Local-Admin-Fallback: Sicheres Design, wenn TACACS/RADIUS ausfällt

In modernen Netzwerken sind TACACS+ und RADIUS zentrale Komponenten für die zentrale Authentifizierung, Autorisierung und Accounting (AAA). Dennoch kann es immer wieder zu Ausfällen dieser Server kommen, sei es durch Netzwerkprobleme, Serverwartung oder Hardwaredefekte. Um sicherzustellen, dass administrative Zugriffe auf Router und Switches auch im Notfall möglich bleiben, ist ein Local-Admin-Fallback unverzichtbar. Dieser Mechanismus ermöglicht es, autorisierten Benutzern lokale Zugangsdaten zu verwenden, ohne dass der Betrieb blockiert wird.

Grundlagen des Local-Admin-Fallback

Der Local-Admin-Fallback ist ein Konzept, bei dem ein lokaler Benutzer als Backup für die zentrale AAA-Authentifizierung definiert wird. Wenn TACACS+ oder RADIUS nicht verfügbar sind, greift der Router automatisch auf die lokale Datenbank zurück.

• Verfügbarkeit: Sicherstellung des Zugriffs im Notfall.
• Sicherheit: Lokale Accounts sollten stark gesichert und nur wenigen Administratoren bekannt sein.
• Redundanz: Ergänzt zentrale AAA-Lösungen ohne Konflikte.

Vorteile eines Fallback-Mechanismus

• Vermeidung von Betriebsunterbrechungen während AAA-Ausfällen.
• Ermöglicht Notfallzugriffe für Wartung und Troubleshooting.
• Erleichtert den Übergang bei Servermigrationen oder Updates.
• Kompatibel mit bestehenden AAA-Implementierungen, ohne diese zu beeinträchtigen.

Lokale Benutzerkonten sicher anlegen

Lokale Admin-Konten sollten nur minimalen Personen bekannt sein und mit starken Passwörtern geschützt werden:

Router(config)# username admin privilege 15 secret SehrStarkesPasswort
Router(config)# username backupadmin privilege 15 secret BackupPasswort

Hierbei erhält admin regulären Zugriff, während backupadmin ausschließlich für Fallback-Zwecke vorgesehen ist.

AAA mit Local-Fallback konfigurieren

Der Fallback wird durch die Reihenfolge der Authentifizierungslisten erreicht. Zuerst wird die zentrale AAA-Gruppe geprüft, danach die lokale Datenbank:

Router(config)# aaa new-model
Router(config)# aaa authentication login VTY-LOGIN group tacacs+ local
Router(config)# aaa authorization exec VTY-AUTH group tacacs+ local
Router(config)# aaa accounting exec VTY-ACC group tacacs+ local

In diesem Beispiel wird zunächst TACACS+ geprüft. Wenn der Server nicht erreichbar ist, greift der Router automatisch auf die lokalen Benutzerkonten zurück.

Fallback auf RADIUS-Server

Auch bei RADIUS kann ein lokaler Fallback implementiert werden:

Router(config)# radius server RADIUS01
Router(config-radius)# address ipv4 192.168.1.20 auth-port 1812 acct-port 1813
Router(config-radius)# key MeinRadiusSecret
Router(config)# aaa authentication login VTY-LOGIN group radius local

Router(config)# aaa authorization exec VTY-AUTH group radius local

Router(config)# aaa accounting exec VTY-ACC group radius

Dies garantiert, dass Benutzer weiterhin Zugriff erhalten, selbst wenn der RADIUS-Server ausfällt.

Redundanz und Hochverfügbarkeit

Mehrere AAA-Server

Für maximale Ausfallsicherheit sollten mindestens zwei TACACS+- oder RADIUS-Server konfiguriert werden:

Router(config)# tacacs server TACACS02
Router(config-server-tacacs)# address ipv4 192.168.1.11
Router(config-server-tacacs)# key MeinSharedSecret
Router(config)# radius server RADIUS02

Router(config-radius)# address ipv4 192.168.1.21 auth-port 1812 acct-port 1813

Router(config-radius)# key MeinRadiusSecret

Der Router wechselt automatisch zum nächsten Server bei Ausfall des primären Servers.

Access-Listen für zusätzliche Sicherheit

Lokale Fallback-Benutzer sollten nur aus sicheren Management-Netzen zugreifen dürfen:

Router(config)# ip access-list standard MGMT
Router(config-std-nacl)# permit 192.168.1.0 0.0.0.255
Router(config)# line vty 0 4
Router(config-line)# access-class MGMT in

Subnetzplanung für Management-Zugriff:

$\mathrm{192.168.1.0}/24$

Nur Hosts aus diesem Subnetz können die Router-VTY-Linien erreichen und den Local-Admin-Fallback nutzen.

Monitoring und Logging

Damit Fallback-Aktivitäten nachvollziehbar sind, sollte Accounting und Logging aktiviert werden:

Router(config)# aaa accounting exec VTY-ACC start-stop group tacacs+
Router(config)# logging host 192.168.1.100
Router(config)# logging trap informational

So können alle Login-Versuche, sowohl über zentrale AAA-Server als auch lokal, protokolliert und analysiert werden.

Best Practices für Local-Admin-Fallback

• Nur wenige, vertrauenswürdige Admin-Benutzer als Fallback definieren.
• Starke Passwörter verwenden und regelmäßig ändern.
• AAA-Server-Redundanz implementieren, um Ausfälle zu minimieren.
• Fallback nur für kritische Zugriffe zulassen, nicht für Routine-Operationen.
• Regelmäßige Tests des Fallback-Mechanismus, um Funktionsfähigkeit sicherzustellen.
• Dokumentation von Fallback-Accounts, Rollen und Berechtigungen für Audits.

Fehlervermeidung und Troubleshooting

• Fallback nicht zu restriktiv konfigurieren, sonst kann der Zugriff blockiert werden.
• Prüfen, ob AAA-Server erreichbar sind, bevor kritische Änderungen durchgeführt werden.
• Bei Verbindungsproblemen Logfiles prüfen und Accounting-Ausgaben analysieren.
• Lokale Fallback-Konten regelmäßig auf Aktualität und Berechtigungen überprüfen.

Zusammenfassung der CLI-Befehle

• Lokale Benutzer anlegen:

  username admin privilege 15 secret Passwort
  username backupadmin privilege 15 secret BackupPasswort

• AAA mit Fallback konfigurieren:

  aaa new-model
  aaa authentication login VTY-LOGIN group tacacs+ local
  aaa authorization exec VTY-AUTH group tacacs+ local
  aaa accounting exec VTY-ACC group tacacs+ local

• Redundante Server hinzufügen:

  tacacs server TACACS02
  radius server RADIUS02

• Management-Access beschränken:

  ip access-list standard MGMT
  permit 192.168.1.0 0.0.0.255
  line vty 0 4
  access-class MGMT in

• Logging und Accounting aktivieren:

  aaa accounting exec VTY-ACC start-stop group tacacs+
  logging host 192.168.1.100

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.