HA Cluster Design: Active/Active vs. Active/Passive – echte Auswirkungen

HA Cluster Design ist eine der wichtigsten Architekturentscheidungen in Netzwerken und Security-Infrastrukturen, weil sie direkt über Verfügbarkeit, Fehlertoleranz, Performance und Betriebsrisiko entscheidet. Ob Firewall-Cluster, Load Balancer, VPN-Gateways, Router, Proxys oder zentrale Management-Plattformen: Sobald ein System „kritisch“ ist, stellt sich die Frage, wie es ausfallsicher betrieben wird. Dabei wird häufig sehr vereinfacht über Active/Active vs. Active/Passive…

OT/ICS Netzwerksecurity: Segmentierung, Firewalls und Monitoring

OT/ICS Netzwerksecurity (Operational Technology / Industrial Control Systems) ist heute eine der anspruchsvollsten Disziplinen in der Netzwerktechnik, weil sie Sicherheitsziele mit Betriebszielen versöhnen muss: Verfügbarkeit und Prozesssicherheit stehen an erster Stelle, gleichzeitig wachsen Bedrohungen durch Ransomware, Supply-Chain-Angriffe, Fernwartung und IT/OT-Konvergenz. In vielen industriellen Umgebungen sind Steuerungen (PLCs), SCADA-Systeme, HMI-Stationen, Historian-Server und Engineering Workstations über Jahre…

IPv6 Security für Experten: RA Guard, ND Inspection und ACL Design

IPv6 Security ist in vielen Umgebungen noch immer ein „Nebenprojekt“ – und genau das macht sie gefährlich. In der Praxis entstehen Sicherheitslücken selten durch „IPv6 an sich“, sondern durch unbeabsichtigte Dual-Stack-Exposition, unzureichende Filterregeln für ICMPv6 und fehlende First-Hop-Security an Access-Switches. Angreifer nutzen bevorzugt Mechanismen wie Router Advertisements (RA) und Neighbor Discovery (ND), um Traffic umzuleiten,…

Dual-Stack Policy Design: Parität zwischen IPv4 und IPv6 sicherstellen

Dual-Stack Policy Design ist der entscheidende Schritt, um Parität zwischen IPv4 und IPv6 sicherzustellen und damit Dual-Stack-Umgebungen wirklich sicher zu betreiben. In der Praxis ist IPv6 oft längst aktiv, ohne dass es bewusst geplant wurde: Betriebssysteme nutzen Link-Local-Adressen, WLANs und Provider liefern IPv6 standardmäßig aus, Cloud-Plattformen aktivieren Dual Stack für Load Balancer oder Kubernetes, und…

Multicast Security: IGMP/PIM Controls und Missbrauch verhindern

Multicast Security ist in vielen Netzwerken ein blinder Fleck: Multicast wird „einfach eingeschaltet“, weil IPTV, Finanzdaten-Feeds, Video-Conferencing, Service-Discovery, industrielle Telemetrie oder Routing-Protokolle es benötigen. Gleichzeitig ist Multicast eine Technik, die sich fundamental von Unicast unterscheidet: Ein Sender adressiert eine Gruppe, Empfänger melden sich über IGMP (IPv4) oder MLD (IPv6) an, und das Netzwerk repliziert den…

VoIP/SIP Security: SBC, Firewall Rules und Fraud Prevention

VoIP/SIP Security ist ein eigenständiges Spezialgebiet der Netzwerksicherheit, weil Sprachkommunikation andere Prioritäten und andere Angriffsflächen hat als klassische Web- oder Datenanwendungen. Telefonie muss in Echtzeit funktionieren, Jitter und Latenz sind kritisch, und viele VoIP-Architekturen kombinieren Signalisierung (SIP) mit Medienströmen (RTP/SRTP), die dynamische Ports und NAT-Traversal benötigen. Genau das macht einfache „Firewall-auf-Port-Listen“-Ansätze fehleranfällig: Zu restriktiv führt…

Email Security am Netz: SMTP Controls, DLP und Exfiltration

Email Security am Netz ist heute weit mehr als Spamfilter und Antivirus. E-Mail bleibt in Unternehmen ein kritischer Datenkanal – für legitime Kommunikation, aber auch für Phishing, Malware-Delivery, Identitätsmissbrauch und insbesondere für Datenabfluss. Während Web- und Cloud-Egress in vielen Organisationen inzwischen über Proxys und Secure Web Gateways kontrolliert wird, läuft SMTP-Traffic nicht selten „nebenher“: Clients…

Remote Admin Access: Jump Hosts, Bastions und Break-Glass absichern

Remote Admin Access ist einer der sensibelsten Bereiche der Netzwerk- und Systemsicherheit, weil hier die „Schlüssel zur Krone“ liegen: Administratorzugänge zu Firewalls, Switches, Servern, Cloud-Accounts, IAM, Hypervisoren und sicherheitskritischen Management-Systemen. Wenn Angreifer einen privilegierten Zugang erlangen, können sie nicht nur Daten stehlen, sondern Sicherheitskontrollen ausschalten, Logs manipulieren, Lateralmovement beschleunigen und Recovery erschweren. Genau deshalb müssen…

Mikrosegmentierung mit Policy-Modellen: Tags, Labels und Service Maps

Mikrosegmentierung mit Policy-Modellen ist eine der wirksamsten Antworten auf moderne Angriffsrealitäten in IT-Netzwerken: Angreifer müssen nicht mehr „von außen“ kommen, um Schaden anzurichten. Häufig beginnt ein Vorfall mit kompromittierten Credentials, einem infizierten Endpoint oder einer ungepatchten Anwendung – und setzt sich dann als East-West-Bewegung fort, also lateral zwischen Workloads, Servern und Services. Genau hier greift…

Privileged Access Management im Netzwerk: Sessions, Recording, JIT

Privileged Access Management im Netzwerk ist einer der wirksamsten Hebel, um Security und Auditierbarkeit gleichzeitig zu verbessern. Denn in der Netzwerktechnik entscheiden privilegierte Zugänge über alles: Wer auf Firewalls, Switches, Router, Load Balancer, NAC-Systeme, DNS/DHCP/IPAM, VPN-Gateways und Cloud-Networking zugreifen kann, kann Regeln verändern, Traffic umleiten, Segmentierung aufheben, Logs deaktivieren und im Extremfall ganze Standorte lahmlegen.…