Management-ACLs: SSH/SNMP einschränken ohne sich auszusperren

Die Absicherung von Management-Zugängen auf Netzwerkgeräten ist essenziell, um unbefugte Änderungen zu verhindern und den Betrieb stabil zu halten. Mit Management-ACLs (Access Control Lists) lassen sich administrative Dienste wie SSH, SNMP oder HTTPS gezielt einschränken, sodass nur autorisierte Hosts Zugriff haben. Dabei ist besondere Vorsicht geboten, um sich nicht versehentlich selbst auszusperren.

Grundlagen von Management-ACLs

Management-ACLs dienen dazu, den Zugriff auf Netzwerkgeräte anhand von IP-Adressen oder Subnetzen zu steuern. Sie werden typischerweise auf VTY-Linien, SNMP-Server oder Management-Interfaces angewendet.

• Isolation: Nur bekannte Admin-Subnetze erhalten Zugriff.
• Schutz: Verhindert, dass User- oder Public-Traffic administrative Dienste erreicht.
• Granularität: ACLs können pro Protokoll, Port und Interface definiert werden.

Planung der Management-ACL

Subnetzwahl

Es empfiehlt sich, ein dediziertes Management-Subnetz zu verwenden. Beispiel:

Management-Subnetz: 10.10.10.0/24
Admin-Hosts: 10.10.10.10 – 10.10.10.50
Router-Mgmt-IP: 10.10.10.1

Subnetzplanung mit MathML:

$\mathrm{10.10.10.0}/24$

Nur Hosts aus diesem Bereich sollten Zugriff auf SSH oder SNMP erhalten.

ACL-Typen

• Standard-ACLs: Filtern nur basierend auf Quell-IP.
• Erweiterte ACLs: Filtern basierend auf IP, Port und Protokoll, z. B. SSH oder SNMP.

Management-ACL für SSH einrichten

Ein praktisches Beispiel mit erweiterter ACL für SSH:

Router(config)# ip access-list extended MGMT-SSH
Router(config-ext-nacl)# permit tcp 10.10.10.0 0.0.0.255 any eq 22
Router(config-ext-nacl)# deny tcp any any eq 22
Router(config-ext-nacl)# permit ip any any

Diese ACL erlaubt SSH-Zugriff nur aus dem Management-Subnetz und blockiert alle anderen Hosts. Die letzte Zeile stellt sicher, dass anderer Traffic nicht unbeabsichtigt blockiert wird.

Management-ACL für SNMP einrichten

Auch SNMP-Zugriffe lassen sich gezielt einschränken:

Router(config)# ip access-list standard MGMT-SNMP
Router(config-std-nacl)# permit 10.10.10.0 0.0.0.255
Router(config-std-nacl)# deny any

Die ACL wird anschließend mit SNMP verknüpft:

Router(config)# snmp-server community public RO MGMT-SNMP

Nur Hosts aus dem Management-Subnetz haben nun Lesezugriff auf SNMP-Daten.

ACLs auf VTY-Linien anwenden

Um SSH-Zugriffe zu kontrollieren, wird die ACL direkt auf den VTY-Linien angewendet:

Router(config)# line vty 0 4
Router(config-line)# access-class MGMT-SSH in

Damit ist der administrative Zugriff auf definierte Hosts beschränkt, ohne die Verfügbarkeit für autorisierte Admins zu beeinträchtigen.

Best Practices für sichere Management-ACLs

• Immer zuerst Test-ACLs auf einer Lab-Umgebung prüfen, bevor sie produktiv angewendet werden.
• Lokale Fallback-Benutzer definieren, falls AAA-Server ausfallen oder ACLs versehentlich falsche Hosts blockieren.
• Redundante Management-IP und alternative VTY-Linien für Notfallzugriff bereitstellen.
• Dokumentation aller ACLs und zugehörigen Management-Subnetze.
• Regelmäßige Überprüfung der ACLs auf Konsistenz und Aktualität.

Monitoring und Troubleshooting

Zur Überwachung der ACLs und der Zugriffe können folgende Befehle genutzt werden:

show access-lists MGMT-SSH
show access-lists MGMT-SNMP
show ip interface GigabitEthernet0/0

So lassen sich Treffer, Blocks und erlaubte Hosts nachvollziehen und Fehlkonfigurationen vermeiden.

Redundanz und Notfallzugriff

Um sicherzustellen, dass Admins sich nicht aussperren:

• Fallback-Accounts mit lokalem Passwort definieren:

username admin privilege 15 secret LokalesPasswort

• Alternative Management-Interfaces über separate ACLs verfügbar halten.
• AAA-Server redundant konfigurieren:

aaa authentication login VTY-LOGIN group tacacs+ local

• Management-Subnetze für alle kritischen Admin-Dienste dokumentieren und regelmäßig testen.

Zusammenfassung der wichtigsten CLI-Befehle

• Erweiterte ACL für SSH erstellen:

  ip access-list extended MGMT-SSH
  permit tcp 10.10.10.0 0.0.0.255 any eq 22
  deny tcp any any eq 22
  permit ip any any

• Standard-ACL für SNMP erstellen:

  ip access-list standard MGMT-SNMP
  permit 10.10.10.0 0.0.0.255
  deny any
  snmp-server community public RO MGMT-SNMP

• ACL auf VTY anwenden:

  line vty 0 4
  access-class MGMT-SSH in

• Fallback-Benutzer definieren:

  username admin privilege 15 secret LokalesPasswort

• AAA mit Fallback konfigurieren:

  aaa new-model
  aaa authentication login VTY-LOGIN group tacacs+ local

• Management-Zugriffe überwachen:

  show access-lists MGMT-SSH
  show access-lists MGMT-SNMP
  show ip interface GigabitEthernet0/0

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.