Eine Hardening-Baseline ist der Mindeststandard, damit Cisco-Router im Produktivbetrieb sicher, auditierbar und betrieblich stabil sind. Sie reduziert Angriffsfläche, schützt den Adminzugang, macht Ereignisse nachvollziehbar (NTP/Syslog/AAA) und verhindert typische Betriebsfehler wie ungewollte Services auf dem WAN oder unkontrollierte Managementzugriffe. Diese Baseline ist bewusst praxisorientiert: Sie enthält die Bausteine, die in nahezu jeder Unternehmensumgebung als Pflicht gelten, sowie CLI-Checks zur Verifikation.
Baseline-Ziele: Was „gehärtet“ im Betrieb bedeutet
Hardening ist nicht „maximale Restriktion“, sondern ein reproduzierbarer Mindeststandard. Er muss in Projekten wiederholbar sein (Templates) und im Betrieb überprüfbar (Runbooks, Audit-Outputs).
- Management nur über sichere Protokolle und definierte Quellnetze
- Angriffsfläche minimiert (unnötige Services aus)
- Auditfähig: Zeitstempel korrekt, zentrale Logs, nachvollziehbare Adminaktionen
- Betriebssicher: klare Defaults, saubere Descriptions, definierte Timeouts
Hardening-Block 1: Grundkonfiguration und „Betriebs-Hygiene“
Diese Einstellungen verhindern typische Bedienfehler und erleichtern Betrieb und Audit. Sie sind schnell umgesetzt und haben hohes Nutzen-Risiko-Verhältnis.
- DNS-Lookup bei Tippfehlern deaktivieren
- Zeitstempel für Logs aktivieren (inkl. Millisekunden)
- Konfigurations-Standards: Hostname, Interface-Descriptions, Kommentar für Template-Version
CLI: Baseline-Hygiene
hostname <HOSTNAME>
no ip domain-lookup
service timestamps log datetime msecHardening-Block 2: Sichere Administration (SSH-only, MGMT-Restriktion)
Adminzugriff ist die wichtigste Angriffsstelle. Mindeststandard ist SSHv2, Telnet aus und Managementzugriff nur aus dem Managementnetz. Zusätzlich sollten Session-Timeouts gesetzt werden.
- SSHv2 aktiv, Telnet deaktiviert
- VTY nur SSH, Zugriff per Access-Class begrenzt
- Exec-Timeout gegen „hängende“ Sessions
- Keine Web-Management-Services (HTTP/HTTPS) ohne zwingenden Bedarf
CLI: SSH aktivieren
ip domain-name example.local
crypto key generate rsa modulus 2048
ip ssh version 2CLI: MGMT-Only Access (VTY)
ip access-list standard MGMT_ONLY
permit 10.10.10.0 0.0.0.255
deny any
line vty 0 4
transport input ssh
access-class MGMT_ONLY in
exec-timeout 10 0
login local
Verifikation SSH/VTY
show ip ssh
show running-config | include line vty|transport input|access-classHardening-Block 3: AAA und Nachvollziehbarkeit (Enterprise-Mindeststandard)
In Unternehmensumgebungen ist AAA (TACACS+/RADIUS) der Standard, weil er Identitäten und Rechte zentral steuert. Lokale Accounts dienen als Fallback (Notfall), nicht als Normalbetrieb.
- AAA new-model aktiv
- Authentication/Authorization über TACACS+ (oder RADIUS) mit local fallback
- Accounting für Exec-Sessions (und optional Commands) für Audits
CLI: AAA/TACACS+ (Muster)
aaa new-model
tacacs server TACACS1
address ipv4 10.10.10.10
key
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
Hardening-Block 4: Logging und Zeit (Auditfähigkeit)
Ohne korrekte Zeit sind Logs wertlos. Ohne zentrale Logs sind sie im Incident nicht auffindbar. Mindeststandard sind NTP und zentraler Syslog.
- NTP synchronized (mindestens zwei Server)
- Syslog zentral, Log-Level definiert
- Logging Source-Interface (stabiler Sender)
CLI: NTP + Syslog Baseline
ntp server 192.0.2.10 prefer
ntp server 192.0.2.11
logging buffered 64000 informational
logging host 192.0.2.20
logging trap informational
logging source-interface GigabitEthernet0/1
Verifikation Logging/NTP
show ntp status
show logging | last 50
show running-config | include ntp server|logging host|logging trapHardening-Block 5: Angriffsfläche reduzieren (Services und Exposition)
Deaktivieren Sie unnötige Services und vermeiden Sie Discovery-Protokolle auf WAN-Ports. Diese Maßnahmen reduzieren Scanfläche und verhindern, dass Informationen nach außen geleakt werden.
- HTTP/HTTPS-Server deaktivieren (wenn nicht benötigt)
- Discovery auf WAN deaktivieren (z. B. CDP)
- Nur notwendige Listener/Services betreiben
CLI: Exposition reduzieren (Auszug)
no ip http server
no ip http secure-server
interface GigabitEthernet0/0
no cdp enable
Hardening-Block 6: Zugriffsschutz auf Management-Plane (CoPP/Control Plane Basics)
In größeren Enterprise-Umgebungen ist Control Plane Protection sinnvoll, um die CPU gegen unnötige/feindliche Control-Plane-Traffic zu schützen. Der genaue CoPP-Entwurf ist plattformspezifisch, aber die Anforderung sollte als Standardbaustein geführt werden.
- Control-Plane Traffic begrenzen (z. B. SSH/SNMP/ICMP kontrolliert)
- Nur notwendige Management-Quellen erlauben
- Logging zu CoPP-Events aktiv (für Audit und Tuning)
Hardening-Block 7: Interface- und L2/L3-Basics (Stabilität im Betrieb)
Hardening ist auch Betriebssicherheit. Saubere Descriptions, klare Rollen (inside/outside) und das Vermeiden unnötiger Features auf WAN-Interfaces reduzieren Fehlerbilder.
- Interface-Descriptions (WAN: Provider + Circuit-ID, LAN: Uplink)
- NAT inside/outside sauber zugeordnet (wenn Router NAT-Owner)
- MTU/Tagging gemäß Provider-Handover dokumentiert
CLI: Interface-Standards (Beispiel)
interface GigabitEthernet0/0
description WAN-ISP1-CID12345-PRIMARY
ip nat outside
no shutdown
interface GigabitEthernet0/1
description LAN-TRUNK-to-SW1
ip nat inside
no shutdown
Hardening-Block 8: Passwort- und Key-Management (Mindestregeln)
Viele Vorfälle entstehen nicht durch „Hacking“, sondern durch schlechte Secrets-Hygiene. Nutzen Sie Secrets (nicht Klartext), individuelle Accounts und einen dokumentierten Break-Glass-Prozess.
- Keine Shared Accounts, individuelle Nutzer
- Nur „secret“ verwenden (nicht Klartextpasswörter)
- Rotation: planbar und bei Offboarding sofort
- Break-Glass Account: getrennt verwalten, Rotation nach Nutzung
CLI: Lokale Accounts (Beispiel, Platzhalter)
username netadmin privilege 15 secret <SECRET>
enable secret <SECRET>Hardening-Block 9: Mindest-Monitoring für Produktivbetrieb
Auch eine gehärtete Umgebung muss überwacht werden. Mindeststandard ist Sichtbarkeit für Interfaces, Errors und Ressourcen. Für Enterprise ist SNMPv3/Telemetry üblich.
- Alarme: WAN down/flaps, Path-down (IP SLA), VPN down, Neighbor down
- Ressourcen: CPU/Memory, Interface-Errors/Drops
- Audit: Logs zentral, NTP synchronized
CLI: Operability-Checks
show interfaces counters errors
show processes cpu sorted
show processes memory sorted
show logging | last 50Go-Live-Gate: Hardening-Abnahme (Pass/Fail)
Setzen Sie Hardening als Gate vor dem Go-Live. So verhindern Sie, dass Produktivsysteme mit „temporären“ unsicheren Einstellungen live gehen.
- Pass: SSH-only, MGMT-Only aktiv, keine Web-Services
- Pass: NTP synchronized, Syslog sichtbar
- Pass: AAA/Accounting aktiv (wenn gefordert), lokaler Fallback vorhanden
- Pass: Guest/IoT Policies wirksam (wenn Segmente existieren)
Hardening-Verification Snapshot (Copy/Paste)
show ip ssh
show running-config | include line vty|access-class|transport input|ip http|ip http secure
show running-config | include aaa|tacacs
show ntp status
show logging | last 50
show interfaces counters errorsGolden Config: Kompakter Hardening-Baseline-Block
Dieser Block bündelt die wichtigsten Mindeststandards. Er eignet sich als Template-Basis und sollte über Variablen (Hostname, MGMT-Netz, Server-IPs) parametrisiert werden.
! ===== HARDENING BASELINE (MINIMUM) =====
hostname <HOSTNAME>
no ip domain-lookup
no ip http server
no ip http secure-server
ip domain-name example.local
crypto key generate rsa modulus 2048
ip ssh version 2
service timestamps log datetime msec
ntp server 192.0.2.10 prefer
ntp server 192.0.2.11
logging buffered 64000 informational
logging host 192.0.2.20
logging trap informational
logging source-interface GigabitEthernet0/1
ip access-list standard MGMT_ONLY
permit 10.10.10.0 0.0.0.255
deny any
line vty 0 4
transport input ssh
access-class MGMT_ONLY in
exec-timeout 10 0
login local
! ===== END HARDENING BASELINE =====
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
