
TL;DR Für Sicherheitsexperten ist Netzwerkwissen Pflicht: Jedes Paket kann ein Angriffsvektor, jedes Protokoll eine Angriffsoberfläche sein. Diese Anleitung führt Schicht für Schicht und Protokoll für Protokoll durch den Schutz moderner Netze – on-prem, in der Cloud, per SD-WAN und Zero Trust.
Selbst der modernste Endpoint oder Cloud-Dienst nutzt letztlich das Netz. Angreifer missbrauchen Fehlkonfigurationen, implizites Vertrauen und Altprotokolle für Initialzugriff, laterale Bewegung oder Datenexfiltration. Sichtbarkeit und Kontrolle über jeden Hop, jedes Segment und jedes Handshake bilden daher das Fundament einer Defence-in-Depth-Strategie.
| OSI-Schicht | Typische Angriffe | Gegenmaßnahmen mit hoher Wirkung |
|---|---|---|
| L1 Physik | Leitungs-Abhören, RF-Jamming | Geschirmte Kabel, TEMPEST-Räume, Port-Sperren |
| L2 Datenlink | MAC-Flood, ARP-Spoofing, VLAN-Hopping | 802.1X, DAI, Port Security, Private VLAN |
| L3 Netz | IP-Spoofing, BGP-Hijacking, Routeninjektion | uRPF, ACLs, RPKI, IPsec-Tunnel |
| L4 Transport | TCP SYN/ACK-Flood, UDP-Amplifikation | SYN-Cookies, Rate Limiting, Anycast-DDoS-Scrubbing |
| L5/6 Sitzung & Darstellung | Sitzungsübernahme, TLS-Stripping | Striktes TLS, HSTS, sichere Cookie-Flags |
| L7 Anwendung | DNS-Cache-Poisoning, SQLi/XSS, API-Missbrauch | WAF, DNSSEC, mTLS, Schema-Validierung |
Mehrschichtiger Schutz zwingt Angreifer, mehrere unabhängige Barrieren zu überwinden statt nur eine.
Zustandslos → leicht zu fälschen → MitM. Abhilfe: Dynamic ARP Inspection, statische ARP-Tabellen für kritische Hosts.
Anfällig für Cache-Vergiftung & Reflexionsverstärkung. Abhilfe: DNSSEC, RRL, dedizierte egress-Resolver, Split-Horizon.
Dreiweghandshake nutzbar für SYN-Floods & Banner-Grabs. Abhilfe: SYN-Cookies, Handshake-Proxy-Firewall, Blockade von NULL/FIN/Xmas-Scans.
Standardverschlüsselung schützt, erschwert aber signaturbasierte IPS – ML-Analysen oder JA3-S-Fingerprints nutzen.
Perimeter-Schutz reicht in Cloud/SaaS/Mobile-Welten nicht mehr. NIST SP 800-207 definiert:
Gartners SASE bündelt SD-WAN, NGFW, CASB, SWG & ZTNA als Cloud-Service und liefert konsistente Richtlinien überall.
Zentraler Controller = schnelle Policy-Pushs, aber Single Point of Failure. Härtung: Out-of-Band-Management, mTLS zwischen Control/Data-Plane, Laufzeit-Signaturen für Flow-Regeln.
| Kontrolle | Zweck | Leitprodukte |
|---|---|---|
| NGFW / UTM | Stateful Inspection, Layer-7-Policies | Palo Alto, FortiGate, pfSense |
| IDS/IPS | Signatur- & Anomalie-Alarme | Suricata, Zeek, Snort |
| NDR | Verhaltensanalysen, laterale Angriffe erkennen | Corelight, Darktrace, Vectra |
| SIEM / SOAR | Log-Korrelation & Response-Orchestration | Splunk, ELK, Chronicle, XSOAR |
| Packet & Flow Capture | Tiefe Forensik, Incident-Rekonstruktion | Arkime, NetFlow/IPFIX |
Tipp: Detection-Mapping an MITRE ATT&CK v17 für messbare Abdeckung.
| Technik | Ziel | Empfohlene Tools |
|---|---|---|
| Recon & Scans | Angriffsfläche kartieren | Nmap, Masscan |
| Exploits | Kontrolllücken nachweisen | Metasploit, Scapy |
| Red / Purple Team | Komplette Kill-Chain simulieren | Cobalt Strike, Sliver |
| Dauer-BAS | Sicherheitsnetz zwischen Audits | AttackIQ, SafeBreach |
Moderne Verteidiger müssen die Sprachen Paket und Payload beherrschen. Wer jedes Feld des Ethernet-Frames und jeden Zero-Trust-Grundsatz versteht, baut Netze, die Bedrohungen erkennen, aushalten und sich erholen. Lerne weiter, zeichne Pakete auf – denn was du nicht siehst, kannst du nicht schützen.
Wenn Sie diesen Inhalt wertvoll fanden, stellen Sie sich vor, was Sie mit unserem umfassenden 47-wöchigen Elite-Trainingsprogramm erreichen könnten. Schließen Sie sich über 1.200 Studenten an, die ihre Karrieren mit den Techniken der Unit 8200 transformiert haben.