March 4, 2026

Cisco-Router-Konfiguration: Sicherheits-Checkliste vor dem Go-Live

Eine Sicherheits-Checkliste vor dem Go-Live stellt sicher, dass eine Cisco-Router-Konfiguration nicht nur funktional ist, sondern auch die Mindeststandards für Admin-Zugriff, Segmentierung, Auditfähigkeit und Risikoabsicherung erfüllt. In der Praxis passieren die kritischsten Sicherheitsfehler kurz vor dem Go-Live: Management ist aus „Bequemlichkeit“ offen, Policies sind unvollständig, Logging ist nicht korrelierbar oder Backups fehlen. Diese Checkliste ist als praxistauglicher Gate-Check gedacht: Wenn ein Punkt rot ist, sollte der Go-Live gestoppt oder der Scope angepasst werden.

Go-Live-Sicherheitsgate: Stop/Go-Kriterien

Definieren Sie vorab klare Stop/Go-Kriterien. So vermeiden Sie, dass im Change-Fenster „trotz Risiken“ live geschaltet wird. Ein Go-Live ist erst zulässig, wenn Managementzugang sicher ist, Segmentierung wirkt und Logs auditierbar sind.

  • Stop: Managementzugang von untrusted Netzen möglich oder Telnet/HTTP aktiv
  • Stop: Guest/IoT können interne Netze erreichen (Policy-Matrix verletzt)
  • Stop: NTP unsynchronized und keine zentralen Logs
  • Stop: Kein aktuelles Backup/kein Rollback-Pfad/kein Notfallzugang
  • Stop: BGP ohne Filterpflicht oder VPN ohne No-NAT/Traffic-Nachweis (wenn im Scope)

Checkliste 1: Admin-Zugriffssicherheit (Pflicht)

Der Router darf nur über sichere Protokolle administrierbar sein und nur aus einem definierten Managementnetz. Individuelle Accounts und (wenn vorhanden) AAA/Accounting sind der professionelle Standard.

  • SSH-only (SSHv2), Telnet deaktiviert
  • HTTP/HTTPS-Server deaktiviert (wenn nicht benötigt)
  • VTY-Zugriff per Access-Class auf MGMT-Netz begrenzt
  • Individuelle Benutzer, keine Shared Accounts
  • AAA/Accounting aktiv (wenn TACACS+/RADIUS verfügbar), lokaler Fallback

CLI-Checks Admin-Zugriff

show ip ssh
show running-config | include line vty|transport input|access-class|username|aaa
show running-config | include ip http|ip http secure

Checkliste 2: Angriffsfläche reduzieren (Services und Exposition)

Deaktivieren Sie unnötige Services, insbesondere auf WAN-Interfaces. Das reduziert Scanfläche und verhindert, dass „bequem aktivierte“ Dienste später als Risiko gelten.

  • no ip domain-lookup (Betriebsstabilität)
  • CDP/Discovery auf WAN deaktiviert
  • Login-Härtung (optional): Blocken bei Brute Force, Logging von Erfolgen/Fehlschlägen

CLI-Checks Services/Exposition

show running-config | include no ip domain-lookup|cdp|login block-for|login on-
show interfaces description

Checkliste 3: Segmentierung und Mindest-Policies (Guest/IoT/MGMT)

Segmentierung ist die wichtigste Sicherheitskontrolle in Büro- und Filialnetzen. Vor Go-Live müssen Guest und IoT restriktiv sein, und Management muss geschützt bleiben. Prüfen Sie Policies nicht nur in der Config, sondern funktional (UAT).

  • Guest: Internet ok, interne RFC1918-Netze blockiert
  • IoT/POS: Whitelist auf notwendige Ziele/Ports, interne Netze blockiert
  • Users: kein Zugriff auf MGMT, nur definierte Server/Services
  • Policy-Matrix erfüllt (Quelle/Ziel/Ports/Owner)

CLI-Checks Policies

show access-lists
show running-config | include ip access-group|access-class

Checkliste 4: NAT und „No-NAT“ für VPN (wenn relevant)

NAT ist häufige Fehlerquelle und Sicherheitsrisiko (ungeplante Exposition). Vor Go-Live muss klar sein, welche Netze NAT nutzen, ob Portforwards existieren und ob VPN-Traffic korrekt vom NAT ausgenommen ist.

  • NAT nur für definierte Quellnetze (Whitelist)
  • Keine unerwünschten Portforwards (oder vollständig dokumentiert)
  • No-NAT für VPN-Subnetze (Pflicht bei Site-to-Site)
  • Nachweis: NAT-Translations nur wie erwartet

CLI-Checks NAT

show ip nat statistics
show ip nat translations
show running-config | include ip nat inside|ip nat outside|ip nat inside source

Checkliste 5: VPN-Sicherheit und Traffic-Nachweis (wenn relevant)

„Tunnel up“ ist kein Sicherheitsnachweis. Vor Go-Live müssen IKE/IPsec-Parameter standardisiert sein und Paketzähler müssen bei Testtraffic steigen. Zusätzlich sollten Logs keine Rekey-/DPD-Schleifen zeigen.

  • IKEv2/IPsec Standardparameter (Cipher/Hash/DH/PFS) gemäß Vorgabe
  • DPD/Rekey stabil, keine Flaps im Testfenster
  • Paketzähler steigen bei definiertem Testtraffic
  • Logs enthalten keine wiederkehrenden CRYPTO/IKE Fehler

CLI-Checks VPN

show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail
show logging | include IKEV2|IPSEC|CRYPTO

Checkliste 6: Routing-Sicherheit (Loops, Filterpflicht, Default-Handling)

Routing-Fehler können sowohl Downtime als auch Sicherheitsprobleme verursachen (Traffic auf falschen Pfad). Vor Go-Live müssen Default-Route, Nachbarn und – bei BGP – Filterpflicht und Prefix-Limits geprüft sein.

  • Default-Route korrekt, keine konkurrierenden Default-Pfade ohne Design
  • OSPF/EIGRP Nachbarn stabil (wenn genutzt)
  • BGP: Outbound-Filterpflicht, max-prefix, keine ungewollten Präfixe

CLI-Checks Routing

show ip route 0.0.0.0
show ip route summary
show ip protocols
show bgp summary

Checkliste 7: Logging/Audit-Fähigkeit (NTP, Syslog, Nachvollziehbarkeit)

Go-Live ohne Auditfähigkeit ist ein Compliance- und Betriebsrisiko. NTP muss synchronized sein, Logs müssen zentral ankommen, und Zeitstempel müssen aktiv sein.

  • NTP synchronized (mindestens eine Quelle erreichbar)
  • Syslog zentral, definierter Log-Level
  • Log-Timestamps aktiv (datetime msec)
  • Login-Events und Policy-Events nachvollziehbar

CLI-Checks Audit

show ntp status
show logging | last 50
show running-config | include service timestamps|ntp server|logging host

Checkliste 8: Monitoring-Minimum (damit Security-Events sichtbar sind)

Vor Go-Live muss mindestens erkennbar sein, wenn WAN/VPN/Routing ausfällt oder der Router überlastet ist. Für Unternehmen ist SNMPv3 (oder gleichwertige Telemetrie) stark zu empfehlen.

  • Alarme: WAN down/flaps, Path-down (IP SLA), VPN down, Neighbor down
  • Ressourcen: CPU/Memory überwacht
  • Interface-Errors/Drops überwacht
  • IP SLA aktiv (wenn Dual-WAN oder kritische Standorte)

CLI-Checks Monitoring

show processes cpu sorted
show processes memory sorted
show interfaces counters errors
show ip sla statistics

Checkliste 9: Backup, Rollback und Notfallzugang (Risk Control)

Ein sicherer Go-Live beinhaltet den Rückweg. Ohne aktuelles Backup und getesteten Notfallzugang wird ein Sicherheits- oder Betriebsfehler zur langen Downtime.

  • Pre-Backup: running-config gesichert und versioniert
  • Rollback-Plan: Trigger, Schritte, Validierungschecks
  • Notfallzugang: Console/OOB oder Remote-Hands organisiert
  • Startup-Config erst nach Abnahme schreiben

CLI-Checks Backup/Rollback

show running-config
show startup-config
copy running-config startup-config

Go-Live-Runbook: Kompakter Sicherheits-Post-Check (Copy/Paste)

Dieser Post-Check deckt die wichtigsten Sicherheits- und Betriebsindikatoren ab und eignet sich als Anhang im Abnahmeprotokoll.

show ip ssh
show running-config | include line vty|access-class|ip http|ip http secure|aaa
show access-lists
show ip route 0.0.0.0
show ip nat translations
show crypto ikev2 sa
show crypto ipsec sa
show ntp status
show logging | last 50
show processes cpu sorted
show interfaces counters errors

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)