Routing-Protokolle wie OSPF sind essenziell für den dynamischen Austausch von Routing-Informationen in Unternehmensnetzwerken. Unzureichend gesicherte OSPF-Implementierungen können jedoch zu Manipulationen, unautorisierten Routenänderungen oder Denial-of-Service führen. Die Absicherung von OSPF umfasst Authentifizierung, das Konfigurieren von passiven Interfaces und das gezielte Filtern von Routen. Dieser Leitfaden beschreibt praxisnah die wichtigsten Maßnahmen zur Härtung von OSPF auf Cisco-Routern.
OSPF-Authentifizierung
Die Authentifizierung verhindert, dass unautorisierte Router Routing-Updates einspeisen. OSPF unterstützt einfache Passwörter (plaintext) und MD5-Authentifizierung.
MD5-Authentifizierung aktivieren
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip ospf authentication message-digest
Router(config-if)# ip ospf message-digest-key 1 md5 - Jeder Router im OSPF-Bereich muss den gleichen Key verwenden
- Starke, komplexe Passwörter wählen
- Regelmäßige Key-Rotation zur Minimierung von Risiken
Passive Interfaces konfigurieren
Interfaces, die keine OSPF-Nachbarn haben, sollten passiv geschaltet werden. Dadurch werden keine OSPF-Hellopakete gesendet, was die Angriffsfläche reduziert.
Router(config)# router ospf 1
Router(config-router)# passive-interface GigabitEthernet0/1
Router(config-router)# passive-interface default
Router(config-router)# no passive-interface GigabitEthernet0/0- Alle ungenutzten Interfaces standardmäßig passiv setzen
- Nur Interfaces mit echten OSPF-Nachbarn aktiv lassen
- Reduziert Risiko von OSPF-Angriffen über ungenutzte Links
Routen-Filtering mit Distribute Lists
Routen sollten gezielt gefiltert werden, um nur autorisierte Netzwerke in OSPF weiterzugeben.
Router(config)# access-list 10 permit 192.168.10.0 0.0.0.255
Router(config)# access-list 10 permit 10.0.0.0 0.0.0.255
Router(config)# router ospf 1
Router(config-router)# distribute-list 10 in
Router(config-router)# distribute-list 10 out- Nur notwendige Netzwerke zulassen
- Unbeabsichtigte oder externe Routen blockieren
- Distribute Lists für eingehende und ausgehende Updates nutzen
OSPF Area-Typen und Sicherheit
Die Wahl des Area-Typs kann ebenfalls die Sicherheit beeinflussen. Stub- und Not-So-Stubby Areas (NSSA) begrenzen Routing-Updates und reduzieren Angriffsflächen.
Router(config)# router ospf 1
Router(config-router)# area 1 stub
Router(config-router)# area 2 nssa- Stub-Areas nur notwendige Routen weitergeben
- NSSA für teilnehmende Bereiche ohne vollständige externe Routen
- Angriffsfläche für OSPF-Attacken minimieren
Monitoring und Logging
Regelmäßige Überwachung von OSPF sichert die Nachvollziehbarkeit und erkennt unautorisierte Änderungen frühzeitig.
Router# show ip ospf neighbor
Router# show ip ospf interface
Router# debug ip ospf adj
Router# show logging- OSPF-Nachbarschaften überwachen
- Debug nur temporär im Produktionsnetz einsetzen
- Logs zentral sammeln für Audit-Zwecke
Zusätzliche Best Practices
- OSPF nur auf benötigten Interfaces aktivieren
- AAA und Management VRFs für administrative Zugriffe nutzen
- Idle-Timeouts und Session-Limits auf VTY- und Console-Lines konfigurieren
- Regelmäßige Überprüfung der OSPF-Authentifizierung und Key-Rotation
- Interface Security wie Shutdown unbenutzter Ports und ACLs kombinieren
- Dokumentation aller OSPF-Konfigurationen für interne Audits
Fazit zur OSPF-Härtung
Durch Authentifizierung, passive Interfaces und gezieltes Filtering lässt sich die Angriffsfläche von OSPF erheblich reduzieren. Kombiniert mit Monitoring, Logging und Management-VRFs entsteht ein sicherer, auditfähiger OSPF-Betrieb, der gleichzeitig den Netzwerkbetrieb stabil hält.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
