M 4.203 Konfigurations-Checkliste für Router und Switches

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Zusammenfassend können anhand der folgenden Konfigurations-Checkliste die wichtigsten sicherheitsrelevanten Einstellungen auf Routern und Switches geprüft werden. Es muss jedoch festgehalten werden, dass die sichere Konfiguration von Routern und Switches stark vom Einsatzzweck abhängt. Beispielsweise muss auf Border-Routern die Einrichtung von ACL s, Anti-Spoofing-Konfiguration, etc. berücksichtigt werden. Deshalb sollte die folgende Tabelle lediglich als allgemeine Anleitung verwendet werden. Sicherheitsmaßnahmen, die auf Router anzuwenden sind, gelten auch für Switches, sofern diese Routing-Funktionen unterstützen und soweit diese Funktionen genutzt werden.

Konfigurations-Checkliste für Router und Switches
Erstellung einer Sicherheitsrichtlinie für Router und Switches
Prüfung und gegebenenfalls Update des Betriebssystems
Die Router- und Switchkonfiguration offline speichern, sichern und gegen unbefugten Zugang schützen (Nutzung eines TFTP -Servers nur in Verbindung mit Out-of-Band-Management (eigenes Administrationsnetz))
Dokumentation und Kommentierung der Konfiguration
Konfiguration von Passwortschutz für alle Zugänge (Konsole, VTY, etc.)
Einrichtung eines Session-Timeouts
Keine Trivial-Passworte verwenden
Verschlüsselte Speicherung der Passworte
Einrichtung eines physischen Zugangsschutzes für den Konsolenanschluss
Für Administrationszwecke soweit möglich TELNET durch SSH ersetzen
Möglichst RADIUS oder TACACS+ zur Authentisierung verwenden
Einschränkung der Administrationszugänge (z. B. SSH, SNMP, TELNET) durch ACLs, Nutzung von SNMP und TELNET nur in Verbindung mit Out-of-Band-Management (eigenes Administrationsnetz), bei SNMP Änderung der Community-Strings
Deaktivieren unnötiger Netzdienste
Bei Routern nicht benötigte Schnittstellen abschalten, bei Switches nicht benötigte Ports in "Unassigned VLAN" oder ebenfalls deaktivieren
Kritische Schnittstellendienste und Protokolle sperren
Protokollierung einschalten
Genaue Uhrzeit auf den Geräten einstellen (interner NTP-Server)
Einbinden der Zeitinformation bei der Protokollierung
Auswerten, Überprüfen und Archivieren der Protokolldateien entsprechend der Sicherheitsrichtlinie
SNMP möglichst deaktivieren, Nutzung nur in Verbindung mit Out-of-Band-Management (Administrationsnetz) oder Verwendung von SNMPv3
Überprüfung der Default-Einstellungen
Einrichtung eines Login-Banners
Deaktivierung von CDP auf Endgeräte Ports
Speziell für Switches:
Bei Nutzung von VTP: Authentisierung verwenden
Deaktivierung von Trunk-Negotiation auf Endgeräte-Ports
Das Default-VLAN darf nicht genutzt werden
Einrichtung eines eigenen VLANs für alle Trunk-Ports
Einrichtung eines Unassigned-VLANs für alle unbenutzten Ports
Deaktivierung von STP (Spanning Tree) auf Endgeräte-Ports
Festlegung einer Root-Bridge
Speziell für Router:
Erstellung einer Kommunikationsmatrix des netzübergreifenden Datenverkehrs
Begrenzen des netzübergreifenden Datenverkehrs in Abgleich mit Kommunikationsmatrix durch Zugriffslisten
Blockieren von unbekannten Adressen durch Zugriffslisten (ACLs)
Falls erforderlich (insbesondere in der DMZ ): Konfiguration statischer Routen
Konfiguration von Integritätsmechanismen der verwendeten Routing Protokolle

Prüffragen: