Multicast Security: IGMP/PIM Controls und Missbrauch verhindern

Multicast Security ist in vielen Netzwerken ein blinder Fleck: Multicast wird „einfach eingeschaltet“, weil IPTV, Finanzdaten-Feeds, Video-Conferencing, Service-Discovery, industrielle Telemetrie oder Routing-Protokolle es benötigen. Gleichzeitig ist Multicast eine Technik, die sich fundamental von Unicast unterscheidet: Ein Sender adressiert eine Gruppe, Empfänger melden sich über IGMP (IPv4) oder MLD (IPv6) an, und das Netzwerk repliziert den…

VoIP/SIP Security: SBC, Firewall Rules und Fraud Prevention

VoIP/SIP Security ist ein eigenständiges Spezialgebiet der Netzwerksicherheit, weil Sprachkommunikation andere Prioritäten und andere Angriffsflächen hat als klassische Web- oder Datenanwendungen. Telefonie muss in Echtzeit funktionieren, Jitter und Latenz sind kritisch, und viele VoIP-Architekturen kombinieren Signalisierung (SIP) mit Medienströmen (RTP/SRTP), die dynamische Ports und NAT-Traversal benötigen. Genau das macht einfache „Firewall-auf-Port-Listen“-Ansätze fehleranfällig: Zu restriktiv führt…

Email Security am Netz: SMTP Controls, DLP und Exfiltration

Email Security am Netz ist heute weit mehr als Spamfilter und Antivirus. E-Mail bleibt in Unternehmen ein kritischer Datenkanal – für legitime Kommunikation, aber auch für Phishing, Malware-Delivery, Identitätsmissbrauch und insbesondere für Datenabfluss. Während Web- und Cloud-Egress in vielen Organisationen inzwischen über Proxys und Secure Web Gateways kontrolliert wird, läuft SMTP-Traffic nicht selten „nebenher“: Clients…

Remote Admin Access: Jump Hosts, Bastions und Break-Glass absichern

Remote Admin Access ist einer der sensibelsten Bereiche der Netzwerk- und Systemsicherheit, weil hier die „Schlüssel zur Krone“ liegen: Administratorzugänge zu Firewalls, Switches, Servern, Cloud-Accounts, IAM, Hypervisoren und sicherheitskritischen Management-Systemen. Wenn Angreifer einen privilegierten Zugang erlangen, können sie nicht nur Daten stehlen, sondern Sicherheitskontrollen ausschalten, Logs manipulieren, Lateralmovement beschleunigen und Recovery erschweren. Genau deshalb müssen…

IDS/IPS Design: Placement, Inline vs. Tap und Tuning

Ein solides IDS/IPS Design entscheidet darüber, ob ein Unternehmen Angriffe früh erkennt, zuverlässig blockiert und dabei den Betrieb stabil hält. IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) werden im Alltag oft zusammen genannt, sind aber im Design grundverschieden: Ein IDS überwacht und alarmiert, ein IPS greift aktiv in den Datenpfad ein und kann…

NDR/NSM (Network Detection & Response): Use Cases und Integration

NDR/NSM (Network Detection & Response / Network Security Monitoring) gewinnt in Unternehmen rasant an Bedeutung, weil klassische Sicherheitskontrollen in modernen Netzwerken an Sichtbarkeitsgrenzen stoßen. Immer mehr Traffic ist verschlüsselt, Anwendungen sind verteilt (Cloud, SaaS, Microservices), und Angriffe bewegen sich häufig seitlich (East-West) statt nur über das Internet-Edge. Genau hier setzt NDR/NSM an: Es nutzt Netzwerktelemetrie…

Threat Intelligence Feeds: Enrichment ohne Alert-Fatigue

Threat Intelligence Feeds sind für viele Security-Teams der schnellste Weg, externe Erkenntnisse in die eigene Erkennung zu bringen: bösartige IPs, Domains, URL-Muster, Dateihashes, Signaturen, TTPs (Tactics, Techniques and Procedures) und Kampagnenkontext. In der Praxis scheitert der Nutzen jedoch häufig an einem bekannten Problem: Alert-Fatigue. Wenn jede neue IOC-Liste (Indicator of Compromise) sofort zu tausenden Treffern…

Geo-IP Policies: Sinnvoller Einsatz und häufige Fehlannahmen

Geo-IP Policies sind in vielen Unternehmen ein beliebtes Werkzeug, um Netzwerkzugriffe „einfach“ zu steuern: Bestimmte Länder werden blockiert, andere zugelassen, und schon wirkt die Angriffsfläche kleiner. In der Realität sind Geo-IP Policies jedoch ein zweischneidiges Schwert. Richtig eingesetzt können sie tatsächlich Risiko reduzieren, Incident-Triage beschleunigen und Compliance-Anforderungen unterstützen. Falsch eingesetzt führen sie dagegen zu trügerischer…

DNS Security: Protective DNS, Sinkholes und Detection Patterns

DNS Security ist in modernen IT-Netzwerken ein zentraler Hebel, weil nahezu jede Kommunikation mit einer Namensauflösung beginnt – egal ob Web, SaaS, Updates, API-Calls oder Command-and-Control (C2) von Malware. Genau deshalb ist DNS gleichzeitig ein bevorzugter Angriffsvektor und ein hervorragender Sensor: Angreifer nutzen DNS für Phishing, für die Infrastruktursteuerung von Botnetzen, für Datenabfluss (DNS Tunneling)…

Egress Filtering: Data Exfiltration und C2 Traffic blockieren

Egress Filtering ist eine der wirkungsvollsten, aber am häufigsten vernachlässigten Sicherheitsmaßnahmen in Enterprise-Netzwerken. Während viele Architekturen stark auf Ingress-Schutz (WAF, IDS/IPS, DDoS, Perimeter-Firewalls) fokussieren, findet ein großer Teil moderner Angriffe im Inneren statt: kompromittierte Endgeräte, gestohlene Credentials, laterale Bewegung und schließlich Command-and-Control (C2) sowie Data Exfiltration nach außen. Genau an diesem Punkt entscheidet sich, ob…