Cisco-Router-Konfiguration: Sicherheits-Checkliste vor dem Go-Live

Eine Sicherheits-Checkliste vor dem Go-Live stellt sicher, dass eine Cisco-Router-Konfiguration nicht nur funktional ist, sondern auch die Mindeststandards für Admin-Zugriff, Segmentierung, Auditfähigkeit und Risikoabsicherung erfüllt. In der Praxis passieren die kritischsten Sicherheitsfehler kurz vor dem Go-Live: Management ist aus „Bequemlichkeit“ offen, Policies sind unvollständig, Logging ist nicht korrelierbar oder Backups fehlen. Diese Checkliste ist als praxistauglicher Gate-Check gedacht: Wenn ein Punkt rot ist, sollte der Go-Live gestoppt oder der Scope angepasst werden.

Go-Live-Sicherheitsgate: Stop/Go-Kriterien

Definieren Sie vorab klare Stop/Go-Kriterien. So vermeiden Sie, dass im Change-Fenster „trotz Risiken“ live geschaltet wird. Ein Go-Live ist erst zulässig, wenn Managementzugang sicher ist, Segmentierung wirkt und Logs auditierbar sind.

• Stop: Managementzugang von untrusted Netzen möglich oder Telnet/HTTP aktiv
• Stop: Guest/IoT können interne Netze erreichen (Policy-Matrix verletzt)
• Stop: NTP unsynchronized und keine zentralen Logs
• Stop: Kein aktuelles Backup/kein Rollback-Pfad/kein Notfallzugang
• Stop: BGP ohne Filterpflicht oder VPN ohne No-NAT/Traffic-Nachweis (wenn im Scope)

Checkliste 1: Admin-Zugriffssicherheit (Pflicht)

Der Router darf nur über sichere Protokolle administrierbar sein und nur aus einem definierten Managementnetz. Individuelle Accounts und (wenn vorhanden) AAA/Accounting sind der professionelle Standard.

• SSH-only (SSHv2), Telnet deaktiviert
• HTTP/HTTPS-Server deaktiviert (wenn nicht benötigt)
• VTY-Zugriff per Access-Class auf MGMT-Netz begrenzt
• Individuelle Benutzer, keine Shared Accounts
• AAA/Accounting aktiv (wenn TACACS+/RADIUS verfügbar), lokaler Fallback

CLI-Checks Admin-Zugriff

show ip ssh
show running-config | include line vty|transport input|access-class|username|aaa
show running-config | include ip http|ip http secure

Checkliste 2: Angriffsfläche reduzieren (Services und Exposition)

Deaktivieren Sie unnötige Services, insbesondere auf WAN-Interfaces. Das reduziert Scanfläche und verhindert, dass „bequem aktivierte“ Dienste später als Risiko gelten.

• no ip domain-lookup (Betriebsstabilität)
• CDP/Discovery auf WAN deaktiviert
• Login-Härtung (optional): Blocken bei Brute Force, Logging von Erfolgen/Fehlschlägen

CLI-Checks Services/Exposition

show running-config | include no ip domain-lookup|cdp|login block-for|login on-
show interfaces description

Checkliste 3: Segmentierung und Mindest-Policies (Guest/IoT/MGMT)

Segmentierung ist die wichtigste Sicherheitskontrolle in Büro- und Filialnetzen. Vor Go-Live müssen Guest und IoT restriktiv sein, und Management muss geschützt bleiben. Prüfen Sie Policies nicht nur in der Config, sondern funktional (UAT).

• Guest: Internet ok, interne RFC1918-Netze blockiert
• IoT/POS: Whitelist auf notwendige Ziele/Ports, interne Netze blockiert
• Users: kein Zugriff auf MGMT, nur definierte Server/Services
• Policy-Matrix erfüllt (Quelle/Ziel/Ports/Owner)

CLI-Checks Policies

show access-lists
show running-config | include ip access-group|access-class

Checkliste 4: NAT und „No-NAT“ für VPN (wenn relevant)

NAT ist häufige Fehlerquelle und Sicherheitsrisiko (ungeplante Exposition). Vor Go-Live muss klar sein, welche Netze NAT nutzen, ob Portforwards existieren und ob VPN-Traffic korrekt vom NAT ausgenommen ist.

• NAT nur für definierte Quellnetze (Whitelist)
• Keine unerwünschten Portforwards (oder vollständig dokumentiert)
• No-NAT für VPN-Subnetze (Pflicht bei Site-to-Site)
• Nachweis: NAT-Translations nur wie erwartet

CLI-Checks NAT

show ip nat statistics
show ip nat translations
show running-config | include ip nat inside|ip nat outside|ip nat inside source

Checkliste 5: VPN-Sicherheit und Traffic-Nachweis (wenn relevant)

„Tunnel up“ ist kein Sicherheitsnachweis. Vor Go-Live müssen IKE/IPsec-Parameter standardisiert sein und Paketzähler müssen bei Testtraffic steigen. Zusätzlich sollten Logs keine Rekey-/DPD-Schleifen zeigen.

• IKEv2/IPsec Standardparameter (Cipher/Hash/DH/PFS) gemäß Vorgabe
• DPD/Rekey stabil, keine Flaps im Testfenster
• Paketzähler steigen bei definiertem Testtraffic
• Logs enthalten keine wiederkehrenden CRYPTO/IKE Fehler

CLI-Checks VPN

show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail
show logging | include IKEV2|IPSEC|CRYPTO

Checkliste 6: Routing-Sicherheit (Loops, Filterpflicht, Default-Handling)

Routing-Fehler können sowohl Downtime als auch Sicherheitsprobleme verursachen (Traffic auf falschen Pfad). Vor Go-Live müssen Default-Route, Nachbarn und – bei BGP – Filterpflicht und Prefix-Limits geprüft sein.

• Default-Route korrekt, keine konkurrierenden Default-Pfade ohne Design
• OSPF/EIGRP Nachbarn stabil (wenn genutzt)
• BGP: Outbound-Filterpflicht, max-prefix, keine ungewollten Präfixe

CLI-Checks Routing

show ip route 0.0.0.0
show ip route summary
show ip protocols
show bgp summary

Checkliste 7: Logging/Audit-Fähigkeit (NTP, Syslog, Nachvollziehbarkeit)

Go-Live ohne Auditfähigkeit ist ein Compliance- und Betriebsrisiko. NTP muss synchronized sein, Logs müssen zentral ankommen, und Zeitstempel müssen aktiv sein.

• NTP synchronized (mindestens eine Quelle erreichbar)
• Syslog zentral, definierter Log-Level
• Log-Timestamps aktiv (datetime msec)
• Login-Events und Policy-Events nachvollziehbar

CLI-Checks Audit

show ntp status
show logging | last 50
show running-config | include service timestamps|ntp server|logging host

Checkliste 8: Monitoring-Minimum (damit Security-Events sichtbar sind)

Vor Go-Live muss mindestens erkennbar sein, wenn WAN/VPN/Routing ausfällt oder der Router überlastet ist. Für Unternehmen ist SNMPv3 (oder gleichwertige Telemetrie) stark zu empfehlen.

• Alarme: WAN down/flaps, Path-down (IP SLA), VPN down, Neighbor down
• Ressourcen: CPU/Memory überwacht
• Interface-Errors/Drops überwacht
• IP SLA aktiv (wenn Dual-WAN oder kritische Standorte)

CLI-Checks Monitoring

show processes cpu sorted
show processes memory sorted
show interfaces counters errors
show ip sla statistics

Checkliste 9: Backup, Rollback und Notfallzugang (Risk Control)

Ein sicherer Go-Live beinhaltet den Rückweg. Ohne aktuelles Backup und getesteten Notfallzugang wird ein Sicherheits- oder Betriebsfehler zur langen Downtime.

• Pre-Backup: running-config gesichert und versioniert
• Rollback-Plan: Trigger, Schritte, Validierungschecks
• Notfallzugang: Console/OOB oder Remote-Hands organisiert
• Startup-Config erst nach Abnahme schreiben

CLI-Checks Backup/Rollback

show running-config
show startup-config
copy running-config startup-config

Go-Live-Runbook: Kompakter Sicherheits-Post-Check (Copy/Paste)

Dieser Post-Check deckt die wichtigsten Sicherheits- und Betriebsindikatoren ab und eignet sich als Anhang im Abnahmeprotokoll.

show ip ssh
show running-config | include line vty|access-class|ip http|ip http secure|aaa
show access-lists
show ip route 0.0.0.0
show ip nat translations
show crypto ikev2 sa
show crypto ipsec sa
show ntp status
show logging | last 50
show processes cpu sorted
show interfaces counters errors

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.