SSH-Brute-Force-Angriffe zählen zu den häufigsten Bedrohungen für Cisco-Router. Angreifer versuchen systematisch Passwörter, um unautorisierten Zugriff auf die Management-Ebene zu erhalten. Ein effektives Hardening kombiniert Rate-Limits, Access Control Lists (ACLs) und robuste AAA-Policies, um die Angriffsfläche zu minimieren und gleichzeitig den legitimen Betrieb nicht zu stören.
SSH-Rate-Limiting
Rate-Limiting ist eine der effektivsten Methoden, um Brute-Force-Angriffe auf SSH zu begrenzen. Cisco IOS und IOS-XE bieten Funktionen wie Control-Plane-Policing (CoPP) oder TCP Intercept, um die Anzahl der Verbindungsversuche zu steuern.
Control-Plane-Policing für SSH
Mit CoPP können eingehende SSH-Pakete auf der Control Plane limitiert werden. So wird verhindert, dass eine hohe Anzahl gleichzeitiger Verbindungsversuche den Router überlastet.
! ACL für SSH definieren
ip access-list extended SSH_RATE
permit tcp any host 192.0.2.1 eq 22
!
! CoPP Policy erstellen
class-map match-any SSH_CLASS
match access-group name SSH_RATE
!
policy-map COPP_POLICY
class SSH_CLASS
police 10 8000 8000 conform-action transmit exceed-action drop
!
control-plane
service-policy input COPP_POLICY
!TCP Intercept als zusätzliche Schutzschicht
TCP Intercept kann die Rate von unvollständigen TCP-Verbindungen reduzieren, indem SYN-Spoofing und Flooding erkannt werden.
ip tcp intercept list SSH_RATE
ip tcp intercept mode watch
!Access Control Lists (ACLs) für Management-Zugriffe
ACLs begrenzen, welche IP-Adressen auf SSH zugreifen dürfen. Dies reduziert die Angriffsfläche erheblich.
! Nur interne Admin-Netze zulassen
ip access-list extended SSH_ACCESS
permit tcp 10.0.0.0 0.0.0.255 any eq 22
deny tcp any any eq 22
!
line vty 0 4
access-class SSH_ACCESS in
transport input ssh
!Best Practices für ACLs
- Nur vertrauenswürdige Management-Netze freigeben
- Default-Deny für alle anderen Verbindungen
- Regelmäßige Überprüfung der ACLs auf veraltete Einträge
AAA-Policies: Authentifizierung, Autorisierung und Accounting
AAA (Authentication, Authorization, Accounting) stellt sicher, dass nur autorisierte Benutzer Zugriff erhalten und alle Aktivitäten protokolliert werden.
AAA-Konfiguration für SSH
! AAA aktivieren
aaa new-model
!
! Lokale Benutzer definieren
username admin privilege 15 secret 0 Str0ngP@ssw0rd
!
! RADIUS/TACACS+ Server einbinden
aaa group server tacacs+ TACACS_GROUP
server-private 192.0.2.100 key Str0ngSharedKey
!
! Authentifizierung konfigurieren
aaa authentication login SSH_LOGIN group TACACS_GROUP local
aaa authorization exec SSH_AUTH group TACACS_GROUP local
aaa accounting exec SSH_ACCT start-stop group TACACS_GROUP
!
line vty 0 4
login authentication SSH_LOGIN
authorization exec SSH_AUTH
accounting commands 15 SSH_ACCT
transport input ssh
!Zusätzliche Sicherheitsmaßnahmen
- SSH Version 2 erzwingen:
ip ssh version 2 - Idle-Timeout setzen:
exec-timeout 10 0 - Starke Verschlüsselung aktivieren:
ip ssh cipher aes256-ctr ip ssh key-exchange group dh-group14-sha1 - Login-Banner für Awareness:
banner login ^C Unauthorized access is prohibited ^C
Monitoring & Alerting
Eine kontinuierliche Überwachung ist entscheidend, um Brute-Force-Versuche frühzeitig zu erkennen.
- Syslog und SNMP-Traps aktivieren:
logging host 192.0.2.200 logging trap warnings snmp-server enable traps auth ! - Alerts für fehlerhafte Logins:
show logging | include "Failed password" ! - Traffic-Monitoring für ungewöhnliche SSH-Verbindungen:
show ip traffic show tcp brief !
Zusammenfassung der Best Practices
- Rate-Limits über CoPP oder TCP Intercept setzen
- ACLs für SSH nur auf vertrauenswürdige Management-Netze beschränken
- AAA mit zentralem RADIUS/TACACS+ Server konfigurieren
- SSH Version 2 erzwingen und starke Cipher nutzen
- Idle-Timeouts und Login-Banner implementieren
- Monitoring, Syslog und SNMP-Traps aktivieren
- Regelmäßige Review der Policies und Log-Analysen durchführen
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
