Back to Top
 
IT-Grundschutz

NET: Netze und Kommunikation

NET.3.1 Router und Switches

3 Anforderungen

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN für den Baustein Router und Switches vorrangig umgesetzt werden:

NET.3.1.A1 Sichere Grundkonfiguration eines Routers oder Switches

Bevor ein Router oder Switch eingesetzt wird, MUSS er sicher konfiguriert werden. Die Geräte DÜRFEN NUR von dafür autorisierten Personen installiert und konfiguriert werden. Alle Konfigurationsänderungen SOLLTEN nachvollziehbar dokumentiert sein (siehe NET.3.2.A9 Betriebsdokumentationen). Die Integrität der Konfigurationsdateien MUSS in geeigneter Weise geschützt werden. Zugangspasswörter MÜSSEN verschlüsselt gespeichert werden.

Router und Switches MÜSSEN so konfiguriert sein, dass nur zwingend erforderliche Dienste, Protokolle und funktionale Erweiterungen genutzt werden. Nicht benötigte Dienste, Protokolle und funktionale Erweiterungen MÜSSEN deaktiviert oder ganz deinstalliert werden. Ebenfalls MÜSSEN nicht benutzte Schnittstellen auf Routern und Switches deaktiviert oder zumindest einem dafür eingerichteten Unassigned VLAN zugeordnet werden.

Wenn funktionale Erweiterungen benutzt werden, MÜSSEN die Sicherheitsrichtlinien der Institution weiterhin erfüllt sein. Auch SOLLTE begründet und dokumentiert werden, warum solche Erweiterungen eingesetzt werden.

Informationen über den internen Konfigurations- und Betriebszustand MÜSSEN nach außen verborgen werden. Unnötige Auskunftsdienste MÜSSEN deaktiviert werden.

Bevor Router und Switches in Betrieb genommen werden, MÜSSEN die Standard-Benutzerkonten geändert werden. Passwörter dieser Konten MÜSSEN geändert werden. Nicht benutzte Benutzerkonten MÜSSEN deaktiviert werden. Entsprechend dem Rechte- und Rollenkonzept MÜSSEN anschließend die vorgesehenen Benutzerkonten und -rollen eingerichtet werden.

NET.3.1.A2 Einspielen von Updates und Patches

Die Verantwortlichen MÜSSEN sich über bekannt gewordene Schwachstellen informieren. Updates und Patches MÜSSEN so schnell wie möglich eingespielt werden. Vorab SOLLTE auf einem Testsystem überprüft werden, ob die Sicherheitsupdates kompatibel sind und keine Fehler verursachen. Solange keine Patches für bekannte Schwachstellen verfügbar sind, MÜSSEN andere geeignete Maßnahmen getroffen werden, um Router und Switches zu schützen.

Es MUSS darauf geachtet werden, dass Patches und Updates nur aus vertrauenswürdigen Quellen bezogen werden. Sofern vom Hersteller angeboten, SOLLTEN die Update-Prüfsummen verglichen bzw. die digitalen Signaturen überprüft werden.

NET.3.1.A3 Restriktive Rechtevergabe

Es MUSS geregelt werden, wer auf einen Router oder Switch zugreifen darf. Dabei DÜRFEN immer NUR so viele Zugriffsrechte vergeben werden, wie sie für die jeweiligen Aufgaben erforderlich sind (Minimalprinzip). Nicht mehr benötigte Benutzerkonten MÜSSEN entfernt werden. Es MUSS sichergestellt werden, dass mit Administrator-Rechten (bzw. Root-Rechten) nur gearbeitet wird, wenn es notwendig ist.

NET.3.1.A4 Schutz der Administrationsschnittstellen

Alle Administrations- und Managementzugänge der Router und Switches MÜSSEN auf einzelne Quell-IP-Adressen bzw. -Adressbereiche eingeschränkt werden. Es MUSS sichergestellt sein, dass aus nicht vertrauenswürdigen Netzen heraus nicht direkt auf die Administrationsschnittstellen zugegriffen werden kann.

Um Router und Switches zu administrieren bzw. zu überwachen, SOLLTEN ausreichend verschlüsselte Protokolle eingesetzt werden. Sollte dennoch auf unverschlüsselte und damit unsichere Protokolle zurückgegriffen werden, MUSS für die Administration ein eigenes Administrationsnetz (Out-of-Band-Management) genutzt werden. Die Managementschnittstellen und die Administrationsverbindungen MÜSSEN durch eine separate Firewall geschützt werden. Für die Schnittstellen MÜSSEN geeignete Zeitbeschränkungen vorgegeben werden.

Alle für das Management-Interface nicht benötigten Dienste MÜSSEN deaktiviert werden. Verfügt eine Netzkomponente über eine dedizierte Hardwareschnittstelle, MUSS der unberechtigte Zugriff auf diese in geeigneter Weiseb unterbunden werden.

NET.3.1.A5 Schutz vor Fragmentierungsangriffen

Am Router und Layer-3-Switch MÜSSEN Schutzmechanismen aktiviert sein, um IPv4- sowie IPv6-Fragmentierungsangriffe abzuwehren.