Eine Security Baseline für Cisco IOS und IOS-XE stellt sicher, dass Router und Switches in Unternehmensnetzwerken einheitlich abgesichert sind. Sie definiert die Mindestkontrollen, die in jeder Produktionsumgebung vorhanden sein müssen, um unautorisierten Zugriff, Fehlkonfigurationen und Angriffe zu verhindern. Dieser Leitfaden richtet sich an Einsteiger, Studierende und Junior Network Engineers, bietet aber auch für erfahrene Profis praxisorientierte Umsetzungsbeispiele.
Zugriffskontrolle und Authentifizierung
Der Schutz des Gerätezugriffs ist die Grundlage jeder Security Baseline.
Lokale Benutzerkonten
- Starke Passwörter und Rollenbasierte Rechte:
Router(config)# username admin privilege 15 secret
Router(config)# username operator privilege 5 secret
Router(config)# service password-encryptionRouter(config)# line console 0
Router(config-line)# login local
Router(config-line)# exec-timeout 5 0Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# transport input ssh
Router(config-line)# exec-timeout 10 0SSH und Key Management
- Domain-Name konfigurieren und RSA-Schlüssel generieren:
Router(config)# ip domain-name company.local
Router(config)# crypto key generate rsa modulus 2048Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# line vty 0 4
Router(config-line)# access-class 10 inInterface- und Netzwerk-Härtung
Offene oder ungenutzte Interfaces stellen ein Sicherheitsrisiko dar. Eine Baseline sollte die Deaktivierung unnötiger Ports und gezielte Zugriffskontrollen umfassen.
Unbenutzte Interfaces deaktivieren
Router(config)# interface FastEthernet0/1
Router(config-if)# shutdownACLs zur Zugriffskontrolle
- Eingehende und ausgehende Verkehrsfilter:
Router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 100 inRouting- und Protokollsicherheit
Routing-Protokolle müssen vor Manipulationen geschützt werden. Dazu gehören Authentifizierung und Einschränkungen auf vertrauenswürdige Interfaces.
OSPF absichern
Router(config)# router ospf 1
Router(config-router)# area 0 authentication message-digest
Router(config-router)# ip ospf message-digest-key 1 md5 EIGRP und RIP absichern
- Nur auf den notwendigen Interfaces aktivieren
- Auth-Keys für Routing-Nachrichten konfigurieren
Logging, Monitoring und AAA
Transparenz über Geräteaktivität ist essenziell für Sicherheits- und Audit-Zwecke.
Syslog konfigurieren
Router(config)# logging 192.168.1.10
Router(config)# logging trap informational
Router(config)# logging onAAA einrichten
- Authentifizierung, Autorisierung und Accounting zentral steuern:
Router(config)# aaa new-model
Router(config)# aaa authentication login default group radius local
Router(config)# aaa authorization exec default group radius localService- und Protokollhärtung
- Unnötige Dienste deaktivieren:
Router(config)# no ip http server
Router(config)# no cdp run
Router(config)# no ip finger
Router(config)# no ip bootp serverRouter(config)# snmp-server group SECURE v3 priv
Router(config)# snmp-server user netadmin SECURE v3 auth sha priv aes 128 Router(config)# ntp server 192.168.1.20 prefer
Router(config)# ntp authenticate
Router(config)# ntp authentication-key 1 md5
Router(config)# ntp trusted-key 1Backup und Wiederherstellung
Regelmäßige Sicherung von Konfigurationen und IOS-Images stellt sicher, dass Geräte nach Ausfällen oder Sicherheitsvorfällen schnell wiederhergestellt werden können.
Konfigurations-Backup
Router# copy running-config tftp
Address or name of remote host []? 192.168.1.50
Destination filename [running-config]? router_backup.cfgIOS-Backup
- Regelmäßige Updates nur geprüfter Images
- Versionskontrolle dokumentieren
Netzwerksegmentierung und IP-Management
Eine saubere IP-Planung erleichtert Security Controls und reduziert Angriffsflächen.
Subnetzplanung
Beispiel: Netzwerk 172.16.0.0/16 in 8 Subnetze aufteilen:
NeueSubnetzmaske:
16 + 3 = 19
Subnetze:
172.16.0.0/19, 172.16.32.0/19, 172.16.64.0/19, 172.16.96.0/19, 172.16.128.0/19, 172.16.160.0/19, 172.16.192.0/19, 172.16.224.0/19
Physische Sicherheit und weitere Maßnahmen
- Racks abschließen und Zugriff auf autorisiertes Personal beschränken
- DHCP-Snooping und Dynamic ARP Inspection aktivieren
- Control Plane Policing (CPPr) für CPU-Schutz konfigurieren
- Regelmäßige Security-Audits und Penetrationstests durchführen
- Dokumentation aller Konfigurationen, ACLs, Benutzerkonten und Passwörter führen
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.