Edge-Router stehen häufig an der Schnittstelle zwischen Unternehmensnetzwerk und Internet und sind daher besonders anfällig für Angriffe. Management-Ports wie SSH, Telnet, SNMP oder Web-GUI, die öffentlich erreichbar sind, stellen ein erhebliches Sicherheitsrisiko dar. In dieser Case Study werden konkrete Schritte beschrieben, um Management-Exposure am Edge-Router zu schließen, den Zugriff zu isolieren und Compliance-konforme Sicherheitsmaßnahmen umzusetzen.
Ausgangslage: Management-Exposure
Vor Beginn der Maßnahmen wiesen die Edge-Router folgende Schwachstellen auf:
- VTY-Linien über Telnet erreichbar
- SNMPv1/v2c ungesichert verfügbar
- Web-GUI auf HTTP offen
- Management-Traffic nicht isoliert, keine ACLs
- Keine CoPP- oder Rate-Limits für Control Plane
- Logging und Banner unzureichend konfiguriert
Router(config)# line vty 0 4
Router(config-line)# password cisco
Router(config-line)# login
Router(config-line)# transport input telnet
Router(config)# enable password cisco
Router(config)# snmp-server community public RO
Router(config)# ip http server
Router(config)# no loggingSchritt 1: Management-Zugriff isolieren
Dedizierte Management-VLANs und VRFs verhindern den direkten Zugriff aus untrusted Netzen.
Router(config)# ip vrf MGMT
Router(config-vrf)# rd 100:1
Router(config)# interface GigabitEthernet0/0
Router(config-if)# vrf forwarding MGMT
Router(config-if)# ip address 10.10.10.1 255.255.255.0
Router(config-if)# no shutdownNur Hosts im Subnetz erhalten Zugriff auf die Management-VRF.
Schritt 2: SSH und AAA implementieren
Telnet deaktivieren und SSH mit AAA absichern:
Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# transport input ssh
Router(config-line)# exec-timeout 10 0
Router(config)# aaa new-model
Router(config)# aaa authentication login VTY-LOGIN group tacacs+ local
Router(config)# aaa authorization exec default group tacacs+ local
Schritt 3: SSH-Key-Management
SSH-Zugänge über Public Keys absichern:
Router(config)# ip ssh pubkey-chain
Router(config-pubkey-chain)# username admin
Router(config-pubkey)# key-string AAAAB3NzaC1yc2EAAAADAQABAAABAQC3...Regelmäßige Rotation der Keys wird empfohlen, um Kompromittierungen zu vermeiden.
Schritt 4: SNMP-Hardening
SNMP-Zugriffe auf autorisierte Management-Hosts beschränken und SNMPv3 verwenden:
Router(config)# snmp-server group NETOPS v3 auth
Router(config)# snmp-server user netadmin NETOPS v3 auth sha AuthPass priv aes 128 PrivPass
Router(config)# snmp-server host 10.10.10.100 version 3 auth netadminSchritt 5: Web-GUI absichern
HTTP deaktivieren und HTTPS auf Management-VLAN beschränken:
Router(config)# no ip http server
Router(config)# ip http secure-server
Router(config)# ip access-list extended MGMT-WEB
Router(config-ext-nacl)# permit tcp 10.10.10.0 0.0.0.255 any eq 443
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group MGMT-WEB inSchritt 6: CoPP und Rate-Limits implementieren
Die Control Plane wird vor DoS-Angriffen geschützt:
Router(config)# ip access-list extended CO_PP-ACL
permit tcp any any eq 22
permit udp any any eq 161
permit icmp any any
permit ospf any any
deny ip any any
Router(config)# class-map match-any COPP-CLASS
match access-group name CO_PP-ACL
Router(config)# policy-map COPP-POLICY
class COPP-CLASS
police 1000 pps conform-action transmit exceed-action drop
class class-default
police 200 pps conform-action transmit exceed-action drop
Router(config)# control-plane
service-policy input COPP-POLICY
Schritt 7: Logging und Banner konfigurieren
Audit- und Compliance-Anforderungen werden erfüllt:
Router(config)# banner login ^
Authorized access only. All activities are logged.
^
Router(config)# banner motd ^
This system is monitored. Unauthorized access prohibited.
^
Router(config)# logging host 10.10.10.200
Router(config)# logging trap informational
Router(config)# service timestamps log datetime msec localtimeErgebnisse: After
Nach Umsetzung der Maßnahmen:
- Management-Ports nur über VRF MGMT und autorisierte Subnetze erreichbar
- Telnet deaktiviert, SSH-Key-Authentifizierung implementiert
- SNMPv3 mit Authentifizierung und Verschlüsselung
- HTTPS auf Management-VLAN beschränkt, HTTP deaktiviert
- CoPP und Rate-Limits schützen die Control Plane
- Logging zentralisiert, Banner und Legal Notice konfiguriert
- Angriffsfläche deutlich reduziert, Audit- und Compliance-konform
Lessons Learned
- Management-Traffic immer isolieren, VRFs und ACLs konsequent verwenden
- SSH-Key-Management und AAA verhindern unautorisierte Zugriffe
- CoPP und Rate-Limits schützen vor DoS-Angriffen
- SNMP und Web-GUI nur für autorisierte Management-Hosts öffnen
- Monitoring und Logging kontinuierlich prüfen und auditen
- Fallback-Konten für Notfälle bereitstellen
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
