NET.3.1 Router und Switches
NET.3.1 Router und Switches - Sicherer Einsatz von Router und Switches
Beschreibung[Bearbeiten | Quelltext bearbeiten]
Router und Switches sind unverzichtbare aktive Komponenten von Computernetzwerken
- MÜSSEN besonders gesichert werden
- Ausfall führt zum Stillstand des Netzwerkes
Router[Bearbeiten | Quelltext bearbeiten]
- Verbindungen zwischen Systemen auf OSI-Layer 3
- Quellnetz/Zielnetz, Quellsystem/Zielsystem, meist IP
- Netze verbinden, Netze segmentieren
- OSI-Schicht 3 (Netzschicht)
- Vermitteln Datenpakete anhand der Ziel-IP-Adresse im IP-Header
- Verbindung verschiedener Topografien
Switches[Bearbeiten | Quelltext bearbeiten]
Klassische Switches arbeiten auf dem Data-Link-Layer des OSI-Referenzmodells
- Switches mit unterschiedlichen Funktionen
Hersteller kennzeichnen Geräte oft mit dem OSI-Layer, der unterstützt wird
- Layer-3- und Layer-4-Switches
- sind funktional Router
- Funktionen von Switches und Routern in einem Gerät
Abgrenzung und Modellierung[Bearbeiten | Quelltext bearbeiten]
- NET.3.1 Router und Switches ist auf jeden Router und Switch anzuwenden
Abgrenzung[Bearbeiten | Quelltext bearbeiten]
Option | Beschreibung |
---|---|
Herstellerunabhängigkeit | Keine Beschreibung von Anforderungen für bestimmte Produkte |
Routern und Switches | Weitgehend nicht unterschieden |
Routing-Funktionen von Betriebssysteme | nicht gesondert beschrieben |
Virtuelle Router und Switches | nicht gesondert beschrieben |
Modellierung[Bearbeiten | Quelltext bearbeiten]
Option | Beschreibung |
---|---|
Infrastrukturellen Sicherheit | Bausteine der Schicht INF Infrastruktur
|
Firewall | |
Netzdesigns und -managements | |
Zu berücksichtigende Bausteine |
Gefährdungslage[Bearbeiten | Quelltext bearbeiten]
Gefährdung | Beschreibung |
---|---|
Distributed Denial of Service (DDoS) | Ausfall von Diensten aufgrund zu vieler Verbindungsanfragen von vielen verschiedenen Rechnern |
Manipulation | Gelingt es einem Angreifer, unberechtigt auf einen Router oder Switch zuzugreifen, kann er die Geräte neu konfigurieren oder auch zusätzliche Dienste starten.
|
Fehlerhafte Konfiguration | Router und Switches werden mit einer Standardkonfiguration ausgeliefert, in der viele Dienste aktiviert sind.
|
Fehlerhafte Planung und Konzeption | Viele Institutionen planen und konzipieren den Einsatz von Routern und Switches fehlerhaft.
|
Inkompatible aktive Netzkomponenten | Kompatibilitätsprobleme können insbesondere dann entstehen, wenn bestehende Netze um aktive Netzkomponenten anderer Hersteller ergänzt oder wenn Netze mit Netzkomponenten unterschiedlicher Hersteller betrieben werden.
|
MAC-Flooding | Beim MAC-Flooding schickt ein Angreifer viele Anfragen mit wechselnden Quell-MAC-Adressen an einen Switch.
|
Spanning-Tree-Angriffe | Bei Spanning-Tree-Angriffen versendet ein Angreifer sogenannte Bridge Protocol Data Units (BPDUs), mit dem Ziel, die Switches dazu zu bringen, seinen eigenen (bösartigen) Switch als Root Bridge anzusehen.
|
GARP-Attacken | Bei Gratuitous-ARP (GARP)-Attacken sendet der Angreifer unaufgeforderte ARP-Antworten an bestimmte Opfer oder an alle IT-Systeme im selben Subnetz.
|
Elementaren Gefährdungen[Bearbeiten | Quelltext bearbeiten]
- Kreuzreferenztabelle
- Zuordnung von elementaren Gefährdungen zu den Anforderungen
- Anhand dieser Tabelle kann ermittelt werden, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind.
- Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entsprechenden elementaren Gefährdungen entgegengewirkt.
- Die Buchstaben in der zweiten Spalte (C =Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden.
Nr | Gefährdung | Grundwert |
---|---|---|
G 0.09 | Ausfall oder Störung von Kommunikationsnetzen | |
G 0.11 | Ausfall oder Störung von Dienstleistern | |
G 0.14 | Ausspähen von Informationen (Spionage) | |
G 0.15 | Abhören | |
G 0.18 | Fehlplanung oder fehlende Anpassung | |
G 0.19 | Offenlegung schützenswerter Informationen | |
G 0.20 | Informationen oder Produkte aus unzuverlässiger Quelle | |
G 0.21 | Manipulation von Hard- oder Software | |
G 0.22 | Manipulation von Informationen | |
G 0.23 | Unbefugtes Eindringen in IT-Systeme | |
G 0.25 | Ausfall von Geräten oder Systemen | |
G 0.26 | Fehlfunktion von Geräten oder Systemen | |
G 0.27 | Ressourcenmangel | |
G 0.29 | Verstoß gegen Gesetze oder Regelungen | |
G 0.30 | Unberechtigte Nutzung oder Administration von Geräten und Systemen | |
G 0.31 | Fehlerhafte Nutzung oder Administration von Geräten und Systemen | |
G 0.32 | Missbrauch von Berechtigungen | |
G 0.36 | Identitätsdiebstahl | |
G 0.37 | Abstreiten von Handlungen | |
G 0.38 | Missbrauch personenbezogener Daten | |
G 0.40 | Verhinderung von Diensten (Denial of Service) | |
G 0.43 | Einspielen von Nachrichten | |
G 0.45 | Datenverlust | |
G 0.46 | Integritätsverlust schützenswerter Informationen |
Zuständigkeiten[Bearbeiten | Quelltext bearbeiten]
- Rollen und Zuständigkeiten
- Grundsätzlich ist der IT-Betrieb für die Erfüllung der Anforderungen zuständig.
- Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen.
- Außerdem ist der ISB dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden.
- Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten beider Erfüllung von Anforderungen haben.
- Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt.
- Zuständigkeiten Rollen Grundsätzlich zuständig IT-Betrieb
- Weitere Zuständigkeiten
Anforderungen[Bearbeiten | Quelltext bearbeiten]
Schutzbedarf | Beschreibung |
---|---|
Basis | MÜSSEN vorrangig erfüllt werden |
Standard | SOLLTEN grundsätzlich erfüllt werden |
Erhöht | Exemplarische Vorschläge |
Basis[Bearbeiten | Quelltext bearbeiten]
- Basis-Anforderungen MÜSSEN vorrangig erfüllt werden
Anforderung | Beschreibung | Zuständigkeit |
---|---|---|
A1 | Grundkonfiguration | |
A2 | ENTFALLEN | |
A3 | ENTFALLEN | |
A4 | Administrationsschnittstellen | |
A5 | Fragmentierungsangriffe | |
A6 | Notfallzugriff | |
A7 | Protokollierung | |
A8 | Datensicherung | |
A9 | Betriebsdokumentationen |
A1 Sichere Grundkonfiguration eines Routers oder Switches[Bearbeiten | Quelltext bearbeiten]
- Bevor ein Router oder Switch eingesetzt wird, MUSS er sicher konfiguriert werden
- Alle Konfigurationsänderungen SOLLTEN nachvollziehbar dokumentiert sein
- Die Integrität der Konfigurationsdateien MUSS in geeigneter Weise geschützt werden
- Bevor Zugangspasswörter abgespeichert werden, MÜSSEN sie mithilfe eines zeitgemäßen kryptografischen Verfahrens abgesichert werden
- siehe CON.1 Kryptokonzept
- Router und Switches MÜSSEN so konfiguriert sein, dass nur zwingend erforderliche Dienste, Protokolle und funktionale Erweiterungen genutzt werden.
- Nicht benötigte Dienste, Protokolle und funktionale Erweiterungen MÜSSEN deaktiviert oder ganz deinstalliert werden.
- Ebenfalls MÜSSEN nicht benutzte Schnittstellen auf Routern und Switches deaktiviert werden.
- Unbenutzte Netzports MÜSSEN nach Möglichkeit deaktiviert oder zumindest einem dafür eingerichteten Unassigned-VLAN zugeordnet werden.
- Funktionale Erweiterungen MÜSSEN die Sicherheitsrichtlinien der Institution erfüllen
- Auch SOLLTE begründet und dokumentiert werden, warum solche Erweiterungen eingesetzt werden.
- Informationen über den internen Konfigurations- und Betriebszustand MÜSSEN nach außen verborgen werden.
- Unnötige Auskunftsdienste MÜSSEN deaktiviert werden.
A4 Schutz der Administrationsschnittstellen[Bearbeiten | Quelltext bearbeiten]
- Alle Administrations- und Managementzugänge der Router und Switches MÜSSEN auf einzelne Quell-IP-Adressen bzw. -Adressbereiche eingeschränkt werden
- Es MUSS sichergestellt sein, dass aus nichtvertrauenswürdigen Netzen heraus nicht direkt auf die Administrationsschnittstellen zugegriffen werden kann.
- Um Router und Switches zu administrieren bzw. zu überwachen, SOLLTEN geeignet verschlüsselte Protokolle eingesetzt werden.
- Sollte dennoch auf unverschlüsselte Protokolle zurückgegriffen werden, MUSS für die Administration ein eigenes Administrationsnetz (Out-of-Band-Management) genutzt werden.
- Die Managementschnittstellen und die Administrationsverbindungen MÜSSEN durch eine separate Firewallgeschützt werden.
- Für die Schnittstellen MÜSSEN geeignete Zeitbeschränkungen für z. B. Timeoutsvorgegeben werden.
- Alle für das Management-Interface nicht benötigten Dienste MÜSSEN deaktiviert werden.
- Verfügt eine Netzkomponente über eine dedizierte Hardwareschnittstelle, MUSS der unberechtigte Zugriff darauf in geeigneter Weise unterbunden werden.
A5 Schutz vor Fragmentierungsangriffen[Bearbeiten | Quelltext bearbeiten]
An Routern und Layer-3-Switches MÜSSEN Mechanismen zum Schutz vor IPv4/v6-Fragmentierungsangriffe abzuwehren
A6 Notfallzugriff auf Router und Switches[Bearbeiten | Quelltext bearbeiten]
- Es MUSS für die Administratoren immer möglich sein, direkt auf Router und Switches zuzugreifen
- sodass diese weiterhin lokal administriert werden können, auch wenn das gesamte Netz ausfällt.
A7 Protokollierung[Bearbeiten | Quelltext bearbeiten]
- Protokollierung bei Routern und Switches
- Ein Router oder Switch MUSS so konfiguriert werden, dass er unter anderem folgende Ereignisse protokolliert:
- Konfigurationsänderungen (möglichst automatisch)
- Reboot
- Systemfehler
- Statusänderungen pro Interface, System und Netzsegment sowie
- Login-Fehler
A8 Regelmäßige Datensicherung[Bearbeiten | Quelltext bearbeiten]
- Konfigurationsdateien von Routern und Switches MÜSSEN regelmäßig gesichert werden
- Sicherungskopien MÜSSEN so abgelegt werden, dass im Notfall darauf zugegriffen werden kann
A9 Betriebsdokumentationen[Bearbeiten | Quelltext bearbeiten]
- Die wichtigsten betrieblichen Aufgaben eines Routers oder Switches MÜSSEN geeignet dokumentiert werden
- Es SOLLTEN alle Konfigurationsänderungen sowie sicherheitsrelevante Aufgaben dokumentiert werden
- Die Dokumentation SOLLTEN vor unbefugten Zugriffen geschützt werden
Standard[Bearbeiten | Quelltext bearbeiten]
- Basis-Anforderungen und Standard-Anforderungen entsprechen dem Stand der Technik für den Baustein NET.3.1 Router und Switches
- Standard-Anforderungen SOLLTEN grundsätzlich erfüllt werden
Anforderung | Beschreibung |
---|---|
A10 | Erstellung einer Sicherheitsrichtlinie (S) |
A11 | Beschaffung eines Routers oder Switches (S) |
A12 | Erstellung einer Konfigurations-Checkliste für Router und Switches (S) |
A13 | Administration über ein gesondertes Managementnetz |
A14 | Schutz vor Missbrauch von ICMP-Nachrichten (S) |
A15 | Bogon- und Spoofing-Filterung (S) |
A16 | Schutz vor „IPv6 Routing Header Type-0“-Angriffen (S) |
A17 | Schutz vor DoS- und DDoS-Angriffen (S) |
A18 | Einrichtung von Access Control Lists (S) |
A19 | Sicherung von Switch-Ports (S) |
A20 | Sicherheitsaspekte von Routing-Protokollen (S) |
A21 | Identitäts- und Berechtigungsmanagement in der Netzinfrastruktur(S) |
A22 | Notfallvorsorge bei Routern und Switches (S) |
A23 | Revision und Penetrationstests (S) |
A10 Erstellung einer Sicherheitsrichtlinie (S)[Bearbeiten | Quelltext bearbeiten]
- Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution SOLLTE eine spezifische Sicherheitsrichtlinie erstellt werden
- In der Sicherheitsrichtlinie SOLLTEN nachvollziehbar Anforderungen und Vorgaben beschrieben sein, wie Router und Switches sicher betrieben werden können.
- Die Richtlinie SOLLTE allen Administratoren bekannt und grundlegend für ihre Arbeit sein.
- Wird die Richtlinie verändert oder wird von den festgelegten Anforderungen abgewichen, SOLLTE das mit dem ISB abgestimmt und dokumentiert werden.
- Es SOLLTE regelmäßig überprüft werden, ob die Richtlinie noch korrekt umgesetzt ist.
- Die Ergebnisse SOLLTEN geeignet dokumentiert werden.
A11 Beschaffung eines Routers oder Switches (S)[Bearbeiten | Quelltext bearbeiten]
- Bevor Router oder Switches beschafft werden, SOLLTE basierend auf der Sicherheitsrichtlinie eine Anforderungsliste erstellt werden, anhand derer die am Markt erhältlichen Produkte bewertet werden.
- Es SOLLTE darauf geachtet werden, dass das von der Institution angestrebte Sicherheitsniveau mit den zu beschaffenden Geräten erreicht werden kann.
- Grundlage für die Beschaffung SOLLTEN daher die Anforderungen aus der Sicherheitsrichtlinie sein.
A12 Erstellung einer Konfigurations-Checkliste für Router und Switches (S)[Bearbeiten | Quelltext bearbeiten]
- Es SOLLTE eine Konfigurations-Checkliste erstellt werden, anhand derer die wichtigsten sicherheitsrelevanten Einstellungen auf Routern und Switches geprüft werden können.
- Da die sichere Konfiguration stark vom Einsatzzweck abhängt, SOLLTEN die unterschiedlichen Anforderungen der Geräte in der Konfigurations-Checkliste berücksichtigt werden.
A13 Administration über ein gesondertes Managementnetz (S)[Bearbeiten | Quelltext bearbeiten]
- Router und Switches SOLLTEN ausschließlich über ein separates Managementnetz (Out-of-Band-Management) administriert werden.
- Eine eventuell vorhandene Administrationsschnittstelle über das eigentliche Datennetz (In-Band) SOLLTE deaktiviert werden.
- Die verfügbaren Sicherheitsmechanismen der eingesetzten Managementprotokolle zur Authentisierung, Integritätssicherung und Kryptografie SOLLTEN aktiviert werden.
- Alle unsicheren Managementprotokolle SOLLTEN deaktiviert werden.
A14 Schutz vor Missbrauch von ICMP-Nachrichten (S)[Bearbeiten | Quelltext bearbeiten]
- Die Protokolle ICMP und ICMPv6 SOLLTEN restriktiv gefiltert werden.
A15 Bogon- und Spoofing-Filterung (S)[Bearbeiten | Quelltext bearbeiten]
- Es SOLLTE verhindert werden, dass Angreifer mithilfe gefälschter, reservierter oder noch nicht zugewiesener IP-Adressen in die Router und Switches eindringen können.
A16 Schutz vor „IPv6 Routing Header Type-0“-Angriffen (S)[Bearbeiten | Quelltext bearbeiten]
- Beim Einsatz von IPv6 SOLLTEN Mechanismen eingesetzt werden, die Angriffe auf den Routing-Header des Type-0 erkennen und verhindern.
A17 Schutz vor DoS- und DDoS-Angriffen (S)[Bearbeiten | Quelltext bearbeiten]
- Es SOLLTEN Mechanismen eingesetzt werden, die hochvolumige Angriffe sowie TCP-State-Exhaustion-Angriffe erkennen und abwehren.
A18 Einrichtung von Access Control Lists (S)[Bearbeiten | Quelltext bearbeiten]
- Zugriff auf Router und Switches SOLLTE mithilfe von Access Control Lists (ACLs) definiert werden
- In der ACL SOLLTE anhand der Sicherheitsrichtlinie der Institution festgelegt werden, über welche IT-Systeme oder Netze mit welcher Methode auf einen Router oder Switch zugegriffen werden darf.
- Für den Fall, dass keine spezifischen Regeln existieren, SOLLTE generell der restriktivere Whitelist-Ansatz bevorzugt werden.
A19 Sicherung von Switch-Ports (S)[Bearbeiten | Quelltext bearbeiten]
- Die Ports eines Switches SOLLTEN vor unberechtigten Zugriffen geschützt werden.
A20 Sicherheitsaspekte von Routing-Protokollen (S)[Bearbeiten | Quelltext bearbeiten]
- Router SOLLTEN sich authentisieren, wenn sie Routing-Informationen austauschen oder Updates für Routing-Tabellen verschicken.
- Es SOLLTEN ausschließlich Routing-Protokolle eingesetzt werden, die dies unterstützen.
- Dynamische Routing-Protokolle SOLLTEN ausschließlich in sicheren Netzen verwendet werden.
- Sie DÜRFEN NICHT in demilitarisierten Zonen (DMZs) eingesetzt werden.
- In DMZs SOLLTEN stattdessenstatische Routen eingetragen werden.
A21 Identitäts- und Berechtigungsmanagement in der Netzinfrastruktur(S)[Bearbeiten | Quelltext bearbeiten]
- Router und Switches SOLLTEN an ein zentrales Identitäts- und Berechtigungsmanagement angebunden werden
- siehe ORP.4 Identitäts- und Berechtigungsmanagement
A22 Notfallvorsorge bei Routern und Switches (S)[Bearbeiten | Quelltext bearbeiten]
- Es SOLLTE geplant und vorbereitet werden, welche Fehler bei Routern oder Switches in einem Notfall diagnostiziert werden könnten.
- Außerdem SOLLTE geplant und vorbereitet werden, wie die identifizierten Fehler behoben werden können.
- Für typische Ausfallszenarien SOLLTEN entsprechende Handlungsanweisungen definiert und in regelmäßigen Abständen aktualisiert werden.
- Die Notfallplanungen für Router und Switches SOLLTEN mit der übergreifenden Störungs- und Notfallvorsorge abgestimmt sein.
- Die Notfallplanungen SOLLTEN sich am allgemeinen Notfallvorsorgekonzept orientieren (siehe DER.4 Notfallmanagement).
- Es SOLLTE sichergestellt sein, dass die Dokumentationen zur Notfallvorsorge und die darin enthaltenen Handlungsanweisungen in Papierformvorliegen.
- Das im Rahmen der Notfallvorsorge beschriebene Vorgehen SOLLTE regelmäßig geprobt werden.
A23 Revision und Penetrationstests (S)[Bearbeiten | Quelltext bearbeiten]
- Router und Switches SOLLTEN regelmäßig auf bekannte Sicherheitsprobleme hin überprüft werden.
- Auch SOLLTEN regelmäßig Revisionen durchgeführt werden.
- Dabei SOLLTE unter anderem geprüft werden, ob der Ist-Zustand der festgelegten sicheren Grundkonfiguration entspricht.
- Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert und mit dem Soll-Zustand abgeglichen werden.
- Abweichungen SOLLTE nachgegangen werden.
Erhöht[Bearbeiten | Quelltext bearbeiten]
- Exemplarische Vorschläge
- Anforderungen, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen
- SOLLTEN bei ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden
- Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse
Anforderung | Beschreibung |
---|---|
A24 | Einsatz von Netzzugangskontrollen |
A25 | Erweiterter Integritätsschutz für die Konfigurationsdateien |
A26 | Hochverfügbarkeit |
A27 | Bandbreitenmanagement für kritische Anwendungen und Dienste |
A28 | Einsatz von zertifizierten Produkten |
A24 Einsatz von Netzzugangskontrollen[Bearbeiten | Quelltext bearbeiten]
- Eine Port-based Access Control SOLLTE nach IEEE 802.1x auf Basis von EAP-TLS implementiert werden
- Es SOLLTE KEINE Implementierung nach den Standards IEEE 802.1x-2001 und IEEE 802.1x-2004 erfolgen.
A25 Erweiterter Integritätsschutz für die Konfigurationsdateien[Bearbeiten | Quelltext bearbeiten]
Stürzt ein Router oder Switch ab, SOLLTE sichergestellt werden, dass bei der Wiederherstellung bzw. beim Neustart keine alten oder fehlerhaften Konfigurationen (unter anderem ACLs) benutzt werden.
A26 Hochverfügbarkeit[Bearbeiten | Quelltext bearbeiten]
Die Realisierung einer Hochverfügbarkeitslösung SOLLTE den Betrieb der Router und Switches bzw. deren Sicherheitsfunktionen NICHT behindern oder das Sicherheitsniveau senken.
- Router und Switches SOLLTEN redundant ausgelegt werden.
- Dabei SOLLTE darauf geachtet werden, dass die Sicherheitsrichtlinie der Institution eingehalten wird.
A27 Bandbreitenmanagement für kritische Anwendungen und Dienste[Bearbeiten | Quelltext bearbeiten]
Router und Switches SOLLTEN Funktionen enthalten und einsetzen, mit denen sich die Applikationen erkennen und Bandbreiten priorisieren lassen.
A28 Einsatz von zertifizierten Produkten[Bearbeiten | Quelltext bearbeiten]
Es SOLLTEN Router und Switches mit einer Sicherheitsevaluierung nach Common Criteria eingesetzt werden, mindestens mit der Stufe EAL
Weiterführende Informationen[Bearbeiten | Quelltext bearbeiten]
- BSI
- Das BSI hat in den BSI-Standards zur Internet Sicherheit (ISi-Reihe) weitere Informationen zur Sicherheit bei Routern und Switches veröffentlicht.
- IEEE
- Das Institute of Electrical and Electronics Engineers (IEEE) hat in seiner Standard-Reihe die Standards IEEE802.1Q „IEEE Standard for Local and Metropolitan Area Networks - Bridges and Bridged Networks“ und IEEE802.1AE „IEEE Standard for Local and Metropolitan Area Networks: Media Access Control (MAC) Security“veröffentlicht.
- RDC
- In den Requests for Comments (RFC) bieten der RFC 6165 „Extensions to IS-IS for Layer-2 Systems“ und derRFC 7348 „Virtual Extensible Local Area Network (VXLAN): A Framework for Overlaying Virtualized Layer 2Networks over Layer 3 Networks“ weiterführende Informationen zu Routern und Switches.