Routing Security fürs Enterprise: Prefix Filtering und Policy Hygiene

Routing Security fürs Enterprise ist längst kein reines Provider-Thema mehr. Moderne Unternehmensnetze hängen an mehreren Upstreams, nutzen MPLS/SD-WAN-Underlays, Cloud-Interconnects, Partneranbindungen und teils sogar eigenes BGP am Edge. In diesem Umfeld reicht „läuft schon“ nicht aus: Ein einzelnes falsch akzeptiertes Präfix, ein zu großzügiges Routing-Policy-Template oder ein fehlender Max-Prefix-Guard kann zu Blackholing, Umwegen, Datenabfluss über unerwünschte Pfade oder großflächigen Ausfällen führen. Das Hauptkeyword Routing Security fürs Enterprise steht deshalb für eine Kombination aus technischem Filtering, sauberer Policy Hygiene und betriebsfesten Prozessen. Im Kern geht es um zwei Disziplinen: Prefix Filtering (nur Routen akzeptieren und weitergeben, die wirklich sein dürfen) und Policy Hygiene (Routing-Policies konsistent, nachvollziehbar und änderungssicher betreiben). Dieser Artikel zeigt, wie Sie als Enterprise pragmatisch vorgehen: vom Minimal-Set an Filtern bis hin zu robusten Review- und Automatisierungsprinzipien, die auch bei Wachstum und häufigen Changes stabil bleiben.

Bedrohungsbild im Enterprise: Warum Routing-Fehler so teuer sind

Enterprise-Netze sind typischerweise nicht „das Internet“, aber sie sind heute stark internetnah: Multi-Provider, Cloud-Egress, Remote-Standorte, externe Partner und Security-Services schaffen viele Ein- und Ausstiegspunkte. Routing-Incidents entstehen dabei oft nicht durch „Hacker“, sondern durch Fehlkonfigurationen und unsaubere Policies. Trotzdem sind die Auswirkungen vergleichbar mit Sicherheitsereignissen: Traffic landet beim falschen Hop, wird verworfen oder nimmt Umwege, die Latenz und Loss erhöhen.

• Falsche Route akzeptiert: Ein zu breites Prefix-Set oder fehlende Filter lassen Routen zu, die Sie nie sehen sollten.
• Interner Leak: Routen aus einer Zone/VRF werden versehentlich in eine andere exportiert.
• Default-Route-Missbrauch: Eine ungewollt übernommene 0.0.0.0/0 oder ::/0 zieht Traffic in die falsche Richtung.
• Partner-/Provider-Fehler: Ein Downstream leakt interne Prefixes oder „transitiert“ Routen, die er nicht transitieren darf.

Routing Security heißt daher: weniger Vertrauen, mehr Beweis. Alles, was Sie annehmen, wird als Policy umgesetzt und technisch erzwungen.

Prefix Filtering: Das Fundament – und der häufigste Quick Win

Prefix Filtering ist der effektivste Einstieg, weil es direkt an der Eintrittstür ansetzt: Welche Präfixe dürfen von welchem Peer überhaupt kommen? Im Enterprise-Betrieb ist das meistens klarer als im Carrier-Backbone: Sie haben eine überschaubare Menge an Prefixes (eigene, Cloud, Partner, Provider-Spezifika) und können daraus saubere Allow-Lists bauen.

Ingress-Filter: Was Sie akzeptieren

Am Peering/Upstream-Ingress sollten Sie mindestens drei Filterklassen implementieren:

• Own-Prefix Protection: Eigene Präfixe sollten nur dort akzeptiert werden, wo es fachlich vorgesehen ist (z. B. von DDoS-Scrubbing oder bestimmten Interconnects). Von normalen Upstreams kann das ein Warnsignal sein.
• Expected Prefixes: Von Partnern und privaten Interconnects akzeptieren Sie idealerweise nur die explizit vereinbarten Präfixe.
• Martians & Bogons: Nicht-routbare, reservierte oder offensichtlich falsche Netze werden grundsätzlich verworfen.

Für praxisnahe Hintergrundinformationen zu Best Practices rund um Filtering und Routing-Sicherheit ist MANRS (Mutually Agreed Norms for Routing Security) eine hilfreiche Referenz, weil dort technische und organisatorische Maßnahmen zusammengeführt werden.

Egress-Filter: Was Sie announcen

Mindestens genauso wichtig ist die Ausgangsseite: Was geben Sie an Upstreams/Partner weiter? Egress-Filtering verhindert, dass Sie selbst zum „Leaker“ werden. Eine robuste Enterprise-Policy lautet:

• Nur autorisierte Präfixe announcen: Eigene Prefix-Liste als Source of Truth, keine „wildcards“.
• Keine Transit-Weitergabe: Partner- oder Provider-Routen nicht ungeprüft weiterreichen.
• Deaggregation kontrollieren: Spezifische Routen nur dort und nur so lang wie notwendig (Traffic Engineering, Anycast, Failover).

Policy Hygiene: Warum „saubere Policies“ mehr sind als schöne Konfig

Unter Policy Hygiene versteht man die Gesamtheit aus konsistenten Regeln, klaren Verantwortlichkeiten und wiederholbaren Standards. In Routing-Kontexten bedeutet das: Jede Policy muss nachvollziehbar sein, jede Ausnahme muss begründet sein, und jede Änderung muss kontrolliert und testbar erfolgen.

• Klarer Policy-Baukasten: Standardisierte Route-Maps/Policies für Upstream, Partner, Site-to-Site, Cloud, DDoS.
• Namenskonventionen: Präfix-Listen, Communities, Policy-Sets und Peer-Gruppen konsistent benennen.
• Dokumentierte Intent: Nicht nur „was“, sondern „warum“ (z. B. welche Business-Verbindung oder Security-Anforderung dahintersteht).
• Änderungsdisziplin: Reviews, Tests, Rollback-Plan, Monitoring-Kriterien.

Ohne Policy Hygiene wird Prefix Filtering mit der Zeit brüchig: Listen wachsen unkontrolliert, Ausnahmen stapeln sich, und die ursprüngliche Sicherheitswirkung verwässert.

Praktische Filter-Blueprints für Enterprise-Edges

Im Folgenden ein praxistaugliches Set an „Minimal-Filtern“, das in vielen Enterprise-Topologien schnell umsetzbar ist.

Martian/Bogon-Filter als Basis

Filtern Sie nicht-routbare Quellen und reservierte Bereiche (z. B. RFC1918 im Internet-Edge-Context, Link-Local, Multicast als unpassender Next-Hop-Kontext). Achten Sie darauf, dass die Filter je nach Szenario angepasst sind: In internen VRFs können RFC1918-Netze natürlich legitim sein; am Internet-Edge sind sie als BGP-Announce in der Regel verdächtig.

Prefix-Limits und Max-Prefix (Safety Rails)

Ein Klassiker zur Vermeidung großflächiger Ausfälle ist Max-Prefix pro Peer. Damit begrenzen Sie, wie viele Routen Sie von einem Nachbarn überhaupt akzeptieren. Der Trick ist, den Schwellenwert nicht „aus dem Bauch“ zu wählen, sondern datenbasiert aus einer Baseline plus Puffer abzuleiten.

Eine einfache Herleitung:

MaxPrefix = Baseline × (1+Puffer)

• Baseline: beobachtete typische Prefix-Anzahl (z. B. 8500 Routen)
• Puffer: Sicherheitszuschlag (z. B. 0,2 für 20 %)

Wichtig: Max-Prefix sollte nicht nur „hart droppen“, sondern zunächst warnen und einen kontrollierten Schutzmechanismus auslösen. Viele Plattformen unterstützen Warnschwellen und harte Schwellen getrennt.

AS-Path- und Peer-Policy-Kontrollen

Prefix-Listen allein reichen nicht immer. Ergänzend hilft es, grundlegende AS-Path-Logik zu prüfen, insbesondere bei Partnern oder Downstreams:

• Downstream sollte sich selbst als Origin zeigen: Wenn ein Kunde plötzlich Routen mit völlig fremden Origins sendet, ist das ein Leak-Indikator.
• Keine unerwarteten Transits: Ein Partner, der plötzlich „Internet-ähnliche“ Route-Mengen sendet, ist ein Warnsignal.
• AS-Path-Sanity: Extrem lange AS-Pfade oder ungewöhnliche Patterns können Indikatoren sein (nicht als alleinige Entscheidung, aber als Signal).

RPKI und Prefix Filtering: Ergänzung statt Ersatz

RPKI/ROV ist eine starke Ergänzung, ersetzt aber klassische Filter nicht. Im Enterprise ist die Kombination ideal:

• Prefix Filtering stellt sicher, dass Sie nur erwartete Routen von erwarteten Nachbarn akzeptieren.
• RPKI/ROV liefert kryptografische Validierung für Origin-Berechtigung (valid/invalid/unknown).

Wenn Sie RPKI einführen oder Ihren Status prüfen möchten, ist ein guter Einstieg die Dokumentation der RIRs, zum Beispiel RIPE NCC: RPKI und ROAs in der Praxis. Für Enterprises mit eigenen öffentlichen Prefixes ist das ein wichtiger Baustein, um Missbrauch und Fehl-Originierung zu reduzieren.

Policy Hygiene in der Praxis: Standards, die Outages verhindern

Viele Routing-Ausfälle passieren nicht bei der „großen“ Architekturentscheidung, sondern bei kleinen Änderungen: ein neues Präfix, eine neue Partneranbindung, ein Cloud-Projekt, das „mal eben“ BGP braucht. Policy Hygiene ist deshalb vor allem Prozess- und Strukturarbeit.

Peer-Klassen definieren (und daran festhalten)

Teilen Sie Peers in wenige, klare Klassen ein, und binden Sie daran Standardpolicies:

• Upstream/Transit: große Routetabellen, strikte Bogon-Filter, Max-Prefix, ROV, Default-Route-Policy nach Bedarf.
• Partner: enge Allow-List der vereinbarten Prefixes, keine Transit-Weitergabe.
• Downstream/Kunde/Standort: nur definierte Standort- oder Tenant-Prefixes, strikte Leak-Prevention.
• Cloud Interconnect: kontrollierte Prefix-Sets, getrennte Policies für Prod/Non-Prod, klare TE-Regeln.

Das reduziert Komplexität: Statt „für jeden Peer eine Sonderlocke“ haben Sie wenige Policy-Schablonen.

Default-Route-Strategie bewusst wählen

Default-Routes sind bequem, aber sicherheitssensibel. Eine gute Policy Hygiene stellt klare Regeln auf:

• Wo ist Default erlaubt? Beispielsweise nur in Branch-VRFs oder in einem dedizierten Internet-VRF.
• Wer darf Default liefern? Idealerweise nur definierte Upstreams, nicht Partner oder interne Domänen.
• Fallback-Mechanik: Wenn Default weg ist, was passiert? Blackhole, Backup-Link, kontrollierter Failover?

Communities, Tags und „Intent“ sichtbar machen

Routing-Policies werden deutlich robuster, wenn Routen „beschriftet“ werden. Nutzen Sie Communities/Tags, um Intent und Herkunft erkennbar zu machen:

• Quelle: Upstream A, Upstream B, Partner X, Cloud Y.
• Verwendungszweck: Prod, Non-Prod, Management, Guest, IoT.
• Behandlung: Prefer/Backup, No-Export, Local-Preference-Klasse, Blackhole (wenn genutzt).

Das erleichtert Troubleshooting, Review und Automatisierung, weil Sie nicht mehr „aus dem AS-Path raten“ müssen, was eine Route ist.

Route-Leaks im Enterprise verhindern: „Policy Hygiene“ als Leak-Schutz

Route Leaks sind nicht nur ein ISP-Problem. Im Enterprise passieren Leaks typischerweise an Übergängen: VRF-Export/Import, Partner-Gateways, Migrationsphasen oder bei „temporären“ Lösungen. Konkrete Maßnahmen:

• Export-Policies als Allow-List: Exportieren Sie nur, was explizit erlaubt ist. Keine „export all“ Defaults.
• Import-Policies restriktiv: Importieren Sie nur, was Sie wirklich benötigen.
• Max-Prefix auch intern: Gerade bei großen Standortnetzen kann ein Leak intern Routing-Tabellen sprengen.
• Route-Maps/Policies versionieren: Jede Änderung muss nachvollziehbar und rücksetzbar sein.

Change- und Review-Workflow: Damit Filtering nicht zum Betriebsrisiko wird

Routing Security scheitert selten an der Idee, sondern an der Umsetzung unter Zeitdruck. Ein produktionssicherer Workflow schafft Tempo und Sicherheit zugleich.

Pre-Change Pflichtfragen

• Welche Prefixes ändern sich? Neu, wegfallend, deaggregiert, migriert.
• Welche Peers sind betroffen? Upstream/Partner/Cloud/Standort – und welche Policy-Schablone gilt?
• Welche Schutzmechanismen greifen? Prefix-List, Max-Prefix, ROV, Communities, Local-Pref.
• Was ist das Rollback? Konfig revert, Prefix-Withdraw, temporäre Depriorisierung statt Drop.

Testen ohne echten Traffic zu gefährden

• Dry-Run/Policy-Simulation: Prüfen, welche Routen nach der Änderung angenommen/abgewiesen würden.
• Staged Rollout: Erst ein Edge/POP, dann ausrollen.
• Beobachtungsfenster: Nach Change definierte KPIs monitoren (Routenanzahl, Latenz, Loss, BGP-Session-Stabilität).

Monitoring und Alarmierung: Routing Security sichtbar machen

Prefix Filtering und Policy Hygiene sind nur so gut wie ihre Überwachung. Im Enterprise sollten Sie Routing-Security-Metriken in NOC und SecOps integrieren.

• Prefix Count pro Peer: Baseline, Anomalie-Detektion, Trend.
• Rejected Routes: Zähler für Drops/Rejects nach Policy-Gründen (Bogon, not-in-prefix-list, ROV invalid).
• BGP Session Health: Flaps, Hold-Timer-Events, Keepalive-Delay.
• Route Churn: Häufige Updates/Withdraws als Indikator für Instabilität oder Fehlkonfig.

Wenn Sie Ihr Routing-Sicherheitsprogramm nach außen „anschlussfähig“ dokumentieren möchten, eignet sich MANRS als Rahmenwerk, weil es konkrete technische Maßnahmen mit organisatorischer Reife verbindet.

Minimaler Startplan: In 30–90 Tagen zu spürbar besserer Routing Security

• Woche 1–2: Peer-Klassen definieren, bestehende Policies inventarisieren, Baselines (Prefix Counts) erfassen.
• Woche 2–4: Ingress-Bogon/Martian-Filter und Max-Prefix-Schutz aktivieren (zunächst warnend), Partner-Prefix-Listen härten.
• Woche 4–8: Egress-Filtering konsequent machen (nur autorisierte Prefixes), Transit-Leaks verhindern, Default-Route-Regeln schärfen.
• Woche 8–12: ROV/RPKI evaluieren und schrittweise einführen, Monitoring/Alerting finalisieren, Change-Review-Checkliste verpflichtend machen.

Das Ergebnis ist weniger „Buzzword Security“, sondern ein operatives Sicherheitsnetz: Prefix Filtering blockt das Offensichtliche, Policy Hygiene verhindert die langsame Erosion durch Ausnahmen, und Monitoring sorgt dafür, dass Abweichungen früh sichtbar werden – bevor aus einer kleinen Fehlroute ein großer Incident wird.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.