Telnet ist auf Cisco Switches ein häufiges Sicherheitsrisiko, weil Zugangsdaten und Sessions unverschlüsselt übertragen werden. Wer Telnet konsequent deaktiviert und auf SSH umstellt, reduziert die Angriffsfläche sofort und erfüllt grundlegende Security-Best-Practices. Diese Anleitung zeigt eine praxistaugliche Härtung in wenigen Minuten – inklusive Checks, Umstellung und Absicherung der Remote-Administration.
Warum Telnet deaktivieren? Sicherheitsrisiken kurz erklärt
Telnet überträgt Benutzername und Passwort im Klartext. Jeder, der den Traffic mitschneiden kann (z. B. im gleichen VLAN, bei kompromittierten Hosts oder über SPAN), kann Credentials abgreifen und Geräte übernehmen.
- Klartext-Authentifizierung (sniffbar)
- Keine Integritätsprüfung der Session
- Oft offen für „Legacy“-Fehlkonfigurationen (0.0.0.0/0 erlaubt)
Vorbereitung: Aktuellen Remote-Zugriff prüfen
Bevor du Telnet deaktivierst, stelle sicher, dass SSH funktioniert oder du einen Konsolenzugriff als Fallback hast. So vermeidest du, dich selbst auszusperren.
show running-config | section line vty
show ip ssh
show users
show access-lists
Erkennen, ob Telnet aktuell erlaubt ist
Telnet ist erlaubt, wenn auf den VTY-Lines transport input telnet oder transport input telnet ssh konfiguriert ist. Ist nichts gesetzt, kann je nach Plattform/Default ebenfalls Telnet möglich sein.
show running-config | section line vty
SSH aktivieren (falls noch nicht vorhanden)
Wenn SSH noch nicht aktiv ist, konfiguriere zuerst Domain-Name, RSA-Keys und einen lokalen Benutzer. Erst danach deaktivierst du Telnet.
configure terminal
ip domain-name corp.local
username admin privilege 15 secret <SICHERES_PASSWORT>
crypto key generate rsa modulus 2048
ip ssh version 2
end
SSH-Funktion prüfen
Verifiziere, dass SSH aktiv ist und Keys vorhanden sind. Teste anschließend den Login von einem Admin-Host.
show ip ssh
show crypto key mypubkey rsa
Telnet deaktivieren: VTY-Lines auf „SSH only“ setzen
Der wichtigste Schritt ist die Einschränkung der VTY-Lines: Nur SSH zulassen, Login über lokale Benutzer (oder AAA) erzwingen und Timeouts setzen.
configure terminal
line vty 0 4
login local
transport input ssh
exec-timeout 10 0
exit
end
Für Geräte mit mehr VTY-Lines (häufig 0–15)
Wenn dein Switch mehr VTY-Lines nutzt, setze die Konfiguration konsistent für alle Lines, damit keine „Hintertür“ offen bleibt.
configure terminal
line vty 0 15
login local
transport input ssh
exec-timeout 10 0
exit
end
Zusätzliche Härtung in 10 Minuten: Zugriff begrenzen und protokollieren
SSH-only ist der Mindeststandard. Noch besser ist es, den Zugriff auf Admin-Quellnetze zu begrenzen und Login-Events zu loggen. Das erhöht Sicherheit und Nachvollziehbarkeit.
SSH-Zugriff per ACL auf Admin-Netz einschränken
Mit access-class an den VTY-Lines erlaubst du SSH nur aus definierten Netzen. Alle anderen Verbindungen werden bereits am Login-Pfad geblockt.
configure terminal
ip access-list standard ACL-MGMT-SSH
permit 192.168.99.0 0.0.0.255
deny any
exit
line vty 0 15
access-class ACL-MGMT-SSH in
exit
end
Login-Banner und Login-Logging aktivieren
Ein Banner ist oft Bestandteil von Compliance. Login-Logging hilft bei Security-Analysen und Audits.
configure terminal
banner motd ^C
Unbefugter Zugriff verboten. Nutzung wird protokolliert.
^C
login on-success log
login on-failure log
end
Optional: Management-Zugriff nur über Management-VLAN
Ein dediziertes Management-VLAN reduziert die Angriffsfläche. Stelle sicher, dass das Management-SVI erreichbar ist und das Default-Gateway korrekt gesetzt ist.
show ip interface brief
show running-config interface vlan 99
show running-config | include ip default-gateway
Verifikation: Nachweis, dass Telnet wirklich aus ist
Nach der Umstellung solltest du sowohl die Konfiguration als auch den tatsächlichen Zustand prüfen. Insbesondere dürfen VTY-Lines keinen Telnet-Transport mehr erlauben.
show running-config | section line vty
show ip ssh
show line vty 0 15
Praktischer Test aus Sicht des Admin-Hosts
Testiere: Telnet muss scheitern, SSH muss funktionieren. So stellst du sicher, dass der Change wirklich wirksam ist.
telnet 192.168.99.10
ssh admin@192.168.99.10
Häufige Stolperfallen und schnelle Fehlerbehebung
Probleme entstehen meist durch fehlende SSH-Keys, falsche VTY-Konfiguration oder ACLs, die den Admin-Zugriff blockieren. Arbeite systematisch mit diesen Checks.
- SSH geht nicht: RSA-Keys fehlen oder Domain-Name nicht gesetzt
- Login schlägt fehl: kein lokaler User oder falsches
login-Verfahren - ACL sperrt dich aus: falsches Admin-Subnetz oder falsche Wildcard
- Management-IP nicht erreichbar: SVI down oder Gateway fehlt
show ip ssh
show crypto key mypubkey rsa
show running-config | section line vty
show access-lists
show ip interface brief
show arp
show logging | include SSH|AUTH|DENY|ACL
Best Practices: Telnet dauerhaft vermeiden
Damit Telnet nicht wieder „aus Versehen“ aktiviert wird, standardisiere Templates und prüfe Remote-Zugriff regelmäßig im Rahmen von Audits und Changes.
- Konfiguration standardisieren:
transport input sshauf allen VTY-Lines - Nur Admin-Quellnetze erlauben (VTY
access-class) - SSH v2 erzwingen, RSA mindestens 2048 Bit
- Konfig vor/nach Changes sichern und versionieren
- Regelmäßige Checks: VTY-Konfig und offene Management-Pfade
copy running-config startup-config
show running-config | include ip ssh|transport input
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
