Paskutinį kartą pakeista: 19 kovo, 2025

Politika Nr. 4204 Maršrutizatorių ir komutatorių saugumo procedūra

• Atsisiųsti maršrutizatoriaus ir komutatoriaus saugumo procedūros dokumentą

Tikslas

Šios procedūros tikslas - aprašyti minimalią saugumo konfigūraciją, reikalingą visiems maršrutizatoriams ir komutatoriams, jungiamiems prie gamybinio tinklo arba naudojamiems gamybiniais tikslais PCSD arba jos vardu.

Apimtis

Visi PCSD darbuotojai, rangovai, konsultantai, laikini ir kiti darbuotojai privalo laikytis šios procedūros. Ši procedūra taikoma visiems maršrutizatoriams ir komutatoriams, prijungtiems prie PCSD gamybinių tinklų.

Procedūra

Konfigūracijos standartai

• Maršrutizatoriuje sukonfigūruota tik viena vietinė naudotojo paskyra, naudojama kaip atsarginė, jei išorinis autentifikavimo šaltinis nepasiekiamas. Maršrutizatoriai ir komutatoriai turi naudoti RADIUS visiems naudotojų autentiškumo nustatymams.
• Įjungimo slaptažodis maršrutizatoriuje arba komutatoriuje turi būti saugomas saugia užšifruota forma. Maršrutizatoriuje arba komutatoriuje įjungimo slaptažodis turi būti nustatytas kaip dabartinis gamyklinis maršrutizatoriaus / komutatoriaus slaptažodis, kurį nustatė įrenginio palaikymo organizacija.
• Prisijungti prie maršrutizatoriaus ar komutatoriaus gali tik įgalioti techninės pagalbos darbuotojai. Technologijų direktorius arba tinklo inžinierius gali suteikti darbuotojui teises.

Neįgaliųjų paslaugos ar funkcijos

• IP nukreiptos transliacijos
• Į maršrutizatorių/komutatorių gaunami paketai su negaliojančiais adresais, pvz., RFC1918 adresais.
• TCP smulkios paslaugos
• UDP mažos paslaugos
• Visų šaltinių maršrutizavimas ir perjungimas
• Visos maršrutizatoriuje veikiančios žiniatinklio paslaugos
• "Cisco" atradimo protokolas prie interneto prijungtose sąsajose
• "Telnet", FTP ir HTTP paslaugos
• Automatinė konfigūracija

Paslaugos, kurios neturėtų būti teikiamos, nebent tai būtų pateisinama

• Dinaminė magistralė
• Skriptavimo aplinkos, pavyzdžiui, TCL apvalkalas

Reikalingos konfigūracijos

• Turi būti įjungtas slaptažodžio šifravimas.
• NTP turi būti sukonfigūruotas kaip įmonės standartinis šaltinis.
• Visi maršruto atnaujinimai atliekami naudojant saugius maršruto atnaujinimus.
• Naudokite įmonės standartizuotas SNMP bendruomenės eilutes. Numatytąsias eilutes, pavyzdžiui, public arba private, reikia pašalinti.
• SNMP turi būti sukonfigūruotas taip, kad būtų naudojama saugiausia protokolo versija, kurią leidžia įrenginio ir valdymo sistemų derinys, t. y. ne mažiau kaip v2.
• Prieigos kontrolės sąrašai turi būti naudojami siekiant apriboti srauto, kuris gali būti užbaigiamas pačiame prietaise, šaltinį ir tipą.
• Prieigos per įrenginį kontrolės sąrašai turi būti pridedami pagal verslo poreikius.

Prisijungimo atsisakymas

Kiekviename maršrutizatoriuje turi būti pateiktas šis teiginys, skirtas visoms prisijungimo formoms, tiek nuotolinėms, tiek vietinėms:

, /\.__ _.-\

,/ /_\ _/ \ \ ,/~,_.~'”\ /_\_ /’

/\ /## \ / V#\/\ /~8# # ## V8 #\/8 8\

/~#'# "#""##V&#&# ##\/88# "# "#8# #" #\#&"##" ##\ 

j# # ##### # "#\&&&"####/####& # "#&## #&" # "#&# "#'\ 

/#"#"#####"###'\&##"/&#"####"### # #&#&##"#"### \ 

J#"###"#"#"#"####'\# #"##"#"##"#"#####&"## "#"&"##|\

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Provo miesto mokyklų rajono tinklas
TIK AUTORIZUOTIEMS NAUDOTOJAMS!  
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Papildomos saugumo kontrolės priemonės

• "Telnet" negalima naudoti jokiame tinkle valdant maršrutizatorių, jei nėra saugaus tunelio, apsaugančio visą ryšio kelią. Tinkamiausias valdymo protokolas - SSH 2 versija.
• Dinaminio maršrutizavimo protokolai turi naudoti autentiškumo patvirtinimą kaimynams siunčiamuose maršrutizavimo atnaujinimuose. Jei palaikoma, turi būti įjungtas autentifikavimo eilutės slaptažodžių šifravimas.
• Įmonės maršrutizatoriaus konfigūracijos standarte bus apibrėžta neskelbtinų maršrutizavimo ir komutavimo įrenginių kategorija ir bus reikalaujama, kad neskelbtinuose įrenginiuose būtų teikiamos papildomos paslaugos ar konfigūracija, įskaitant:
  • IP prieigos sąrašo apskaita
  • Įrenginio registravimas
  • Į paskirties maršrutizatorių gaunami paketai su negaliojančiais adresais, pvz., RFC1918 adresais, arba tais, kurie gali būti naudojami tinklo srautui suklastoti, yra atmetami.
  • Maršrutizatoriaus konsolės ir modemo prieiga turi būti ribojama papildomomis saugumo priemonėmis

Paskutinio atnaujinimo būsena:

Atnaujinta 2015 m. sausio mėn.

Susijusi politika ir procedūros

• 4204 Technologijų naudojimas
• 4204 Priimtinas naudojimas
• 4204 Auditas
• 4204 Švarus stalas
• 4204 Atkūrimo po nelaimės planas
• 4204 El. paštas
• 4204 Darbuotojų informuotumo apie saugumą mokymas
• 4204 Šifravimas
• 4204 Slaptažodis
• 4204 Nuotolinė prieiga
• 4204 Maršrutizatorių ir komutatorių saugumas
• 4204 Jautrių darbo vietų saugumas
• 4204 Saugumo reagavimo planas
• 4204 Serverio saugumas
• 4204 Programinės įrangos diegimas
• 4204 Interneto svetainių paslaugos Saugumas
• 4204 Belaidis įrenginio ryšys
• 4204 Belaidis infrastruktūros ryšys