# Switch Hardening: Management-VLANs & Access Control

TL;DR / Management Summary Ein Switch ist das Gehirn Ihres Netzwerks. Wer Zugriff auf die Management-Oberfläche eines Switches hat, kann das gesamte Unternehmen lahmlegen oder Daten unbemerkt ausleiten (Mirror Port). Wir nutzen ein strikt isoliertes Management-VLAN, deaktivieren unsichere Protokolle (HTTP, Telnet) und erzwingen den Zugriff via SSH mit Key-based Auth. Ein Senior Admin nutzt zudem ACLs (Access Control Lists), um die Administration auf spezifische IP-Adressen der IT-Abteilung zu begrenzen.

# 1. Das Management-VLAN Konzept

Den ‘Kopf’ vom ‘Körper’ trennen.

Normalerweise sind Switche über jede IP in jedem VLAN erreichbar. Dies ist ein Sicherheitsrisiko.

• Aktion: Erstellen Sie ein dediziertes VLAN (z.B. ID 10) nur für Netzwerk-Infrastruktur.
• Vorteil: Ein Hacker in der Buchhaltung (VLAN 30) kann den Switch nicht einmal pingen, da es keine Routing-Beziehung zum Management-VLAN gibt.

# 2. Hardware-Härtung (The Big 5)

Standard-Einstellungen, die Sie sofort ändern müssen.

1. Deaktivieren von Telnet/HTTP: Nutzen Sie nur noch SSH und HTTPS.
2. Passwort-Policies: Setzen Sie komplexe Passwörter und nutzen Sie (falls möglich) RADIUS/TACACS+ zur Authentifizierung gegen das AD (Artikel 498).
3. Port-Security: Schalten Sie ungenutzte Ports am Switch physisch ab (shutdown).
4. Banner: Hinterlegen Sie einen Warnhinweis beim Login (“Unauthorised access prohibited”).
5. Timeout: Automatischer Logout nach 5 Minuten Inaktivität.

# 3. Deep Dive: Access Control Lists (ACLs)

Die Firewall im Switch.

Zusätzlich zum VLAN-Schutz sollten Sie den Zugriff auf IP-Ebene einschränken.

# Beispiel Cisco ACL (VTY Line)

access-list 10 permit 10.0.10.50  # IP der Admin-Workstation
access-list 10 deny any           # Alles andere blocken

line vty 0 4
  access-class 10 in              # ACL auf SSH-Zugang anwenden

# 4. Day-2 Operations: SNMP Sicherheit

Monitoring ohne Hintertüren.

SNMP wird zur Überwachung (Artikel 715) genutzt, ist aber oft ein Einfallstor.

• Vermeidung: Nutzen Sie kein SNMP v1 oder v2c (Passwort fließt im Klartext).
• Empfehlung: Nutzen Sie SNMP v3 mit Verschlüsselung (Priv) und Authentifizierung (Auth).

# 5. Troubleshooting & “War Stories”

Wenn der Admin vor der eigenen Tür steht.

# Top 3 Fehlerbilder

1. Symptom: “Connection Refused” beim SSH-Login.

   • Ursache: SSH-Key des Switches wurde nie generiert.
   • Fix: crypto key generate rsa am Switch ausführen.

2. Symptom: Switch ist nach VLAN-Änderung nicht mehr erreichbar.

   • Ursache: Das Management-Interface war an ein VLAN gebunden, das gerade vom Trunk entfernt wurde.
   • Lösung: Physischer Zugriff via Console-Port (RS232/USB).

3. Symptom: SNMP-Abfragen liefern keine Daten.

   • Ursache: ACL blockiert die IP des Monitoring-Servers.

# “War Story”: Der “Standard”-Passwort GAU

Ein Unternehmen wurde gehackt. Der Angreifer kam über eine infizierte Web-Applikation ins Netz. Die Entdeckung: Da der Admin die Standard-IP der Switche (192.168.1.1) und das Standard-Passwort (admin/admin) belassen hatte, konnte der Angreifer innerhalb von 5 Minuten alle Switche so umkonfigurieren, dass der gesamte Server-Traffic zu einem externen Server gespiegelt wurde. Lehre: Ändern Sie Standard-Credentials bevor Sie den Switch in das Rack schrauben. Ein Management-VLAN schützt nur, wenn der “Hintereingang” (Standard-VLAN 1) ebenfalls verriegelt ist.

# 6. Monitoring & Reporting

Compliance Audit.

# Configuration Backups

Sichern Sie die Switch-Konfigurationen täglich (z.B. via Oxidized oder Rancid).

• KPI: Config Drift. Wer hat gestern eine Regel am Switch geändert?

# 7. Fazit & Empfehlung

Die Sicherheit des Switches ist das Fundament der Netzwerksicherheit.

• Empfehlung: Nutzen Sie Zertifikatsbasierte SSH-Logins.
• Wichtig: Beschriften Sie Ihre Konsolen-Kabel und wissen Sie, wo diese liegen. Im Falle eines Fehlkonfigurations-Lockouts ist das serielle Kabel Ihre einzige Rettung.

# Anhang: Cheatsheet (Härtungs-Befehle)

# Referenzen

• Cisco Guide to Hardening IOS Devices
• SNMP v3 Configuration Best Practices
• NIST: Guide to General Server Security (Management Section)