Bundesamt für Sicherheit in der Informationstechnik

M 4.201 Sichere lokale Grundkonfiguration von Routern und Switches

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Sämtliche Konfigurationsarbeiten an Routern und Switches müssen entsprechend der erstellten Sicherheitsrichtlinie (siehe M 2.279 Erstellung einer Sicherheitsrichtlinie für Router und Switches ) durchgeführt werden und wie in M 2.281 Dokumentation der Systemkonfiguration von Routern und Switches beschrieben dokumentiert und kommentiert werden.

Betriebssystem

Da Router und Switches durch ihren Einsatz im Netz eine besonders große Anzahl von Kommunikationspartnern und damit potentiellen Angreifern haben, ist bei der Auswahl, Einrichtung und Pflege des Betriebssystems besondere Sorgfalt notwendig.

Zunächst ist es wichtig, sich einen Überblick über die benötigten und angebotenen Funktionen zu verschaffen. Das Ziel bei der Auswahl sollte sein, eine möglichst stabile Version zu betreiben. Hierbei ist zu beachten, dass mit dem Alter eines Releases in der Regel auch die Zahl der Angriffsmöglichkeiten (Exploits) zunimmt. Andererseits kann ein sehr neues Release (insbesondere mit völlig neuen Funktionen) noch Unzulänglichkeiten oder neue Fehler enthalten.

Im Zweifelsfall ist es meist besser, eine ältere Version einzusetzen, falls diese den funktionalen Anforderungen noch genügt. Allerdings müssen für diese unbedingt die aktuellen Sicherheitspatches eingespielt werden (siehe auch M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates ). Versionen, für die vom Hersteller keine Sicherheitspatches mehr zur Verfügung gestellt werden, sollten nicht mehr eingesetzt werden.

Offline-Grundkonfiguration

Bevor ein Router oder Switch an das Produktions-Netz angeschlossen wird, muss eine sichere Grundkonfiguration hergestellt werden. Viele Geräte werden vom Hersteller mit einer Default-Konfiguration ausgeliefert, die vor allem auf eine schnelle Inbetriebnahme mit möglichst umfassender Funktionalität ausgerichtet ist und in der so gut wie keine Sicherheitsmechanismen aktiv sind. Daher muss die Überprüfung der Default-Einstellungen und die Grundkonfiguration offline oder nur in einem eigens dafür eingerichteten und besonders gesicherten Testnetz erfolgen.

Oft ist es möglich, die Konfiguration mit entsprechenden Programmen auf einem Management-Rechner zu erstellen und beispielsweise mit einer Speicherkarte auf das neue Gerät zu übertragen. Ist nur eine Übertragung über das Netz möglich, so darf dies nur im Testnetz oder im Administrationsnetz geschehen.

Bei der Konfiguration muss beachtet werden, dass unter Umständen nicht jedes Administrations- oder Konfigurationswerkzeug (Konsole, Webschnittstelle, externes Konfigurationsprogramm) alle relevanten Informationen anzeigt.

So kann es beispielsweise vorkommen, dass die Systembefehle zur Anzeige einer Konfiguration auf Routern und Switches nicht alle Parameter anzeigen. Daher ist es wichtig, anhand der vorhandenen Dokumentation nachzuvollziehen, dass auch alle relevanten Einstellungen vorgenommen wurden.

Es bietet sich an, die Grundkonfiguration in zwei Schritte zu unterteilen:

  • Lokale Konfiguration: Überprüfung und Anpassung der Konfigurationsparameter, die sich auf das Gerät selbst beziehen (beispielsweise Benutzerkonten oder -rollen, Passwörter, Protokolldateien, Einstellungen für Konsolenzugang und serielle Schnittstelle, etc.). Die entsprechenden Schritte sind im Anschluss beschrieben.
  • Netzkonfiguration: Überprüfung und Anpassung der Konfigurationsparameter, die sich auf die Funktion des Gerätes im Netz beziehen (beispielsweise Dienste und Protokolle, Einrichtung von Access-Control-Listen ( ACL s), VLANs etc.). Die entsprechenden Schritte sind in M 4.202 Sichere Netz-Grundkonfiguration von Routern und Switches beschrieben.

Benutzerkonten und Passworte

Die Möglichkeiten für die Einrichtung von Benutzern und Rollen und das Zuweisen von Berechtigungen unterscheiden sich von Hersteller zu Hersteller (gelegentlich auch zwischen einzelnen Geräten oder Software-Releases) teilweise erheblich. Daher ist es empfehlenswert, entsprechend dem vorgegebenen Rechte- und Rollenkonzept für die Administration der aktiven Netzkomponenten ein detailliertes Konzept für die jeweiligen Geräte zu erstellen.

Auf Routern und Switches einiger Hersteller (z. B. Cisco) sind werksmäßig mehrere Benutzerkonten (Accounts) mit abgestuften Berechtigungen für die Administration vorhanden. Andere Geräte sind werksmäßig nur mit einem Benutzerkonto für Administrationszwecke voreingestellt. Voreingestellte Benutzerkonten haben allgemein bekannte Standardnamen und Passwörter, gelegentlich sind Administrations-Accounts sogar ganz ohne Passwort vorkonfiguriert. Auf einschlägigen Internet-Seiten können Listen mit herstellerspezifischen Standard-Accounts und Passwörtern heruntergeladen werden.

Bei der Inbetriebnahme des Geräts müssen diese Standard-Benutzerkonten, falls möglich, geändert werden. In jedem Fall müssen aber die Passwörter der Standard-Accounts geändert werden. Nicht benutzte Benutzerkonten müssen deaktiviert werden.

Entsprechend dem Rechte- und Rollenkonzept müssen anschließend die vorgesehenen Benutzerkonten und -rollen eingerichtet werden.

Leider werden bei vielen aktiven Netzkomponenten Passwörter im Klartext in den Konfigurationsdateien gespeichert. Insbesondere falls dies der Fall ist, müssen Konfigurationsdateien vor unbefugtem Zugriff besonders geschützt werden. Wo immer es möglich ist, eine verschlüsselte Speicherung von Passwörtern zu konfigurieren, sollte von dieser Möglichkeit Gebrauch gemacht werden. Weitergehende Aspekte sind in M 1.43 Gesicherte Aufstellung aktiver Netzkomponenten , M 4.204 Sichere Administration von Routern und Switches und M 6.91 Datensicherung und Recovery bei Routern und Switches beschrieben.

Login-Banner

Beim Login wird auf den Geräten meist eine relativ ausführliche Login-Nachricht angezeigt. In dieser Login-Nachricht sind oft Informationen (beispielsweise Modell- oder Versionsnummer, Software-Release-Stand oder Patchlevel) enthalten, die einem potentiellen Angreifer von Nutzen sein können.

Sofern das Gerät es zulässt, sollte die Standard-Loginnachricht durch eine angepasste Version ersetzt werden, die diese Informationen nicht mehr enthält. Die Modell- und Versionsnummer des Geräts und die Version des Betriebssystems darf unter keinen Umständen vom Login-Banner verraten werden. Stattdessen sollten folgende Informationen bei einer Anmeldung am Gerät angezeigt werden:

  • Jeglicher Zugriff darf nur durch autorisiertes Personal erfolgen.
  • Alle Arbeiten sind entsprechend der Sicherheitsrichtlinie durchzuführen.
  • Das Gerät ist in zentrale Kontrollmechanismen, wie beispielsweise in ein Netzmanagementsystem (NMS) zur Protokollierung und Erkennung von Verstößen gegen die Sicherheitsrichtlinie eingebunden.
  • Verstöße gegen die Sicherheitsrichtlinie werden disziplinarisch / strafrechtlich verfolgt.

Protokollierung

Sicherheitsmaßnahmen in bezug auf die Protokollierung auf Netzkomponenten und der Einbindung von Zeitinformationen mit Hilfe von NTP sind in M 4.205 Protokollierung bei Routern und Switches beschrieben.

Schnittstellen

Nicht genutzte Schnittstellen auf Routern sind zu deaktivieren. Bei Switches sollten alle nicht genutzten Ports entweder deaktiviert oder einem eigens dafür eingerichteten "Unassigned-VLAN" zugeordnet werden.

Backup der Konfiguration

Die Konfigurationsdateien der Grundkonfiguration bilden die Basis für die weitere Konfiguration. Es wird empfohlen, sowohl von den mit dem Gerät ausgelieferten Default-Konfigurationsdateien als auch von den Dateien, die das Ergebnis der Grundkonfiguration darstellen, Sicherungskopien zu erstellen.

In M 6.91 Datensicherung und Recovery bei Routern und Switches werden weitere Aspekte zur Sicherung von Konfigurationsdateien beschrieben.

Prüffragen:

  • Werden Konfigurationsänderungen an den Routern und Switches gemäß der bestehenden Sicherheitsrichtlinie durchgeführt und so dokumentiert, dass Konfigurationsänderungen nachvollzogen werden können?

  • Werden für alle eingesetzten Router und Switches Sicherheitspatches durch die Hersteller zur Verfügung gestellt und werden diese eingespielt?

  • Werden die Default-Einstellungen der Router und Switches vor dem Einsatz im Produktions-Netz überprüft und mit einer sicheren Grundkonfiguration ausgestattet?

  • Erfolgt die Grundkonfiguration der Router und Switches offline bzw. nur ein einem eigens dafür eingerichteten und besonders gesicherten Testnetz?

  • Existieren gerätespezifische Konzepte für die Einrichtung des vorgegebenen Rechte- und Rollenkonzeptes?

  • Sind die Passwörter der Standardkonten auf den Routern und Switches geändert und entsprechen sie den Sicherheitsrichtlinien der Organisation?

  • Sind nicht benutzte Benutzerkonten auf den Routern und Switches deaktiviert?

  • Sofern auf den Routern und Switches die Passwörter im Klartext in den Konfigurationsdateien gespeichert werden: Sind die Konfigurationsdateien vor dem unbefugten Zugriff besonders geschützt?

  • Werden die Passwörter auf den Routern und Switches sofern möglich verschlüsselt gespeichert?

  • Sind die Standard-Loginmeldungen auf den Routern und Switches sofern möglich durch eine angepasste Version ersetzt, so dass kein Rückschluss auf die eingesetzten Versionen möglich ist?

  • Sind nicht genutzte Schnittstellen auf Routern und Switches deaktiviert oder einem dafür eingerichteten "Unassigned-VLAN" zugeordnet?

  • Werden Backups sowohl vor als auch nach der erfolgreichen Grundkonfiguration durchgeführt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK