Netzwerkscanner und Angreifer führen häufig Reconnaissance-Aktivitäten durch, um Informationen über Netzwerkgeräte, offene Dienste und Versionen zu sammeln. Dies kann später für gezielte Angriffe wie Exploits, Brute-Force oder DoS genutzt werden. Hardening-Maßnahmen auf Cisco-Routern helfen, die Angriffsfläche zu reduzieren, indem Banner, Service-Exposures und unnötige Protokolle minimiert werden.
Grundlagen der Reconnaissance
Reconnaissance bezeichnet das Sammeln von Informationen über Netzwerkgeräte, deren Dienste und Schwachstellen. Typische Methoden:
- Ping- und ICMP-Scans
- Port-Scans auf SSH, Telnet, SNMP, HTTP/HTTPS
- Banner-Grabbing zur Identifikation von IOS-Version und Modellen
- SNMP-Enumeration für interne Netzwerkinformationen
Das Ziel ist, möglichst viele Informationen zu sammeln, ohne entdeckt zu werden.
Login- und MOTD-Banner absichern
Banner sollten Sicherheits- und Legal-Hinweise enthalten, aber keine technischen Details, die Angreifer nutzen könnten:
Router(config)# banner login ^
Authorized access only. All activities are logged.
^
Router(config)# banner motd ^
This system is monitored. Unauthorized access prohibited.
^Empfehlungen:
- Keine IOS-Version oder Modellinformationen im Banner anzeigen
- Klare rechtliche Hinweise zur Abschreckung
- Monitoring-Hinweis für Audit-Zwecke
Minimierung von Service-Exposures
Unnötige Dienste sollten deaktiviert oder nur auf dedizierte Management-Subnetze beschränkt werden:
- Telnet deaktivieren, nur SSH aktivieren
- SNMP nur für Monitoring-Server zulassen
- HTTP/HTTPS nur auf dedizierte Management-Interfaces
- Unused Services: Finger, CDP, TFTP deaktivieren
Router(config)# no ip http server
Router(config)# no ip http secure-server
Router(config)# transport input ssh
Router(config)# no cdp runAccess-Listen und Management-Subnetze
Management-Zugriffe sollten nur aus vertrauenswürdigen Netzen erlaubt werden:
Router(config)# ip access-list standard MGMT
Router(config-std-nacl)# permit 10.10.10.0 0.0.0.255
Router(config)# line vty 0 4
Router(config-line)# access-class MGMT inSubnetzplanung:
10.10.10.0/24
Nur Hosts aus dem Management-Subnetz können administrative Zugriffe starten.
Banner-Grabbing verhindern
Angreifer nutzen Banner-Grabbing, um IOS-Versionen oder Modelle zu erkennen. Maßnahmen:
- Keine Versionsinformationen in Banner oder MOTD
- SSH statt Telnet verwenden, da SSH-Banner verschlüsselt übertragen werden
- ICMP-Rate-Limits setzen, um Ping-Scanning zu erschweren
Router(config)# ip icmp rate-limit unreachable 5
Router(config)# ip icmp rate-limit unreachable reachable 10SNMP-Hardening
SNMP-Dienste sind oft Angriffsvektor für Reconnaissance. Empfehlungen:
- Community-Strings ändern und komplex gestalten
- SNMPv3 bevorzugen mit Authentifizierung und Verschlüsselung
- SNMP-Zugriffe nur aus Management-Subnetzen erlauben
Router(config)# snmp-server group NETOPS v3 auth
Router(config)# snmp-server user netadmin NETOPS v3 auth sha AuthPass priv aes 128 PrivPass
Router(config)# snmp-server host 10.10.10.100 version 3 auth netadminMonitoring und Logging
Alle Zugriffe sollten lückenlos protokolliert werden, um Reconnaissance-Aktivitäten frühzeitig zu erkennen:
Router(config)# logging host 10.10.10.200
Router(config)# logging trap warnings
Router(config)# service timestamps log datetime msec localtime- Syslog für zentrale Analyse
- AAA Accounting für Admin-Aktivitäten
- Regelmäßige Log-Auswertung zur Erkennung von Scans oder wiederholten Fehlversuchen
Best Practices zur Minimierung von Reconnaissance-Risiken
- Keine sensiblen Informationen in Bannern oder MOTD
- Unnötige Dienste deaktivieren
- Management-Subnetze für administrative Zugriffe nutzen
- ACLs für VTY, SNMP und HTTP/HTTPS implementieren
- SSH mit starken Schlüsseln verwenden
- ICMP-Rate-Limits setzen
- AAA, Logging und Accounting aktivieren
- Regelmäßige Audits der Konfiguration und Logs
Fehlervermeidung und Troubleshooting
- Banner und MOTD vor Produktiveinsatz testen, um Lockouts zu vermeiden
- ACLs regelmäßig prüfen und dokumentieren
- SSH-Verbindungen testen nach Deaktivierung von Telnet
- SNMP-Zugriffe prüfen, um Monitoring nicht zu unterbrechen
- Logging und Syslog-Konnektivität überwachen
Zusammenfassung der CLI-Grundbausteine
- Login-Banner:
banner login ^ Authorized access only. All activities are logged. ^ - MOTD:
banner motd ^ This system is monitored. Unauthorized access prohibited. ^ - Dienste deaktivieren:
no ip http server no ip http secure-server transport input ssh no cdp run - Management-Subnetze:
ip access-list standard MGMT permit 10.10.10.0 0.0.0.255 line vty 0 4 access-class MGMT in - ICMP-Rate-Limits:
ip icmp rate-limit unreachable 5 ip icmp rate-limit unreachable reachable 10 - SNMP-Hardening:
snmp-server group NETOPS v3 auth snmp-server user netadmin NETOPS v3 auth sha AuthPass priv aes 128 PrivPass snmp-server host 10.10.10.100 version 3 auth netadmin - Logging aktivieren:
logging host 10.10.10.200 logging trap warnings service timestamps log datetime msec localtime
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.