iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

In modernen Campusnetzwerken sind Infrastruktur-Services wie DHCP, DNS und NTP essenziell für den Betrieb. Die Absicherung dieser Dienste gegen unerlaubten Zugriff oder Missbrauch ist ein entscheidender Aspekt der Netzwerksicherheit. In diesem Artikel zeigen wir, wie iACLs (Infrastructure Access Control Lists) auf Cisco-Switches verwendet werden, um den Zugriff auf diese kritischen Dienste zu steuern und das Netzwerk zu schützen.

Was sind iACLs und wie funktionieren sie?

Infrastructure Access Control Lists (iACLs) sind spezielle Zugriffskontrolllisten, die auf Infrastruktur-Services angewendet werden, um den Datenverkehr zu diesen Diensten zu filtern und zu kontrollieren. Diese iACLs bieten eine Möglichkeit, den Zugriff auf kritische Netzwerkdienste wie DHCP, DNS und NTP zu sichern, indem sie nur autorisierten Geräten den Zugriff erlauben und unerwünschten Traffic blockieren.

Vorteile von iACLs

• Gezielte Sicherheitsrichtlinien: iACLs ermöglichen eine präzise Kontrolle des Zugriffs auf spezifische Infrastruktur-Services.
• Reduzierung von Bedrohungen: Sie helfen, potenzielle Angriffe wie DHCP-Spoofing oder DNS-Angriffe zu verhindern.
• Einfach in der Verwaltung: iACLs sind einfach zu konfigurieren und bieten eine effektive Möglichkeit, Sicherheitsrichtlinien zu implementieren.

DHCP-Schutz mit iACLs

Dynamic Host Configuration Protocol (DHCP) ist ein grundlegender Service in jedem Netzwerk, der es Geräten ermöglicht, automatisch IP-Adressen zu erhalten. Durch die Absicherung von DHCP über iACLs wird verhindert, dass unautorisierte DHCP-Server im Netzwerk eine IP-Adresse zuweisen.

Konfiguration von iACLs für DHCP

• Erstellen Sie eine iACL, die nur vertrauenswürdige DHCP-Server-IP-Adressen zulässt.
• Blockieren Sie DHCP-Anfragen von nicht vertrauenswürdigen Geräten, um DHCP-Spoofing zu verhindern.

Beispiel einer iACL-Konfiguration für DHCP:

ip access-list extended DHCP-Filter
 permit udp host 192.168.1.10 eq bootpc host 192.168.1.20 eq bootps
 deny udp any any eq bootps
 deny udp any any eq bootpc
 permit ip any any
exit
interface gigabitEthernet 1/0/1
 ip access-group DHCP-Filter in
exit

DNS-Schutz mit iACLs

Domain Name System (DNS) ist ein weiterer kritischer Dienst im Netzwerk. Angreifer könnten versuchen, DNS-Anfragen umzuleiten oder manipulierte DNS-Antworten zu liefern. Mit iACLs können nur autorisierte DNS-Server den Datenverkehr zu und von den Clients im Netzwerk steuern.

Konfiguration von iACLs für DNS

• Erlauben Sie nur den Zugriff auf autorisierte DNS-Server im Netzwerk.
• Blockieren Sie DNS-Anfragen an nicht autorisierte Server, um DNS-Spoofing zu verhindern.

Beispiel einer iACL-Konfiguration für DNS:

ip access-list extended DNS-Filter
 permit udp host 192.168.1.10 eq domain any
 deny udp any any eq domain
 permit ip any any
exit
interface gigabitEthernet 1/0/1
 ip access-group DNS-Filter in
exit

NTP-Schutz mit iACLs

Network Time Protocol (NTP) wird in Netzwerken verwendet, um die Zeit auf Geräten zu synchronisieren. Ein Angreifer, der unberechtigten Zugriff auf NTP-Daten hat, könnte die Zeit auf Netzwerkgeräten manipulieren und so zu Problemen führen. iACLs bieten eine Möglichkeit, nur vertrauenswürdige NTP-Server zuzulassen.

Konfiguration von iACLs für NTP

• Erlauben Sie nur vertrauenswürdigen NTP-Servern den Zugriff auf Geräte im Netzwerk.
• Blockieren Sie NTP-Anfragen an nicht autorisierte Server, um Manipulationen zu verhindern.

Beispiel einer iACL-Konfiguration für NTP:

ip access-list extended NTP-Filter
 permit udp host 192.168.1.10 eq ntp any
 deny udp any any eq ntp
 permit ip any any
exit
interface gigabitEthernet 1/0/1
 ip access-group NTP-Filter in
exit

Best Practices für iACLs

• Granulare Regeln: Erstellen Sie iACLs mit spezifischen IP-Adressen und Ports, um den Zugriff auf Infrastruktur-Services gezielt zu steuern.
• Minimale Rechte: Setzen Sie auf das Prinzip der minimalen Rechte – erlauben Sie nur den notwendigen Verkehr.
• Regelmäßige Überprüfung: Überprüfen Sie regelmäßig die iACLs und passen Sie diese an, wenn sich Netzwerkanforderungen oder Sicherheitsbedrohungen ändern.
• Logging und Monitoring: Aktivieren Sie das Logging für die iACLs, um potenzielle Sicherheitsvorfälle schnell zu erkennen und darauf zu reagieren.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.