March 3, 2026

Cisco Router Security Checklist: 20 Punkte für mehr Sicherheit

Eine Security-Checkliste für Cisco Router hilft, typische Schwachstellen systematisch zu schließen: unsichere Management-Zugänge, offene Services, fehlende Logging-/Monitoring-Bausteine und ungeschützte Control Plane. Die folgenden 20 Punkte sind praxisorientiert, schnell prüfbar und decken Hardening für kleine Umgebungen bis Enterprise-Edges ab. Viele Punkte lassen sich direkt in Templates übernehmen.

Management-Zugriff und Authentifizierung

  • SSH statt Telnet: nur SSHv2 erlauben (transport input ssh, ip ssh version 2).
  • VTY-Zugriff auf Admin-Netze begrenzen (VTY ACL via access-class).
  • Starke lokale Accounts (mind. ein Break-Glass-User mit secret).
  • AAA nutzen (TACACS+/RADIUS) mit lokalem Fallback für Lockout-Schutz.
  • Idle-Timeouts setzen (VTY exec-timeout, ggf. kurze SSH-Timeouts).

Beispiel: SSHv2 + VTY-ACL + Timeout

ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 2

ip access-list standard VTY_MGMT

permit 192.168.10.0 0.0.0.255

deny any


line vty 0 15

login local

transport input ssh

access-class VTY_MGMT in

exec-timeout 10 0

Passwort- und Secrets-Härtung

  • enable secret setzen (nicht enable password).
  • Passwort-Verschleierung aktivieren (service password-encryption) als Basisschutz gegen „Shoulder Surfing“ in Konfigs.
  • Login-Brute-Force begrenzen (login block-for, wenn unterstützt).

Beispiel: Enable Secret und Login-Block

enable secret Str0ngEnableSecret!
service password-encryption
login block-for 120 attempts 3 within 60

Unnötige Dienste abschalten

  • HTTP/HTTPS-Server abschalten, wenn nicht benötigt (no ip http server, no ip http secure-server).
  • CDP auf untrusted Interfaces deaktivieren (no cdp enable).
  • Unbenutzte Interfaces administrativ down setzen und beschreiben.

Beispiel: Basis-Service-Hardening

no ip http server
no ip http secure-server

interface gigabitEthernet0/1

description UNTRUSTED-UPLINK

no cdp enable

shutdown

SNMP, NTP und Management-Plane sauber betreiben

  • SNMP wenn möglich SNMPv3 nutzen; SNMPv2c vermeiden.
  • SNMP per ACL auf Management-Netze begrenzen (auch bei SNMPv3 sinnvoll).
  • NTP konfigurieren und Zeitquellen absichern (für Logs/Forensik).

Beispiel: NTP setzen

ntp server 192.168.10.10 prefer
ntp source loopback0

Logging und Monitoring (Betriebssicherheit)

  • Syslog an zentralen Logserver senden (logging host), Level passend wählen.
  • Zeitstempel in Logs aktivieren (service timestamps).
  • Login-Events und ACL-Drops gezielt loggen (nicht „alles“).
  • Konfig-Änderungen auditierbar machen (AAA Accounting, wenn möglich).

Beispiel: Logging und Timestamps

service timestamps log datetime msec localtime
logging host 192.168.10.20
logging trap warnings

Control Plane schützen (CoPP/CPPr)

  • Control Plane Policing einführen (Management/Routing/ICMP klassifizieren und drosseln).
  • ICMP zur Router-IP begrenzen (Ping-Floods, Scans).

Beispiel: CoPP-Prinzip (stark vereinfacht)

class-map match-any CM_CP_SSH
 match protocol ssh

policy-map PM_COPP

class CM_CP_SSH

police 64000 conform-action transmit exceed-action drop

class class-default

police 16000 conform-action transmit exceed-action drop


control-plane

service-policy input PM_COPP

Routing- und Interface-Hardening

  • uRPF an passenden Interfaces aktivieren (Spoofing-Schutz, wenn Routing konsistent ist).
  • Proxy ARP deaktivieren, wenn nicht benötigt (no ip proxy-arp).
  • ICMP Redirects deaktivieren (no ip redirects), wo sinnvoll.

Beispiel: Interface-Hardening

interface gigabitEthernet0/0
 no ip redirects
 no ip proxy-arp
 ip verify unicast source reachable-via rx

Firewall-Policy: ACL/Zonen sauber definieren

  • Inbound am Outside nur benötigte Ports erlauben (Default-Deny).
  • NAT/Port Forwarding immer mit Outside-ACL kombinieren.
  • Bei komplexen Policies: Zone-Based Firewall statt reiner ACL erwägen.

Beispiel: Outside-ACL Default-Deny

ip access-list extended OUTSIDE_IN
 permit tcp any host 203.0.113.10 eq 443
 deny ip any any log

interface gigabitEthernet0/1

ip access-group OUTSIDE_IN in

Konfigurations- und Betriebsdisziplin

  • Konfiguration versionieren/backupen (z. B. SCP/TFTP/Automation) und regelmäßig testen.
  • Änderungen nur mit Console/OOB-Fallback durchführen (Lockout-Schutz).
  • Software/Ios-Versionen aktuell halten (Security Fixes, Planned Maintenance).
  • Banner/Legal Notice setzen (Compliance/Abschreckung).

Beispiel: Banner

banner motd ^C
Unauthorized access prohibited. All activity may be monitored.
^C

Quick-Check: 20 Punkte als kompakte Liste

  • SSHv2 aktiv, Telnet aus
  • VTY ACL auf Admin-Netze
  • Lokaler Break-Glass-User mit secret
  • AAA (TACACS+/RADIUS) + local fallback
  • VTY exec-timeout gesetzt
  • SSH retries/time-out reduziert
  • enable secret gesetzt
  • service password-encryption aktiviert
  • login block-for (wenn möglich) aktiv
  • no ip http server / secure-server
  • CDP auf untrusted Ports aus
  • Unbenutzte Interfaces shutdown + description
  • SNMPv3 statt v2c, per ACL begrenzen
  • NTP aktiv, Quelle definiert
  • Syslog zentral, passende severity
  • service timestamps log aktiviert
  • CoPP/CPPr aktiv
  • uRPF wo passend
  • no ip redirects / no ip proxy-arp wo sinnvoll
  • Outside-ACL Default-Deny + Logging

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)