March 29, 2026

8.4 SSH statt Telnet: Sichere Cisco-Administration einfach erklärt

Die sichere Administration von Cisco-Geräten beginnt mit der Wahl des richtigen Remote-Zugriffsprotokolls. Genau an diesem Punkt ist der Unterschied zwischen SSH und Telnet besonders wichtig. Beide Protokolle ermöglichen zwar eine textbasierte Fernverwaltung von Routern, Switches und anderen Netzwerkgeräten, sicherheitstechnisch liegen jedoch Welten zwischen ihnen. Telnet stammt aus einer Zeit, in der Netzwerke wesentlich vertrauensbasierter waren und Schutzmechanismen für vertrauliche Kommunikation kaum im Vordergrund standen. SSH wurde dagegen entwickelt, um genau diese Schwächen zu beheben. Für CCNA, Netzwerkpraxis und Cybersecurity ist deshalb entscheidend zu verstehen, warum Telnet heute als unsicher gilt und warum SSH der Standard für sichere Cisco-Administration ist. Wer Cisco-Geräte professionell betreibt, sollte nicht nur wissen, dass SSH „besser“ ist, sondern genau verstehen, welche Risiken mit Telnet verbunden sind, wie SSH funktioniert und wie die sichere Umstellung in der Praxis aussieht.

Table of Contents

Warum Remote-Administration auf Cisco-Geräten so wichtig ist

Netzwerkgeräte werden selten nur lokal verwaltet

Router und Switches stehen in Unternehmen meist nicht direkt am Arbeitsplatz des Administrators, sondern in Serverräumen, Netzwerkschränken, Außenstellen oder Rechenzentren. Eine direkte Administration über die Konsole ist zwar möglich, aber im Tagesgeschäft oft unpraktisch. Genau deshalb ist Remote-Zugriff ein zentraler Bestandteil des Netzwerkbetriebs.

  • Konfigurationsänderungen müssen standortübergreifend möglich sein
  • Störungen müssen auch aus der Ferne analysiert werden können
  • Wartung und Troubleshooting erfolgen häufig remote
  • mehrere Geräte sollen zentral erreichbar sein

Remote-Administration ist also kein Komfortmerkmal, sondern betriebliche Notwendigkeit.

Jeder Managementzugang ist gleichzeitig ein Angriffspunkt

Gerade weil Remote-Zugriff so mächtig ist, gehört er zu den sensibelsten Bereichen der Netzwerksicherheit. Wer sich remote an einem Cisco-Gerät anmeldet, kann Routing beeinflussen, VLANs ändern, ACLs anpassen, Interfaces abschalten oder Managementpfade öffnen. Ein unsicherer Zugriff ist deshalb ein direkter Risikofaktor für das gesamte Netzwerk.

  • ein kompromittierter Zugang gefährdet die Infrastruktur
  • ein abgegriffenes Passwort kann weitreichende Folgen haben
  • unsichere Protokolle öffnen unnötige Angriffsflächen

Was Telnet ist

Telnet ist ein älteres Protokoll für textbasierte Fernverwaltung

Telnet ist ein klassisches Netzwerkprotokoll, mit dem eine textbasierte Sitzung zu einem entfernten Gerät aufgebaut werden kann. In Cisco-Umgebungen wurde Telnet früher häufig eingesetzt, um Router oder Switches remote zu administrieren. Funktional kann Telnet Befehle übertragen und Konsolenzugriff simulieren. Aus moderner Sicht liegt das Problem jedoch nicht in der Funktion, sondern in der fehlenden Sicherheit.

Typische Eigenschaften von Telnet sind:

  • textbasierter Remote-Zugriff
  • klassisch über TCP Port 23
  • einfache und weit verbreitete Alttechnik
  • keine eingebaute Transportverschlüsselung

Genau der letzte Punkt macht Telnet für produktive Cisco-Administration ungeeignet.

Telnet stammt aus einer vertrauensbasierten Netzwerkwelt

Telnet wurde in einer Zeit entworfen, in der viele Umgebungen klein, geschlossen und wenig feindlich waren. Moderne Unternehmensnetze, WLANs, externe Standorte und internetnahe Umgebungen haben damit wenig gemeinsam. Heute ist die Annahme, dass der Transportweg automatisch sicher ist, nicht mehr tragfähig.

Was SSH ist

SSH ist der sichere Standard für Cisco-Administration

SSH steht für Secure Shell und ist das heute empfohlene Protokoll für textbasierte Fernverwaltung. Aus Sicht der Funktion erfüllt SSH denselben Grundzweck wie Telnet: Ein Administrator verbindet sich mit einem entfernten Gerät und führt Befehle aus. Der entscheidende Unterschied ist, dass SSH die Verbindung kryptografisch absichert.

Typische Eigenschaften von SSH sind:

  • verschlüsselte Remote-Sitzung
  • klassisch über TCP Port 22
  • Schutz von Zugangsdaten und Befehlen
  • Prüfung der Gegenstelle über kryptografische Mechanismen

Dadurch ist SSH nicht nur ein modernes, sondern ein sicherheitsnotwendiges Protokoll.

SSH schützt mehr als nur das Passwort

Viele Einsteiger denken bei SSH zuerst nur an „Passwörter werden nicht im Klartext übertragen“. Das ist richtig, aber zu kurz gedacht. SSH schützt auch die eingegebenen Befehle, die Rückgaben des Geräts und die Integrität der Sitzung. Ein Angreifer kann also nicht so leicht mitlesen oder unbemerkt in die Verbindung eingreifen.

Der zentrale Unterschied zwischen SSH und Telnet

Telnet überträgt alles im Klartext

Der größte Sicherheitsnachteil von Telnet ist die Klartextübertragung. Benutzername, Passwort, Kommandos und Antworten werden ohne Transportverschlüsselung über das Netzwerk gesendet. Wer den Datenverkehr mitlesen kann, etwa in einem kompromittierten Segment oder an einem unsicheren WLAN, kann diese Informationen potenziell direkt auslesen.

  • Login-Daten sind sichtbar
  • administrative Befehle sind sichtbar
  • Geräteausgaben sind sichtbar
  • Vertrauen in die Sitzung fehlt

Gerade bei Cisco-Geräten ist das besonders kritisch, weil Konfigurationsdetails und Zugangsdaten erheblichen Schaden verursachen können.

SSH schützt Vertraulichkeit und Integrität

SSH verschlüsselt die Sitzung und erschwert damit sowohl das Mitlesen als auch die Manipulation. Das bedeutet, dass ein Administrator seine Befehle nicht mehr offen durchs Netz schickt und dass Antworten vom Gerät nicht einfach im Klartext sichtbar sind. Gleichzeitig verbessert SSH die Vertrauenswürdigkeit des Gegenübers durch Schlüssel und Host-Authentifizierung.

  • Passwörter werden geschützt übertragen
  • Befehle bleiben vertraulich
  • Geräteantworten bleiben vertraulich
  • Manipulation des Datenstroms wird erschwert

Warum Telnet in produktiven Cisco-Netzen vermieden werden muss

Klartext-Management ist ein unnötiges Risiko

In einem produktiven Netz gibt es keinen guten sicherheitstechnischen Grund, weiterhin Telnet für normale Administration zu verwenden. Selbst wenn das Netz „intern“ ist, bleibt das Risiko real. Interne Segmente können kompromittiert, offene Ports missbraucht oder lokale MITM-Angriffe durchgeführt werden. Sobald Telnet aktiv ist, wird die Sicherheit der Administration unnötig geschwächt.

Typische Risiken sind:

  • Abgriff von Zugangsdaten
  • Informationsgewinn über Gerätekonfigurationen
  • Missbrauch erlangter Admin-Rechte
  • leichtere Vorbereitung weiterer Angriffe

Interne Netze sind kein automatischer Vertrauensraum

Ein häufiger Denkfehler ist, Telnet sei im internen Netz „schon okay“. Gerade dort sind aber lokale Angriffe, kompromittierte Clients, Insider-Risiken oder offene Netzwerkanschlüsse relevant. Telnet setzt implizit voraus, dass niemand den Verkehr mitschneidet. Diese Annahme ist in modernen Unternehmensnetzen nicht belastbar.

Warum SSH für Cisco-Geräte der richtige Standard ist

Sichere Remote-CLI ohne unnötige Offenlegung

SSH erlaubt es, Cisco-Geräte aus der Ferne zu administrieren, ohne dass Zugangsdaten und Kommandos offen durchs Netz laufen. Das ist für produktive Umgebungen die zentrale Mindestanforderung. Gerade in Kombination mit lokalen Benutzerkonten, AAA und ACLs entsteht daraus eine deutlich belastbarere Managementsicherheit.

  • sicherer Remote-Zugriff auf Router und Switches
  • geeignet für Admin-Netze und Standortbetrieb
  • gute Grundlage für zentrale Zugriffssteuerung
  • praxisnaher Standard für Unternehmensnetze

SSH passt zu modernen Sicherheitsprinzipien

SSH unterstützt das Grundprinzip, dass privilegierte Verwaltung nur verschlüsselt, kontrolliert und nachvollziehbar stattfinden soll. Es ergänzt damit andere Sicherheitsmaßnahmen wie segmentierte Managementnetze, rollenbasierte Benutzerkonten und Logging.

SSH auf Cisco-Geräten technisch vorbereiten

Hostname und Domain-Name setzen

Bevor SSH aktiviert werden kann, braucht das Gerät einige Grundinformationen. Dazu gehören ein Hostname und ein Domain-Name, denn diese Werte werden bei der Erzeugung kryptografischer Schlüssel benötigt. Ohne diese Vorbereitung lässt sich SSH nicht sauber in Betrieb nehmen.

Ein typisches Grundsetup sieht so aus:

hostname SW1
ip domain-name firma.local

Diese Werte sind nicht nur Formalität, sondern Voraussetzung für den nächsten Schritt.

RSA-Schlüssel erzeugen und SSH aktivieren

Nachdem Hostname und Domain gesetzt sind, müssen kryptografische Schlüssel erzeugt werden. Danach sollte die sichere SSH-Version aktiviert werden.

crypto key generate rsa modulus 2048
ip ssh version 2

Mit modulus 2048 wird ein solides Schlüsselniveau gewählt, und mit ip ssh version 2 wird die moderne Protokollversion erzwungen.

Benutzerkonten für SSH sauber konfigurieren

Lokale Benutzer statt einfacher Leitungskennwörter

Eine sichere SSH-Umgebung sollte nicht auf einfachen Leitungspasswörtern basieren, sondern auf lokalen Benutzerkonten mit Secret. Dadurch wird die Verwaltung klarer und die Grundlage für nachvollziehbare Administration verbessert.

Ein Beispiel:

username admin privilege 15 secret StarkesAdminSecret

Damit wird ein lokaler Administrator mit privilegierten Rechten und sicher geschütztem Secret eingerichtet.

Enable Secret ergänzen

Auch wenn lokale Benutzer verwendet werden, sollte der privilegierte EXEC-Modus sauber abgesichert sein. Dafür dient:

enable secret StarkesEnableSecret

So wird der privilegierte Modus besser geschützt als mit älteren oder schwächeren Passwortmethoden.

VTY-Leitungen nur für SSH freigeben

Telnet aktiv ausschließen

Ein sehr wichtiger Schritt besteht darin, auf den VTY-Leitungen nicht einfach „irgendeinen Remote-Zugriff“ zu erlauben, sondern Telnet ausdrücklich auszuschließen und nur SSH zuzulassen.

line vty 0 4
 login local
 transport input ssh
 exec-timeout 5 0

Diese Konfiguration erzwingt die Anmeldung über lokale Benutzerkonten, erlaubt ausschließlich SSH und beendet inaktive Sitzungen nach fünf Minuten.

Warum transport input ssh so wichtig ist

Ohne die explizite Einschränkung auf SSH könnte ein Gerät je nach Zustand weiterhin Telnet-Verbindungen akzeptieren. Genau deshalb gehört transport input ssh zu den wichtigsten Sicherheitszeilen in der Cisco-Managementkonfiguration.

Managementzugriffe zusätzlich einschränken

SSH sollte nicht aus jedem Netz erreichbar sein

Auch ein sicher verschlüsselter Dienst bleibt ein kritischer Managementzugang. Daher sollte SSH nicht aus beliebigen Benutzersegmenten erreichbar sein, sondern nur aus dedizierten Admin-Netzen oder über definierte Jump-Hosts. So wird die Angriffsfläche deutlich verkleinert.

Ein einfaches Beispiel mit ACL:

access-list 10 permit 192.168.50.0 0.0.0.255

line vty 0 4
 access-class 10 in
 login local
 transport input ssh

Damit dürfen nur Quellen aus dem Admin-Netz auf die VTY-Zugänge zugreifen.

Segmentierung und ACLs gehören zur sicheren Administration dazu

SSH ersetzt keine saubere Netzwerkarchitektur. Sichere Cisco-Administration besteht aus mehreren Schichten: verschlüsselter Fernzugriff, lokale oder zentrale Benutzerkonten, eingeschränkte Quellnetze, Logging und möglichst eigene Management-VLANs oder Management-Subnetze.

SSH-Konfiguration prüfen und überwachen

SSH-Status und aktive Sitzungen kontrollieren

Nach der Einrichtung sollte geprüft werden, ob SSH wirklich aktiv ist und wie der Managementzustand aussieht. Dafür sind besonders diese Befehle nützlich:

show ip ssh
show users
show running-config
show logging

Damit lassen sich SSH-Version, aktive Sitzungen, relevante Konfigurationszeilen und protokollierte Ereignisse kontrollieren.

Auch Logdaten gehören zur sicheren Administration

Eine sichere SSH-Konfiguration ist nur ein Teil des Ganzen. Ebenso wichtig ist, Anmeldeversuche, Fehlversuche und ungewöhnliche Zugriffe sichtbar zu machen. Genau deshalb sollte Logging im Managementkontext immer mitgedacht werden.

Typische Fehler bei der Umstellung von Telnet auf SSH

SSH aktivieren, aber Telnet nicht deaktivieren

Ein häufiger Fehler besteht darin, SSH zwar einzurichten, Telnet aber auf den VTY-Leitungen weiterhin indirekt zuzulassen. Dadurch bleibt das eigentliche Risiko bestehen. Entscheidend ist nicht nur, dass SSH funktioniert, sondern dass Telnet nicht mehr nutzbar ist.

  • SSH ist konfiguriert
  • VTY-Leitungen erlauben aber weiterhin Telnet
  • das Gerät bleibt über Klartextmanagement angreifbar

Lokale Benutzer vergessen oder falsch priorisieren

Ein weiterer Fehler ist, VTY-Zugriffe auf login local umzustellen, ohne vorher passende Benutzerkonten mit Secret anzulegen. Dann ist SSH zwar technisch aktiv, aber der Zugang funktioniert nicht sauber oder wird im Fehlerfall unsicher umgangen. Die Reihenfolge der Konfiguration ist daher wichtig.

Warum SSH allein noch keine vollständige Sicherheit bedeutet

Verschlüsselung ersetzt keine Härtung

SSH ist der richtige Standard, aber nicht die einzige Schutzmaßnahme. Ein offen erreichbarer SSH-Dienst mit schwachen Passwörtern, gemeinsam genutzten Konten oder fehlender Zugriffsbeschränkung bleibt problematisch. Sichere Cisco-Administration ist immer ein Zusammenspiel aus Protokollwahl, Benutzerverwaltung, ACLs und Monitoring.

  • starke Passwörter oder Secrets verwenden
  • individuelle Benutzerkonten einrichten
  • Zugriffe nur aus Admin-Netzen erlauben
  • Timeouts und Logging aktivieren

AAA und MFA sind sinnvolle nächste Schritte

In professionelleren Umgebungen wird SSH idealerweise mit AAA, zentraler Authentifizierung und ergänzenden Sicherheitsmaßnahmen kombiniert. Auch wenn auf klassischen Cisco-Geräten MFA nicht immer direkt lokal umgesetzt wird, bleibt das Grundprinzip wichtig: Identitäten und Managementzugänge sollten so stark wie möglich abgesichert werden.

Warum dieses Thema für CCNA und Netzwerkpraxis unverzichtbar ist

SSH statt Telnet ist eine Grundregel sicherer Cisco-Administration

Kaum ein Thema macht so deutlich, wie unmittelbar sich Sicherheitsentscheidungen auf die Praxis der Geräteverwaltung auswirken. Der Wechsel von Telnet zu SSH ist keine optionale Optimierung, sondern eine fundamentale Härtungsmaßnahme. Wer Cisco-Geräte produktiv verwaltet, muss diesen Unterschied sicher beherrschen.

  • Telnet erklärt die Risiken von Klartextmanagement
  • SSH erklärt sichere Remote-Administration
  • VTY- und Benutzerkonfiguration werden direkt praxisrelevant

Sichere Administration beginnt bei wenigen, aber entscheidenden Kommandos

Am Ende zeigt dieses Thema sehr anschaulich, dass gute Netzwerksicherheit oft mit klaren Grundlagen beginnt. Ein sicher gesetzter Hostname, ein Domain-Name, RSA-Schlüssel, SSH Version 2, lokale Benutzer mit Secret, VTY-Leitungen nur für SSH und begrenzte Managementzugriffe bilden gemeinsam eine solide Basis. Wer diese Grundlagen sauber umsetzt, schützt Cisco-Geräte deutlich besser und legt einen wichtigen Grundstein für professionelle Netzwerkadministration.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

15.6 Das Prinzip der geringsten Rechte im Zugriffsmanagement

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick