Router Säkerhetspolicy

Nätverkstrafik passerar genom routrar i form av paket. Ett paket innehåller data och all nödvändig styrinformation som krävs för att leverera det. När en router tar emot ett paket sker normalt följande:

  • Signaler konverteras till ettor och nollor
  • Ettor och nollor konverteras till ramar som innehåller paket
  • Paket kapslas av och router läser av destinationsadressen
  • Router söker efter en matchning i sin routing-tabell
  • Om en matchning hittas kapslas paketet om till ram och skickas till Datalänk skiktet för vidare hantering
  • Om ingen matchning hittas kasseras paketet omedelbart

Ett sådan arbetssätt ger absolut ingen säkerhet. Den som kan komma åt paketets adresser kan lätt läsa av styrinformation, ändra den och konstruera paket med vilket innehåll som helst. Syftet? Attacker kanske vill kidnappa routrar i ett nätverk. Maj 2018 kidnappades en halv miljon routrar i flera olika länder. Det framgår från artikeln från Bank info security: FBI Seizes Domain Controlling 500 000 Compromised Routers

Router säkerhetspolicy

Bild 1: Router Security Policy

Routrar används ofta i gränsen av vårt nätverk där vi använder de som uppkopplingsenhet till Internet eller som anslutning till andra nätverk. Internet är ett farligt ställe för routrar som riskerar för ett antal attacker. För att mildra dessa attacker bör man ha ett (formellt) dokument som beskriver hur nätverksadministratörer och säkerhetsspecialister ska hantera dessa attacker och hur routrarna ska skyddas. Ett sådan dokument kallas router säkerhetspolicy. Fördelen med att använda en säkerhetspolicy är att alla routrar har samma konsekventa säkerhetskonfigurationer. Med konsekventa menas ett antal regler som passar ihop i olika situationer relaterade till säkerhet.

Säkerhetsnivåer – Cisco NFP

Cisco delar nätverkssäkerhet upp i tre säkerhetsområde:

  • Management
  • Datafiltrering
  • Kontroll – Routing

Dessa tre säkerhetsområde ingår i Cisco NFP eller Nework Foundation Protection. Här nedan en illustration på NFP:

Bild 2: Cisco Network Foundation Protection

Management-nivå

I Management-nivå hanteras kommunikationen mellan nätverksadministratörs dator och router som konfigureras. Konfigurationer och kommandoexekveringar som skickas från nätverksadministratörens dator till router ska skyddas genom att använda lämpliga protokoll. Till exempel SSH istället Telnet, HTTPS istället för HTTP. Routern ska också svara via lämpliga protokoll exempelvis SNMP.

För att ge dig en idé på några aspekter som hanteras i Management-nivå kan nämnas följande:

  • Lösenord:
    • Tillåter du plaintext-lösenord i konfigurationer eller tillåter du bara krypterade lösenord?
    • Hur komplicerat ska lösenordet vara?
    • Hur ofta ska lösenord ändras?
  • Autentisering (Authentication):
    • Tillåter du lokal autentisering på routern eller ska autentisering ske via en RADIUS eller TACACS + -server?
    • Ska alla inloggningar- och utloggningar, vare sig lokalt eller externt, loggas (dokumenteras)?
    • Visar routern några banners till användare som försöker logga in till dina routrar?
  • Fjärranslutning (Remote Access):
    • Vilka protokoll tillåts vid fjärråtkomst? telnet?
    • Tillåts grafiska gränssnitt vid fjärråtkomst exempelvis CCP (Cisco Configuration Protocol)?
  • Tjänster: Körs onödiga nätverkstjänster på routern, bör de inte aktiveras av?
  • Säkerhetskopior (backup):
    • Finns det några säkerhetskopior av dina körkonfigurationer? De kan försvinna när som helst.
    • Lagrar du dessa säkerhetskopior i flashminne eller på en (TFTP) -server?
    • Lagrar du säkerhetskopior på en plats utanför din nätverksmiljö (Offsite)?
    • Dokumenterar du ändringar av dina konfigurationer?
  • Uppdateringar: Kontrollerar du någonsin om vad som stöds i nya IOS-versioner?
  • IOS säkerhet. Har du säkrat din routers IOS och dess konfigurationsfiler enligt Cisco Resilient?
  • Övervakning:
    • Använder du några övervakningsprotokoll som SNMP? vilken version?
    • Vad övervakar du? CPU-belastning? minnesanvändning? interface-statistik?
    • Använder du några accesslistor för dina SNMP-grupper?

Dataflöde

  • Filtrering:
    • Har du konfigurerat ACL på routern?
    • Hur ska en accesslist uppfattas inifrån och utifrån?
    • Blockerar ACL privata IP-adresser?
    • Använder du andra filtreringsmekanismer för att förhindra attacker exempelvis spoofing?
  • Övervakning – passar också bra på den här nivå med fokus på datatrafik på nätverk.

Kontroll – routing

  • Routing-protokoll: använder du någon autentisering för routing protokoll? Ändrar du någonsin lösenordet?

Förutom de ovan säkerhetsaspekter finns andra som bör också ges prioritet i en säkerhetspolicy exempelvis följande:

  • Redundans:
    • Har du en reservplan (plan B, backup) om din router går ner?
    • Använder du några redundansprotokoll som HSRP, VRRP eller GLBP?
    • Har du någon ersättningsutrustning?
  • Dokumentation:
    • Finns det några rutiner för att säkerställa att din dokumentation är uppdaterad?
  • Fysiskt åtkomst:
    • Vem har fysisk tillgång till din router (er)?
    • Har någonting implementerats för att förhindra åtkomst till konsolporten?