Hardening für Dual ISP: Exposure durch Failover-Policies verhindern

Die Nutzung von Dual-ISP-Verbindungen bietet Unternehmen hohe Verfügbarkeit und Redundanz für den Internetzugang. Gleichzeitig entstehen jedoch Sicherheitsrisiken, insbesondere während Failover-Szenarien, wenn Policies inkonsistent angewendet werden oder unerwarteter Traffic unkontrolliert über den sekundären ISP geleitet wird. Hardening für Dual-ISP-Umgebungen fokussiert sich auf konsistente Access-Kontrollen, Routing-Sicherheitsmechanismen und Monitoring, um Exposure zu minimieren und den Betrieb stabil zu halten.

Herausforderungen bei Dual-ISP-Szenarien

Dual-ISP-Setups erhöhen Komplexität im Routing und Sicherheitsmanagement. Typische Risiken sind:

• Unkontrollierter Traffic während Failover
• Inkonsistente ACLs auf beiden WAN-Interfaces
• Missbrauch durch falsch priorisierte oder fehlende Routing-Policies
• Fehlende Visibility für Monitoring und Logging
• Komplexität bei BGP- oder static-route-Failover

Routing und Failover Absicherung

Failover zwischen zwei ISPs sollte kontrolliert und vorhersehbar erfolgen, um Exposure zu vermeiden.

BGP- oder Static-Failover konfigurieren

Router(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1 10
Router(config)# ip route 0.0.0.0 0.0.0.0 198.51.100.1 20
Router(config)# router bgp 65001
Router(config-router)# neighbor 203.0.113.2 remote-as 65002
Router(config-router)# neighbor 198.51.100.2 remote-as 65003
Router(config-router)# network 192.0.2.0 mask 255.255.255.0

• Primary und Secondary Routes mit unterschiedlichen Administrative Distances absichern
• Failover nur bei Erreichbarkeitsprüfung der ISP-Router aktivieren
• Keine unkontrollierten Default-Routes während ISP-Ausfall

ACLs und Exposure-Kontrolle

Access-Kontrollen müssen für beide WAN-Interfaces konsistent sein, um den Zugang auf autorisierte Services zu beschränken.

Router(config)# ip access-list extended WAN_MGMT
Router(config-ext-nacl)# permit tcp host 192.168.200.10 any eq 22
Router(config-ext-nacl)# deny ip any any
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group WAN_MGMT in
Router(config)# interface GigabitEthernet0/1
Router(config-if)# ip access-group WAN_MGMT in

• Identische ACLs auf beiden ISPs implementieren
• Nur Management- und Monitoring-Traffic zulassen
• Logging aktivieren, um Failover-Traffic zu überwachen

Control Plane Schutz bei Dual-ISP

Control Plane Policing (CoPP) verhindert Überlastung der CPU durch unerwarteten Traffic während ISP-Failover.

Router(config)# class-map match-any CTRL_TRAFFIC
Router(config-cmap)# match protocol tcp
Router(config-cmap)# match protocol udp
Router(config)# policy-map CO_PP
Router(config-pmap)# class CTRL_TRAFFIC
Router(config-pmap-c)# police 8000 1000 conform-action transmit exceed-action drop
Router(config)# control-plane
Router(config-cp)# service-policy input CO_PP

• Priorisierung von legitimen Routing- und Management-Paketen
• Schutz vor Floods oder DoS während Failover
• Monitoring aktivieren, um Überlastungen zu erkennen

Monitoring und Logging

Zentrale Sichtbarkeit ist entscheidend, um Failover und Security-Maßnahmen zu validieren.

Router# show logging
Router# show ip route
Router# show bgp summary
Router# show control-plane host

• Syslog-Server auf beiden WANs erreichen
• Telemetry-Daten für Traffic-Analyse nutzen
• Alerting für Failover oder ungewöhnliche Traffic-Spitzen

Best Practices für Dual-ISP Hardening

• Failover-Routen und ACLs konsistent auf beiden WAN-Interfaces
• Control Plane Schutz aktivieren
• Redundante Management-Zugänge und Jump Hosts verwenden
• Automatisiertes Monitoring und Telemetry implementieren
• Rollback-Plan für ISP-Ausfälle definieren
• Dokumentation aller Routing- und Security-Policies
• Test von Failover in Laborumgebung vor produktiver Umsetzung
• Least-Privilege-Prinzip für Management-Traffic
• Regelmäßige Updates und Patch-Management

Zusätzliche Empfehlungen

• Rate-Limits für Edge- und WAN-Interfaces konfigurieren
• Redundanz in Routing und Management einplanen
• Simulation von Angriffen und Failover testen
• Integration in Change-Management- und Incident-Response-Prozesse
• Regelmäßige Schulung der Administratoren zu Dual-ISP-Security

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.