Management Plane Hardening: AAA, TACACS+, RBAC, Command Authorization

Management Plane Hardening bedeutet: Der Zugriff auf Router und Switches wird wie ein kritisches System behandelt – mit zentraler Authentifizierung (AAA), nachvollziehbarer Autorisierung (RBAC/Command Authorization) und sauberem Accounting. Ziel ist nicht nur „Login absichern“, sondern Governance: Wer darf wann was tun, und kannst du das im Incident oder Audit beweisen? In der Praxis verhindern gut konfigurierte AAA/TACACS+-Policies die häufigsten Risiken: geteilte Admin-Passwörter, unkontrollierte Änderungen, fehlende Nachvollziehbarkeit und Lockouts durch falsche Zugriffspfade. Dieser Artikel zeigt ein praxiserprobtes Design für Cisco IOS/IOS XE: AAA, TACACS+, Rollenmodelle (RBAC) und Command Authorization – inklusive Fallback-Strategien.

Grundprinzip: Management Plane ist eine eigene Sicherheitsdomäne

Der erste Hardening-Schritt ist organisatorisch: Management-Traffic gehört in eine eigene Domäne (OOB oder MGMT-VRF), getrennt von User- und Transittraffic. AAA ist dann die Policy-Ebene darüber.

• Separates Management-Netz (OOB) oder MGMT-VRF
• SSH statt Telnet, starke Cipher/Keys
• Management-Zugriff nur aus Admin-Netzen (VTY ACL)

Merker

Hardening = Segmentation + AAA + Least Privilege + Audit

AAA in Cisco IOS XE: Authentication, Authorization, Accounting

AAA ist der Rahmen: Authentication prüft Identität, Authorization entscheidet über Rechte, Accounting protokolliert Aktionen. Viele Umgebungen aktivieren nur Authentication – der größte Sicherheitsgewinn entsteht aber durch Authorization und Accounting.

• Authentication: „Wer bist du?“ (TACACS+/RADIUS/local)
• Authorization: „Was darfst du?“ (Exec + Commands)
• Accounting: „Was hast du getan?“ (Commands, Sessions)

TACACS+ vs. RADIUS: Warum TACACS+ für Geräte-Admin bevorzugt ist

Für Netzwerkgeräte-Administration ist TACACS+ meist die bessere Wahl, weil es Command Authorization und detailliertes Accounting unterstützt. RADIUS ist stark für 802.1X/Netzwerkzugang, aber für CLI-RBAC oft weniger granular.

• TACACS+: Command Authorization, detailliertes Accounting
• RADIUS: häufig für Access/802.1X, weniger CLI-granular
• Best Practice: TACACS+ für Admin, RADIUS für Access (je nach Umfeld)

AAA-Baseline: Sichere Defaults mit Fallback ohne Sicherheitsloch

Ein professionelles Setup hat immer Fallback, aber kontrolliert: Wenn TACACS+ nicht erreichbar ist, soll ein lokaler Break-Glass-User funktionieren – jedoch nur über definierte Pfade (z. B. Console/OOB) und mit Logging.

• Primär: TACACS+ (zentral, auditierbar)
• Fallback: local (nur für Break-Glass)
• Keine „if-authenticated“ Abkürzungen ohne Risikoanalyse

AAA aktivieren (Baseline)

aaa new-model

TACACS+ Server definieren (Pattern)

tacacs server TAC1
 address ipv4 10.99.0.10
 key 0 SuperSecretKey
 timeout 5
tacacs server TAC2

address ipv4 10.99.0.11

key 0 SuperSecretKey

timeout 5

Server Group und Source Interface

aaa group server tacacs+ TAC-GRP
 server name TAC1
 server name TAC2
ip tacacs source-interface Loopback0

Authentication: Login und Enable sauber designen

Best Practice ist: Login über TACACS+, Enable ebenfalls über AAA (nicht über statische Enable Secrets im Alltag). Für Break-Glass bleibt ein lokaler User mit starkem Secret. Enable Secret kann als Notfallweg existieren, sollte aber nicht der Standard sein.

Authentication Methods

aaa authentication login VTY_AUTH group TAC-GRP local
aaa authentication enable default group TAC-GRP enable

Break-Glass User (lokal, stark)

username breakglass privilege 15 secret 9 <HASH>

RBAC: Rollenmodelle statt „alle sind Privilege 15“

RBAC heißt: Du definierst Rollen nach Aufgaben (NOC read-only, NetOps change, SecOps audit). In IOS XE wird das oft über TACACS+ Attribute und Command Authorization umgesetzt. Ziel ist Least Privilege: keine unnötigen Schreibrechte.

• Read-only/NOC: show, ping, traceroute, keine config writes
• NetOps: config + interface/routing changes nach Policy
• SecOps: logging, show, ggf. CoPP/ZBFW Änderungen mit Change-Prozess

Authorization: Exec und Commands getrennt behandeln

Exec Authorization steuert, ob jemand überhaupt eine Shell bekommt und mit welchem Privilege. Command Authorization steuert, welche Kommandos ausgeführt werden dürfen. Für echte RBAC brauchst du beides.

Exec Authorization

aaa authorization exec VTY_EXEC group TAC-GRP local

Command Authorization (Privilege Levels)

aaa authorization commands 15 VTY_CMD15 group TAC-GRP local
aaa authorization commands 5  VTY_CMD5  group TAC-GRP local

Wichtiger Praxispunkt

• Command Authorization ohne saubere TACACS+ Policies erzeugt Lockouts
• Starte mit „monitor“, dann härten (iterativ)

Accounting: Nachvollziehbarkeit durch Command Logs

Accounting ist der Audit-Teil: Wer hat welche Kommandos ausgeführt? Das ist für RCA, Change-Reviews und Compliance entscheidend. Wichtig ist, dass du Exec- und Command-Accounting aktivierst und deine Logs zentral sammelst.

Accounting aktivieren (Pattern)

aaa accounting exec VTY_ACCT start-stop group TAC-GRP
aaa accounting commands 15 CMD15_ACCT start-stop group TAC-GRP
aaa accounting commands 5  CMD5_ACCT  start-stop group TAC-GRP

Command Authorization: Best Practices gegen False Positives

Die größte Hürde bei Command Authorization sind False Positives: legitime Kommandos werden geblockt, weil Subcommands oder Kontextwechsel (config mode) nicht sauber abgebildet sind. Experten-Design heißt: Policies in „Baugruppen“ modellieren und mit Testcases validieren.

• Erlaube „config terminal“ nur für Change-Rollen
• Erlaube notwendige Subcommands (interface, router, ip, no)
• Read-only Rollen: nur show/clear minimal (clear oft kritisch!)
• Nutze „command sets“ in TACACS+ (serverseitig) statt device-seitig zu basteln

VTY Hardening: AAA wirkt nur, wenn der Zugriffspfad sauber ist

AAA schützt den Login, aber du musst die Angriffsfläche reduzieren: SSH only, VTY ACL, Timeouts, Login-Block. Das verhindert Brute Force und reduziert Last auf AAA.

SSH only + VTY ACL

ip access-list standard VTY_MGMT_ONLY
 permit 10.99.0.0 0.0.0.255
 deny any
line vty 0 4

transport input ssh

access-class VTY_MGMT_ONLY in

exec-timeout 10 0

login authentication VTY_AUTH

MGMT-VRF/OOB: AAA-Resilienz und Bootstrapping

Ein häufiger Fehler ist, dass TACACS+ nur über das produktive Routing erreichbar ist. Bei Routing-Problemen verlierst du dann Managementzugriff. Besser ist: AAA-Server über MGMT-VRF/OOB erreichbar machen und Source-Interface definieren.

• AAA-Server im OOB/MGMT Netz
• Source-Interface fixieren (Loopback/MGMT Interface)
• DNS/NTP im MGMT Pfad stabil halten

Operational Prozess: Changes, Break-Glass, Key Rotation

Management Plane Hardening ist nicht nur Konfiguration, sondern Betrieb: Break-Glass muss dokumentiert, getestet und abgesichert sein. Keys/Secrets müssen rotiert werden, und Rollenänderungen müssen nachvollziehbar sein.

• Break-Glass regelmäßig testen (Console/OOB)
• TACACS+ Keys rotieren (geplant, mit Rollback)
• Role Changes via Ticket/Approval
• Central Logging (Syslog) + TACACS Accounting retention

Troubleshooting: Wenn AAA „nicht geht“

AAA-Probleme sind meist Reachability (VRF, Routing, ACL), Zeit/PKI (bei TLS/Cert-Backends), oder Policy-Mismatch. Debugge zuerst Connectivity, dann AAA-Status, dann Authorization/Accounting Logs.

Checks

ping 10.99.0.10 source Loopback0
show tacacs
show aaa servers
show running-config | include aaa|tacacs|access-class
show logging | include TACACS|AAA

Quick-Runbook: Management Plane Hardening verifizieren

Diese Checkliste zeigt, ob Zugriffspfade, AAA-Methoden und Logging sauber aktiv sind.

show run | include aaa|tacacs|ip tacacs source-interface
show access-lists VTY_MGMT_ONLY
show line vty 0 4
show aaa servers
show logging | include AAA|TACACS

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.