SSH-Brute-Force-Angriffe stellen eine der häufigsten Bedrohungen für Cisco-Router dar, insbesondere wenn diese über öffentliche Schnittstellen erreichbar sind. Angreifer versuchen dabei systematisch, Benutzernamen und Passwörter zu erraten, um unautorisierten Zugriff zu erlangen. Für Netzwerkadministratoren ist es entscheidend, diese Angriffe frühzeitig zu erkennen, passende Tuning-Maßnahmen zu implementieren und ein Response-Playbook vorzuhalten, um die Security und Verfügbarkeit zu gewährleisten.
Indicators für SSH-Brute-Force-Aktivitäten
Die Identifikation von Brute-Force-Angriffen erfolgt über die Analyse von Logs und Telemetrie-Daten. Typische Indikatoren umfassen:
Erhöhte Fehlgeschlagene Login-Versuche
- Mehrere Login-Versuche von derselben IP innerhalb kurzer Zeit
- Fehlermeldungen wie “Login invalid” oder “Authentication failed”
- Häufiges Wechseln von Benutzernamen durch den Angreifer
show logging | include "Login invalid"
show users
show aaa authentication failures
Anomalien bei Sessions
- Ungewöhnlich viele gleichzeitige SSH-Sessions
- Abbruch von Sessions kurz nach Authentifizierungsversuch
- Erhöhter CPU- oder Memory-Load durch parallele Verbindungen
show processes cpu
show sessions
show users
Netzwerkbasierte Indikatoren
- Plötzliche Traffic-Spikes auf TCP-Port 22
- ICMP oder TCP-Reset-Pakete im Zusammenhang mit fehlgeschlagenen Verbindungen
- Häufige Verbindungen aus ungewöhnlichen Regionen
show interface GigabitEthernet0/1 | include rate
show ip access-lists SSH-FILTER
show flow monitor FLOW-MON
Tuning und Präventive Maßnahmen
Um SSH-Brute-Force-Angriffe wirksam zu begrenzen, sollte der Router entsprechend gehärtet werden.
AAA- und Authentication Policies
- Lokale Benutzerkonten mit starken Passwörtern oder zentral via TACACS+/RADIUS
- Login-Block nach definierten Fehlversuchen
- Exec-Time-Outs zur Vermeidung offener Sessions
aaa new-model
aaa authentication login default group tacacs+ local
login block-for 60 attempts 5 within 60
line vty 0 4
exec-timeout 5 0
login authentication default
transport input ssh
Access Control & Management Plane Protection
- Management-Zugriff nur aus vertrauenswürdigen Subnetzen
- Rate-Limits für SSH-Pakete auf Control-Plane aktivieren
- CoPP oder ACLs für TCP-Port 22
ip access-list extended MGMT-ACL
permit tcp any eq 22
deny ip any any
interface GigabitEthernet0/0
ip access-group MGMT-ACL in
control-plane
service-policy input COPP-SSH
Logging und Monitoring
- Syslog-Server für zentrale Auswertung konfigurieren
- Alerts bei wiederholten fehlgeschlagenen Logins
- NetFlow oder Telemetry zur Anomalie-Erkennung einsetzen
logging host 192.0.2.10
logging trap warnings
show logging
show flow monitor SSH-FLOW
Response-Playbook bei SSH-Brute-Force
Ein standardisiertes Playbook stellt sicher, dass Angriffe effizient erkannt und behandelt werden.
1. Detection
- Überwachung der Logs und Telemetrie-Daten
- Alerts bei Überschreiten definierter Schwellenwerte
2. Containment
- Temporäre IP-Blockierung via ACL oder Firewall
- Erhöhung der Rate-Limits für die Control-Plane
ip access-list extended TEMP-BLOCK
deny tcp host any eq 22
permit ip any any
interface GigabitEthernet0/0
ip access-group TEMP-BLOCK in
3. Investigation
- Analyse der SSH-Logs und betroffener User-Accounts
- Prüfung auf erfolgreiche Kompromittierungen
show logging | include "Login invalid"
show users
show aaa accounting
4. Remediation
- Änderung kompromittierter Passwörter
- Review der AAA- und ACL-Konfiguration
- Updates für IOS/IOS-XE zur Behebung bekannter Sicherheitslücken
5. Lessons Learned
- Anpassung der Schwellenwerte für Login-Block und Rate-Limits
- Ergänzung fehlender Monitoring-KPIs
- Dokumentation des Vorfalls für Audit und Compliance
Best Practices für kontinuierliche Sicherheit
- Regelmäßige Überprüfung der AAA-Konfigurationen
- Kontinuierliches Monitoring und Logging von SSH-Access
- Simulierte Brute-Force-Tests in sicheren Lab-Umgebungen
- Integration in Security-Information-and-Event-Management (SIEM)-Systeme
Durch die konsequente Umsetzung von Indicators Monitoring, präventiven Tuning-Maßnahmen und einem klar definierten Response-Playbook lassen sich SSH-Brute-Force-Angriffe frühzeitig erkennen, effektiv begrenzen und nachverfolgen. Dies schützt nicht nur die Integrität und Verfügbarkeit der Edge-Router, sondern erhöht auch die Auditierbarkeit und Compliance im Enterprise-Umfeld.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
