Compliance-Readiness bei Cisco-Routern bedeutet: technische Kontrollen sind nicht nur implementiert, sondern durch belastbare Nachweise (Evidence) belegbar. Interne Audits fragen typischerweise nicht „ist SSH aktiv?“, sondern „wer hat Zugriff, wie wird er protokolliert, wie sind Änderungen kontrolliert und wie werden Logs aufbewahrt?“. Für ein Enterprise-Netzwerk ist deshalb ein standardisiertes Evidence-Paket entscheidend: wiederholbare CLI-Ausgaben, klare Zuordnung zu Kontrollen (AAA, Logging, Segmentierung, Change Management) und ein Prozess, wie Ausnahmen dokumentiert werden. Dieser Leitfaden zeigt, welche Nachweise Sie für interne Audits vorbereiten sollten und wie Sie diese strukturiert erzeugen.
Audit-Logik: Kontrolle, Nachweis, Verantwortlichkeit
Jede technische Kontrolle braucht drei Komponenten: die Konfiguration (Kontrolle), die Evidenz (Nachweis) und die Governance (wer ist verantwortlich, wie wird geändert). Ohne Governance wird die Kontrolle im Laufe der Zeit instabil (Drift).
- Kontrolle: technische Einstellung/Policy auf dem Router
- Evidence: CLI-Ausgaben, Logs, UAT-Protokolle, Tickets
- Governance: Change-ID, Reviewer, Ausnahmeprozess, Periodic Review
Evidence-Paket: Minimaler Standard für interne Audits
Dieses Paket ist als Mindestumfang praxistauglich, weil es die häufigsten Auditfragen abdeckt. Speichern Sie alle Outputs mit Zeitstempel und Geräte-ID.
- Geräte-Identität: Modell, Seriennummer, IOS/IOS XE, Lizenzstatus
- Adminzugriff: SSH/VTY, AAA, RBAC/Privilege, Accounting
- Logging/Audit Trail: NTP, Syslog, Retention-Nachweis im SIEM/Collector
- Netzsegmentierung: ACLs/Policies, MGMT-Restriktion
- Verfügbarkeit/Resilienz: Dual-WAN/Tracking, HA (wenn vorhanden)
- Backup/Restore: pre/post configs, Rollback-Plan, Notfallzugang
Kontrollbereich 1: Asset- und Konfigurations-Identität
Audits starten mit Identifikation: Welches Gerät ist das, welche Software läuft, und ist es „approved“? Diese Nachweise sind Grundlage für Inventory und Patch/Upgrade-Policies.
- Hostname/SiteID nach Naming-Standard
- Modell, Seriennummer, Software-Version, Uptime
- Lizenzen/Feature-Readiness (VPN, Routing, Telemetry)
CLI-Evidence
show version
show inventory
show license summaryKontrollbereich 2: Sichere Administration (SSH-only, MGMT-Only)
Der Auditfokus liegt auf Zugangskontrollen: Nur SSH, Zugriff nur aus MGMT-Netzen, und keine unnötigen Management-Services. Besonders wichtig ist die VTY-Restriktion (Access-Class).
- SSHv2 aktiv, Telnet aus
- VTY nur SSH, Access-Class nur MGMT-Netze
- HTTP/HTTPS deaktiviert (wenn nicht benötigt)
- Session-Timeouts gesetzt
CLI-Evidence
show ip ssh
show running-config | include line vty|transport input|access-class|exec-timeout
show running-config | include ip http|ip http secure
show access-listsKontrollbereich 3: AAA, RBAC und Auditierbarkeit von Adminaktionen
Für Compliance ist entscheidend: Identitäten sind zentral, Rollen sind definiert, und Aktionen sind nachvollziehbar. In Enterprise-Umgebungen sind TACACS+/RADIUS und Accounting typischer Auditstandard.
- AAA new-model aktiv
- Authentication/Authorization über AAA, fallback local (Break-Glass)
- Accounting: Exec (und optional Commands) aktiviert
- RBAC: Rollenmodell dokumentiert (ReadOnly/Ops/NetEng/Admin)
CLI-Evidence
show running-config | include aaa|tacacs|radius
show logging | include AAA|TACACS|RADIUS
show running-config | include username|enable secretKontrollbereich 4: Logging, Zeit und Retention (Syslog + NTP)
Ein Audit Trail ist nur belastbar, wenn Zeit stimmt und Logs zentral gespeichert werden. Retention ist häufig Teil der Auditfragen („Wie lange, wo, wer hat Zugriff?“).
- NTP synchronized (mindestens zwei Server)
- Syslog zentral (Collector/SIEM), Source-Interface gesetzt
- Log-Timestamps aktiviert (datetime msec)
- Retention-Policy dokumentiert (Admin/Change/Operational getrennt)
CLI-Evidence
show clock
show ntp status
show ntp associations
show running-config | include service timestamps|ntp server|logging host|logging trap|logging source-interface
show logging | last 100Kontrollbereich 5: Segmentierung und Policy Enforcement (ACLs)
Audits prüfen häufig, ob Segmentrollen technisch durchgesetzt werden (Guest/IoT/MGMT). Nachweis sind ACL-Definitionen, Zuordnung zu Interfaces und gezielte Deny-Logs.
- MGMT: exklusiv, Users/Guest/IoT dürfen MGMT nicht erreichen
- Guest: RFC1918 blockiert, Internet erlaubt
- IoT: Allow-List, interne Netze grundsätzlich blockiert
- Logging: selektiv für policy-relevante Denies
CLI-Evidence
show access-lists
show running-config | include ip access-group|ip access-list
show interfaces descriptionKontrollbereich 6: NAT/VPN-Kontrollen (No-NAT, Traffic-Nachweis)
VPN-Compliance ist nicht „Tunnel up“, sondern „Traffic nach Policy möglich“. Zusätzlich muss No-NAT korrekt sein, wenn NAT am Router betrieben wird. Audits erwarten Nachweise für Stabilität und korrekte Selektoren.
- NAT-Whitelist: nur Segmente mit Bedarf
- No-NAT für VPN-Netze (falls NAT aktiv)
- VPN Evidence: IKE/IPsec SA + Paketzähler steigen
CLI-Evidence
show ip nat statistics
show ip nat translations
show crypto ikev2 sa
show crypto ipsec saKontrollbereich 7: Resilienz (Dual-WAN, Tracking, HA) als Compliance-Nachweis
Je nach interner Policy kann Resilienz Teil der Kontrolle sein (z. B. „kritische Standorte müssen failover-fähig sein“). Dann sind IP SLA/Tracking und Failover-Tests auditierbar zu dokumentieren.
- IP SLA/Tracking aktiv (bei Dual-ISP/Path-Down Anforderungen)
- Failover-UAT dokumentiert (Umschaltzeit, Pass/Fail)
- HA (HSRP/VRRP) Nachweis, wenn eingesetzt
CLI-Evidence
show ip sla statistics
show track
show ip route 0.0.0.0
show standby briefKontrollbereich 8: Monitoring und Security-Integration (NOC/SIEM)
Audits fragen zunehmend, ob Monitoring vorhanden ist (Detektion) und ob sicherheitsrelevante Events zentral ausgewertet werden (SIEM). Nachweise sind SNMPv3/Telemetry-Konfiguration und Syslog-Integration.
- SNMPv3 (authPriv) oder Telemetrie aktiv, NMS-Quellen whitelisted
- Syslog im SIEM sichtbar, Korrelation mit NTP korrekt
- Alarmkatalog dokumentiert (Link down, VPN down, Neighbor flaps, CPU high)
CLI-Evidence
show snmp user
show running-config | include snmp-server
show logging | last 50
show ntp statusKontrollbereich 9: Change Management, Backups und Rollback
Ein großer Auditbereich ist Change Control: Änderungen müssen nachvollziehbar, reviewed und rollback-fähig sein. Technische Nachweise sind Pre-/Post-Configs und dokumentierte UATs.
- Pre-/Post-Config Dateien versioniert (Change-ID, Timestamp)
- Rollback-Plan mit Triggern und Validierungschecks
- Startup-Config erst nach Abnahme geschrieben
- Notfallzugang (OOB/Console) dokumentiert
CLI-Evidence
show running-config
show startup-config
show boot
dir flash:Exception Handling: Wie Sie Abweichungen auditfest machen
Audits akzeptieren Ausnahmen, wenn sie kontrolliert sind. Eine Ausnahme ohne Owner und Ablaufdatum ist ein Finding. Deshalb brauchen Sie ein Exception-Register und regelmäßige Reviews.
- Exception-Register: Beschreibung, Owner, Risiko, Ablaufdatum, Rückbauplan
- Genehmigung: dokumentiert (CAB/Approver), Change-ID
- Kontrollkompensation: z. B. zusätzliche Logs/Restriktionen während Ausnahme
Compliance-Snapshot: Standardisierte CLI-Sammlung (Copy/Paste)
Dieser Snapshot liefert die wichtigsten Nachweise in einem Durchlauf. Speichern Sie ihn pro Gerät mit Zeitstempel und Change-/Audit-ID.
show version
show inventory
show license summary
show ip ssh
show running-config | include line vty|transport input|access-class|exec-timeout
show running-config | include aaa|tacacs|radius
show clock
show ntp status
show ntp associations
show running-config | include service timestamps|ntp server|logging host|logging trap|logging source-interface
show logging | last 100
show access-lists
show running-config | include ip access-group|ip access-list
show ip nat statistics
show crypto ipsec sa
show snmp user
show ip sla statistics
show track
show standby briefKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
