture Strategien sind ein zentraler Baustein für Network Security Monitoring, Incident Response und Troubleshooting – aber nur dann, wenn PCAPs zielgerichtet, effizient und rechtskonform gesammelt werden. Wer „einfach alles mitschneidet“, produziert schnell unbeherrschbare Datenmengen, hohe Kosten und vor allem rechtliche Risiken: In PCAPs können personenbezogene Daten, Zugangstokens, Inhalte von Anwendungen oder Metadaten enthalten sein,…
BGP Security am Edge ist heute ein Pflichtprogramm für jede Organisation, die eigene Präfixe ins Internet annonciert, Multi-Homing betreibt oder als Service Provider Kundenrouting entgegennimmt. Border Gateway Protocol (BGP) ist dabei bewusst „vertrauensbasiert“ entworfen worden: Es prüft nicht automatisch, ob ein Nachbar ein Präfix überhaupt announcen darf oder ob ein AS-Pfad plausibel ist. Genau daraus…
Forensik an Firewalls ist in vielen Incident-Response-Szenarien der schnellste Weg zu belastbaren Fakten: Welche Verbindungen gab es wirklich? Welche Policy hat gegriffen? Welche NAT-Übersetzung hat eine interne Quelle nach außen abgebildet? Welche administrativen Änderungen wurden vorgenommen – und wann? Damit diese Erkenntnisse nicht nur technisch hilfreich, sondern auch als Evidence verwertbar sind, müssen sie reproduzierbar,…
Got questions? Ideas? Fill out the form below & our specialist will contact you.