OSPF Authentifizierung: Sicherheit für dein IGP

OSPF-Authentifizierung schützt dein IGP davor, dass fremde oder falsch konfigurierte Router unbemerkt Nachbarschaften aufbauen und Routing-Informationen einspeisen. Ohne Authentifizierung können falsche Hellos und LSAs im schlimmsten Fall zu Traffic-Umlenkungen, Blackholes oder instabilen Konvergenzen führen. Mit einer sauberen OSPF-Auth-Konfiguration stellst du sicher, dass nur autorisierte Nachbarn „FULL“ werden.

Warum OSPF-Authentifizierung in der Praxis wichtig ist

OSPF nutzt Multicast-Hellos und baut Nachbarschaften automatisiert auf. In gemeinsam genutzten Segmenten (Transit-VLAN, Provider-Übergabe, Campus-Trunks) ist das ein Risiko, wenn jeder Router „einfach so“ teilnehmen kann.

• Schutz vor unautorisierten OSPF-Nachbarn
• Reduktion von Fehlkonfigurationen (falsche Router im falschen Segment)
• Stabileres Routing durch kontrollierte Adjacencies
• Bessere Compliance in Unternehmensnetzen

Welche OSPF-Authentifizierungsarten gibt es?

In Cisco IOS triffst du typischerweise auf zwei Auth-Varianten: einfache Klartext-Authentifizierung und Message-Digest (MD5). In der Praxis ist Message-Digest deutlich sinnvoller.

• Simple Password (Plaintext): leicht, aber schwach (nicht empfohlen)
• Message-Digest (MD5): deutlich besser, Standard in vielen Umgebungen

Wichtige Regel

Alle Router auf demselben OSPF-Link müssen denselben Auth-Typ und denselben Key verwenden. Sonst kommt die Nachbarschaft nicht hoch.

Wo konfiguriert man OSPF-Auth? Interface ist der Normalfall

OSPF-Authentifizierung ist in der Praxis meist interface-basiert, weil du so gezielt Transitlinks absichern kannst, ohne unnötig LANs zu belasten. Zusätzlich gibt es area-basierte Aktivierung, die du dann pro Interface mit Keys ergänzt.

• Interface-basiert: präzise, empfohlen für Transitlinks
• Area-basiert: globaler „Schalter“ pro Area, Keys bleiben am Interface

Message-Digest (MD5) konfigurieren: Best Practice für Transitlinks

MD5-Authentifizierung besteht aus zwei Teilen: Du aktivierst Message-Digest am Interface und setzt einen Key (Key-ID + Secret). Danach müssen die Nachbarn identisch konfiguriert sein.

Beispiel: MD5 auf einem Punkt-zu-Punkt-Link (R1)

R1# configure terminal
R1(config)# interface gigabitEthernet0/1
R1(config-if)# ip ospf authentication message-digest
R1(config-if)# ip ospf message-digest-key 1 md5 Str0ngOSPFKey!
R1(config-if)# end

Beispiel: MD5 auf dem Gegenrouter (R2)

R2# configure terminal
R2(config)# interface gigabitEthernet0/1
R2(config-if)# ip ospf authentication message-digest
R2(config-if)# ip ospf message-digest-key 1 md5 Str0ngOSPFKey!
R2(config-if)# end

OSPF-Adjacency verifizieren

R1# show ip ospf neighbor
R1# show ip ospf interface gigabitEthernet0/1
R2# show ip ospf neighbor

Area-basierte Aktivierung: Auth „für die Area einschalten“

Wenn du eine gesamte Area verpflichtend absichern willst, aktivierst du Auth auf Area-Ebene. Dann muss jedes Interface in dieser Area passende Keys haben, sonst gibt es keine Neighbors.

Area-Auth aktivieren (Message-Digest)

Router# configure terminal
Router(config)# router ospf 1
Router(config-router)# area 0 authentication message-digest
Router(config-router)# end

Danach weiterhin Keys am Interface setzen

Router# configure terminal
Router(config)# interface gigabitEthernet0/1
Router(config-if)# ip ospf message-digest-key 1 md5 Str0ngOSPFKey!
Router(config-if)# end

Simple Password konfigurieren (nur für Labs/Legacy)

Simple Authentication ist funktional, aber schwach. Sie kann für Lernumgebungen hilfreich sein, sollte aber in produktiven Netzen durch Message-Digest ersetzt werden.

Simple Auth am Interface

Router# configure terminal
Router(config)# interface gigabitEthernet0/1
Router(config-if)# ip ospf authentication
Router(config-if)# ip ospf authentication-key LabPass123
Router(config-if)# end

Key-Rollover: Schlüssel wechseln ohne Downtime (praxisnah)

In professionellen Umgebungen willst du Keys rotieren. Das gelingt, indem du einen zweiten Key parallel einführst, beide Seiten aktualisierst und danach den alten entfernst. Die genaue Verhalten hängt von Plattform/IOS-Version ab, aber das Muster bleibt: erst hinzufügen, dann umstellen, dann entfernen.

Neuen Key hinzufügen (zusätzliche Key-ID)

Router# configure terminal
Router(config)# interface gigabitEthernet0/1
Router(config-if)# ip ospf authentication message-digest
Router(config-if)# ip ospf message-digest-key 2 md5 N3wStr0ngKey!
Router(config-if)# end

Alten Key entfernen (nach erfolgreichem Rollout)

Router# configure terminal
Router(config)# interface gigabitEthernet0/1
Router(config-if)# no ip ospf message-digest-key 1
Router(config-if)# end

Verifikation und Troubleshooting: Wenn Nachbarn nicht „FULL“ werden

Auth-Probleme äußern sich typischerweise so: Nachbarn bleiben DOWN/INIT, gehen nicht auf FULL oder flappen. Prüfe Auth-Typ, Key-ID/Secret und Logs.

Interface-OSPF-Details prüfen

Router# show ip ospf interface gigabitEthernet0/1
Router# show ip ospf neighbor

Logs nach Auth-Hinweisen durchsuchen

Router# show logging | include OSPF|AUTH|MD5

Typische Ursachen

• Auth-Typ mismatch (einer MD5, anderer Simple/None)
• Key-ID unterschiedlich oder Secret falsch
• Area-Auth aktiviert, aber auf einem Interface fehlt der Key
• Passive Interface auf Transitlink (keine Hellos)

Best Practices: OSPF-Auth betriebssicher umsetzen

Mit ein paar Standards bleibt OSPF-Authentifizierung wartbar und verhindert unnötige Outages.

• Transitlinks immer mit Message-Digest absichern
• Keys nicht auf Access-LANs verteilen, wenn dort keine Nachbarn nötig sind
• Key-Rotation planen (zweiter Key, dann alter raus)
• Dokumentation: welche Links, welche Key-ID, Rollout-Datum
• Nach Changes: show ip ospf neighbor und Logs prüfen

Konfiguration speichern

Wenn Nachbarschaften stabil sind und Routing wie erwartet funktioniert, speichere die Konfiguration.

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.