Cisco-Router-Konfiguration: Pflichtstandard für Admin-Zugriffssicherheit

Admin-Zugriffssicherheit ist der Pflichtstandard für jede Cisco-Router-Konfiguration, weil ein kompromittierter Managementzugang alle anderen Sicherheitsmaßnahmen aushebelt. In der Praxis entstehen die meisten Schwachstellen nicht durch „Zero Days“, sondern durch offene Management-Interfaces, Telnet/HTTP-Altlasten, geteilte Accounts und fehlende Audit-Spuren. Dieser Leitfaden beschreibt einen praxiserprobten Mindeststandard („Must-have“), der in Büro-, Filial- und Enterprise-Umgebungen als Baseline gelten sollte – inklusive CLI-Bausteinen, die sich als Golden Config verwenden lassen.

Pflichtstandard in einem Satz: Minimaler Zugriff, maximal nachvollziehbar

Der Standard lautet: nur verschlüsselte Protokolle (SSH), Zugriff nur aus einem definierten Managementnetz, individuelle Accounts, AAA/Accounting wo möglich, saubere Zeitstempel und zentrale Logs. Alles andere ist Ausnahme und muss begründet werden.

• SSH-only, keine Klartextdienste
• Managementzugriff nur aus MGMT-Subnetz/VRF
• Individuelle Nutzer, keine Shared Accounts
• AAA + Accounting (wenn Infrastruktur vorhanden)
• NTP + Syslog für Audit und Incident-Korrelation

Baustein 1: Angriffsfläche reduzieren (Services deaktivieren)

Deaktivieren Sie alles, was nicht benötigt wird. Besonders HTTP/HTTPS-Management und unnötige Discovery-Dienste erhöhen die Angriffsfläche ohne operativen Mehrwert.

• HTTP/HTTPS-Server deaktivieren (wenn nicht explizit benötigt)
• DNS-Lookups bei Tippfehlern deaktivieren (Betriebsstabilität)
• Discovery auf WAN reduzieren (z. B. CDP auf WAN aus)

CLI: Minimales Service-Hardening

no ip http server
no ip http secure-server
no ip domain-lookup
interface GigabitEthernet0/0

description WAN-ISP

no cdp enable

Baustein 2: SSH-only korrekt aufsetzen (Schlüssel, Version, Sessions)

SSH-only ist Pflicht. Dazu gehören RSA-Keys, SSH v2 und sinnvolle Session-Parameter. Verhindern Sie zudem, dass sich alte, unsichere Zugriffsmethoden „einschleichen“.

CLI: SSH aktivieren (Baseline)

ip domain-name example.local
crypto key generate rsa modulus 2048
ip ssh version 2

CLI: VTY nur SSH erlauben und Sessions begrenzen

line vty 0 4
 transport input ssh
 exec-timeout 10 0

Baustein 3: Managementzugriff strikt begrenzen (Access-Class/ACL)

Verschlüsselung allein genügt nicht, wenn SSH aus jedem VLAN erreichbar ist. Beschränken Sie VTY-Zugriffe auf ein dediziertes Managementnetz. Das ist eine der wirksamsten Maßnahmen gegen Scans und Brute Force.

CLI: Management-ACL und Access-Class

ip access-list standard MGMT_ONLY
 permit 10.10.99.0 0.0.0.255
 deny   any
line vty 0 4

access-class MGMT_ONLY in

transport input ssh

Baustein 4: Nutzer- und Passwortstandard (keine Shared Accounts)

Individuelle Accounts sind Pflicht, damit Änderungen und Zugriffe zuordenbar sind. Verwenden Sie „secret“ statt „password“ und definieren Sie Rollen, statt allen privilege 15 zu geben.

• Jeder Admin erhält einen eigenen Account
• Passwörter als „secret“ (gehasht), nicht als Klartext
• Rollenmodell: Viewer/Operator/Admin (Least Privilege)

CLI: Lokale Accounts (Minimalstandard)

username netadmin privilege 15 secret <SECRET>
username viewer privilege 1 secret <SECRET>

Baustein 5: AAA und Accounting (wenn möglich)

AAA ist der professionelle Standard, weil er zentrale Authentifizierung, rollenbasierte Autorisierung und Accounting ermöglicht. In Enterprise-Umgebungen ist TACACS+ typisch, mit lokalem Fallback für Notfälle.

CLI: AAA mit lokalem Fallback (Muster)

aaa new-model
tacacs server TACACS1

address ipv4 10.10.99.10

key 
aaa authentication login default group tacacs+ local

aaa authorization exec default group tacacs+ local

aaa accounting exec default start-stop group tacacs+

Baustein 6: Anti-Brute-Force und Login-Härtung

Zusätzliche Login-Controls begrenzen automatisierte Angriffe. Setzen Sie diese Parameter so, dass sie Sicherheit erhöhen, aber den Notfallzugang nicht behindern.

CLI: Login-Block und Logging

login block-for 60 attempts 5 within 60
login on-failure log
login on-success log

Baustein 7: Zeit und Logging für Audit (NTP + Syslog)

Ohne korrekte Zeitstempel sind Logs für Audit und Incident nahezu wertlos. NTP und zentrale Syslog-Weiterleitung sind daher Pflichtbestandteile der Admin-Zugriffssicherheit.

CLI: NTP und Syslog Baseline

service timestamps log datetime msec
ntp server 192.0.2.10 prefer
ntp server 192.0.2.11
logging buffered 64000 informational

logging host 192.0.2.20

logging trap informational

Baustein 8: Notfallzugang und Rollback-Fähigkeit

Ein Pflichtstandard berücksichtigt auch den Ernstfall: Wenn AAA ausfällt oder eine ACL Sie aussperrt, brauchen Sie einen funktionierenden Notfallzugang (Console/OOB) und eine stabile Startup-Config.

• Console/OOB-Zugang dokumentiert und getestet
• Letzter stabiler Zustand als Startup-Config gespeichert
• Rollback-Trigger und Validierungschecks definiert

CLI: Stabilen Zustand sichern

copy running-config startup-config

Verifikation: Nachweis, dass der Pflichtstandard erfüllt ist

Ein Standard ist nur dann belastbar, wenn er überprüfbar ist. Diese Checks eignen sich als Abnahmeanhang und für regelmäßige Audits.

SSH/VTY/ACL-Checks

show ip ssh
show running-config | include line vty|transport input|access-class
show access-lists MGMT_ONLY

AAA/Logging/NTP-Checks

show running-config | include aaa|tacacs|logging host|ntp server
show ntp status
show logging | last 50

Minimal-Template: Pflichtstandard als Golden Config (kompakt)

Dieses Template bündelt die wichtigsten Pflichtbausteine für Admin-Zugriffssicherheit. IPs, Domain und Secrets sind Platzhalter und müssen an Ihre Umgebung angepasst werden.

no ip http server
no ip http secure-server
no ip domain-lookup
ip domain-name example.local

crypto key generate rsa modulus 2048

ip ssh version 2
ip access-list standard MGMT_ONLY

permit 10.10.99.0 0.0.0.255

deny   any
username netadmin privilege 15 secret 
line vty 0 4

transport input ssh

access-class MGMT_ONLY in

login local

exec-timeout 10 0
service timestamps log datetime msec

ntp server 192.0.2.10 prefer

logging host 192.0.2.20

logging trap informational

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.