February 23, 2026

Cisco Switch Hardening: Die wichtigsten Security-Einstellungen

Cisco Switch Hardening bedeutet, einen Switch so zu konfigurieren, dass Angriffsfläche und Fehlkonfigurationen im Alltag deutlich reduziert werden. Gerade im Campus- und Access-Layer stehen Switches oft physisch nah an Endgeräten, in Technikräumen oder sogar öffentlich zugänglichen Bereichen. Das macht sie zu einem attraktiven Ziel: Ein ungesicherter Managementzugang, ein offener Switchport oder eine fehlende Layer-2-Schutzfunktion reichen häufig aus, um sich ins interne Netz einzuklinken, VLANs zu umgehen oder den Betrieb durch Loops und Broadcast-Stürme zu stören. Die wichtigsten Security-Einstellungen sind dabei keine exotischen Features, sondern eine Mischung aus Basis-Härtung (SSH statt Telnet, starke Passwörter, sichere AAA- und VTY-Policies), sauberer Segmentierung (Management-VLAN/VRF), Layer-2-Schutzmechanismen (STP Guard, DHCP Snooping, Dynamic ARP Inspection) und konsequentem Port- und Service-Management (nur benötigte Dienste aktiv, ungenutzte Ports deaktiviert). Dieser Leitfaden zeigt praxisnah, welche Maßnahmen sich in typischen Cisco IOS/IOS XE Switch-Umgebungen bewährt haben, wie Sie sie sinnvoll kombinieren und worauf Sie achten sollten, damit die Härtung nicht nur „sicher“, sondern auch betrieblich stabil ist.

Table of Contents

Grundprinzipien für Cisco Switch Hardening

Bevor es in konkrete Befehle geht, lohnt sich ein kurzes Sicherheitsmodell. Gute Härtung folgt meist drei Leitlinien:

  • Minimale Angriffsfläche: Alles deaktivieren, was nicht benötigt wird (Protokolle, Services, offene Ports).
  • Least Privilege: Zugriff nur für definierte Admins und nur aus definierten Netzen, mit nachvollziehbaren Rollen und Protokollierung.
  • Defense in Depth: Nicht auf eine einzige Maßnahme verlassen, sondern Management-, Layer-2- und Port-Security kombinieren.

Als herstellerneutraler Sicherheitsrahmen für technische Basismaßnahmen eignet sich der Anchor-Text CIS Controls. Für Cisco-spezifische Kommandos und Plattformvarianten ist der Anchor-Text Cisco IOS Command Reference hilfreich.

Managementzugang absichern: SSH, Benutzer, AAA und VTY-Filter

Der Managementzugang ist der wichtigste Schutzbereich. Wenn ein Angreifer administrative CLI- oder Web-Zugriffe bekommt, ist praktisch jede weitere Härtung überwindbar. Der Mindeststandard im Betrieb ist daher: keine Klartext-Protokolle, starke Authentifizierung, eingeschränkte Quellen und ein sauberes Logging.

SSH statt Telnet erzwingen

configure terminal
ip domain-name firma.local
crypto key generate rsa modulus 2048
ip ssh version 2
line vty 0 15
transport input ssh
no transport input telnet
end

Lokale Accounts als Basis und AAA als Zielbild

In kleineren Umgebungen ist login local ein solider Start. In Enterprise-Umgebungen ist AAA (TACACS+/RADIUS) Best Practice, weil Rollen, zentrale Benutzerverwaltung und Accounting möglich sind. Unabhängig davon sollten Sie einen „Break-Glass“-Account für Notfälle definieren (starkes Secret, streng kontrolliert).

configure terminal
username breakglass privilege 15 secret <STARKES_PASSWORT>
line vty 0 15
login local
end

VTY ACLs: Management nur aus Adminnetzen erlauben

VTY-ACLs sind eine der effektivsten Maßnahmen gegen Brute-Force und unberechtigte Loginversuche. Erlauben Sie SSH nur aus einem Management- oder Adminnetz.

configure terminal
ip access-list standard MGMT-ONLY
permit 10.10.99.0 0.0.0.255
deny any
line vty 0 15
access-class MGMT-ONLY in
end

Session-Timeouts und Banner

Timeouts senken das Risiko „vergessener“ Sessions. Ein Login-Banner ist kein Schutzmechanismus, aber in vielen Organisationen Teil der Compliance.

configure terminal
line vty 0 15
exec-timeout 10 0
end

configure terminal
banner motd ^
Unbefugter Zugriff verboten. Aktionen werden protokolliert.
^
end

Management-Plane segmentieren: Management-VLAN, SVI und Default-Gateway

Eine häufige Schwachstelle ist „Management überall“. Best Practice ist ein dediziertes Management-VLAN (oder bei größeren Designs eine Management-VRF), aus dem die Switches verwaltet werden. So reduzieren Sie die Angriffsfläche auf wenige Pfade.

  • Dediziertes Management-VLAN statt Management im User-VLAN
  • Restriktive ACLs auf dem Management-SVI (nur Adminnetze, nur benötigte Protokolle wie SSH/SNMP)
  • Keine unnötigen Services auf der Management-IP

Für die VLAN- und SVI-Grundlogik ist der Anchor-Text Cisco VLAN Grundlagen hilfreich.

Unnötige Services deaktivieren: Angriffsfläche reduzieren

Je nach IOS/IOS XE-Version sind bestimmte Services standardmäßig aktiv oder werden aus historischen Gründen oft mitkonfiguriert. Das Hardening-Ziel ist: nur aktivieren, was Sie wirklich nutzen.

  • HTTP/HTTPS: Wenn Sie kein Web-Management nutzen, deaktivieren.
  • CDP/LLDP: CDP ist praktisch, aber kann Informationen preisgeben. LLDP ist Standard in gemischten Umgebungen. Nutzen Sie bewusst, wo nötig.
  • Unbenutzte Serverfunktionen: z. B. kleine Hilfsdienste, die im Betrieb nicht gebraucht werden.

Beispiel: HTTP deaktivieren, HTTPS bewusst nutzen

configure terminal
no ip http server
ip http secure-server
end

Wenn Sie HTTPS aktiv nutzen, kombinieren Sie das mit restriktiven Management-ACLs und möglichst zentraler Authentifizierung.

CDP gezielt steuern

CDP kann im Access-Layer hilfreich sein (z. B. IP-Telefone), ist aber nicht immer überall notwendig.

configure terminal
no cdp run
end

Alternativ können Sie CDP global aktiv lassen und nur auf externen/Uplink-Ports deaktivieren (plattformabhängig). Entscheidend ist: bewusst entscheiden, nicht „überall an“.

Layer-2-Schutz gegen Loops: STP Hardening mit PortFast und Guards

Loops gehören zu den häufigsten Ursachen für Campus-Ausfälle. Spanning Tree Protocol (STP) verhindert Loops, aber es braucht passende Schutzfunktionen, damit Endgeräte-Ports nicht zu STP-Risiken werden. Ein bewährtes Muster ist: PortFast auf Access-Ports, BPDU Guard auf Endgeräte-Ports und Root Guard dort, wo keine Root-Bridge „nach unten“ wandern soll.

PortFast auf Access-Ports

configure terminal
interface range GigabitEthernet1/0/1 - 48
spanning-tree portfast
end

BPDU Guard aktivieren

BPDU Guard schützt davor, dass ein Endgeräte-Port STP-BPDUs empfängt (z. B. wenn jemand einen Switch anschließt). Das reduziert Loop-Risiken deutlich.

configure terminal
spanning-tree portfast default
spanning-tree portfast bpduguard default
end

Root Guard gezielt nutzen

Root Guard verhindert, dass ein Port Root-Bridge-Informationen akzeptiert und die Root-Bridge unerwünscht „wandert“. Das ist sinnvoll auf Downlink-Ports zu Access-Switches, wenn die Root-Bridge in Distribution/Core bleiben soll.

configure terminal
interface GigabitEthernet1/0/49
spanning-tree guard root
end

Für STP-Grundlagen bietet der Anchor-Text Cisco STP Grundlagen eine gute Orientierung.

Port Hardening: Unbenutzte Ports deaktivieren und sauber beschreiben

Unbenutzte Ports sind oft offen und werden im Alltag vergessen. Hardening bedeutet: Ports, die nicht gebraucht werden, administrativ deaktivieren und in ein „Park-VLAN“ legen, falls das im Design vorgesehen ist.

configure terminal
interface range GigabitEthernet1/0/30 - 48
description UNUSED
switchport mode access
switchport access vlan 999
shutdown
end

  • Park-VLAN: kein Routing, keine kritischen Dienste
  • shutdown: verhindert versehentlichen Zugriff
  • description: erleichtert Betrieb und Audits

Port Security: MAC-Limits und Sticky MAC als zusätzliche Hürde

Port Security ist kein Ersatz für 802.1X, aber eine nützliche Zusatzschicht, um „private Switches“ oder unerwartete Geräte zu erkennen bzw. zu blockieren. Typische Best Practices:

  • PC-Port: Maximum 1, Violation restrict
  • Telefon+PC: Maximum 2 oder 3 (realistisch), Violation restrict
  • IoT/Printer: Maximum 1, Violation shutdown in sensiblen Bereichen

configure terminal
interface GigabitEthernet1/0/10
switchport mode access
switchport access vlan 10
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation restrict
end

DHCP Snooping: Schutz vor Rogue DHCP im Access-Layer

Ein Rogue DHCP-Server ist in der Praxis eine der häufigsten Layer-2-Bedrohungen: Ein falsch angeschlossener Router oder ein absichtlich platzierter DHCP-Dienst kann Clients falsche Gateways oder DNS-Server geben. DHCP Snooping verhindert das, indem nur „trusted“ Ports DHCP-Server-Antworten senden dürfen (typischerweise Uplinks Richtung DHCP-Server).

DHCP Snooping global und pro VLAN aktivieren

configure terminal
ip dhcp snooping
ip dhcp snooping vlan 10,20,40,99
end

Trusted Ports definieren

configure terminal
interface GigabitEthernet1/0/49
description Uplink to Distribution
ip dhcp snooping trust
end

Rate-Limits für DHCP auf Access-Ports

DHCP Snooping kann zusätzlich durch Rate-Limits ergänzt werden, um DHCP-Flooding abzufangen.

configure terminal
interface range GigabitEthernet1/0/1 - 48
ip dhcp snooping limit rate 15
end

Dynamic ARP Inspection: ARP Spoofing verhindern

ARP Spoofing ist ein Klassiker für Man-in-the-Middle-Angriffe in IPv4-LANs. Dynamic ARP Inspection (DAI) validiert ARP-Pakete, typischerweise auf Basis der DHCP Snooping Binding Table. Das ist ein wichtiger Grund, warum DHCP Snooping oft als Basis für weitere Security-Features gilt.

configure terminal
ip arp inspection vlan 10,20,40
end

Zusätzlich definieren Sie trusted Ports (meist Uplinks), damit Infrastrukturverkehr nicht unnötig blockiert wird:

configure terminal
interface GigabitEthernet1/0/49
ip arp inspection trust
end

IP Source Guard: IP/MAC-Bindings am Port erzwingen

IP Source Guard ergänzt DHCP Snooping/DAI und hilft, IP-Spoofing am Access-Port zu verhindern. Dabei wird typischerweise geprüft, ob IP/MAC/Port-Zuordnung zur DHCP-Binding-Tabelle passt. In Umgebungen mit statischen IPs ist das Design anspruchsvoller; dort braucht es klare Ausnahmen oder statische Bindings.

802.1X und MAB: Identitätsbasierte Zugangskontrolle

Wenn Sie Netzwerkzugang wirklich robust absichern möchten, ist 802.1X der Standardansatz. Port Security basiert auf MAC-Adressen (fälschbar), 802.1X kann dagegen Benutzer- oder Geräteidentitäten (z. B. Zertifikate) durchsetzen und Rollen dynamisch zuweisen. Ein praxistauglicher Einstieg ist: 802.1X bevorzugen, MAB als Fallback für nicht-802.1X-fähige Geräte, plus klare VLANs/Policies.

Für einen technischen Standard-Überblick ist der Anchor-Text IEEE 802.1X geeignet, für Cisco-spezifische Plattformhinweise die Dokumentation zur jeweiligen Catalyst-Serie.

Trunk Hardening: Native VLAN, Allowed VLANs und DTP deaktivieren

Trunks sind zentrale Verbindungsstücke. Hardening bedeutet hier vor allem: Keine unnötigen VLANs transportieren, Native VLAN bewusst wählen und automatische Trunk-Verhandlungen vermeiden.

  • Allowed VLANs: nur VLANs erlauben, die wirklich benötigt werden
  • Native VLAN: bewusst setzen, nicht Standard belassen, und konsistent halten
  • DTP: automatische Trunk-Negotiation vermeiden, wenn möglich

configure terminal
interface GigabitEthernet1/0/49
switchport mode trunk
switchport trunk native vlan 999
switchport trunk allowed vlan 10,20,30,40,99
switchport nonegotiate
end

SNMP, NTP, Syslog: Betriebssicherheit und Nachvollziehbarkeit

Hardening ist nicht nur „Blocken“, sondern auch „Sichtbarkeit“. Ohne zentrale Logs und saubere Zeitbasis sind Vorfälle schwer zu analysieren. Typische Basiskonfigurationen:

  • NTP: korrekte Zeit für Logs, Zertifikate und Audits
  • Syslog: zentrale Logsammlung
  • SNMP: Monitoring; nach Möglichkeit modern und restriktiv (SNMPv3 bevorzugen)

Für NTP-Protokollgrundlagen eignet sich der Anchor-Text RFC 5905 (NTP).

Beispiel: NTP und Logging (konzeptionell)

configure terminal
ntp server 10.10.30.20
ntp server 10.10.30.21
logging host 10.10.30.50
service timestamps log datetime msec
end

Konfigurationshygiene: Save, Backups, Rollen und Change-Disziplin

Viele Sicherheitsprobleme entstehen nicht durch fehlende Features, sondern durch fehlende Disziplin: unklare Verantwortlichkeiten, „schnelle Änderungen“ ohne Dokumentation oder fehlende Backups. Gute Praxis:

  • Regelmäßige Backups der Konfiguration (automatisiert, revisionsfähig)
  • Rollen und Privilegien statt geteilter Admin-Accounts
  • Änderungsprotokoll (wer hat wann was geändert?)
  • Standard-Templates für Access-Ports, Trunks und Management

Verifikation: So prüfen Sie, ob Hardening wirklich aktiv ist

Ein Hardening-Konzept ist nur so gut wie die regelmäßige Kontrolle. Sinnvolle Prüfungen im Alltag:

  • show running-config | section line vty (SSH-only, VTY ACL, Timeouts)
  • show ip access-lists (Trefferzähler der Management-ACL)
  • show spanning-tree summary (PortFast/BPDU Guard aktiv?)
  • show port-security interface <PORT> (MAC-Limits, Violations)
  • show ip dhcp snooping und show ip dhcp snooping binding (DHCP Snooping aktiv?)
  • show ip arp inspection vlan <VLAN> (DAI aktiv?)
  • show logging (Security-Events sichtbar?)

Best Practice: Erstellen Sie eine kurze „Hardening-Checkliste“ für neue Switches und wiederholen Sie diese regelmäßig (z. B. quartalsweise), um Konfigurationsdrift zu vermeiden.

Typische Stolperfallen beim Cisco Switch Hardening

  • Zu harte Policies ohne Fallback: z. B. BPDU Guard/Port Security/802.1X ohne klare Supportprozesse.
  • Management im User-VLAN: Angriffsfläche steigt, Fehlzugriff wird wahrscheinlicher.
  • Trusted Ports falsch gesetzt: DHCP Snooping/DAI können legitimen Verkehr blockieren, wenn Uplinks nicht korrekt trusted sind.
  • Native VLAN inkonsistent: führt zu schwer erklärbaren Trunk-Problemen und potenziellen Sicherheitslücken.
  • Keine Sichtbarkeit: Ohne Syslog/NTP/SNMP ist Hardening schwer zu überwachen und zu auditieren.

Praxis-Checkliste: Die wichtigsten Security-Einstellungen auf einen Blick

  • SSH-only auf VTY, Telnet deaktiviert, Timeouts gesetzt
  • VTY ACL: Management nur aus Adminnetzen
  • Dediziertes Management-VLAN/Segment, restriktive Management-ACLs
  • Unnötige Services deaktiviert (z. B. HTTP, nicht benötigte Discovery-Protokolle)
  • STP Hardening: PortFast auf Access, BPDU Guard default, Root Guard gezielt
  • Unbenutzte Ports in Park-VLAN und administrativ shutdown
  • Port Security für stabile Endgeräte (MAC-Limits, Sticky MAC) oder 802.1X als Zielbild
  • DHCP Snooping aktiv, Uplinks trusted, Rate-Limits auf Access-Ports
  • DAI (Dynamic ARP Inspection) für IPv4-Schutz gegen ARP Spoofing
  • NTP, Syslog, Monitoring (SNMPv3 bevorzugt) für Nachvollziehbarkeit
  • Backups, Rollen/AAA, Change-Disziplin gegen Konfigurationsdrift

copy running-config startup-config

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles

Postmortems nach Voice Outages: QoS Lessons Learned in Standards übersetzen

QoS Maturity Model: Von Best Effort zu Carrier-Grade QoE

QoS Roadmap: Schrittweise Einführung ohne Betriebsrisiko

Blueprint “Voice-Ready Access”: HQoS Patterns für DSL/FTTH/Cable

Blueprint “Metro QoS”: Ring-Design, Shaping Points und Queueing

Blueprint “Core QoS”: Class-Aware TE und skalierbare Policies

Blueprint “VPN QoS”: DSCP Preservation über IPSec/SD-WAN

Blueprint “Video QoS”: ABR, Priorisierung und Monitoring-Methoden

QoS Review Checkliste: Experten-Gates für Design und Konfiguration

Häufige QoS Fehlerbilder: Die Top 25 Ursachen für Voice/Video Probleme

Tools für QoS Troubleshooting: Counters, Telemetry, PCAPs, RTP Stats

QoS für IMS/VoLTE/VoNR: Echtzeitpfade im Telco Netz absichern