Anti-Spoofing (BCP38/uRPF): Ingress/Egress Filtering richtig umsetzen

Anti-Spoofing (BCP38/uRPF) gehört zu den wirkungsvollsten, aber am häufigsten unterschätzten Sicherheitsmaßnahmen in IP-Netzwerken. Spoofing bedeutet, dass ein Angreifer Pakete mit gefälschter Quelladresse (Source IP) versendet – etwa um DDoS-Angriffe zu verstärken, Reflexionsangriffe zu ermöglichen oder die Herkunft von Traffic zu verschleiern. Wenn Netze an ihren Kanten (Ingress/Egress) nicht konsequent filtern, können sie ungewollt als „Verstärker“…

Incident Response im Netzwerk: Isolation, Blocken und Recovery Patterns

Incident Response im Netzwerk entscheidet in der Praxis darüber, ob ein Sicherheitsvorfall ein begrenztes Ereignis bleibt oder sich in Minuten zu einem flächendeckenden Ausfall entwickelt. Während Endpoint-Maßnahmen wie EDR-Isolation wichtig sind, liegt die schnellste und oft wirksamste Hebelwirkung häufig im Netzwerk: Isolation kompromittierter Systeme, gezieltes Blocken von Command-and-Control (C2) und Datenabfluss sowie ein kontrolliertes Recovery,…

DDoS Schutzarchitektur: Scrubbing, RTBH und Flowspec explained

Eine moderne DDoS Schutzarchitektur entscheidet darüber, ob geschäftskritische Online-Services bei Angriffen erreichbar bleiben oder ob ein einzelnes Ereignis zu stundenlangen Ausfällen, Umsatzverlust und Reputationsschäden führt. Distributed Denial of Service (DDoS) ist dabei kein „Spezialfall“ mehr: Angriffe sind heute häufig, automatisiert, oft kurz („hit and run“) und kombinieren mehrere Vektoren wie volumetrische Floods, Protokollmissbrauch und applikationsnahe…

Deception im Netzwerk: Honeytokens und Canary Credentials einsetzen

Deception im Netzwerk ist eine der wenigen Security-Methoden, die nicht primär auf „Blocken“ oder „Erkennen bekannter Muster“ setzt, sondern Angreifer aktiv in die Irre führt und dabei extrem hochwertige Alarme erzeugt. Genau hier kommen Honeytokens und Canary Credentials ins Spiel: künstlich platzierte Köderdaten (Tokens) und bewusst ausgebrachte Zugangsdaten (Credentials), die in einem normalen Betrieb niemals…

DDoS Runbooks: Playbooks für schnelle Reaktion und Kommunikation

DDoS Runbooks sind der Unterschied zwischen „wir reagieren irgendwie“ und einer kontrollierten, schnellen Abwehr mit klarer Kommunikation. In vielen Organisationen ist die Technik für DDoS-Schutz vorhanden – Scrubbing-Option beim Provider, RTBH/Flowspec-Mechanismen, WAF-Regeln, Rate Limits –, aber im Ernstfall fehlen die Playbooks: Wer entscheidet? Wer setzt welche Maßnahme? Welche Daten braucht das NOC/SOC? Wie informieren wir…

Purple Teaming: Firewall Telemetrie für Detection verbessern

Purple Teaming ist eine der effektivsten Methoden, um Detection nachhaltig zu verbessern – nicht durch mehr Tools, sondern durch bessere Zusammenarbeit zwischen Offensive (Red Team) und Defensive (Blue Team). Im Netzwerkbereich ist der Hebel besonders groß, weil Firewalls an Trust Boundaries sitzen und damit einen einzigartigen Blick auf Traffic, Policies, NAT, Zonenpfade und oft auch…

IDS/IPS Design: Placement, Inline vs. Tap und Tuning

Ein solides IDS/IPS Design entscheidet darüber, ob ein Unternehmen Angriffe früh erkennt, zuverlässig blockiert und dabei den Betrieb stabil hält. IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) werden im Alltag oft zusammen genannt, sind aber im Design grundverschieden: Ein IDS überwacht und alarmiert, ein IPS greift aktiv in den Datenpfad ein und kann…

NDR/NSM (Network Detection & Response): Use Cases und Integration

NDR/NSM (Network Detection & Response / Network Security Monitoring) gewinnt in Unternehmen rasant an Bedeutung, weil klassische Sicherheitskontrollen in modernen Netzwerken an Sichtbarkeitsgrenzen stoßen. Immer mehr Traffic ist verschlüsselt, Anwendungen sind verteilt (Cloud, SaaS, Microservices), und Angriffe bewegen sich häufig seitlich (East-West) statt nur über das Internet-Edge. Genau hier setzt NDR/NSM an: Es nutzt Netzwerktelemetrie…

Threat Intelligence Feeds: Enrichment ohne Alert-Fatigue

Threat Intelligence Feeds sind für viele Security-Teams der schnellste Weg, externe Erkenntnisse in die eigene Erkennung zu bringen: bösartige IPs, Domains, URL-Muster, Dateihashes, Signaturen, TTPs (Tactics, Techniques and Procedures) und Kampagnenkontext. In der Praxis scheitert der Nutzen jedoch häufig an einem bekannten Problem: Alert-Fatigue. Wenn jede neue IOC-Liste (Indicator of Compromise) sofort zu tausenden Treffern…

Geo-IP Policies: Sinnvoller Einsatz und häufige Fehlannahmen

Geo-IP Policies sind in vielen Unternehmen ein beliebtes Werkzeug, um Netzwerkzugriffe „einfach“ zu steuern: Bestimmte Länder werden blockiert, andere zugelassen, und schon wirkt die Angriffsfläche kleiner. In der Realität sind Geo-IP Policies jedoch ein zweischneidiges Schwert. Richtig eingesetzt können sie tatsächlich Risiko reduzieren, Incident-Triage beschleunigen und Compliance-Anforderungen unterstützen. Falsch eingesetzt führen sie dagegen zu trügerischer…