Management-Zugriff absichern: VTY ACL, AAA und Timeout

Management-Zugriff ist einer der häufigsten Angriffsvektoren auf Router: Wer SSH/Console kontrolliert, kontrolliert das Gerät. Best Practice ist daher ein mehrschichtiges Hardening: Zugriff auf VTY per ACL einschränken, Authentifizierung zentral über AAA (TACACS+/RADIUS) steuern und Sessions durch Timeouts sowie Brute-Force-Schutz absichern. Dieses Tutorial zeigt ein praxistaugliches Cisco-IOS-Setup, das du schrittweise und lockout-sicher einführen kannst. Schutzprinzip: Drei…

Port Security? Was Router können (und was Switches besser machen)

„Port Security“ ist klassisch ein Switch-Thema: Es kontrolliert auf Layer 2, welche MAC-Adressen an einem Access-Port zulässig sind und was bei Verstößen passiert. Router arbeiten primär auf Layer 3 und sehen nicht dieselbe MAC-Dynamik wie ein Switch-Port im Access-LAN. Trotzdem können Router Management- und Access-Sicherheit umsetzen – nur mit anderen Werkzeugen: ACLs, Control-Plane-Policies, DHCP-Features, uRPF…

NAT Troubleshooting: Warum funktioniert der Internetzugang nicht?

Wenn der Internetzugang über einen Cisco Router nicht funktioniert, ist NAT (PAT/Overload) oft der Verdacht – aber die Ursache liegt häufig in einer der Voraussetzungen: falsches Default Gateway, vertauschte Inside/Outside-Zonen, ACL matcht nicht oder der Upstream routet nicht zurück. Mit einer strukturierten NAT-Troubleshooting-Checkliste findest du schnell heraus, ob NAT wirklich das Problem ist oder ob…

Control Plane Policing (CoPP): Router vor Angriffen schützen

Control Plane Policing (CoPP) schützt Cisco Router vor Angriffen und Fehlkonfigurationen, indem es Traffic zur Control Plane (CPU) klassifiziert und begrenzt. Ohne CoPP kann schon ein moderater ICMP-/Scan-/Routing-Flood die CPU auslasten, wodurch Management (SSH), Routing-Protokolle (OSPF/BGP) und sogar Forwarding indirekt beeinträchtigt werden können. CoPP ist deshalb ein zentraler Hardening-Baustein für Router am Internet-Edge, in großen…

NAT mit mehreren öffentlichen IPs: Pool-Konfiguration erklärt

Wenn du vom Provider mehrere öffentliche IPv4-Adressen bekommst, kannst du auf Cisco Routern einen NAT Pool konfigurieren. Damit übersetzt du interne Clients entweder dynamisch 1:1 auf einzelne Public IPs (Dynamic NAT) oder nutzt mehrere Public IPs für PAT (Overload) – sinnvoll bei vielen gleichzeitigen Sessions oder wenn du Traffic auf mehrere Quelladressen verteilen willst. Dieses…

DHCP Snooping & DAI: Was davon auf Router-Seite relevant ist

DHCP Snooping und Dynamic ARP Inspection (DAI) sind klassische Layer-2-Sicherheitsfeatures auf Switches. Sie verhindern Rogue-DHCP-Server und ARP-Spoofing, indem sie DHCP- und ARP-Traffic direkt am Access-Port kontrollieren. Auf Router-Seite ist das nur teilweise relevant: Router sind in der Regel Layer-3-Gateways und sehen nicht den gesamten Layer-2-Clientverkehr. Trotzdem gibt es wichtige Schnittstellen-Themen: DHCP Relay (ip helper-address), ARP-Schutz…

Port Forwarding auf Cisco: Dienste sicher veröffentlichen

Port Forwarding auf Cisco Routern wird in der Regel über Static NAT mit Port-Übersetzung (Static PAT) umgesetzt. Damit leitest du eingehende Verbindungen auf eine öffentliche IP:Port-Kombination gezielt an einen internen Server weiter – z. B. HTTP/HTTPS oder RDP. „Sicher veröffentlichen“ heißt dabei: nur notwendige Ports weiterleiten, Zugriff per ACL einschränken, Logging/Verifikation durchführen und – wenn…

NAT + ACL richtig kombinieren: Häufige Denkfehler

NAT und ACLs werden auf Cisco Routern oft gleichzeitig eingesetzt: NAT für Adress-/Port-Übersetzung, ACLs für Security-Policy. Viele „Internet geht nicht“-Fehler entstehen nicht durch NAT oder ACL allein, sondern durch falsche Annahmen darüber, wann welche Regel greift und welche Adressen eine ACL tatsächlich sieht (vor oder nach NAT). Dieser Beitrag zeigt die häufigsten Denkfehler und gibt…

NAT und VPN: Typische Probleme und Lösungen

NAT und VPN sind eine häufige Problemkombination: NAT verändert IP-Adressen und Ports, während VPNs (insbesondere IPsec) Integrität, Peer-Identität und oft auch „No-NAT“-Verhalten erwarten. Typische Symptome sind: Tunnel kommt nicht hoch, Phase 2 bricht, Traffic geht nur in eine Richtung oder bestimmte Subnetze sind nicht erreichbar. Mit sauberer NAT-Exemption, korrektem NAT-T (UDP/4500) und klaren ACLs lassen…

Site-to-Site Absicherung: Firewall-Zonen vs. ACL (Einordnung)

Bei Site-to-Site-Verbindungen (meist IPsec) reicht „Tunnel steht“ nicht aus: Du brauchst eine klare Security-Policy für den Verkehr zwischen lokalen und entfernten Netzen. Auf Cisco Routern wird diese Policy entweder klassisch mit ACLs umgesetzt (zustandslos, interface-basiert) oder moderner/strukturierter über Firewall-Zonen (Zone-Based Firewall, zustandsbehaftet). Welche Variante besser passt, hängt von Komplexität, Audit-Anforderungen, Troubleshooting und dem gewünschten Sicherheitsniveau…