最終更新日3月 19, 2025
ポリシーNo.4204 ルーターとスイッチのセキュリティ手順
目的
この手順の目的は、本番ネットワークに接続する、または PCSD において、あるいは PCSD の代理として本番環境で使用されるすべてのルーターおよびスイッチに必要な最小限のセキュリティ設定を説明することである。
スコープ
PCSD のすべての従業員、請負業者、コンサルタント、派遣社員、およびその他の労働者は、この手順に従わなければなりません。PCSD の生産ネットワークに接続されているすべてのルータとスイッチが影響を受けます。
手続き
構成基準
- ルータには、外部認証ソースに到達できない場合のバックアップ用に使用される、1つのローカル・ユーザ・アカウントのみが設定される。ルーターとスイッチは、すべてのユーザー認証にRADIUSを使用する必要があります。
- ルータま たはス イ ッ チの有効パ ス ワ ー ド は、 安全な暗号化 さ れた形式で保管す る 必要があ り ます。ルータまたはスイッチのイネーブルパスワードは、デバイスのサポート組織から現在のプロダクションルータ/スイッチパスワードに設定されている必要があります。
- ルーターまたはスイッチにログインできるのは、許可された技術サポート社員のみです。テクノロジー・ディレクターまたはネットワーク・エンジニアが従業員に権限を与えることができます。
障害者向けサービスまたは機能
- IPディレクテッド・ブロードキャスト
- RFC1918アドレスのような無効なアドレスをソースとするルーター/スイッチへの着信パケット
- TCPスモールサービス
- UDPスモールサービス
- すべてのソース・ルーティングとスイッチング
- ルーター上で動作するすべてのウェブサービス
- インターネット接続インターフェース上のシスコ発見プロトコル
- Telnet、FTP、HTTPサービス
- 自動設定
正当な理由がない限り無効にすべきサービス
- ダイナミック・トランキング
- TCLシェルなどのスクリプト環境
必要な構成
- パスワードの暗号化を有効にする必要があります。
- NTPは企業の標準ソースに設定する必要があります。
- すべてのルーティングアップデートは、セキュアなルーティングアップデートを使用しなければならない。
- 企業で標準化されたSNMPコミュニティ文字列を使用する。publicやprivateなどのデフォルトの文字列は削除すること。
- SNMPは、デバイスと管理システムの組み合わせによって許可されるプロトコルの最も安全なバージョン、少なくともv2を使用するように設定されなければならない。
- アクセス・コントロール・リストを使用して、デバイス自体で終端できるトラフィックのソースとタイプを制限する必要があります。
- デバイスを通過するためのアクセス制御リストは、ビジネス上の必要性に応じて追加される。
ログイン免責事項
各ルーターは、リモートかローカルかを問わず、すべてのログイン形式に対して以下のステートメントを提示しなければならない:
, /\.__ _.-\
,/ /_\ _/ \ \ ,/~,_.~'”\ /_\_ /’
/~8# # # v8 #/8 8
/~#'# "#""##v&#&# ##/88# "#8# #" ##&"##" ##
#####################################
/#"#"#####"###'\&##"/&#"####"### # #&#&##"#"### \
J#"###"#"#"#"####'\# #"##"#"##"#"#####&"## "#"&"##|\
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++ プロボ市学区ネットワーキング 許可されたユーザーのみ +++++++++++++++++++++++++++++++++++++++++++++++++++++++++
追加のセキュリティ・コントロール
- ル ー タ を 管理す る た め に 、 通 信 パ ス 全体を保護す る 安全な ト ン ネ ル が あ る 場 合 を 除 き 、 ネ ッ ト ワ ー ク を 通 じ て Telnet を使用す る こ と は あ り ま せ ん。SSH バージョン 2 が推奨される管理プロトコルです。
- ダイナミックルーティングプロトコルは、近隣に送信するルーティングアップデートに認証を使用しなければならない。認証文字列のパスワードハッシュは、サポートされている場合は有効にしなければならない。
- 企業ルーター設定基準は、機密性の高いルーティングおよびスイッチングデバイスのカテゴリーを定義し、機密性の高いデバイスに以下のような追加サービスや設定を要求する:
- IPアクセスリストのアカウンティング
- デバイスロギング
- 宛先ルーターで、RFC1918アドレスのような無効なアドレス、またはネットワークトラフィックを詐称するために使用される可能性のあるアドレスを持つ着信パケットは、ドロップされなければならない。
- ルータのコンソールおよびモデムへのアクセスは、追加のセキュリティ制御によって制限する必要があります。
最終更新日
2015年1月更新