SSH-Hardening auf Cisco-Routern ist ein zentraler Bestandteil der Management-Plane-Security. Es schützt die sensiblen Zugänge vor Brute-Force-Angriffen, Man-in-the-Middle-Attacken und unsicheren Verbindungen. Ein robustes Hardening umfasst die Auswahl sicherer Cipher-Suites und Key-Exchange-Methoden, die Konfiguration von Session-Timeouts sowie die Definition von Access-Policies.
1. Grundlegende SSH-Konfiguration
SSH muss aktiviert und Telnet deaktiviert werden. Lokale Benutzerkonten oder AAA-Integration sorgen für Authentifizierung:
hostname Router
ip domain-name example.com
crypto key generate rsa modulus 2048
username admin privilege 15 secret SehrStarkesPasswort
aaa new-model
line vty 0 4
login local
transport input ssh
exec-timeout 10 02. Cipher- und Key-Exchange-Hardening
Unsichere Cipher oder veraltete Key-Exchange-Methoden erhöhen das Risiko von Angriffen. Empfohlen sind starke Algorithmen:
- Cipher: aes256-ctr, aes192-ctr, aes128-ctr
- MACs: hmac-sha2-256, hmac-sha2-512
- KEX: diffie-hellman-group14-sha256 oder höher
ip ssh server algorithm encryption aes256-ctr aes192-ctr aes128-ctr
ip ssh server algorithm mac hmac-sha2-256 hmac-sha2-512
ip ssh server algorithm kex diffie-hellman-group14-sha2563. Session-Timeouts und Login Policies
Timeouts reduzieren das Risiko ungenutzter Sessions. Zusätzlich sollte die Anzahl der Login-Versuche limitiert werden:
line vty 0 4
exec-timeout 5 0
login block-for 60 attempts 3 within 60
transport input ssh- Exec-Timeout: Automatisches Logout nach Inaktivität
- Login block-for: Sperrt den Zugang bei mehreren fehlerhaften Versuchen
- Transport Input: Nur SSH zulassen, Telnet deaktivieren
4. Access-Policies für Management-Zugriff
Nur autorisierte Hosts sollten auf die SSH-Schnittstellen zugreifen können:
ip access-list standard MGMT-ACL
permit 10.10.10.0 0.0.0.255
deny ip any any
line vty 0 4
access-class MGMT-ACL in- Management-Zugriff nur aus definierten Subnetzen
- Produktion, Guest und Management strikt trennen
- VRF oder dedizierte VLANs verwenden
5. Logging und Monitoring
Alle SSH-Zugriffe und Fehlversuche sollten protokolliert werden:
logging host 10.10.10.200
logging trap informational
service timestamps log datetime msec localtime- Syslog-Server zentralisieren
- Alarme bei wiederholten fehlerhaften Login-Versuchen
- Regelmäßige Audit-Reports generieren
6. Best Practices
- SSH v2 immer erzwingen
- Starke Ciphers, MACs und KEX-Methoden wählen
- Session-Timeouts und Login-Limits implementieren
- Management-Zugriff über ACLs und VRFs isolieren
- Regelmäßige Überprüfung der SSH-Konfigurationen
- Dokumentation und Schulung für IT-Teams
7. CLI-Zusammenfassung für Secure SSH
hostname Router
ip domain-name example.com
crypto key generate rsa modulus 2048
username admin privilege 15 secret SehrStarkesPasswort
aaa new-model
! SSH Hardening
ip ssh version 2
ip ssh server algorithm encryption aes256-ctr aes192-ctr aes128-ctr
ip ssh server algorithm mac hmac-sha2-256 hmac-sha2-512
ip ssh server algorithm kex diffie-hellman-group14-sha256
! Access & Timeout Policies
line vty 0 4
login local
transport input ssh
exec-timeout 5 0
login block-for 60 attempts 3 within 60
access-class MGMT-ACL in
! ACL Definition
ip access-list standard MGMT-ACL
permit 10.10.10.0 0.0.0.255
deny ip any any
! Logging
logging host 10.10.10.200
logging trap informational
service timestamps log datetime msec localtime
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
