Telnet und andere Legacy-Services auf Cisco-Routern stellen ein erhebliches Sicherheitsrisiko dar, da sie unverschlüsselt arbeiten und leicht für Man-in-the-Middle- oder Credential-Angriffe ausgenutzt werden können. Die konsequente Entfernung dieser Dienste reduziert die Angriffsfläche signifikant und ist ein zentraler Bestandteil von Enterprise-Hardening-Maßnahmen. Diese Checkliste unterstützt IT-Teams dabei, alle Legacy-Services systematisch zu identifizieren und zu deaktivieren.
1. Telnet deaktivieren
Telnet ist unverschlüsselt und sollte durch SSH ersetzt werden. Alle VTY-Linien müssen angepasst werden:
line vty 0 4
transport input ssh
login local
exec-timeout 10 0- Prüfen, ob Telnet noch aktiv ist:
show running-config | include transport input - Alle VTY-Zugriffe auf SSH beschränken
- Timeouts setzen, um inaktive Sessions automatisch zu schließen
2. HTTP/HTTPS Web-Server absichern oder deaktivieren
Web-basierte Management-Interfaces sind häufig unverschlüsselt oder veraltet:
no ip http server
ip http secure-server- Nur HTTPS aktivieren
- Alte HTTP-Dienste entfernen
- Certificate-basierte Authentifizierung für HTTPS nutzen
3. SNMPv1/v2c deaktivieren
Veraltete SNMP-Versionen übertragen Daten unverschlüsselt:
no snmp-server community public
no snmp-server community private
snmp-server group NETOPS v3 auth
snmp-server user netadmin NETOPS v3 auth sha AuthPass priv aes 128 PrivPass- Nur SNMPv3 für Monitoring verwenden
- Trap-Hosts auf autorisierte Systeme beschränken
- Audit der SNMP-User und Gruppen durchführen
4. Deaktivierung von CDP/LLDP auf Edge-Interfaces
Legacy Discovery-Protokolle können Informationen an Angreifer liefern:
no cdp run
interface GigabitEthernet0/1
no cdp enable
no lldp transmit
no lldp receive- Nur auf Management- oder Vertrauens-Interfaces aktivieren
- Auf Edge-Interfaces deaktivieren
- Dokumentation für Netzwerk-Discovery behalten
5. Legacy Routing-Protokolle überprüfen
Alte Protokolle wie RIPv1 oder unverschlüsseltes BGP sollten deaktiviert oder gesichert werden:
no router rip
no router igrp- Aktuelle Protokolle wie OSPFv2/v3 oder EIGRP mit Authentifizierung verwenden
- Unbenutzte Routing-Prozesse entfernen
6. Logging, AAA und Banner prüfen
Legacy-Services oft ohne Logging – Audit-Trails sichern:
service timestamps log datetime msec localtime
logging host 10.10.10.200
banner login ^
Authorized access only. All activities are logged.
^- AAA implementieren, lokale Fallbacks nur für Notfälle
- Syslog zentralisieren
- Banner für Legal Notice einsetzen
7. Access-Policies und ACLs
Alle Legacy-Ports sollten durch ACLs blockiert werden:
ip access-list extended BLOCK-LEGACY
deny tcp any any eq 23
deny tcp any any eq 80
deny udp any any eq 161
permit ip any any
interface GigabitEthernet0/0
ip access-group BLOCK-LEGACY in- Telnet, HTTP, ungesicherte SNMP-Ports blockieren
- Nur autorisierte Management-Subnets zulassen
- VRF oder VLAN-Isolation implementieren
8. Überprüfung und Audit
Nach Entfernung der Legacy-Services muss das Netzwerk überprüft werden:
show running-config | include transport input
show ip interface brief
show access-lists
show snmp user
show cdp neighbors
show lldp neighbors- Offene Legacy-Ports erkennen
- Management-Zugriffe testen
- Audit-Logs für Compliance sichern
Best Practices zur Attack-Surface-Reduktion
- Alle ungenutzten oder veralteten Dienste konsequent entfernen
- Management-Zugriffe nur verschlüsselt über SSH/SNMPv3 erlauben
- Edge-Interfaces nicht für interne Discovery-Protokolle freigeben
- ACLs und VRFs konsequent einsetzen
- Regelmäßige Reviews und Audits durchführen, Evidence Pack erstellen
- Fallback-Mechanismen dokumentieren und begrenzen
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
