NTP Hardening: Auth, Quellen und Time Drift vermeiden

NTP Hardening ist eine der meist unterschätzten Sicherheits- und Stabilitätsmaßnahmen in Cisco-Netzwerken. Zeit wirkt zunächst wie ein „Basisdienst“, der einfach laufen muss – bis er es nicht mehr tut. Sobald Uhrzeiten driften oder NTP-Quellen manipuliert werden, kippen zentrale Betriebsfunktionen: Syslog-Korrelation wird unzuverlässig, AAA- und RBAC-Audits verlieren Beweiskraft, Zertifikate erscheinen „abgelaufen“ oder „noch nicht gültig“, gNMI/Streaming-Telemetry…

Maintenance Windows planen: Risiko reduzieren bei Cisco Changes

Maintenance Windows planen ist im Cisco-Betrieb eine der wirksamsten Methoden, um Risiko bei Changes systematisch zu reduzieren. Viele Netzwerkausfälle entstehen nicht, weil ein Change „grundsätzlich falsch“ war, sondern weil er unter ungünstigen Rahmenbedingungen durchgeführt wurde: falscher Zeitpunkt, unklare Verantwortlichkeiten, fehlende Vorabprüfungen, unvollständiger Rollback-Plan oder fehlende Beobachtung nach der Änderung. Ein professionell geplantes Wartungsfenster schafft dagegen…

PKI auf Cisco: Zertifikate für HTTPS, 802.1X und VPN verwalten

PKI auf Cisco ist in modernen Unternehmensnetzen der Schlüssel, um Zugriffe, Verschlüsselung und Identitäten sauber zu verwalten – insbesondere für HTTPS (Web-UI/APIs), 802.1X (EAP-TLS in Campus/WLAN) und VPN (IKEv2/AnyConnect, Site-to-Site und Remote Access). Viele Umgebungen starten mit „irgendeinem Zertifikat“, das einmal importiert wird und dann jahrelang liegen bleibt. Spätestens beim ersten Ablaufdatum, bei einem CA-Wechsel…

Golden Configs: Standardkonfigurationen für große Cisco Flotten

Golden Configs sind in großen Cisco Flotten der wirksamste Hebel, um Betriebssicherheit, Security und Skalierbarkeit gleichzeitig zu verbessern. Gemeint ist damit nicht „eine perfekte Konfiguration, die überall passt“, sondern ein standardisierter Soll-Zustand, der pro Rolle und Plattform definiert ist, versioniert wird und sich automatisiert prüfen lässt. In der Praxis entstehen viele Probleme nicht durch komplexe…

802.1X auf Cisco Switches: MAB Fallback, VLAN Assignment, Troubleshooting

802.1X auf Cisco Switches ist in vielen Enterprise-Netzen die wichtigste technische Grundlage, um den Netzwerkzugang am Access-Port zuverlässig zu kontrollieren: Wer darf an den Port, in welches VLAN wird der Client einsortiert, welche Policy greift, und wie wird mit Geräten umgegangen, die kein 802.1X sprechen (IoT, Drucker, Legacy-Clients)? Richtig umgesetzt liefert 802.1X nicht nur mehr…

Cisco TrustSec (SGT): Segmentierung per Tags statt VLAN-Sprawl

Cisco TrustSec (SGT) ist ein Architekturansatz, der Segmentierung und Zugriffskontrolle von der klassischen VLAN-Logik entkoppelt und stattdessen auf Security Group Tags (SGT) setzt. In vielen Unternehmensnetzen ist die Realität heute noch „VLAN-Sprawl“: Für jede Benutzergruppe, jeden Standort, jedes IoT-Gerät und jede Sonderregel entsteht ein neues VLAN, ergänzt um lange ACL-Listen, die an unterschiedlichen Stellen unterschiedlich…

MACsec auf Cisco: Verschlüsselung auf Layer 2 richtig konfigurieren

MACsec auf Cisco (IEEE 802.1AE) ist eine der effektivsten Methoden, um Datenverkehr direkt auf Layer 2 zu verschlüsseln – also dort, wo klassische L2-Links, Trunks und Uplinks oft ungeschützt sind. Während IPsec typischerweise auf Layer 3 arbeitet und TLS auf Layer 4/7, schützt MACsec Ethernet-Frames zwischen zwei direkt verbundenen Geräten (oder entlang eines MACsec-fähigen Segments).…

SPAN/ERSPAN: Traffic Captures im Enterprise-Netz sauber einrichten

SPAN/ERSPAN sind im Enterprise-Netzwerkbetrieb die wichtigsten Werkzeuge, um Traffic gezielt mitzuschneiden, ohne gleich auf teure Tap-Infrastrukturen oder flächendeckende Packet-Broker angewiesen zu sein. Wenn ein Problem „nur sporadisch“ auftritt, wenn eine Applikation unerwartete Retransmits produziert, wenn QoS-Markierungen nicht dort ankommen, wo sie sollen, oder wenn Security-Teams verdächtige Ost-West-Kommunikation verifizieren müssen, führt an einem sauberen Capture-Setup selten…

Embedded Packet Capture (EPC): Captures direkt auf Cisco Geräten

Embedded Packet Capture (EPC) ist in Cisco-Umgebungen eines der praktischsten Werkzeuge für Troubleshooting im Day-2-Betrieb, weil Sie Traffic direkt auf dem Gerät mitschneiden können – ohne SPAN-Port, ohne externen TAP und ohne dass ein Analyzer physisch am Switch oder Router hängen muss. Gerade in verteilten Enterprise-Netzen, in denen Zugriffe auf Standorte begrenzt sind oder in…

Debugging ohne Risiko: Conditional Debugs und Control-Plane Schutz

Debugging ohne Risiko ist in Cisco-Umgebungen eine Kernkompetenz für stabilen Betrieb: Debugs liefern die tiefsten Einblicke in Protokollzustände, Paketflüsse und interne Entscheidungslogik – können aber gleichzeitig die Control Plane so stark belasten, dass aus einem Incident ein größerer Ausfall wird. Der klassische Fehler lautet: Unter Druck wird „debug all“ oder ein sehr breiter Debug aktiviert,…