IP-Filter
Checkliste Beispiele
Netzwerk-Sicherheit & Zugriffskontrolle

IP-Filter verständlich erklärt

Ein IP-Filter erlaubt oder blockiert Netzwerkverkehr anhand von IP-Adressen (oder Adressbereichen). Das ist nützlich für Admin-Zugriffe, API-Absicherung und das Eindämmen automatisierter Angriffe – aber kein Ersatz für starke Authentifizierung.

Allowlist / Blocklist IPv4 & IPv6 CIDR-Netze Firewall / WAF / App-Layer
Gut: Admin-Bereiche einschränken Achtung: dynamische IPs Risiko: False Positives

Grundlagen

Warum IP-Filter genutzt werden

IP-Filterung ist eine einfache Form der Zugriffskontrolle. Sie kann Angriffsfläche reduzieren, indem nur bekannte Netze Zugriff erhalten – z. B. Firmen-VPN oder feste Server-IPs.

CIDR-Notation

Adressbereiche werden oft als 192.0.2.0/24 angegeben. Das steht für ein Netz mit 256 IPv4-Adressen (0-255). Für IPv6 sieht man z. B. 2001:db8::/32.

Allowlist vs. Blocklist

zwei Strategien
  • Allowlist: Standard ist „blocken“, nur definierte IPs dürfen rein (meist sicherer).
  • Blocklist: Standard ist „erlauben“, einzelne IPs/Netze werden gesperrt (reaktiv).
  • Oft kombiniert mit Rate-Limiting und MFA.

Typische Einsatzbereiche

praktische Beispiele
  • Admin-Login nur über VPN/Office-IP
  • API-Zugriff nur für Partner-Server
  • SSH/RDP nur von Jump-Hosts
  • Schutz vor Bot-Traffic (zusammen mit WAF)
  • Geo-basierte Einschränkungen (nur bedingt zuverlässig)

Mini-Beispiele

zum Einordnen 
# Beispiel: "Erlauben" eines Netzes (CIDR)
ALLOW 203.0.113.0/24

# Beispiel: Blocken einer einzelnen IP
DENY 198.51.100.42

# Beispiel: IPv6-Netz erlauben
ALLOW 2001:db8:abcd::/48

Die konkrete Syntax hängt vom System ab (Firewall, Proxy, Cloud-Security-Group). Wichtig ist: Regeln klein halten, sauber dokumentieren und testen.

Best Practices

damit IP-Filter wirklich helfen

1) Nicht als einziges Schutzmittel

IP-Filter ersetzen keine Authentifizierung. Nutze zusätzlich MFA, starke Passwörter und ggf. mTLS.

2) Logging & Monitoring

Block-Events loggen, Alarme bei auffälligen Mustern (z. B. viele Hits aus neuen Netzen).

3) Dynamische IPs bedenken

Viele Nutzer/Standorte haben wechselnde IPs. VPN oder Zero-Trust-Zugriff kann stabiler sein.

4) IPv6 nicht vergessen

Wenn dein Dienst IPv6 anbietet, müssen Regeln für IPv6 genauso sauber gepflegt werden.

5) Regel-Hygiene

Kleine Allowlists, Ablaufdaten für temporäre Freigaben, regelmäßige Reviews.

6) „Fail-closed“ bei kritischen Admin-Ports

Lieber standardmäßig blocken und nur Notwendiges öffnen, besonders bei SSH/RDP/Admin-Panels.

FAQ

kurz beantwortet
Ist IP-Filterung sicher?

Sie erhöht die Hürde und reduziert Angriffsfläche, ist aber allein nicht „sicher genug“. Kombiniere IP-Filter mit Authentifizierung, MFA, Rate-Limits und guter Konfiguration.

Was ist besser: Allowlist oder Blocklist?

Für sensible Bereiche ist Allowlisting meist besser, weil nur bekannte Netze rein dürfen. Blocklists eignen sich eher zur kurzfristigen Abwehr (z. B. bei Missbrauch).

Warum funktioniert meine Regel nicht?

Häufige Ursachen: falsche CIDR-Maske, IPv6 wird vergessen, Regeln sind in falscher Reihenfolge, oder der Traffic kommt über einen Proxy/Load-Balancer (dann muss die echte Client-IP korrekt weitergegeben werden).

Schützt das gegen DDoS?

Nur begrenzt. IP-Filter kann einzelne Quellen blocken, aber bei großen DDoS-Angriffen braucht man meist vorgelagerte Schutzmechanismen (z. B. Provider/Cloud-DDoS-Mitigation).