March 3, 2026

Site-to-Site Absicherung: Firewall-Zonen vs. ACL (Einordnung)

Bei Site-to-Site-Verbindungen (meist IPsec) reicht „Tunnel steht“ nicht aus: Du brauchst eine klare Security-Policy für den Verkehr zwischen lokalen und entfernten Netzen. Auf Cisco Routern wird diese Policy entweder klassisch mit ACLs umgesetzt (zustandslos, interface-basiert) oder moderner/strukturierter über Firewall-Zonen (Zone-Based Firewall, zustandsbehaftet). Welche Variante besser passt, hängt von Komplexität, Audit-Anforderungen, Troubleshooting und dem gewünschten Sicherheitsniveau ab.

Was genau muss bei Site-to-Site „abgesichert“ werden?

Ein Tunnel ist nur der Transport. Die eigentliche Sicherheitsfrage ist: Welche Protokolle/Ports dürfen zwischen Site A und Site B laufen? Ohne explizite Policy kann ein Tunnel schnell zu einer „flachen“ Verbindung werden, in der sich Malware oder Fehlkonfigurationen ungehindert ausbreiten.

  • Segmentierung: nur benötigte Subnetze und Services erlauben
  • Least Privilege: Ports/Protokolle minimal halten
  • Monitoring: nachvollziehbare Regeln und Logs
  • Resilienz: keine ungewollten Seiteneffekte auf Internet-Traffic

ACLs: Einfach, schnell, aber zustandslos

ACLs sind auf Routern der klassische Weg: Du filterst Traffic auf einem Interface (in/out) oder über spezielle Kontexte (z. B. crypto ACL ist jedoch keine Security-ACL). ACLs sind aber zustandslos: Rückverkehr wird nicht automatisch erlaubt, und komplexe Policies werden schnell unübersichtlich.

  • Vorteile: schnell, transparent, wenig Overhead
  • Nachteile: zustandslos, schwerer zu pflegen bei vielen Regeln
  • Bestens geeignet: wenige, klare Freigaben (z. B. „nur RDP/SMB“)

Wichtige Klarstellung: Crypto ACL ≠ Firewall-Policy

Die Crypto ACL (interesting traffic) definiert, was verschlüsselt wird. Sie ist keine Zugriffskontrolle. Du brauchst zusätzlich ACL/ZBF, um Traffic zu erlauben oder zu blockieren.

Beispiel: ACL zwischen lokalen und Remote-Subnetzen (inbound am LAN)

ip access-list extended S2S_POLICY_IN
 permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 445
 permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 3389
 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
 permit ip any any

interface gigabitEthernet0/0

ip access-group S2S_POLICY_IN in

Firewall-Zonen (Zone-Based Firewall): Strukturierter und zustandsbehaftet

Zone-Based Firewall (ZBF) arbeitet mit Zonen und Policies zwischen Zonen. Der zentrale Vorteil ist Statefulness: Rückverkehr zu erlaubten Sessions wird automatisch zugelassen. Außerdem ist die Policy-Logik für Audits oft klarer, weil du „LAN → VPN“, „LAN → Internet“ usw. als Zonenbeziehungen modellierst.

  • Vorteile: zustandsbehaftet, klare Zonenlogik, bessere Skalierung
  • Nachteile: komplexer, mehr Konfig, mehr Betriebsdisziplin nötig
  • Bestens geeignet: mehrere Zonen, viele Services, Audit/Compliance

Merker: ZBF ist „Policy zwischen Zonen“

Zone A  →  Zone B  =>  inspect / pass / drop

Beispiel: Zonen und Zone-Pair (Prinzip)

zone security Z_LAN
zone security Z_VPN

class-map type inspect match-any CM_S2S_ALLOWED

match protocol tcp

match protocol icmp


policy-map type inspect PM_LAN_TO_VPN

class type inspect CM_S2S_ALLOWED

inspect

class class-default

drop


zone-pair security ZP_LAN_VPN source Z_LAN destination Z_VPN

service-policy type inspect PM_LAN_TO_VPN

Einordnung: Wann ACLs reichen – und wann Zonen sinnvoll sind

In vielen kleinen Site-to-Site-Setups reichen ACLs aus, wenn du nur wenige, gut verstandene Freigaben brauchst. Sobald du aber mehrere Netze, unterschiedliche Trust-Zonen oder komplexe Protokolle hast, wird ZBF oft übersichtlicher und sicherer, weil sie zustandsbehaftet arbeitet.

  • ACL: wenige Regeln, wenig Zonen, schnelle Umsetzung
  • ZBF: mehrere Segmente (LAN/DMZ/VPN/Internet), viele Services
  • ZBF: besser bei Statefulness-Anforderungen (weniger „Rücktraffic-Fallen“)

Typische Denkfehler in Site-to-Site-Policies

Viele Probleme entstehen durch falsche Zuständigkeiten: Crypto ACL wird als Security missverstanden, oder eine ACL wird am falschen Interface in falscher Richtung gesetzt. ZBF kann dagegen „alles blocken“, wenn Zone-Pairs fehlen.

  • Crypto ACL als Firewall genutzt (falsch)
  • ACL auf falscher Seite (LAN statt VPN/oder falsche Richtung)
  • Zu breite Permits („permit ip any any“) innerhalb des Tunnels
  • ZBF: fehlendes Zone-Pair → Traffic wird gedroppt
  • ZBF: falsche Zone-Zuordnung am Interface

Praxis-Muster: Minimal sichere Site-to-Site Policy

Ein praxistauglicher Minimalstandard ist: nur definierte Subnetze in der Crypto ACL, zusätzlich eine Security-Policy (ACL oder ZBF), die nur benötigte Dienste erlaubt, und Logging/Verifikation der Counters.

  • Crypto ACL: nur „interessante“ Subnetze (kein Wildcard-Overreach)
  • Security Policy: Ports/Protokolle minimal, deny für Rest zwischen Sites
  • Logging: Drops sichtbar machen, aber gezielt (nicht alles loggen)

Verifikation: Woran erkennst du, dass die Policy wirklich wirkt?

Nach dem Rollout prüfst du: Tunnel/SAs stehen, Counters steigen bei legitimen Verbindungen, und unerlaubter Traffic wird geblockt (mit Hits/Logs). Ohne Verifikation ist eine Policy nur Theorie.

IPsec Status prüfen

Router# show crypto isakmp sa
Router# show crypto ipsec sa

ACL-Hits oder ZBF-Counters prüfen

Router# show ip access-lists
Router# show policy-map type inspect zone-pair

Traffic-Tests (Beispiel)

Router# ping 192.168.20.10 source 192.168.10.1
Client$ nc -vz 192.168.20.10 445
Client$ nc -vz 192.168.20.10 3389

Quick-Reference: Entscheidungsfragen

  • Brauchst du Statefulness und saubere Zonenmodelle? → ZBF
  • Hast du nur wenige, klar definierte Freigaben? → ACL kann reichen
  • Musst du Audits/Compliance sauber abbilden? → ZBF oft besser
  • Willst du schnell und minimalistisch bleiben? → ACL

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)