OSPF-Security: Authentication, Passive Interfaces und Area Hygiene

Die Sicherheit von OSPF in produktiven Netzwerken ist entscheidend, um Routing-Manipulationen, unerwünschte Nachbarn oder Instabilitäten zu verhindern. Grundlegende Maßnahmen umfassen Authentifizierung, das Setzen passiver Interfaces auf nicht genutzten Ports sowie die konsequente Pflege der OSPF-Areas, um eine saubere und sichere Routing-Domain zu gewährleisten.

OSPF-Authentifizierung

Die Authentifizierung stellt sicher, dass nur autorisierte Router OSPF-Nachbarschaften aufbauen können. Cisco-Router unterstützen Klartext- und MD5-Authentifizierung, wobei MD5 aufgrund der höheren Sicherheit bevorzugt wird.

MD5-Authentifizierung konfigurieren

interface GigabitEthernet0/0
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 SehrStarkesPasswort
router ospf 1
 network 10.0.0.0 0.0.0.255 area 0

• Jeder OSPF-Bereich sollte eine eigene Authentifizierung haben
• Verhindert, dass unautorisierte Geräte Routen injecten
• MD5 schützt vor Replay- und Man-in-the-Middle-Angriffen

Passive Interfaces

Nicht benötigte Interfaces sollten passiv geschaltet werden, damit sie keine OSPF-Nachbarn akzeptieren und keinen unnötigen LSA-Traffic generieren.

Passive Interfaces konfigurieren

router ospf 1
 passive-interface default
 no passive-interface GigabitEthernet0/0

• Alle Interfaces standardmäßig passiv setzen
• Nur produktive Links explizit aktivieren
• Reduziert Angriffsfläche und unnötigen OSPF-Traffic

Area-Hygiene

Die Konsistenz und Sicherheit von OSPF-Areas ist wichtig, um Routing-Loops, unerwartetes LSA-Flapping und Manipulation zu vermeiden.

Best Practices für OSPF-Areas

• Nur notwendige Interfaces in einem Area einbinden
• Stub- oder Totally Stubby-Areas für Remote-Sites nutzen, wenn möglich
• LSA-Typen kontrollieren und auf minimal erforderliche beschränken
• Netzwerke dokumentieren und Änderungen auditieren
• OSPF-Timers anpassen, um Stabilität zu erhöhen und DoS-Anfälligkeit zu reduzieren

Monitoring und Logging

logging host 10.10.10.200
service timestamps log datetime msec localtime
snmp-server enable traps ospf

• Auditierbarkeit und Monitoring aller OSPF-Ereignisse
• Früherkennung von Manipulationsversuchen oder Instabilitäten
• Integration in zentrale NMS- oder SIEM-Systeme

Praxisbeispiel CLI-Zusammenfassung

! MD5-Authentifizierung
interface GigabitEthernet0/0
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 SehrStarkesPasswort
router ospf 1
 network 10.0.0.0 0.0.0.255 area 0
! Passive Interfaces

router ospf 1

passive-interface default

no passive-interface GigabitEthernet0/0
! Area-Hygiene & Dokumentation

! Nur notwendige Interfaces in Area 0

! Nutzung von Stub-Areas für Remote-Sites
! Monitoring & Logging

logging host 10.10.10.200

service timestamps log datetime msec localtime

snmp-server enable traps ospf

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.