CERINȚE DE SECURITATE ROUTER/COMUTATOR

Cerințe de securitate de bază (CSB)

CSB1. CONFIGURAȚIE DE BAZĂ SIGURĂ A UNUI ROUTER SAU COMUTATOR (B)

Înainte ca un router sau un comutator să fie implementat, acesta TREBUIE să fie configurat în
siguranță. Toate modificările de configurare TREBUIE să fie documentate clar. Integritatea fișierelor
de configurare TREBUIE protejată într-un mod adecvat. Înainte ca parolele de acces să fie salvate,
acestea TREBUIE să fie securizate folosind un proces criptografic modern (vezi conceptul criptografic
CON.1) Routerele și comutatoarele TREBUIE configurate în așa fel încât să fie utilizate numai
serviciile, protocoalele și extensiile funcționale absolut necesare. Serviciile, protocoalele și extensiile
funcționale care nu sunt necesare TREBUIE să fie dezactivate sau complet dezinstalate. De
asemenea, interfețele neutilizate de pe routere și comutatoare TREBUIE să fie dezactivate. Porturile
de rețea neutilizate TREBUIE să fie dezactivate dacă este posibil sau cel puțin atribuite unui VLAN
nealocat configurat în acest scop.Dacă sunt utilizate extensii funcționale, TREBUIE să fie respectate
în continuare regulile de securitate ale organizației. TREBUIE să fie, de asemenea, justificat și
documentat de ce sunt utilizate astfel de extensii.Informațiile despre configurația internă și starea de
funcționare TREBUIE să fie ascunse lumii exterioare.Serviciile de informații inutile TREBUIE să fie
dezactivate.defecțiune sau întrerupere a rețelelor de comunicații.

Amenințări la care se adresează:

1. planificare proastă sau lipsă de adaptare

2. divulgarea informațiilor sensibile
3. manipulare hardware sau software
4. manipularea informatiilor
5. funcționarea defectuoasă a dispozitivelor sau sistemelor

Controale de securitate:

1. Documentarea configurărilor dispozitivelor de rețea

2. Stocarea securizată a parolelor de acces
3. Verificarea serviciilor, protocoalelor și extensiilor activate
4. Dezactivarea/dezinstalarea serviciilor, protocoalelor și extensiilor ce nu sunt necesare
5. Dezactivarea interfețelor de pe routere/switch-uri ce nu sunt necesare
6. Dezactivarea porturilor neutilizate de rețea
7. Inspectarea extensiilor funcționale
8. Dezactivarea serviciilor de informații inutile
9. Documentarea/justificarea utilizării extensiilor

CSB2. PROTECȚIA INTERFEȚELOR DE ADMINISTRARE

Toate accesul de administrare și de gestionare la routere și comutatoare TREBUIE să trimită către

adrese IP surse individuale sau -Intervalele de adrese sunt limitate. TREBUIE să se asigure că
interfețele de administrare nu pot fi accesate direct din rețele de neîncredere.Pentru administrarea
sau monitorizarea routerelor și comutatoarelor, TREBUIE folosite protocoale criptate corespunzător.
Cu toate acestea, dacă sunt utilizate protocoale necriptate, pentru administrare TREBUIE utilizată o
rețea de administrare separată (management în afara benzii). Interfețele de management și
conexiunile de administrare TREBUIE să fie protejate de un firewall separat. Interfețele TREBUIE să
aibă constrângeri de timp adecvate, de ex. B. Pot fi specificate timeout-uri. Toate serviciile care nu
sunt necesare pentru interfața de management TREBUIE să fie dezactivate. Dacă o componentă de
rețea are o interfață hardware dedicată, accesul neautorizat TREBUIE împiedicat într-un mod
adecvat.

Amenințări la care se adresează:

1. defecțiune sau întrerupere a rețelelor de comunicații

2. eșecul sau întreruperea prestatorilor de servicii
3. spionaj
4. interceptarea comunicatiilor
5. pătrundere neautorizată în sistemele IT
6. utilizarea sau administrarea neautorizată a dispozitivelor și sistemelor
7. Utilizarea sau administrarea incorectă a dispozitivelor și sistemelor
8. Abuzul de autorizații
9. furt de identitate
10. utilizarea abuzivă a datelor cu caracter personal

Controale de securitate:

1. Utilizare IP adrese surse individuale pentru gestionarea routere/comutatoare

2. Utilizarea protocoalelor securizate pentru administrarea/monitorizarea
routere/comutatoare
3. Configurarea firewall
4. Configurarea constrângerilor de timp (time-out)
5. Dezactivarea serviciilor ce nu sunt necesare pentru administrarea rețelei
6. Controlul accesului la interfețele hardware dedicate

CSB3. PROTECȚIE ÎMPOTRIVA ATACURILOR DE FRAGMENTARE

Mecanismele de protecție TREBUIE activate pe router și pe comutatorul de nivel 3 pentru a evita

atacurile de fragmentare IPv4 și IPv6.

Amenințări la care se adresează:

1. defecțiune sau întrerupere a rețelelor de comunicații

2. spionaj
3. interceptarea comunicatiilor
4. divulgarea informațiilor sensibile
5. Informații sau produse dintr-o sursă nesigură
6. Manipularea hardware sau software
7. Manipularea informațiilor
8. Intruziune neautorizată în sistemele IT
9. Defecțiunea dispozitivelor sau sistemelor
10. Funcționarea defectuoasă a dispozitivelor sau sistemelor
11. Lipsa resurselor
12. Utilizarea neautorizată a legilor sau reglementările
13. Încălcarea sau administrarea neautorizatău a Dispozitivelor și sistemelor
14. Utilizarea sau administrarea incorectă a dispozitivelor și sistemelor
15. Utilizarea greșită a autorizațiilor
16. Furtul de identitate
 17. Refuzarea acțiunilor
18. Utilizarea greșită a datelor personale
19. Prevenirea serviciilor (refuzarea serviciului)
20. Încărcarea mesajelor
21. Pierderea de date

Controale de securitate:

1. Scanarea traficului de intrare printr-un proxy server, firewall sau router

2. Actualizarea firmware-ului dispozitivelor de rețea
3. Acces interzis pentru dispozitivele suspecte

CSB 4. ACCES DE URGENȚĂ LA ROUTERE ȘI COMUTATOARE

Administratorii TREBUIE să poată accesa direct routerele și comutatoarele, astfel încât acestea să
poată fi administrate în continuare local, chiar dacă întreaga rețea eșuează.

Amenințări la care se adresează:

1. Spionaj
2. Interceptarea comunicațiilor
3. lipsă de resurse
4. refuzul acțiunilor

Controale de securitate:
1. configurarea acces direct

CSB 5. ÎNREGISTRAREA EVENIMENTELOR PE ROUTERE ȘI COMUTATOARE

Amenințări la care se adresează:

1. eșec sau întrerupere a furnizorilor de servicii

Controale de securitate:

1. configurare înregistrare evenimente:

• modificări de configurare (în mod automat, dacă este posibil),
• repornire,
• erori de sistem,
• modificări de stare per interfață, sistem și segment de rețea
• erori de conectare.

CSB 5. BACKUP REGULAT DE DATE

Fișierele de configurare ale routerelor și comutatoarelor TREBUIE să fie copiate în mod regulat.
Copiile de rezervă TREBUIE să fie stocate în așa fel încât să poată fi accesate în caz de urgență.

Amenințări la care se adresează:

1. eșecul sau întreruperea furnizorilor de servicii

2. Denial of Service

Controale de securitate:
 1. configurare backup la intervale predefinite

CSB 6. DOCUMENTAȚIE OPERAȚIONALĂ

Cele mai importante sarcini operaționale ale unui router sau comutator TREBUIE să fie documentate
corespunzător. Toate modificările de configurare și sarcinile legate de securitate TREBUIE să fie
documentate. Documentația TREBUIE să fie protejată împotriva accesului neautorizat.

Amenințări la care se adresează:

1. Eșecul sau întreruperea rețelelor de comunicații

2. Eșecul sau întreruperea furnizorilor de servicii
3. Spionarea informațiilor (spionaj)
4. Interceptări telefonice

Controale de securitate:

1. Documentarea periodică
2. controlul accesului la documentație
 Cerințe de securitate standard (CSS)
CSS1. CREAREA UNEI POLITICI DE SECURITATE SPECIFICE
Pe baza politicii generale de securitate a instituției, TREBUIE creată o politică de securitate
specifică. Politica de securitate TREBUIE să descrie cerințe și specificații inteligibile privind modul în
care routerele și comutatoarele pot fi operate în siguranță. Politica TREBUIE să fie cunoscută de toți
administratorii și fundamentală pentru activitatea lor. Dacă politica se modifică sau se abate de la
cerințele specificate, aceasta TREBUIE să fie coordonată și documentată cu ISO. TREBUIE verificat în
mod regulat dacă directiva este încă implementată corect. Rezultatele TREBUIE să fie documentate
corespunzător.

Amenințări la care se adresează:

1. pătrundere neautorizată în sistemele IT

Controale de securitate:

1. Realizarea politicii de securitate specifice

2. Informarea administratorilor despre prevederile politicii de securitate
3. Documentarea modificărilor politicii de securitate
4. Verificarea implementării conforme a politicii de securitate
5. Documentarea rezultatelor înregistrate

CSS2. ACHIZIȚIONAREA UNUI ROUTER SAU COMUTATOR

Înainte de achiziționarea de routere sau comutatoare, TREBUIE întocmită o listă de cerințe
pe baza politicii de securitate și utilizată pentru evaluarea produselor disponibile pe piaţă. TREBUIE
să se asigure că nivelul de securitate dorit de instituție poate fi atins cu dispozitivele ce urmează a fi
procurate. Prin urmare, baza pentru achiziție TREBUIE să fie cerințele ghidului de securitate.

Amenințări la care se adresează:

1. Eșecul sau întreruperea rețelelor de comunicații

2. Eșecul sau întreruperea furnizorilor de servicii
3. Spionarea informațiilor (spionaj)
4. Interceptări telefonice
5. pătrundere neautorizată în sistemele IT
6. Utilizarea sau administrarea autorizată a dispozitivelor și sistemelor
7. Utilizarea sau administrarea incorectă a dispozitivelor și sistemelor
8. Abuzul de autorizații
9. Furtul de identitate
10. utilizarea abuzivă a datelor cu caracter personal

Controale de securitate:

1. realizarea listei de cerințe față de router-e și comutatoare

2. controlul conformității dispozitivelor

CSS3. CREAREA UNEI LISTE DE VERIFICARE DE CONFIGURARE PENTRU ROUTERE ȘI

COMUTATOARE
 TREBUIE creată o listă de verificare de configurare cu care să poată fi verificate cele mai
importante setări relevante pentru securitate pe routere și comutatoare. Deoarece configurația
securizată depinde foarte mult de aplicație, diferitele cerințe ale dispozitivelor TREBUIE să fie luate
în considerare în lista de verificare a configurației. rețea de management (management în afara
benzii) care urmează să fie administrată. Orice interfață de administrare existentă prin intermediul
rețelei de date actuale (în bandă) TREBUIE să fie dezactivată. TREBUIE activate mecanismele de
securitate disponibile ale protocoalelor de management utilizate pentru autentificare, asigurare a
integrității și criptare. Toate protocoalele de gestionare nesigure TREBUIE să fie dezactivate.

Amenințări la care se adresează:

1. Eșecul sau întreruperea rețelelor de comunicații

2. Eșecul sau întreruperea furnizorilor de servicii
3. Spionarea informațiilor (spionaj)
4. Interceptări telefonice
5. pătrundere neautorizată în sistemele IT
6. Utilizarea sau administrarea autorizată a dispozitivelor și sistemelor
7. Utilizarea sau administrarea incorectă a dispozitivelor și sistemelor
8. Abuzul de autorizații
9. Furtul de identitate
10. utilizarea abuzivă a datelor cu caracter personal
11. negarea acțiunilor
12. Interceptări telefonice
CSS4. ADMINISTRAREA PRINTR-O REȚEA DE GESTIONARE SEPARATĂ
Routerele și comutatoarele TREBUIE administrate numai printr-o rețea de
gestionare separată (gestionare în afara benzii). Orice interfață de administrare
existentă prin intermediul rețelei de date actuale (în bandă) TREBUIE să fie dezactivată.
TREBUIE activate mecanismele de securitate disponibile ale protocoalelor de
management utilizate pentru autentificare, asigurare a integrității și criptare. Toate
protocoalele de management nesigure TREBUIE să fie dezactivate.NET.3.1.A13
CSS5. Protecție împotriva abuzului de mesaje ICMP (S)
Protocoalele ICMP și ICMPv6 TREBUIE filtrate restrictiv.

CSS6.Filtrarea bogon și spoofing (S)

AR TREBUI preveniți Atacatorii de a folosi adrese IP false, rezervate sau încă nealocate
pentru a pătrunde în routere și comutatoare.

CSS7. Protecția împotriva atacurilor DoS și DDoS (S)

TREBUIE să fie utilizate mecanisme care detectează și previn atacurile cu volum mare și
atacurile de epuizare a stării TCP.

CSS8. Configurarea listelor de control al accesului (S)

Accesul la routere și comutatoare TREBUIE să fie definit utilizând Listele de control al
accesului (ACL). Pe baza politicii de securitate a instituției, ACLS TREBUIE să specifice ce sisteme sau
rețele IT pot fi utilizate pentru a accesa un router sau un comutator și cu ce metodă. În cazul în care
nu există reguli specifice, abordarea mai restrictivă a listei albe TREBUIE să fie în general preferată.
 CSS9. Securizarea porturilor switch-ului (S) Porturile unui switch TREBUIE protejate
împotriva accesului neautorizat.

CSS10. Aspecte de securitate ale Protocoalele de rutare (S)

Routerele TREBUIE să se autentifice atunci când fac schimb de informații de rutare sau trimit
actualizări la tabelele de rutare. TREBUIE utilizate numai protocoale de rutare care acceptă acest
lucru. Protocoalele de rutare dinamică TREBUIE să fie utilizate numai în rețelele securizate. Ele NU
TREBUIE să fie desfășurate în zonele demilitarizate (DMZ). În schimb, rutele statice TREBUIE să fie
introduse în DMZs.

CSS11. Gestionarea identității și a autorizațiilor în infrastructura de rețea (S)Routerele și

comutatoarele TREBUIE conectate la o administrare centrală a identității și a autorizațiilor

CSS412 Planificarea de urgență pentru routere și comutatoare (S)

TREBUIE să fie planificată și pregătită pentru care defecțiunile routerelor sau comutatoarelor
ar putea fi diagnosticate în caz de urgență. În plus, TREBUIE să fie planificat și pregătit modul în care
erorile identificate pot fi corectate. Ar trebui definite instrucțiuni adecvate pentru scenariile tipice de
defecțiune și actualizate la intervale regulate.

Planurile de urgență pentru routere și comutatoare TREBUIE să fie coordonate cu

planificarea generală a erorilor și a situațiilor de urgență. Planificarea pentru situații de urgență
TREBUIE să se bazeze pe conceptul general de pregătire pentru situații de urgență (a se vedea DER.4
Managementul situațiilor de urgență). TREBUIE să se asigure că documentația pentru pregătirea
pentru situații de urgență și instrucțiunile conținute în acestea sunt disponibile pe hârtie. Procedura
descrisă ca parte a pregătirii pentru situații de urgență TREBUIE testată în mod regulat

CSS13. Teste de revizuire și penetrare (S)

Routerele și comutatoarele TREBUIE verificate în mod regulat pentru probleme de securitate
cunoscute. De asemenea, revizuirile TREBUIE efectuate în mod regulat. Printre altele, TREBUIE
verificat dacă starea reală corespunde configurației de bază sigure specificate. Rezultatele TREBUIE
să fie documentate într-o manieră inteligibilă și comparate cu starea țintă. Abaterile TREBUIE
investigate.
 Cerințe de securitate SPORITE (CsS)
CsS1. Utilizarea controalelor de acces la rețea
Un control de acces bazat pe porturi TREBUIE implementat conform IEEE 802.1x bazat pe
EAP-TLS. NU TREBUIE implementat conform standardelor IEEE 802.1x-2001 și IEEE 802.1x-2004.

CsS2. Protecție extinsă a integrității pentru fișierele de configurare

Dacă un router sau un comutator se blochează, TREBUIE să se asigure că în timpul

recuperării sau la repornire Nu sunt utilizate configurații vechi sau defecte (inclusiv ACL-uri).

CsS3. Disponibilitate ridicată

Implementarea unei soluții de înaltă disponibilitate NU TREBUIE să împiedice funcționarea
routerelor și comutatoarelor sau a funcțiilor de securitate ale acestora sau să reducă nivelul de
securitate . Routerele și comutatoarele TREBUIE să fie redundante. TREBUIE să aibă grijă să se
asigure conformitatea cu politica de securitate a instituției.

CsS4. Managementul lățimii de bandă pentru aplicații și servicii critice

Routerele și comutatoarele TREBUIE să includă și să utilizeze funcționalități care să permită
identificarea aplicațiilor și prioritizarea lățimii de bandă.

CsS 5. Utilizarea produselor certificate

TREBUIE să fie utilizate routere și switch-uri cu o evaluare de securitate conform criteriilor
comune, cel puțin cu nivelul EAL4.