Bundesamt für Sicherheit in der Informationstechnik

M 4.203 Konfigurations-Checkliste für Router und Switches

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Zusammenfassend können anhand der folgenden Konfigurations-Checkliste die wichtigsten sicherheitsrelevanten Einstellungen auf Routern und Switches geprüft werden. Es muss jedoch festgehalten werden, dass die sichere Konfiguration von Routern und Switches stark vom Einsatzzweck abhängt. Beispielsweise muss auf Border-Routern die Einrichtung von ACL s, Anti-Spoofing-Konfiguration, etc. berücksichtigt werden. Deshalb sollte die folgende Tabelle lediglich als allgemeine Anleitung verwendet werden. Sicherheitsmaßnahmen, die auf Router anzuwenden sind, gelten auch für Switches, sofern diese Routing-Funktionen unterstützen und soweit diese Funktionen genutzt werden.

Konfigurations-Checkliste für Router und Switches
 
Erstellung einer Sicherheitsrichtlinie für Router und Switches  
Prüfung und gegebenenfalls Update des Betriebssystems  
Die Router- und Switchkonfiguration offline speichern, sichern und gegen unbefugten Zugang schützen (Nutzung eines TFTP -Servers nur in Verbindung mit Out-of-Band-Management (eigenes Administrationsnetz))  
Dokumentation und Kommentierung der Konfiguration  
Konfiguration von Passwortschutz für alle Zugänge (Konsole, VTY, etc.)  
Einrichtung eines Session-Timeouts  
Keine Trivial-Passworte verwenden  
Verschlüsselte Speicherung der Passworte  
Einrichtung eines physischen Zugangsschutzes für den Konsolenanschluss  
Für Administrationszwecke soweit möglich TELNET durch SSH ersetzen  
Möglichst RADIUS oder TACACS+ zur Authentisierung verwenden  
Einschränkung der Administrationszugänge (z. B. SSH, SNMP, TELNET) durch ACLs, Nutzung von SNMP und TELNET nur in Verbindung mit Out-of-Band-Management (eigenes Administrationsnetz), bei SNMP Änderung der Community-Strings  
Deaktivieren unnötiger Netzdienste  
Bei Routern nicht benötigte Schnittstellen abschalten, bei Switches nicht benötigte Ports in "Unassigned VLAN" oder ebenfalls deaktivieren  
Kritische Schnittstellendienste und Protokolle sperren  
Protokollierung einschalten  
Genaue Uhrzeit auf den Geräten einstellen (interner NTP-Server)  
Einbinden der Zeitinformation bei der Protokollierung  
Auswerten, Überprüfen und Archivieren der Protokolldateien entsprechend der Sicherheitsrichtlinie  
SNMP möglichst deaktivieren, Nutzung nur in Verbindung mit Out-of-Band-Management (Administrationsnetz) oder Verwendung von SNMPv3  
Überprüfung der Default-Einstellungen  
Einrichtung eines Login-Banners  
Deaktivierung von CDP auf Endgeräte Ports  
Speziell für Switches:  
Bei Nutzung von VTP: Authentisierung verwenden  
Deaktivierung von Trunk-Negotiation auf Endgeräte-Ports  
Das Default-VLAN darf nicht genutzt werden  
Einrichtung eines eigenen VLANs für alle Trunk-Ports  
Einrichtung eines Unassigned-VLANs für alle unbenutzten Ports  
Deaktivierung von STP (Spanning Tree) auf Endgeräte-Ports  
Festlegung einer Root-Bridge  
Speziell für Router:  
Erstellung einer Kommunikationsmatrix des netzübergreifenden Datenverkehrs  
Begrenzen des netzübergreifenden Datenverkehrs in Abgleich mit Kommunikationsmatrix durch Zugriffslisten  
Blockieren von unbekannten Adressen durch Zugriffslisten (ACLs)  
Falls erforderlich (insbesondere in der DMZ ): Konfiguration statischer Routen  
Konfiguration von Integritätsmechanismen der verwendeten Routing Protokolle  

Prüffragen:

  • Werden sicherheitsrelevante Einstellungen auf Routern und Switches anhand einer Konfigurations-Checkliste geprüft?

  • Werden in der Konfigurations-Checkliste die unterschiedlichen Anforderungen der Router und Switches berücksichtigt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK