March 6, 2026

Credential-Policy am Cisco-Router: Password Secrets, Rotation und Standards

Eine konsistente Credential-Policy auf Cisco-Routern ist entscheidend, um den Zugriff auf Netzwerkgeräte sicher zu gestalten und Compliance-Anforderungen zu erfüllen. Dazu gehören die Definition von starken Passwörtern und Secrets, regelmäßige Rotation, zentrale Standards sowie die Integration in AAA-Systeme. Diese Maßnahmen minimieren das Risiko von unautorisierten Zugriffen und erleichtern das Audit.

Grundprinzipien einer Credential-Policy

  • Starke Passwörter: Komplexe Kombination aus Buchstaben, Zahlen und Sonderzeichen
  • Rotation: Regelmäßiger Austausch von Passwörtern und Secrets
  • Minimalprivilegien: Nur die benötigten Rechte für Benutzer zuweisen
  • Integration in AAA: Zentrale Authentifizierung über TACACS+ oder RADIUS
  • Auditierbarkeit: Jede Passwortänderung und Nutzung protokollieren

Password und Secret Standards

Enable Secret vs. Enable Password

Immer enable secret verwenden, da es verschlüsselt gespeichert wird:

enable secret SehrStarkesPasswort123!

Lokale Benutzerkonten

username admin privilege 15 secret AdminPasswort123!
username support privilege 5 secret SupportPass!456
  • Admins erhalten nur Privilege-Level 15
  • Support-Accounts auf niedrigere Privilegien beschränken
  • Alle Passwörter komplex gestalten

Passwort-Rotation

  • Regelmäßige Änderung alle 30–90 Tage
  • Automatisierte Skripte oder TACACS+/RADIUS-Policies zur Durchsetzung
  • Dokumentation und Audit-Evidenz jeder Änderung
! Beispiel: TACACS+ Password Policy
tacacs-server host 10.10.10.10
 key SehrStarkesPasswort
aaa authentication login default group tacacs+ local
! Passwort-Rotation wird über TACACS+ Policy erzwungen

AAA-Integration

Alle Benutzerzugriffe sollten über zentralisierte Systeme verwaltet werden:

aaa new-model
aaa authentication login VTY-LOGIN group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
  • Fallback auf lokale Accounts nur für Notfälle
  • Auditierbare Protokollierung jeder Session
  • Erleichtert zentrale Passwort-Rotation und Richtlinien

Best Practices für Credential-Management

  • Starke Passwörter und Secrets verwenden, mindestens 12 Zeichen, Mischung aus Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen
  • Enable Secret immer verschlüsselt speichern
  • AAA-Integration bevorzugen, lokale Accounts nur als Fallback
  • Regelmäßige Passwortrotation implementieren und dokumentieren
  • Minimal-Privilegien-Prinzip konsequent umsetzen
  • Audit und Logging aller Änderungen sichern
  • Passwort-Policy in Richtlinien für alle Netzwerkgeräte einheitlich definieren

Praxisbeispiel CLI-Zusammenfassung

! Enable Secret
enable secret SehrStarkesPasswort123!

! Lokale Benutzerkonten

username admin privilege 15 secret AdminPasswort123!

username support privilege 5 secret SupportPass!456


! AAA-Integration

aaa new-model

aaa authentication login VTY-LOGIN group tacacs+ local

aaa authorization exec default group tacacs+ local

aaa accounting exec default start-stop group tacacs+


! Logging & Audit

logging host 10.10.10.200

service timestamps log datetime msec localtime


! Passwort-Rotation via TACACS+

tacacs-server host 10.10.10.10

key SehrStarkesPasswort

! Rotation Policy wird über TACACS+ erzwungen

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind