8.3 Sichere Passwort- und Benutzerkonfiguration auf Cisco-Geräten

Eine sichere Passwort- und Benutzerkonfiguration auf Cisco-Geräten ist eine der wichtigsten Grundlagen für den Schutz von Routern, Switches und anderen Netzwerkkomponenten. In der Praxis beginnt Netzwerksicherheit nicht erst bei Firewalls, VPNs oder komplexen Security-Appliances, sondern bei der Frage, wer sich überhaupt am Gerät anmelden darf, mit welchen Rechten diese Anmeldung erfolgt und wie Zugangsdaten gespeichert, übertragen und kontrolliert werden. Gerade in Cisco-Umgebungen ist dieses Thema besonders relevant, weil Netzwerkgeräte zentrale Infrastrukturkomponenten sind. Wer Zugriff auf ein Cisco-Gerät erhält, kann Routing beeinflussen, VLANs verändern, ACLs anpassen, Managementpfade öffnen oder Protokollierung manipulieren. Für CCNA, Netzwerkpraxis und Cybersecurity ist deshalb entscheidend zu verstehen, wie lokale Benutzerkonten, Passwörter, privilegierte Modi und sichere Zugriffsverfahren korrekt konfiguriert werden. Eine saubere Passwort- und Benutzerkonfiguration ist keine kosmetische Maßnahme, sondern ein direkter Schutz vor Fehlbedienung, Missbrauch und unberechtigtem Zugriff.

Warum sichere Zugangskonfiguration auf Cisco-Geräten so wichtig ist

Netzwerkgeräte sind besonders kritische Ziele

Ein Router oder Switch ist nicht einfach nur „ein weiteres IT-System“. Solche Geräte steuern Verkehrsflüsse, segmentieren Netze, verbinden Standorte, ermöglichen Fernzugriffe und tragen häufig auch Sicherheitsregeln. Ein kompromittierter Benutzerzugang auf einem Cisco-Gerät kann daher deutlich schwerwiegendere Folgen haben als ein schwaches Kennwort auf einem einzelnen Endgerät.

• Routing kann manipuliert werden
• VLAN-Zuordnungen können verändert werden
• ACLs und Sicherheitsregeln können gelöscht oder erweitert werden
• Logs und Monitoring können beeinflusst werden
• Managementpfade können geöffnet werden

Genau deshalb müssen Benutzerkonten und Passwörter auf Netzwerkgeräten mit besonderer Sorgfalt behandelt werden.

Unsichere Standardkonfigurationen sind ein reales Risiko

Viele Sicherheitsprobleme entstehen nicht durch hochkomplexe Angriffe, sondern durch einfache Fehlkonfigurationen. Dazu gehören gemeinsame Admin-Konten, schwache Kennwörter, unverschlüsselte Speicherung, Klartextprotokolle wie Telnet oder ein fehlender Unterschied zwischen normalen und privilegierten Zugängen. Gerade in kleineren Umgebungen wird das Thema oft unterschätzt, obwohl es zu den wichtigsten Grundmaßnahmen gehört.

Grundlagen von Benutzerzugriffen auf Cisco-Geräten

Lokale Benutzerkonten und Zeilenzugänge

Auf Cisco-Geräten wird der Zugriff typischerweise über lokale Benutzerkonten, Leitungszugänge und den privilegierten EXEC-Modus gesteuert. Ein Benutzer meldet sich an einer Konsole, über VTY-Leitungen oder über andere Managementpfade an. Danach entscheidet das Gerät, ob und mit welchen Rechten Zugriff gewährt wird.

Wichtige Zugriffselemente sind:

• lokale Benutzerkonten mit Username und Secret
• Konsolenzugang für direkten physischen Zugriff
• VTY-Zugänge für Remote-Management, meist per SSH
• privilegierter EXEC-Modus für administrative Befehle

Diese Elemente müssen sauber zusammenspielen, damit Verwaltung sicher und nachvollziehbar bleibt.

Authentifizierung ist mehr als nur ein Passwortfeld

Ein häufiger Fehler ist, nur an „irgendein Passwort“ zu denken. In Wirklichkeit geht es um mehrere Ebenen: Wer darf sich anmelden, wie wird diese Identität geprüft, welche Rechte erhält sie danach, und wie sicher werden die Zugangsdaten gespeichert? Genau deshalb sollte man Benutzerkonfiguration nie isoliert betrachten, sondern immer zusammen mit Transportprotokollen, AAA und Rollenmodellen.

Warum Klartext-Passwörter vermieden werden müssen

Klartext in Konfigurationen ist ein unnötiges Risiko

Wenn Kennwörter unverschlüsselt oder schwach geschützt in der laufenden oder gespeicherten Konfiguration erscheinen, entsteht ein direktes Sicherheitsproblem. Jeder, der Konfigurationszugriff erhält, Backups einsieht oder auf Dokumentationen mit kopierten Konfigurationsauszügen stößt, kann diese Informationen missbrauchen.

Deshalb sollten grundsätzlich starke geheime Kennwortformen bevorzugt werden, nicht einfache Klartextvarianten.

• Klartextpasswörter sind leicht lesbar
• Backups und Exporte werden unnötig sensibel
• interne Fehlfreigaben führen schneller zu Missbrauch
• Audits und Sicherheitsprüfungen bewerten das negativ

„secret“ ist sicherer als „password“

In Cisco-Konfigurationen ist die Unterscheidung zwischen password und secret besonders wichtig. Das Kommando secret ist grundsätzlich vorzuziehen, weil es für einen stärkeren Schutz vorgesehen ist. Einfache Passwortkonfigurationen ohne Secret-Mechanismus gelten als deutlich schwächer und sollten für privilegierte Zugänge vermieden werden.

Ein typisches Beispiel für die Konfiguration eines lokalen Benutzers ist:

username admin privilege 15 secret MeinStarkesKennwort

Hier wird ein lokaler Benutzer mit administrativem Rechteniveau und einem geschützten Secret angelegt.

Lokale Benutzerkonten sicher konfigurieren

Individuelle Konten statt gemeinsamer Admin-Zugänge

Eine der wichtigsten Grundregeln lautet: Jeder Administrator sollte ein eigenes Konto besitzen. Gemeinsame Logins wie „admin“ für ganze Teams erschweren Nachvollziehbarkeit, Auditierung und Incident Response. Wenn mehrere Personen dieselben Zugangsdaten verwenden, ist später kaum noch sauber feststellbar, wer eine bestimmte Änderung durchgeführt hat.

• jeder Admin erhält ein eigenes Konto
• gemeinsame Standardkonten sollten vermieden werden
• Konten müssen bei Rollenwechsel oder Austritt entzogen werden
• Aktivitäten lassen sich besser einzelnen Personen zuordnen

Privilege-Level bewusst einsetzen

Cisco-Geräte unterstützen unterschiedliche Berechtigungsstufen. In vielen kleineren Umgebungen arbeiten Administratoren direkt mit privilegiertem Zugriff. Dennoch ist es wichtig zu verstehen, dass nicht jeder Benutzer automatisch die höchsten Rechte erhalten sollte. Je nach Einsatzszenario kann eine abgestufte Rechtevergabe sinnvoll sein.

Ein einfaches Beispiel für einen weniger privilegierten Benutzer wäre:

username support privilege 5 secret SupportKennwort123

Damit erhält der Benutzer nicht automatisch die höchste Berechtigungsstufe. In produktiven Umgebungen sollte das Rechteniveau immer am tatsächlichen Bedarf ausgerichtet werden.

Den privilegierten EXEC-Modus absichern

Warum der Enable-Modus besonders geschützt werden muss

Der privilegierte EXEC-Modus ist auf Cisco-Geräten besonders sensibel, weil von dort aus Konfiguration, Diagnose und Administration mit weitreichenden Rechten möglich sind. Früher wurden oft einfache enable password-Varianten verwendet. Aus heutiger Sicht sollte jedoch konsequent mit enable secret gearbeitet werden.

Eine typische sichere Grundkonfiguration lautet:

enable secret SehrStarkesEnableSecret

Damit wird der privilegierte Zugriff deutlich besser geschützt als mit älteren oder schwächeren Methoden.

Lokale Benutzerkonten sind oft besser als reiner Enable-Zugang

In modernen Umgebungen sollte die Authentifizierung möglichst über individuelle Benutzerkonten und nicht allein über ein gemeinsames Enable-Kennwort laufen. Das gemeinsame Secret kann weiterhin relevant sein, aber Benutzeridentität und Nachvollziehbarkeit werden durch lokale oder zentrale Benutzerkonten deutlich verbessert.

Konsolenzugang sicher konfigurieren

Auch physischer Zugriff braucht Authentifizierung

Der Konsolenzugang wird oft als „lokal und daher sicher genug“ betrachtet. Das ist zu kurz gedacht. Gerade Geräte in Netzwerkschränken, Technikräumen oder Außenstellen können physisch erreicht werden, wenn die Umgebung nicht perfekt geschützt ist. Daher muss auch die Konsole sauber authentifiziert werden.

Eine solide Basiskonfiguration ist:

line console 0
 login local
 exec-timeout 5 0

Mit login local wird die Anmeldung über lokale Benutzerkonten erzwungen. exec-timeout 5 0 trennt inaktive Sitzungen nach fünf Minuten.

Timeouts reduzieren das Risiko offener Sitzungen

Ein häufiges Problem sind offene Administrationssitzungen. Wenn ein Gerät an der Konsole angemeldet bleibt und der Administrator den Platz verlässt, kann eine andere Person die Sitzung missbrauchen. Deshalb sind sinnvolle Inaktivitäts-Timeouts ein wichtiger Teil der Zugangssicherheit.

• offene Sitzungen werden automatisch beendet
• Missbrauch verlassener Konsolen wird erschwert
• physische Sicherheitslücken haben geringere Wirkung

VTY-Zugänge sicher konfigurieren

SSH statt Telnet verwenden

Remote-Zugriffe auf Cisco-Geräte sollten grundsätzlich per SSH erfolgen. Telnet überträgt Zugangsdaten und Sitzungsinhalte im Klartext und ist für produktive Umgebungen aus Sicherheitsgründen ungeeignet. Sichere Benutzerkonfiguration ist daher eng mit sicherem Transportprotokoll verbunden.

Eine typische VTY-Grundkonfiguration ist:

line vty 0 4
 login local
 transport input ssh
 exec-timeout 5 0

Damit werden nur SSH-Zugriffe erlaubt, und die Anmeldung erfolgt über lokale Benutzerkonten.

VTY-Zugriff nach Quellnetz begrenzen

Ein häufiger Fehler ist, SSH zwar zu aktivieren, den Zugriff aber aus zu vielen Netzen zu erlauben. Gute Sicherheit bedeutet nicht nur verschlüsselte Anmeldung, sondern auch begrenzte Erreichbarkeit. Managementdienste sollten möglichst nur aus dedizierten Admin-Netzen erreichbar sein.

Ein einfaches Beispiel mit Standard-ACL:

access-list 10 permit 192.168.50.0 0.0.0.255
line vty 0 4
 access-class 10 in
 login local
 transport input ssh

So werden VTY-Zugriffe auf ein definiertes Quellnetz begrenzt.

SSH korrekt aktivieren und absichern

Grundvoraussetzungen für SSH

Damit SSH sauber auf einem Cisco-Gerät funktioniert, müssen einige Grundlagen gesetzt werden. Dazu gehören ein Hostname, ein Domain-Name sowie die Generierung kryptografischer Schlüssel. Erst danach kann der SSH-Dienst sinnvoll genutzt werden.

Ein typisches Setup sieht so aus:

hostname R1
ip domain-name beispiel.local
crypto key generate rsa modulus 2048
ip ssh version 2

Mit diesem Grundgerüst wird SSH Version 2 aktiviert und ein solides Schlüsselpaar erstellt.

SSH-Konfiguration regelmäßig prüfen

Nach der Aktivierung sollte der SSH-Zustand überprüft werden. Dafür ist besonders dieser Befehl nützlich:

show ip ssh

Damit lassen sich Version und Betriebszustand des SSH-Dienstes prüfen. In der Praxis ist diese Kontrolle wichtig, um unsichere Altkonfigurationen oder Fehlzustände zu erkennen.

Passwortqualität und sichere Kennwortrichtlinien

Starke Kennwörter sind Pflicht, nicht Kür

Die technische Konfiguration allein genügt nicht, wenn die gewählten Kennwörter schwach sind. Ein Secret wie cisco123 ist auch dann unsicher, wenn es mit dem richtigen Kommando gesetzt wurde. Gerade auf Netzwerkgeräten sollten Kennwörter lang, schwer erratbar und nicht wiederverwendet sein.

Wichtige Grundregeln sind:

• lange Kennwörter oder Passphrasen verwenden
• keine Standardwörter oder einfachen Muster
• keine Wiederverwendung über mehrere Geräte oder Dienste
• Admin-Zugänge getrennt von Benutzerpasswörtern halten

Passwort-Wiederverwendung ist besonders riskant

Wenn dieselben Zugangsdaten für Router, Switches, Firewalls und andere Systeme verwendet werden, wird ein einzelner Leak oder Kompromittierungsfall schnell zum großflächigen Problem. Daher sollten auch in kleineren Umgebungen keine universellen Administrationskennwörter verwendet werden.

Passwortverschlüsselung in der Konfiguration verstehen

service password-encryption richtig einordnen

Das Kommando service password-encryption taucht oft in Cisco-Grundkonfigurationen auf. Es sorgt dafür, dass bestimmte einfache Passwörter in der Konfiguration nicht im Klartext sichtbar sind. Das ist besser als gar kein Schutz, ersetzt aber keine saubere Secret-basierte Konfiguration.

Ein typisches Kommando lautet:

service password-encryption

Für Einsteiger wichtig: Dieses Kommando verbessert die Situation, ist aber nicht die wichtigste Schutzmaßnahme. Entscheidend bleibt, dass für privilegierte und lokale Benutzerkonten bevorzugt secret verwendet wird.

Konfigurationsschutz bleibt trotzdem wichtig

Auch wenn Kennwörter nicht im Klartext angezeigt werden, bleibt die Gerätekonfiguration sensibel. Backups, Exporte und Zugriff auf show running-config oder show startup-config müssen geschützt werden. Sicherheit endet also nicht beim Passworttyp, sondern umfasst die gesamte Konfigurationsverwaltung.

AAA für bessere Benutzer- und Passwortkontrolle

AAA verbessert Authentifizierung, Autorisierung und Nachvollziehbarkeit

Für professionellere Umgebungen ist AAA ein wichtiger Schritt, weil es die Anmeldung, Rechtevergabe und Protokollierung besser strukturiert. Auch wenn viele kleine Installationen mit lokalen Benutzern beginnen, sollte das Grundprinzip bekannt sein: Benutzer sollen identifizierbar, ihre Rechte steuerbar und ihre Aktivitäten nachvollziehbar sein.

Ein einfaches Grundgerüst zur Aktivierung lautet:

aaa new-model

Dieses Kommando aktiviert das AAA-Modell und ist die Grundlage für weiterführende lokale oder zentrale Authentifizierung.

Lokale Konten können mit AAA kombiniert werden

Auch ohne zentrale Server wie RADIUS oder TACACS+ kann AAA sinnvoll mit lokalen Benutzern eingesetzt werden. Dadurch wird die Konfiguration klarer und besser erweiterbar.

Ein Beispiel:

aaa new-model
aaa authentication login default local
aaa authorization exec default local

Damit werden Anmeldung und EXEC-Autorisierung lokal über definierte Benutzerkonten gesteuert.

Fehlkonfigurationen, die häufig vermieden werden sollten

Häufige Sicherheitsfehler auf Cisco-Geräten

Viele unsichere Gerätezustände entstehen durch einfache, aber folgenreiche Fehler. Gerade in Laboren funktionieren solche Konfigurationen vielleicht noch akzeptabel, in produktiven Netzen sollten sie jedoch vermieden werden.

• Telnet statt SSH aktiviert
• kein enable secret gesetzt
• gemeinsame Standard-Admin-Konten
• schwache oder wiederverwendete Kennwörter
• keine Inaktivitäts-Timeouts
• VTY-Zugänge aus beliebigen Netzen erreichbar
• fehlende Nachvollziehbarkeit von Benutzeraktionen

Konfigurationsbeispiele sollten nicht blind kopiert werden

Ein weiterer Fehler besteht darin, Labor- oder Internetbeispiele unverändert in produktive Geräte zu übernehmen. Gute Sicherheit verlangt immer Anpassung an die reale Umgebung, etwa beim Admin-Netz, bei Benutzerrollen, ACLs und Timeout-Werten.

Wichtige Prüfkommandos für Benutzer- und Passwortsicherheit

Konfiguration und Zugriffszustand kontrollieren

Nach jeder Konfiguration sollte überprüft werden, ob die Zugangssicherheit tatsächlich wie erwartet arbeitet. Besonders hilfreich sind dabei diese Befehle:

show running-config
show ip ssh
show access-lists
show users
show logging

Damit lassen sich SSH-Konfiguration, ACLs, aktive Sitzungen und protokollierte Ereignisse sichtbar machen.

Auch aktive Benutzer und offene Sitzungen sind relevant

Nicht nur die statische Konfiguration, sondern auch der aktuelle Gerätezustand ist sicherheitsrelevant. Wer ist gerade angemeldet? Gibt es ungewöhnliche Sessions? Stimmen Logging und Timeout-Verhalten? Solche Fragen gehören zur laufenden Betriebssicherheit dazu.

Warum dieses Thema für CCNA und Netzwerkpraxis unverzichtbar ist

Sichere Benutzerkonfiguration ist die Basis jeder Gerätehärtung

Viele weiterführende Cisco-Sicherheitsfunktionen setzen voraus, dass der Grundzugang zum Gerät bereits sauber abgesichert ist. Ohne sichere Benutzerkonten, starke Secrets, SSH und eingeschränkte Erreichbarkeit bleibt selbst eine komplexere Konfiguration unnötig verwundbar.

• Benutzeridentitäten müssen klar sein
• privilegierte Zugänge müssen geschützt sein
• Remote-Administration muss verschlüsselt erfolgen
• Zugriffe müssen eingegrenzt und nachvollziehbar bleiben

Gute Zugangssicherheit verbindet Technik und Verantwortung

Am Ende geht es nicht nur darum, einige Cisco-Kommandos auswendig zu kennen. Entscheidend ist zu verstehen, dass jedes lokale Konto, jedes Secret und jede Managementzeile direkten Einfluss auf die Sicherheit des gesamten Netzes hat. Wer Cisco-Geräte sicher konfigurieren will, muss deshalb Benutzer, Passwörter, Rechte und Zugriffswege als zusammenhängendes Schutzkonzept betrachten.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.