Telnet ist aus Security-Sicht nicht mehr vertretbar, weil Benutzername, Passwort und Befehle unverschlüsselt übertragen werden. Auf Cisco Routern gehört das Abschalten von Telnet zu den schnellsten und wirkungsvollsten Hardening-Maßnahmen. Best Practice ist: SSHv2 aktivieren, Telnet auf allen VTY-Lines verbieten, Management-Zugriff per ACL einschränken und optional AAA (TACACS+/RADIUS) nutzen. Diese Anleitung zeigt ein sauberes Vorgehen ohne…
Management-Zugriff ist einer der häufigsten Angriffsvektoren auf Router: Wer SSH/Console kontrolliert, kontrolliert das Gerät. Best Practice ist daher ein mehrschichtiges Hardening: Zugriff auf VTY per ACL einschränken, Authentifizierung zentral über AAA (TACACS+/RADIUS) steuern und Sessions durch Timeouts sowie Brute-Force-Schutz absichern. Dieses Tutorial zeigt ein praxistaugliches Cisco-IOS-Setup, das du schrittweise und lockout-sicher einführen kannst. Schutzprinzip: Drei…
„Port Security“ ist klassisch ein Switch-Thema: Es kontrolliert auf Layer 2, welche MAC-Adressen an einem Access-Port zulässig sind und was bei Verstößen passiert. Router arbeiten primär auf Layer 3 und sehen nicht dieselbe MAC-Dynamik wie ein Switch-Port im Access-LAN. Trotzdem können Router Management- und Access-Sicherheit umsetzen – nur mit anderen Werkzeugen: ACLs, Control-Plane-Policies, DHCP-Features, uRPF…
Wenn der Internetzugang über einen Cisco Router nicht funktioniert, ist NAT (PAT/Overload) oft der Verdacht – aber die Ursache liegt häufig in einer der Voraussetzungen: falsches Default Gateway, vertauschte Inside/Outside-Zonen, ACL matcht nicht oder der Upstream routet nicht zurück. Mit einer strukturierten NAT-Troubleshooting-Checkliste findest du schnell heraus, ob NAT wirklich das Problem ist oder ob…
Control Plane Policing (CoPP) schützt Cisco Router vor Angriffen und Fehlkonfigurationen, indem es Traffic zur Control Plane (CPU) klassifiziert und begrenzt. Ohne CoPP kann schon ein moderater ICMP-/Scan-/Routing-Flood die CPU auslasten, wodurch Management (SSH), Routing-Protokolle (OSPF/BGP) und sogar Forwarding indirekt beeinträchtigt werden können. CoPP ist deshalb ein zentraler Hardening-Baustein für Router am Internet-Edge, in großen…
Wenn du vom Provider mehrere öffentliche IPv4-Adressen bekommst, kannst du auf Cisco Routern einen NAT Pool konfigurieren. Damit übersetzt du interne Clients entweder dynamisch 1:1 auf einzelne Public IPs (Dynamic NAT) oder nutzt mehrere Public IPs für PAT (Overload) – sinnvoll bei vielen gleichzeitigen Sessions oder wenn du Traffic auf mehrere Quelladressen verteilen willst. Dieses…
DHCP Snooping und Dynamic ARP Inspection (DAI) sind klassische Layer-2-Sicherheitsfeatures auf Switches. Sie verhindern Rogue-DHCP-Server und ARP-Spoofing, indem sie DHCP- und ARP-Traffic direkt am Access-Port kontrollieren. Auf Router-Seite ist das nur teilweise relevant: Router sind in der Regel Layer-3-Gateways und sehen nicht den gesamten Layer-2-Clientverkehr. Trotzdem gibt es wichtige Schnittstellen-Themen: DHCP Relay (ip helper-address), ARP-Schutz…
Port Forwarding auf Cisco Routern wird in der Regel über Static NAT mit Port-Übersetzung (Static PAT) umgesetzt. Damit leitest du eingehende Verbindungen auf eine öffentliche IP:Port-Kombination gezielt an einen internen Server weiter – z. B. HTTP/HTTPS oder RDP. „Sicher veröffentlichen“ heißt dabei: nur notwendige Ports weiterleiten, Zugriff per ACL einschränken, Logging/Verifikation durchführen und – wenn…
NAT und ACLs werden auf Cisco Routern oft gleichzeitig eingesetzt: NAT für Adress-/Port-Übersetzung, ACLs für Security-Policy. Viele „Internet geht nicht“-Fehler entstehen nicht durch NAT oder ACL allein, sondern durch falsche Annahmen darüber, wann welche Regel greift und welche Adressen eine ACL tatsächlich sieht (vor oder nach NAT). Dieser Beitrag zeigt die häufigsten Denkfehler und gibt…
Border Gateway Protocol (BGP) ist das Routingprotokoll, das das Internet zusammenhält. Es verbindet autonome Systeme (AS) – also Netze von Providern, Unternehmen und Cloud-Anbietern – und entscheidet, welche Pfade für Präfixe genutzt werden. Wer BGP-Grundlagen versteht, kann Internetanbindungen, Multihoming und Policy-Routing im Unternehmensumfeld sicher einordnen und typische BGP-Probleme zielgerichtet analysieren. Was ist BGP – und…
Got questions? Ideas? Fill out the form below & our specialist will contact you.