Routing Security fürs Enterprise: Prefix Filtering und Policy Hygiene

Routing Security fürs Enterprise ist längst kein reines Provider-Thema mehr. Moderne Unternehmensnetze hängen an mehreren Upstreams, nutzen MPLS/SD-WAN-Underlays, Cloud-Interconnects, Partneranbindungen und teils sogar eigenes BGP am Edge. In diesem Umfeld reicht „läuft schon“ nicht aus: Ein einzelnes falsch akzeptiertes Präfix, ein zu großzügiges Routing-Policy-Template oder ein fehlender Max-Prefix-Guard kann zu Blackholing, Umwegen, Datenabfluss über unerwünschte…

Hardening-Checkliste L3/L4: Minimum Controls für Public Infrastructure

Eine Hardening-Checkliste L3/L4 beschreibt die minimalen, aber wirkungsvollen Schutzmaßnahmen auf Netzwerk- und Transportebene, die jede Public Infrastructure zuverlässig umsetzen sollte. Gemeint sind dabei Systeme und Übergabepunkte, die direkt oder indirekt vom Internet erreichbar sind: Edge-Router, Transit-Links, Internet-Gateways, DDoS-Mitigation, Load-Balancer, Firewalls, NAT, VPN-Edges und öffentliche Services, die auf L4 (TCP/UDP) exponiert werden. Gerade weil L3/L4-Controls oft…

ICMP Hardening: Wann begrenzen – wann erlauben

ICMP ist eines der am häufigsten missverstandenen Protokolle in Unternehmensnetzen. Viele Security-Teams neigen dazu, ICMP pauschal zu blockieren, weil „Ping“ als Angriffsvektor wahrgenommen wird. Gleichzeitig verlassen sich Betrieb, Monitoring, Troubleshooting und sogar Teile der Pfadsteuerung (Path MTU Discovery) auf bestimmte ICMP-Typen. Genau hier setzt ICMP Hardening an: nicht „alles erlauben“ und nicht „alles verbieten“, sondern…

SYN Flood: Angriff vs. normaler Traffic-Spike unterscheiden

Ein SYN Flood ist eine der bekanntesten Formen von Denial-of-Service gegen TCP-basierte Dienste – und gleichzeitig eine der häufigsten Ursachen für Fehlalarme im NOC. Denn ein starker Nutzeransturm, ein Release-Rollout, ein fehlerhafter Health-Check oder ein Retry-Sturm nach einem kurzen Outage kann auf den ersten Blick genauso aussehen: viele neue TCP-Verbindungen, steigende SYN-Raten, volle Load-Balancer-Queues und…

UDP Amplification Attack: Muster, Indikatoren und sicheres Blocking

Eine UDP Amplification Attack ist eine der effektivsten DDoS-Varianten, weil sie zwei Dinge kombiniert: Source-IP-Spoofing und Dienste, die auf kleine Anfragen mit sehr großen Antworten reagieren. Angreifer senden dabei viele UDP-Requests mit gefälschter Absenderadresse (IP des Opfers) an sogenannte „Reflektoren“ im Internet – beispielsweise offene DNS-Resolver oder falsch konfigurierte NTP-Server. Die Reflektoren schicken ihre (deutlich…

DDoS Layer 3/4: Mitigation-Playbook vom Edge bis zum Scrubbing

Ein DDoS Layer 3/4 Mitigation-Playbook beschreibt nicht nur einzelne technische Maßnahmen, sondern einen durchgängigen Ablauf: von der schnellen Verifikation am Edge über gezielte Filter und Rate Limits bis hin zur Eskalation in ein Scrubbing-Center oder eine Cloud-Mitigation. Layer-3/4-DDoS-Angriffe zielen auf Netzwerk- und Transportebene (IP, ICMP, UDP, TCP) und versuchen, Bandbreite, Paketverarbeitung (pps), State-Tabellen, NAT-Kapazitäten oder…

Firewall-State-Table voll: Symptome, Telemetrie und Recovery-Plan

Wenn die Firewall-State-Table voll ist, fühlt sich ein Netzwerkvorfall oft „diffus“ an: Einzelne Anwendungen brechen weg, neue Verbindungen hängen in Timeouts, während bestehende Sessions teilweise noch funktionieren. Der Grund liegt im Kernprinzip vieler Firewalls: Sie arbeiten stateful und halten pro Verbindung einen Zustand (State) in einer Tabelle, damit Rückverkehr korrekt zugeordnet, Regeln konsistent angewendet und…

Conntrack Exhaustion (Linux/K8s): Schnelle Detection und dauerhafte Fixes

Conntrack Exhaustion ist eine der häufigsten, aber am schwersten zu erkennenden Ursachen für „plötzliches“ Netzwerk- oder Service-Fehlverhalten in Linux- und Kubernetes-Umgebungen. Gemeint ist die Erschöpfung der Connection-Tracking-Tabelle (nf_conntrack) im Kernel, die für stateful Paketverarbeitung genutzt wird – etwa durch NAT (SNAT/DNAT), Stateful Firewalls (iptables/nftables), kube-proxy, Service-Mesh-Komponenten oder Node/Ingress-Gateways. Wenn die Conntrack-Tabelle ihr Limit erreicht, können…

Port Scanning in Produktion: Low-Noise-Detection (SIEM/NDR)

Port Scanning in Produktion ist kein exotisches Hacker-Klischee, sondern eine alltägliche Realität in Enterprise-Netzen: Schwachstellen-Scanner, Asset-Discovery, Fehlkonfigurationen, kompromittierte Hosts oder externe Angreifer erzeugen Verbindungsversuche auf vielen Ports und Zielen. Das Problem im Betrieb ist selten das Erkennen an sich, sondern die Low-Noise-Detection: SIEM- und NDR-Systeme sollen relevante Scans zuverlässig melden, ohne den SOC- oder NOC-Workflow…

ARP/ND Storm: Monitoring-Thresholds und Response-Plan

Eine ARP/ND Storm ist einer der häufigsten Gründe, warum ein eigentlich gesundes Layer-2-Netz plötzlich „zäh“ wird oder partiell ausfällt. Der Effekt fühlt sich oft wie ein zufälliger Performance-Einbruch an: Clients bekommen keine IP, DNS wirkt instabil, VoIP knackt, WLAN-Controller verlieren APs, und Switch-CPUs steigen, obwohl die Link-Auslastung scheinbar niedrig bleibt. Ursache ist nicht „zu viel…