Site icon bintorosoft.com

Cisco-Router-Konfiguration für Filial-Sicherheit: Mindest-Policies, die Pflicht sind

Red Snapper

Filial-Sicherheit auf Cisco-Routern scheitert selten an „zu wenig Technik“, sondern an fehlenden Mindest-Policies: Gäste sind nicht isoliert, IoT/POS darf zu viel, Management ist offen erreichbar, und Logs sind nicht auditierbar. In Filialnetzen ist der Router häufig der einzige zentrale Kontrollpunkt – deshalb müssen bestimmte Policies immer verpflichtend umgesetzt werden, unabhängig vom Projektbudget. Dieser Leitfaden beschreibt die Mindest-Policies („Pflichtstandard“) für Filialen, inklusive praxistauglicher ACL-Bausteine, Managementschutz und Verifikationschecks.

Pflichtstandard: Was in jeder Filiale mindestens getrennt sein muss

Ohne Segmentierung sind Policies nicht sauber durchsetzbar. Für Filialen reichen wenige Rollen, wenn sie konsequent umgesetzt werden. Das Ziel ist „Least Privilege“: jedes Segment bekommt nur die notwendigen Flows.

Mindest-Policy 1: Guest darf niemals intern (nur Internet)

Das ist die wichtigste Filialregel. Gäste sind per Definition untrusted. Sie müssen Internet nutzen können, dürfen aber keine internen RFC1918-Netze erreichen. Die ACL wird inbound am Guest-Interface angewendet.

Beispiel: Guest-ACL (Pflicht)

ip access-list extended ACL-GUEST-IN
 deny ip 10.10.50.0 0.0.0.255 10.0.0.0 0.255.255.255
 deny ip 10.10.50.0 0.0.0.255 172.16.0.0 0.15.255.255
 deny ip 10.10.50.0 0.0.0.255 192.168.0.0 0.0.255.255
 permit ip 10.10.50.0 0.0.0.255 any

interface GigabitEthernet0/1.50

ip access-group ACL-GUEST-IN in

Mindest-Policy 2: IoT/POS nur Whitelist – keine Lateralkommunikation

IoT und POS sind häufig schwer patchbar und müssen stark eingeschränkt werden. Erlauben Sie nur notwendige Ziele/Ports (DNS/NTP, ggf. Payment-Gateways, Druckdienste) und blockieren Sie interne Netze breit.

Beispiel: IoT/POS-ACL (Whitelist + interne Netze blockieren)

ip access-list extended ACL-IOT-POS-IN
 permit udp 10.10.40.0 0.0.0.63 10.10.10.10 0.0.0.0 eq 53
 permit udp 10.10.40.0 0.0.0.63 10.10.10.11 0.0.0.0 eq 53
 permit udp 10.10.40.0 0.0.0.63 10.10.10.10 0.0.0.0 eq 123
 deny ip  10.10.40.0 0.0.0.63  10.0.0.0 0.255.255.255
 deny ip  10.10.40.0 0.0.0.63  172.16.0.0 0.15.255.255
 deny ip  10.10.40.0 0.0.0.63  192.168.0.0 0.0.255.255
 permit ip 10.10.40.0 0.0.0.63 any

interface GigabitEthernet0/1.40

ip access-group ACL-IOT-POS-IN in

Mindest-Policy 3: Managementzugriff strikt begrenzen (SSH-only)

In Filialen ist Management oft über VPN oder zentrale Netze erreichbar. Entscheidend ist, dass SSH nicht aus Users/Guest/IoT erreichbar ist. Nutzen Sie VTY-Access-Class und deaktivieren Sie HTTP/HTTPS-Management.

Beispiel: SSH-only + MGMT-Only Access-Class

no ip http server
no ip http secure-server
ip ssh version 2

ip access-list standard MGMT_ONLY

permit 10.10.10.0 0.0.0.255

deny   any


line vty 0 4

transport input ssh

access-class MGMT_ONLY in

login local

exec-timeout 10 0

Mindest-Policy 4: Logging/Audit muss funktionieren (NTP + Syslog)

Ohne Zeitstempel und zentrale Logs ist die Filiale im Incident „blind“. NTP und Syslog sind daher Pflicht: Sie ermöglichen Incident-Korrelation, Compliance und schnelleres Troubleshooting.

Beispiel: NTP + Syslog Baseline

service timestamps log datetime msec
ntp server 192.0.2.10 prefer
logging host 192.0.2.20
logging trap informational

Mindest-Policy 5: WAN-Path-Down erkennen (IP SLA als Standard)

Viele Filialstörungen sind „Link up, Internet down“. IP SLA überwacht den Pfad aktiv und ist damit ein Sicherheits- und Betriebsstandard: Sie erkennen Störungen früh und können Failover/Alarmierung auslösen.

Beispiel: IP SLA (Pflicht bei kritischen Filialen)

ip sla 10
 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
 frequency 5
 timeout 1000
ip sla schedule 10 life forever start-time now

Mindest-Policy 6: NAT-Ownership und No-NAT für VPN (wenn VPN genutzt wird)

Wenn die Filiale per VPN an die Zentrale angebunden ist, muss No-NAT für VPN-Traffic verpflichtend sein. Sonst entsteht das typische Fehlerbild: „Tunnel up, kein Traffic“. Klären Sie außerdem, ob NAT am Router oder an einer Firewall erfolgt.

VPN-Checks (Pflicht bei VPN)

show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail

Mindest-Policy 7: Basis-Schutz gegen Scans/Brute Force

Filialrouter sind häufig dem Internet ausgesetzt. Mit einfachen Login-Controls und reduzierter Exposition senken Sie das Risiko automatisierter Angriffe spürbar.

Beispiel: Login-Härtung (optional, aber empfehlenswert)

login block-for 60 attempts 5 within 60
login on-failure log
login on-success log

Verifikation: So weisen Sie Pflicht-Policies objektiv nach

Die Policies gelten erst als umgesetzt, wenn sie überprüft wurden. Nutzen Sie ein kurzes Checkset, das in Abnahmeprotokollen und Runbooks wiederverwendbar ist.

Policy- und Management-Checks

show access-lists
show running-config | include ip access-group|access-class|ip ssh|line vty
show ip ssh

Logging- und Monitoring-Checks

show ntp status
show logging | last 50
show ip sla statistics

Abnahme in der Filiale: Minimaler UAT für Sicherheit

Die schnellste UAT-Prüfung für Filial-Sicherheit ist End-to-End: Guest darf nicht intern, IoT/POS darf nur definierte Ziele, Management ist nur aus MGMT erreichbar. Diese Tests sollten im Change-Fenster dokumentiert werden.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

Sie erhalten

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Exit mobile version