Private VLANs sind eine bewährte Technik, um auf Layer 2 eine feinere Segmentierung zu erreichen, ohne für jeden einzelnen Host ein eigenes VLAN aufbauen zu müssen. Gerade in Rechenzentren, DMZs, Shared-Hosting-Umgebungen oder bei großen Server-Farmen entsteht häufig ein Dilemma: Einerseits sollen Systeme im selben IP-Subnetz bleiben (zum Beispiel aus Betriebs- oder Applikationsgründen), andererseits darf sich…
Dynamic ARP Inspection (DAI) ist eine der effektivsten Layer-2-Schutzmaßnahmen gegen ARP-Spoofing und Man-in-the-Middle-Szenarien in IPv4-Netzen. Gleichzeitig ist DAI berüchtigt dafür, bei falscher Konfiguration „plötzlich alles kaputt zu machen“: Clients bekommen zwar eine IP, aber keine stabile Verbindung; einzelne Geräte fallen sporadisch aus; Voice- oder Drucker-VLANs wirken unzuverlässig; oder nach einem Switch-Reboot treten scheinbar zufällige Störungen…
Layer-3-Security entscheidet in vielen Netzen darüber, ob Angriffe nur „Lärm“ bleiben oder ob sie sich schnell ausweiten: Auf IP-Ebene lassen sich Quellen fälschen, Routing-Entscheidungen missbrauchen und ganze Kommunikationspfade umleiten. Während Layer-2-Kontrollen wie DHCP Snooping oder Dynamic ARP Inspection vor allem lokale Segmente schützen, betrifft Layer 3 die Netzgrenzen, Inter-VLAN-Routing, WAN-Anbindungen, Cloud-Konnektivität und die Übergänge zu…
uRPF in Produktion (Unicast Reverse Path Forwarding) ist eine der wichtigsten, gleichzeitig aber am häufigsten falsch eingeführten Anti-Spoofing-Kontrollen auf Layer 3. Der Grund ist einfach: uRPF greift direkt im Weiterleitungsprozess ein. Es entscheidet anhand der Routing-Tabelle, ob die Quelladresse eines Pakets „plausibel“ ist – und verwirft Traffic, wenn diese Plausibilität nicht gegeben ist. Damit kann…
ICMP-Abuse ist ein wiederkehrendes Thema in Netzwerk- und Security-Teams: Einerseits wird ICMP (Internet Control Message Protocol) regelmäßig missbraucht – für Reconnaissance, zur Überlastung von Links, als Träger für Tunneling-Ansätze oder zur Störung von Services. Andererseits ist ICMP kein „nice to have“, sondern ein elementarer Bestandteil stabiler IP-Kommunikation. Wenn ICMP pauschal blockiert wird, funktionieren Path-MTU-Discovery, Fehlersignalisierung…
Route Injection bezeichnet das Einspeisen von falschen oder unerwünschten Routing-Informationen in ein Netzwerk – absichtlich durch Angreifer oder unbeabsichtigt durch Fehlkonfiguration. Im Ergebnis werden Datenpakete über falsche Pfade geleitet, Sicherheitskontrollen umgangen, Traffic abgefangen (Man-in-the-Middle), ausgeleitet (Exfiltration) oder komplett „ins Leere“ geroutet (Blackholing). Besonders relevant ist Route Injection bei dynamischen Routing-Protokollen wie BGP und OSPF, weil…
Ein BGP-Hijack zählt zu den folgenschwersten Routing-Vorfällen im Internet: Ein fremdes autonomes System (AS) kündigt ein IP-Präfix an, das es nicht kontrolliert, sodass Traffic für dieses Präfix teilweise oder vollständig umgeleitet wird. Die Auswirkungen reichen von harmlos wirkenden Performance-Problemen bis hin zu vollständigen Outages, TLS-Zertifikatswarnungen, Session-Abbrüchen und – in ungünstigen Fällen – Traffic-Abgriff oder Umleitung…
BGP Flowspec klingt für viele SecOps-Teams wie die perfekte „One-Button“-Antwort auf DDoS, Scans oder Exploit-Wellen: Eine zentrale Detection-Engine erkennt bösartigen Traffic und verteilt in Sekunden Filter- und Mitigation-Regeln an Router, Firewalls oder Edge-Geräte – genau dorthin, wo der Verkehr bereits im Transit gestoppt werden kann. In der Praxis ist BGP Flowspec aber beides: eine äußerst…
Layer-2-Security wirkt auf den ersten Blick wie ein Spezialthema für Netzwerkteams. In der Praxis ist sie jedoch ein entscheidender Faktor dafür, ob ein Angreifer nach dem ersten Fuß in der Tür schnell zum „beweglichen“ Problem wird oder frühzeitig gestoppt werden kann. Viele Sicherheitsarchitekturen setzen stark auf Layer 3 bis 7: Firewalls, Zero Trust Policies, WAF,…
Anycast-Security ist für öffentliche Services längst kein Nischenthema mehr: DNS-Resolver, CDNs, DDoS-Schutz, API-Gateways und sogar einzelne Web-Endpunkte werden heute häufig über Anycast bereitgestellt. Das Prinzip ist bestechend einfach: Mehrere geografisch verteilte Standorte announcen dasselbe IP-Präfix per BGP, und der Verkehr wird aus Sicht des Internets „automatisch“ zum jeweils nächsten oder aus Routing-Sicht attraktivsten Standort gelenkt.…
Got questions? Ideas? Fill out the form below & our specialist will contact you.