SSH-Keys sind eine sichere Alternative zu Passwörtern für die Authentifizierung auf Cisco-Routern und anderen Netzwerkgeräten. Sie ermöglichen verschlüsselten Zugriff ohne die Notwendigkeit, sensible Passwörter zu übermitteln. Dennoch bergen SSH-Keys eigene Risiken, insbesondere wenn sie lange unverändert bleiben oder nicht korrekt verwaltet werden. Dieses Tutorial zeigt praxisorientierte Methoden zum SSH-Key-Management, zur Rotation von Schlüsseln und zur Minimierung von Risiken.
Grundlagen von SSH-Keys
SSH-Keys bestehen aus einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel wird auf dem Router hinterlegt, während der private Schlüssel auf dem Administratorgerät verbleibt. Bei der Verbindung überprüft der Router, ob der Client den passenden privaten Schlüssel besitzt.
- Asymmetrische Verschlüsselung: Private und öffentliche Schlüssel bilden ein Paar.
- Schlüssellänge: Mindestens 2048 Bit für RSA empfohlen.
- Passphrase: Der private Schlüssel sollte durch eine starke Passphrase geschützt sein.
SSH-Key-Konfiguration auf Cisco-Routern
Erstellen eines Schlüsselpaares
Router(config)# crypto key generate rsa general-keys modulus 2048
The key modulus size is 2048 bits
Do you want to overwrite the existing key? [yes/no]: yesDie Schlüssellänge von 2048 Bit entspricht aktuellen Sicherheitsstandards.
Lokale Benutzer mit Schlüssel zuweisen
Router(config)# username admin privilege 15
Router(config)# ip ssh pubkey-chain
Router(config-pubkey-chain)# username admin
Router(config-pubkey)# key-string
AAAAB3NzaC1yc2EAAAADAQABAAABAQC3...Der öffentliche Schlüssel wird hier direkt hinterlegt. Nur Benutzer mit dem passenden privaten Schlüssel können sich authentifizieren.
Key-Rotation und Ablauf
Regelmäßige Rotation der SSH-Keys ist entscheidend, um kompromittierte Schlüssel zu ersetzen und Sicherheitsrichtlinien einzuhalten.
- Schlüssel alle 90–180 Tage austauschen
- Vor Ablauf neue Schlüssel generieren und verteilen
- Alte Schlüssel nach erfolgreichem Test löschen
Router(config)# ip ssh pubkey-chain
Router(config-pubkey-chain)# username admin
Router(config-pubkey)# key-string
NEUER_PUBLIC_KEY
Router(config-pubkey)# exit
Router(config-pubkey-chain)# exitRisiken und Sicherheitsmaßnahmen
Verlust oder Kompromittierung von Private Keys
- Private Schlüssel niemals unverschlüsselt speichern
- Passphrase für privaten Schlüssel verwenden
- Regelmäßige Backup-Strategien prüfen
Nicht autorisierte Schlüssel auf Routern
- Nur vertrauenswürdige Schlüssel hinterlegen
- Regelmäßige Kontrolle der pubkey-chain mit
show run | include ip ssh pubkey-chain - Auditieren von Benutzerzugängen und Änderungen
Integration mit AAA und Management-VRF
SSH-Zugriffe sollten in eine zentrale Authentifizierung und in isolierte Management-Subnetze integriert werden:
Router(config)# aaa new-model
Router(config)# aaa authentication login VTY-LOGIN group tacacs+ local
Router(config)# aaa authorization exec default group tacacs+ local
Router(config)# ip vrf MGMTDies stellt sicher, dass alle SSH-Verbindungen über das Management-Subnetz laufen und zentral überwacht werden.
Best Practices für Enterprise-SSH-Key-Management
- Starke Schlüssellänge (2048–4096 Bit) und sichere Algorithmen verwenden
- Private Schlüssel durch Passphrases schützen
- Key-Rotation regelmäßig durchführen
- Nur vertrauenswürdige öffentliche Schlüssel auf Routern hinterlegen
- AAA-Integration und Logging aktivieren
- Management-Subnetz oder VRF für SSH-Verkehr nutzen
- Regelmäßige Audits der pubkey-chain und Benutzerkonten
Fehlervermeidung und Troubleshooting
- Vor Rotation neue Schlüssel testen, um Lockouts zu vermeiden
- Privaten Schlüssel niemals auf unsicheren Systemen speichern
- AAA-Server-Verfügbarkeit prüfen, um Fallback-Mechanismen zu gewährleisten
- Logs überwachen auf abgelehnte SSH-Verbindungen
- Alte Schlüssel nach erfolgreicher Rotation entfernen
Zusammenfassung der CLI-Grundbausteine
- RSA-Key generieren:
crypto key generate rsa general-keys modulus 2048 - Public-Key für Benutzer hinterlegen:
ip ssh pubkey-chain username admin key-string AAAAB3NzaC1yc2EAAAADAQABAAABAQC3... - AAA für SSH:
aaa new-model aaa authentication login VTY-LOGIN group tacacs+ local aaa authorization exec default group tacacs+ local - Management-VRF für SSH:
ip vrf MGMT - Key-Rotation durchführen:
ip ssh pubkey-chain username admin key-string NEUER_PUBLIC_KEY - Audit und Kontrolle:
show run | include ip ssh pubkey-chain show users show aaa sessions
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.