Interfaces am Internet-Edge sind die primäre Angriffsfläche für externe Bedrohungen. Offene, falsch konfigurierte oder ungenutzte Ports können als Einstiegspunkt für Angriffe dienen. Interface-Security zielt darauf ab, die Angriffsfläche zu minimieren, den Zugriff zu kontrollieren und den Betrieb sicher zu gestalten. Dieser Leitfaden zeigt praxisorientierte Maßnahmen für Edge-Router, inklusive CLI-Beispielen und Best Practices.
Grundprinzipien der Edge-Interface-Security
- Nur notwendige Services aktivieren
- Unbenutzte Interfaces deaktivieren
- Management-Traffic von User-Traffic trennen
- ACLs, Firewalls und VRFs nutzen, um Zugriff zu beschränken
- Logging und Monitoring aktivieren
Unbenutzte Interfaces deaktivieren
Unbenutzte Ports am Edge-Router erhöhen unnötig die Angriffsfläche.
Router(config)# interface GigabitEthernet0/1
Router(config-if)# shutdown
Router(config-if)# description UNUSED - Disabled for security- Alle ungenutzten Interfaces dokumentieren
- Regelmäßig Inventarisierung durchführen
- Temporär aktivierte Interfaces nach Gebrauch wieder deaktivieren
ACLs zur Zugriffskontrolle
ACLs (Access Control Lists) begrenzen den Zugriff auf autorisierte IP-Adressen und Dienste.
Router(config)# access-list 101 permit tcp 203.0.113.0 0.0.0.255 any eq 22
Router(config)# access-list 101 permit udp 198.51.100.0 0.0.0.255 any eq 161
Router(config)# access-list 101 deny ip any any log
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 101 in- SSH nur aus vertrauenswürdigen Subnetzen zulassen
- SNMP nur für Monitoring-Server
- Alle anderen Verbindungen blockieren
- Logging aktivieren, um Angriffsversuche zu erkennen
Management-Traffic isolieren
Management VRFs helfen, Admin-Zugriffe vom öffentlichen User-Traffic zu trennen.
Router(config)# ip vrf MGMT
Router(config-vrf)# rd 100:1
Router(config)# interface GigabitEthernet0/0
Router(config-if)# vrf forwarding MGMT
Router(config-if)# ip address 192.168.200.1 255.255.255.0- AAA- und Logging-Server innerhalb der VRF erreichbar
- ACLs nur für autorisierte Management-Hosts
- SSH erzwingen, Telnet deaktivieren
Service-Härtung
Edge-Router sollten nur die unbedingt benötigten Services aktivieren.
Router(config)# no ip http server
Router(config)# no ip http secure-server
Router(config)# no cdp run
Router(config)# no ip bootp server
Router(config)# no ip finger- CDP/LLDP nur auf internen Interfaces aktivieren
- Unbenutzte Services deaktivieren
- SNMP v3 mit Authentifizierung und Verschlüsselung verwenden
SSH-Key-Management und Authentifizierung
Sichere Remote-Administration am Edge erfordert SSH-Keys und AAA-Integration.
Router(config)# ip ssh version 2
Router(config)# crypto key generate rsa modulus 2048
Router(config)# aaa new-model
Router(config)# aaa authentication login default group tacacs+ local
Router(config)# aaa authorization exec default group tacacs+ local- SSH erzwingen, Telnet deaktivieren
- Lokale Accounts nur als Fallback
- AAA und Accounting zur Auditfähigkeit
Timeouts und Session-Sicherheit
Idle-Sessions erhöhen das Risiko unbefugter Nutzung.
Router(config)# line vty 0 4
Router(config-line)# exec-timeout 5 0
Router(config-line)# transport input ssh- Timeouts für alle VTY- und Console-Lines setzen
- Idle-Timeouts an operative Anforderungen anpassen
- Management-ACLs und VRFs kombinieren
Monitoring und Logging
Alle Edge-Interfaces sollten überwacht werden, um Angriffe oder Fehlkonfigurationen frühzeitig zu erkennen.
Router(config)# logging buffered 16384 debugging
Router(config)# logging host 192.168.200.10 vrf MGMT
Router(config)# show logging- Syslog zentralisieren
- Alerting bei ungewöhnlichem Traffic konfigurieren
- AAA-Accounting ergänzend nutzen
Zusätzliche Best Practices
- Redundante AAA- und Logging-Server einsetzen
- Regelmäßige Audit-Überprüfung der ACLs und Interface-Konfigurationen
- Temporär aktivierte Interfaces nach Abschluss deaktivieren
- Backups der Router-Konfiguration erstellen
- Integration in SOPs für Netzwerk-Hardening und Change Management
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
