Router am Internet-Edge sind die erste Verteidigungslinie zwischen Unternehmensnetzwerken und dem öffentlichen Internet. Sie sind besonders exponiert gegenüber Angriffen, Fehlkonfigurationen und Denial-of-Service-Attacken. Ein konsequentes Hardening reduziert die Angriffsfläche und schützt kritische Ressourcen. Dieser Leitfaden beschreibt Hauptrisiken am Internet-Edge und gibt praxisnahe Mitigation-Maßnahmen für Cisco-Router.
Hauptrisiken für Edge-Router
Edge-Router sind Angriffszielen zahlreicher Bedrohungen ausgesetzt. Zu den häufigsten Risiken zählen:
- Unautorisierter Zugriff auf Management-Schnittstellen
- Brute-Force-Attacken auf Benutzerkonten
- DDoS- und Flood-Angriffe auf Interfaces
- Manipulation von Routing-Protokollen
- Missbrauch von Protokollen und Diensten wie SNMP, NTP oder HTTP
- Fehlkonfigurationen, die die Sicherheit und Stabilität beeinträchtigen
Zugriffskontrolle und Authentifizierung
Die Absicherung des Management-Zugriffs ist zentral, um unautorisierten Zugriff zu verhindern.
Lokale Benutzerkonten und Rollen
Router(config)# username admin privilege 15 secret
Router(config)# username operator privilege 5 secret
Router(config)# service password-encryptionConsole- und VTY-Zugriff absichern
Router(config)# line console 0
Router(config-line)# login local
Router(config-line)# exec-timeout 5 0
Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# transport input ssh
Router(config-line)# exec-timeout 10 0
SSH und Key Management
- Domain-Name konfigurieren und RSA-Schlüssel generieren:
Router(config)# ip domain-name edge.company.local
Router(config)# crypto key generate rsa modulus 2048Router(config)# access-list 10 permit 203.0.113.0 0.0.0.255
Router(config)# line vty 0 4
Router(config-line)# access-class 10 inInterface-Härtung und Traffic-Filter
Offene Interfaces und unkontrollierter Traffic sind Hauptangriffspunkte. ACLs und Rate-Limiting mindern Risiken.
Unbenutzte Interfaces deaktivieren
Router(config)# interface FastEthernet0/1
Router(config-if)# shutdownACLs zur Traffic-Kontrolle
Router(config)# access-list 101 permit tcp any host 203.0.113.1 eq 443
Router(config)# access-list 101 deny ip any any
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 101 inDDoS-Mitigation
- Control Plane Policing (CPPr) aktivieren:
Router(config)# class-map match-any CP_TRAFFIC
Router(config-cmap)# match access-group 101
Router(config)# policy-map CP_POLICY
Router(config-pmap)# class CP_TRAFFIC
Router(config-pmap-c)# police 1000000 8000 8000 conform-action transmit exceed-action drop
Router(config)# control-plane
Router(config-cp)# service-policy input CP_POLICYRouting-Protokolle absichern
Manipulation von Routing-Protokollen kann zu Traffic-Umleitungen oder DoS führen.
OSPF absichern
Router(config)# router ospf 1
Router(config-router)# area 0 authentication message-digest
Router(config-router)# ip ospf message-digest-key 1 md5 BGP absichern
Router(config)# router bgp 65001
Router(config-router)# neighbor 198.51.100.1 remote-as 65002
Router(config-router)# neighbor 198.51.100.1 password Dienst- und Protokollhärtung
- Unnötige Dienste deaktivieren:
Router(config)# no ip http server
Router(config)# no cdp run
Router(config)# no ip finger
Router(config)# no ip bootp serverRouter(config)# snmp-server group EDGE_SEC v3 priv
Router(config)# snmp-server user edgeadmin EDGE_SEC v3 auth sha priv aes 128 Router(config)# ntp server 198.51.100.10 prefer
Router(config)# ntp authenticate
Router(config)# ntp authentication-key 1 md5
Router(config)# ntp trusted-key 1Logging, Monitoring und AAA
Transparenz und Auditierbarkeit sind entscheidend, um Sicherheitsvorfälle frühzeitig zu erkennen.
Syslog konfigurieren
Router(config)# logging 192.0.2.10
Router(config)# logging trap informational
Router(config)# logging onAAA einrichten
Router(config)# aaa new-model
Router(config)# aaa authentication login default group radius local
Router(config)# aaa authorization exec default group radius localBackup und Wiederherstellung
Regelmäßige Sicherungen und Dokumentation sichern den Betrieb und ermöglichen schnelle Wiederherstellung.
Konfigurations-Backup
Router# copy running-config tftp
Address or name of remote host []? 192.0.2.20
Destination filename [running-config]? edge_backup.cfgIOS-Backup
- Nur geprüfte Images einsetzen
- Versionskontrolle und Dokumentation führen
Netzwerksegmentierung und IP-Planung
Segmentierung reduziert Angriffsflächen und erleichtert Sicherheitskontrollen.
Subnetzplanung
Beispiel: Internet-Edge-Netzwerk 203.0.113.0/24 in 4 Subnetze aufteilen:
NeueSubnetzmaske:
24 + 2 = 26
Subnetze:
203.0.113.0/26, 203.0.113.64/26, 203.0.113.128/26, 203.0.113.192/26
Physische Sicherheit und weitere Maßnahmen
- Racks abschließen, nur autorisiertes Personal zulassen
- DHCP-Snooping und Dynamic ARP Inspection aktivieren
- Regelmäßige Security-Audits und Penetrationstests durchführen
- Dokumentation aller Konfigurationen, ACLs, Benutzerkonten und Passwörter führen
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.