M 4.203 Konfigurations-Checkliste für Router und Switches
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Zusammenfassend können anhand der folgenden Konfigurations-Checkliste die wichtigsten sicherheitsrelevanten Einstellungen auf Routern und Switches geprüft werden. Es muss jedoch festgehalten werden, dass die sichere Konfiguration von Routern und Switches stark vom Einsatzzweck abhängt. Beispielsweise muss auf Border-Routern die Einrichtung von ACLs, Anti-Spoofing-Konfiguration, etc. berücksichtigt werden. Deshalb sollte die folgende Tabelle lediglich als allgemeine Anleitung verwendet werden. Sicherheitsmaßnahmen, die auf Router anzuwenden sind, gelten auch für Switches, sofern diese Routing-Funktionen unterstützen und soweit diese Funktionen genutzt werden.
Konfigurations-Checkliste für Router und Switches
für Router und Switches | erledigt (ja/nein) |
---|---|
Erstellung einer Sicherheitsrichtlinie für Router und Switches |
|
Prüfung und gegebenenfalls Update des Betriebssystems |
|
Die Router- und Switchkonfiguration offline speichern, sichern und gegen unbefugten Zugang schützen (Nutzung eines TFTP-Servers nur in Verbindung mit Out-of-Band-Management (eigenes Administrationsnetz)) |
|
Dokumentation und Kommentierung der Konfiguration |
|
Konfiguration von Passwortschutz für alle Zugänge (Konsole, VTY, etc.) |
|
Einrichtung eines Session-Timeouts |
|
Keine Trivial-Passworte verwenden |
|
Verschlüsselte Speicherung der Passworte |
|
Einrichtung eines physischen Zugangsschutzes für den Konsolenanschluss |
|
Für Administrationszwecke soweit möglich TELNET durch SSH ersetzen |
|
Möglichst RADIUS oder TACACS+ zur Authentisierung verwenden |
|
Einschränkung der Administrationszugänge (z. B. SSH, SNMP, TELNET) durch ACLs, Nutzung von SNMP und TELNET nur in Verbindung mit Out-of-Band-Management (eigenes Administrationsnetz), bei SNMP Änderung der Community-Strings |
|
Deaktivieren unnötiger Netzdienste |
|
Bei Routern nicht benötigte Schnittstellen abschalten, bei Switches nicht benötigte Ports in "Unassigned VLAN" oder ebenfalls deaktivieren |
|
Kritische Schnittstellendienste und Protokolle sperren |
|
Protokollierung einschalten |
|
Genaue Uhrzeit auf den Geräten einstellen (interner NTP-Server) |
|
Einbinden der Zeitinformation bei der Protokollierung |
|
Auswerten, Überprüfen und Archivieren der Protokolldateien entsprechend der Sicherheitsrichtlinie |
|
SNMP möglichst deaktivieren, Nutzung nur in Verbindung mit Out-of-Band-Management (Administrationsnetz) oder Verwendung von SNMPv3 |
|
Überprüfung der Default-Einstellungen |
|
Einrichtung eines Login-Banners |
|
Deaktivierung von CDP auf Endgeräte Ports |
Speziell für Switches: | erledigt (ja/nein) |
---|---|
Bei Nutzung von VTP: Authentisierung verwenden |
|
Deaktivierung von Trunk-Negotiation auf Endgeräte-Ports |
|
Das Default-VLAN darf nicht genutzt werden |
|
Einrichtung eines eigenen VLANs für alle Trunk-Ports |
|
Einrichtung eines Unassigned-VLANs für alle unbenutzten Ports |
|
Deaktivierung von STP (Spanning Tree) auf Engeräte-Ports |
|
Festlegung einer Root-Bridge |
Speziell für Router: | erledigt (ja/nein) |
---|---|
Erstellung einer Kommunikationsmatrix des netzübergreifenden Datenverkehrs |
|
Begrenzen des netzübergreifenden Datenverkehrs in Abgleich mit Kommunikationsmatrix durch Zugriffslisten |
|
Blockieren von unbekannten Adressen durch Zugriffslisten (ACLs) |
|
Falls erforderlich (insbesondere in der DMZ): Konfiguration statischer Routen |
|
Konfiguration von Integritätsmechanismen der verwendeten Routing Protokolle |
Ergänzende Kontrollfragen:
- Wurde nach Einrichtung der Komponenten eine Überprüfung der Einstellungen anhand der Checkliste durchgeführt?