Netzwerk-Security & Firewall-Design

Dieser Hub ist für alle, die Netzwerke nicht nur „zum Laufen“, sondern sicher und nachweisbar betreiben wollen: klare Zonen, klare Regeln, klare Reviews.

Netzwerk-Security ist Architektur (nicht nur Firewall)

Wenn das Netzwerk flach ist, ist jede kompromittierte Identität sofort „Domain Admin in Zeitlupe“.

Gute Netzwerk-Security beginnt mit einem Zonenmodell: was darf wohin, warum, und wie wird es nachgewiesen?

• Segmentierung: Zonen/VLANs + kontrollierte Übergänge
• Policy Design: „deny by default“, explizite Allow-Listen
• Naming/Adressierung: konsistent (damit Doku und Logs stimmen)
• Change- und Review-Prozess: Regeln altern – Reviews sind Pflicht

Firewall-Policy Design (sauber planbar)

Eine Firewall ist nur so gut wie ihre Policy. Best Practice ist: wenige, klare Regeln statt 5.000 Ausnahmen.

Wichtig: Regeln sind Produkte. Sie brauchen Owner, Ticket-Referenz, Zweck, Laufzeit und Review.

• Regelstruktur: Zone → Zone, Service, Direction, Owner, Expiry, Ticket
• Objekte statt IP-„Wildwuchs“ (Services, FQDN-Objekte, Gruppen)
• Logging: nur sinnvolle Events (den Rest aggregieren/ratelimit)
• Regelhygiene: Shadowing, Duplicates, „any-any“, alte NATs entfernen

# Beispiel: Minimal-Regel-Template (Policy-as-Text)
Rule-ID: FW-EXT-0123
Source Zone: VPN-Users
Destination Zone: App-Zone
Source: grp_vpn_users
Destination: app_frontend_01
Service: https(443)
Action: allow
Log: session-end
Owner: app-team
Ticket: CHG-2026-00192
Review: quarterly
Expiry: 2026-06-30

Zero Trust im Netzwerk (praktisch)

Zero Trust heißt nicht „alles blocken“. Es heißt: explizit prüfen, minimieren, kontinuierlich überwachen.

Im Netzwerk bedeutet das häufig: mikrosegmentierte Zonen, Identity-Context, mTLS, und saubere Telemetrie.

• Identity-first: Zugriff an Identität + Device Posture koppeln
• East-West kontrollieren: interne Flows sind oft das Problem
• „Assume breach“: laterale Bewegung einkalkulieren
• Telemetry: Flow-Logs + DNS + Auth + Endpoint = Detektionsbasis

VPN & Remote Access (WireGuard / IPsec) richtig betreiben

VPN ist nicht „Tunnel up“. VPN ist ein Zugriffssystem: Auth, Autorisierung, Segmentierung, Monitoring, Rotation.

Wichtig: separate Zonen für VPN-Clients, klare Allowed-Destinations, und Logging in das zentrale System.

• WireGuard: schlank, schnell – aber Key-Management muss sauber sein
• IPsec: kompatibel – aber Parameter/Interoperabilität brauchen Standard
• Split-Tunnel bewusst (Security vs. Performance) entscheiden
• Access Reviews: wer braucht noch Zugriff – und warum?

Weiterführend

• IT-Security (Grundlagen bis Enterprise)
• Zero Trust / SIEM / Incident Response
• Linux Hardening Deep Dive
• Red Team / Blue Team
• Datenschutz technisch & auditfähig