Коммутационное оборудование является одним из ключевых элементов ИТ инфраструктуры и его защита является неотъемлемой составляющей общей системы защиты организации. Настройку коммутационного оборудования осуществляют, преимущественно, службы системного/сетевого администрирования, но задача формирования безопасной конфигурации является компетенцией службы информационной безопасности.
На базе имеющегося опыта и ошибок cформировал перечень из 30 мер по защите коммутационного оборудования, включающий угрозы, меры защиты и примеры конфигураций.
Перечень может быть полезен при формировании модели угроз, в качестве чек-листа при проведении аудита защищенности инфраструктуры, а так же как памятка по основным командам настройки (для Cisco IOS).
Перечень может быть полезен при формировании модели угроз, в качестве чек-листа при проведении аудита защищенности инфраструктуры, а так же как памятка по основным командам настройки (для Cisco IOS).
Для удобства разместил перечень в виде таблицы на Google Docs: ССЫЛКА.
Ниже привожу только выписку в части описания мер защиты
Ниже привожу только выписку в части описания мер защиты
- Использование источников бесперебойного питания;
Настройка уведомлений от ИБП о потере питания - Ограничение физического доступа к оборудованию: запираемые помещения или коммутационные шкафы
- Сохранение резервных копий конфигураций оборудования
- Отключение всех неиспользуемых портов или установка всем свободным портам VLAN "черной дыры"
- Включение сложного хеширования паролей
- Включение хеширования паролей в файлах конфигураций
- Включение пароля на доступ к оборудованию через консольный и AUX порты
- Установка минимальной длинны пароля;
Установка конечного количества попыток входа и задержки между попытками входа - Включение локальной AAA аутентификации
- Включение AAA аутентификации через RADIUS/TACACS+ сервер
- Отключение удаленного доступа к неиспользуемым линиям
- Выделение административных адресов в отдельный управляющий VLAN;
Разрешение доступа к управлению только с конкретных IP адресов - Включение Port security
- Включение DHCP snooping
- Включение ARP Inspection
- Включение IP Source Guard (IPSG)
- Отключение CDP на пользовательских портах (везде кроме портов соединяющих коммутационное оборудование)
- Отключение telnet, включение SSH
- Использование на транковых портах Native VLAN отличного от Native VLAN пользовательских портов
- Отключение возможности транковой связи везде кроме портов соединяющих коммутационное оборудование;
Отключение Dynamic trunk protocol на транковых портах - Включение Private vlan (PVLAN) на пользовательских портах
- Отключение передачи пакетов протоколов динамической маршрутизации на порты не связанные с маршрутизаторами
- Использование SNMPv3 с авторизацией
- Использование NTPv3 с авторизацией и шифрованием
- Включение авторизации для OSPF
- Отключение неиспользуемых сервисов
- Информирование о юридической ответственности перед началом работы с оборудованием через баннеры
- Ограничение прав доступа к оборудованию для непривилегированных пользователей
- Включение логирования на syslog сервер
- Включение логирования подключения к оборудованию
Как нет предела совершенству так и мой перечень не претендует на исчерпывающую полноту, поэтому если вас появятся предложения по его корректировке, буду признателен.
Таблица в Google Docs
Таблица в Google Docs
Комментариев нет:
Отправить комментарий