Admin-Zugriffssicherheit ist der Pflichtstandard für jede Cisco-Router-Konfiguration, weil ein kompromittierter Managementzugang alle anderen Sicherheitsmaßnahmen aushebelt. In der Praxis entstehen die meisten Schwachstellen nicht durch „Zero Days“, sondern durch offene Management-Interfaces, Telnet/HTTP-Altlasten, geteilte Accounts und fehlende Audit-Spuren. Dieser Leitfaden beschreibt einen praxiserprobten Mindeststandard („Must-have“), der in Büro-, Filial- und Enterprise-Umgebungen als Baseline gelten sollte – inklusive CLI-Bausteinen, die sich als Golden Config verwenden lassen.
Pflichtstandard in einem Satz: Minimaler Zugriff, maximal nachvollziehbar
Der Standard lautet: nur verschlüsselte Protokolle (SSH), Zugriff nur aus einem definierten Managementnetz, individuelle Accounts, AAA/Accounting wo möglich, saubere Zeitstempel und zentrale Logs. Alles andere ist Ausnahme und muss begründet werden.
- SSH-only, keine Klartextdienste
- Managementzugriff nur aus MGMT-Subnetz/VRF
- Individuelle Nutzer, keine Shared Accounts
- AAA + Accounting (wenn Infrastruktur vorhanden)
- NTP + Syslog für Audit und Incident-Korrelation
Baustein 1: Angriffsfläche reduzieren (Services deaktivieren)
Deaktivieren Sie alles, was nicht benötigt wird. Besonders HTTP/HTTPS-Management und unnötige Discovery-Dienste erhöhen die Angriffsfläche ohne operativen Mehrwert.
- HTTP/HTTPS-Server deaktivieren (wenn nicht explizit benötigt)
- DNS-Lookups bei Tippfehlern deaktivieren (Betriebsstabilität)
- Discovery auf WAN reduzieren (z. B. CDP auf WAN aus)
CLI: Minimales Service-Hardening
no ip http server
no ip http secure-server
no ip domain-lookup
interface GigabitEthernet0/0
description WAN-ISP
no cdp enable
Baustein 2: SSH-only korrekt aufsetzen (Schlüssel, Version, Sessions)
SSH-only ist Pflicht. Dazu gehören RSA-Keys, SSH v2 und sinnvolle Session-Parameter. Verhindern Sie zudem, dass sich alte, unsichere Zugriffsmethoden „einschleichen“.
CLI: SSH aktivieren (Baseline)
ip domain-name example.local
crypto key generate rsa modulus 2048
ip ssh version 2CLI: VTY nur SSH erlauben und Sessions begrenzen
line vty 0 4
transport input ssh
exec-timeout 10 0Baustein 3: Managementzugriff strikt begrenzen (Access-Class/ACL)
Verschlüsselung allein genügt nicht, wenn SSH aus jedem VLAN erreichbar ist. Beschränken Sie VTY-Zugriffe auf ein dediziertes Managementnetz. Das ist eine der wirksamsten Maßnahmen gegen Scans und Brute Force.
CLI: Management-ACL und Access-Class
ip access-list standard MGMT_ONLY
permit 10.10.99.0 0.0.0.255
deny any
line vty 0 4
access-class MGMT_ONLY in
transport input ssh
Baustein 4: Nutzer- und Passwortstandard (keine Shared Accounts)
Individuelle Accounts sind Pflicht, damit Änderungen und Zugriffe zuordenbar sind. Verwenden Sie „secret“ statt „password“ und definieren Sie Rollen, statt allen privilege 15 zu geben.
- Jeder Admin erhält einen eigenen Account
- Passwörter als „secret“ (gehasht), nicht als Klartext
- Rollenmodell: Viewer/Operator/Admin (Least Privilege)
CLI: Lokale Accounts (Minimalstandard)
username netadmin privilege 15 secret <SECRET>
username viewer privilege 1 secret <SECRET>Baustein 5: AAA und Accounting (wenn möglich)
AAA ist der professionelle Standard, weil er zentrale Authentifizierung, rollenbasierte Autorisierung und Accounting ermöglicht. In Enterprise-Umgebungen ist TACACS+ typisch, mit lokalem Fallback für Notfälle.
CLI: AAA mit lokalem Fallback (Muster)
aaa new-model
tacacs server TACACS1
address ipv4 10.10.99.10
key
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
Baustein 6: Anti-Brute-Force und Login-Härtung
Zusätzliche Login-Controls begrenzen automatisierte Angriffe. Setzen Sie diese Parameter so, dass sie Sicherheit erhöhen, aber den Notfallzugang nicht behindern.
CLI: Login-Block und Logging
login block-for 60 attempts 5 within 60
login on-failure log
login on-success logBaustein 7: Zeit und Logging für Audit (NTP + Syslog)
Ohne korrekte Zeitstempel sind Logs für Audit und Incident nahezu wertlos. NTP und zentrale Syslog-Weiterleitung sind daher Pflichtbestandteile der Admin-Zugriffssicherheit.
CLI: NTP und Syslog Baseline
service timestamps log datetime msec
ntp server 192.0.2.10 prefer
ntp server 192.0.2.11
logging buffered 64000 informational
logging host 192.0.2.20
logging trap informational
Baustein 8: Notfallzugang und Rollback-Fähigkeit
Ein Pflichtstandard berücksichtigt auch den Ernstfall: Wenn AAA ausfällt oder eine ACL Sie aussperrt, brauchen Sie einen funktionierenden Notfallzugang (Console/OOB) und eine stabile Startup-Config.
- Console/OOB-Zugang dokumentiert und getestet
- Letzter stabiler Zustand als Startup-Config gespeichert
- Rollback-Trigger und Validierungschecks definiert
CLI: Stabilen Zustand sichern
copy running-config startup-configVerifikation: Nachweis, dass der Pflichtstandard erfüllt ist
Ein Standard ist nur dann belastbar, wenn er überprüfbar ist. Diese Checks eignen sich als Abnahmeanhang und für regelmäßige Audits.
SSH/VTY/ACL-Checks
show ip ssh
show running-config | include line vty|transport input|access-class
show access-lists MGMT_ONLYAAA/Logging/NTP-Checks
show running-config | include aaa|tacacs|logging host|ntp server
show ntp status
show logging | last 50Minimal-Template: Pflichtstandard als Golden Config (kompakt)
Dieses Template bündelt die wichtigsten Pflichtbausteine für Admin-Zugriffssicherheit. IPs, Domain und Secrets sind Platzhalter und müssen an Ihre Umgebung angepasst werden.
no ip http server
no ip http secure-server
no ip domain-lookup
ip domain-name example.local
crypto key generate rsa modulus 2048
ip ssh version 2
ip access-list standard MGMT_ONLY
permit 10.10.99.0 0.0.0.255
deny any
username netadmin privilege 15 secret
line vty 0 4
transport input ssh
access-class MGMT_ONLY in
login local
exec-timeout 10 0
service timestamps log datetime msec
ntp server 192.0.2.10 prefer
logging host 192.0.2.20
logging trap informational
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
