Die Sicherheit von OSPF-Nachbarschaften ist entscheidend, um unerwünschte oder bösartige Router-Adjazenzen zu verhindern. Rogue Adjacencies oder fehlerhafte Konfigurationen können zu Routing-Loops, Instabilitäten oder sogar Übernahme des Routing-Domains führen. Ein strukturiertes Hardening kombiniert Authentifizierung, Neighbor-Restriktionen, Interface-Isolation und Monitoring.
Grundlagen der OSPF Neighbor Security
- Authentifizierung: Sicherstellen, dass nur autorisierte Router OSPF-Nachbarn aufbauen können
- Passive Interfaces: Nicht benötigte Interfaces deaktivieren, um unerwünschte Adjacencies zu verhindern
- Area-Hygiene: Saubere Strukturierung der OSPF-Areas reduziert Fehlkonfigurationen
- Monitoring: Frühzeitige Erkennung abnormaler Neighbor-Beziehungen
Authentifizierung für Nachbarn
1. MD5-Authentifizierung konfigurieren
interface GigabitEthernet0/0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 StarkesPasswort123
router ospf 1
network 10.0.0.0 0.0.0.255 area 0- MD5 verhindert Replay- und Man-in-the-Middle-Angriffe
- Jede Area sollte eine separate Authentifizierung haben
- Nur autorisierte Router können Adjacencies aufbauen
Passive Interfaces und Neighbor-Beschränkung
1. Passive Interfaces
router ospf 1
passive-interface default
no passive-interface GigabitEthernet0/0- Reduziert unerwünschte OSPF-Nachbarn auf ungenutzten Ports
- Verhindert Rogue Adjacencies
2. Neighbor-Restriktionen
interface GigabitEthernet0/0
ip ospf network point-to-point
ip ospf priority 1
neighbor 10.0.0.2- Nur spezifische Nachbarn erlauben
- Verhindert, dass ein unbekannter Router eine Adjacency aufbaut
- Hilft bei stabilen Point-to-Point-Verbindungen
Area-Hygiene und Topologie-Prüfung
- Nur notwendige Interfaces in einer Area
- Stub- oder Totally-Stubby-Areas für Remote-Sites nutzen
- Regelmäßige Überprüfung der LSA-Datenbank auf unerwartete Nachbarn
- Dokumentation aller Changes und OSPF-Nachbarn
Monitoring und Logging
logging host 10.10.10.200
service timestamps log datetime msec localtime
snmp-server enable traps ospf- Früherkennung unerwarteter Neighbor-Beziehungen
- Auditierbarkeit für Compliance
- Integration in zentrale NMS oder SIEM-Systeme
CoPP und CPU-Schutz
class-map match-any CONTROL-PLANE
match protocol ospf
policy-map CONTROL-PLANE-POLICY
class CONTROL-PLANE
police 50000 800 conform-action transmit exceed-action drop
control-plane
service-policy input CONTROL-PLANE-POLICY- Schützt Router vor Überlastungen durch Rogue LSAs
- Begrenzt OSPF-Traffic auf die CPU
Best Practices
- MD5-Authentifizierung für alle OSPF-Interfaces
- Passive Interfaces auf allen ungenutzten Ports
- Neighbor-Restriktionen für kritische Links
- Regelmäßige Topologie- und LSA-Überprüfung
- Monitoring, Logging und Alerts aktivieren
- CoPP oder Rate-Limits auf OSPF-Traffic
Praxisbeispiel CLI-Zusammenfassung
! OSPF Authentifizierung
interface GigabitEthernet0/0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 StarkesPasswort123
router ospf 1
network 10.0.0.0 0.0.0.255 area 0
! Passive Interfaces
router ospf 1
passive-interface default
no passive-interface GigabitEthernet0/0
! Neighbor Restriktionen
interface GigabitEthernet0/0
ip ospf network point-to-point
ip ospf priority 1
neighbor 10.0.0.2
! Monitoring & Logging
logging host 10.10.10.200
service timestamps log datetime msec localtime
snmp-server enable traps ospf
! CoPP für OSPF Traffic
class-map match-any CONTROL-PLANE
match protocol ospf
policy-map CONTROL-PLANE-POLICY
class CONTROL-PLANE
police 50000 800 conform-action transmit exceed-action drop
control-plane
service-policy input CONTROL-PLANE-POLICY
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
