Aller au contenu Sauter au menu de traduction
Search Icon

Dernière modification : 19 mars 2025

Politique n° 4204 Procédure de sécurité pour les routeurs et les commutateurs

Objectif

L'objectif de cette procédure est de décrire la configuration de sécurité minimale requise pour tous les routeurs et commutateurs se connectant à un réseau de production ou utilisés dans une capacité de production au sein ou au nom du PCSD.

Champ d'application

Tous les employés, contractants, consultants, intérimaires et autres travailleurs de la PCSD doivent respecter cette procédure. Tous les routeurs et commutateurs connectés aux réseaux de production de la PCSD sont concernés.

Procédure

Normes de configuration

  • Un seul compte d'utilisateur local est configuré sur le routeur, utilisé comme sauvegarde si une source d'authentification externe n'est pas joignable. Les routeurs et les commutateurs doivent utiliser RADIUS pour toutes les authentifications d'utilisateurs.
  • Le mot de passe d'activation du routeur ou du commutateur doit être conservé sous une forme cryptée sécurisée. Le mot de passe d'activation du routeur ou du commutateur doit être réglé sur le mot de passe actuel du routeur/commutateur de production fourni par l'organisation de support de l'appareil.
  • Seuls les employés du support technique autorisés peuvent se connecter à un routeur ou à un commutateur. Le directeur technologique ou l'ingénieur réseau peut accorder des droits à un employé.

Services ou caractéristiques pour les personnes handicapées

  • Diffusions dirigées IP
  • Les paquets entrants au niveau du routeur/commutateur proviennent d'adresses non valides telles que les adresses RFC1918.
  • Petits services TCP
  • Petits services UDP
  • Routage et commutation à la source
  • Tous les services web fonctionnant sur le routeur
  • Protocole de découverte Cisco sur les interfaces connectées à l'internet
  • Services Telnet, FTP et HTTP
  • Auto-configuration

Services qui devraient être désactivés sauf justification

  • Liaisons dynamiques
  • Environnements de script, tels que l'interpréteur de commandes TCL

Configurations requises

  • Le cryptage du mot de passe doit être activé.
  • NTP doit être configuré sur une source standard de l'entreprise.
  • Toutes les mises à jour de routage doivent être effectuées en utilisant des mises à jour de routage sécurisées.
  • Utilisez les chaînes de communauté SNMP normalisées de l'entreprise. Les chaînes par défaut, telles que public ou private, doivent être supprimées.
  • SNMP doit être configuré pour utiliser la version la plus sûre du protocole autorisée par la combinaison du dispositif et des systèmes de gestion, au moins v2.
  • Des listes de contrôle d'accès doivent être utilisées pour limiter la source et le type de trafic qui peut se terminer sur l'appareil lui-même.
  • Des listes de contrôle d'accès au dispositif doivent être ajoutées au fur et à mesure des besoins de l'entreprise.

Login Disclaimer

Chaque routeur doit présenter la déclaration suivante pour toutes les formes de connexion, qu'elles soient locales ou distantes :

, /\.__ _.-\

,/ /_\ _/ \ \ ,/~,_.~'”\ /_\_ /’

/\N- /## \N / V#\N/\N- /~8# # ## V8 #\N/8 8\N- /~8# # ## V8 #\N/8 8\N
/~#'# "#""##V&#&# ##/88# "#8# #" #\#&"##" ##\ 
j# #### # "#\&"#####& # "#&##&" # "#&# "#'\N-"\N-"# "#&# "#'\N-"#'\N-". 
/#"#"#####"###'\&##"/&#"####"### # #&#&##"#"### \ 
J#"###"#"#"#"####'\# #"##"#"##"#"#####&"## "#"&"##|\
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Provo City School District Networking
UTILISATEURS AUTORISÉS UNIQUEMENT !  
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Contrôles de sécurité supplémentaires

  • Telnet ne doit jamais être utilisé sur un réseau pour gérer un routeur, à moins qu'un tunnel sécurisé ne protège l'ensemble du chemin de communication. SSH version 2 est le protocole de gestion préféré.
  • Les protocoles de routage dynamique doivent utiliser l'authentification dans les mises à jour de routage envoyées aux voisins. Le hachage du mot de passe pour la chaîne d'authentification doit être activé lorsqu'il est pris en charge.
  • La norme de configuration des routeurs d'entreprise définira la catégorie des dispositifs de routage et de commutation sensibles et exigera des services ou une configuration supplémentaires sur les dispositifs sensibles, notamment :
    • Comptabilisation de la liste d'accès IP
    • Enregistrement des appareils
    • Les paquets entrants au niveau du routeur de destination avec des adresses non valides, telles que les adresses RFC1918, ou celles qui pourraient être utilisées pour usurper le trafic du réseau, sont rejetés.
    • L'accès à la console du routeur et au modem doit être limité par des contrôles de sécurité supplémentaires.

Dernière mise à jour Statut :

Mise à jour janvier 2015

Politiques et procédures connexes

Translation Tool