Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.203 Konfigurations-Checkliste für Router und Switches - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.203 Konfigurations-Checkliste für Router und Switches

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Zusammenfassend können anhand der folgenden Konfigurations-Checkliste die wichtigsten sicherheitsrelevanten Einstellungen auf Routern und Switches geprüft werden. Es muss jedoch festgehalten werden, dass die sichere Konfiguration von Routern und Switches stark vom Einsatzzweck abhängt. Beispielsweise muss auf Border-Routern die Einrichtung von ACLs, Anti-Spoofing-Konfiguration, etc. berücksichtigt werden. Deshalb sollte die folgende Tabelle lediglich als allgemeine Anleitung verwendet werden. Sicherheitsmaßnahmen, die auf Router anzuwenden sind, gelten auch für Switches, sofern diese Routing-Funktionen unterstützen und soweit diese Funktionen genutzt werden.

Konfigurations-Checkliste für Router und Switches

   
für Router und Switches erledigt (ja/nein)

Erstellung einer Sicherheitsrichtlinie für Router und Switches

 
 

Prüfung und gegebenenfalls Update des Betriebssystems

 
 

Die Router- und Switchkonfiguration offline speichern, sichern und gegen unbefugten Zugang schützen (Nutzung eines TFTP-Servers nur in Verbindung mit Out-of-Band-Management (eigenes Administrationsnetz))

 
 

Dokumentation und Kommentierung der Konfiguration

 
 

Konfiguration von Passwortschutz für alle Zugänge (Konsole, VTY, etc.)

 
 

Einrichtung eines Session-Timeouts

 
 

Keine Trivial-Passworte verwenden

 
 

Verschlüsselte Speicherung der Passworte

 
 

Einrichtung eines physischen Zugangsschutzes für den Konsolenanschluss

 
 

Für Administrationszwecke soweit möglich TELNET durch SSH ersetzen

 
 

Möglichst RADIUS oder TACACS+ zur Authentisierung verwenden

 
 

Einschränkung der Administrationszugänge (z. B. SSH, SNMP, TELNET) durch ACLs, Nutzung von SNMP und TELNET nur in Verbindung mit Out-of-Band-Management (eigenes Administrationsnetz), bei SNMP Änderung der Community-Strings

 
 

Deaktivieren unnötiger Netzdienste

 
 

Bei Routern nicht benötigte Schnittstellen abschalten, bei Switches nicht benötigte Ports in "Unassigned VLAN" oder ebenfalls deaktivieren

 
 

Kritische Schnittstellendienste und Protokolle sperren

 
 

Protokollierung einschalten

 
 

Genaue Uhrzeit auf den Geräten einstellen (interner NTP-Server)

 
 

Einbinden der Zeitinformation bei der Protokollierung

 
 

Auswerten, Überprüfen und Archivieren der Protokolldateien entsprechend der Sicherheitsrichtlinie

 
 

SNMP möglichst deaktivieren, Nutzung nur in Verbindung mit Out-of-Band-Management (Administrationsnetz) oder Verwendung von SNMPv3

 
 

Überprüfung der Default-Einstellungen

 
 

Einrichtung eines Login-Banners

 
 

Deaktivierung von CDP auf Endgeräte Ports

 
 
Speziell für Switches:  erledigt (ja/nein)

Bei Nutzung von VTP: Authentisierung verwenden

 
 

Deaktivierung von Trunk-Negotiation auf Endgeräte-Ports

 
 

Das Default-VLAN darf nicht genutzt werden

 
 

Einrichtung eines eigenen VLANs für alle Trunk-Ports

 
 

Einrichtung eines Unassigned-VLANs für alle unbenutzten Ports

 
 

Deaktivierung von STP (Spanning Tree) auf Engeräte-Ports

 
 

Festlegung einer Root-Bridge

 
 
Speziell für Router:  erledigt (ja/nein)

Erstellung einer Kommunikationsmatrix des netzübergreifenden Datenverkehrs

 
 

Begrenzen des netzübergreifenden Datenverkehrs in Abgleich mit Kommunikationsmatrix durch Zugriffslisten

 
 

Blockieren von unbekannten Adressen durch Zugriffslisten (ACLs)

 
 

Falls erforderlich (insbesondere in der DMZ): Konfiguration statischer Routen

 
 

Konfiguration von Integritätsmechanismen der verwendeten Routing Protokolle

 
 

Ergänzende Kontrollfragen: