Routerssäkerhet

Att säkra edge-routern är ett kritiskt första steg för att säkra nätverket. Om det finns andra interna routrar måste de också vara säkrade särskilt i tre område: placering, operativsystem, konfigurationer

  • Placering
    • Placera routern och de andra fysiska nätverkshanterare som är anslutna till den i ett säkert låst rum som endast är tillgängligt för auktoriserad personal, är fritt från elektrostatiska eller magnetiska störningar, har brandsläckning och har temperatur- och luftfuktighetskontroller.
    • Installera en avbrottsfri strömförsörjning (Uninterruptible Power Supply – UPS) eller diesel reservkraftsgenerator, och ha reservdelar tillgängliga.
  • Operativsystem – Det finns några procedurer för att säkra funktionerna och prestanda hos routerns operativsystem:
    • Utrusta routern med maximal mängd minne som möjligt. Tillgängligheten av minne kan hjälpa till att minska riskerna för nätverket från vissa överbelastningsattacker (DoS) samtidigt som det stöder det bredaste utbudet av säkerhetstjänster.
    • Använd den senaste, stabila versionen av operativsystemet som uppfyller funktionsspecifikationerna för routern. Säkerhets- och krypteringsfunktioner i ett operativsystem förbättras kontinuerligt och uppdateras med tiden, vilket gör det avgörande att ha den mest uppdaterade versionen.
    • Behåll en säker kopia av routerns operativsystem och routerkonfigurationsfiler som säkerhetskopior.
  • Konfigurationer – Eliminera potentiellt missbruk av oanvända portar och tjänster:
    • Säkra administrativ åtkomst. Se till att endast behörig personal har åtkomst och att deras åtkomstnivå är kontrollerad.
    • Inaktivera oanvända portar och gränssnitt. Minska antalet sätt som en enhet kan nås.
    • Inaktivera onödiga tjänster. Vissa av dessa tjänster kan användas av en hacker för att samla information om routern och nätverket, som sedan kan utnyttjas i en exploateringsattack

Säker administrativ åtkomst

Att säkra administrativ åtkomst är en extremt viktig säkerhetsuppgift. Här nedan några av flera viktiga säkerhetsaspekter:

  • Begränsa enhetens åtkomst – Begränsa åtkomst via portarna, även de som används av tillåtna administratörer ska begränsas och kontrolleras. Begränsa även alla andra tillåtna åtkomstmetoderna.
  • Kontrollera inloggningar – Registrera och följa upp alla som har åtkomst och är inloggad till en nätverkshanterare. Registrera vad som hände under åtkomsten så att åtkomsten kan granskas.
  • Autentisera åtkomst – Se till att åtkomst endast ges till autentiserade användare, grupper och tjänster. Begränsa antalet misslyckade inloggningsförsök och den tillåtna tiden mellan inloggningar.
  • Auktorisera åtgärder – Begränsa de åtgärder och vyer som tillåts av en viss användare, grupp eller tjänst.
  • Presentera juridiskt meddelande – Visa ett juridiskt meddelande, utvecklat i samarbete med företagets juridiska rådgivare, för interaktiva sessioner.
  • Säkerställa konfidentialitet för data – Skydda lokalt lagrad och känslig data från att ses och kopieras. Tänk på sårbarheten hos data som transporteras över en kommunikationskanal för sniffning, sessionskapning (hijacking) och MITM-attacker (avlyssningar).

Säker åtkomst

En router kan nås för administrativa ändamål lokalt eller på distans:

  • Lokal åtkomst – Alla nätverkshanterare kan nås lokalt. Nätverksadministratören måste ha fysisk åtkomst till routern och använda en konsolkabel för att ansluta till konsolporten och en dator som kör terminalemuleringsprogram. Lokal åtkomst används vanligtvis för initiala konfigurationer.
  • Fjärråtkomst – Nätverksadministratörer kan också komma åt nätverkshanterare på distans, via Internet. Även om alternativet aux-port är tillgängligt, är den vanligaste fjärråtkomstmetoden att tillåta Telnet-, SSH-, HTTP-, HTTPS- eller SNMP-anslutningar till routern från en dator. Datorn kan vara på det lokala nätverket eller på Internet.

Vissa fjärråtkomstprotokoll skickar data, inklusive användarnamn och lösenord, till routern i klartext. Om en hacker kan samla in nätverkstrafik under fjärranslutningen kan fångas in lösenord och konfigurationer. Av denna anledning bör försiktighetsåtgärder vidtas vid fjärråtkomst till exempel:

  • Kryptera all trafik mellan administratörsdatorn och routern. Till exempel, istället för att använda Telnet, använd SSH version 2; eller istället för att använda HTTP, använd HTTPS.
  • Etablera ett dedikerat hanteringsnätverk, ett separat nätverk för en kontrollerad nätverksadministration.

  • Konfigurera ett paketfiltrering så att endast de identifierade datorer som används för fjärråtkomst och utvalda protokollen får åtkomst till routern. Tillåt till exempel endast SSH-anslutning.
  • Konfigurera och upprätta en VPN-anslutning till det lokala nätverket innan man kommer åt nätverkshanterare.

Dessa säkerhetsåtgärder är värdefulla, men de skyddar inte nätverket helt. Andra försvarsmetoder måste också implementeras. En av de mest grundläggande och viktigaste metoderna är användningen av ett säkert lösenord.