ICMP Filtering: Was gehört in die Telco-Baseline (und was nicht)?

ICMP Filtering wird in Telco-Netzen häufig missverstanden: Aus Angst vor Scans, DDoS oder „Informationslecks“ wird ICMP pauschal blockiert – und genau das führt später zu schwer erklärbaren Störungen, schlechter MTU-Performance, kaputten VPNs, instabilen TCP-Verbindungen und einer deutlich erschwerten Entstörung. Eine praxistaugliche Telco-Baseline muss deshalb nicht fragen „ICMP ja oder nein?“, sondern „welche ICMP-Typen sind für…

Bogon Filtering: Baseline-Regeln für Provider Edge und Internet

Bogon Filtering gehört zu den wichtigsten „Hygiene“-Maßnahmen an der Provider Edge und am Internet-Perimeter, weil es eine große Klasse offensichtlich ungültiger oder unerwünschter IP-Quellen und -Ziele konsequent entfernt. „Bogons“ sind dabei vereinfacht gesagt Adressbereiche, die im öffentlichen Internet nicht geroutet werden sollten – zum Beispiel private RFC1918-Netze, Link-Local-Adressen, Loopbacks, Dokumentationsnetze oder nicht zugewiesene/reservierte Prefixes. Wenn…

5G Core Security: Firewall Baseline für SBA und Service Exposure

IPsec im Provider-Netz ist ein bewährtes Werkzeug, um IP-Verkehr kryptografisch abzusichern – allerdings nur dann, wenn die Einsatzszenarien sauber gewählt und betrieblich beherrscht werden. In Telco- und ISP-Umgebungen ist IPsec längst nicht mehr nur „VPN für Remote Access“. Es wird als Baustein für Transportverschlüsselung, Overlay-Segmentierung, sichere Interconnects, Management-Pfade und teilweise auch für Kundenservices eingesetzt. Gleichzeitig…

IPv6 Security Baseline für Telcos: RA Guard, ACLs und Filter

Eine IPv6 Security Baseline für Telcos ist heute kein „Nice-to-have“ mehr, sondern eine betriebliche Notwendigkeit. In modernen Mobilfunk- und Provider-Netzen ist IPv6 längst produktiv: im Core, an Access-Kanten, in Telco Clouds, bei Anycast-Diensten und zunehmend bis zum Endgerät. Gleichzeitig unterscheidet sich IPv6 in einigen sicherheitsrelevanten Punkten deutlich von IPv4: zentrale Funktionen wie Neighbor Discovery (ND)…

5G Network Slicing absichern: Baselines für Isolation und Policies

5G Network Slicing absichern ist eine zentrale Voraussetzung, damit Slices nicht nur als Marketing- oder Produktkonzept funktionieren, sondern als verlässliche, getrennte Serviceumgebungen mit klaren Sicherheits- und Betriebsgrenzen. In der Theorie verspricht Network Slicing „virtuelle Netze“ mit eigenen SLA-Profilen für sehr unterschiedliche Use-Cases: eMBB für hohe Bandbreite, URLLC für niedrige Latenz, mMTC für massenhaft IoT-Geräte oder…

DHCPv6 & SLAAC absichern: Baseline für IPv6 im Provider-Netz

Eine saubere Baseline, um DHCPv6 & SLAAC absichern zu können, ist im Provider- und Telco-Netz entscheidend, weil IPv6-Adressierung und Default-Gateway-Informationen direkt darüber bestimmen, wohin Endgeräte ihren Traffic senden – und welche DNS-Resolver, Präfixe und Policies sie überhaupt nutzen. Genau hier entstehen in der Praxis viele Sicherheits- und Betriebsprobleme: Rogue Router Advertisements (RA), „falsche“ DHCPv6-Server, manipulierte…

Gi-LAN / N6 Interface schützen: Firewall Baseline für Mobile Data

Das Gi-LAN / N6 Interface schützen gehört zu den wichtigsten Aufgaben in Mobilfunknetzen, weil hier der Übergang zwischen Mobile Core und externen Datennetzen stattfindet – also genau dort, wo Nutzerdatenverkehr, Internet-Exposure, Partner-Interconnects und Diensteplattformen aufeinandertreffen. In 4G/LTE ist das Gi-Interface der klassische Ausgang aus dem PGW in Richtung Internet und Service-Chain (Gi-LAN), in 5G übernimmt…

Multicast Security: Baseline für IPTV und Carrier Services

Multicast Security ist in Telco-Netzen ein zentrales Baseline-Thema, weil Dienste wie IPTV, Live-Events, Radio-Streams, Enterprise-Multicast oder bestimmte Carrier-Services Multicast nicht nur „optional“ nutzen, sondern als Kernmechanik für skalierbare Auslieferung. Multicast spart Bandbreite, reduziert Serverlast und ermöglicht gleichzeitig hohe Reichweite – aber genau diese Effizienz kann bei fehlender Absicherung zum Risiko werden: Unkontrollierte IGMP/MLD-Joins, falsche PIM-Nachbarschaften,…

IMS/VoLTE Security: Baseline für SIP-Schutz und SBC-Policies

IMS/VoLTE Security ist in Mobilfunknetzen ein hochkritisches Thema, weil Voice over LTE (VoLTE) nicht nur „ein weiterer Dienst“ ist, sondern ein Kernservice mit hohen Verfügbarkeitsanforderungen, strengen SLA-Erwartungen und großer Angriffsfläche. Im IMS (IP Multimedia Subsystem) werden Signalisierung und Session-Steuerung über SIP abgewickelt, Medienströme laufen typischerweise über RTP/RTCP, und zahlreiche Schnittstellen verbinden Access, Core, Interconnect, Roaming,…

BGP Graceful Restart & Security: Baseline für Stabilität ohne Risiko

BGP Graceful Restart wird in Provider- und Telco-Netzen häufig als „Stabilitätsfeature“ eingesetzt, um bei Control-Plane-Restarts oder Software-Upgrades unnötige Routing-Flaps zu vermeiden. Genau darin liegt aber auch das Sicherheits- und Betriebsrisiko: Graceful Restart kann dazu führen, dass ein Router für eine gewisse Zeit Routen weiterverwendet, obwohl die BGP-Session nicht wirklich „gesund“ ist. Im besten Fall reduziert…