Zabezpieczanie infrastruktury to niekończący się proces, który polega na ciągłym testowaniu i ulepszaniu. Warto podchodzić do tego skrupulatnie i metodycznie – idealnie sprawdzi się tutaj proponowana poniżej 13-punktowa checklista bezpieczeństwa dla sieciowca.
Segmentuj sieć według funkcji
Segmentacja sieci jest bardzo istotnym elementem jej bezpieczeństwa. Odpowiednio przeprowadzona, ogranicza niepotrzebny ruch w sieci, poprawia wykorzystanie infrastruktury oraz zmniejsza potencjalne wektory ataku.
Zabezpiecz fizyczny dostęp do urządzeń
Urządzenia sieciowe są podatne na ataki zarówno z zewnątrz, jak i wewnątrz sieci. Zagrożenie może wynikać nie tylko z zaufanych urządzeń, które zostały wcześniej zhackowane, ale także z bezpośredniego, nieautoryzowanego dostępu. Ogranicz fizyczny dostęp do sprzętu do minimum. Dobrym pomysłem jest również odpowiednie zabezpieczenie dostępu poprzez port konsolowy, stosowanie protokołu dot1x na portach dostępowych oraz wyłączenie nieużywanych portów uplinkowych.
Zabezpiecz zdalny dostęp
Stosuj framework AAA w zarządzaniu dostępem i uprawnieniami oraz w logowaniu zdarzeń. Skonfiguruj zdalny dostęp do wirtualnych terminali oraz portu konsolowego. Nie pozostawiaj domyślnej konfiguracji i ograniczaj dostęp, stosując listy dostępu (ACL). Używaj mocnych i nieopartych na słowniku haseł.
Szyfruj zdalne połączenia
Zdalne łączenie się do urządzeń powinno odbywać się za pomocą bezpiecznych protokołów. Zastąp poczciwy Telnet połączeniem SSH, zapomnij o TFTP oraz nieszyfrowanym FTP.
Twórz kopie bezpieczeństwa
Każda zmiana w konfiguracji powinna być logowana i generować wykonanie kopii bezpieczeństwa w celu szybkiego jej odtworzenia. Przechowuj kopie w bezpiecznym miejscu, poza urządzeniem. Powinieneś posiadać co najmniej dwie, z czego jedna powinna znajdować się poza Twoją organizacją.
Zabezpiecz kopie bezpieczeństwa
Tworzenie kopii to jedno, a odpowiednie ich zabezpieczenie i przechowywanie to drugie. Szyfruj je oraz ograniczaj do nich dostęp. Regularnie sprawdzaj, czy ich wykonywanie przebiega prawidłowo oraz czy da się z nich odtworzyć konfigurację.
Używaj najnowszych wersji oprogramowania
Wraz ze wzrostem złożoności używanego oprogramowania rośnie liczba potencjalnych błędów, które mogą zostać wykorzystane przez atakujących. Zawsze staraj się mieć jak najnowszą wersję oprogramowania, ale nie ufaj ślepo producentom. Przed instalacją na wszystkich urządzeniach przetestuj aktualizację w laboratorium lub na niewielkiej liczbie urządzeń. Traktuj łatki bezpieczeństwa wydawane przez producentów jako priorytetowe i nie zwlekaj z ich instalacją.
Korzystaj z najnowszych dostępnych wersji protokołów, gdy tylko to możliwe.
Zastąp tradycyjne SNMP z community stringami wersją 3, używaj SSH w wersji 2, itp.
Stosuj uwierzytelnianie w protokołach
Wiele z nich oferuje metody uwierzytelniania urządzeń po drugiej stronie połączenia. Pamiętaj, żeMD5 to lepsze zabezpieczenie niż brak zabezpieczenia.
Wyłącz niepotrzebne usługi oraz protokoły
Domyślna konfiguracja urządzeń jest dostosowana do szerokiego grona odbiorców i obejmuje wiele usług ułatwiających pracę. Jednakże część z tych usług jest zbędna i powinna być dezaktywowana. Jeśli zarządzasz infrastrukturą za pomocą wiersza poleceń, wyłącz możliwość konfiguracji poprzez GUI. Jeśli nie korzystasz z proxy-arp, wyłącz tę usługę. Skonfiguruj interfejsy tak, aby obsługiwały minimalną liczbę protokołów niezbędnych do pracy. Im mniej funkcjonalności jest włączonych, tym mniejsza liczba potencjalnych wektorów ataku.
Chroń Control Plane
Gdy to możliwe, stosuj CoPP (Control Plane Protection). Przydziel minimalną, niezbędną do prawidłowego funkcjonowania wielkość pasma dla każdego protokołu korzystającego z Control Plane i zachowaj niewielką jego część na wypadek pominięcia któregoś z protokołów.
Stosuj polityki bezpieczeństwa
Dobrze skonstruowane polityki bezpieczeństwa powinny zawierać jasne zasady i opierać się na najlepszych praktykach dotyczących bezpieczeństwa. Wyjątki należy traktować jako ostateczność i powinny być tymczasowe.
Stosuj telemetrię w sieci
Należy być świadomym tego, co dzieje się w sieci. Znajomość odpowiedzi na pytania „Co?”, „Kto?”, „Gdzie?” i „Jak?” jest ważna, ale równie istotne jest pytanie „Dlaczego?” oraz „Jakie są tego konsekwencje?”. Szersza perspektywa daje szansę na wcześniejsze wykrycie anomalii.
Podsumowanie
Przedstawiono sposoby zwiększenia bezpieczeństwa w sieci. Napisz w komentarzu, które z nich już zastosowałeś. Być może warto dodać coś do tej listy?