Management-Zugriff ist einer der häufigsten Angriffsvektoren auf Router: Wer SSH/Console kontrolliert, kontrolliert das Gerät. Best Practice ist daher ein mehrschichtiges Hardening: Zugriff auf VTY per ACL einschränken, Authentifizierung zentral über AAA (TACACS+/RADIUS) steuern und Sessions durch Timeouts sowie Brute-Force-Schutz absichern. Dieses Tutorial zeigt ein praxistaugliches Cisco-IOS-Setup, das du schrittweise und lockout-sicher einführen kannst.
Schutzprinzip: Drei Ebenen statt „nur Passwort“
Ein starkes Passwort allein reicht nicht. Du willst verhindern, dass überhaupt jeder Host zur Login-Maske kommt, und du willst Zugriff nachvollziehbar (Accounting) und zeitlich begrenzt machen.
- Netzwerk-Ebene: VTY ACL (wer darf überhaupt verbinden?)
- Authentifizierung: AAA (wer darf rein, mit welchem Recht?)
- Betrieb: Timeout, Retries, Login-Blocking (wie lange/oft?)
Voraussetzungen: SSHv2 als Management-Transport
Alle folgenden Maßnahmen setzen voraus, dass du Telnet bereits deaktiviert hast und SSHv2 sauber läuft. Damit du dich nicht aussperrst, teste SSH immer, bevor du ACL/AAA scharf schaltest.
Router# show ip ssh
Router# show running-config | section line vtyVTY ACL: Zugriff auf definierte Admin-Netze begrenzen
Die VTY ACL ist der schnellste und effektivste Schutz: Nur definierte Quellnetze oder Jump Hosts dürfen überhaupt eine SSH-Session öffnen. Technisch wird das auf Cisco über access-class auf den VTY-Lines umgesetzt (Standard ACL).
Beispiel: Nur Management-Netz 192.168.10.0/24 erlauben
Router# configure terminal
Router(config)# ip access-list standard VTY_MGMT
Router(config-std-nacl)# permit 192.168.10.0 0.0.0.255
Router(config-std-nacl)# deny any
Router(config-std-nacl)# endVTY ACL auf alle VTY-Lines anwenden
Router# configure terminal
Router(config)# line vty 0 15
Router(config-line)# access-class VTY_MGMT in
Router(config-line)# transport input ssh
Router(config-line)# endVerifikation
Router# show access-lists VTY_MGMT
Router# show running-config | section line vtyAAA: Zentralisieren, protokollieren, Rechte sauber steuern
AAA (Authentication, Authorization, Accounting) macht Management-Zugriffe kontrollierbar: Du kannst zentrale Benutzerverwaltung nutzen, Rollen/Privilege definieren und Zugriffe nachvollziehen. In der Praxis nutzt man oft TACACS+ für Geräte-Administration und hält lokale User als Fallback.
- Authentication: Wer ist der User?
- Authorization: Was darf er (exec/commands)?
- Accounting: Was hat er gemacht (Audit)?
Lockout-sicher: AAA mit lokalem Fallback aufbauen
Der wichtigste Punkt ist, lokale Benutzer als Notfallzugang zu behalten, falls der AAA-Server nicht erreichbar ist.
Router# configure terminal
Router(config)# username netadmin privilege 15 secret Str0ngP@ssw0rd!
Router(config)# aaa new-model
Router(config)# endTACACS+ Server definieren (Beispiel)
Router# configure terminal
Router(config)# tacacs server TAC1
Router(config-tacacs)# address ipv4 192.168.10.10
Router(config-tacacs)# key 0 T@cacsKey!
Router(config-tacacs)# exit
Router(config)# endAAA-Method Lists: Login/Enable/Exec (mit Fallback)
Router# configure terminal
Router(config)# aaa authentication login VTY_LOGIN group tacacs+ local
Router(config)# aaa authorization exec VTY_EXEC group tacacs+ local
Router(config)# aaa accounting exec VTY_ACCT start-stop group tacacs+
Router(config)# endAAA an VTY binden
Router# configure terminal
Router(config)# line vty 0 15
Router(config-line)# login authentication VTY_LOGIN
Router(config-line)# authorization exec VTY_EXEC
Router(config-line)# accounting exec VTY_ACCT
Router(config-line)# transport input ssh
Router(config-line)# endAAA-Status prüfen
Router# show running-config | include aaa
Router# show running-config | section tacacs
Router# test aaa group tacacs+ netadmin Str0ngP@ssw0rd! legacyTimeouts: Sessions automatisch beenden (Idle- und Login-Timeout)
Timeouts reduzieren Risiko durch offene Sessions und senken die Wahrscheinlichkeit, dass vergessene Terminals „privileged“ offen bleiben. Setze einen realistischen Idle-Timeout auf VTY und begrenze SSH-Auth-Retries.
VTY Idle Timeout setzen
Router# configure terminal
Router(config)# line vty 0 15
Router(config-line)# exec-timeout 10 0
Router(config-line)# endSSH Timeout und Retries härten
Router# configure terminal
Router(config)# ip ssh time-out 60
Router(config)# ip ssh authentication-retries 2
Router(config)# endBrute-Force-Schutz: Login-Blocking und Quiet Mode
Zusätzlich zu ACL und AAA kannst du Login-Angriffe eindämmen, indem du nach mehreren Fehlversuchen temporär blockierst. Das ist besonders sinnvoll, wenn Management aus mehreren Netzen erlaubt ist.
Login block-for setzen (wenn IOS unterstützt)
Router# configure terminal
Router(config)# login block-for 120 attempts 3 within 60
Router(config)# endOptional: Quiet-Mode ACL für harte Sperrung
Router# configure terminal
Router(config)# ip access-list standard QUIET_MGMT
Router(config-std-nacl)# permit 192.168.10.0 0.0.0.255
Router(config-std-nacl)# deny any
Router(config-std-nacl)# endBest Practices: Lockouts vermeiden
Die größte Gefahr bei Management-Hardening ist der Selbst-Lockout. Mit diesen Regeln bleibst du betriebssicher.
- Änderungen in einer aktiven Console/OOB-Session durchführen
- AAA immer mit
localFallback konfigurieren - VTY ACL zuerst mit deinem Admin-Netz testen
- VTY-Ranges vollständig konfigurieren (0–4 vs. 0–15)
- Nach jedem Schritt: SSH testen, erst dann speichern
Verifikation: Funktioniert das Hardening wie geplant?
Nach der Konfiguration prüfst du: Wer darf verbinden (ACL), wie wird authentifiziert (AAA), und werden Sessions korrekt beendet (Timeout). Außerdem sind Hit-Counter und Logs deine „Wahrheit“.
ACL und VTY prüfen
Router# show access-lists VTY_MGMT
Router# show running-config | section line vty
Router# show usersAAA und Logs prüfen
Router# show running-config | include aaa
Router# show logging | include AAA|TACACS
Router# test aaa group tacacs+ netadmin Str0ngP@ssw0rd! legacySSH-Status prüfen
Router# show ip sshQuick-Reference: Copy & Paste Checkliste
Diese Befehle helfen dir, die wichtigsten Hardening-Bausteine schnell zu prüfen.
show ip ssh
show running-config | section line vty
show access-lists VTY_MGMT
show running-config | include aaa
show running-config | section tacacs
show users
show logging | include AAA|TACACS
test aaa group tacacs+ netadmin Str0ngP@ssw0rd! legacyKonfiguration speichern
Wenn SSH nur aus dem Management-Netz erreichbar ist, AAA korrekt authentifiziert und Timeouts greifen, speichere die Konfiguration.
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
