Infrastructure ACLs (iACLs): Schutz vor lateral movement im WAN Edge

Infrastructure ACLs (iACLs) sind ein bewährtes Security-Pattern, um die eigene Netzwerk-Infrastruktur (Router, Switches, Firewalls, Controller, Management-Services) vor lateral movement zu schützen. Die Idee ist simpel, aber wirkungsvoll: Infrastruktur-IPs sind keine „normalen Server“. Von Endnutzer- oder Partnernetzen aus sollte es praktisch keinen direkten Zugriff auf Routing-Protokolle, Management-Ports oder Control-Plane-Services geben. Im WAN Edge Kontext sind iACLs…

Management Plane Hardening: AAA, TACACS+, RBAC, Command Authorization

Management Plane Hardening bedeutet: Der Zugriff auf Router und Switches wird wie ein kritisches System behandelt – mit zentraler Authentifizierung (AAA), nachvollziehbarer Autorisierung (RBAC/Command Authorization) und sauberem Accounting. Ziel ist nicht nur „Login absichern“, sondern Governance: Wer darf wann was tun, und kannst du das im Incident oder Audit beweisen? In der Praxis verhindern gut…

SSH Hardening: Ciphers, KEX, MACs und Key Management auf Cisco

SSH ist auf Cisco Routern der wichtigste Management-Zugriff – und damit ein primäres Angriffsziel. „SSH an“ reicht für Hardening nicht aus: In der Praxis geht es um die Kryptoparameter (Ciphers, KEX, MACs), um Key-Management (RSA/ECDSA, Rotation), um Zugriffspfad-Restriktionen (VTY ACL, VRF/OOB) und um Betriebsprozesse (Audit, Logging, Break-Glass). Ein gutes SSH-Hardening reduziert Risiko und hält gleichzeitig…

SNMPv3 richtig absichern: Views, Groups, Auth/Priv und Rotation

SNMPv3 ist die einzige sinnvolle Wahl, wenn du Cisco Router sicher überwachen willst: Authentifizierung und Verschlüsselung sind integriert, und du kannst über Views und Groups sehr fein steuern, welche MIB-Bereiche ein Monitoring-System überhaupt lesen darf. Die häufigsten Sicherheitsprobleme entstehen nicht durch „falsche Cipher“, sondern durch fehlende Zugriffsbeschränkungen (wer darf anfragen?), zu breite Views (alles erlaubt)…

IPsec IKEv2 auf Cisco: Profile-Design, Crypto Maps vs. VTIs (Pro/Contra)

IPsec mit IKEv2 ist auf Cisco Routern der moderne Standard für Site-to-Site VPNs: robustes Negotiation-Framework, bessere Security-Defaults und saubere Erweiterbarkeit (z. B. EAP/AAA, Mobility, Rekey). In der Praxis entscheidet jedoch weniger „IKEv2 ja/nein“, sondern das Design: Wie baust du Profile, Authentifizierung und Policy sauber, und welche Implementationsform nutzt du – klassische Crypto Maps oder Route-based…

Routing Protocol Security: Keychain Rollover ohne Downtime (OSPF/IS-IS/BGP)

Routing-Protokoll-Security steht und fällt mit einem Detail, das im Betrieb oft unterschätzt wird: Key-Rollover. OSPF/IS-IS Authentifizierung und BGP MD5/TCP-AO (je nach Plattform) schützen zwar vor Spoofing und Session-Hijacking, aber nur solange Schlüssel aktuell sind. Der Härtungsgewinn verpufft, wenn Keys jahrelang unverändert bleiben – und ein schlecht geplanter Wechsel kann komplette IGP- oder BGP-Outages verursachen. Der…

Route-based VPN (VTI) mit BGP: Skalierbarer als Crypto Map?

Route-based VPNs über Virtual Tunnel Interfaces (VTIs) gelten im Enterprise-Betrieb als „skalierbarer“ als klassische Crypto Maps, weil Routing (statt ACL-Selector) bestimmt, welcher Traffic durch den Tunnel geht. Kombinierst du VTIs mit BGP, bekommst du ein sehr robustes Betriebsmodell: dynamische Prefix-Verteilung, saubere Failover-Entscheidungen und weniger Copy/Paste-ACLs pro Peer. Der entscheidende Punkt ist jedoch: VTI+BGP ist nicht…

Secure Logging: Syslog TLS, Time Sync, Log Integrity (Praxisansatz)

Logs sind im Netzwerkbetrieb das wichtigste Beweismittel – aber nur, wenn sie vertrauenswürdig sind. Unverschlüsseltes Syslog über UDP ist leicht abhörbar, manipulierbar und kann bei Störungen „still“ ausfallen. Für einen praxisfesten Security-Ansatz brauchst du deshalb drei Säulen: Transport-Sicherheit (Syslog über TLS), verlässliche Zeitbasis (NTP/PTP mit Monitoring) und Maßnahmen für Log-Integrität (Identität, Tamper-Evidence, zentrale Retention). In…

DMVPN Phase 1–3: Designentscheidungen, NHRP, Shortcut Routing

DMVPN (Dynamic Multipoint VPN) ist ein Cisco-Architekturpattern, um viele Standorte über einen Hub-and-Spoke-Tunnelverband zu verbinden, ohne für jeden Spoke einen eigenen statischen Tunnel bauen zu müssen. Kernkomponenten sind GRE over IPsec, mGRE (multipoint GRE) am Hub, NHRP als „Mapping-Datenbank“ (Tunnel-IP ↔ Public-IP) und – je nach Phase – Direktverbindungen (Spoke-to-Spoke) über Shortcut Routing. In der…

Compliance-Checks automatisieren: CIS Benchmarks & Audit-Ready Configs

Compliance für Netzwerkgeräte scheitert selten an fehlenden Sicherheitsfunktionen, sondern an fehlender Wiederholbarkeit: Konfigurationen driften, Ausnahmen werden nicht dokumentiert, und Audits basieren auf „Screenshots“ statt nachvollziehbaren Checks. Automatisierte Compliance-Checks lösen genau dieses Problem: Du definierst eine Baseline (z. B. CIS-orientiert), prüfst sie regelmäßig gegen die reale Running-Config und erzeugst auditfähige Nachweise (wer/was/waswo/ wann). Der praxisfeste Ansatz…