M 2.282 Regelmäßige Kontrolle von Routern und Switches

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Zur Sicherstellung des ordnungsgemäßen Betriebs der aktiven Netzkomponenten und der Korrektheit aller Konfigurationsparameter ist ein regelmäßiger, möglichst automatisierter, Kontrollprozess zu etablieren. Hierzu gehören beispielsweiseregelmäßige Funktionstests, Veranlassen von Änderungen und Prüfung der Umsetzung sowie die Überprüfung der Logfiles und Alarme.

Um die im laufenden Betrieb entstehende große Menge an relevanten Daten effektiv verarbeiten zu können, ist meist der Einsatz geeigneter Werkzeuge für eine möglichst weit automatisierte Kontrolle erforderlich. Dies kann beispielsweise durch die Einbindung in ein Netzmanagementsystem (NMS) geschehen.

Checkliste für die Kontrolle

Für die Kontrolle kann die Checkliste in M 4.203 Konfigurations-Checkliste für Router und Switches verwendet werden. Als Basis sollte die erstellte Sicherheitsrichtlinie für Router und Switches dienen (siehe M 2.279 Erstellung einer Sicherheitsrichtlinie für Router und Switches ). Zusätzlich sollten folgende Punkte im Rahmen des Kontrollprozesses berücksichtigt werden:

Was wird getestet bzw. kontrolliert?

Hierzu sind auch M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile und M 2.64 Kontrolle der Protokolldateien zu berücksichtigen.

Wie wird getestet?

Wann wird getestet?

Wer testet?

Welche Informationen bilden die Grundlage der Kontrolle?

Überprüfung der Konfiguration

Bei der Einrichtung der Router und Switches sind alle Default-Einstellungen zu prüfen und falls notwendig zu modifizieren. Hierbei werden beispielsweise nicht benötigte Dienste deaktiviert und Voreinstellungen den betrieblichen und sicherheitstechnischen Anforderungen angepasst. Eine Erläuterung der hierfür notwendigen Schritte findet sich in M 4.201 Sichere lokale Grundkonfiguration von Routern und Switches und M 4.202 Sichere Netz-Grundkonfiguration von Routern und Switches .

Die Umsetzung der Vorgaben zum Umgang mit Default-Einstellungen sind im Rahmen von regelmäßigen Audits zu überprüfen. Hierdurch können versehentliche oder vorsätzliche Veränderungen festgestellt und die Umsetzung von aktuellen Empfehlungen der Hersteller verifiziert werden. Dies kann ausgehend von der für jeden Gerätetyp beziehungsweise für jede Betriebssystemversion zu erstellenden Installationsanleitung erfolgen und sollte am jeweiligen Gerät verifiziert werden. Hierbei ist jedoch zu beachten, dass Betriebssystem-Kommandos bei manchen Herstellern nicht alle Default-Einstellungen anzeigen. Aus diesem Grund empfiehlt es sich, separate Software-Tools einzusetzen, um eine vollständige Analyse durchzuführen.

Für einen umfassenden Test aller Geräte können Softwareprodukte eingesetzt werden, die einen automatisierten Test mit konfigurierbaren Parametern ermöglichen.

Mirror Port

Zur Analyse des Datenverkehrs gibt es die Möglichkeit, einen Port des Routers oder des Switches als "Mirror Port" zu konfigurieren. Dabei wird der gesamte Datenverkehr eines beliebigen Ports auf den Mirror Port repliziert und kann mit entsprechenden Analyseprogrammen ausgewertet werden. Im Gegensatz zu anderen Analysemethoden wird der Datenverkehr dabei nicht unterbrochen oder beeinträchtigt.

Der Mechanismus bietet zwei Analysemethoden: Spiegelung des gesamten Datenverkehrs für einen definierten Port oder Spiegelung des Datenverkehrs für eine MAC-Adresse. Im zweiten Fall wird das gesamte Datenvolumen, welches mit einer definierten Quell- und/oder Ziel-MAC-Adresse über das Gerät läuft, auf den Mirror Port gespiegelt.

Der Mirror Port darf keinem produktiven VLAN und keiner Spanning Tree Group (STG) angehören. Standardmäßig muss "Port Mirroring" ausgeschaltet sein. Der Zugriff auf die Konfiguration des "Port Mirroring" ist zu schützen. Nach der Verwendung des Mirror Ports ist dieser wieder zu deaktivieren. Es ist regelmäßig zu prüfen, ob die Funktion Port Mirroring im Regelbetrieb deaktiviert ist.

Prüffragen: