BGP absichern: MD5/TCP-AO, TTL Security, Prefix Filter und Max-Prefix

BGP ist das zentrale Protokoll für die Inter-Domain-Routing-Kommunikation in Unternehmens- und Provider-Netzen. Unzureichend gesicherte BGP-Sessions können zu Routing-Hijacks, DoS oder unbeabsichtigten Route-Leaks führen. Um BGP zuverlässig abzusichern, werden MD5/TCP-AO, TTL Security, Prefix Filtering und Max-Prefix eingesetzt. Dieser Leitfaden zeigt praxisnah, wie diese Mechanismen konfiguriert und kombiniert werden, um sichere und stabile BGP-Peering-Beziehungen zu gewährleisten.

MD5-Authentifizierung und TCP-AO

MD5 schützt BGP-Sessions vor unautorisiertem Aufbau und Manipulation. TCP-AO ist eine modernere Alternative, die zusätzlichen Schutz gegen Replay- und Spoofing-Attacken bietet.

MD5 aktivieren

Router(config)# router bgp 65001
Router(config-router)# neighbor 203.0.113.2 remote-as 65002
Router(config-router)# neighbor 203.0.113.2 password 

• Jeder Peer muss denselben Key verwenden
• Starke, komplexe Passwörter bevorzugen
• Regelmäßige Key-Rotation

TCP-AO aktivieren

Router(config)# router bgp 65001
Router(config-router)# neighbor 203.0.113.2 transport tcp-ao key-chain BGP_KEYS
Router(config)# key chain BGP_KEYS
Router(config-keychain)# key 1
Router(config-keychain-key)# key-string 
Router(config-keychain-key)# exit

• Schutz gegen Replay- und Spoofing-Attacken
• Erfordert moderne IOS-Versionen
• Kompatibilität mit Peers sicherstellen

TTL Security (GTSM)

TTL Security schützt BGP vor unautorisierten Peers, die nicht direkt an der Point-to-Point-Verbindung sitzen. TTL-Werte werden so konfiguriert, dass nur direkt angeschlossene Peers akzeptiert werden.

Router(config)# router bgp 65001
Router(config-router)# neighbor 203.0.113.2 ttl-security hops 1

• TTL auf den minimal notwendigen Wert setzen
• Schützt vor off-path Angriffen
• In Kombination mit MD5 oder TCP-AO verwenden

Prefix-Filter

Prefix-Filter verhindern, dass unerwünschte oder fehlerhafte Routen propagiert werden. Diese können sowohl für eingehende als auch ausgehende Updates angewendet werden.

Router(config)# ip prefix-list ALLOWED_IN seq 5 permit 10.0.0.0/8 le 24
Router(config)# ip prefix-list ALLOWED_OUT seq 5 permit 192.168.0.0/16 le 24
Router(config)# router bgp 65001
Router(config-router)# neighbor 203.0.113.2 prefix-list ALLOWED_IN in
Router(config-router)# neighbor 203.0.113.2 prefix-list ALLOWED_OUT out

• Nur bekannte und autorisierte Netze zulassen
• Fehlerhafte oder bösartige Routen blockieren
• Regelmäßige Überprüfung der Prefix-Listen

Max-Prefix-Limit

Max-Prefix schützt vor unbeabsichtigtem Fluten der Routing-Tabelle durch fehlerhafte Peer-Konfigurationen oder Angriffe.

Router(config)# router bgp 65001
Router(config-router)# neighbor 203.0.113.2 maximum-routes 1000
Router(config-router)# neighbor 203.0.113.2 maximum-routes 1000 warning-only

• Legitimen Traffic nicht blockieren, aber Warnungen generieren
• Reduziert Risiko von Routing-Floods
• Mit Prefix-Filter kombinieren für maximalen Schutz

Zusätzliche Best Practices

• Nur benötigte BGP-Peers aktivieren
• Logging und Monitoring für BGP-Sessions aktivieren
• AAA für administrative Zugriffe auf BGP-Router verwenden
• Idle-Timeouts für Management-Zugriffe setzen
• Management VRF für Admin-Zugriffe isolieren
• Regelmäßige Audit-Überprüfung von MD5/TCP-AO, Prefix-Filter und Max-Prefix
• Backup der Router- und BGP-Konfigurationen erstellen
• Change Management-Prozess für BGP-Policy-Änderungen einhalten

Monitoring und Audit

Zur Nachvollziehbarkeit und Sicherheit sollten alle BGP-Sessions überwacht und protokolliert werden.

Router# show ip bgp summary
Router# show ip bgp neighbors
Router# show logging

• CPU-Auslastung und Session-Status überwachen
• Prefix-Updates prüfen, um unerwartete Routen zu erkennen
• Audit-Logs für Compliance und Troubleshooting nutzen

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.