March 29, 2026

Anhang A → Grundlegende Cisco-Sicherheitsbefehle für Einsteiger

Grundlegende Cisco-Sicherheitsbefehle gehören zu den wichtigsten Werkzeugen für den Einstieg in die Netzwerksicherheit. Wer Cisco-Switches und -Router administriert, muss nicht sofort komplexe Enterprise-Sicherheitsarchitekturen beherrschen, sollte aber die wichtigsten CLI-Befehle kennen, mit denen sich Management-Zugänge absichern, Layer-2-Risiken reduzieren, Segmentierung kontrollieren und sicherheitsrelevante Zustände prüfen lassen. Gerade für Einsteiger ist es entscheidend, diese Befehle nicht nur zu kopieren, sondern ihren Zweck technisch zu verstehen. Ein Kommando wie ip ssh version 2, eine Zugriffsklasse auf den VTY-Lines oder eine Port-Security-Konfiguration ist nur dann wirklich nützlich, wenn klar ist, welches Risiko damit adressiert wird. Genau deshalb bündelt dieser Anhang die wichtigsten Cisco-Sicherheitsbefehle für Einsteiger in einer strukturierten Form: mit Fokus auf praktische Anwendung, technische Wirkung und sinnvolle Einordnung im Netzwerkalltag.

Table of Contents

Warum grundlegende Cisco-Sicherheitsbefehle so wichtig sind

In Cisco-Umgebungen beginnt Sicherheit oft nicht bei spezialisierten Appliances, sondern direkt auf Switches und Routern. Access-Ports, VLAN-Zuordnungen, Management-Zugänge, ACLs, DHCP-Snooping-Regeln oder Logmeldungen entscheiden im Alltag darüber, ob ein kleines Firmennetz robust oder unnötig angreifbar ist. Genau deshalb sollte jeder Einsteiger zuerst die Basiskommandos beherrschen, die den größten praktischen Sicherheitsgewinn liefern.

Besonders wichtig ist dabei die Reihenfolge. Zuerst müssen Management-Zugänge gesichert, dann Netzbereiche logisch getrennt, anschließend Access-Ports gehärtet und zuletzt Zustände regelmäßig geprüft werden. Wer diese Logik versteht, baut eine stabile Grundlage für weiterführende Security-Themen auf.

Wichtige Zielbereiche für Einsteiger

  • Sichere Administration per SSH statt Telnet
  • Lokale Benutzerkonten und Zugriffskontrolle
  • Segmentierung mit VLANs
  • ACLs zur Steuerung von Kommunikationspfaden
  • Port Security und DHCP Snooping am Access-Layer
  • Logging und Show-Befehle zur Sicherheitsprüfung

Grundbefehle für sichere Gerätekonfiguration

Bevor spezifische Sicherheitsfunktionen aktiviert werden, sollte das Gerät sauber benannt und grundsätzlich vorbereitet werden. Diese Basis wirkt unscheinbar, ist aber wichtig, weil viele weitere Funktionen darauf aufbauen. Ein Gerät ohne Hostname, Domain-Name oder Benutzerkonten ist operativ schwerer zu verwalten und meist schlechter abgesichert.

Hostname und Domain-Name setzen

enable
configure terminal
hostname SW1
ip domain-name firma.local

Der Hostname macht das Gerät eindeutig identifizierbar. Der Domain-Name ist unter anderem für die SSH-Schlüsselerzeugung relevant. Ohne ihn lassen sich manche kryptografischen Funktionen nicht sinnvoll initialisieren.

Lokalen Administrator anlegen

username admin privilege 15 secret StarkesPasswort123

Mit diesem Befehl wird ein lokales Administratorkonto mit privilegierter Stufe 15 angelegt. Das Schlüsselwort secret ist sicherheitsrelevant, weil das Passwort nicht einfach im Klartext gespeichert werden soll. Für Einsteiger ist wichtig: Lokale Benutzerkonten sind besser als ungeschützte oder gemeinsame Standardzugänge.

Enable Secret setzen

enable secret NochStaerkeresPasswort456

Das enable secret schützt den privilegierten EXEC-Modus. Es sollte immer gesetzt werden, damit nicht jeder Konsolenzugang oder einfache Login automatisch administrative Vollrechte erhält.

SSH statt Telnet für sichere Administration

Einer der wichtigsten Sicherheitsgrundsätze in Cisco-Umgebungen lautet: Telnet vermeiden, SSH verwenden. Telnet überträgt Zugangsdaten und Sitzungsinhalte im Klartext. SSH verschlüsselt die Verbindung und schützt damit sowohl Zugangsdaten als auch Management-Verkehr.

RSA-Schlüssel erzeugen und SSH aktivieren

crypto key generate rsa
ip ssh version 2

Mit crypto key generate rsa werden die benötigten kryptografischen Schlüssel erzeugt. ip ssh version 2 erzwingt die modernere SSH-Version 2, die aus Sicherheitssicht klar vorzuziehen ist.

VTY-Lines für SSH konfigurieren

line vty 0 4
 login local
 transport input ssh
exit

Diese drei Zeilen sind für Einsteiger besonders wichtig:

  • login local nutzt die lokal konfigurierten Benutzerkonten
  • transport input ssh erlaubt nur SSH und sperrt Telnet
  • die VTY-Lines definieren den Bereich der virtuellen Terminalzugänge

SSH-Status prüfen

show ip ssh
show users

show ip ssh zeigt den SSH-Status und hilfreiche Parameter. show users zeigt aktive Sitzungen und ist für Kontrolle und Incident Response nützlich.

Zugriff auf Management-Zugänge beschränken

SSH allein reicht nicht aus. Ein sicherer Management-Zugang sollte zusätzlich nur aus definierten Netzen oder Administrationssegmenten erreichbar sein. Genau hier kommen Standard-ACLs und Zugriffsklassen auf den VTY-Lines ins Spiel.

Standard-ACL für Management-Netz definieren

access-list 10 permit 192.168.40.0 0.0.0.255

Diese ACL erlaubt Management-Zugriffe nur aus dem Netz 192.168.40.0/24. Die Wildcard-Maske 0.0.0.255 passt zu einem /24-Netz. Für Einsteiger ist wichtig, dass Standard-ACLs typischerweise die Quelladresse filtern.

ACL auf die VTY-Lines anwenden

line vty 0 4
 access-class 10 in
 login local
 transport input ssh
exit

Mit access-class 10 in wird der Zugriff auf die VTY-Lines nur aus erlaubten Quellnetzen zugelassen. Damit entsteht ein deutlich sichererer Administrationspfad: verschlüsselt und zugleich in der Reichweite begrenzt.

Konsolenzugang absichern

Auch wenn Remote-Zugriffe im Fokus stehen, sollte der Konsolenzugang nicht vergessen werden. Besonders in kleinen Umgebungen oder im Lab wird die Konsole oft breit genutzt. Eine fehlende Absicherung schafft unnötige Risiken.

Lokalen Login auf der Konsole aktivieren

line console 0
 login local
 exec-timeout 5 0
 logging synchronous
exit

Diese Konfiguration hat mehrere sinnvolle Effekte:

  • login local fordert lokale Authentifizierung
  • exec-timeout 5 0 beendet inaktive Sitzungen nach fünf Minuten
  • logging synchronous verbessert die Bedienbarkeit bei Logmeldungen

Gerade das Timeout ist eine kleine, aber wirkungsvolle Maßnahme gegen offen gelassene Konsolensitzungen.

VLAN-Segmentierung als Basisschutz

Segmentierung ist einer der größten Sicherheitshebel in kleinen und mittleren Cisco-Netzen. Statt alle Geräte in einem flachen Netz zu betreiben, sollten Clients, Server, Management-Systeme, Gäste oder Drucker logisch getrennt werden. Cisco-Switches setzen das typischerweise mit VLANs um.

VLANs anlegen

vlan 10
 name CLIENTS
vlan 20
 name SERVERS
vlan 40
 name MGMT
vlan 50
 name GUEST
exit

Die Namen sind nicht nur kosmetisch, sondern erhöhen die Lesbarkeit der Konfiguration und erleichtern spätere Analyse und Dokumentation.

Access-Port einem VLAN zuweisen

interface FastEthernet0/5
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
exit

Mit dieser Konfiguration wird der Port als Access-Port im Client-VLAN 10 betrieben. spanning-tree portfast ist auf Endgeräteports üblich, sollte aber nur dort eingesetzt werden, wo keine Switch-zu-Switch-Verbindungen erwartet werden.

VLAN-Zustände prüfen

show vlan brief
show interfaces status

Diese Befehle gehören zu den wichtigsten Prüfkommandos für Einsteiger. Sie zeigen schnell, welche Ports welchen VLANs zugeordnet sind und ob Interfaces aktiv sind.

Trunks kontrollieren und absichern

Wenn mehrere VLANs zwischen Switches oder zwischen Switch und Layer-3-Gerät transportiert werden, kommen Trunks zum Einsatz. Gerade hier passieren häufig Fehler, die Segmentierung unwirksam machen oder Management-VLANs unbeabsichtigt mittragen.

Trunk-Port konfigurieren

interface GigabitEthernet0/1
 switchport mode trunk
exit

Je nach Plattform und IOS-Version kann es sinnvoll oder notwendig sein, erlaubte VLANs zusätzlich explizit zu definieren.

Erlaubte VLANs einschränken

interface GigabitEthernet0/1
 switchport trunk allowed vlan 10,20,40,50
exit

Diese Einschränkung ist sicherheitsrelevant, weil sie verhindert, dass unnötige VLANs über den Trunk transportiert werden. Das reduziert Fehlkonfigurationsrisiken und macht Segmentierung klarer.

Trunk-Status prüfen

show interfaces trunk

Mit diesem Befehl lässt sich nachvollziehen, welche Interfaces tatsächlich als Trunk arbeiten und welche VLANs darüber erlaubt oder aktiv sind.

ACLs für grundlegende Zugriffskontrolle

Sobald zwischen VLANs oder Subnetzen geroutet wird, ist Zugriffskontrolle erforderlich. Cisco-ACLs sind eines der wichtigsten Werkzeuge dafür. Für Einsteiger ist vor allem wichtig, die Logik zu verstehen: Regeln werden von oben nach unten verarbeitet, die erste passende Regel greift, und am Ende existiert ein implizites deny.

Einfache Standard-ACL

access-list 10 permit 192.168.40.0 0.0.0.255

Diese ACL wurde bereits für Management-Zugriffe gezeigt. Standard-ACLs prüfen primär die Quelle und sind für einfache Zugriffsbeschränkungen nützlich.

Extended ACL für Kommunikationssteuerung

ip access-list extended CLIENT_FILTER
 deny ip 192.168.10.0 0.0.0.255 192.168.40.0 0.0.0.255
 permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.10 eq 443
 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
 permit ip any any
exit

Diese ACL blockiert Client-Zugriffe ins Management-Netz, erlaubt HTTPS zu genau einem Server und sperrt anderen Verkehr ins Servernetz. Für Einsteiger ist dieses Beispiel hilfreich, weil es die praktische Wirkung von Reihenfolge und Spezifität zeigt.

ACL auf Interface anwenden

interface vlan 10
 ip access-group CLIENT_FILTER in
exit

Die Richtung in bedeutet, dass die ACL den Verkehr prüft, sobald er an der SVI des VLAN 10 ankommt. Die Platzierung ist genauso wichtig wie die Regel selbst.

ACLs prüfen

show access-lists
show ip interface

show access-lists zeigt Regeln und oft auch Trefferzähler. show ip interface hilft dabei zu erkennen, ob eine ACL überhaupt auf ein Interface gebunden wurde.

Port Security für Access-Ports

Port Security ist eine wichtige Einsteigerfunktion, um unerlaubte oder zu viele MAC-Adressen an Access-Ports zu begrenzen. Sie schützt nicht gegen jeden Angriff, reduziert aber das Risiko unkontrollierter Geräteanschlüsse deutlich.

Grundkonfiguration für Port Security

interface FastEthernet0/5
 switchport mode access
 switchport access vlan 10
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address sticky
 switchport port-security violation shutdown
 spanning-tree portfast
exit

Diese Konfiguration bewirkt:

  • Port Security ist aktiviert
  • nur eine MAC-Adresse ist erlaubt
  • die gelernte MAC-Adresse wird sticky übernommen
  • bei Verstoß geht der Port in Shutdown

Gerade sticky ist für Einsteiger praktisch, weil es die erste gelernte MAC-Adresse automatisch bindet.

Port-Security-Status prüfen

show port-security
show port-security interface FastEthernet0/5

Diese Befehle zeigen globale und interfacebezogene Statusinformationen, etwa erlaubte MAC-Adressen, Violation-Zähler und Portzustände.

DHCP Snooping gegen Rogue-DHCP

DHCP Snooping gehört zu den wichtigsten Layer-2-Sicherheitsfunktionen in Cisco-Switch-Netzen. Es schützt vor unerlaubten DHCP-Servern, die Clients falsche Netzparameter wie Gateway oder DNS-Server zuweisen könnten.

DHCP Snooping global und pro VLAN aktivieren

ip dhcp snooping
ip dhcp snooping vlan 10,20,50

Damit wird DHCP Snooping grundsätzlich aktiviert und auf ausgewählte VLANs angewendet. Ohne VLAN-Angabe greift die Funktion nicht sinnvoll im gewünschten Bereich.

Uplink als trusted definieren

interface GigabitEthernet0/1
 ip dhcp snooping trust
exit

Nur auf trusted Ports sollen legitime DHCP-Serverantworten akzeptiert werden. Access-Ports bleiben typischerweise untrusted.

DHCP Snooping prüfen

show ip dhcp snooping
show ip dhcp snooping binding

show ip dhcp snooping zeigt den globalen Status, konfigurierte VLANs und trusted Ports. show ip dhcp snooping binding zeigt die erfassten Zuordnungen zwischen IP, MAC, VLAN und Interface.

Ungenutzte Ports deaktivieren

Eine einfache, aber oft übersehene Sicherheitsmaßnahme ist das Deaktivieren ungenutzter Ports. Offene Access-Ports schaffen unnötige Angriffsfläche, besonders in Büros, Schulungsräumen oder gemeinsam genutzten Umgebungen.

Port deaktivieren

interface FastEthernet0/20
 shutdown
 description UNUSED_PORT
exit

Diese Maßnahme ist schnell umgesetzt und reduziert das Risiko spontaner oder unautorisierter Verbindungen deutlich.

Status prüfen

show interfaces status

Hier lässt sich kontrollieren, welche Ports aktiv, down oder administratively down sind.

Passwörter und Klartextschutz verbessern

Einsteiger sollten verstehen, dass Passwortsicherheit auf Cisco-Geräten nicht mit einem einzigen Kommando erledigt ist. Wichtig sind sichere secret-Einträge, lokale Konten und das Vermeiden unnötiger Klartextkonfigurationen.

Passwortverschleierung aktivieren

service password-encryption

Dieser Befehl verschleiert bestimmte Passworttypen in der Konfiguration. Er ersetzt keine moderne kryptografische Passwortspeicherung, ist aber besser als offen lesbare Klartexte in der laufenden Konfiguration.

Wichtiger als diese Verschleierung bleibt dennoch die Nutzung von secret statt password, wo immer möglich.

Banner und rechtliche Hinweise

Auch wenn es kein technischer Schutzmechanismus im engeren Sinn ist, gehört ein Login-Banner zu den grundlegenden Sicherheitsmaßnahmen. Es kann unautorisierte Nutzung rechtlich klarer rahmen und ist in vielen Umgebungen Standard.

MOTD-Banner setzen

banner motd #Nur autorisierte Benutzer. Unbefugter Zugriff ist verboten.#

Ein Banner ersetzt keine technische Kontrolle, ergänzt aber die Sicherheitskonfiguration sinnvoll.

Wichtige Show-Befehle für Sicherheitsprüfungen

Neben Konfigurationsbefehlen sind Show-Befehle für Einsteiger besonders wichtig. Sie helfen, Zustände sichtbar zu machen und Konfigurationen technisch zu verstehen. Wer Sicherheit nur konfiguriert, aber nie prüft, arbeitet unvollständig.

Besonders wichtige Show-Befehle

show running-config
show startup-config
show ip interface brief
show vlan brief
show interfaces trunk
show interfaces status
show access-lists
show port-security
show ip dhcp snooping
show ip dhcp snooping binding
show logging
show users

Wofür diese Befehle besonders nützlich sind

  • show running-config für die aktuelle Sicherheitskonfiguration
  • show ip interface brief für IP- und Interface-Überblick
  • show vlan brief für Segmentierungsprüfung
  • show interfaces trunk für VLAN-Transport und Trunk-Status
  • show access-lists für Zugriffskontrolllogik
  • show logging für Sichtbarkeit und Ereignisse

Kleine sichere Grundkonfiguration für Einsteiger

Viele der gezeigten Befehle lassen sich in einer kleinen, sinnvollen Basisstruktur kombinieren. Für Einsteiger ist es hilfreich, diese Grundlogik als Checkliste zu verstehen: Gerät identifizieren, lokale Konten anlegen, SSH absichern, Management-Zugriff begrenzen, VLANs strukturieren, Access-Ports härten und Zustände regelmäßig prüfen.

Praktische Basiskomponenten

  • Hostname und Domain-Name setzen
  • Lokales Admin-Konto und Enable Secret konfigurieren
  • SSH aktivieren und Telnet sperren
  • VTY-Zugriff auf ein Management-Netz begrenzen
  • Clients, Server und Management logisch segmentieren
  • Port Security an Access-Ports aktivieren
  • DHCP Snooping gegen Rogue-DHCP nutzen
  • Ungenutzte Ports deaktivieren
  • Show-Befehle regelmäßig zur Kontrolle einsetzen

Genau diese Kombination macht aus einzelnen Befehlen ein kleines, aber wirksames Sicherheitskonzept.

Typische Einsteigerfehler bei Cisco-Sicherheitsbefehlen

Auch einfache Sicherheitsbefehle können wirkungslos oder sogar problematisch werden, wenn ihre Logik nicht verstanden wird. Deshalb ist es wichtig, typische Fehler früh zu kennen. Viele Probleme entstehen nicht durch falsche Syntax, sondern durch falsche Einordnung.

Häufige Fehler

  • SSH wird aktiviert, aber Telnet nicht gesperrt
  • Ein Management-Konto wird angelegt, aber der Zugriff nicht begrenzt
  • VLANs werden erstellt, aber Trunks nicht sauber kontrolliert
  • ACLs werden geschrieben, aber falsch platziert
  • DHCP Snooping wird aktiviert, aber trusted Ports fehlen
  • Port Security wird gesetzt, aber nicht geprüft
  • Logs werden erzeugt, aber nie ausgewertet

Für Einsteiger gilt deshalb: Jede Sicherheitsfunktion sollte nach der Konfiguration mit einem passenden Show-Befehl geprüft werden. Nur so wird aus Konfiguration echte Kontrolle.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

15.6 Das Prinzip der geringsten Rechte im Zugriffsmanagement

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick