Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Raport CIS

    Încărcat de

    Vasile Vasile
    7 vizualizări11 pagini
    analiza

    Titlu original

    raport CIS

    Drepturi de autor

    © © All Rights Reserved

    Formate disponibile

    DOCX, PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document
    analiza

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    7 vizualizări11 pagini

    Raport CIS

    Încărcat de

    Vasile Vasile
    analiza

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 11

    1.

    Password Policy:
     Asigurați-vă că lungimea minimă a parolei este setată la 14 sau mai mult (Automat).
    Lungimea parolei este un factor principal în caracterizarea siguranței parolei.
    Parolele prea scurte cedează atacurilor cu forță brută, precum și dicționarului de atacuri
    folosind cuvinte și parole alese în mod obișnuit.
     În cazul nostru parola este setată să conțină minim 6 caractere.

     Asigurați-vă ca opțiunea Palindromes să fie disable (Automat).


    Cuvintele Palindrome au un număr mare de liste de cuvinte care sunt folosite înainte
    de orice atac cu forță brută, și este mai simplu să spargeți folosind instrumentele de
    spargere a parolei.
     În cazul nostru este selectat conform cerințelor.

    P.S. În cazul în care autentificarea cu mai mulți factori nu este acceptată (cum
    ar fi administrator local, root sau conturi de servicii), conturile vor utiliza parole
    care sunt unice pentru sistemul respectiv.

     Asigurați-vă că complexitatea parolei este selectată opțiunea 3 – De dorit 3 tipuri de


    caractere în complexitatea parolei.
    Complexitatea parolei adaugă siguranță mai mare parolei, în comparație cu o parolă
    simplă de aceeași lungime. O parolă complexă este mai greu de atacat, fie direct împotriva
    interfețelor administrative, fie criptografic, împotriva hashurilor de parolă capturate. Cu toate
    acestea, crearea unei parole pentru o lungime mai mare va avea, în general, un impact mai
    mare în acest sens, în comparație cu realizarea o parolă mai scurtă mai complexă.
     În cazul nostru nu este selectat conform cerințelor.
     Asigurați-vă că ați selectat Verificare reutilizare parolă și că lungimea istoriei este
    selectată de 12 și mai mult.
    Se verifică reutilizarea parolelor, cănd parola unui utilizatori este schimbată atunci
    parola nouă este verificată cu parolele recente a utilizatorului. Nu este permisă o parole
    identică iar numărul de parole păstrate în evidență este stabilit de lungimea istoriei.

     În cazul nostru nu este selectat conform cerințelor.


    Cu cât un utilizator folosește mai mult aceeași parolă, cu atât este mai mare șansa ca un
    atacator să poată determinați parola prin atacuri cu forță brută.

     Asigurați-vă că durata de expirare a parolei trebuie să fie setată 90 zile (Automat).


    Numărul de zile pentru care o parolă este validă. După acest timp, parola expiră. Numărul
    începe atunci când utilizatorul își schimbă parolele. Utilizatorii trebuie să schimbe parola
    expirată la următoarea conectare. Dacă este setată ca niciodată, parolele nu expiră

     În cazul nostru nu este selectat conform cerințelor.

     Asigurați-vă că utilizatori sunt înștiințați cu 7 zile înainte de expirarea parolei.


    Oferirea unui avertisment anticipat că o parolă va expira oferă utilizatorilor timp pentru
    a se gândi o parolă sigură. Utilizatorii prinși neștiind pot alege o parolă simplă sau o pot scrie
    unde poate fi descoperit.

     În cazul nostru este selectat conform cerințelor.

     Asigurați-vă că după expirarea parolei utilizatorul va fi blocat peste o zi.


    După ce parola unui utilizator a expirat, acesta a expirat acest număr de zile pentru a vă
    conecta și a-l modifica. Dacă își schimbă parola în acest sens numărul de zile în care nu vor
    putea să se conecteze: sunt blocate. O valoare de nu permite niciodată utilizatorul să aștepte atât
    timp cât dorește să-și schimbe parola.

     În cazul nostru nu este selectat conform cerințelor.

     Asigurați-vă că conturile neactive o perioadă pot fi automat dezactivate.


    Conturile de utilizator care au fost neutilizate pentru o anumită perioadă de timp pot fi
    automat dezactivat. Conturile neutilizate reprezintă o amenințare pentru securitatea sistemului,
    deoarece utilizatorii nu se conectează pentru a observa încercări de conectare eșuate sau alte
    anomalii

     În cazul nostru nu este selectat


    conform cerințelor.

     Asigurați-vă că perioada pentru dezactivarea conturilor neutilizate 30 de zile să fie


    selectată.

     În cazul nostru nu este selectat conform cerințelor.

     Asigurați-vă că este selectat ca utilizatorii să schimbe parola la prima autentificare.

    Aceasta forțează utilizatorul să schimbe parola și să nu folosească parola setată de


    Administrator.

     În cazul nostru nu este selectat conform cerințelor.

     Asigurați-vă că este selectat refuzul la acces încercările de conectare eșuate.


    Blocarea ID-urilor de utilizator după n încercări consecutive nereușite de conectare atenuează
    forța brută atacuri cu parolă împotriva sistemelor dvs.
     În cazul nostru nu este selectat conform cerințelor.
     Asigurați-vă că este selectat ca numărul maxim de conectări eșuate să fie 5 iar timpul de
    reîncercare din nou pentru conectare să fie 300 de secunde sau mai mult.

     În cazul nostru da/nu este selectat


    conform cerințelor.

    2. Device general settings:


    1) Ne asigurăm că Bannerul de start este setat.
    Configurați un banner de conectare, aprobat în mod ideal de echipa juridică a organizației.
    Acest banner ar trebui, cel puțin, să interzică accesul neautorizat, să furnizeze o notificare
    privind înregistrarea sau monitorizarea, și evitați să folosiți cuvântul „bun venit” sau cuvinte
    similare de invitație.

     În cazul nostru este selectat conform cerințelor.

    2) Ne asigurăm că mesajul zilei este setat (MOTD).

     În cazul nostru nu este selectat conform cerințelor.

    3) Ne asigurăm că interfețele care nu se utilizează sunt deconectate.


     În cazul nostru este selectat conform cerințelor.
    4) Ne asigurăm ca IPv6 să fie Disable în caz ca nu îl uitlizăm. ( În cazul nostru e setat
    conform cerințelor).
    5) Ne asigurăm ca Host name-ul să fie setat. ( În cazul nostru e setat conform cerințelor).
    6) Ne asigurăm ca Telnet să fie Disable.

     În cazul nostru este selectat conform cerințelor

    7) Ne asigurăm ca DHCP să fie Disable.


    Serverul DHCP furnizează parametri de configurare automată, cum ar fi IP dinamic adresă,
    către sistemele solicitante. Un server dedicat situat într-o zonă de administrare securizată ar
    trebui să fie folosit pentru a furniza servicii DHCP. Atacatorii pot fi folosiți potențial pentru
    atacuri de negare a serviciului (DoS).

     În cazul nostru este selectat conform cerințelor.

    3. SNMP:
     Ne asigurăm ca SNMP să fie Disable.
    Serverul SNMP poate comunica folosind SNMP v1, care transmite date în mod clar și nu
    necesită autentificare pentru a executa comenzi. Dacă nu este absolut necesar, este a recomandat
    ca serviciul SNMP să nu fie utilizat. Dacă este necesar SNMP, serverul ar trebui să fie configurat
    pentru a utiliza numai SNMPv3.
     În cazul nostru este selectat conform cerințelor necesare sistemului.
     Ne asigurăm ca SNMP să fie by default V3 numai. (Din motiv că nu toate switchurile
    suportă V3 au fost adăugate și V1, V2).

     Ne asigurăm ca SNMP traps să fie Enable.


     În cazul nostru nu este selectat conform cerințelor.

     Ne asigurăm ca SNMP traps receivers e setat automat.


     În cazul nostru nu este selectat conform cerințelor.
    4. NTP:
     Ne asigurăm NTP este activat și adresa IP este setată pentru primar și
    Server NTP secundar.
    Aceste setări permit utilizarea serverelor NTP primare și secundare în redundanță în caz
    de eșec care implică serverul NTP primar raţional
     În cazul nostru este selectat conform cerințelor.

     Ne asigurăm ca time zone să fie setat conform fusului orar.


     În cazul nostru este selectat conform cerințelor.

    5. Backup:
     Ne asigurăm că sistemul de backup este setat.

    Backupul ajută la restabilirea configurației în caz de defecțiune a sistemului sau corupție sau în
    condițiile înlocuirii dispozitivului.

     În cazul nostru este selectat conform cerințelor.

     Ne asigurăm că sistemul de snapshot este setat.


    Snapshoturile sunt esențiale pentru recuperarea sistemului în caz de blocare a sistemului.

     În cazul nostru este


    selectat conform cerințelor.
     Configurăm graficul de backup manual.
    6. Authentification Settings:
     Asigurați-vă că expirarea sesiunii Web este setată la mai puțin sau egală cu 10 minute.
    TABEL SUMAR

    CERINTE SETARE
    CONFORM CORECTA
    STANDARTELOR SITUATIE REALA
    Yes No
    Password Policy
    Ensure Minimum
    Password Length is
    1. + Minim password length – 6
    set to 14 or higher
    (Automated)
    Ensure Disallow
    2. Palindromes is + Este Enable
    selected (Automated)

    Ensure Password
    3. Complexity is set to 3 +
    (Automated)
    Ensure Check for
    Password Reuse is
    4. selected and History + History lenght - 10
    Length is set to 12 or
    more (Automated)
    Ensure Password
    5. Expiration is set to 90 + Never expire
    days (Automated)
    Ensure Warn users
    before password
    6. +
    expiration is set to 7
    days (Automated)

    Ensure Lockout users Never lockout users after password


    7. after password +
    expiration
    expiration is set to 1
    (Automated)
    Ensure Deny access
    to unused accounts
    9. + Este Disable
    is selected
    (Automated)
    Ensure Days of non-
    10 use before lock-out is
    + 365 de zile
    . set to 30
    (Automated)
    Ensure Force users to
    change password at
    first login after
    11
    password was + Este Disable
    .
    changed from Users
    page is selected
    (Automated)
    Ensure Deny access
    12 after failed login
    + Este Disable
    . attempts is selected
    (Automated)
    Ensure Maximum
    13 number of failed
    attempts allowed is + 10 incercari
    . set to 5 or fewer
    (Automated)
    Ensure Allow access
    14 again after time is set
    + La noi e 1200
    . to 300 or more
    seconds (Automated)
    15
    Device setup
    .
    16 Ensure 'Login Banner' Este selectat dar nu e stabilit unul
    +
    . is set (Automated) dorit
    17 Ensure 'Message Of
    The Day (MOTD)' is + Este Disable
    . set (Automated)

    18 Ensure unused
    interfaces are disabled +
    . (Automated)

    19 Ensure DNS server is


    configured +
    . (Automated)
    20 Ensure IPv6 is
    disabled if not used +
    . (Automated)
    21 Ensure Host Name is
    +
    . set (Automated)
    22 Ensure Telnet is
    +
    . disabled (Automated)
    23 Ensure DHCP is
    +
    . disabled (Automated)
    24
    SNMP
    .
    25 Ensure SNMP agent
    is disabled +
    . (Automated)
    Ne asigurăm ca SNMP să fie by
    26 Ensure SNMP version default V3. (Din motiv că nu toate
    is set to v3-Only +
    . (Automated) switchurile suportă V3 au fost
    adăugate și V1, V2).
    27 Ensure SNMP traps is
    + Este Disable
    . enabled (Automated)

    28 Ensure SNMP traps


    receivers is set + Este Disable
    . (Automated)
    NTP
    Ensure NTP is
    enabled and IP
    29 address is set for
    +
    . Primary and
    Secondary NTP
    server (Automated)

    30 Ensure timezone is
    properly configured +
    . (Automated)

    Backup

    31 Ensure 'System
    Backup' is set. +
    . (Automated)

    32 Ensure 'Snapshot' is
    +
    . set (Automated)
    33 Configuring
    Scheduled Backups +
    . (Manual)

    Authentication Settings
    Ensure CLI session
    34 timeout is set to less
    +
    . than or equal to 10
    minutes (Automated)
    Ensure Web session
    35 timeout is set to less
    +
    . than or equal to 10
    minutes (Automated)

    S-ar putea să vă placă și