SSH-Key-Management auf Cisco-Routern ist eine zentrale Sicherheitsmaßnahme, um sichere, passwortlose Authentifizierung zu gewährleisten und gleichzeitig Risiken durch kompromittierte Keys zu minimieren. Eine strukturierte Strategie umfasst Key-Rotation, Inventarisierung und klare Revocation-Prozesse. Dies erhöht die Sicherheit, vereinfacht Audits und unterstützt Compliance-Anforderungen.
Grundlagen des SSH-Key-Managements
- Public/Private Key-Pairs: Authentifizierung erfolgt über kryptographische Schlüssel anstelle von Passwörtern
- Zentrale Verwaltung: Schlüssel sollten inventarisiert und dokumentiert werden
- Rotation: Regelmäßiger Austausch der Keys, um die Sicherheit zu erhöhen
- Revocation: Kompromittierte oder nicht mehr genutzte Keys müssen sofort entfernt werden
- Auditierbarkeit: Jede Schlüsseländerung muss nachvollziehbar sein
SSH-Key-Inventory und Dokumentation
Ein vollständiges Inventar aller SSH-Keys auf Routern ist essenziell:
- Liste aller Public Keys auf den Routern erstellen
- Zugehörige Benutzer und Berechtigungen dokumentieren
- Verwendungszweck und Ablaufdatum der Keys festhalten
show running-config | include ip ssh pubkey-chain
show ssh
show usersKey-Rotation
1. Regelmäßige Rotation
Keys sollten periodisch erneuert werden, z.B. alle 90 Tage:
crypto key generate rsa modulus 2048
! Neuer Key für den Benutzer erzeugen
username admin privilege 15
ip ssh pubkey-chain
username admin
key-string
AAAAB3NzaC1yc2EAAAADAQABAAABAQC...
exit
exit
exit- Alte Keys vorher deaktivieren und nach erfolgreichem Test löschen
- Neue Keys auf allen relevanten Routern verteilen
2. Automatisierte Prozesse
- SSH-Key-Verteilung über Configuration Management Tools (z.B. Ansible, Puppet)
- Rotation von Vendor- und Admin-Keys zeitlich planen
- Dokumentation jeder Änderung für Audit-Zwecke
Revocation-Prozesse
Komprimittierte oder nicht mehr benötigte Keys müssen sofort entfernt werden:
username admin
ip ssh pubkey-chain
username admin
key-string AAAAB3NzaC1yc2EAAAADAQABAAABAQD... removed
exit
exit- Deaktivieren, bevor der neue Key aktiviert wird
- Audit-Log dokumentiert jede Revocation
- Integration mit AAA ermöglicht zentrale Kontrolle
Integration mit AAA und Logging
aaa new-model
aaa authentication login VTY-LOGIN group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
logging host 10.10.10.200
service timestamps log datetime msec localtime- Alle Key-basierten Logins werden protokolliert
- Start/Stop von Sessions über Accounting erfasst
- Audit-Trails für alle Änderungen an SSH-Key-Konfigurationen
Best Practices für SSH-Key-Management
- Starke Schlüssel (RSA ≥ 2048 Bit oder ECDSA) verwenden
- Rotation in regelmäßigen Intervallen durchführen
- Keys dokumentieren und inventarisieren
- Revocation-Prozesse klar definieren und automatisieren, wenn möglich
- AAA und Logging konsequent einsetzen
- Least-Privilege-Prinzip beachten, privilegierte Keys nur bei Bedarf
- Regelmäßige Audits und Compliance-Checks
Praxisbeispiel CLI-Zusammenfassung
! SSH Key erzeugen
crypto key generate rsa modulus 2048
! Benutzer-Key hinterlegen
username admin privilege 15
ip ssh pubkey-chain
username admin
key-string
AAAAB3NzaC1yc2EAAAADAQABAAABAQC...
exit
exit
exit
! AAA & Logging
aaa new-model
aaa authentication login VTY-LOGIN group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
logging host 10.10.10.200
service timestamps log datetime msec localtime
! Key-Revocation
username admin
ip ssh pubkey-chain
username admin
key-string AAAAB3NzaC1yc2EAAAADAQABAAABAQD... removed
exit
exit
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.