Routing-Protocol-Hardening: Grundprinzipien für OSPF/BGP in Production

Routing-Protokoll-Hardening ist ein entscheidender Bestandteil der Netzwerksicherheit in produktiven Umgebungen. OSPF und BGP sind zentrale Protokolle für Routing-Entscheidungen, und fehlerhafte oder unsichere Konfigurationen können zu Manipulationen, Instabilitäten oder Sicherheitsvorfällen führen. Durch gezielte Hardening-Maßnahmen lassen sich Authentifizierung, Filterung und Stabilität der Routing-Protokolle verbessern.

Grundprinzipien des Routing-Protocol-Hardenings

• Authentifizierung: Sicherstellen, dass nur autorisierte Router Routen austauschen können
• Filterung: Prefix-Listen und Route-Maps zur Begrenzung der ausgetauschten Routen
• Stabilität: Timers, Hold-Times und BGP-Session-Optionen anpassen, um Flapping zu verhindern
• Monitoring: Logging und SNMP-Traps aktivieren, um Änderungen oder Anomalien zu erkennen
• Least-Privilege-Prinzip: Nur notwendige Nachbarn und Interfaces für Routing aktivieren

OSPF-Hardening

1. Authentifizierung einrichten

OSPF unterstützt Klartext- und MD5-Authentifizierung:

interface GigabitEthernet0/0
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 SehrStarkesPasswort
 router ospf 1
 network 10.0.0.0 0.0.0.255 area 0

• MD5 bietet stärkeren Schutz gegen Replay- und Manipulationsangriffe
• Jeder OSPF-Bereich sollte separat authentifiziert werden

2. Passive Interfaces

Nicht benötigte Interfaces sollten auf passiv gesetzt werden, um OSPF-Nachbarn nicht zu akzeptieren:

router ospf 1
 passive-interface default
 no passive-interface GigabitEthernet0/0

• Verhindert unerwünschte OSPF-Nachbarn auf ungenutzten Interfaces
• Reduziert Angriffsfläche und Broadcast-Traffic

BGP-Hardening

1. Neighbor-Authentifizierung

BGP-Session mit MD5 absichern:

router bgp 65001
 neighbor 192.0.2.2 remote-as 65002
 neighbor 192.0.2.2 password SehrStarkesBGPKey

• Schützt BGP-Sessions gegen Hijacking oder falsche Updates
• Nur autorisierte Router können die Session aufbauen

2. Prefix- und Route-Filter

Nur autorisierte Routen empfangen oder senden:

ip prefix-list ALLOWED-ROUTES seq 5 permit 10.0.0.0/24
route-map FILTER-IN permit 10
 match ip address prefix-list ALLOWED-ROUTES
router bgp 65001
 neighbor 192.0.2.2 route-map FILTER-IN in

• Verhindert, dass unerwünschte oder falsche Routen übernommen werden
• Schützt vor Route-Leaks und Routing-Injection

Monitoring und Logging

logging host 10.10.10.200
service timestamps log datetime msec localtime
snmp-server enable traps ospf bgp

• Erkennt BGP-Session-Abbrüche oder OSPF-Flapping
• Auditierbar für Compliance und Incident Response
• Integration in zentrale NMS oder SIEM-Systeme

Best Practices

• Nur benötigte Interfaces und Nachbarn aktivieren
• OSPF MD5-Authentifizierung für alle Bereiche
• BGP-Neighbor-Passwörter setzen und nur autorisierte AS zulassen
• Prefix-Listen und Route-Maps konsequent einsetzen
• Monitoring, Logging und SNMP-Traps aktivieren
• Regelmäßige Überprüfung und Tests der Routing-Konfiguration

Praxisbeispiel CLI-Zusammenfassung

! OSPF-Hardening
interface GigabitEthernet0/0
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 SehrStarkesPasswort
router ospf 1
 network 10.0.0.0 0.0.0.255 area 0
 passive-interface default
 no passive-interface GigabitEthernet0/0
! BGP-Hardening

router bgp 65001

neighbor 192.0.2.2 remote-as 65002

neighbor 192.0.2.2 password SehrStarkesBGPKey

ip prefix-list ALLOWED-ROUTES seq 5 permit 10.0.0.0/24

route-map FILTER-IN permit 10

match ip address prefix-list ALLOWED-ROUTES

neighbor 192.0.2.2 route-map FILTER-IN in
! Monitoring & Logging

logging host 10.10.10.200

service timestamps log datetime msec localtime

snmp-server enable traps ospf bgp

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.