Netzwerke für Cybersecurity verstehen

Egal ob du im SOC Alerts triagierst, als Pentester Zielsysteme aufklaerst oder als Incident Responder einen Einbruch nachvollziehst - du arbeitest immer mit Netzwerk-Daten. IP-Adressen, Ports, Protokolle und Paketinhalte sind die Rohdaten, aus denen Security-Entscheidungen entstehen.

Ein SOC-Analyst der nicht weiß, was ein TCP-SYN-Paket bedeutet, kann einen Port-Scan nicht von normalem Traffic unterscheiden. Ein Pentester ohne Subnetz-Verständnis versteht nicht, welche Hosts er überhaupt erreichen kann. Ein Forensiker ohne DNS-Grundkenntnisse uebersieht DNS-Tunneling als Exfiltrations-Kanal.

Netzwerk-Wissen ist außerdem beständig: TCP/IP ist seit den 1970ern stabil. Wer die Grundlagen einmal wirklich versteht, muss sie nie komplett neu lernen - auch wenn Tools und Clouds sich verändern.

Eine IPv4-Adresse ist eine 32-Bit-Zahl, die zur Lesbarkeit in vier Oktette aufgeteilt wird: z.B. 192.168.1.42. Jedes Oktett kann einen Wert von 0-255 annehmen. Die Adresse identifiziert ein Gerät eindeutig innerhalb eines Netzwerks.

Privater vs. öffentlicher Adressraum: Bestimmte Bereiche sind per RFC 1918 für private Netzwerke reserviert und werden im Internet nicht geroutet. Dein Heimrouter, Firmen-LAN und Lab-Netzwerk arbeiten darin. Öffentliche IP-Adressen dagegen sind im Internet eindeutig und erreichbar.

IPv6 (128-Bit-Adressen, hexadezimal) wird immer relevanter. Für den Security-Einstieg genügt zu wissen: IPv6-Adressen sehen anders aus (2001:db8::1), aber die Konzepte von Routing und Segmentierung bleiben gleich.

Ein Subnetz unterteilt einen IP-Bereich in kleinere Segmente. Die CIDR-Notation (Classless Inter-Domain Routing) beschreibt Netzwerkgröße prägnant kompakt: 192.168.1.0/24 bedeutet, die ersten 24 Bits sind der Netzwerkanteil - die verbleibenden 8 Bits (256 Adressen, davon 254 nutzbar) gehören zu Hosts.

Einfache Faustregel: Je größer die Zahl hinter dem Slash, desto kleiner das Netz. /32 ist genau eine IP, /24 sind 256 IPs, /16 sind 65.536 IPs, /8 sind rund 16 Millionen.

Security-Relevanz: Nmap-Scans zielen oft auf ganze Subnetze (nmap 10.0.0.0/24). Firewalls und Security Groups definieren Regeln auf Subnetz-Ebene. Lateral-Movement im Netzwerk bedeutet oft, von einem Subnetz ins nächste zu pivotieren.

Ports sind numerische Bezeichner (0-65535), die Netzwerkverbindungen einem bestimmten Dienst auf einem Host zuordnen. Während IP-Adressen das Gerät adressieren, adressieren Ports den Dienst darauf. Well-known Ports (0-1023) sind standardisiert - wer sie kennt, kann offene Ports sofort einordnen.

TCP (Transmission Control Protocol) ist verbindungsorientiert: Vor dem Datenaustausch findet ein Three-Way-Handshake statt (SYN → SYN-ACK → ACK). Jedes Paket wird bestätigt, verlorene Pakete werden neu gesendet. Das macht TCP zuverlässig, aber etwas langsamer.

UDP (User Datagram Protocol) ist verbindungslos: Pakete werden gesendet, ohne auf Bestätigung zu warten. Schneller, aber keine Garantie für Ankunft oder Reihenfolge. UDP ist ideal für DNS-Abfragen, VoIP, Spiele und Streaming - überall wo Geschwindigkeit wichtiger ist als Vollständigkeit.

Security-Relevanz: SYN-Floods missbrauchen den TCP-Handshake, indem massenweise SYN-Pakete gesendet werden, ohne den Handshake abzuschliessen - der Server reserviert Ressourcen und wird erschöpft. UDP-basierte Amplification-Angriffe nutzen Protokolle wie DNS oder NTP, um mit wenig Aufwand großen Traffic zu erzeugen.

DNS (Domain Name System) übersetzt menschenlesbare Domainnamen in IP-Adressen. Ohne DNS müsste man IP-Adressen auswendig kennen. Jede Verbindung zu einer Domain beginnt mit einer DNS-Abfrage - das macht DNS zu einem der am häufigsten gesehenen Protokolle in jedem Netzwerk-Capture.

DNS-Recon (z.B. mit dig oder nslookup) ist ein Standardschritt in jedem Pentest und jeder Schwachstellen-Analyse. Ziel ist es, Subdomains, Mail-Server und externe Dienste einer Ziel-Domain zu kartieren.

HTTP ist ein zustandsloses Anfrage-Antwort-Protokoll. Der Client sendet eine Anfrage (Request) mit Methode, Pfad, Headern und ggf. Body; der Server antwortet mit Statuscode, Headern und Body. Alles, was du im Browser siehst, begann als HTTP-Request.

HTTPS ist HTTP über TLS. TLS (Transport Layer Security) verschlüsselt die Verbindung zwischen Client und Server durch einen asymmetrischen Schlüsseltausch (Handshake) gefolgt von symmetrischer Verschlüsselung. Das Zertifikat des Servers beweist seine Identität gegenüber dem Client.

Wichtige Konzepte für Security: TLS-Versionen (TLS 1.0/1.1 sind veraltet und angreifbar), schwache Cipher-Suites, abgelaufene Zertifikate und fehlende HSTS-Header sind klassische Findings in Penetrationstests. Tools wie testssl.sh prüfen TLS-Konfigurationen automatisch.

Ein Paket, das von deinem Rechner zu einem Server in Frankfurt reist, passiert mehrere Router - jeden nennt man einen Hop. Dein Default Gateway (meist der Heimrouter) ist der erste Hop. Er entscheidet, wohin das Paket weitergeleitet wird, basierend auf seiner Routing-Tabelle.

Mit traceroute (Linux) bzw. tracert (Windows) kannst du jeden Hop sichtbar machen. Das ist ein grundlegendes Diagnose-Werkzeug - und in Pentest-Aufklärungen hilft es, Netzwerktopologien grob zu kartieren.

Security-Relevanz: Firewalls und Next-Generation Firewalls sitzen oft zwischen Segmenten und entscheiden, welche Pakete weiterkommen. Misconfigured Routing kann dazu führen, dass interne Dienste öffentlich erreichbar werden - ein häufiger Cloud-Fehler.

Netzwerk-Logs sind die Grundlage für Threat Detection und Incident Response. SIEM-Systeme (z.B. Splunk, Elastic SIEM) saugen Netzwerk-Events ein und korrelieren sie. Ohne Verständnis der zugrundeliegenden Protokolle sieht man in diesen Logs nur Rauschen.

• Firewall-Logs: welche Verbindungen wurden erlaubt oder geblockt?
• DNS-Logs: ungewöhnlich viele Abfragen an unbekannte Domains - Beaconing?
• NetFlow/IPFIX: Verbindungsmetadaten ohne Paketinhalt - Volumen, Häufigkeit
• Proxy-Logs: welche URLs wurden aufgerufen - User-Agent auffällig?
• IDS/IPS-Alerts: Suricata/Snort schlagen an - Kontext im Paket prüfen

Der typische SOC-Prozess: Alert empfangen, Kontext aus Netzwerk-Logs ziehen, IP-Adressen und Domains nachschlagen (Threat-Intel), Entscheidung treffen. Wer die Protokolle kennt, arbeitet in diesem Prozess drei Mal schneller.

Nmap (Network Mapper) sendet sorgfältig konstruierte Pakete an Ziel-Hosts und wertet die Antworten aus. Wer TCP-Handshake und Port-Konzepte kennt, versteht sofort, warum ein SYN-Scan unauffälliger ist als ein Full-Connect-Scan. Wireshark zeigt jeden dieser Pakete im Detail.

• Nmap -sS: SYN-Scan - sendet SYN, wertet SYN-ACK oder RST aus, schließt Verbindung nicht
• Nmap -sU: UDP-Scan - langsamer, da kein Handshake als Antwort-Garantie
• Wireshark-Filter 'dns': nur DNS-Traffic anzeigen - sofort lesbar mit Record-Typen-Wissen
• Wireshark 'tcp.flags.syn==1 && tcp.flags.ack==0': alle SYN-Pakete - Port-Scan sichtbar

Richte dir ein kleines Heimlabor mit zwei VMs ein (z.B. Ubuntu + Kali in VirtualBox, Host-Only-Netzwerk). Übe darin:

• Wireshark öffnen, im Browser eine HTTP-Seite laden und DNS + TCP-Handshake + HTTP-Request verfolgen
• Mit 'dig' und 'nslookup' verschiedene DNS-Record-Typen einer eigenen Testdomain abfragen
• Nmap-Scan auf die eigene Ubuntu-VM - Ergebnisse mit 'ss -tulpn' auf der VM vergleichen
• Eine Wireshark-Capture-Datei (.pcap) speichern und später erneut analysieren