Routing-Protokoll-Hardening ist ein entscheidender Bestandteil der Netzwerksicherheit in produktiven Umgebungen. OSPF und BGP sind zentrale Protokolle für Routing-Entscheidungen, und fehlerhafte oder unsichere Konfigurationen können zu Manipulationen, Instabilitäten oder Sicherheitsvorfällen führen. Durch gezielte Hardening-Maßnahmen lassen sich Authentifizierung, Filterung und Stabilität der Routing-Protokolle verbessern.
Grundprinzipien des Routing-Protocol-Hardenings
- Authentifizierung: Sicherstellen, dass nur autorisierte Router Routen austauschen können
- Filterung: Prefix-Listen und Route-Maps zur Begrenzung der ausgetauschten Routen
- Stabilität: Timers, Hold-Times und BGP-Session-Optionen anpassen, um Flapping zu verhindern
- Monitoring: Logging und SNMP-Traps aktivieren, um Änderungen oder Anomalien zu erkennen
- Least-Privilege-Prinzip: Nur notwendige Nachbarn und Interfaces für Routing aktivieren
OSPF-Hardening
1. Authentifizierung einrichten
OSPF unterstützt Klartext- und MD5-Authentifizierung:
interface GigabitEthernet0/0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SehrStarkesPasswort
router ospf 1
network 10.0.0.0 0.0.0.255 area 0- MD5 bietet stärkeren Schutz gegen Replay- und Manipulationsangriffe
- Jeder OSPF-Bereich sollte separat authentifiziert werden
2. Passive Interfaces
Nicht benötigte Interfaces sollten auf passiv gesetzt werden, um OSPF-Nachbarn nicht zu akzeptieren:
router ospf 1
passive-interface default
no passive-interface GigabitEthernet0/0- Verhindert unerwünschte OSPF-Nachbarn auf ungenutzten Interfaces
- Reduziert Angriffsfläche und Broadcast-Traffic
BGP-Hardening
1. Neighbor-Authentifizierung
BGP-Session mit MD5 absichern:
router bgp 65001
neighbor 192.0.2.2 remote-as 65002
neighbor 192.0.2.2 password SehrStarkesBGPKey- Schützt BGP-Sessions gegen Hijacking oder falsche Updates
- Nur autorisierte Router können die Session aufbauen
2. Prefix- und Route-Filter
Nur autorisierte Routen empfangen oder senden:
ip prefix-list ALLOWED-ROUTES seq 5 permit 10.0.0.0/24
route-map FILTER-IN permit 10
match ip address prefix-list ALLOWED-ROUTES
router bgp 65001
neighbor 192.0.2.2 route-map FILTER-IN in- Verhindert, dass unerwünschte oder falsche Routen übernommen werden
- Schützt vor Route-Leaks und Routing-Injection
Monitoring und Logging
logging host 10.10.10.200
service timestamps log datetime msec localtime
snmp-server enable traps ospf bgp- Erkennt BGP-Session-Abbrüche oder OSPF-Flapping
- Auditierbar für Compliance und Incident Response
- Integration in zentrale NMS oder SIEM-Systeme
Best Practices
- Nur benötigte Interfaces und Nachbarn aktivieren
- OSPF MD5-Authentifizierung für alle Bereiche
- BGP-Neighbor-Passwörter setzen und nur autorisierte AS zulassen
- Prefix-Listen und Route-Maps konsequent einsetzen
- Monitoring, Logging und SNMP-Traps aktivieren
- Regelmäßige Überprüfung und Tests der Routing-Konfiguration
Praxisbeispiel CLI-Zusammenfassung
! OSPF-Hardening
interface GigabitEthernet0/0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 SehrStarkesPasswort
router ospf 1
network 10.0.0.0 0.0.0.255 area 0
passive-interface default
no passive-interface GigabitEthernet0/0
! BGP-Hardening
router bgp 65001
neighbor 192.0.2.2 remote-as 65002
neighbor 192.0.2.2 password SehrStarkesBGPKey
ip prefix-list ALLOWED-ROUTES seq 5 permit 10.0.0.0/24
route-map FILTER-IN permit 10
match ip address prefix-list ALLOWED-ROUTES
neighbor 192.0.2.2 route-map FILTER-IN in
! Monitoring & Logging
logging host 10.10.10.200
service timestamps log datetime msec localtime
snmp-server enable traps ospf bgp
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
