Die Verwendung von SSH (Secure Shell) für den Fernzugriff auf Catalyst-Switches bietet eine sichere Kommunikationsmethode, die sowohl die Vertraulichkeit als auch die Integrität der Daten schützt. Um die Sicherheit weiter zu erhöhen, ist es entscheidend, SSH mit den richtigen Schlüsseln, Ciphers und anderen Sicherheitsmechanismen zu konfigurieren. In diesem Artikel gehen wir auf wichtige Aspekte wie KEX (Key Exchange), Ciphers, MACs (Message Authentication Codes), das Key Management und Banner ein, um ein sicheres SSH-Setup auf Catalyst-Switches zu gewährleisten.
SSH Key Exchange (KEX) und Cipher Suites
Der SSH-Prozess beginnt mit dem Austausch von Schlüsseln (KEX), um eine verschlüsselte Verbindung zu etablieren. Dabei ist es wichtig, sicherzustellen, dass nur sichere Algorithmen verwendet werden. Die Wahl von schwachen oder veralteten Algorithmen kann die Sicherheit gefährden und anfällig für Angriffe machen.
Empfohlene Key Exchange-Algorithmen
Für sicheren SSH-Zugang sollten nur moderne und sichere KEX-Algorithmen verwendet werden. Die Konfiguration der Key Exchange-Methoden kann mit folgendem Befehl angepasst werden:
ip ssh server algorithm kex diffie-hellman-group14-sha1In diesem Beispiel wird der sichere „diffie-hellman-group14-sha1“-Algorithmus verwendet. Weitere gängige Algorithmen, die berücksichtigt werden können, sind „diffie-hellman-group-exchange-sha256“ oder „ecdsa-sha2-nistp256“. Veraltete Algorithmen wie „diffie-hellman-group1-sha1“ sollten vermieden werden.
Empfohlene Cipher Suites
Ciphers sind entscheidend für die Verschlüsselung der SSH-Verbindung. Für maximale Sicherheit sollten nur starke Ciphers genutzt werden. Die Konfiguration der Ciphers erfolgt folgendermaßen:
ip ssh server algorithm encryption aes256-ctr aes192-ctr aes128-ctrMit dieser Konfiguration wird sicherstellt, dass nur moderne AES-Ciphers verwendet werden. Die Wahl von Ciphers wie „3des-cbc“ oder „blowfish-cbc“ sollte vermieden werden, da sie als schwach gelten.
Message Authentication Codes (MACs)
MACs gewährleisten die Integrität der übertragenen Daten, indem sie die Nachricht und den Schlüssel miteinander verknüpfen. Eine sichere MAC-Implementierung ist entscheidend, um Angriffe wie Replay-Attacken zu verhindern. In der Regel wird SHA-2-basierte MACs verwendet, um die Sicherheitsanforderungen zu erfüllen.
Konfiguration der MAC-Algorithmen
Um die MACs in SSH zu konfigurieren, kann der folgende Befehl verwendet werden:
ip ssh server algorithm mac hmac-sha2-256 hmac-sha2-512Hiermit wird sichergestellt, dass nur sichere, SHA-2-basierte Algorithmen wie „hmac-sha2-256“ und „hmac-sha2-512“ verwendet werden. Die älteren MAC-Algorithmen wie „hmac-sha1“ sollten vermieden werden, da sie schwächer sind.
Key Management: Schlüsselrotation und Speicherung
Ein sicheres Schlüsselmanagement ist ein zentraler Aspekt beim Schutz von SSH-Zugriffen. Die Schlüssel sollten regelmäßig rotiert und sicher gespeichert werden, um unbefugten Zugriff zu verhindern. Eine korrekte Implementierung von Key Management reduziert das Risiko von Sicherheitslücken erheblich.
SSH-Schlüsselrotation konfigurieren
Zur Rotation von SSH-Schlüsseln sollten folgende Maßnahmen getroffen werden:
- Verwenden Sie Schlüssel mit ausreichender Länge (2048 Bit oder mehr für RSA-Schlüssel).
- Richten Sie einen regelmäßigen Schlüsselwechsel ein (z. B. alle 90 Tage).
- Verwenden Sie ein zentrales Management-Tool zur sicheren Speicherung und Verwaltung der Schlüssel.
Beispiel für die Erstellung eines neuen SSH-Schlüssels
Ein neuer SSH-Schlüssel kann mit dem folgenden Befehl erstellt werden:
crypto key generate rsa usage-keys label ssh-key modulus 2048Dieser Befehl generiert ein RSA-Schlüsselpaar mit einer Länge von 2048 Bit, das für den SSH-Zugang verwendet werden kann.
SSH-Banner: Sicherheitsrichtlinien kommunizieren
Ein SSH-Banner kann verwendet werden, um Benutzer über Sicherheitsrichtlinien und -warnungen zu informieren, bevor sie auf das Gerät zugreifen. Dies ist besonders wichtig in Umgebungen, in denen der Zugriff auf das Netzwerk streng kontrolliert werden muss.
Konfiguration eines SSH-Banners
Um ein SSH-Banner zu konfigurieren, können Sie den folgenden Befehl verwenden:
banner motd # AGB: Der Zugang zu diesem Gerät ist nur autorisierten Benutzern gestattet. Unbefugter Zugriff wird strafrechtlich verfolgt. #Das Banner „motd“ (Message of the Day) informiert alle Benutzer über die Nutzungsbedingungen und stellt sicher, dass diese die Regeln akzeptieren, bevor sie auf das System zugreifen.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
