Чек-лист по безопасности сетевого оборудования

Данный чек-лист подобран на примере оборудования Cisco. Но "дополнив" некоторые пункты в соответствии с производителем - получите отличный список важных аспектов по безопасности вашего сетевого оборудования и не только.

1. Ограничьте физический доступ к вашему сетевому оборудованию, а также кабельной системе. Это снизит риски как случайных, так и целенаправленных вторжений.
2. Закрывайте доступ к консольному порту даже для пользовательского режима.
3. Не используйте ​enable password даже в связке с ​service password-encryption. ​Используйте сложные пароли и ​enable secret.
4. НИКОГДА не используйте стандартные учетные записи. Придумывайте уникальные имена пользователей.
5. Не создавайте учетные записи с уровнем привилегий 15. Пароль учетной записи и пароль на ​enable ​должны быть разными!
6. Для настройки аутентификации используйте ​aaa new-model.​
7. Запретите сброс пароля (​no service password-recovery)​на коммутаторах уровня доступа к которым возможен физический доступ.
8. Для настройки удаленного доступа используйте ​aaa new-model
9. Не используйте ​Telnet ​в качестве протокола удаленного подключения
10. Используйте защищенные протоколы удаленного подключения (например SSHv2)
11. При необходимости организации web-доступа к оборудованию, используйте HTTPS ​вместо ​HTTP.​ Помните об огромном количестве уязвимостей, связанных с ​HTTP/S.​
12. Ограничьте удаленный доступ. Лишь несколько компьютеров должны иметь возможность подключения к оборудованию.
13. Для защиты от подбора паролей (​Brute Force)​ настройте временную блокировку повторной аутентификации.
14. Задавайте имя устройства (​hostname)​ и сообщение после аутентификации
    (​banner exec)​, чтобы в будущем не “перепутать” оборудование.
15. Если в вашей сети более 10-и устройств, то вы просто обязаны использовать AAA-server
16. Для аутентификации VPN-пользователей и WiFi-клиентов используйте RADIUS. ​Для аутентификации и авторизации администраторов на сетевом оборудовании - ​TACACS+.​
17. Никогда не настраивайте вход ТОЛЬКО через ААА-server. Вы не сможете зайти на устройство, если сервер станет недоступен. Используйте локальную учетную запись, как резервный вариант входа.
18. Для централизованной смены паролей локальных учетных записей используйте менеджеры конфигураций (​network configuration manager)​
19. Пароли необходимо периодически менять вне зависимости от их сложности.
20. Соблюдайте парольную политику! Если ее нет - разработайте.
21. Не используйте клавиатурные комбинации при создании пароля.
22. НИ В КОЕМ СЛУЧАЕ не оставляйте пароли по умолчанию.

Придерживаясь этих советов, при организации доступа к оборудованию, вы существенно повысите безопасность вашей сети. При этом от вас не требуются какие-либо глубокие познания в области информационной безопасности.