IPsec Performance Tuning: AES-GCM, Offload, Rekey Timer, Throughput

IPsec-Performance ist selten nur „mehr Bandbreite kaufen“. In der Praxis bremsen vier Faktoren: Wahl der Crypto-Suite (AES-GCM vs. AES-CBC+HMAC), Hardware-Offload/Dataplane-Path (QFP/ASIC vs. CPU), Rekey- und DPD-Timer (Mikrospikes, Flaps) sowie MTU/Fragmentierung (Goodput-Verlust, Retransmits). Wer IPsec im Gigabit-Bereich stabil betreiben will, muss deshalb bewusst tunen: starke, aber effiziente Algorithmen wählen, Offload sicherstellen, Rekey-Events entschärfen und Throughput richtig…

VPN Failover ohne Flaps: Tracking, SLA, Routing und Session-Stabilität

VPN-Failover ist in der Praxis weniger ein „Tunnel hoch oder runter“-Problem, sondern ein Stabilitätsproblem: Wenn Tracking zu aggressiv ist, flappen Tunnels bei kurzen Loss-Spikes. Wenn Tracking zu träge ist, dauert der Ausfall zu lange. Und wenn Routing oder NAT-State nicht symmetrisch bleiben, brechen Sessions, obwohl der Tunnel „wieder da“ ist. Ein robustes Failover-Design verbindet deshalb…

Troubleshooting IPsec Deep Dive: SAs, Rekey, NAT-T, Fragmentierung

IPsec-Probleme wirken im Betrieb oft „mysteriös“: Der Tunnel ist „up“, aber Traffic geht nicht. Oder alles läuft, bis ein Rekey kommt – dann gibt es kurze Aussetzer. Oder nur große Transfers brechen, während Ping/SSH noch funktionieren. In fast allen Fällen steckt dahinter eine saubere, erklärbare Ursache: falsche SA-States, Rekey-Mismatches, NAT-Traversal (NAT-T) Effekte oder Fragmentierung/PMTUD-Blackholes. Dieses…

Multicast über VPN: Optionen, Einschränkungen und Best Practices

Multicast über VPN ist eines der Themen, das in Lab-Setups oft „einfach geht“, im Betrieb aber schnell an Grenzen stößt: IPsec ist per Default unicast-orientiert, Multicast-Routing braucht Nachbarschaften (PIM), und viele Underlays sind für Multicast nicht optimiert. Trotzdem gibt es saubere, praxiserprobte Wege: GRE over IPsec (klassisch), DMVPN (mGRE) für Hub-and-Spoke, oder – je nach…

Zone-Based Firewall (ZBFW) auf Cisco Routern: Policy-Design für Experten

Zone-Based Firewall (ZBFW) ist auf Cisco Routern das stateful Firewall-Framework, um Traffic nicht mehr „interface-by-interface“ mit ACLs zu filtern, sondern zonenbasiert nach Sicherheitsdomänen zu steuern. Für Experten ist ZBFW vor allem ein Policy-Design-Thema: Welche Zonen existieren, welche Flows sind erlaubt, wo wird inspiziert (stateful) vs. nur gefiltert (stateless), und wie vermeidest du Lockouts sowie Performance-Fallen?…

CoPP Advanced: Baseline, Exception Handling und False Positives vermeiden

Control Plane Policing (CoPP) schützt Cisco Router vor Angriffen und Fehlkonfigurationen, indem es Traffic zur Control Plane (CPU) klassifiziert und rate-limitiert. In der Praxis scheitern CoPP-Rollouts aber selten an Syntax, sondern an Betriebsrealität: fehlende Baseline-Messungen, zu harte Policers, nicht erfasste Ausnahmefälle (z. B. Routing-Protokolle, ICMPv6/ND, NTP, Telemetrie) und daraus resultierende False Positives. Ein „zu strenges“…

Infrastructure ACLs (iACLs): Schutz vor lateral movement im WAN Edge

Infrastructure ACLs (iACLs) sind ein bewährtes Security-Pattern, um die eigene Netzwerk-Infrastruktur (Router, Switches, Firewalls, Controller, Management-Services) vor lateral movement zu schützen. Die Idee ist simpel, aber wirkungsvoll: Infrastruktur-IPs sind keine „normalen Server“. Von Endnutzer- oder Partnernetzen aus sollte es praktisch keinen direkten Zugriff auf Routing-Protokolle, Management-Ports oder Control-Plane-Services geben. Im WAN Edge Kontext sind iACLs…

Management Plane Hardening: AAA, TACACS+, RBAC, Command Authorization

Management Plane Hardening bedeutet: Der Zugriff auf Router und Switches wird wie ein kritisches System behandelt – mit zentraler Authentifizierung (AAA), nachvollziehbarer Autorisierung (RBAC/Command Authorization) und sauberem Accounting. Ziel ist nicht nur „Login absichern“, sondern Governance: Wer darf wann was tun, und kannst du das im Incident oder Audit beweisen? In der Praxis verhindern gut…

SSH Hardening: Ciphers, KEX, MACs und Key Management auf Cisco

SSH ist auf Cisco Routern der wichtigste Management-Zugriff – und damit ein primäres Angriffsziel. „SSH an“ reicht für Hardening nicht aus: In der Praxis geht es um die Kryptoparameter (Ciphers, KEX, MACs), um Key-Management (RSA/ECDSA, Rotation), um Zugriffspfad-Restriktionen (VTY ACL, VRF/OOB) und um Betriebsprozesse (Audit, Logging, Break-Glass). Ein gutes SSH-Hardening reduziert Risiko und hält gleichzeitig…

SNMPv3 richtig absichern: Views, Groups, Auth/Priv und Rotation

SNMPv3 ist die einzige sinnvolle Wahl, wenn du Cisco Router sicher überwachen willst: Authentifizierung und Verschlüsselung sind integriert, und du kannst über Views und Groups sehr fein steuern, welche MIB-Bereiche ein Monitoring-System überhaupt lesen darf. Die häufigsten Sicherheitsprobleme entstehen nicht durch „falsche Cipher“, sondern durch fehlende Zugriffsbeschränkungen (wer darf anfragen?), zu breite Views (alles erlaubt)…