Die Sicherheit von Cisco-Routern ist ein zentraler Faktor für stabile und sichere Netzwerke, insbesondere vor dem produktiven Einsatz. Ein gründliches Hardening stellt sicher, dass Geräte gegen unbefugten Zugriff, Fehlkonfigurationen und Angriffe geschützt sind. Dieser Leitfaden listet 25 essenzielle Hardening-Checkpoints auf, die vor dem Go-Live umgesetzt werden sollten, um eine solide Baseline-Security zu gewährleisten.
1. Zugangskontrolle
- Enable-Passwort verschlüsseln:
Router(config)# enable secret Router(config)# username admin privilege 15 secret Router(config)# line console 0
Router(config-line)# login local
Router(config-line)# exec-timeout 5 0
Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# transport input ssh
2. Remote-Zugriff absichern
- SSH statt Telnet verwenden
Router(config)# crypto key generate rsa modulus 2048
Router(config)# ip domain-name example.comRouter(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# line vty 0 4
Router(config-line)# access-class 10 in3. Passwort- und Verschlüsselungspolitik
- Passwortverschlüsselung aktivieren:
Router(config)# service password-encryption4. Unnötige Dienste deaktivieren
- HTTP-Server deaktivieren:
Router(config)# no ip http serverRouter(config)# no cdp run5. Interface-Härtung
- Unbenutzte Interfaces herunterfahren:
Router(config)# interface FastEthernet0/1
Router(config-if)# shutdownRouter(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 100 in6. Routing-Protokolle absichern
- Nur auf vertrauenswürdigen Interfaces aktivieren
- Authentifizierung konfigurieren:
Router(config)# router ospf 1
Router(config-router)# area 0 authentication message-digest
Router(config-router)# ip ospf message-digest-key 1 md5 7. Logging und Monitoring
- Syslog-Server konfigurieren:
Router(config)# logging 192.168.1.10
Router(config)# logging trap informational
Router(config)# logging onRouter(config)# aaa new-model
Router(config)# aaa authentication login default group radius local
Router(config)# aaa authorization exec default group radius local8. Zeit- und Session-Management
- Session-Timeouts konfigurieren:
Router(config-line)# exec-timeout 10 09. Backup und Recovery
- Running-Config sichern:
Router# copy running-config tftp
Address or name of remote host []? 192.168.1.100
Destination filename [running-config]? router-backup.cfg10. NAT und Firewall-Härtung
- Nur notwendige NAT-Regeln aktivieren
- Firewall-ACLs zur Absicherung von Schnittstellen einsetzen
11. SNMP absichern
- Nur SNMPv3 verwenden, Community-Strings vermeiden:
Router(config)# snmp-server group SECURE v3 priv
Router(config)# snmp-server user netadmin SECURE v3 auth sha priv aes 128 12. NTP absichern
- Nur vertrauenswürdige NTP-Server erlauben:
Router(config)# ntp server 192.168.1.20 prefer
Router(config)# ntp authenticate
Router(config)# ntp authentication-key 1 md5
Router(config)# ntp trusted-key 113. Unicast-Routing filtern
- Nur gewünschte Subnetze routen
- Route-Maps für Filterung nutzen
14. IP- und Subnetting-Kontrolle
Eine konsistente IP-Adressplanung verhindert Konflikte und erleichtert ACL-Anwendung.
Subnetzbeispiel
Ein Netzwerk 192.168.20.0/24 soll in 4 Subnetze aufgeteilt werden:
NeueSubnetzmaske:
24 + 2 = 26
Subnetze:
192.168.20.0/26, 192.168.20.64/26, 192.168.20.128/26, 192.168.20.192/26
15. Logging-Levels definieren
- Nur notwendige Events protokollieren, um Syslog nicht zu überlasten
16. Control Plane Security
- CPPr (Control Plane Policing) aktivieren, um CPU-Überlastung zu verhindern
17. DHCP-Härtung
- DHCP-Snooping für vertrauenswürdige Ports aktivieren
- IP-Source-Guard gegen Spoofing einsetzen
18. ARP-Sicherheit
- Dynamic ARP Inspection auf VLANs aktivieren
19. VLAN-Härtung
- Native VLAN auf ungenutzte VLANs setzen
- Trunk-Ports absichern
20. QoS- und Traffic-Shaping
- Nur für legitimen Datenverkehr konfigurieren
- Control Plane Traffic priorisieren
21. Backup-Interfaces absichern
- Unbenutzte Interfaces administrativ herunterfahren
- Redundante Pfade überwachen
22. IPv6-Härtung
- Nur notwendige IPv6-Adressen aktivieren
- ICMPv6-Filter einsetzen
23. Physical Security
- Racks abschließen
- Nur autorisiertes Personal Zugriff gewähren
24. Sicherheits-Audits
- Regelmäßige Konfigurationsprüfungen
- Penetrationstests auf Router-Ebene durchführen
25. Dokumentation
- Alle Konfigurationen, ACLs, Benutzerkonten und Passwörter dokumentieren
- Change-Management einhalten
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.