BGP-Hardening-Baseline: Prefix Filtering, Max-Prefix und Session Protection

Ein sicheres BGP-Hardening ist essenziell, um Routing-Stabilität zu gewährleisten und Angriffe wie Route-Leaks, Prefix-Hijacking oder DoS auf BGP-Sessions zu verhindern. Eine solide Baseline umfasst Prefix-Filtering, Max-Prefix-Limits und Schutzmechanismen auf Session-Ebene, die sowohl Sicherheit als auch Stabilität in produktiven Umgebungen sicherstellen.

Prefix Filtering

Prefix-Filter sorgen dafür, dass nur autorisierte Routen empfangen oder gesendet werden. Unerwünschte Routen können so blockiert und Risiken wie Route-Leaks minimiert werden.

1. Prefix-Listen erstellen

ip prefix-list ALLOWED-IN seq 5 permit 10.0.0.0/24
ip prefix-list ALLOWED-OUT seq 5 permit 192.168.0.0/16

• Nur bekannte Netzwerke zulassen
• Separate Listen für eingehende und ausgehende Routen

2. Route-Maps anwenden

route-map FILTER-IN permit 10
 match ip address prefix-list ALLOWED-IN
route-map FILTER-OUT permit 10
 match ip address prefix-list ALLOWED-OUT

• Feingranulare Kontrolle über die erlaubten Routen
• Schutz vor unautorisierten oder fehlerhaften Routen

Max-Prefix Limits

Max-Prefix verhindert, dass ein BGP-Nachbar zu viele Routen einliest, was zu Überlastung und Instabilität führen kann.

1. Max-Prefix konfigurieren

router bgp 65001
 neighbor 192.0.2.2 remote-as 65002
 neighbor 192.0.2.2 maximum-prefix 1000 90

• Begrenzung der Anzahl empfangener Routen
• 90 % Schwelle für Warnungen, 1000 Routen Maximalwert
• Schützt die CPU vor Überlastung

Session Protection

BGP-Sessions sollten zusätzlich gegen Angriffe und Fehlkonfigurationen geschützt werden.

1. Neighbor Authentication

router bgp 65001
 neighbor 192.0.2.2 password StarkesBGPKey

• Schutz gegen Session-Hijacking
• Nur autorisierte Router können BGP-Nachbarschaften aufbauen

2. TTL-Schutz (TTL Security)

neighbor 192.0.2.2 ttl-security hops 2

• TTL Security schützt vor BGP-Spoofing aus dem Internet
• Nur direkt verbundene oder wenige Hops entfernte Router dürfen Sessions aufbauen

Monitoring und Logging

logging host 10.10.10.200
service timestamps log datetime msec localtime
snmp-server enable traps bgp

• Früherkennung von Session-Abbrüchen oder ungewöhnlichem Routing
• Auditierbarkeit für Compliance
• Integration in zentrale NMS oder SIEM-Systeme

Best Practices für BGP-Hardening

• Prefix-Listen für alle Nachbarn definieren
• Max-Prefix für jede Session setzen
• MD5-Authentifizierung für BGP-Nachbarn aktivieren
• TTL Security für externe BGP-Peers nutzen
• Monitoring, Logging und SNMP-Traps aktivieren
• Regelmäßige Überprüfung und Test der BGP-Konfiguration

Praxisbeispiel CLI-Zusammenfassung

! Prefix-Filter
ip prefix-list ALLOWED-IN seq 5 permit 10.0.0.0/24
ip prefix-list ALLOWED-OUT seq 5 permit 192.168.0.0/16
route-map FILTER-IN permit 10

match ip address prefix-list ALLOWED-IN

route-map FILTER-OUT permit 10

match ip address prefix-list ALLOWED-OUT
! BGP Max-Prefix

router bgp 65001

neighbor 192.0.2.2 remote-as 65002

neighbor 192.0.2.2 maximum-prefix 1000 90
! BGP Session Protection

neighbor 192.0.2.2 password StarkesBGPKey

neighbor 192.0.2.2 ttl-security hops 2
! Monitoring & Logging

logging host 10.10.10.200

service timestamps log datetime msec localtime

snmp-server enable traps bgp

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.