Passwort- & Secret-Hardening am Cisco-Router: Empfohlene Standards

Die Sicherung von Passwörtern und Secrets auf Cisco-Routern ist ein zentraler Bestandteil der Netzwerksicherheit. Unsichere Passwörter können unbefugten Zugriff ermöglichen und zu Betriebsstörungen oder Datenverlust führen. Dieses Tutorial vermittelt praxisorientierte Standards und Best Practices für das Hardening von Passwörtern und Secrets auf Cisco-Routern, um die Sicherheit auf Enterprise-Niveau zu gewährleisten.

Grundlagen von Passwort- und Secret-Hardening

Auf Cisco-Geräten gibt es verschiedene Arten von Zugangsdaten:

• Privileg-Level-Passwörter: Steuerung des Zugriffes auf verschiedene Benutzerstufen.
• Line-Passwörter: Für VTY-, Console- oder AUX-Zugänge.
• AAA-Secrets: Zentrale Authentifizierung via TACACS+ oder RADIUS.
• Enable-Secret: Verschlüsselte Version des Enable-Passworts für privilegierten Zugriff.

Ein sicheres Hardening umfasst sowohl die Passwortqualität als auch die Verschlüsselung und Ablaufkontrollen.

Enable-Secret vs. Enable-Passwort

Das klassische Enable-Passwort wird in der Konfiguration im Klartext gespeichert und kann leicht ausgelesen werden. Das Enable-Secret hingegen wird mit MD5 (oder bei neueren IOS-Versionen SHA) verschlüsselt:

Router(config)# enable secret SehrStarkesPasswort

Empfehlung: Immer enable secret verwenden, niemals enable password.

Lokale Benutzerkonten absichern

Jeder Benutzer sollte ein individuelles Konto mit starkem Passwort erhalten:

Router(config)# username admin privilege 15 secret AdminPasswort123!
Router(config)# username netops privilege 5 secret NetOpsPasswort!

Best Practices:

• Mindestens 12–16 Zeichen, Kombination aus Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen.
• Keine wiederverwendeten oder leicht erratbaren Passwörter.
• Regelmäßiger Passwortwechsel (z. B. alle 90 Tage).

VTY- und Console-Zugriffe schützen

Alle administrativen Interfaces sollten abgesichert werden:

Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# transport input ssh
Router(config-line)# exec-timeout 10 0

Hierbei werden folgende Standards umgesetzt:

• SSH statt Telnet für verschlüsselte Kommunikation
• Lokale AAA-Authentifizierung
• Automatisches Logout nach 10 Minuten Inaktivität

AAA-Integration für zentrale Authentifizierung

Zentrale Authentifizierung via TACACS+ oder RADIUS erhöht die Kontrolle und Auditierbarkeit:

Router(config)# aaa new-model
Router(config)# tacacs server TACACS01
Router(config-server-tacacs)# address ipv4 192.168.1.10
Router(config-server-tacacs)# key MeinSharedSecret
Router(config)# aaa authentication login VTY-LOGIN group tacacs+ local

Router(config)# aaa authorization exec default group tacacs+ local

Fallback auf lokale Konten sorgt dafür, dass der Zugriff nicht bei AAA-Ausfall verloren geht.

Passwortstärke und Policies

Minimum-Standards

• Länge: mindestens 12–16 Zeichen
• Komplexität: Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen
• Keine wiederkehrenden Passwörter oder einfache Muster
• Rotation: regelmäßige Änderung, z. B. alle 90 Tage

Enforcement auf IOS

Router(config)# security passwords min-length 12
Router(config)# password strength-check

Dies erzwingt minimale Länge und prüft die Komplexität neuer Passwörter.

Secrets für SNMP, VPN und andere Dienste

Auch Community-Strings oder VPN-Pre-Shared-Keys sollten gehärtet werden:

Router(config)# snmp-server community MySNMPSecret RO 10
Router(config)# crypto isakmp key SehrStarkesVPNKey address 0.0.0.0

Empfehlungen:

• Keine Standard-Strings verwenden (public, private)
• Komplexe Keys, mindestens 16 Zeichen
• Regelmäßige Rotation von VPN-Keys und SNMP-Communities

Logging, Monitoring und Auditing

Alle administrativen Aktionen sollten nachvollziehbar sein:

Router(config)# logging host 192.168.1.100
Router(config)# logging trap informational
Router(config)# terminal monitor

• Überwachung von Login-Versuchen
• Erkennung von Brute-Force-Angriffen
• Auditierung von Passwortänderungen und Konfigurationsänderungen

Best Practices für Production-Grade Hardening

• Enable-Secret immer verschlüsselt nutzen
• Individuelle Benutzerkonten mit minimalen Rechten vergeben
• VTY- und Console-Zugriffe via SSH absichern und Timeout setzen
• AAA zentral integrieren, aber lokale Fallbacks definieren
• Passwort-Richtlinien mit Länge, Komplexität und Rotation erzwingen
• Secrets für SNMP, VPN und andere Dienste regelmäßig ändern
• Logging und Monitoring implementieren, um Änderungen nachzuvollziehen
• Dokumentation und Auditierung für Compliance sicherstellen

Fehlervermeidung

• Kein enable password ohne secret verwenden
• Fallback-Konten vor AAA-Ausfällen testen
• SSH-Keys regelmäßig rotieren
• Temporäre Vendor- oder Admin-Konten zeitlich begrenzen
• ACLs prüfen, um sich nicht selbst auszusperren

Zusammenfassung der CLI-Grundbausteine

• Enable-Secret:

  enable secret SehrStarkesPasswort

• Benutzerkonten:

  username admin privilege 15 secret AdminPasswort123!

• VTY absichern:

  line vty 0 4
  login local
  transport input ssh
  exec-timeout 10 0

• AAA einrichten:

  aaa new-model
  tacacs server TACACS01
  address ipv4 192.168.1.10
  key MeinSharedSecret
  aaa authentication login VTY-LOGIN group tacacs+ local
  aaa authorization exec default group tacacs+ local

• Passwortrichtlinien erzwingen:

  security passwords min-length 12
  password strength-check

• SNMP & VPN Secrets:

  snmp-server community MySNMPSecret RO 10
  crypto isakmp key SehrStarkesVPNKey address 0.0.0.0

• Logging aktivieren:

  logging host 192.168.1.100
  logging trap informational
  terminal monitor

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.