Unternehmen stehen bei der Sicherung ihrer Netzwerkgeräte häufig vor der Entscheidung, welches Servicemodell am besten geeignet ist: Audit, Hardening oder Managed Security. Jedes Modell hat eigene Ziele, Umfang und Umsetzungsmethoden. Ein Audit deckt Schwachstellen auf, Hardening implementiert präventive Maßnahmen, während Managed Security einen kontinuierlichen Service mit Monitoring, Incident-Response und Support bietet. Die Wahl des passenden Modells hängt von Ressourcen, Compliance-Anforderungen und Risikoprofil ab.
Audit-Services: Schwachstellen identifizieren
Ein Audit untersucht den Ist-Zustand von Netzwerkgeräten, um Sicherheitslücken, Fehlkonfigurationen oder unzureichende Hardening-Maßnahmen zu erkennen.
- Analyse von AAA, Passwort-Policies und Enable-Secrets
- Überprüfung von SSH-Keys, Management-Subnetzen und VRFs
- Kontrolle von ACLs, CoPP-Policies und Logging-Mechanismen
- Reporting für Audits und Compliance (ISO 27001, BSI IT-Grundschutz)
Typische CLI-Befehle zur Auditierung:
show running-config
show access-lists
show ip route vrf MGMT
show logging
show users
show aaa sessionsHardening-Services: Präventive Absicherung
Hardening implementiert die empfohlenen Sicherheitsmaßnahmen auf den Routern, basierend auf den Ergebnissen eines Audits oder Best Practices.
- Passwort- und Secret-Hardening: enable secret, AAA Policies
- SSH-Key-Management und regelmäßige Rotation
- Segmentierung mittels VLANs, VRFs und ACLs
- SNMP-Hardening und Device-Enumeration-Mitigierung
- Control Plane Protection (CoPP) und Rate-Limits
- Banner, Legal Notice und Logging-Konfiguration für Audits
Router(config)# enable secret SehrStarkesPasswort
Router(config)# username admin privilege 15 secret AdminPasswort!
Router(config)# ip ssh pubkey-chain
Router(config-pubkey-chain)# username admin
Router(config-pubkey)# key-string AAAAB3NzaC1yc2EAAAADAQABAAABAQC3...Managed Security Services: Kontinuierlicher Schutz
Managed Security Services bieten langfristigen, kontinuierlichen Schutz und Support:
- 24/7 Monitoring von Management-Traffic und AAA-Events
- Regelmäßige Hardening-Updates und Patch-Management
- Incident-Response und Unterstützung bei Sicherheitsvorfällen
- Temporäre Vendor-Zugänge kontrolliert und auditierbar
- Dokumentation, Reporting und Audit-Unterstützung
- Integration in zentrale SIEM- oder Monitoring-Systeme
logging host 10.10.10.200
logging trap informational
service timestamps log datetime msec localtime
aaa accounting exec default start-stop group tacacs+Vergleich der Servicemodelle
Ziele
- Audit: Schwachstellen identifizieren, Bestandsaufnahme
- Hardening: Präventive Umsetzung von Sicherheitsmaßnahmen
- Managed Security: Kontinuierlicher Schutz, Monitoring und Incident-Response
Zeithorizont
- Audit: punktuell, typischerweise einmal pro Quartal oder vor Audits
- Hardening: einmalig pro Gerät oder bei Konfigurationsänderungen
- Managed Security: kontinuierlich, 24/7 Betrieb möglich
Ressourcen
- Audit: externe oder interne Security-Experten, Reporting
- Hardening: Netzwerkadministratoren, standardisierte Konfigurationsrichtlinien
- Managed Security: dedizierte Security-Teams, Monitoring-Systeme, Retainer-Verträge
Best Practices bei der Auswahl
- Audit zuerst zur Identifikation von Lücken und Risiken
- Hardening als Basismaßnahme implementieren
- Managed Security für kontinuierlichen Schutz und Compliance
- Integration von AAA, Logging, ACLs, VRFs und CoPP
- Dokumentation aller Maßnahmen für Audits und Nachvollziehbarkeit
- Temporäre Vendor-Zugänge kontrolliert einsetzen
Fehlervermeidung und Lessons Learned
- Audit-Ergebnisse immer in Hardening-Maßnahmen zurückführen
- Managed Security nicht ohne klare SLA und Scope implementieren
- ACLs, VRFs und Segmentierung regelmäßig überprüfen
- SSH-Keys und Passwörter regelmäßig rotieren
- Monitoring und Logging kontinuierlich überprüfen und auditen
Praktische CLI-Beispiele für Hardening im Kontext von Managed Security
Router(config)# enable secret SehrStarkesPasswort
Router(config)# username admin privilege 15 secret AdminPasswort!
Router(config)# ip ssh pubkey-chain
Router(config-pubkey-chain)# username admin
Router(config-pubkey)# key-string AAAAB3NzaC1yc2EAAAADAQABAAABAQC3...
Router(config)# ip access-list extended MGMT-ACL
Router(config-ext-nacl)# permit tcp 10.10.10.0 0.0.0.255 any eq 22
Router(config-ext-nacl)# deny ip any any
Router(config)# line vty 0 4
Router(config-line)# access-class MGMT-ACL in
Router(config)# ip vrf MGMT
Router(config-vrf)# rd 100:1
Router(config)# interface GigabitEthernet0/0
Router(config-if)# vrf forwarding MGMT
Router(config-if)# ip address 10.10.10.1 255.255.255.0
Router(config-if)# no shutdown
Router(config)# logging host 10.10.10.200
Router(config)# logging trap informational
Router(config)# service timestamps log datetime msec localtime
Router(config)# aaa accounting exec default start-stop group tacacs+Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
