Zabezpieczanie infrastruktury to niekończący się proces, który polega na ciągłym testowaniu i ulepszaniu. Warto podchodzić do tego skrupulatnie i metodycznie – idealnie sprawdzi się tutaj proponowana poniżej 13-punktowa checklista bezpieczeństwa dla sieciowca.
1. Segmentuj sieć z podziałem na funkcje
Segmentacja sieci to bardzo istotny element jej bezpieczeństwa. Odpowiednio przeprowadzona ogranicza niepotrzebny ruch w sieci, poprawia wykorzystanie infrastruktury oraz zmniejsza możliwy wektor ataku.
2. Zabezpiecz fizyczny dostęp do urządzeń
Urządzenia sieciowe podatne są jednakowo na ataki z zewnątrz, jak i wewnątrz sieci. Zagrożenie pochodzi nie tylko z zaufanych urządzeń, które zostały wcześniej zhackowane, ale również z bezpośredniego, nieautoryzowanego dostępu. Ograniczaj fizyczny dostęp do sprzętu do minimum. Dobrym pomysłem jest również odpowiednie zabezpieczenie dostępu poprzez port konsolowy, stosowanie dot1x na portach dostępowych oraz wyłączenie nieużywanych portów uplinkowych.
3. Zabezpiecz zdalny dostęp
Stosuj framework AAA w zarządzaniu dostępem i uprawnieniami oraz w logowaniu zdarzeń. Skonfiguruj zdalny dostęp do wirtualnych terminali oraz portu konsolowego. Nie pozostawiaj domyślnej konfiguracji i ograniczaj dostęp, stosując listy dostępu (ang. ACL). Używaj mocnych i nieopartych na słowniku haseł.
4. Szyfruj zdalne połączenia
Zdalne łączenie się do urządzeń powinno odbywać się za pomocą bezpiecznych protokołów. Zastąp poczciwy Telnet połączeniem SSH, zapomnij o TFTP oraz nieszyfrowanym FTP.
5. Twórz kopie bezpieczeństwa
Każda zmiana w konfiguracji powinna być logowana i generować wykonanie kopii bezpieczeństwa w celu szybkiego jej odtworzenia. Przechowuj kopie w bezpiecznym miejscu, poza urządzeniem. Powinieneś posiadać co najmniej dwie, z czego jedna powinna znajdować się poza Twoją organizacją.
6. Zabezpiecz kopie bezpieczeństwa
Tworzenie kopii to jedno, a odpowiednie ich zabezpieczenie i przechowywanie to drugie. Szyfruj je oraz ograniczaj do nich dostęp. Regularnie sprawdzaj, czy ich wykonywanie przebiega prawidłowo oraz czy da się z nich odtworzyć konfigurację.
7. Używaj najnowszych wersji oprogramowania
Wraz ze wzrostem skomplikowania oprogramowania, z którego korzystamy, rośnie liczba potencjalnych błędów, które może wykorzystać atakujący. Staraj się mieć zawsze jak najaktualniejszą wersję oprogramowania, ale nie wierz ślepo producentom. Przetestuj aktualizację w labie lub na małej liczbie urządzeń, zanim zainstalujesz ją na wszystkich urządzeniach. Wydawane przez producentów łatki bezpieczeństwa traktuj priorytetowo i nie zwlekaj z ich instalacją.
8. Korzystaj z najnowszych dostępnych wersji protokołów
Kiedy tylko to możliwe, stosuj najnowsze dostępne wersje protokołów. Zastąp poczciwe SNMP z community stringami wersją 3, używaj SSH w wersji 2 itd.
9. Stosuj uwierzytelnianie w protokołach
Wiele protokołów zapewnia jakąś metodę na uwierzytelnianie urządzenia po drugiej stronie połączenia. Pamiętaj, lepsze zabezpieczenie MD5 niż żadne.
10. Wyłącz niepotrzebne usługi oraz protokoły
Domyślna konfiguracja urządzeń jest przeznaczona dla jak największej liczby odbiorców i obejmuje wiele usług ułatwiających pracę. Oznacza to jednak, że część tych usług jest zbędna i należy je wyłączyć. Zarządzasz infrastrukturą za pomocą wiersza poleceń? Wyłącz możliwość konfiguracji poprzez GUI. Nie korzystasz z proxy-arp? Wyłącz tę usługę. Skonfiguruj interfejsy w taki sposób, aby obsługiwały najmniejszą potrzebną do pracy liczbę protokołów. Im mniej włączonych funkcjonalności, tym mniej potencjalnych wektorów do ataku.
11. Chroń Control Plane
Jeśli to tylko możliwe, stosuj CoPP (Control Plane Protection). Przydziel minimalną, niezbędną do prawidłowej pracy wielkość pasma dla każdego protokołu, który korzysta z Control Plane, oraz pozostaw na końcu niewielką jego część na wypadek przegapienia jakiegoś protokołu.
12. Stosuj polityki bezpieczeństwa
Dobrze skonstruowane polityki bezpieczeństwa powinny zawierać jasne zasady oraz opierać się na najlepszych praktykach w temacie bezpieczeństwa. Wyjątki należy traktować jako ostateczność i powinny być one tymczasowe.
13. Stosuj telemetrię w sieci
Musisz wiedzieć, co się dzieje w Twojej sieci. Znać odpowiedzi nie tylko na pytania „Co?”, „Kto?”, „Gdzie?” i „Jak?”, ale również „Dlaczego?” oraz „Co z tego wynika?”. Szersza perspektywa to szansa na wcześniejsze wykrycie anomalii.
Podsumowanie
Poznałeś sposoby na zwiększenie bezpieczeństwa w swojej sieci. Daj znać w komentarzu, które z nich już wdrożyłeś. A może warto dopisać coś do listy?
0 komentarzy