SSH-Key-Management: Keys rotieren und Risiken minimieren

SSH-Keys sind eine sichere Alternative zu Passwörtern für die Authentifizierung auf Cisco-Routern und anderen Netzwerkgeräten. Sie ermöglichen verschlüsselten Zugriff ohne die Notwendigkeit, sensible Passwörter zu übermitteln. Dennoch bergen SSH-Keys eigene Risiken, insbesondere wenn sie lange unverändert bleiben oder nicht korrekt verwaltet werden. Dieses Tutorial zeigt praxisorientierte Methoden zum SSH-Key-Management, zur Rotation von Schlüsseln und zur…

Cisco-Router-Hardening FAQ: Häufige Fragen aus IT-Teams

Cisco-Router-Hardening ist ein zentrales Thema für IT-Teams, die die Sicherheit ihrer Netzwerkinfrastruktur gewährleisten möchten. In der Praxis treten häufig ähnliche Fragen auf, die von der Implementierung von AAA bis hin zu CoPP, VRFs und Monitoring reichen. Diese FAQ liefert praxisnahe Antworten und CLI-Beispiele, um typische Herausforderungen zu lösen und die Router sicher zu konfigurieren. 1.…

Banner, Legal Notice und Access-Logging: Warum das für Audits wichtig ist

In Unternehmensnetzwerken sind administrative Zugriffe auf Router und Switches kritische Aktivitäten, die einer besonderen Absicherung und Dokumentation bedürfen. Die Kombination aus Login-Bannern, Legal Notices und Access-Logging unterstützt nicht nur die Sicherheit, sondern ist auch für Audits und Compliance unverzichtbar. Sie stellt sicher, dass Benutzer über Verantwortlichkeiten informiert sind, Zugriffe nachvollziehbar bleiben und rechtliche Anforderungen erfüllt…

Secure Baseline vs. „Default Config“: 30-Tage-Hardening-Roadmap fürs Enterprise

Der Unterschied zwischen einer Secure Baseline und der Default Config ist entscheidend für die Sicherheit von Enterprise-Routern. Während die Default Config nur minimale Funktionen aktiviert, stellt eine Secure Baseline sicher, dass Management, AAA, Logging, SNMP und Control Plane geschützt sind. Eine 30-Tage-Hardening-Roadmap zeigt, wie IT-Teams Schritt für Schritt von einer Default Config zu einem Production-Grade…

Password Spraying mitigieren: AAA-Policies und Event-Monitoring

Password Spraying ist eine weit verbreitete Angriffsstrategie, bei der Angreifer versuchen, eine kleine Anzahl häufig genutzter Passwörter gegen viele Benutzerkonten gleichzeitig einzusetzen. Im Gegensatz zu klassischen Brute-Force-Angriffen bleibt der Angriff oft unentdeckt, da die Anzahl der Fehlversuche pro Benutzer gering ist. Auf Cisco-Routern und in Enterprise-Netzwerken können gezielte AAA-Policies, Monitoring und Event-Logging helfen, solche Angriffe…

Cisco-Router-Hardening: Definition of Done (Acceptance Criteria & Evidence Pack)

Die Definition of Done (DoD) für Cisco-Router-Hardening legt fest, wann ein Hardening-Projekt als abgeschlossen gilt und welche Kriterien erfüllt sein müssen. Sie umfasst technische Akzeptanzkriterien sowie ein Evidence Pack, das alle durchgeführten Maßnahmen dokumentiert und prüfbar macht. Dies stellt sicher, dass die Hardening-Maßnahmen Production-Grade sind und auditierbar bleiben. Akzeptanzkriterien für Hardening Die Acceptance Criteria definieren…

DoS gegen die Control Plane mitigieren: CoPP und Rate-Limit-Strategie

Die Control Plane eines Routers ist für die Verarbeitung von Routing-Protokollen, Management-Traffic und Paketverarbeitung verantwortlich. Ein Denial-of-Service (DoS) auf die Control Plane kann die gesamte Netzwerkinfrastruktur destabilisieren, selbst wenn die Forwarding Plane weiterhin funktioniert. Um solche Angriffe zu mitigieren, bietet Cisco Mechanismen wie Control Plane Policing (CoPP) und gezielte Rate-Limits für verschiedene Traffic-Typen. Dieses Tutorial…

Service-Modell für Cisco-Router-Hardening: Projektbasiert vs. Retainer (SLA & Scope)

Für Cisco-Router-Hardening können Unternehmen zwischen einem projektbasierten Service-Modell und einem Retainer-Modell auf SLA-Basis wählen. Die Entscheidung hängt von der Netzwerkgröße, der Anzahl der Standorte, der benötigten Kontinuität und den Compliance-Anforderungen ab. Dieses Tutorial erklärt die Unterschiede, Scope, SLA-Definitionen und typische Inhalte beider Service-Modelle. Projektbasiertes Hardening Ein projektbasiertes Modell eignet sich für einmalige oder zeitlich begrenzte…

Hardening gegen Reconnaissance: Banner/Service-Exposure minimieren

Netzwerkscanner und Angreifer führen häufig Reconnaissance-Aktivitäten durch, um Informationen über Netzwerkgeräte, offene Dienste und Versionen zu sammeln. Dies kann später für gezielte Angriffe wie Exploits, Brute-Force oder DoS genutzt werden. Hardening-Maßnahmen auf Cisco-Routern helfen, die Angriffsfläche zu reduzieren, indem Banner, Service-Exposures und unnötige Protokolle minimiert werden. Grundlagen der Reconnaissance Reconnaissance bezeichnet das Sammeln von Informationen…

Hardening gegen SNMP-Misuse: Device Enumeration verhindern

Simple Network Management Protocol (SNMP) wird in Unternehmensnetzwerken häufig für Monitoring, Performance-Management und Automatisierung eingesetzt. Allerdings kann SNMP auch für Device Enumeration missbraucht werden, bei der Angreifer Informationen über Netzwerkgeräte sammeln, z. B. Hostnamen, IP-Adressen, Interfaces oder Konfigurationsdetails. Ein gezieltes Hardening von SNMP reduziert die Angriffsfläche und schützt sensible Netzwerkinformationen. Grundlagen von SNMP und Risiken SNMP…