Bundesamt für Sicherheit in der Informationstechnik

M 2.282 Regelmäßige Kontrolle von Routern und Switches

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Zur Sicherstellung des ordnungsgemäßen Betriebs der aktiven Netzkomponenten und der Korrektheit aller Konfigurationsparameter ist ein regelmäßiger, möglichst automatisierter, Kontrollprozess zu etablieren. Hierzu gehören beispielsweiseregelmäßige Funktionstests, Veranlassen von Änderungen und Prüfung der Umsetzung sowie die Überprüfung der Logfiles und Alarme.

Um die im laufenden Betrieb entstehende große Menge an relevanten Daten effektiv verarbeiten zu können, ist meist der Einsatz geeigneter Werkzeuge für eine möglichst weit automatisierte Kontrolle erforderlich. Dies kann beispielsweise durch die Einbindung in ein Netzmanagementsystem (NMS) geschehen.

Checkliste für die Kontrolle

Für die Kontrolle kann die Checkliste in M 4.203 Konfigurations-Checkliste für Router und Switches verwendet werden. Als Basis sollte die erstellte Sicherheitsrichtlinie für Router und Switches dienen (siehe M 2.279 Erstellung einer Sicherheitsrichtlinie für Router und Switches ). Zusätzlich sollten folgende Punkte im Rahmen des Kontrollprozesses berücksichtigt werden:

Was wird getestet bzw. kontrolliert?

  • Die generelle Funktionsfähigkeit von Geräten wird im Normalfall regelmäßig durch den Administrator im laufenden Betrieb geprüft.
  • Die Integrität von Konfigurationsdateien sollte in regelmäßigen Abständen geprüft werden. Die Sicherheitsrichtlinie für Router und Switches sollte eine regelmäßige Überprüfung mit Festlegung von Verantwortlichkeiten vorschreiben.
  • Der Stand der Datensicherung (zentral gespeicherte Konfigurationsdateien) sollte regelmäßig vom Administrator geprüft werden.
  • Die Systemdokumentation sollte laufend vom Administrator aktualisiert werden. Die Aktualität kann im Rahmen von Audits geprüft werden.

Hierzu sind auch M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile und M 2.64 Kontrolle der Protokolldateien zu berücksichtigen.

Wie wird getestet?

  • Durch die Einbindung der Komponenten in ein Netzmanagement-System kann eine regelmäßige Kontrolle sichergestellt werden. Sicherheitsverletzungen, Ausfälle und Fehlfunktionen können mit Hilfe von Alarmierungsfunktionen des NMS zeitnah erkannt werden.
  • Im Rahmen von Audits erfolgt meist eine stichprobenartige Kontrolle von Komponenten. Als Basis für ein Audit dient die erstellte Sicherheitsrichtlinie für Router und Switches. Wichtiger Bestandteil einer solchen Untersuchung ist die Aktualität der Systemdokumentation, Stand der Datensicherung, Passwortwechsel, etc. Unter Zuhilfenahme der Checkliste aus M 4.203 Konfigurations-Checkliste für Router und Switches kann ein Großteil der sicherheitsrelevanten Einstellungen abgefragt werden.
  • Es existiert eine Reihe frei verfügbarer Sicherheits-Tools (z. B. Nessus), welche die Sicherheitseinstellungen auf Routern und Switches prüfen können. Solche Tools können auf einem Rechner im Netz installiert sein. Es sollte nach Möglichkeit die aktuellste Version verwendet werden. Als Betriebssystem ist oft Unix bzw. Linux notwendig. Von diesem System aus kann der Administrator entsprechende Router und Switches scannen, um somit eine Vielzahl von Einstellungen dieser Geräte zu prüfen. Kommerzielle Tools bieten teilweise recht komfortable Auswertungen und Möglichkeiten zur Historienverfolgung der durchgeführten Scans.
  • Eine Vielzahl von Sicherheitsunternehmen bieten regelmäßige Überprüfungen von Routern und Switches an. Durch turnusmäßige Berichte und Auswertungen erhält der Betreiber einen Überblick über den Zustand der Komponenten.

Wann wird getestet?

  • Der Administrator prüft laufend und meist automatisiert die Funktion der Geräte mit Hilfe eines NMS-Systems. Die Systemdokumentation ist vom Administrator laufend aktuell zu halten.
  • Der Stand der Datensicherung, die Integrität der Konfigurationsdateien und weitere Daten zur Konfiguration sollten vom Administrator regelmäßig (wöchentlich) geprüft werden.
  • Scans mit der Hilfe von Sicherheits-Tools sollten nach Installation regelmäßig (monatlich) durch den Administrator vorgenommen werden. Die Ergebnisse sind zu prüfen und zu archivieren.
  • Die Prüfung der Einhaltung von Sicherheitsrichtlinien muss regelmäßig erfolgen (z. B. jährlich im Rahmen von Sicherheits- oder Grundschutzaudits).

Wer testet?

  • Der Administrator sollte laufend Prüfungen durchführen (Funktion der Komponenten, Stand der Datensicherung, Integrität der Konfigurationsdateien, Scans, etc.).
  • Die Einhaltung von Sicherheitsrichtlinien bzw. von Sicherheitsmaßnahmen im Rahmen von Sicherheits- bzw. Grundschutzaudits darf nicht durch den Administrator geprüft werden, sondern hat abhängig vom etablierten Sicherheitsmanagementprozess durch einen Auditor, IT-Sicherheitsbeauftragten oder Revisor zu erfolgen.

Welche Informationen bilden die Grundlage der Kontrolle?

Überprüfung der Konfiguration

Bei der Einrichtung der Router und Switches sind alle Default-Einstellungen zu prüfen und falls notwendig zu modifizieren. Hierbei werden beispielsweise nicht benötigte Dienste deaktiviert und Voreinstellungen den betrieblichen und sicherheitstechnischen Anforderungen angepasst. Eine Erläuterung der hierfür notwendigen Schritte findet sich in M 4.201 Sichere lokale Grundkonfiguration von Routern und Switches und M 4.202 Sichere Netz-Grundkonfiguration von Routern und Switches .

Die Umsetzung der Vorgaben zum Umgang mit Default-Einstellungen sind im Rahmen von regelmäßigen Audits zu überprüfen. Hierdurch können versehentliche oder vorsätzliche Veränderungen festgestellt und die Umsetzung von aktuellen Empfehlungen der Hersteller verifiziert werden. Dies kann ausgehend von der für jeden Gerätetyp beziehungsweise für jede Betriebssystemversion zu erstellenden Installationsanleitung erfolgen und sollte am jeweiligen Gerät verifiziert werden. Hierbei ist jedoch zu beachten, dass Betriebssystem-Kommandos bei manchen Herstellern nicht alle Default-Einstellungen anzeigen. Aus diesem Grund empfiehlt es sich, separate Software-Tools einzusetzen, um eine vollständige Analyse durchzuführen.

Für einen umfassenden Test aller Geräte können Softwareprodukte eingesetzt werden, die einen automatisierten Test mit konfigurierbaren Parametern ermöglichen.

Mirror Port

Zur Analyse des Datenverkehrs gibt es die Möglichkeit, einen Port des Routers oder des Switches als "Mirror Port" zu konfigurieren. Dabei wird der gesamte Datenverkehr eines beliebigen Ports auf den Mirror Port repliziert und kann mit entsprechenden Analyseprogrammen ausgewertet werden. Im Gegensatz zu anderen Analysemethoden wird der Datenverkehr dabei nicht unterbrochen oder beeinträchtigt.

Der Mechanismus bietet zwei Analysemethoden: Spiegelung des gesamten Datenverkehrs für einen definierten Port oder Spiegelung des Datenverkehrs für eine MAC-Adresse. Im zweiten Fall wird das gesamte Datenvolumen, welches mit einer definierten Quell- und/oder Ziel-MAC-Adresse über das Gerät läuft, auf den Mirror Port gespiegelt.

Der Mirror Port darf keinem produktiven VLAN und keiner Spanning Tree Group (STG) angehören. Standardmäßig muss "Port Mirroring" ausgeschaltet sein. Der Zugriff auf die Konfiguration des "Port Mirroring" ist zu schützen. Nach der Verwendung des Mirror Ports ist dieser wieder zu deaktivieren. Es ist regelmäßig zu prüfen, ob die Funktion Port Mirroring im Regelbetrieb deaktiviert ist.

Prüffragen:

  • Wurde ein Kontrollprozess für die Sicherstellung des ordnungsgemäßen Betriebs der aktiven Netzkomponenten etabliert?

  • Erfolgen Sicherheits- bzw. Grundschutzaudits durch einen Auditor, IT -Sicherheitsbeauftragten oder Revisor und nicht durch die zuständigen Administratoren?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK