(T) Wstęp do zabezpieczania ruterów**

Router Security Policy

  • W większości przypadków rutery znajdują się na brzegu sieci firmowej, łącząc nie zaufaną sieć zewnętrzną WAN z lokalną siecią LAN. Związku z tym każda firma powinna stworzyć dokument opisujący zasady bezpieczeństwa dotyczące ruterów brzegowych. Dokument taki powinien posiadać informacje o następujących zagadnieniach związanych z bezpieczeństwem sieci:
    • Passwords – Jak często powinny być zmieniane hasła? Jaki poziom skomplikowania jest wymagany? oraz w jaki sposób powinny być przechowywane (Zaszyfrowane w konfiguracji rutera bądź w postaci czystego tekstu).
    • Authentication – Czy użytkownicy będą uwierzytelniani za pomocą bazy lokalnej, a może z serwerem zdalnym AAA? Czy serwer zdalny będzie monitorował sesję użytkowników? Czy ruter będzie wyświetlał baner powitalny?
    • Access – Jaki protokół łączności zdalnej powinien być dozwolony (SSH, Telnet, SNMP, http bądź Https)?
    • Services – Jakie serwisy powinny być aktywne na ruterze?
    • Filtering – Czy prywatne adresy IP będą filtrowane? W jaki sposób ruter jest zabezpieczony przed atakami IP Snooping? Jakie adresy są dopuszczone do komunikacji z ruterem?
    • Routing protocols – Jaki rodzaj uwierzytelniania jest wykorzystywany w konfiguracji protokołów routingu dynamicznego.
    • Backup – Gdzie przetrzymywane są kopie zapasowe konfiguracji ruterów (FTP, TFTP serwer)?
    • Documentation – W jaki sposób dokumentowane są zmiany wykonywane na ruterach?
    • Redundancy – Czy w sieci stosowana jest nadmiarowość?
    • Monitoring – Jakie dane dotyczące rutera są monitorowane (CPU utilization, Memory utilization)?
    • Updates – W jaki sposób podejmowana jest decyzja o aktualizacji systemu Cisco IOS?

Access Control List

  • Domyślnie listy ACL są wykorzystywane w celu zabezpieczania warstwy „Data Plane”, gdzie filtrują nadchodący bądź wychodzący ruch sieciowy. Inną dziedziną, w której można stosować listy ACL, jest warstwa „Management Plane” oraz „Control Plane”.

Pozostałe tematy związane z bezpieczeństwem warstwy trzeciej

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz