Fehlerhafte Routing-Policies können in Unternehmens- und Provider-Netzen zu Blackholes führen, bei denen legitimer Datenverkehr ins Leere geleitet wird. Solche Ausfälle entstehen häufig durch falsch konfigurierte Prefix-Listen, Route-Maps oder Distribute-Lists. Routing-Policy-Security zielt darauf ab, Fehlerquellen zu minimieren, autorisierte Routen korrekt zu propagieren und unerwünschten Traffic zu blockieren. Dieser Leitfaden zeigt praxisorientierte Maßnahmen, um Blackholes zu vermeiden und BGP/OSPF-Routing sicher zu gestalten.
Grundprinzipien der Routing-Policy-Security
Routing-Policy-Security umfasst die Kontrolle über eingehende und ausgehende Routen sowie die Sicherstellung, dass Filter und Regeln keine legitimen Pfade blockieren.
- Präzise Definition erlaubter Netzwerke
- Filter für Ein- und Ausgangsrouten separat konfigurieren
- Überwachung von Routing-Updates zur Fehlererkennung
- Dokumentation und Audits zur Nachvollziehbarkeit
Prefix-Listen korrekt einsetzen
Prefix-Listen verhindern die Annahme oder Weitergabe unerwünschter Routen. Falsch gesetzte Einträge können Blackholes verursachen.
Router(config)# ip prefix-list ALLOWED_IN seq 5 permit 10.0.0.0/8 le 24
Router(config)# ip prefix-list ALLOWED_IN seq 10 permit 192.168.0.0/16 le 24
Router(config)# ip prefix-list ALLOWED_OUT seq 5 permit 172.16.0.0/12 le 24- „le“ begrenzt die maximale Präfixlänge
- Nur bekannte und autorisierte Netze zulassen
- Regelmäßige Prüfung der Prefix-Listen gegen aktuelle Topologie
Route-Maps für granulare Kontrolle
Route-Maps kombinieren Prefix-Listen mit Attributen wie AS-Path, Communities oder Local-Preference, um Routen gezielt zu steuern.
Router(config)# route-map BGP_IN_FILTER permit 10
Router(config-route-map)# match ip address prefix-list ALLOWED_IN
Router(config-route-map)# match as-path 10
Router(config-route-map)# set local-preference 200
Router(config)# route-map BGP_OUT_FILTER permit 10
Router(config-route-map)# match ip address prefix-list ALLOWED_OUT
Router(config-route-map)# set community 65001:100 additive- AS-Path Filter verhindern unautorisierte Routen
- Communities zur Klassifizierung und Weitergabe nutzen
- Lokale Präferenz priorisiert gewünschte Routen
Distribute-Lists gezielt anwenden
Distribute-Lists filtern Routen direkt am Peer-Interface und wirken auf Ein- und Ausgangsrouting.
Router(config)# router bgp 65001
Router(config-router)# neighbor 203.0.113.2 distribute-list ALLOWED_IN in
Router(config-router)# neighbor 203.0.113.2 distribute-list ALLOWED_OUT out- Trennung von Eingangs- und Ausgangsfilterung
- Reduziert Risiko von unbeabsichtigtem Blackholing
- Regelmäßige Überprüfung nach Topologieänderungen
Max-Prefix-Limits
Max-Prefix schützt vor Überflutung der Routing-Tabelle durch fehlerhafte Peers oder Angriffe und verhindert, dass zu viele Routen angenommen werden.
Router(config)# router bgp 65001
Router(config-router)# neighbor 203.0.113.2 maximum-routes 1000
Router(config-router)# neighbor 203.0.113.2 maximum-routes 1000 warning-only- Warnung vor Überschreitung der maximalen Routenanzahl
- Verhindert unbeabsichtigte Blackholes durch Peer-Fehler
- Kombination mit Prefix-Listen und Route-Maps für maximalen Schutz
Monitoring und Audit
Regelmäßiges Monitoring und Audits stellen sicher, dass Routing-Policies korrekt arbeiten und keine legitimen Routen blockiert werden.
Router# show ip bgp neighbors
Router# show ip bgp
Router# show ip bgp community
Router# show access-lists- Drop-Counters und Routing-Updates überwachen
- Ungewöhnliche Routen sofort analysieren
- Audit-Logs für Compliance und Troubleshooting nutzen
Best Practices für produktive Umgebungen
- Nur autorisierte Netzbereiche in Prefix-Listen aufnehmen
- Route-Maps für zusätzliche Attribute wie AS-Path und Community einsetzen
- Max-Prefix-Limits für alle BGP-Peers konfigurieren
- MD5 oder TCP-AO für BGP-Sessions aktivieren
- Monitoring, Logging und AAA aktivieren
- Management VRFs für Admin-Zugriffe nutzen
- Regelmäßige Überprüfung der Prefix-Listen, Route-Maps und Policies
- Backups der Router- und BGP-Konfigurationen erstellen
- Change-Management-Prozess für Policy-Änderungen einhalten
Zusätzliche Empfehlungen
- Testumgebung für Änderungen an Prefix-Listen und Route-Maps nutzen
- Dokumentation aller Routing-Policies für interne Audits
- Redundante BGP-Peers regelmäßig prüfen
- Temporäre Policies nur nach Prüfung produktiv anwenden
- Schulung der Netzwerkadministratoren zur konsequenten Policy-Anwendung
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.