Dernière modification : 19 mars 2025
Politique n° 4204 Procédure de sécurité pour les routeurs et les commutateurs
Objectif
L'objectif de cette procédure est de décrire la configuration de sécurité minimale requise pour tous les routeurs et commutateurs se connectant à un réseau de production ou utilisés dans une capacité de production au sein ou au nom du PCSD.
Champ d'application
Tous les employés, contractants, consultants, intérimaires et autres travailleurs de la PCSD doivent respecter cette procédure. Tous les routeurs et commutateurs connectés aux réseaux de production de la PCSD sont concernés.
Procédure
Normes de configuration
- Un seul compte d'utilisateur local est configuré sur le routeur, utilisé comme sauvegarde si une source d'authentification externe n'est pas joignable. Les routeurs et les commutateurs doivent utiliser RADIUS pour toutes les authentifications d'utilisateurs.
- Le mot de passe d'activation du routeur ou du commutateur doit être conservé sous une forme cryptée sécurisée. Le mot de passe d'activation du routeur ou du commutateur doit être réglé sur le mot de passe actuel du routeur/commutateur de production fourni par l'organisation de support de l'appareil.
- Seuls les employés du support technique autorisés peuvent se connecter à un routeur ou à un commutateur. Le directeur technologique ou l'ingénieur réseau peut accorder des droits à un employé.
Services ou caractéristiques pour les personnes handicapées
- Diffusions dirigées IP
- Les paquets entrants au niveau du routeur/commutateur proviennent d'adresses non valides telles que les adresses RFC1918.
- Petits services TCP
- Petits services UDP
- Routage et commutation à la source
- Tous les services web fonctionnant sur le routeur
- Protocole de découverte Cisco sur les interfaces connectées à l'internet
- Services Telnet, FTP et HTTP
- Auto-configuration
Services qui devraient être désactivés sauf justification
- Liaisons dynamiques
- Environnements de script, tels que l'interpréteur de commandes TCL
Configurations requises
- Le cryptage du mot de passe doit être activé.
- NTP doit être configuré sur une source standard de l'entreprise.
- Toutes les mises à jour de routage doivent être effectuées en utilisant des mises à jour de routage sécurisées.
- Utilisez les chaînes de communauté SNMP normalisées de l'entreprise. Les chaînes par défaut, telles que public ou private, doivent être supprimées.
- SNMP doit être configuré pour utiliser la version la plus sûre du protocole autorisée par la combinaison du dispositif et des systèmes de gestion, au moins v2.
- Des listes de contrôle d'accès doivent être utilisées pour limiter la source et le type de trafic qui peut se terminer sur l'appareil lui-même.
- Des listes de contrôle d'accès au dispositif doivent être ajoutées au fur et à mesure des besoins de l'entreprise.
Login Disclaimer
Chaque routeur doit présenter la déclaration suivante pour toutes les formes de connexion, qu'elles soient locales ou distantes :
, /\.__ _.-\
,/ /_\ _/ \ \ ,/~,_.~'”\ /_\_ /’
/\N- /## \N / V#\N/\N- /~8# # ## V8 #\N/8 8\N- /~8# # ## V8 #\N/8 8\N
/~#'# "#""##V&#&# ##/88# "#8# #" #\#&"##" ##\
j# #### # "#\&"#####& # "#&##&" # "#&# "#'\N-"\N-"# "#&# "#'\N-"#'\N-".
/#"#"#####"###'\&##"/&#"####"### # #&#&##"#"### \
J#"###"#"#"#"####'\# #"##"#"##"#"#####&"## "#"&"##|\
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Provo City School District Networking UTILISATEURS AUTORISÉS UNIQUEMENT ! +++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Contrôles de sécurité supplémentaires
- Telnet ne doit jamais être utilisé sur un réseau pour gérer un routeur, à moins qu'un tunnel sécurisé ne protège l'ensemble du chemin de communication. SSH version 2 est le protocole de gestion préféré.
- Les protocoles de routage dynamique doivent utiliser l'authentification dans les mises à jour de routage envoyées aux voisins. Le hachage du mot de passe pour la chaîne d'authentification doit être activé lorsqu'il est pris en charge.
- La norme de configuration des routeurs d'entreprise définira la catégorie des dispositifs de routage et de commutation sensibles et exigera des services ou une configuration supplémentaires sur les dispositifs sensibles, notamment :
- Comptabilisation de la liste d'accès IP
- Enregistrement des appareils
- Les paquets entrants au niveau du routeur de destination avec des adresses non valides, telles que les adresses RFC1918, ou celles qui pourraient être utilisées pour usurper le trafic du réseau, sont rejetés.
- L'accès à la console du routeur et au modem doit être limité par des contrôles de sécurité supplémentaires.
Dernière mise à jour Statut :
Mise à jour janvier 2015
Politiques et procédures connexes
- 4204 Utilisation de la technologie
- 4204 Utilisation acceptable
- 4204 Audit
- 4204 Bureau propre
- 4204 Plan de reprise après sinistre
- 4204 Courriel
- 4204 Formation des employés à la sensibilisation à la sécurité
- 4204 Chiffrement
- 4204 Mot de passe
- 4204 Accès à distance
- 4204 Sécurité des routeurs et des commutateurs
- 4204 Sécurité des postes de travail sensibles
- 4204 Plan d'intervention de sécurité
- 4204 Sécurité du serveur
- 4204 Installation du logiciel
- 4204 Services de sécurité des sites web
- 4204 Communication entre dispositifs sans fil
- 4204 Communication d'infrastructure sans fil