March 6, 2026

Audit der Cisco-Router-Konfiguration: 30 häufigste Findings (und Fixes)

Ein regelmäßiges Audit der Cisco-Router-Konfiguration ist entscheidend, um Sicherheitslücken, Fehlkonfigurationen und Abweichungen von Unternehmensstandards zu erkennen. In der Praxis treten immer wieder bestimmte Findings auf, die bei Produktions-Routern beobachtet werden. Dieser Leitfaden beschreibt die 30 häufigsten Findings und zeigt praxisnahe Fixes, damit Einsteiger, IT-Studierende und Junior Network Engineers effektive Korrekturmaßnahmen umsetzen können.

1. Unsichere Passwörter

Viele Router verwenden noch einfache Passwörter oder unverschlüsselte Enable-Passwörter.

Fix:
Router(config)# enable secret 
Router(config)# service password-encryption

2. Unverschlüsselte VTY- und Console-Zugänge

Telnet oder fehlende Login-Prompts ermöglichen unautorisierten Zugriff.

Fix:
Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# transport input ssh
Router(config-line)# exec-timeout 10 0

3. Unbenutzte Interfaces aktiv

Offene, ungenutzte Ports sind potenzielle Angriffsflächen.

Fix:
Router(config)# interface FastEthernet0/1
Router(config-if)# shutdown

4. Fehlende ACLs

Ohne Zugriffskontrollen kann beliebiger Traffic auf Schnittstellen gelangen.

Fix:
Router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 100 in

5. Routing-Protokolle ohne Authentifizierung

Angreifer könnten Routing-Nachrichten manipulieren.

Fix:
Router(config)# router ospf 1
Router(config-router)# area 0 authentication message-digest
Router(config-router)# ip ospf message-digest-key 1 md5

6. Unnötige Dienste aktiv

Dienste wie HTTP, CDP oder Finger erhöhen die Angriffsfläche.

Fix:
Router(config)# no ip http server
Router(config)# no cdp run
Router(config)# no ip finger

7. SNMP unsicher konfiguriert

SNMPv1/v2 ohne Authentifizierung ist kritisch.

Fix:
Router(config)# snmp-server group SECURE v3 priv
Router(config)# snmp-server user netadmin SECURE v3 auth sha  priv aes 128

8. NTP ohne Authentifizierung

Manipulierte NTP-Server können Routing und Logging beeinflussen.

Fix:
Router(config)# ntp server 192.168.1.20 prefer
Router(config)# ntp authenticate
Router(config)# ntp authentication-key 1 md5 
Router(config)# ntp trusted-key 1

9. Logging nicht aktiviert

Fehlende Protokollierung erschwert Incident Response.

Fix:
Router(config)# logging 192.168.1.10
Router(config)# logging trap informational
Router(config)# logging on

10. AAA nicht aktiviert

Fehlende zentrale Authentifizierung reduziert Kontrolle über Zugriffe.

Fix:
Router(config)# aaa new-model
Router(config)# aaa authentication login default group radius local
Router(config)# aaa authorization exec default group radius local

11. Backup fehlt oder veraltet

Ohne aktuelle Backups ist schnelle Wiederherstellung unmöglich.

Fix:
Router# copy running-config tftp
Address or name of remote host []? 192.168.1.50
Destination filename [running-config]? router_backup.cfg

12. IOS-Version veraltet

Bekannte Sicherheitslücken bleiben bestehen.

Fix:
Router# show version
Router# upgrade IOS auf aktuelle, geprüfte Version

13. Ungepatchte Sicherheitslücken

Fehlende Patches erhöhen Exploit-Risiko.

Fix:
Regelmäßige Updates und Überprüfung bekannter CVEs

14. Fehlende CPPr / Traffic-Shaping

Control Plane kann bei Flooding überlastet werden.

Fix:
Router(config)# class-map match-any CP_TRAFFIC
Router(config-cmap)# match access-group 101
Router(config)# policy-map CP_POLICY
Router(config-pmap)# class CP_TRAFFIC
Router(config-pmap-c)# police 1000000 8000 8000 conform-action transmit exceed-action drop
Router(config)# control-plane
Router(config-cp)# service-policy input CP_POLICY

15. DHCP-Snooping nicht aktiv

Rogue DHCP-Server möglich.

Fix:
Router(config)# ip dhcp snooping
Router(config)# ip dhcp snooping vlan 1

16. Dynamic ARP Inspection deaktiviert

ARP-Spoofing ungeschützt.

Fix:
Router(config)# ip arp inspection vlan 1

17. NAT-Konfiguration fehlerhaft

Traffic kann nicht korrekt geroutet werden.

Fix:
Router(config)# ip nat inside source list 1 interface GigabitEthernet0/0 overload

18. VLAN-Fehler oder falsche Native VLAN

VLAN-Hopping möglich.

Fix:
Router(config)# interface GigabitEthernet0/1
Router(config-if)# switchport trunk native vlan 999

19. Unverschlüsselte VPN-Verbindungen

Datenverkehr könnte abgefangen werden.

Fix:
IPSec oder SSL-VPN mit starken Verschlüsselungsalgorithmen konfigurieren

20. IPv6 nicht abgesichert

ICMPv6 oder unkontrollierter IPv6-Traffic möglich.

Fix:
Router(config)# ipv6 access-list EDGE_FILTER
Router(config-ipv6-acl)# deny ipv6 any any
Router(config-if)# ipv6 traffic-filter EDGE_FILTER in

21. Unzureichendes Monitoring

Fehler oder Angriffe bleiben unentdeckt.

Fix:
SNMPv3, NetFlow, Syslog und SNMP-Traps konfigurieren

22. Fehlende VLAN-Segmentierung

Angriffe können lateral durch das Netzwerk wandern.

Fix:
Netzwerk in sichere VLANs segmentieren, ACLs einsetzen

23. Routing-Updates unverschlüsselt

Gefahr von Routing Manipulationen.

Fix:
MD5-Authentifizierung für OSPF/EIGRP/BGP aktivieren

24. Unnötige Protokolle aktiv

Bootp, Finger oder HTTP unnötig aktiv.

Fix:
no ip bootp server
no ip finger
no ip http server

25. Fehlende Timeouts

Idle-Sessions bleiben offen und anfällig.

Fix:
Router(config)# line vty 0 4
Router(config-line)# exec-timeout 10 0

26. Physische Sicherheit unzureichend

Geräte sind für unbefugtes Personal zugänglich.

Fix:
Racks abschließen, Zugriff nur für autorisiertes Personal

27. Logging-Level zu niedrig

Wichtige Ereignisse werden nicht protokolliert.

Fix:
Router(config)# logging trap informational
Router(config)# logging on

28. Fehlende Change-Management-Dokumentation

Änderungen nicht nachvollziehbar.

Fix:
Alle Konfigurationsänderungen in Change-Logs dokumentieren

29. Backup nicht getestet

Wiederherstellung im Notfall unsicher.

Fix:
Regelmäßige Restore-Tests durchführen

30. Fehlende Richtlinien für Branch-Office-Router

Inhomogene Konfigurationen erhöhen Risiko.

Fix:
Standardisierte Config-Templates implementieren und auditieren

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind