Eine Sicherheits-Checkliste vor dem Go-Live stellt sicher, dass eine Cisco-Router-Konfiguration nicht nur funktional ist, sondern auch die Mindeststandards für Admin-Zugriff, Segmentierung, Auditfähigkeit und Risikoabsicherung erfüllt. In der Praxis passieren die kritischsten Sicherheitsfehler kurz vor dem Go-Live: Management ist aus „Bequemlichkeit“ offen, Policies sind unvollständig, Logging ist nicht korrelierbar oder Backups fehlen. Diese Checkliste ist als praxistauglicher Gate-Check gedacht: Wenn ein Punkt rot ist, sollte der Go-Live gestoppt oder der Scope angepasst werden.
Go-Live-Sicherheitsgate: Stop/Go-Kriterien
Definieren Sie vorab klare Stop/Go-Kriterien. So vermeiden Sie, dass im Change-Fenster „trotz Risiken“ live geschaltet wird. Ein Go-Live ist erst zulässig, wenn Managementzugang sicher ist, Segmentierung wirkt und Logs auditierbar sind.
- Stop: Managementzugang von untrusted Netzen möglich oder Telnet/HTTP aktiv
- Stop: Guest/IoT können interne Netze erreichen (Policy-Matrix verletzt)
- Stop: NTP unsynchronized und keine zentralen Logs
- Stop: Kein aktuelles Backup/kein Rollback-Pfad/kein Notfallzugang
- Stop: BGP ohne Filterpflicht oder VPN ohne No-NAT/Traffic-Nachweis (wenn im Scope)
Checkliste 1: Admin-Zugriffssicherheit (Pflicht)
Der Router darf nur über sichere Protokolle administrierbar sein und nur aus einem definierten Managementnetz. Individuelle Accounts und (wenn vorhanden) AAA/Accounting sind der professionelle Standard.
- SSH-only (SSHv2), Telnet deaktiviert
- HTTP/HTTPS-Server deaktiviert (wenn nicht benötigt)
- VTY-Zugriff per Access-Class auf MGMT-Netz begrenzt
- Individuelle Benutzer, keine Shared Accounts
- AAA/Accounting aktiv (wenn TACACS+/RADIUS verfügbar), lokaler Fallback
CLI-Checks Admin-Zugriff
show ip ssh
show running-config | include line vty|transport input|access-class|username|aaa
show running-config | include ip http|ip http secureCheckliste 2: Angriffsfläche reduzieren (Services und Exposition)
Deaktivieren Sie unnötige Services, insbesondere auf WAN-Interfaces. Das reduziert Scanfläche und verhindert, dass „bequem aktivierte“ Dienste später als Risiko gelten.
- no ip domain-lookup (Betriebsstabilität)
- CDP/Discovery auf WAN deaktiviert
- Login-Härtung (optional): Blocken bei Brute Force, Logging von Erfolgen/Fehlschlägen
CLI-Checks Services/Exposition
show running-config | include no ip domain-lookup|cdp|login block-for|login on-
show interfaces descriptionCheckliste 3: Segmentierung und Mindest-Policies (Guest/IoT/MGMT)
Segmentierung ist die wichtigste Sicherheitskontrolle in Büro- und Filialnetzen. Vor Go-Live müssen Guest und IoT restriktiv sein, und Management muss geschützt bleiben. Prüfen Sie Policies nicht nur in der Config, sondern funktional (UAT).
- Guest: Internet ok, interne RFC1918-Netze blockiert
- IoT/POS: Whitelist auf notwendige Ziele/Ports, interne Netze blockiert
- Users: kein Zugriff auf MGMT, nur definierte Server/Services
- Policy-Matrix erfüllt (Quelle/Ziel/Ports/Owner)
CLI-Checks Policies
show access-lists
show running-config | include ip access-group|access-classCheckliste 4: NAT und „No-NAT“ für VPN (wenn relevant)
NAT ist häufige Fehlerquelle und Sicherheitsrisiko (ungeplante Exposition). Vor Go-Live muss klar sein, welche Netze NAT nutzen, ob Portforwards existieren und ob VPN-Traffic korrekt vom NAT ausgenommen ist.
- NAT nur für definierte Quellnetze (Whitelist)
- Keine unerwünschten Portforwards (oder vollständig dokumentiert)
- No-NAT für VPN-Subnetze (Pflicht bei Site-to-Site)
- Nachweis: NAT-Translations nur wie erwartet
CLI-Checks NAT
show ip nat statistics
show ip nat translations
show running-config | include ip nat inside|ip nat outside|ip nat inside sourceCheckliste 5: VPN-Sicherheit und Traffic-Nachweis (wenn relevant)
„Tunnel up“ ist kein Sicherheitsnachweis. Vor Go-Live müssen IKE/IPsec-Parameter standardisiert sein und Paketzähler müssen bei Testtraffic steigen. Zusätzlich sollten Logs keine Rekey-/DPD-Schleifen zeigen.
- IKEv2/IPsec Standardparameter (Cipher/Hash/DH/PFS) gemäß Vorgabe
- DPD/Rekey stabil, keine Flaps im Testfenster
- Paketzähler steigen bei definiertem Testtraffic
- Logs enthalten keine wiederkehrenden CRYPTO/IKE Fehler
CLI-Checks VPN
show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail
show logging | include IKEV2|IPSEC|CRYPTOCheckliste 6: Routing-Sicherheit (Loops, Filterpflicht, Default-Handling)
Routing-Fehler können sowohl Downtime als auch Sicherheitsprobleme verursachen (Traffic auf falschen Pfad). Vor Go-Live müssen Default-Route, Nachbarn und – bei BGP – Filterpflicht und Prefix-Limits geprüft sein.
- Default-Route korrekt, keine konkurrierenden Default-Pfade ohne Design
- OSPF/EIGRP Nachbarn stabil (wenn genutzt)
- BGP: Outbound-Filterpflicht, max-prefix, keine ungewollten Präfixe
CLI-Checks Routing
show ip route 0.0.0.0
show ip route summary
show ip protocols
show bgp summaryCheckliste 7: Logging/Audit-Fähigkeit (NTP, Syslog, Nachvollziehbarkeit)
Go-Live ohne Auditfähigkeit ist ein Compliance- und Betriebsrisiko. NTP muss synchronized sein, Logs müssen zentral ankommen, und Zeitstempel müssen aktiv sein.
- NTP synchronized (mindestens eine Quelle erreichbar)
- Syslog zentral, definierter Log-Level
- Log-Timestamps aktiv (datetime msec)
- Login-Events und Policy-Events nachvollziehbar
CLI-Checks Audit
show ntp status
show logging | last 50
show running-config | include service timestamps|ntp server|logging hostCheckliste 8: Monitoring-Minimum (damit Security-Events sichtbar sind)
Vor Go-Live muss mindestens erkennbar sein, wenn WAN/VPN/Routing ausfällt oder der Router überlastet ist. Für Unternehmen ist SNMPv3 (oder gleichwertige Telemetrie) stark zu empfehlen.
- Alarme: WAN down/flaps, Path-down (IP SLA), VPN down, Neighbor down
- Ressourcen: CPU/Memory überwacht
- Interface-Errors/Drops überwacht
- IP SLA aktiv (wenn Dual-WAN oder kritische Standorte)
CLI-Checks Monitoring
show processes cpu sorted
show processes memory sorted
show interfaces counters errors
show ip sla statisticsCheckliste 9: Backup, Rollback und Notfallzugang (Risk Control)
Ein sicherer Go-Live beinhaltet den Rückweg. Ohne aktuelles Backup und getesteten Notfallzugang wird ein Sicherheits- oder Betriebsfehler zur langen Downtime.
- Pre-Backup: running-config gesichert und versioniert
- Rollback-Plan: Trigger, Schritte, Validierungschecks
- Notfallzugang: Console/OOB oder Remote-Hands organisiert
- Startup-Config erst nach Abnahme schreiben
CLI-Checks Backup/Rollback
show running-config
show startup-config
copy running-config startup-configGo-Live-Runbook: Kompakter Sicherheits-Post-Check (Copy/Paste)
Dieser Post-Check deckt die wichtigsten Sicherheits- und Betriebsindikatoren ab und eignet sich als Anhang im Abnahmeprotokoll.
show ip ssh
show running-config | include line vty|access-class|ip http|ip http secure|aaa
show access-lists
show ip route 0.0.0.0
show ip nat translations
show crypto ikev2 sa
show crypto ipsec sa
show ntp status
show logging | last 50
show processes cpu sorted
show interfaces counters errorsKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
