Ein Break-Glass-Account ist ein speziell eingerichteter Notfallzugang auf Cisco-Routern, der nur in kritischen Situationen verwendet wird, um administrative Aufgaben durchzuführen, wenn reguläre AAA- oder RBAC-Mechanismen versagen. Die Strategie stellt sicher, dass der Zugriff kontrolliert, auditierbar und zeitlich begrenzt ist, um Missbrauch zu verhindern.
Grundprinzipien der Break-Glass-Strategie
- Kontrollierter Zugriff: Nur für Notfälle vorgesehen, keine reguläre Nutzung
- Auditierbarkeit: Alle Logins und Aktionen werden protokolliert
- Temporäre Aktivierung: Account wird nur bei Bedarf aktiviert und danach deaktiviert
- Dokumentation: Gründe für die Nutzung müssen nachvollziehbar dokumentiert sein
Design und Rollen des Break-Glass-Accounts
Der Account sollte maximal privilegiert sein, jedoch nicht dauerhaft aktiv:
- Privilege Level 15 für vollständige administrative Kontrolle
- Starkes, zufälliges Passwort oder Schlüssel
- Kein allgemeiner Benutzerzugang, nur für Notfallzugriffe
- Integration in AAA, wenn möglich, zur Protokollierung
Implementierung auf Cisco-Routern
1. Lokaler Notfallbenutzer
username breakglass privilege 15 secret VeryStrongRandomPass123!- Nur lokal aktiv, keine routinemäßige Nutzung
- Passwort komplex und schwer zu erraten
2. Temporäre Aktivierung via AAA-Fallback
Der Account kann als Fallback in AAA-Konfiguration definiert werden:
aaa authentication login VTY-LOGIN group tacacs+ local
aaa authorization exec default group tacacs+ local- Primäre Authentifizierung über TACACS+/RADIUS
- Lokaler Break-Glass-Account nur im Notfall verwendet
3. Logging und Audit
Jede Nutzung muss zentral protokolliert werden:
aaa accounting exec default start-stop group tacacs+
logging host 10.10.10.200
service timestamps log datetime msec localtime- Start/Stop von Sessions erfassen
- Alle Commands auf Level 15 protokollieren
- Regelmäßige Review der Logs durch Security-Team
Temporäre Deaktivierung und Passwort-Rotation
- Nach Nutzung sofort deaktivieren:
no username breakglass - Regelmäßige Passwortrotation, auch ohne Nutzung
- Dokumentation der Aktivierung und Nutzung im Audit-Report
Best Practices
- Break-Glass nur als Notfallzugang, nicht für tägliche Administration
- Starke Passwörter oder Schlüssel verwenden
- AAA und Logging integrieren, Nachvollziehbarkeit sicherstellen
- Temporäre Aktivierung, sofortige Deaktivierung nach Einsatz
- Dokumentation und Genehmigungspflicht für jede Nutzung
- Regelmäßige Tests und Reviews der Break-Glass-Strategie
Praktische CLI-Zusammenfassung
! Break-Glass-User anlegen
username breakglass privilege 15 secret VeryStrongRandomPass123!
! AAA Integration
aaa new-model
aaa authentication login VTY-LOGIN group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
! Logging
logging host 10.10.10.200
service timestamps log datetime msec localtime
! Nutzung nur bei Notfall
! Nach Nutzung sofort deaktivieren
no username breakglass
Fazit der Strategie
- Break-Glass-Accounts erhöhen die Resilienz bei Ausfällen von AAA oder zentralen Authentifizierungssystemen
- Auditierbarkeit und temporäre Aktivierung minimieren Missbrauchsrisiken
- Dokumentation, Genehmigung und Überprüfung sind entscheidend für Compliance
- Integration mit Logging und AAA gewährleistet vollständige Nachvollziehbarkeit
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.