Чек-лист собран на примере оборудования Cisco\Mikrotik\Eltex\SNR\Qtech\D-link. Но "дополнив" некоторые пункты в соответствии с производителем - получите отличный список важных аспектов по безопасности вашего сетевого оборудования и не только.
1) Ограничьте физический доступ к вашему сетевому оборудованию, а также кабельной системе. Это снизит риски как случайных, так и целенаправленных вторжений.
2) Закрывайте доступ к консольному порту для пользовательского режима,оставляйте только для администратора.
3) Не используйте enable password даже в связке с service password-encryption. Используйте сложные пароли и enable secret.
4) НИКОГДА не используйте стандартные учетные записи. Придумывайте уникальные имена пользователей.
5) Не создавайте учетные записи с уровнем привилегий 15. Пароль учетной записи и пароль на enable должны быть разными!
6) Для настройки аутентификации используйте aaa new-model.
7) Запретите сброс пароля (no service password-recovery)на коммутаторах уровня доступа к которым возможен физический доступ.
8) Для настройки удаленного доступа используйте aaa new-model.
9) Не используйте Telnet в качестве протокола удаленного подключения.
10) Используйте защищенные протоколы удаленного подключения (например SSHv2).
11) При необходимости организации web-доступа к оборудованию, используйте HTTPS вместо HTTP. Помните об огромном количестве уязвимостей, связанных с HTTP/S.
12) Ограничьте удаленный доступ. Лишь несколько компьютеров должны иметь возможность подключения к оборудованию.
13) Для защиты от подбора паролей (Brute Force) настройте временную блокировку повторной аутентификации.
14) Задавайте имя устройства (hostname) и сообщение после аутентификации (banner exec), чтобы в будущем не “перепутать” оборудование.
15) Если в вашей сети более 10-и устройств, то лучше использовать
AAA-сервер.
16) Для аутентификации VPN-пользователей и WiFi-клиентов используйте RADIUS.Для аутентификации и авторизации администраторов на сетевом оборудовании - TACACS+.
17) Никогда не настраивайте вход ТОЛЬКО через ААА-сервер. Вы не сможете зайти на устройство, если сервер станет недоступен. Используйте локальную учетную запись, как резервный вариант входа.
18) Для централизованной смены паролей локальных учетных записей используйте менеджеры конфигураций (network configuration manager).
19) Пароли необходимо периодически менять вне зависимости от их сложности.
20) Соблюдайте парольную политику! Если ее нет - разработайте.
21) Не используйте клавиатурные комбинации при создании пароля.
22) Ни в коем случае не оставляйте пароли по умолчанию.
Придерживаясь этих советов, при организации доступа к оборудованию, вы существенно повысите безопасность вашей сети. При этом от вас не требуются какие-либо глубокие познания в области информационной безопасности.
