March 6, 2026

Anti-Route-Leak-Checkliste: Prefix-List, Route-Map und Default Deny

Route-Leaks in BGP können die Stabilität eines Netzwerks massiv beeinträchtigen und zu unautorisierten Routenübernahmen führen. Eine strukturierte Anti-Route-Leak-Checkliste sorgt dafür, dass nur autorisierte Präfixe propagiert werden, unerwünschte Routen blockiert werden und das Prinzip „Default Deny“ konsequent umgesetzt wird. Dies ist essenziell für Production-Grade BGP-Sicherheit.

Grundprinzipien gegen Route-Leaks

  • Prefix-Listen: Nur autorisierte Routen empfangen oder senden
  • Route-Maps: Feingranulare Kontrolle über eingehende und ausgehende Updates
  • Default Deny: Alle nicht explizit erlaubten Routen ablehnen
  • Monitoring: Alerts bei unautorisierten Routen oder Volumina
  • Audit & Dokumentation: Nachvollziehbarkeit aller Policy-Entscheidungen

Prefix-Listen zur Präfixkontrolle

1. Eingehende Präfixe beschränken

ip prefix-list ALLOWED-IN seq 5 permit 10.0.0.0/24
ip prefix-list ALLOWED-IN seq 10 permit 172.16.0.0/16
  • Nur bekannte und autorisierte Netzwerke zulassen
  • Verhindert, dass externe Peers unautorisierte Routen einspeisen

2. Ausgehende Präfixe kontrollieren

ip prefix-list ALLOWED-OUT seq 5 permit 192.168.0.0/16
ip prefix-list ALLOWED-OUT seq 10 permit 10.1.0.0/24
  • Nur bestimmte Routen an Nachbarn propagieren
  • Schützt vor unbeabsichtigtem Leak von internen Präfixen

Route-Maps zur Feinkontrolle

1. Route-Map für eingehende Updates

route-map FILTER-IN permit 10
 match ip address prefix-list ALLOWED-IN
route-map FILTER-IN deny 20
  • Explizit erlaubte Präfixe aufnehmen
  • Alle anderen Präfixe ablehnen („Default Deny“)

2. Route-Map für ausgehende Updates

route-map FILTER-OUT permit 10
 match ip address prefix-list ALLOWED-OUT
route-map FILTER-OUT deny 20
  • Nur autorisierte Routen nach außen senden
  • Verhindert unbeabsichtigte Routenpropagation

Default Deny Prinzip

  • Alle Präfixe, die nicht explizit erlaubt sind, werden abgelehnt
  • Reduziert Risiko von Route-Leaks erheblich
  • Kombiniert mit Monitoring für schnelle Alarmierung

Monitoring und Alerts

logging host 10.10.10.200
service timestamps log datetime msec localtime
snmp-server enable traps bgp
  • Alerts bei unautorisierten Routen
  • Auditierbarkeit für Compliance
  • Integration in zentrale NMS oder SIEM-Systeme

Best Practices für Anti-Route-Leak

  • Prefix-Listen konsequent für alle Nachbarn definieren
  • Route-Maps anwenden mit explizitem „deny“ für alle anderen Routen
  • Monitoring und Logging aktivieren
  • Regelmäßige Prüfung der Policies und BGP-Routen
  • Dokumentation und Audit der erlaubten Präfixe

Praxisbeispiel CLI-Zusammenfassung

! Prefix-Listen
ip prefix-list ALLOWED-IN seq 5 permit 10.0.0.0/24
ip prefix-list ALLOWED-IN seq 10 permit 172.16.0.0/16
ip prefix-list ALLOWED-OUT seq 5 permit 192.168.0.0/16
ip prefix-list ALLOWED-OUT seq 10 permit 10.1.0.0/24

! Route-Maps

route-map FILTER-IN permit 10

match ip address prefix-list ALLOWED-IN

route-map FILTER-IN deny 20


route-map FILTER-OUT permit 10

match ip address prefix-list ALLOWED-OUT

route-map FILTER-OUT deny 20


! BGP Neighbor-Konfiguration

router bgp 65001

neighbor 192.0.2.2 remote-as 65002

neighbor 192.0.2.2 route-map FILTER-IN in

neighbor 192.0.2.2 route-map FILTER-OUT out


! Monitoring & Logging

logging host 10.10.10.200

service timestamps log datetime msec localtime

snmp-server enable traps bgp

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind