Ein regelmäßiges Audit der Cisco-Router-Konfiguration ist entscheidend, um Sicherheitslücken, Fehlkonfigurationen und Abweichungen von Unternehmensstandards zu erkennen. In der Praxis treten immer wieder bestimmte Findings auf, die bei Produktions-Routern beobachtet werden. Dieser Leitfaden beschreibt die 30 häufigsten Findings und zeigt praxisnahe Fixes, damit Einsteiger, IT-Studierende und Junior Network Engineers effektive Korrekturmaßnahmen umsetzen können.
1. Unsichere Passwörter
Viele Router verwenden noch einfache Passwörter oder unverschlüsselte Enable-Passwörter.
Fix:
Router(config)# enable secret
Router(config)# service password-encryption 2. Unverschlüsselte VTY- und Console-Zugänge
Telnet oder fehlende Login-Prompts ermöglichen unautorisierten Zugriff.
Fix:
Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# transport input ssh
Router(config-line)# exec-timeout 10 03. Unbenutzte Interfaces aktiv
Offene, ungenutzte Ports sind potenzielle Angriffsflächen.
Fix:
Router(config)# interface FastEthernet0/1
Router(config-if)# shutdown4. Fehlende ACLs
Ohne Zugriffskontrollen kann beliebiger Traffic auf Schnittstellen gelangen.
Fix:
Router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 100 in5. Routing-Protokolle ohne Authentifizierung
Angreifer könnten Routing-Nachrichten manipulieren.
Fix:
Router(config)# router ospf 1
Router(config-router)# area 0 authentication message-digest
Router(config-router)# ip ospf message-digest-key 1 md5 6. Unnötige Dienste aktiv
Dienste wie HTTP, CDP oder Finger erhöhen die Angriffsfläche.
Fix:
Router(config)# no ip http server
Router(config)# no cdp run
Router(config)# no ip finger7. SNMP unsicher konfiguriert
SNMPv1/v2 ohne Authentifizierung ist kritisch.
Fix:
Router(config)# snmp-server group SECURE v3 priv
Router(config)# snmp-server user netadmin SECURE v3 auth sha priv aes 128 8. NTP ohne Authentifizierung
Manipulierte NTP-Server können Routing und Logging beeinflussen.
Fix:
Router(config)# ntp server 192.168.1.20 prefer
Router(config)# ntp authenticate
Router(config)# ntp authentication-key 1 md5
Router(config)# ntp trusted-key 1 9. Logging nicht aktiviert
Fehlende Protokollierung erschwert Incident Response.
Fix:
Router(config)# logging 192.168.1.10
Router(config)# logging trap informational
Router(config)# logging on10. AAA nicht aktiviert
Fehlende zentrale Authentifizierung reduziert Kontrolle über Zugriffe.
Fix:
Router(config)# aaa new-model
Router(config)# aaa authentication login default group radius local
Router(config)# aaa authorization exec default group radius local11. Backup fehlt oder veraltet
Ohne aktuelle Backups ist schnelle Wiederherstellung unmöglich.
Fix:
Router# copy running-config tftp
Address or name of remote host []? 192.168.1.50
Destination filename [running-config]? router_backup.cfg12. IOS-Version veraltet
Bekannte Sicherheitslücken bleiben bestehen.
Fix:
Router# show version
Router# upgrade IOS auf aktuelle, geprüfte Version13. Ungepatchte Sicherheitslücken
Fehlende Patches erhöhen Exploit-Risiko.
Fix:
Regelmäßige Updates und Überprüfung bekannter CVEs14. Fehlende CPPr / Traffic-Shaping
Control Plane kann bei Flooding überlastet werden.
Fix:
Router(config)# class-map match-any CP_TRAFFIC
Router(config-cmap)# match access-group 101
Router(config)# policy-map CP_POLICY
Router(config-pmap)# class CP_TRAFFIC
Router(config-pmap-c)# police 1000000 8000 8000 conform-action transmit exceed-action drop
Router(config)# control-plane
Router(config-cp)# service-policy input CP_POLICY15. DHCP-Snooping nicht aktiv
Rogue DHCP-Server möglich.
Fix:
Router(config)# ip dhcp snooping
Router(config)# ip dhcp snooping vlan 116. Dynamic ARP Inspection deaktiviert
ARP-Spoofing ungeschützt.
Fix:
Router(config)# ip arp inspection vlan 117. NAT-Konfiguration fehlerhaft
Traffic kann nicht korrekt geroutet werden.
Fix:
Router(config)# ip nat inside source list 1 interface GigabitEthernet0/0 overload18. VLAN-Fehler oder falsche Native VLAN
VLAN-Hopping möglich.
Fix:
Router(config)# interface GigabitEthernet0/1
Router(config-if)# switchport trunk native vlan 99919. Unverschlüsselte VPN-Verbindungen
Datenverkehr könnte abgefangen werden.
Fix:
IPSec oder SSL-VPN mit starken Verschlüsselungsalgorithmen konfigurieren20. IPv6 nicht abgesichert
ICMPv6 oder unkontrollierter IPv6-Traffic möglich.
Fix:
Router(config)# ipv6 access-list EDGE_FILTER
Router(config-ipv6-acl)# deny ipv6 any any
Router(config-if)# ipv6 traffic-filter EDGE_FILTER in21. Unzureichendes Monitoring
Fehler oder Angriffe bleiben unentdeckt.
Fix:
SNMPv3, NetFlow, Syslog und SNMP-Traps konfigurieren22. Fehlende VLAN-Segmentierung
Angriffe können lateral durch das Netzwerk wandern.
Fix:
Netzwerk in sichere VLANs segmentieren, ACLs einsetzen23. Routing-Updates unverschlüsselt
Gefahr von Routing Manipulationen.
Fix:
MD5-Authentifizierung für OSPF/EIGRP/BGP aktivieren24. Unnötige Protokolle aktiv
Bootp, Finger oder HTTP unnötig aktiv.
Fix:
no ip bootp server
no ip finger
no ip http server25. Fehlende Timeouts
Idle-Sessions bleiben offen und anfällig.
Fix:
Router(config)# line vty 0 4
Router(config-line)# exec-timeout 10 026. Physische Sicherheit unzureichend
Geräte sind für unbefugtes Personal zugänglich.
Fix:
Racks abschließen, Zugriff nur für autorisiertes Personal27. Logging-Level zu niedrig
Wichtige Ereignisse werden nicht protokolliert.
Fix:
Router(config)# logging trap informational
Router(config)# logging on28. Fehlende Change-Management-Dokumentation
Änderungen nicht nachvollziehbar.
Fix:
Alle Konfigurationsänderungen in Change-Logs dokumentieren29. Backup nicht getestet
Wiederherstellung im Notfall unsicher.
Fix:
Regelmäßige Restore-Tests durchführen30. Fehlende Richtlinien für Branch-Office-Router
Inhomogene Konfigurationen erhöhen Risiko.
Fix:
Standardisierte Config-Templates implementieren und auditierenKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
