Security Testing: „No Open Management“ vom Internet aus validieren

Die Absicherung von Netzwerkgeräten gegen unautorisierte Internetzugriffe ist ein zentraler Bestandteil der Netzwerksicherheit. Besonders kritisch sind Management-Dienste wie SSH, Telnet, SNMP oder Web-GUI, die aus dem Internet erreichbar sind. Security-Testing hilft, die Konfiguration zu validieren und sicherzustellen, dass keine offenen Management-Ports exponiert sind. Dies schützt vor Angreifern, die Reconnaissance durchführen oder direkte Kompromittierungsversuche starten.

Grundlagen von „No Open Management“

„No Open Management“ bedeutet, dass alle administrativen Zugänge eines Routers oder Switches nicht direkt aus dem Internet erreichbar sind. Nur interne, autorisierte Management-Netzwerke dürfen Zugriff haben.

• Management-Dienste (SSH, SNMP, HTTPS) nur aus Management-Subnetzen erlauben
• Keine öffentlichen IP-Adressen für Admin-Zugänge
• Firewall- und ACL-Regeln zur Zugangskontrolle nutzen
• Überwachung und Logging implementieren

Validierungsstrategie

Die Validierung kann intern und extern erfolgen:

• Port-Scanning von außerhalb der Unternehmensgrenzen
• Überprüfung der Routing- und Firewall-Regeln
• Kontrolle der ACLs auf allen Management-Interfaces
• Integration von SIEM-Systemen zur Log-Analyse

Externe Validierung via Internet

Port-Scan

Mit Tools wie Nmap können öffentliche IPs geprüft werden:

nmap -Pn -p 22,23,161,443 203.0.113.1

Ergebnis:

• Port geschlossen: kein offener Management-Zugang
• Port offen: potentieller Sicherheitsrisiko-Alert

Banner-Überprüfung

Angreifer nutzen Banner-Grabbing, um Geräteinformationen zu sammeln. Auch dies sollte aus dem Internet überprüft werden:

nc 203.0.113.1 22

Ergebnis: SSH-Banner sollte keine IOS-Version oder Modellinformationen enthalten.

Internes Testing und ACL-Check

Intern können die ACLs und Firewall-Regeln überprüft werden:

Router# show access-lists
Router# show running-config | include line vty
Router# show ip interface

• Nur Management-Subnetze sollten Zugriff haben
• Telnet deaktiviert, nur SSH aktiviert
• SNMP nur für autorisierte Hosts

VRF- und Subnetzstrategie

Management VRFs isolieren administrative Zugriffe vom User-Traffic:

Router(config)# ip vrf MGMT
Router(config-vrf)# rd 100:1
Router(config)# interface GigabitEthernet0/0
Router(config-if)# vrf forwarding MGMT
Router(config-if)# ip address 10.10.10.1 255.255.255.0
Router(config-if)# no shutdown

Nur Hosts im Subnetz 10.10.10.0/24 dürfen auf die VRF zugreifen.

Firewall-Integration

Firewalls verhindern, dass öffentliche IPs direkt auf Management-Ports zugreifen:

access-list 101 permit tcp 10.10.10.0 0.0.0.255 any eq 22
access-list 101 deny ip any any
interface outside
ip access-group 101 in

• Nur interne Management-Subnetze zugelassen
• Öffentliche IPs blockiert

Monitoring und Logging

Lückenloses Logging ermöglicht die Nachverfolgung von Zugriffen:

Router(config)# logging host 10.10.10.200
Router(config)# logging trap warnings
Router(config)# service timestamps log datetime msec localtime

• Alle Verbindungsversuche dokumentieren
• Audit-fähige Logs für Compliance
• Integration in SIEM für Alerting

Best Practices für Security Testing

• Regelmäßige externe Port-Scans durchführen
• Banner-Überprüfung aus dem Internet testen
• Management-Dienste nur über Management-VRF und Subnetze zugänglich machen
• AAA und Logging aktivieren
• Firewall- und ACL-Regeln dokumentieren und auditieren
• Temporäre Vendor-Zugänge zeitlich begrenzen

Fehlervermeidung

• Externe Tests in kontrollierter Umgebung durchführen
• Kein produktiver Zugriff über öffentliche IPs
• Fallback-Konten für Notfälle bereitstellen
• Regelmäßige Überprüfung von ACLs, VRFs und Firewall-Regeln
• Monitoring auf ungewöhnliche externe Zugriffsversuche

Zusammenfassung der CLI-Grundbausteine

• ACL für Management:

  ip access-list standard MGMT
  permit 10.10.10.0 0.0.0.255
  line vty 0 4
  access-class MGMT in

• VRF für Management:

  ip vrf MGMT
  rd 100:1
  interface GigabitEthernet0/0
  vrf forwarding MGMT
  ip address 10.10.10.1 255.255.255.0
  no shutdown

• Firewall:

  access-list 101 permit tcp 10.10.10.0 0.0.0.255 any eq 22
  access-list 101 deny ip any any
  interface outside
  ip access-group 101 in

• Logging:

  logging host 10.10.10.200
  logging trap warnings
  service timestamps log datetime msec localtime

• Externe Validierung:

  nmap -Pn -p 22,23,161,443 203.0.113.1
  nc 203.0.113.1 22

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.