SSH-Brute-Force mitigieren: Rate Limits, ACLs und AAA-Policies

SSH-Brute-Force-Angriffe zählen zu den häufigsten Bedrohungen für Cisco-Router. Angreifer versuchen systematisch Passwörter, um unautorisierten Zugriff auf die Management-Ebene zu erhalten. Ein effektives Hardening kombiniert Rate-Limits, Access Control Lists (ACLs) und robuste AAA-Policies, um die Angriffsfläche zu minimieren und gleichzeitig den legitimen Betrieb nicht zu stören.

SSH-Rate-Limiting

Rate-Limiting ist eine der effektivsten Methoden, um Brute-Force-Angriffe auf SSH zu begrenzen. Cisco IOS und IOS-XE bieten Funktionen wie Control-Plane-Policing (CoPP) oder TCP Intercept, um die Anzahl der Verbindungsversuche zu steuern.

Control-Plane-Policing für SSH

Mit CoPP können eingehende SSH-Pakete auf der Control Plane limitiert werden. So wird verhindert, dass eine hohe Anzahl gleichzeitiger Verbindungsversuche den Router überlastet.

! ACL für SSH definieren
ip access-list extended SSH_RATE
 permit tcp any host 192.0.2.1 eq 22
!
! CoPP Policy erstellen
class-map match-any SSH_CLASS
 match access-group name SSH_RATE
!
policy-map COPP_POLICY
 class SSH_CLASS
  police 10 8000 8000 conform-action transmit exceed-action drop
!
control-plane
 service-policy input COPP_POLICY
!

TCP Intercept als zusätzliche Schutzschicht

TCP Intercept kann die Rate von unvollständigen TCP-Verbindungen reduzieren, indem SYN-Spoofing und Flooding erkannt werden.

ip tcp intercept list SSH_RATE
ip tcp intercept mode watch
!

Access Control Lists (ACLs) für Management-Zugriffe

ACLs begrenzen, welche IP-Adressen auf SSH zugreifen dürfen. Dies reduziert die Angriffsfläche erheblich.

! Nur interne Admin-Netze zulassen
ip access-list extended SSH_ACCESS
 permit tcp 10.0.0.0 0.0.0.255 any eq 22
 deny tcp any any eq 22
!
line vty 0 4
 access-class SSH_ACCESS in
 transport input ssh
!

Best Practices für ACLs

• Nur vertrauenswürdige Management-Netze freigeben
• Default-Deny für alle anderen Verbindungen
• Regelmäßige Überprüfung der ACLs auf veraltete Einträge

AAA-Policies: Authentifizierung, Autorisierung und Accounting

AAA (Authentication, Authorization, Accounting) stellt sicher, dass nur autorisierte Benutzer Zugriff erhalten und alle Aktivitäten protokolliert werden.

AAA-Konfiguration für SSH

! AAA aktivieren
aaa new-model
!
! Lokale Benutzer definieren
username admin privilege 15 secret 0 Str0ngP@ssw0rd
!
! RADIUS/TACACS+ Server einbinden
aaa group server tacacs+ TACACS_GROUP
 server-private 192.0.2.100 key Str0ngSharedKey
!
! Authentifizierung konfigurieren
aaa authentication login SSH_LOGIN group TACACS_GROUP local
aaa authorization exec SSH_AUTH group TACACS_GROUP local
aaa accounting exec SSH_ACCT start-stop group TACACS_GROUP
!
line vty 0 4
 login authentication SSH_LOGIN
 authorization exec SSH_AUTH
 accounting commands 15 SSH_ACCT
 transport input ssh
!

Zusätzliche Sicherheitsmaßnahmen

• SSH Version 2 erzwingen:

  ip ssh version 2

• Idle-Timeout setzen:

  exec-timeout 10 0

• Starke Verschlüsselung aktivieren:

  ip ssh cipher aes256-ctr
  ip ssh key-exchange group dh-group14-sha1

• Login-Banner für Awareness:

  banner login ^C
  Unauthorized access is prohibited
  ^C

Monitoring & Alerting

Eine kontinuierliche Überwachung ist entscheidend, um Brute-Force-Versuche frühzeitig zu erkennen.

• Syslog und SNMP-Traps aktivieren:

  logging host 192.0.2.200
  logging trap warnings
  snmp-server enable traps auth
  !

• Alerts für fehlerhafte Logins:

  show logging | include "Failed password"
  !

• Traffic-Monitoring für ungewöhnliche SSH-Verbindungen:

  show ip traffic
  show tcp brief
  !

Zusammenfassung der Best Practices

• Rate-Limits über CoPP oder TCP Intercept setzen
• ACLs für SSH nur auf vertrauenswürdige Management-Netze beschränken
• AAA mit zentralem RADIUS/TACACS+ Server konfigurieren
• SSH Version 2 erzwingen und starke Cipher nutzen
• Idle-Timeouts und Login-Banner implementieren
• Monitoring, Syslog und SNMP-Traps aktivieren
• Regelmäßige Review der Policies und Log-Analysen durchführen

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.