Layer-3-Security: IP-Spoofing, Routing-Abuse und Filtering

Layer-3-Security entscheidet in vielen Netzen darüber, ob Angriffe nur „Lärm“ bleiben oder ob sie sich schnell ausweiten: Auf IP-Ebene lassen sich Quellen fälschen, Routing-Entscheidungen missbrauchen und ganze Kommunikationspfade umleiten. Während Layer-2-Kontrollen wie DHCP Snooping oder Dynamic ARP Inspection vor allem lokale Segmente schützen, betrifft Layer 3 die Netzgrenzen, Inter-VLAN-Routing, WAN-Anbindungen, Cloud-Konnektivität und die Übergänge zu…

uRPF in Produktion: Modi, Risiken und sicheres Deployment

uRPF in Produktion (Unicast Reverse Path Forwarding) ist eine der wichtigsten, gleichzeitig aber am häufigsten falsch eingeführten Anti-Spoofing-Kontrollen auf Layer 3. Der Grund ist einfach: uRPF greift direkt im Weiterleitungsprozess ein. Es entscheidet anhand der Routing-Tabelle, ob die Quelladresse eines Pakets „plausibel“ ist – und verwirft Traffic, wenn diese Plausibilität nicht gegeben ist. Damit kann…

ICMP-Abuse: Erkennen und wann ICMP trotzdem erlaubt sein sollte

ICMP-Abuse ist ein wiederkehrendes Thema in Netzwerk- und Security-Teams: Einerseits wird ICMP (Internet Control Message Protocol) regelmäßig missbraucht – für Reconnaissance, zur Überlastung von Links, als Träger für Tunneling-Ansätze oder zur Störung von Services. Andererseits ist ICMP kein „nice to have“, sondern ein elementarer Bestandteil stabiler IP-Kommunikation. Wenn ICMP pauschal blockiert wird, funktionieren Path-MTU-Discovery, Fehlersignalisierung…

Route Injection: Wie Routing-Angriffe entstehen (BGP/OSPF)

Route Injection bezeichnet das Einspeisen von falschen oder unerwünschten Routing-Informationen in ein Netzwerk – absichtlich durch Angreifer oder unbeabsichtigt durch Fehlkonfiguration. Im Ergebnis werden Datenpakete über falsche Pfade geleitet, Sicherheitskontrollen umgangen, Traffic abgefangen (Man-in-the-Middle), ausgeleitet (Exfiltration) oder komplett „ins Leere“ geroutet (Blackholing). Besonders relevant ist Route Injection bei dynamischen Routing-Protokollen wie BGP und OSPF, weil…

BGP-Hijack: Frühe Signale, Auswirkungen und operative Mitigation

Ein BGP-Hijack zählt zu den folgenschwersten Routing-Vorfällen im Internet: Ein fremdes autonomes System (AS) kündigt ein IP-Präfix an, das es nicht kontrolliert, sodass Traffic für dieses Präfix teilweise oder vollständig umgeleitet wird. Die Auswirkungen reichen von harmlos wirkenden Performance-Problemen bis hin zu vollständigen Outages, TLS-Zertifikatswarnungen, Session-Abbrüchen und – in ungünstigen Fällen – Traffic-Abgriff oder Umleitung…

MITRE ATT&CK auf OSI-Schichten mappen: Praxis, die im Feld wirklich hilft

Wer Security „im Feld“ betreibt, merkt schnell: Das MITRE ATT&CK auf OSI-Schichten mappen ist kein akademischer Luxus, sondern eine Abkürzung zu besseren Entscheidungen. MITRE ATT&CK liefert eine gemeinsame Sprache für Angreifer-Taktiken und -Techniken, aber im Alltag bleibt oft unklar, wo genau man ansetzen soll: Welche Telemetrie fehlt? Welche Kontrolle wirkt wirklich? Warum findet das SIEM…

Physische Boundaries in Zero Trust definieren: Layer-1-Perspektive

Wer Physische Boundaries in Zero Trust definieren will, denkt häufig zuerst an Identitäten, Mikrosegmentierung, Policy Engines und Telemetrie. Das ist sinnvoll – aber unvollständig. Zero Trust lebt von klaren Vertrauensgrenzen, und viele dieser Grenzen sind am Ende physisch: Wo steht ein System, wer kann es anfassen, wie laufen Leitungen, wo endet Ihr Verantwortungsbereich, und wo…

OSI-Modell als gemeinsame Sprache für SecOps–NetOps–AppSec

Das OSI-Modell als gemeinsame Sprache für SecOps–NetOps–AppSec ist ein überraschend wirksames Mittel gegen eines der größten Alltagsprobleme in der IT-Security: Teams reden über dieselben Vorfälle, aber in unterschiedlichen Begriffen – und verlieren dabei Zeit, Kontext und Verantwortung. SecOps denkt in Alerts, Indikatoren, Triage und Response; NetOps denkt in Routing, Segmentierung, Latenz und Verfügbarkeit; AppSec denkt…

Den „Owner“ eines Security-Incidents bestimmen durch OSI-Layer-Mapping

Den Owner eines Security-Incidents bestimmen durch OSI-Layer-Mapping ist eine der effektivsten Methoden, um in den ersten Minuten eines Vorfalls Klarheit zu schaffen – ohne in endlose Zuständigkeitsdebatten zu geraten. In vielen Organisationen ist nicht das technische Können das Problem, sondern die Koordination: SecOps sieht einen Alarm, NetOps sieht Auffälligkeiten im Traffic, AppSec sieht Fehler in…

OSI-Modell fürs Security Baseline: Mindestkontrollen pro Schicht als Checkliste

Das OSI-Modell fürs Security Baseline ist eine der praktischsten Möglichkeiten, Sicherheitsanforderungen so zu formulieren, dass sie teamsübergreifend verstanden, umgesetzt und überprüft werden können. Viele Organisationen scheitern nicht daran, dass sie „keine Security“ wollen, sondern daran, dass Baselines zu abstrakt sind („Härtung“, „Least Privilege“, „Logging an“) oder zu tool-spezifisch („Produkt X muss aktiviert sein“). Das OSI-Modell…