Säkrad router

Routrar, switchar, servrar, datorklienter och andra liknande enheter omfattas i en organisations säkerhetspolicy. Om en hacker kommer åt till en av dessa maskiner riskeras hela nätverkssäkerheten.

Bild 1: Axel surfning

Nätverksadministratörer bör inte arbeta i öppna arbetsmiljö och utsättas till ”axel surfning” och inte heller bör systemadministratörer logga in på klientdatorer med högbehöriga användarkonto. Det är viktigt att lämpliga säkerhets principer och kontroller vidtas för att förhindra obehörig åtkomst till alla infrastruktur-enheter.

Routrar är det primära målet för hacker. Detta beror på routrars funktioner som dirigerar datatrafiken inom och utanför ett nätverk. Den router som placeras mellan det interna och externa nätverk (edge router) är oftast den första och sista försvarslinjen för ett nätverk.

Internetleverantörer lämnar oftast en anslutningspunkt (fiber/kabel/TP uttag) eller en router ditt ett företags nätverk kan anslutas. Även om oftast routrar och switchar placeras till en isolerade plats/skåp eller liknande, finns det risker att komma åt dessa utrustningar. Internetleverantörens router är väl konfigurerad för datafiltrering  samt andra lämpliga säkerhetskonfigurationer och man kommer åt dem så ett stort område riskeras.

Edge-router

En edge-router kan installeras och konfigureras i enlighet med komplexitet i organisationers nätverksmiljö. Beroende på implementationen kan en enda router  eller flera routrar skydda det interna nätverket.

En router implementation

En enda router konfigureras med alla säkerhetspolicy för att skydda det hela interna nätverket. En sådan router placeras ofta i små nätverk exempelvis i ett företags nätverk (branch nätverk) eller ett Small Office/Home Office (SOHO) nätverk. I ett företags/SOHO nätverk finns ofta flera andra nätverkshanterare som tillsammans koppas till en edge-router som ger internetuppkoppling. I mindre nätverk kan användas en ISR (Integrated Services Router) router exempelvis hemma.

Bild 2: En router implementation

Flera routrar eller Defense-in-Depth implementation

Denna implementation är absolut säkrare än en-router-implementationen. I en Defence-in-Depth säkerhetsstrategi agerar en router (edge-router) som första kontakten (screening router). Därefter passerar alla datatrafiken via brandväggar i direkt samarbete med screening-routern.

Bild 3: Defense-in-Depth implementation

DMZ implementation

En variant av defense-in-depth säkerhetsstrategi är att erbjuda ett mellanliggande område ofta kallad “den demilitariserade zonen” (DMZ). Denna implementation kan användas för servrar som måste vara tillgängliga från Internet eller något annat externt nätverk. DMZ kan ställas in mellan två routrar, med en intern router som ansluter till det skyddade nätverket och en extern router som ansluter till oskyddat nätverk. Alternativt kan DMZ helt enkelt vara en extra port av av en enda router.

Bild 4: DMZ implementation

Brandväggen, som ligger mellan de skyddade och oskyddade nätverk, är inställd på att tillåta nödvändiga anslutningar (t.ex. HTTP) från utsidans (otillförlitliga) nätverk för åtkomst av offentliga servrarna i DMZ. Brandväggen fungerar som den primära skydd för alla enheter på DMZ även om routern fortsätter filtrera datatrafiken.

Att säkra routrar

Skalsäkerhet

  • routrar och switchar placeras i ett slutet rum ditt endast behöriga har tillträde. Rummet är anpassat för temperatur och fuktighet, elektrostatiska eller elektromagnetiska interferenser.
  • reservenergikällor som batterier eller extra elaggregat.

Säkerhetskonfigurationer

  • säkra administrativa åtkomst för behöriga administratörer
  • inaktivera eller stänga oanvända portar eller interface.
  • inaktivera onödiga tjänster

Operativsystems säkerhet

  • installera arbetsminne tillräckligt stort så att det finns lagringsutrymme när det inträffar DoS attacker
  • installera senast men stabilt version av operativsystem
  • spara en kopia av rätt operativsystem-image och konfigurationsfil.

Åtkomst till edge-router

Det finns två åtkomstmetoder, lokalanslutning och fjärranslutning.

  • Lokalanslutning kräver konsolkabel och terminalemulerings program. Anslutningen kan göras med konsolkabel eller via Telnet förutsatt att interfacet har IP-konfigurerats.
  • Fjärranslutning kräver rätt  protokoll, terminalemulerings program och ett fungerande IP-nätverk. Anslutningen kan göras via en VTY interface. Det är också möjligt att komma åt routern via telefonnätet via auxiliary port.

Vid fjärranslutning bör användas SSH istället Telnet samt istället HTTP bör användas HTTPS anslutningar.

Bild 5: Administrations nätverk

Ett speciellt och dedikerade nätverk bör installeras så att administrationsdatorer och ett av routerns interface placeras i samma nätverk. Dessutom kan konfigureras paketfiltrering via ACL som identifierar giltiga datatrafik exempelvis endast SSH datatrafik och inte Telnet.

Ovan säkerhetsåtgärder är inte tillräckliga för ett komplett säkrat nätverk. Andra liknande åtgärder behöver utföras exempelvis lösenordshanteringar.

Säkra lösenord

  • använd minst 10 eller fler bokstäver och tecken
  • använd komplexa eller starka lösenord som resulterar i en kombination av stora och små bokstäver, nummer, symboler och mellanslag
  • undvik kända lösenord exempelvis Hemligt eller liknande lexikonord, användarnamn, smeknamns, repetitioner av samma lösenord, o.s.v.
  • felstavade lösenord är ett bra alternativ exempelvis HenLigt eller secret, toyotaCelica, etc.
  • ändra ofta lösenord och undvik repetitioner med få ändringar
  • spara aldrig lappar med lösenord i självklara platser som till exempel under tangentbordet.

På flera Cisco routrar och switchar mellanslag räknas och inte ignoreras förutsatt att de används inte i början av lösenorden. Detta ger möjligheten att skriva fraser som kan vara svara att gissa det.