Unbenutzte Interfaces und Services auf Cisco-Routern stellen ein unterschätztes Sicherheitsrisiko dar. Angreifer könnten über offene Ports oder nicht deaktivierte Protokolle in das Netzwerk eindringen. Das gezielte Deaktivieren nicht genutzter Interfaces und Dienste ist daher ein Basis-Hardening-Schritt, der die Angriffsfläche reduziert und Compliance unterstützt.
Unbenutzte Interfaces identifizieren
Vor der Deaktivierung müssen alle Interfaces geprüft werden:
show ip interface brief
show running-config | include interface- Überprüfen, welche Interfaces aktiv genutzt werden
- Trennung zwischen Produktions-, Management- und ungenutzten Ports
- Dokumentation aller Interfaces für zukünftige Referenz
Deaktivierung ungenutzter Interfaces
Alle nicht verwendeten Interfaces sollten administrativ heruntergefahren werden:
interface GigabitEthernet0/2
shutdown
description UNUSED - Admin Shutdown- Administrativ heruntergefahren, kein Traffic möglich
- Beschreibung für zukünftige Audits dokumentieren
- Regelmäßige Überprüfung, ob Interfaces weiterhin ungenutzt sind
Deaktivierung ungenutzter Dienste
Neben Interfaces sollten auch nicht benötigte Dienste deaktiviert werden:
1. HTTP/HTTPS-Server
no ip http server
no ip http secure-server2. CDP (Cisco Discovery Protocol) auf ungenutzten Ports
interface GigabitEthernet0/2
no cdp enable3. Routing-Protokolle auf inaktiven Interfaces
router ospf 1
passive-interface default
no passive-interface GigabitEthernet0/0- Nur aktive Interfaces für Routing freigeben
- Reduziert Routing- und Broadcast-Angriffe
Best Practices für Interface- und Service-Hardening
- Alle ungenutzten Interfaces administrativ herunterfahren
- Unnötige Protokolle wie CDP, HTTP, Telnet deaktivieren
- Beschreibung hinzufügen, um Auditierbarkeit sicherzustellen
- Regelmäßige Überprüfung der Konfiguration im Rahmen des Hardening-Prozesses
- Integration mit Management-VRF und ACLs für produktive Interfaces
- Logging von Änderungen und administrativen Shutdowns
Praxisbeispiel CLI-Zusammenfassung
! Unbenutzte Interfaces administrativ herunterfahren
interface GigabitEthernet0/2
shutdown
description UNUSED - Admin Shutdown
interface GigabitEthernet0/3
shutdown
description UNUSED - Admin Shutdown
! Nicht benötigte Dienste deaktivieren
no ip http server
no ip http secure-server
! CDP deaktivieren auf ungenutzten Interfaces
interface GigabitEthernet0/2
no cdp enable
! Routing-Protokolle auf inaktive Interfaces setzen
router ospf 1
passive-interface default
no passive-interface GigabitEthernet0/0
! Logging und Audit
service timestamps log datetime msec localtime
logging host 10.10.10.200
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
