SSH-Brute-Force erkennen: Indicators, Tuning und Response-Playbook

SSH-Brute-Force-Angriffe stellen eine der häufigsten Bedrohungen für Cisco-Router dar, insbesondere wenn diese über öffentliche Schnittstellen erreichbar sind. Angreifer versuchen dabei systematisch, Benutzernamen und Passwörter zu erraten, um unautorisierten Zugriff zu erlangen. Für Netzwerkadministratoren ist es entscheidend, diese Angriffe frühzeitig zu erkennen, passende Tuning-Maßnahmen zu implementieren und ein Response-Playbook vorzuhalten, um die Security und Verfügbarkeit zu gewährleisten.

Indicators für SSH-Brute-Force-Aktivitäten

Die Identifikation von Brute-Force-Angriffen erfolgt über die Analyse von Logs und Telemetrie-Daten. Typische Indikatoren umfassen:

Erhöhte Fehlgeschlagene Login-Versuche

• Mehrere Login-Versuche von derselben IP innerhalb kurzer Zeit
• Fehlermeldungen wie “Login invalid” oder “Authentication failed”
• Häufiges Wechseln von Benutzernamen durch den Angreifer

show logging | include "Login invalid"
show users
show aaa authentication failures

Anomalien bei Sessions

• Ungewöhnlich viele gleichzeitige SSH-Sessions
• Abbruch von Sessions kurz nach Authentifizierungsversuch
• Erhöhter CPU- oder Memory-Load durch parallele Verbindungen

show processes cpu
show sessions
show users

Netzwerkbasierte Indikatoren

• Plötzliche Traffic-Spikes auf TCP-Port 22
• ICMP oder TCP-Reset-Pakete im Zusammenhang mit fehlgeschlagenen Verbindungen
• Häufige Verbindungen aus ungewöhnlichen Regionen

show interface GigabitEthernet0/1 | include rate
show ip access-lists SSH-FILTER
show flow monitor FLOW-MON

Tuning und Präventive Maßnahmen

Um SSH-Brute-Force-Angriffe wirksam zu begrenzen, sollte der Router entsprechend gehärtet werden.

AAA- und Authentication Policies

• Lokale Benutzerkonten mit starken Passwörtern oder zentral via TACACS+/RADIUS
• Login-Block nach definierten Fehlversuchen
• Exec-Time-Outs zur Vermeidung offener Sessions

aaa new-model
aaa authentication login default group tacacs+ local
login block-for 60 attempts 5 within 60
line vty 0 4
 exec-timeout 5 0
 login authentication default
 transport input ssh

Access Control & Management Plane Protection

• Management-Zugriff nur aus vertrauenswürdigen Subnetzen
• Rate-Limits für SSH-Pakete auf Control-Plane aktivieren
• CoPP oder ACLs für TCP-Port 22

ip access-list extended MGMT-ACL
 permit tcp  any eq 22
 deny ip any any
interface GigabitEthernet0/0
 ip access-group MGMT-ACL in
control-plane
 service-policy input COPP-SSH

Logging und Monitoring

• Syslog-Server für zentrale Auswertung konfigurieren
• Alerts bei wiederholten fehlgeschlagenen Logins
• NetFlow oder Telemetry zur Anomalie-Erkennung einsetzen

logging host 192.0.2.10
logging trap warnings
show logging
show flow monitor SSH-FLOW

Response-Playbook bei SSH-Brute-Force

Ein standardisiertes Playbook stellt sicher, dass Angriffe effizient erkannt und behandelt werden.

1. Detection

• Überwachung der Logs und Telemetrie-Daten
• Alerts bei Überschreiten definierter Schwellenwerte

2. Containment

• Temporäre IP-Blockierung via ACL oder Firewall
• Erhöhung der Rate-Limits für die Control-Plane

ip access-list extended TEMP-BLOCK
 deny tcp host  any eq 22
 permit ip any any
interface GigabitEthernet0/0
 ip access-group TEMP-BLOCK in

3. Investigation

• Analyse der SSH-Logs und betroffener User-Accounts
• Prüfung auf erfolgreiche Kompromittierungen

show logging | include "Login invalid"
show users
show aaa accounting

4. Remediation

• Änderung kompromittierter Passwörter
• Review der AAA- und ACL-Konfiguration
• Updates für IOS/IOS-XE zur Behebung bekannter Sicherheitslücken

5. Lessons Learned

• Anpassung der Schwellenwerte für Login-Block und Rate-Limits
• Ergänzung fehlender Monitoring-KPIs
• Dokumentation des Vorfalls für Audit und Compliance

Best Practices für kontinuierliche Sicherheit

• Regelmäßige Überprüfung der AAA-Konfigurationen
• Kontinuierliches Monitoring und Logging von SSH-Access
• Simulierte Brute-Force-Tests in sicheren Lab-Umgebungen
• Integration in Security-Information-and-Event-Management (SIEM)-Systeme

Durch die konsequente Umsetzung von Indicators Monitoring, präventiven Tuning-Maßnahmen und einem klar definierten Response-Playbook lassen sich SSH-Brute-Force-Angriffe frühzeitig erkennen, effektiv begrenzen und nachverfolgen. Dies schützt nicht nur die Integrität und Verfügbarkeit der Edge-Router, sondern erhöht auch die Auditierbarkeit und Compliance im Enterprise-Umfeld.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.