SSH-Hardening am Cisco-Router: Cipher, KEX, Timeout und Management-ACLs

SSH ist der Standard für sicheren Remote-Zugriff auf Cisco-Router. Ein unzureichend gehärteter SSH-Zugang kann Angreifern den Zugriff auf kritische Netzwerkgeräte ermöglichen. Dieses Tutorial zeigt praxisorientierte Maßnahmen zum SSH-Hardening, einschließlich Cipher-Auswahl, Key Exchange (KEX), Session-Timeouts und Management-ACLs, um den Remote-Zugriff sicher und compliant zu gestalten.

SSH-Grundkonfiguration

Bevor fortgeschrittene Härtungsmaßnahmen umgesetzt werden, muss SSH korrekt aktiviert sein.

Router(config)# ip domain-name company.local
Router(config)# crypto key generate rsa modulus 2048
Router(config)# username admin privilege 15 secret 
Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# transport input ssh
Router(config-line)# exec-timeout 10 0

Cipher- und Algorithmus-Härtung

Standardmäßig unterstützen Cisco-Router viele Ciphers, einige davon sind jedoch veraltet. Die Auswahl sicherer Algorithmen erhöht die SSH-Sicherheit.

Empfohlene Cipher-Konfiguration

Router(config)# ip ssh server algorithm encryption aes256-ctr aes192-ctr aes128-ctr
Router(config)# ip ssh server algorithm mac hmac-sha2-256 hmac-sha2-512
Router(config)# ip ssh server algorithm kex diffie-hellman-group14-sha1 diffie-hellman-group-exchange-sha256

Audit-Nachweis: Ausgabe von show ssh zeigt die aktuell unterstützten Cipher, MAC und KEX.

Key Exchange (KEX) absichern

Die KEX-Parameter legen fest, wie SSH-Sessions initial verschlüsselt und Schlüssel ausgetauscht werden. Schwache KEX-Methoden wie group1 sollten deaktiviert werden.

Router(config)# ip ssh server algorithm kex diffie-hellman-group14-sha1
Router(config)# no ip ssh server algorithm kex diffie-hellman-group1-sha1

Session-Timeouts konfigurieren

Lange oder unbeaufsichtigte Sessions erhöhen das Risiko von Missbrauch. Idle-Timeouts schützen vor unautorisiertem Zugriff.

Router(config)# line vty 0 4
Router(config-line)# exec-timeout 5 0

Erklärung: exec-timeout 5 0 bedeutet 5 Minuten Timeout, 0 Sekunden Warnung.

Management-ACLs für SSH-Zugriff

Die Beschränkung von SSH-Zugriff auf vertrauenswürdige IP-Adressen reduziert Angriffsflächen erheblich.

Router(config)# access-list 10 permit 192.168.10.0 0.0.0.255
Router(config)# access-list 10 permit 10.0.0.0 0.0.0.255
Router(config)# line vty 0 4
Router(config-line)# access-class 10 in

Best Practice: Nur zentrale Management-Subnetze zulassen, keine öffentlichen IP-Bereiche.

SSH Version erzwingen

SSH Version 2 bietet verbesserte Sicherheit gegenüber Version 1 und sollte verpflichtend aktiviert werden.

Router(config)# ip ssh version 2

Authentifizierungs-Härtung

• Lokale Benutzerkonten mit starken Passwörtern und Privilegien:

Router(config)# username netadmin privilege 15 secret 

• Optional: AAA über RADIUS/TACACS+ für zentrale Authentifizierung:

Router(config)# aaa new-model
Router(config)# aaa authentication login default group radius local
Router(config)# aaa authorization exec default group radius local

Audit und Monitoring

Nach der Konfiguration sollten alle SSH-Verbindungen und Änderungen protokolliert werden, um Compliance und Sicherheit zu gewährleisten.

Router(config)# logging 192.168.10.10
Router(config)# logging trap informational
Router(config)# logging on
Router(config)# show ssh

Der Befehl show ssh listet aktive Sessions, verwendete Version, Cipher und KEX.

Zusätzliche Best Practices

• Nur notwendige VTY-Lines aktivieren, z. B. 0–4
• SSH-Zugriff über VPN oder sichere Management-VLANs priorisieren
• Regelmäßige Überprüfung der Cipher-, KEX- und MAC-Einstellungen
• Backups der Router-Konfiguration und Key-Files erstellen
• Audits zur Session- und Login-Historie regelmäßig durchführen

Subnetz- und IP-Planung für Management

Management-Interfaces sollten logisch isoliert sein, um direkten Zugriff aus dem Produktionsnetz zu vermeiden.

Beispiel

Management-Netz $\mathrm{192.168.100.0}/24$ in 4 Subnetze aufgeteilt:

$\mathrm{NeueSubnetzmaske:}24+2=26$
$\mathrm{Subnetze:}192.168.100.0/26,\; 192.168.100.64/26,\; 192.168.100.128/26,\; 192.168.100.192/26$

Nur diese Subnetze erhalten SSH-Zugriff über die Management-ACLs.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.