Session Hardening: Exec-Timeout, Login Block und Schutz vor Brute Force

Session Hardening auf Cisco-Routern ist ein wesentlicher Bestandteil der Management-Plane-Security. Ziel ist es, administrative Sitzungen abzusichern, unbefugte Zugriffe zu verhindern und das Risiko von Brute-Force-Angriffen zu minimieren. Wichtige Maßnahmen umfassen die Konfiguration von Exec-Timeouts, Login-Block-Mechanismen und zusätzliche Schutzfunktionen für VTY- und Konsolen-Linien.

Exec-Timeout: Automatische Session-Beendigung

Ein Exec-Timeout beendet automatisch inaktive Sessions, um ungenutzte offene Zugänge zu schließen:

line vty 0 4
 exec-timeout 10 0

• Die Session wird nach 10 Minuten Inaktivität beendet
• Timeout kann je nach Sicherheitsanforderungen angepasst werden
• Gilt sowohl für lokale als auch für zentrale Authentifizierung über AAA

Login Block: Schutz vor Brute-Force-Angriffen

Der Login-Block verhindert wiederholte fehlerhafte Login-Versuche und schützt vor Brute-Force-Attacken:

login block-for 60 attempts 3 within 60

• Blockiert den Benutzer 60 Sekunden nach 3 fehlerhaften Versuchen innerhalb von 60 Sekunden
• Reduziert die Wahrscheinlichkeit, dass Passwörter durch Erraten kompromittiert werden
• Kann in Kombination mit AAA und TACACS+/RADIUS genutzt werden

Zusätzliche Schutzmechanismen

Transport Input einschränken

Nur sichere Protokolle zulassen:

line vty 0 4
 transport input ssh

• Telnet deaktivieren, da unverschlüsselt
• Nur SSH-Zugriffe zulassen

ACLs für Management-Zugriffe

Zugriff auf VTY- und Konsolen-Linien nur aus autorisierten Subnetzen erlauben:

ip access-list standard MGMT-ACL
 permit 10.10.10.0 0.0.0.255
 deny ip any any
line vty 0 4
 access-class MGMT-ACL in

• Nur Administratoren aus bekannten Management-Subnets erhalten Zugriff
• Produktions- und Admin-Traffic strikt trennen

AAA-Integration und Accounting

Durch AAA können Sessions zentral überwacht und protokolliert werden:

aaa new-model
aaa authentication login VTY-LOGIN group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+

• Start/Stop von Sessions wird über Accounting protokolliert
• Fehlerhafte Logins und Blockierungen werden nachverfolgbar
• Audit-Evidenz für Compliance

Best Practices für Session Hardening

• Exec-Timeout konsequent auf VTY- und Konsolen-Linien setzen
• Login Block zur Reduktion von Brute-Force-Risiken implementieren
• Transport Input auf SSH beschränken, Telnet deaktivieren
• ACLs für autorisierte Management-Subnets einrichten
• AAA und Logging für zentrale Überwachung und Audit nutzen
• Regelmäßige Überprüfung und Anpassung der Parameter

Praxisbeispiel CLI-Zusammenfassung

! Exec-Timeout konfigurieren
line vty 0 4
 exec-timeout 10 0
! Login Block konfigurieren

login block-for 60 attempts 3 within 60
! Transport Input einschränken

transport input ssh
! ACL für Management-Zugriff

ip access-list standard MGMT-ACL

permit 10.10.10.0 0.0.0.255

deny ip any any

line vty 0 4

access-class MGMT-ACL in
! AAA und Accounting

aaa new-model

aaa authentication login VTY-LOGIN group tacacs+ local

aaa authorization exec default group tacacs+ local

aaa accounting exec default start-stop group tacacs+
! Logging

logging host 10.10.10.200

service timestamps log datetime msec localtime

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.