Cisco-Router-Hardening ist ein zentrales Thema für IT-Teams, die die Sicherheit ihrer Netzwerkinfrastruktur gewährleisten möchten. In der Praxis treten häufig ähnliche Fragen auf, die von der Implementierung von AAA bis hin zu CoPP, VRFs und Monitoring reichen. Diese FAQ liefert praxisnahe Antworten und CLI-Beispiele, um typische Herausforderungen zu lösen und die Router sicher zu konfigurieren.
1. Was ist der Unterschied zwischen Enable Password und Enable Secret?
Das Enable Password wird im Klartext gespeichert, während das Enable Secret verschlüsselt abgelegt wird. Best Practice ist die ausschließliche Nutzung von Enable Secret.
Router(config)# enable secret SehrStarkesPasswort2. Wie setze ich AAA für VTY-Linien richtig um?
AAA (Authentication, Authorization, Accounting) ermöglicht zentrale Benutzerverwaltung über TACACS+ oder RADIUS. Lokale Fallbacks verhindern Lockouts.
Router(config)# aaa new-model
Router(config)# aaa authentication login VTY-LOGIN group tacacs+ local
Router(config)# aaa authorization exec default group tacacs+ local
Router(config)# line vty 0 4
Router(config-line)# login authentication VTY-LOGIN
Router(config-line)# transport input ssh3. Wie kann ich SSH-Key-Management sicher implementieren?
SSH-Zugänge sollten über Public Keys erfolgen, die regelmäßig rotiert werden. Dies verhindert Passwortdiebstahl.
Router(config)# ip ssh pubkey-chain
Router(config-pubkey-chain)# username admin
Router(config-pubkey)# key-string AAAAB3NzaC1yc2EAAAADAQABAAABAQC3...4. Wie kann ich Management-Traffic isolieren?
Management-VRFs und dedizierte Subnetze verhindern Lateral Movement und unautorisierten Zugriff.
Router(config)# ip vrf MGMT
Router(config-vrf)# rd 100:1
Router(config)# interface GigabitEthernet0/0
Router(config-if)# vrf forwarding MGMT
Router(config-if)# ip address 10.10.10.1 255.255.255.0
Router(config-if)# no shutdown5. Wie schütze ich SNMP vor Device Enumeration?
SNMPv3 bietet Authentifizierung und Verschlüsselung. SNMPv1/v2c sollten nur temporär oder in sicheren Subnetzen verwendet werden.
Router(config)# snmp-server group NETOPS v3 auth
Router(config)# snmp-server user netadmin NETOPS v3 auth sha AuthPass priv aes 128 PrivPass
Router(config)# snmp-server host 10.10.10.100 version 3 auth netadmin6. Wie implementiere ich CoPP und Rate-Limits?
CoPP schützt die Control Plane vor DoS-Angriffen. Rate-Limits verhindern, dass die Routersteuerung überlastet wird.
Router(config)# ip access-list extended CO_PP-ACL
permit tcp any any eq 22
permit udp any any eq 161
permit icmp any any
permit ospf any any
deny ip any any
Router(config)# class-map match-any COPP-CLASS
match access-group name CO_PP-ACL
Router(config)# policy-map COPP-POLICY
class COPP-CLASS
police 1000 pps conform-action transmit exceed-action drop
class class-default
police 200 pps conform-action transmit exceed-action drop
Router(config)# control-plane
service-policy input COPP-POLICY
7. Wie konfiguriere ich Banner und Logging für Audits?
Banners dienen als Legal Notice und Warnhinweis. Logging zentralisiert Ereignisse für Audits und Compliance.
Router(config)# banner login ^
Authorized access only. All activities are logged.
^
Router(config)# banner motd ^
This system is monitored. Unauthorized access prohibited.
^
Router(config)# logging host 10.10.10.200
Router(config)# logging trap informational
Router(config)# service timestamps log datetime msec localtime8. Was sind typische Fehler beim Hardening?
- Telnet statt SSH verwenden
- Enable Password im Klartext ohne Secret
- SNMPv2c ungesichert auf öffentlichen Interfaces
- Management-Traffic nicht isoliert
- CoPP und Rate-Limits nicht implementiert
- Fallback-Accounts oder AAA fehlen
- Logging und Audit-Funktionen unzureichend
9. Wie teste ich Hardening ohne Downtime?
- Parallelbetrieb von SNMPv2c und SNMPv3 für Monitoring
- AAA-Testaccounts vor Produktivnutzung
- ACLs in Test-VLANs prüfen
- Monitoring von Logs während Implementierung
10. Welche Best Practices sollten IT-Teams beachten?
- Dokumentation aller Hardening-Maßnahmen
- Regelmäßige Rotation von Passwörtern und SSH-Keys
- Management-Zugriff auf dedizierte VRFs/Subnetze beschränken
- SNMPv3 für alle Monitoring-Zugänge nutzen
- CoPP und Rate-Limits für Control Plane implementieren
- Monitoring und Logging kontinuierlich prüfen
- Audit-Reports regelmäßig erstellen und prüfen
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
