Топ 30 мер по защите коммутационного оборудования

Коммутационное оборудование является одним из ключевых элементов ИТ инфраструктуры и его защита является неотъемлемой составляющей общей системы защиты организации. Настройку коммутационного оборудования осуществляют, преимущественно, службы системного/сетевого администрирования, но задача формирования безопасной конфигурации является компетенцией службы информационной безопасности.

На базе имеющегося опыта и ошибок cформировал перечень из 30 мер по защите коммутационного оборудования, включающий угрозы, меры защиты и примеры конфигураций.

Перечень может быть полезен при формировании модели угроз, в качестве чек-листа при проведении аудита защищенности инфраструктуры, а так же как памятка по основным командам настройки (для Cisco IOS).

Для удобства разместил перечень в виде таблицы на Google Docs: ССЫЛКА.

Ниже привожу только выписку в части описания мер защиты

1. Использование источников бесперебойного питания;
   Настройка уведомлений от ИБП о потере питания 
2. Ограничение физического доступа к оборудованию: запираемые помещения или коммутационные шкафы 
3. Сохранение резервных копий конфигураций оборудования 
4. Отключение всех неиспользуемых портов или установка всем свободным портам VLAN "черной дыры" 
5. Включение сложного хеширования паролей 
6. Включение хеширования паролей в файлах конфигураций 
7. Включение пароля на доступ к оборудованию через консольный и AUX порты 
8. Установка минимальной длинны пароля;
   Установка конечного количества попыток входа и задержки между попытками входа 
9. Включение локальной AAA аутентификации 
10. Включение AAA аутентификации через RADIUS/TACACS+ сервер 
11. Отключение удаленного доступа к неиспользуемым линиям 
12. Выделение административных адресов в отдельный управляющий VLAN;
    Разрешение доступа к управлению только с конкретных IP адресов 
13. Включение Port security 
14. Включение DHCP snooping 
15. Включение ARP Inspection 
16. Включение IP Source Guard (IPSG) 
17. Отключение CDP на пользовательских портах (везде кроме портов соединяющих коммутационное оборудование) 
18. Отключение telnet, включение SSH 
19. Использование на транковых портах Native VLAN отличного от Native VLAN пользовательских портов 
20. Отключение возможности транковой связи везде кроме портов соединяющих коммутационное оборудование;
    Отключение Dynamic trunk protocol на транковых портах 
21. Включение Private vlan (PVLAN) на пользовательских портах 
22. Отключение передачи пакетов протоколов динамической маршрутизации на порты не связанные с маршрутизаторами 
23. Использование SNMPv3 с авторизацией 
24. Использование NTPv3 с авторизацией и шифрованием 
25. Включение авторизации для OSPF 
26. Отключение неиспользуемых сервисов 
27. Информирование о юридической ответственности перед началом работы с оборудованием через баннеры 
28. Ограничение прав доступа к оборудованию для непривилегированных пользователей 
29. Включение логирования на syslog сервер 
30. Включение логирования подключения к оборудованию 

Как нет предела совершенству так и мой перечень не претендует на исчерпывающую полноту, поэтому если вас появятся предложения по его корректировке, буду признателен.
Таблица в Google Docs