Última modificação: março 19, 2025

Política nº 4204 Procedimento de segurança de roteadores e switches

• Faça o download do documento de procedimento de segurança do roteador e do switch

Finalidade

O objetivo deste procedimento é descrever a configuração mínima de segurança necessária para todos os roteadores e switches que se conectam a uma rede de produção ou que são usados em uma capacidade de produção na PCSD ou em nome dela.

Escopo

Todos os funcionários, prestadores de serviços, consultores, temporários e outros trabalhadores da PCSD devem aderir a esse procedimento. Todos os roteadores e switches conectados às redes de produção da PCSD são afetados.

Procedimento

Padrões de configuração

• Apenas uma conta de usuário local é configurada no roteador, usada como backup se não for possível acessar uma fonte de autenticação externa. Os roteadores e switches devem usar o RADIUS para todas as autenticações de usuários.
• A senha de ativação no roteador ou switch deve ser mantida em um formato criptografado seguro. O roteador ou switch deve ter a senha de ativação definida como a senha atual do roteador/switch de produção da organização de suporte do dispositivo.
• Somente funcionários autorizados do suporte técnico têm permissão para fazer login em um roteador ou switch. O diretor de tecnologia ou o engenheiro de rede pode conceder direitos a um funcionário.

Serviços ou recursos para deficientes

• Transmissões direcionadas por IP
• Pacotes de entrada no roteador/switch originados com endereços inválidos, como endereços RFC1918
• Pequenos serviços TCP
• Pequenos serviços UDP
• Todo roteamento e comutação de origem
• Todos os serviços da Web em execução no roteador
• Protocolo de descoberta da Cisco em interfaces conectadas à Internet
• Serviços de Telnet, FTP e HTTP
• Configuração automática

Serviços que devem ser desativados, a menos que justificados

• Troncalização dinâmica
• Ambientes de script, como o shell TCL

Configurações necessárias

• A criptografia de senha deve estar ativada.
• O NTP deve ser configurado para uma fonte padrão corporativa.
• Todas as atualizações de roteamento devem ser feitas usando atualizações de roteamento seguras.
• Use cadeias de caracteres de comunidade SNMP padronizadas pela empresa. As cadeias de caracteres padrão, como público ou privado, devem ser removidas.
• O SNMP deve ser configurado para usar a versão mais segura do protocolo permitida pela combinação do dispositivo e dos sistemas de gerenciamento, pelo menos a v2.
• As listas de controle de acesso devem ser usadas para limitar a origem e o tipo de tráfego que pode terminar no próprio dispositivo.
• As listas de controle de acesso para o trânsito do dispositivo devem ser adicionadas conforme as necessidades comerciais.

Aviso de isenção de responsabilidade de login

Cada roteador deve ter a seguinte declaração apresentada para todas as formas de login, sejam elas remotas ou locais:

, /\.__ _.-\

,/ /_\ _/ \ \ ,/~,_.~'”\ /_\_ /’

/\ /## \ / V#\/\ /~8# # ## V8 #\/8 8\

/~#'# "#""##V&#&# ##\/88# "#8# #" #\#&"##" ##\ 

j# ##### # "#\&&"####/###& # "#&##&" # "#&# "#'\ 

/#"#"#####"###'\&##"/&#"####"### # #&#&##"#"### \ 

J#"###"#"#"#"####'\# #"##"#"##"#"#####&"## "#"&"##|\

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Rede do distrito escolar da cidade de Provo
SOMENTE PARA USUÁRIOS AUTORIZADOS!  
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Controles de segurança adicionais

• O Telnet nunca deve ser usado em nenhuma rede para gerenciar um roteador, a menos que haja um túnel seguro protegendo todo o caminho de comunicação. O SSH versão 2 é o protocolo de gerenciamento preferido.
• Os protocolos de roteamento dinâmico devem usar a autenticação nas atualizações de roteamento enviadas aos vizinhos. O hashing de senha para a cadeia de autenticação deve ser ativado quando suportado.
• O padrão de configuração do roteador corporativo definirá a categoria de dispositivos de roteamento e comutação confidenciais e exigirá serviços ou configurações adicionais em dispositivos confidenciais, incluindo:
  • Contabilização da lista de acesso IP
  • Registro de dispositivos
  • Os pacotes que chegam ao roteador de destino com endereços inválidos, como endereços RFC1918, ou aqueles que podem ser usados para falsificar o tráfego de rede, devem ser descartados
  • O acesso ao console do roteador e ao modem deve ser restringido por controles de segurança adicionais

Status da última atualização:

Atualizado em janeiro de 2015

Políticas e procedimentos relacionados

• 4204 Uso de tecnologia
• 4204 Uso aceitável
• 4204 Auditoria
• 4204 Mesa limpa
• 4204 Plano de recuperação de desastres
• 4204 E-mail
• 4204 Treinamento de conscientização de segurança para funcionários
• Criptografia 4204
• 4204 Senha
• 4204 Acesso remoto
• 4204 Segurança do roteador e do switch
• 4204 Segurança para estações de trabalho confidenciais
• 4204 Plano de resposta de segurança
• Segurança do servidor 4204
• Instalação do software 4204
• 4204 Segurança dos serviços do site
• 4204 Comunicação de dispositivos sem fio
• 4204 Comunicação de infraestrutura sem fio