Security Baseline für Cisco-Router: AAA, SSH, RBAC und Schutz der Management Plane

Eine Security Baseline für Cisco-Router ist der Mindeststandard, um Adminzugriffe sicher zu machen, Aktionen nachvollziehbar zu protokollieren und die Management Plane gegen Angriffe und Fehlbedienung zu schützen. Im Enterprise reichen „SSHv2 an“ und ein lokaler Admin nicht aus: Sie brauchen AAA mit zentraler Authentifizierung, rollenbasierte Rechte (RBAC), strikte Quellnetz-Restriktion (MGMT-Only), Audit-Logging (NTP/Syslog/Accounting) und – je nach Bedrohungslage – Schutzmechanismen für die Control/Management Plane. Dieser Leitfaden beschreibt die Baseline-Bausteine inklusive CLI-Templates und Verifikation.

Zielbild: Was die Baseline im Betrieb garantieren muss

Die Baseline muss in Projekten wiederholbar (Template) und im Betrieb überprüfbar (Runbook) sein. Sie wird als Go-Live-Gate genutzt: Ohne Baseline kein Produktivbetrieb.

• Nur autorisierte Admins: zentrale Authentifizierung, kein Wildwuchs
• Least Privilege: Rollen statt „alle sind admin“
• Auditfähigkeit: Zeit korrekt, Logs zentral, Accounting aktiv
• Minimierte Angriffsfläche: unnötige Services aus, Zugriff nur aus MGMT
• Resilienz der Management Plane: Schutz gegen Scans und Control-Plane-Last

Baseline-Block 1: Secure Management Access (SSH-only, MGMT-Only)

Der wichtigste Schritt ist die Begrenzung der Managementfläche. Adminzugang darf nur über definierte Netze und Protokolle erfolgen. Telnet ist im Enterprise nicht zulässig.

• SSHv2, keine unverschlüsselten Protokolle (Telnet)
• VTY nur SSH, Access-Class nur aus MGMT-Netzen
• Exec-Timeout gegen offene Sessions
• Kein Web-Management (HTTP/HTTPS), wenn nicht zwingend benötigt

CLI: SSH aktivieren (Mindestset)

ip domain-name example.local
crypto key generate rsa modulus 2048
ip ssh version 2

CLI: MGMT-Only ACL + VTY (Muster)

ip access-list standard MGMT_ONLY
 permit 10.10.10.0 0.0.0.255
 deny any
line vty 0 4

transport input ssh

access-class MGMT_ONLY in

exec-timeout 10 0

login authentication default

Verifikation SSH/VTY

show ip ssh
show running-config | include line vty|transport input|access-class

Baseline-Block 2: AAA (Authentication, Authorization, Accounting)

AAA ist der Enterprise-Standard, weil Identitäten und Rechte zentral verwaltet werden können. Wichtig ist ein Fallback (local), damit Sie bei AAA-Ausfall nicht ausgesperrt werden.

• Authentication: Anmeldung über TACACS+/RADIUS, fallback local
• Authorization: Privilege/Exec-Zugriff über AAA, nicht lokal „hart“
• Accounting: Exec (und optional Commands) für Audit-Traceability

CLI: AAA new-model + TACACS Server (Muster)

aaa new-model
tacacs server TACACS1

address ipv4 10.10.10.10

key 
aaa authentication login default group tacacs+ local

aaa authorization exec default group tacacs+ local

aaa accounting exec default start-stop group tacacs+

aaa accounting commands 15 default start-stop group tacacs+

CLI: Lokaler Break-Glass Account (Fallback)

username breakglass privilege 15 secret <SECRET>
enable secret <SECRET>

Verifikation AAA

show running-config | include aaa|tacacs
show logging | include AAA|TACACS

Baseline-Block 3: RBAC im Cisco-Kontext (Rollen statt Vollzugriff)

RBAC bedeutet: nicht jeder Admin hat Privilege 15. In der Praxis wird RBAC über AAA-Profile (TACACS+/RADIUS) und Privilege-/Command-Authorizations umgesetzt. Ziel ist, Lesezugriffe und operative Rollen sauber zu trennen.

• Rolle „ReadOnly“: nur show-Kommandos
• Rolle „Ops“: Interface reset, limited troubleshooting, kein Routing-Policy-Change
• Rolle „NetEng“: Changes an Routing/VPN/QoS, peer-reviewed
• Rolle „Admin“: Break-Glass, nur im Notfall

RBAC-Governance: Welche Kommandos besonders geschützt werden sollten

Ein sinnvoller RBAC-Schnitt schützt kritische Bereiche vor unbeabsichtigten Änderungen. Diese Bereiche sollten mindestens peer-reviewed sein.

• Routing: BGP/OSPF, Route-Maps, Prefix-Lists
• Security: ACLs, Managementzugang (VTY/Access-Class), CoPP
• VPN: Crypto Policies, Peers, No-NAT Regeln
• System: AAA, NTP/Syslog Ziele, Boot/Image

Baseline-Block 4: Audit-Logging (NTP, Syslog, Accounting)

Ohne korrekte Zeit ist Audit unmöglich. Ohne zentrale Logs ist Incident-Korrelation schwer. NTP und Syslog sind daher Pflichtbausteine, Accounting ergänzt die Nachvollziehbarkeit.

• NTP synchronized (mindestens zwei Server)
• Syslog zentral, Log-Level definiert, Source-Interface stabil
• Timestamping: datetime msec

CLI: NTP + Syslog Baseline

service timestamps log datetime msec
ntp server 192.0.2.10 prefer

ntp server 192.0.2.11
logging buffered 64000 informational

logging host 192.0.2.20

logging trap informational

logging source-interface GigabitEthernet0/1

Verifikation NTP/Syslog

show ntp status
show logging | last 50
show running-config | include ntp server|logging host|logging trap|service timestamps

Baseline-Block 5: Schutz der Management Plane (Angriffsfläche minimieren)

Die Management Plane muss sowohl gegen externe Scans als auch gegen interne Fehlbedienung geschützt werden. Der Mindeststandard ist: unnötige Services aus, Zugriff nur aus MGMT, Discovery auf WAN aus.

• HTTP/HTTPS Server deaktiviert (wenn nicht benötigt)
• Discovery auf WAN deaktiviert (z. B. CDP)
• Quellnetz-Restriktion für Management (ACLs für VTY und optional Control Plane)

CLI: Services minimieren (Auszug)

no ip http server
no ip http secure-server
interface GigabitEthernet0/0

no cdp enable

Baseline-Block 6: Control Plane Protection (CoPP) als Enterprise-Option

CoPP schützt die CPU, indem Control-Plane-Traffic begrenzt wird. Das ist besonders relevant, wenn Router über das WAN erreichbar sind oder DDoS/Scan-Risiko besteht. CoPP ist plattformspezifisch, aber als Standardanforderung sinnvoll.

• Nur notwendige Control-Plane Protokolle zulassen (SSH, ggf. SNMPv3)
• Rate-Limits für ICMP/Control-Plane Traffic
• Logging für Drops (Tuning und Audit)

Baseline-Block 7: SNMPv3/Telemetry sicher betreiben

Monitoring ist Pflicht, aber Monitoringzugänge dürfen nicht zur Schwachstelle werden. Nutzen Sie SNMPv3 (authPriv) und whitelisten Sie NMS-Quellen.

• SNMPv3 statt SNMPv2c
• NMS-Quell-IPs restriktiv
• Monitoring-User getrennt von Admin-Usern
• Keine Secrets in Dokumenten, nur Platzhalter

Go-Live Gate: Security Baseline als Pass/Fail

Definieren Sie eine kurze Checkliste, die vor Produktivstart erfüllt sein muss. Das verhindert, dass unsichere „temporäre“ Konfigurationen live bleiben.

• Pass: SSHv2, VTY nur SSH, MGMT_ONLY aktiv
• Pass: AAA aktiv, Fallback local vorhanden, Accounting aktiv
• Pass: NTP synchronized, Syslog sichtbar
• Pass: Web-Services aus, Discovery auf WAN aus

CLI: Baseline-Verification Snapshot (Copy/Paste)

show ip ssh
show running-config | include line vty|access-class|transport input
show running-config | include aaa|tacacs|radius
show ntp status
show running-config | include logging host|logging trap|service timestamps
show running-config | include ip http|ip http secure
show logging | last 50

Kompakter Baseline-Block (Template-Grundlage)

Dieser Block bündelt die wichtigsten Mindeststandards. Variablen (Hostnamen, MGMT-Netze, Server-IPs) werden pro Umgebung parametrisiert.

! ===== SECURITY BASELINE (MINIMUM) =====
no ip http server
no ip http secure-server
ip domain-name example.local

crypto key generate rsa modulus 2048

ip ssh version 2
aaa new-model

tacacs server TACACS1

address ipv4 10.10.10.10

key 

aaa authentication login default group tacacs+ local

aaa authorization exec default group tacacs+ local

aaa accounting exec default start-stop group tacacs+

aaa accounting commands 15 default start-stop group tacacs+
service timestamps log datetime msec

ntp server 192.0.2.10 prefer

ntp server 192.0.2.11

logging host 192.0.2.20

logging trap informational

logging source-interface GigabitEthernet0/1
ip access-list standard MGMT_ONLY

permit 10.10.10.0 0.0.0.255

deny any
line vty 0 4

transport input ssh

access-class MGMT_ONLY in

exec-timeout 10 0

login authentication default

! ===== END SECURITY BASELINE =====

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.