Cisco Router Hardening Baseline: Mindeststandard für den Produktivbetrieb

Eine Hardening-Baseline ist der Mindeststandard, damit Cisco-Router im Produktivbetrieb sicher, auditierbar und betrieblich stabil sind. Sie reduziert Angriffsfläche, schützt den Adminzugang, macht Ereignisse nachvollziehbar (NTP/Syslog/AAA) und verhindert typische Betriebsfehler wie ungewollte Services auf dem WAN oder unkontrollierte Managementzugriffe. Diese Baseline ist bewusst praxisorientiert: Sie enthält die Bausteine, die in nahezu jeder Unternehmensumgebung als Pflicht gelten, sowie CLI-Checks zur Verifikation.

Baseline-Ziele: Was „gehärtet“ im Betrieb bedeutet

Hardening ist nicht „maximale Restriktion“, sondern ein reproduzierbarer Mindeststandard. Er muss in Projekten wiederholbar sein (Templates) und im Betrieb überprüfbar (Runbooks, Audit-Outputs).

• Management nur über sichere Protokolle und definierte Quellnetze
• Angriffsfläche minimiert (unnötige Services aus)
• Auditfähig: Zeitstempel korrekt, zentrale Logs, nachvollziehbare Adminaktionen
• Betriebssicher: klare Defaults, saubere Descriptions, definierte Timeouts

Hardening-Block 1: Grundkonfiguration und „Betriebs-Hygiene“

Diese Einstellungen verhindern typische Bedienfehler und erleichtern Betrieb und Audit. Sie sind schnell umgesetzt und haben hohes Nutzen-Risiko-Verhältnis.

• DNS-Lookup bei Tippfehlern deaktivieren
• Zeitstempel für Logs aktivieren (inkl. Millisekunden)
• Konfigurations-Standards: Hostname, Interface-Descriptions, Kommentar für Template-Version

CLI: Baseline-Hygiene

hostname <HOSTNAME>
no ip domain-lookup
service timestamps log datetime msec

Hardening-Block 2: Sichere Administration (SSH-only, MGMT-Restriktion)

Adminzugriff ist die wichtigste Angriffsstelle. Mindeststandard ist SSHv2, Telnet aus und Managementzugriff nur aus dem Managementnetz. Zusätzlich sollten Session-Timeouts gesetzt werden.

• SSHv2 aktiv, Telnet deaktiviert
• VTY nur SSH, Zugriff per Access-Class begrenzt
• Exec-Timeout gegen „hängende“ Sessions
• Keine Web-Management-Services (HTTP/HTTPS) ohne zwingenden Bedarf

CLI: SSH aktivieren

ip domain-name example.local
crypto key generate rsa modulus 2048
ip ssh version 2

CLI: MGMT-Only Access (VTY)

ip access-list standard MGMT_ONLY
 permit 10.10.10.0 0.0.0.255
 deny any
line vty 0 4

transport input ssh

access-class MGMT_ONLY in

exec-timeout 10 0

login local

Verifikation SSH/VTY

show ip ssh
show running-config | include line vty|transport input|access-class

Hardening-Block 3: AAA und Nachvollziehbarkeit (Enterprise-Mindeststandard)

In Unternehmensumgebungen ist AAA (TACACS+/RADIUS) der Standard, weil er Identitäten und Rechte zentral steuert. Lokale Accounts dienen als Fallback (Notfall), nicht als Normalbetrieb.

• AAA new-model aktiv
• Authentication/Authorization über TACACS+ (oder RADIUS) mit local fallback
• Accounting für Exec-Sessions (und optional Commands) für Audits

CLI: AAA/TACACS+ (Muster)

aaa new-model
tacacs server TACACS1

address ipv4 10.10.10.10

key 
aaa authentication login default group tacacs+ local

aaa authorization exec default group tacacs+ local

aaa accounting exec default start-stop group tacacs+

aaa accounting commands 15 default start-stop group tacacs+

Hardening-Block 4: Logging und Zeit (Auditfähigkeit)

Ohne korrekte Zeit sind Logs wertlos. Ohne zentrale Logs sind sie im Incident nicht auffindbar. Mindeststandard sind NTP und zentraler Syslog.

• NTP synchronized (mindestens zwei Server)
• Syslog zentral, Log-Level definiert
• Logging Source-Interface (stabiler Sender)

CLI: NTP + Syslog Baseline

ntp server 192.0.2.10 prefer
ntp server 192.0.2.11
logging buffered 64000 informational

logging host 192.0.2.20

logging trap informational

logging source-interface GigabitEthernet0/1

Verifikation Logging/NTP

show ntp status
show logging | last 50
show running-config | include ntp server|logging host|logging trap

Hardening-Block 5: Angriffsfläche reduzieren (Services und Exposition)

Deaktivieren Sie unnötige Services und vermeiden Sie Discovery-Protokolle auf WAN-Ports. Diese Maßnahmen reduzieren Scanfläche und verhindern, dass Informationen nach außen geleakt werden.

• HTTP/HTTPS-Server deaktivieren (wenn nicht benötigt)
• Discovery auf WAN deaktivieren (z. B. CDP)
• Nur notwendige Listener/Services betreiben

CLI: Exposition reduzieren (Auszug)

no ip http server
no ip http secure-server
interface GigabitEthernet0/0

no cdp enable

Hardening-Block 6: Zugriffsschutz auf Management-Plane (CoPP/Control Plane Basics)

In größeren Enterprise-Umgebungen ist Control Plane Protection sinnvoll, um die CPU gegen unnötige/feindliche Control-Plane-Traffic zu schützen. Der genaue CoPP-Entwurf ist plattformspezifisch, aber die Anforderung sollte als Standardbaustein geführt werden.

• Control-Plane Traffic begrenzen (z. B. SSH/SNMP/ICMP kontrolliert)
• Nur notwendige Management-Quellen erlauben
• Logging zu CoPP-Events aktiv (für Audit und Tuning)

Hardening-Block 7: Interface- und L2/L3-Basics (Stabilität im Betrieb)

Hardening ist auch Betriebssicherheit. Saubere Descriptions, klare Rollen (inside/outside) und das Vermeiden unnötiger Features auf WAN-Interfaces reduzieren Fehlerbilder.

• Interface-Descriptions (WAN: Provider + Circuit-ID, LAN: Uplink)
• NAT inside/outside sauber zugeordnet (wenn Router NAT-Owner)
• MTU/Tagging gemäß Provider-Handover dokumentiert

CLI: Interface-Standards (Beispiel)

interface GigabitEthernet0/0
 description WAN-ISP1-CID12345-PRIMARY
 ip nat outside
 no shutdown
interface GigabitEthernet0/1

description LAN-TRUNK-to-SW1

ip nat inside

no shutdown

Hardening-Block 8: Passwort- und Key-Management (Mindestregeln)

Viele Vorfälle entstehen nicht durch „Hacking“, sondern durch schlechte Secrets-Hygiene. Nutzen Sie Secrets (nicht Klartext), individuelle Accounts und einen dokumentierten Break-Glass-Prozess.

• Keine Shared Accounts, individuelle Nutzer
• Nur „secret“ verwenden (nicht Klartextpasswörter)
• Rotation: planbar und bei Offboarding sofort
• Break-Glass Account: getrennt verwalten, Rotation nach Nutzung

CLI: Lokale Accounts (Beispiel, Platzhalter)

username netadmin privilege 15 secret <SECRET>
enable secret <SECRET>

Hardening-Block 9: Mindest-Monitoring für Produktivbetrieb

Auch eine gehärtete Umgebung muss überwacht werden. Mindeststandard ist Sichtbarkeit für Interfaces, Errors und Ressourcen. Für Enterprise ist SNMPv3/Telemetry üblich.

• Alarme: WAN down/flaps, Path-down (IP SLA), VPN down, Neighbor down
• Ressourcen: CPU/Memory, Interface-Errors/Drops
• Audit: Logs zentral, NTP synchronized

CLI: Operability-Checks

show interfaces counters errors
show processes cpu sorted
show processes memory sorted
show logging | last 50

Go-Live-Gate: Hardening-Abnahme (Pass/Fail)

Setzen Sie Hardening als Gate vor dem Go-Live. So verhindern Sie, dass Produktivsysteme mit „temporären“ unsicheren Einstellungen live gehen.

• Pass: SSH-only, MGMT-Only aktiv, keine Web-Services
• Pass: NTP synchronized, Syslog sichtbar
• Pass: AAA/Accounting aktiv (wenn gefordert), lokaler Fallback vorhanden
• Pass: Guest/IoT Policies wirksam (wenn Segmente existieren)

Hardening-Verification Snapshot (Copy/Paste)

show ip ssh
show running-config | include line vty|access-class|transport input|ip http|ip http secure
show running-config | include aaa|tacacs
show ntp status
show logging | last 50
show interfaces counters errors

Golden Config: Kompakter Hardening-Baseline-Block

Dieser Block bündelt die wichtigsten Mindeststandards. Er eignet sich als Template-Basis und sollte über Variablen (Hostname, MGMT-Netz, Server-IPs) parametrisiert werden.

! ===== HARDENING BASELINE (MINIMUM) =====
hostname <HOSTNAME>
no ip domain-lookup
no ip http server

no ip http secure-server
ip domain-name example.local

crypto key generate rsa modulus 2048

ip ssh version 2
service timestamps log datetime msec

ntp server 192.0.2.10 prefer

ntp server 192.0.2.11
logging buffered 64000 informational

logging host 192.0.2.20

logging trap informational

logging source-interface GigabitEthernet0/1
ip access-list standard MGMT_ONLY

permit 10.10.10.0 0.0.0.255

deny any
line vty 0 4

transport input ssh

access-class MGMT_ONLY in

exec-timeout 10 0

login local

! ===== END HARDENING BASELINE =====

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.