Routing-Protokolle absichern (OSPF): Authentication, Passive Interfaces und Filtering

Routing-Protokolle wie OSPF sind essenziell für den dynamischen Austausch von Routing-Informationen in Unternehmensnetzwerken. Unzureichend gesicherte OSPF-Implementierungen können jedoch zu Manipulationen, unautorisierten Routenänderungen oder Denial-of-Service führen. Die Absicherung von OSPF umfasst Authentifizierung, das Konfigurieren von passiven Interfaces und das gezielte Filtern von Routen. Dieser Leitfaden beschreibt praxisnah die wichtigsten Maßnahmen zur Härtung von OSPF auf Cisco-Routern.

OSPF-Authentifizierung

Die Authentifizierung verhindert, dass unautorisierte Router Routing-Updates einspeisen. OSPF unterstützt einfache Passwörter (plaintext) und MD5-Authentifizierung.

MD5-Authentifizierung aktivieren

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip ospf authentication message-digest
Router(config-if)# ip ospf message-digest-key 1 md5 

• Jeder Router im OSPF-Bereich muss den gleichen Key verwenden
• Starke, komplexe Passwörter wählen
• Regelmäßige Key-Rotation zur Minimierung von Risiken

Passive Interfaces konfigurieren

Interfaces, die keine OSPF-Nachbarn haben, sollten passiv geschaltet werden. Dadurch werden keine OSPF-Hellopakete gesendet, was die Angriffsfläche reduziert.

Router(config)# router ospf 1
Router(config-router)# passive-interface GigabitEthernet0/1
Router(config-router)# passive-interface default
Router(config-router)# no passive-interface GigabitEthernet0/0

• Alle ungenutzten Interfaces standardmäßig passiv setzen
• Nur Interfaces mit echten OSPF-Nachbarn aktiv lassen
• Reduziert Risiko von OSPF-Angriffen über ungenutzte Links

Routen-Filtering mit Distribute Lists

Routen sollten gezielt gefiltert werden, um nur autorisierte Netzwerke in OSPF weiterzugeben.

Router(config)# access-list 10 permit 192.168.10.0 0.0.0.255
Router(config)# access-list 10 permit 10.0.0.0 0.0.0.255
Router(config)# router ospf 1
Router(config-router)# distribute-list 10 in
Router(config-router)# distribute-list 10 out

• Nur notwendige Netzwerke zulassen
• Unbeabsichtigte oder externe Routen blockieren
• Distribute Lists für eingehende und ausgehende Updates nutzen

OSPF Area-Typen und Sicherheit

Die Wahl des Area-Typs kann ebenfalls die Sicherheit beeinflussen. Stub- und Not-So-Stubby Areas (NSSA) begrenzen Routing-Updates und reduzieren Angriffsflächen.

Router(config)# router ospf 1
Router(config-router)# area 1 stub
Router(config-router)# area 2 nssa

• Stub-Areas nur notwendige Routen weitergeben
• NSSA für teilnehmende Bereiche ohne vollständige externe Routen
• Angriffsfläche für OSPF-Attacken minimieren

Monitoring und Logging

Regelmäßige Überwachung von OSPF sichert die Nachvollziehbarkeit und erkennt unautorisierte Änderungen frühzeitig.

Router# show ip ospf neighbor
Router# show ip ospf interface
Router# debug ip ospf adj
Router# show logging

• OSPF-Nachbarschaften überwachen
• Debug nur temporär im Produktionsnetz einsetzen
• Logs zentral sammeln für Audit-Zwecke

Zusätzliche Best Practices

• OSPF nur auf benötigten Interfaces aktivieren
• AAA und Management VRFs für administrative Zugriffe nutzen
• Idle-Timeouts und Session-Limits auf VTY- und Console-Lines konfigurieren
• Regelmäßige Überprüfung der OSPF-Authentifizierung und Key-Rotation
• Interface Security wie Shutdown unbenutzter Ports und ACLs kombinieren
• Dokumentation aller OSPF-Konfigurationen für interne Audits

Fazit zur OSPF-Härtung

Durch Authentifizierung, passive Interfaces und gezieltes Filtering lässt sich die Angriffsfläche von OSPF erheblich reduzieren. Kombiniert mit Monitoring, Logging und Management-VRFs entsteht ein sicherer, auditfähiger OSPF-Betrieb, der gleichzeitig den Netzwerkbetrieb stabil hält.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.