Logins, Secrets, Hashing: Passwörter auf Cisco richtig absichern

Passwortschutz auf Cisco Routern ist mehr als „ein Passwort setzen“: Entscheidend ist, wie Credentials gespeichert werden (Hashing/Encryption), wie Logins stattfinden (lokal vs. AAA) und wie du den Zugriff auf Management-Interfaces absicherst. In der Praxis entstehen Security-Lücken häufig durch falsche Befehle (z. B. password statt secret), veraltete Hash-Typen oder unkontrollierte VTY-Zugänge. Dieser Leitfaden zeigt Best Practices…

NetFlow auf Cisco Router: Traffic-Analyse Schritt für Schritt

NetFlow ist ein bewährtes Verfahren, um Traffic auf Cisco Routern sichtbar zu machen: Welche Quellen sprechen mit welchen Zielen, über welche Ports/Protokolle, und wie viel Bandbreite wird dabei verbraucht. Im Gegensatz zu SNMP (nur „wie viel“ auf einem Interface) liefert NetFlow Kontext (wer/was/wohin). Für Betrieb und Security ist das extrem wertvoll: Top-Talker, ungewöhnliche Verbindungen, DDoS-Indizien…

Site-to-Site IPsec VPN auf Cisco Router: Schritt-für-Schritt

Ein Site-to-Site IPsec VPN verbindet zwei Standorte sicher über das Internet, indem „interessanter“ Traffic zwischen zwei internen Netzen verschlüsselt wird. Auf Cisco Routern besteht ein klassisches IOS-IPsec-Setup aus IKE Phase 1 (ISAKMP Policy + Pre-Shared Key), IKE Phase 2 (Transform-Set), einer Crypto ACL (welcher Traffic wird verschlüsselt), einem Crypto Map (alles zusammenbinden) und der Anwendung…

Backup & Restore automatisieren: Cisco Konfiguration per SCP/TFTP sichern

Regelmäßige Backups der Cisco-Konfiguration sind eine der wichtigsten Betriebsmaßnahmen: Bei Hardwaretausch, Fehlkonfiguration oder Security-Incident kannst du den Router schnell wiederherstellen. In der Praxis hat sich ein automatisierter Ansatz bewährt: Konfigurationen werden versioniert auf einen Backup-Server kopiert – bevorzugt per SCP (verschlüsselt) und nur im Ausnahmefall per TFTP (unkritische Lab-Umgebung). Diese Anleitung zeigt praxistaugliche Backup- und…

Remote Access VPN mit Cisco: Überblick über Optionen und Grenzen

Remote Access VPN ermöglicht einzelnen Benutzern (Laptop, Smartphone) einen sicheren Zugriff ins Unternehmensnetz – im Gegensatz zu Site-to-Site, das ganze Standorte verbindet. „Mit Cisco“ ist dabei wichtig zu präzisieren: Je nach Plattform (Cisco IOS Router, ASA, Firepower, AnyConnect) unterscheiden sich Funktionsumfang, Lizenzierung, Client-Unterstützung und Komfort deutlich. Dieser Überblick ordnet die gängigen Optionen ein, zeigt typische…

Cisco Router Troubleshooting Master-Checkliste: Layer 1 bis Layer 7

Eine systematische Troubleshooting-Checkliste verhindert „Ratearbeit“: Du prüfst Schicht für Schicht (Layer 1 bis 7), bestätigst Fakten mit Show-Befehlen und grenzt die Fehlerdomäne schnell ein. Auf Cisco Routern bedeutet das: zuerst physische/Interface-Basics, dann IP/ARP/Routing, danach Policies (ACL/NAT/VPN/QoS) und erst zuletzt Applikationsdetails. Diese Master-Checkliste ist als praxisorientierter Ablauf gedacht, den du in Tickets, Runbooks oder Prüfungen (CCNA/CCNP)…

IPsec Phase 1/2 erklärt: IKE, ISAKMP, Transform Sets

Bei IPsec-VPNs fällt im Troubleshooting immer wieder die Frage: „Hängt es an Phase 1 oder Phase 2?“ Genau dafür sind die Begriffe IKE/ISAKMP und Transform Sets wichtig. Phase 1 (IKE/ISAKMP) baut einen sicheren Steuerkanal auf, Phase 2 (IPsec) schützt den eigentlichen Nutztraffic. Wer diese Trennung verstanden hat, erkennt Mismatches schneller, liest die Cisco-Outputs korrekt und…

VPN Troubleshooting: show crypto isakmp sa & show crypto ipsec sa

Bei Site-to-Site IPsec auf Cisco ist die schnellste Fehlersuche fast immer: zuerst show crypto isakmp sa (Phase 1/IKE), dann show crypto ipsec sa (Phase 2/Datenebene). Mit diesen beiden Ausgaben erkennst du in Minuten, ob das Problem an Peer-Erreichbarkeit, PSK/Policy-Mismatch, NAT-T/ACL oder an Selector/NAT/Route liegt. Dieses Tutorial erklärt, wie du die States liest, welche Counter wirklich…

GRE Tunnel auf Cisco Router: Wann sinnvoll, wann nicht

GRE (Generic Routing Encapsulation) ist ein Tunnelprotokoll, das beliebige Layer-3-Pakete in ein neues IP-Paket kapselt. Auf Cisco Routern wird GRE oft genutzt, um Routing-Protokolle, Multicast oder zusätzliche Netze sauber über ein IP-Netz (z. B. Internet, Provider-WAN) zu transportieren. Wichtig ist aber: GRE bietet keine Verschlüsselung. Wenn Vertraulichkeit oder Integrität benötigt wird, muss GRE typischerweise mit…

ACL Reihenfolge & Logik: So vermeidest du Lockouts

ACL-Lockouts passieren fast immer aus zwei Gründen: falsche Reihenfolge oder falsche Annahmen über die Logik. Cisco ACLs werden strikt von oben nach unten ausgewertet, die erste passende Regel gewinnt – und am Ende steht immer ein implizites deny. Wer diese Logik sauber versteht und Changes kontrolliert durchführt (Sequenzen, Test-Regeln, Logging), kann Lockouts zuverlässig vermeiden –…