Session Hardening auf Cisco-Routern ist ein wesentlicher Bestandteil der Management-Plane-Security. Ziel ist es, administrative Sitzungen abzusichern, unbefugte Zugriffe zu verhindern und das Risiko von Brute-Force-Angriffen zu minimieren. Wichtige Maßnahmen umfassen die Konfiguration von Exec-Timeouts, Login-Block-Mechanismen und zusätzliche Schutzfunktionen für VTY- und Konsolen-Linien.
Exec-Timeout: Automatische Session-Beendigung
Ein Exec-Timeout beendet automatisch inaktive Sessions, um ungenutzte offene Zugänge zu schließen:
line vty 0 4
exec-timeout 10 0- Die Session wird nach 10 Minuten Inaktivität beendet
- Timeout kann je nach Sicherheitsanforderungen angepasst werden
- Gilt sowohl für lokale als auch für zentrale Authentifizierung über AAA
Login Block: Schutz vor Brute-Force-Angriffen
Der Login-Block verhindert wiederholte fehlerhafte Login-Versuche und schützt vor Brute-Force-Attacken:
login block-for 60 attempts 3 within 60- Blockiert den Benutzer 60 Sekunden nach 3 fehlerhaften Versuchen innerhalb von 60 Sekunden
- Reduziert die Wahrscheinlichkeit, dass Passwörter durch Erraten kompromittiert werden
- Kann in Kombination mit AAA und TACACS+/RADIUS genutzt werden
Zusätzliche Schutzmechanismen
Transport Input einschränken
Nur sichere Protokolle zulassen:
line vty 0 4
transport input ssh- Telnet deaktivieren, da unverschlüsselt
- Nur SSH-Zugriffe zulassen
ACLs für Management-Zugriffe
Zugriff auf VTY- und Konsolen-Linien nur aus autorisierten Subnetzen erlauben:
ip access-list standard MGMT-ACL
permit 10.10.10.0 0.0.0.255
deny ip any any
line vty 0 4
access-class MGMT-ACL in- Nur Administratoren aus bekannten Management-Subnets erhalten Zugriff
- Produktions- und Admin-Traffic strikt trennen
AAA-Integration und Accounting
Durch AAA können Sessions zentral überwacht und protokolliert werden:
aaa new-model
aaa authentication login VTY-LOGIN group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+- Start/Stop von Sessions wird über Accounting protokolliert
- Fehlerhafte Logins und Blockierungen werden nachverfolgbar
- Audit-Evidenz für Compliance
Best Practices für Session Hardening
- Exec-Timeout konsequent auf VTY- und Konsolen-Linien setzen
- Login Block zur Reduktion von Brute-Force-Risiken implementieren
- Transport Input auf SSH beschränken, Telnet deaktivieren
- ACLs für autorisierte Management-Subnets einrichten
- AAA und Logging für zentrale Überwachung und Audit nutzen
- Regelmäßige Überprüfung und Anpassung der Parameter
Praxisbeispiel CLI-Zusammenfassung
! Exec-Timeout konfigurieren
line vty 0 4
exec-timeout 10 0
! Login Block konfigurieren
login block-for 60 attempts 3 within 60
! Transport Input einschränken
transport input ssh
! ACL für Management-Zugriff
ip access-list standard MGMT-ACL
permit 10.10.10.0 0.0.0.255
deny ip any any
line vty 0 4
access-class MGMT-ACL in
! AAA und Accounting
aaa new-model
aaa authentication login VTY-LOGIN group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
! Logging
logging host 10.10.10.200
service timestamps log datetime msec localtime
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
