NET.3.1 Router und Switches: Unterschied zwischen den Versionen

Aus Foxwiki
Die Seite wurde neu angelegt: „NET.3.1 Router und Switches1. * Beschreibung1.1. * EinleitungRouter und Switches bilden das Rückgrat heutiger Datennetze. * Ein Ausfall eines oder mehrerer dieser Gerätekann zum kompletten Stillstand der gesamten IT-Infrastruktur führen. * Sie müssen daher besondersabgesichert werden.Router arbeiten auf der OSI-Schicht 3 (Netzschicht) und vermitteln Datenpakete anhand der Ziel-IP-Adresseim IP-Header. * Router sind in der Lage, Netze mit unterschi…“
 
Keine Bearbeitungszusammenfassung
 
(206 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
NET.3.1 Router und Switches1.
'''NET.3.1 Router und Switches''' - Sicherer Einsatz von Router und Switches
* Beschreibung1.1.
* EinleitungRouter und Switches bilden das Rückgrat heutiger Datennetze.
* Ein Ausfall eines oder mehrerer dieser Gerätekann zum kompletten Stillstand der gesamten IT-Infrastruktur führen.
* Sie müssen daher besondersabgesichert werden.Router arbeiten auf der OSI-Schicht 3 (Netzschicht) und vermitteln Datenpakete anhand der Ziel-IP-Adresseim IP-Header.
* Router sind in der Lage, Netze mit unterschiedlichen Topographien zu verbinden.
* Sie werdenverwendet, um lokale Netze zu segmentieren oder um lokale Netze über Weitverkehrsnetze zu verbinden.Ein Router identifiziert eine geeignete Verbindung zwischen dem Quellsystem bzw.
* Quellnetz und demZielsystem bzw.
* Zielnetz.
* In den meisten Fällen geschieht dies, indem er die Datenpakete an den nächstenRouter weitergibt.Switches arbeiteten ursprünglich auf der OSI-Schicht 2, mittlerweile sind sie jedoch mit unterschiedlichenFunktionen erhältlich.
* Hersteller kennzeichnen die Geräte meist mit dem OSI-Layer, der unterstützt wird.Dadurch entstanden die Begriffe Layer-2-, Layer-3- und Layer-4-Switch, wobei es sich bei Layer-3- undLayer-4-Switches eigentlich funktional bereits um Router handelt.
* Die ursprünglich unterschiedlichenFunktionen von Switches und Routern werden somit heute oft auf einem Gerät vereint.1.2.
* ZielsetzungDer Baustein beschreibt, wie Router und Switches sicher eingesetzt werden können.1.3.
* Abgrenzung und ModellierungDer Baustein NET.3.1 Router und Switches ist auf jeden im Informationsverbund eingesetzten Router undSwitch anzuwenden.Es ist eine große Auswahl von unterschiedlichen Routern und Switches von verschiedenen Herstellern amMarkt verfügbar.
* Der Baustein beschreibt keine spezifischen Anforderungen für bestimmte Produkte.
* Er istso weit wie möglich herstellerunabhängig gehalten.Durch die Verschmelzung der Funktionen von Routern und Switches kann der Großteil der Anforderungensowohl auf Router als auch auf Switches angewendet werden.
* Der vorliegende Baustein unterscheidet hierweitgehend nicht zwischen den Gerätearten.


Heute bieten auch nahezu alle Betriebssysteme von Servern und auch Clients eine Routing-Funktionalitätan.
== Beschreibung ==
* Dieser Baustein benennt keine Anforderungen für aktivierte Routing-Funktionen in Betriebssystemenvon Servern und Clients.Darüber hinaus werden Aspekte der infrastrukturellen Sicherheit nicht in diesem Baustein aufgeführt, wie z.B.
[[Router]] und [[Switch]]es sind unverzichtbare [[aktive Komponenten]] von [[Computernetzwerk]]en
* die geeignete Aufstellung, Stromversorgung oder Verkabelung.
* Sicherheitsanforderungen zu diesenThemen finden sich in den jeweiligen Bausteinen der Schicht INF Infrastruktur.Der vorliegende Baustein beschreibt keine Anforderungen, wie virtuelle Router und Switches abgesichertwerden können.
* Ebenso wird nicht auf eventuell vorhandene Firewall-Funktionen von Routern undSwitches eingegangen.
* Dazu muss zusätzlich der Baustein NET.3.2 Firewall umgesetzt werden.
* Einige Aspektedes Netzdesigns und -managements sind auch für den Einsatz von Routern und Switches von Bedeutungund werden im Rahmen der entsprechenden Anforderungen erwähnt.
* Weitere Informationen für denAufbau, das Design und das Management eines Netzes sind in den Bausteinen NET.1.1 Netzarchitektur und -design bzw.
* NET.1.2 Netzmanagement zu finden.Router und Switches sollten grundsätzlich mit berücksichtigt werden, wenn die Bausteine ORP.4 Identitäts-und Berechtigungsmanagement, OPS.1.1.3 Patch- und Änderungsmanagement, CON.3 Datensicherungskonzeptsowie OPS.1.1.2 Ordnungsgemäße IT-Administration umgesetzt werden.2.
* GefährdungslageFolgende spezifische Bedrohungen und Schwachstellen sind für den Baustein NET.3.1 Router und Switchesvon besonderer Bedeutung.2.1.
* Distributed Denial of Service (DDoS)Bei einem DDoS-Angriff auf ein geschütztes Netz, beispielsweise per TCP SYN Flooding oder UDP PacketStorm, kann aufgrund der vielen Netzverbindungen, die verarbeitet werden müssen, der Router ausfallen.Das kann dazu führen, dass bestimmte Dienste im Local Area Network (LAN) nicht mehr verfügbar sind oderdas gesamte LAN ausfällt.2.2.
* ManipulationGelingt es einem Angreifer, unberechtigt auf einen Router oder Switch zuzugreifen, kann er die Geräte neukonfigurieren oder auch zusätzliche Dienste starten.
* Die Konfiguration lässt sich beispielsweise so verändern,dass Dienste, Clients oder ganze Netzsegmente geblockt werden.
* Gleichzeitig kann ein Angreifer am Switchden Netzverkehr abfangen, mitlesen oder manipulieren.2.3.
* Fehlerhafte Konfiguration eines Routers oder SwitchesRouter und Switches werden mit einer Standardkonfiguration ausgeliefert, in der viele Dienste aktiviert sind.Auch verraten Login-Banner beispielsweise die Modell- und Versionsnummer des Gerätes.
* Werden Routerund Switches mit unsicheren Werkseinstellungen produktiv eingesetzt, kann einfacher unberechtigt auf siezugegriffen werden.
* Im schlimmsten Fall sind dadurch interne Dienste für Angreifer erreichbar.2.4.
* Fehlerhafte Planung und KonzeptionViele Institutionen planen und konzipieren den Einsatz von Routern und Switches fehlerhaft.
* So werdenunter anderem Geräte beschafft, die nicht ausreichend dimensioniert sind, z.
* B.
* hinsichtlich der Port-Anzahloder der Leistung.
* In der Folge kann ein Router oder Switch bereits überlastet sein, wenn er zum ersten Maleingesetzt wird.
* Dadurch sind eventuell Dienste oder ganze Netze nicht erreichbar und der Fehler mussaufwendig korrigiert werden.


2.5.  
; MÜSSEN besonders gesichert werden
* Inkompatible aktive NetzkomponentenKompatibilitätsprobleme können insbesondere dann entstehen, wenn bestehende Netze um aktiveNetzkomponenten anderer Hersteller ergänzt oder wenn Netze mit Netzkomponenten unterschiedlicherHersteller betrieben werden.  
* Ausfall führt zum Stillstand des Netzwerkes
* Werden aktive Netzkomponenten mit unterschiedlichen Implementierungendesselben Kommunikationsverfahrens gemeinsam in einem Netz betrieben, können einzelne Teilbereichedes Netzes, bestimmte Dienste oder sogar das gesamte Netz ausfallen.2.6.
 
* MAC-FloodingBeim MAC-Flooding schickt ein Angreifer viele Anfragen mit wechselnden Quell-MAC-Adressen an einenSwitch.  
=== Router ===
* Sobald der Switch dann die Limits der MAC-Adressen, die er speichern kann, erreicht hat, fängt er an,sämtliche Anfragen an alle IT-Systeme im Netz zu schicken.  
; Verbindungen zwischen Systemen auf [[:Kategorie:OSI/3 Network|OSI-Layer 3]]
* Dadurch kann der Angreifer den Netzverkehreinsehen.2.7.  
* Quellnetz/Zielnetz, Quellsystem/Zielsystem, meist [[Internet Protocol|IP]]
* Spanning-Tree-AngriffeBei Spanning-Tree-Angriffen versendet ein Angreifer sogenannte Bridge Protocol Data Units (BPDUs) mitdem Ziel, die Switches dazu zu bringen, seinen eigenen (bösartigen) Switch als Root Bridge anzusehen.Dadurch wird der Netzverkehr über den Switch des Angreifers umgeleitet, sodass er alle über ihnversendeten Informationen mitschneiden kann.  
* Netze verbinden, Netze segmentieren
* In der Folge kann er DDoS-Attacken initiieren und durchfalsche BPDUs das Netz dazu zwingen, die Spanning-Tree-Topologie neu aufzubauen, wodurch das Netzausfallen kann.2.8.
 
* GARP-AttackenBei Gratuitous-ARP (GARP)-Attacken sendet der Angreifer unaufgeforderte ARP-Antworten an bestimmteOpfer oder an alle IT-Systeme im selben Subnetz.  
; OSI-Schicht 3 (Netzschicht)
* In dieser gefälschten ARP-Antwort trägt der Angreiferseine MAC-Adresse als Zuordnung zu einer fremden IP-Adresse ein und bringt das Opfer dazu, seine ARP-Tabelle so zu verändern, dass der Netzverkehr nun zum Angreifer, anstatt zum validen Ziel gesendet wird.Dadurch kann er die Kommunikation zwischen den Opfern mitschneiden oder sie manipulieren.3.  
* Vermitteln Datenpakete anhand der Ziel-IP-Adresse im IP-Header
* AnforderungenIm Folgenden sind die spezifischen Anforderungen des Bausteins NET.3.1 Router und Switches aufgeführt.Grundsätzlich ist der IT-Betrieb für die Erfüllung der Anforderungen zuständig.  
* Verbindung verschiedener Topografien
* DerInformationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen.Außerdem ist der ISB dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzepterfüllt und überprüft werden.  
 
=== Switches ===
Klassische [[Switch]]es arbeiten auf dem [[OSI 2 Data Link|Data-Link-Layer]] des OSI-Referenzmodells
 
; Switches mit unterschiedlichen Funktionen
Hersteller kennzeichnen Geräte oft mit dem OSI-Layer, der unterstützt wird
* [[OSI 2 Data Link|Layer-2]]-Switch
* [[:Kategorie:OSI/3 Network|Layer-3]]-Switch
* [[:Kategorie:OSI/4 Transport|Layer-4]]-Switch
 
; Layer-3- und Layer-4-Switches
* sind funktional [[Router]]
* Funktionen von Switches und Routern in einem Gerät
 
== Abgrenzung und Modellierung ==
; ''NET.3.1 Router und Switches'' ist auf jeden Router und Switch anzuwenden
 
=== Abgrenzung ===
{| class="wikitable options"
|-
! Option !! Beschreibung
|-
| Herstellerunabhängigkeit || Keine Beschreibung von Anforderungen für bestimmte Produkte
|-
| Routern und Switches || Weitgehend nicht unterschieden
|-
| Routing-Funktionen von Betriebssysteme || nicht gesondert beschrieben
|-
| Virtuelle Router und Switches || nicht gesondert beschrieben
|}
 
=== Modellierung ===
{| class="wikitable sortable options"
|-
! Option !! Beschreibung
|-
| Infrastrukturellen Sicherheit || Bausteine der Schicht [[INF Infrastruktur]]
* geeignete Aufstellung
* Stromversorgung
* Verkabelung
|-
| Firewall ||
* [[NET.3.2 Firewall]]
|-
| Netzdesigns und -managements ||
* [[NET.1.1 Netzarchitektur und -design]]
* [[NET.1.2 Netzmanagement]]
|-
| Zu berücksichtigende Bausteine ||
* [[ORP.4 Identitäts- und Berechtigungsmanagement]]
* [[OPS.1.1.3 Patch- und Änderungsmanagement]]
* [[CON.3 Datensicherungskonzept]]
* [[OPS.1.1.2 Ordnungsgemäße IT-Administration]]
|}
 
== Gefährdungslage ==
{| class="wikitable sortable options"
|-
! Gefährdung !! Beschreibung
|-
| [[Distributed Denial of Service]] (DDoS) || Ausfall von Diensten aufgrund zu vieler Verbindungsanfragen von vielen verschiedenen Rechnern
|-
| [[Manipulation]] || Gelingt es einem Angreifer, unberechtigt auf einen Router oder Switch zuzugreifen, kann er die Geräte neu konfigurieren oder auch zusätzliche Dienste starten.
* Die Konfiguration lässt sich beispielsweise so verändern, dass Dienste, Clients oder ganze Netzsegmente geblockt werden.
* Gleichzeitig kann ein Angreifer am Switch den Netzverkehr abfangen, mitlesen oder manipulieren.
|-
| [[Fehlerhafte Konfiguration]] || Router und Switches werden mit einer Standardkonfiguration ausgeliefert, in der viele Dienste aktiviert sind.
* Auch verraten Login-Banner etwa die Modell- und Versionsnummer des Gerätes.
* Werden Router und Switches mit unsicheren Werkseinstellungen produktiv eingesetzt, kann einfacher unberechtigt auf sie zugegriffen werden.
* Im schlimmsten Fall sind dadurch interne Dienste für Angreifer erreichbar.
|-
| [[Fehlerhafte Planung und Konzeption]] || Viele Institutionen planen und konzipieren den Einsatz von Routern und Switches fehlerhaft.
* So werden unter anderem Geräte beschafft, die nicht ausreichend dimensioniert sind, z. B. hinsichtlich der Port-Anzahl oder der Leistung.
* In der Folge kann ein Router oder Switch bereits überlastet sein, wenn er zum ersten Mal eingesetzt wird.
* Dadurch sind eventuell Dienste oder ganze Netze nicht erreichbar und der Fehler muss aufwendig korrigiert werden.
|-
| [[Inkompatible aktive Netzkomponenten]] || Kompatibilitätsprobleme können insbesondere dann entstehen, wenn bestehende Netze um aktive Netzkomponenten anderer Hersteller ergänzt oder wenn Netze mit Netzkomponenten unterschiedlicher Hersteller betrieben werden.
* Werden aktive Netzkomponenten mit unterschiedlichen Implementierungen desselben Kommunikationsverfahrens gemeinsam in einem Netz betrieben, können einzelne Teilbereiche des Netzes, bestimmte Dienste oder sogar das gesamte Netz ausfallen.
|-
| [[MAC-Flooding]] || Beim MAC-Flooding schickt ein Angreifer viele Anfragen mit wechselnden Quell-MAC-Adressen an einen Switch.
* Sobald der Switch dann die Limits der MAC-Adressen, die er speichern kann, erreicht hat, fängt er an, sämtliche Anfragen an alle IT-Systeme im Netz zu schicken.
* Dadurch kann der Angreifer den Netzverkehr einsehen.
|-
| [[Spanning-Tree-Angriffe]] || Bei Spanning-Tree-Angriffen versendet ein Angreifer sogenannte Bridge Protocol Data Units (BPDUs), mit dem Ziel, die Switches dazu zu bringen, seinen eigenen (bösartigen) Switch als Root Bridge anzusehen.
* Dadurch wird der Netzverkehr über den Switch des Angreifers umgeleitet, sodass er alle über ihn versendeten Informationen mitschneiden kann.
* In der Folge kann er DDoS-Attacken initiieren und durch falsche BPDUs das Netz dazu zwingen, die Spanning-Tree-Topologie neu aufzubauen, wodurch das Netz ausfallen kann.
|-
| [[GARP-Attacken]] || Bei Gratuitous-ARP (GARP)-Attacken sendet der Angreifer unaufgeforderte ARP-Antworten an bestimmte Opfer oder an alle IT-Systeme im selben Subnetz.
* In dieser gefälschten ARP-Antwort trägt der Angreifer seine MAC-Adresse als Zuordnung zu einer fremden IP-Adresse ein und bringt das Opfer dazu, seine ARP-Tabelle so zu verändern, dass der Netzverkehr nun zum Angreifer, anstatt zum validen Ziel gesendet wird.
* Dadurch kann er die Kommunikation zwischen den Opfern mitschneiden oder sie manipulieren.
|}
 
=== Elementaren Gefährdungen ===
; Kreuzreferenztabelle
* Zuordnung von elementaren Gefährdungen zu den Anforderungen
* Anhand dieser Tabelle kann ermittelt werden, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind.  
* Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entsprechenden elementaren Gefährdungen entgegengewirkt.
* Die Buchstaben in der zweiten Spalte (C =Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden.
 
{| class="wikitable sortable options"
|-
! Nr !! Gefährdung !! Grundwert
|-
| G 0.09  || Ausfall oder Störung von Kommunikationsnetzen ||
|-
| G 0.11  ||Ausfall oder Störung von Dienstleistern ||
|-
| G 0.14  ||Ausspähen von Informationen (Spionage) ||
|-
| G 0.15  ||Abhören ||
|-
| G 0.18  ||Fehlplanung oder fehlende Anpassung ||
|-
| G 0.19  ||Offenlegung schützenswerter Informationen ||
|-
| G 0.20  ||Informationen oder Produkte aus unzuverlässiger Quelle ||
|-
| G 0.21  ||Manipulation von Hard- oder Software ||
|-
| G 0.22  ||Manipulation von Informationen ||
|-
| G 0.23  ||Unbefugtes Eindringen in IT-Systeme ||
|-
| G 0.25  ||Ausfall von Geräten oder Systemen ||
|-
| G 0.26  ||Fehlfunktion von Geräten oder Systemen ||
|-
| G 0.27  ||Ressourcenmangel ||
|-
| G 0.29  ||Verstoß gegen Gesetze oder Regelungen ||
|-
| G 0.30  ||Unberechtigte Nutzung oder Administration von Geräten und Systemen ||
|-
| G 0.31  ||Fehlerhafte Nutzung oder Administration von Geräten und Systemen ||
|-
| G 0.32  ||Missbrauch von Berechtigungen ||
|-
| G 0.36  ||Identitätsdiebstahl ||
|-
| G 0.37  ||Abstreiten von Handlungen ||
|-
| G 0.38  ||Missbrauch personenbezogener Daten ||
|-
| G 0.40  ||Verhinderung von Diensten (Denial of Service) ||
|-
| G 0.43  ||Einspielen von Nachrichten ||
|-
| G 0.45  ||Datenverlust ||
|-
| G 0.46  ||Integritätsverlust schützenswerter Informationen ||
|}
 
== Zuständigkeiten ==
; Rollen und Zuständigkeiten
* Grundsätzlich ist der IT-Betrieb für die Erfüllung der Anforderungen zuständig.  
* Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen.
* Außerdem ist der ISB dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden.  
* Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten beider Erfüllung von Anforderungen haben.  
* Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten beider Erfüllung von Anforderungen haben.  
* Diese sind dann jeweils explizit in eckigen Klammern in derÜberschrift der jeweiligen Anforderungen aufgeführt.Zuständigkeiten RollenGrundsätzlich zuständig IT-BetriebWeitere Zuständigkeiten3.1.  
* Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt.  
* Basis-AnforderungenDie folgenden Anforderungen MÜSSEN für den Baustein NET.3.1 Router und Switches vorrangig erfülltwerden:
* Zuständigkeiten Rollen Grundsätzlich zuständig IT-Betrieb
* Weitere Zuständigkeiten
 
== Anforderungen ==
{| class="wikitable options"
|-
! Schutzbedarf !! Beschreibung
|-
|| [[#Basis | Basis]] || ''[[MÜSSEN]]'' vorrangig erfüllt werden
|-
|| [[#Standard | Standard]] || ''[[SOLLTEN]]'' grundsätzlich erfüllt werden
|-
|| [[#Erhöht | Erhöht]] || Exemplarische Vorschläge
|}
 
=== Basis ===
; Basis-Anforderungen MÜSSEN vorrangig erfüllt werden
{| class="wikitable sortable options"
|-
! Anforderung !! Beschreibung !! Zuständigkeit
|-
| A1 || Grundkonfiguration ||
|-
| A2 || ENTFALLEN ||
|-
| A3 || ENTFALLEN ||
|-
| A4 || Administrationsschnittstellen ||
|-
| A5 || Fragmentierungsangriffe ||
|-
| A6 || Notfallzugriff ||
|-
| A7 || Protokollierung ||
|-
| A8 || Datensicherung ||
|-
| A9 || Betriebsdokumentationen ||
|}
 
==== A1 Sichere Grundkonfiguration eines Routers oder Switches ====
; Bevor ein Router oder Switch eingesetzt wird, MUSS er sicher konfiguriert werden
* Alle Konfigurationsänderungen SOLLTEN nachvollziehbar dokumentiert sein
* Die Integrität der Konfigurationsdateien MUSS in geeigneter Weise geschützt werden
* Bevor Zugangspasswörter abgespeichert werden, MÜSSEN sie mithilfe eines zeitgemäßen kryptografischen Verfahrens abgesichert werden
: siehe [[CON.1|CON.1 Kryptokonzept]]
* Router und Switches MÜSSEN so konfiguriert sein, dass nur zwingend erforderliche Dienste, Protokolle und funktionale Erweiterungen genutzt werden.
* Nicht benötigte Dienste, Protokolle und funktionale Erweiterungen MÜSSEN deaktiviert oder ganz deinstalliert werden.
* Ebenfalls MÜSSEN nicht benutzte Schnittstellen auf Routern und Switches deaktiviert werden.
* Unbenutzte Netzports MÜSSEN nach Möglichkeit deaktiviert oder zumindest einem dafür eingerichteten Unassigned-VLAN zugeordnet werden.
 
; Funktionale Erweiterungen MÜSSEN die Sicherheitsrichtlinien der Institution erfüllen
* Auch SOLLTE begründet und dokumentiert werden, warum solche Erweiterungen eingesetzt werden.
; Informationen über den internen Konfigurations- und Betriebszustand MÜSSEN nach außen verborgen werden.
* Unnötige Auskunftsdienste MÜSSEN deaktiviert werden.
 
==== A4 Schutz der Administrationsschnittstellen ====
; Alle Administrations- und Managementzugänge der Router und Switches MÜSSEN auf einzelne Quell-IP-Adressen bzw. -Adressbereiche eingeschränkt werden
* Es MUSS sichergestellt sein, dass aus nichtvertrauenswürdigen Netzen heraus nicht direkt auf die Administrationsschnittstellen zugegriffen werden kann.
* Um Router und Switches zu administrieren bzw. zu überwachen, SOLLTEN geeignet verschlüsselte Protokolle eingesetzt werden.
* Sollte dennoch auf unverschlüsselte Protokolle zurückgegriffen werden, MUSS für die Administration ein eigenes Administrationsnetz (Out-of-Band-Management) genutzt werden.
* Die Managementschnittstellen und die Administrationsverbindungen MÜSSEN durch eine separate Firewallgeschützt werden.
* Für die Schnittstellen MÜSSEN geeignete Zeitbeschränkungen für z. B. Timeoutsvorgegeben werden.
* Alle für das Management-Interface nicht benötigten Dienste MÜSSEN deaktiviert werden.
* Verfügt eine Netzkomponente über eine dedizierte Hardwareschnittstelle, MUSS der unberechtigte Zugriff darauf in geeigneter Weise unterbunden werden.
 
==== A5 Schutz vor Fragmentierungsangriffen ====
An Routern und Layer-3-Switches MÜSSEN Mechanismen zum Schutz vor IPv4/v6-Fragmentierungsangriffe abzuwehren
 
==== A6 Notfallzugriff auf Router und Switches ====
; Es MUSS für die Administratoren immer möglich sein, direkt auf Router und Switches zuzugreifen
*  sodass diese weiterhin lokal administriert werden können, auch wenn das gesamte Netz ausfällt.
 
==== A7 Protokollierung ====
; Protokollierung bei Routern und Switches
* Ein Router oder Switch MUSS so konfiguriert werden, dass er unter anderem folgende Ereignisse protokolliert:
* Konfigurationsänderungen (möglichst automatisch)
* Reboot
* Systemfehler
* Statusänderungen pro Interface, System und Netzsegment sowie
* Login-Fehler
 
==== A8 Regelmäßige Datensicherung ====
; Konfigurationsdateien von Routern und Switches MÜSSEN regelmäßig gesichert werden
: Sicherungskopien MÜSSEN so abgelegt werden, dass im Notfall darauf zugegriffen werden kann
 
==== A9 Betriebsdokumentationen ====
; Die wichtigsten betrieblichen Aufgaben eines Routers oder Switches MÜSSEN geeignet dokumentiert werden
* Es SOLLTEN alle Konfigurationsänderungen sowie sicherheitsrelevante Aufgaben dokumentiert werden
* Die Dokumentation SOLLTEN vor unbefugten Zugriffen geschützt werden
 
=== Standard ===
; Basis-Anforderungen und Standard-Anforderungen entsprechen dem ''Stand der Technik'' für den Baustein ''NET.3.1 Router und Switches''
 
; Standard-Anforderungen SOLLTEN grundsätzlich erfüllt werden
{| class="wikitable sortable options"
|-
! Anforderung !! Beschreibung
|-
| A10 || Erstellung einer Sicherheitsrichtlinie (S)
|-
| A11 || Beschaffung eines Routers oder Switches (S)
|-
| A12 || Erstellung einer Konfigurations-Checkliste für Router und Switches (S)
|-
| A13 || Administration über ein gesondertes Managementnetz
|-
| A14 || Schutz vor Missbrauch von ICMP-Nachrichten (S)
|-
| A15 || Bogon- und Spoofing-Filterung (S)
|-
| A16 || Schutz vor „IPv6 Routing Header Type-0“-Angriffen (S)
|-
| A17 || Schutz vor DoS- und DDoS-Angriffen (S)
|-
| A18 || Einrichtung von Access Control Lists (S)
|-
| A19 || Sicherung von Switch-Ports (S)
|-
| A20 || Sicherheitsaspekte von Routing-Protokollen (S)
|-
| A21 || Identitäts- und Berechtigungsmanagement in der Netzinfrastruktur(S)
|-
| A22 || Notfallvorsorge bei Routern und Switches (S)
|-
| A23 || Revision und Penetrationstests (S)
|}
 
==== A10 Erstellung einer Sicherheitsrichtlinie (S) ====
; Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution SOLLTE eine spezifische Sicherheitsrichtlinie erstellt werden
* In der Sicherheitsrichtlinie SOLLTEN nachvollziehbar Anforderungen und Vorgaben beschrieben sein, wie Router und Switches sicher betrieben werden können.
* Die Richtlinie SOLLTE allen Administratoren bekannt und grundlegend für ihre Arbeit sein.
* Wird die Richtlinie verändert oder wird von den festgelegten Anforderungen abgewichen, SOLLTE das mit dem ISB abgestimmt und dokumentiert werden.
* Es SOLLTE regelmäßig überprüft werden, ob die Richtlinie noch korrekt umgesetzt ist.
* Die Ergebnisse SOLLTEN geeignet dokumentiert werden.
 
==== A11 Beschaffung eines Routers oder Switches (S) ====
; Bevor Router oder Switches beschafft werden, SOLLTE basierend auf der Sicherheitsrichtlinie eine Anforderungsliste erstellt werden, anhand derer die am Markt erhältlichen Produkte bewertet werden.
* Es SOLLTE darauf geachtet werden, dass das von der Institution angestrebte Sicherheitsniveau mit den zu beschaffenden Geräten erreicht werden kann.
* Grundlage für die Beschaffung SOLLTEN daher die Anforderungen aus der Sicherheitsrichtlinie sein.
 
==== A12 Erstellung einer Konfigurations-Checkliste für Router und Switches (S) ====
; Es SOLLTE eine Konfigurations-Checkliste erstellt werden, anhand derer die wichtigsten sicherheitsrelevanten Einstellungen auf Routern und Switches geprüft werden können.
* Da die sichere Konfiguration stark vom Einsatzzweck abhängt, SOLLTEN die unterschiedlichen Anforderungen der Geräte in der Konfigurations-Checkliste berücksichtigt werden.
 
==== A13 Administration über ein gesondertes Managementnetz (S) ====
; Router und Switches SOLLTEN ausschließlich über ein separates Managementnetz (Out-of-Band-Management) administriert werden.
* Eine eventuell vorhandene Administrationsschnittstelle über das eigentliche Datennetz (In-Band) SOLLTE deaktiviert werden.
* Die verfügbaren Sicherheitsmechanismen der eingesetzten Managementprotokolle zur Authentisierung, Integritätssicherung und Kryptografie SOLLTEN aktiviert werden.
* Alle unsicheren Managementprotokolle SOLLTEN deaktiviert werden.
 
==== A14 Schutz vor Missbrauch von ICMP-Nachrichten (S) ====
; Die Protokolle ICMP und ICMPv6 SOLLTEN restriktiv gefiltert werden.
 
==== A15 Bogon- und Spoofing-Filterung (S) ====
; Es SOLLTE verhindert werden, dass Angreifer mithilfe gefälschter, reservierter oder noch nicht zugewiesener IP-Adressen in die Router und Switches eindringen können.
 
==== A16 Schutz vor „IPv6 Routing Header Type-0“-Angriffen (S) ====
; Beim Einsatz von IPv6 SOLLTEN Mechanismen eingesetzt werden, die Angriffe auf den Routing-Header des Type-0 erkennen und verhindern.
 
==== A17 Schutz vor DoS- und DDoS-Angriffen (S) ====
; Es SOLLTEN Mechanismen eingesetzt werden, die hochvolumige Angriffe sowie TCP-State-Exhaustion-Angriffe erkennen und abwehren.
 
==== A18 Einrichtung von Access Control Lists (S) ====
; Zugriff auf Router und Switches SOLLTE mithilfe von Access Control Lists (ACLs) definiert werden
* In der ACL SOLLTE anhand der Sicherheitsrichtlinie der Institution festgelegt werden, über welche IT-Systeme oder Netze mit welcher Methode auf einen Router oder Switch zugegriffen werden darf.
* Für den Fall, dass keine spezifischen Regeln existieren, SOLLTE generell der restriktivere Whitelist-Ansatz bevorzugt werden.
 
==== A19 Sicherung von Switch-Ports (S) ====
; Die Ports eines Switches SOLLTEN vor unberechtigten Zugriffen geschützt werden.
 
==== A20 Sicherheitsaspekte von Routing-Protokollen (S) ====
; Router SOLLTEN sich authentisieren, wenn sie Routing-Informationen austauschen oder Updates für Routing-Tabellen verschicken.
* Es SOLLTEN ausschließlich Routing-Protokolle eingesetzt werden, die dies unterstützen.
* Dynamische Routing-Protokolle SOLLTEN ausschließlich in sicheren Netzen verwendet werden.
* Sie DÜRFEN NICHT in demilitarisierten Zonen (DMZs) eingesetzt werden.
* In DMZs SOLLTEN stattdessenstatische Routen eingetragen werden.
 
==== A21 Identitäts- und Berechtigungsmanagement in der Netzinfrastruktur(S) ====
; Router und Switches SOLLTEN an ein zentrales Identitäts- und Berechtigungsmanagement angebunden werden
* siehe ORP.4 Identitäts- und Berechtigungsmanagement


NET.3.1.A1 Sichere Grundkonfiguration eines Routers oder Switches (B)Bevor ein Router oder Switch eingesetzt wird, MUSS er sicher konfiguriert werden.
==== A22 Notfallvorsorge bei Routern und Switches (S) ====
* AlleKonfigurationsänderungen SOLLTEN nachvollziehbar dokumentiert sein.
; Es SOLLTE geplant und vorbereitet werden, welche Fehler bei Routern oder Switches in einem Notfall diagnostiziert werden könnten.  
* Die Integrität derKonfigurationsdateien MUSS in geeigneter Weise geschützt werden.  
* Außerdem SOLLTE geplant und vorbereitet werden, wie die identifizierten Fehler behoben werden können.  
* Bevor Zugangspasswörter abgespeichertwerden, MÜSSEN sie mithilfe eines zeitgemäßen kryptografischen Verfahrens abgesichert werden (sieheCON.1 Kryptokonzept).Router und Switches MÜSSEN so konfiguriert sein, dass nur zwingend erforderliche Dienste, Protokolle undfunktionale Erweiterungen genutzt werden.  
* Für typische Ausfallszenarien SOLLTEN entsprechende Handlungsanweisungen definiert und in regelmäßigen Abständen aktualisiert werden.
* Nicht benötigte Dienste, Protokolle und funktionaleErweiterungen MÜSSEN deaktiviert oder ganz deinstalliert werden.  
* Die Notfallplanungen für Router und Switches SOLLTEN mit der übergreifenden Störungs- und Notfallvorsorge abgestimmt sein.  
* Ebenfalls MÜSSEN nicht benutzteSchnittstellen auf Routern und Switches deaktiviert werden.
* Die Notfallplanungen SOLLTEN sich am allgemeinen Notfallvorsorgekonzept orientieren (siehe DER.4 Notfallmanagement).  
* Unbenutzte Netzports MÜSSEN nachMöglichkeit deaktiviert oder zumindest einem dafür eingerichteten Unassigned-VLAN zugeordnet werden.Wenn funktionale Erweiterungen benutzt werden, MÜSSEN die Sicherheitsrichtlinien der Institutionweiterhin erfüllt sein.
* Es SOLLTE sichergestellt sein, dass die Dokumentationen zur Notfallvorsorge und die darin enthaltenen Handlungsanweisungen in Papierformvorliegen.  
* Auch SOLLTE begründet und dokumentiert werden, warum solche Erweiterungeneingesetzt werden.Informationen über den internen Konfigurations- und Betriebszustand MÜSSEN nach außen verborgenwerden.  
* Das im Rahmen der Notfallvorsorge beschriebene Vorgehen SOLLTE regelmäßig geprobt werden.
* Unnötige Auskunftsdienste MÜSSEN deaktiviert werden.NET.3.1.A2 ENTFALLEN (B)Diese Anforderung ist entfallen.NET.3.1.A3 ENTFALLEN (B)Diese Anforderung ist entfallen.NET.3.1.A4 Schutz der Administrationsschnittstellen (B)Alle Administrations- und Managementzugänge der Router und Switches MÜSSEN auf einzelne Quell-IP-Adressen bzw. -Adressbereiche eingeschränkt werden.  
* Es MUSS sichergestellt sein, dass aus nichtvertrauenswürdigen Netzen heraus nicht direkt auf die Administrationsschnittstellen zugegriffen werdenkann.Um Router und Switches zu administrieren bzw.
* zu überwachen, SOLLTEN geeignet verschlüsselteProtokolle eingesetzt werden.
* Sollte dennoch auf unverschlüsselte Protokolle zurückgegriffen werden, MUSSfür die Administration ein eigenes Administrationsnetz (Out-of-Band-Management) genutzt werden.
* DieManagementschnittstellen und die Administrationsverbindungen MÜSSEN durch eine separate Firewallgeschützt werden.
* Für die Schnittstellen MÜSSEN geeignete Zeitbeschränkungen für z.
* B.  
* Timeoutsvorgegeben werden.Alle für das Management-Interface nicht benötigten Dienste MÜSSEN deaktiviert werden.
* Verfügt eineNetzkomponente über eine dedizierte Hardwareschnittstelle, MUSS der unberechtigte Zugriff darauf ingeeigneter Weise unterbunden werden.NET.3.1.A5 Schutz vor Fragmentierungsangriffen (B)Am Router und Layer-3-Switch MÜSSEN Schutzmechanismen aktiviert sein, um IPv4- sowie IPv6-Fragmentierungsangriffe abzuwehren.NET.3.1.A6 Notfallzugriff auf Router und Switches (B)Es MUSS für die Administratoren immer möglich sein, direkt auf Router und Switches zuzugreifen, sodassdiese weiterhin lokal administriert werden können, auch wenn das gesamte Netz ausfällt.NET.3.1.A7 Protokollierung bei Routern und Switches (B)Ein Router oder Switch MUSS so konfiguriert werden, dass er unter anderem folgende Ereignisseprotokolliert:• Konfigurationsänderungen (möglichst automatisch),


• Reboot,• Systemfehler,• Statusänderungen pro Interface, System und Netzsegment sowie• Login-FehlerNET.3.1.A8 Regelmäßige Datensicherung (B)Die Konfigurationsdateien von Routern und Switches MÜSSEN regelmäßig gesichert werden.
==== A23 Revision und Penetrationstests (S) ====
* DieSicherungskopien MÜSSEN so abgelegt werden, dass im Notfall darauf zugegriffen werden kann.NET.3.1.A9 Betriebsdokumentationen (B)Die wichtigsten betrieblichen Aufgaben eines Routers oder Switches MÜSSEN geeignet dokumentiertwerden.
; Router und Switches SOLLTEN regelmäßig auf bekannte Sicherheitsprobleme hin überprüft werden.  
* Es SOLLTEN alle Konfigurationsänderungen sowie sicherheitsrelevante Aufgaben dokumentiertwerden.
* Auch SOLLTEN regelmäßig Revisionen durchgeführt werden.  
* Die Dokumentation SOLLTEN vor unbefugten Zugriffen geschützt werden.3.2.
* Dabei SOLLTE unter anderem geprüft werden, ob der Ist-Zustand der festgelegten sicheren Grundkonfiguration entspricht.  
* Standard-AnforderungenGemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand derTechnik für den Baustein NET.3.1 Router und Switches.
* Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert und mit dem Soll-Zustand abgeglichen werden.  
* Sie SOLLTEN grundsätzlich erfüllt werden.NET.3.1.A10 Erstellung einer Sicherheitsrichtlinie (S)Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution SOLLTE eine spezifischeSicherheitsrichtlinie erstellt werden.  
* Abweichungen SOLLTE nachgegangen werden.
* In der Sicherheitsrichtlinie SOLLTEN nachvollziehbar Anforderungenund Vorgaben beschrieben sein, wie Router und Switches sicher betrieben werden können.  
* Die RichtlinieSOLLTE allen Administratoren bekannt und grundlegend für ihre Arbeit sein.
* Wird die Richtlinie verändertoder wird von den festgelegten Anforderungen abgewichen, SOLLTE das mit dem ISB abgestimmt unddokumentiert werden.
* Es SOLLTE regelmäßig überprüft werden, ob die Richtlinie noch korrekt umgesetztist.  
* Die Ergebnisse SOLLTEN geeignet dokumentiert werden.NET.3.1.A11 Beschaffung eines Routers oder Switches (S)Bevor Router oder Switches beschafft werden, SOLLTE basierend auf der Sicherheitsrichtlinie eineAnforderungsliste erstellt werden, anhand derer die am Markt erhältlichen Produkte bewertet werden.
* EsSOLLTE darauf geachtet werden, dass das von der Institution angestrebte Sicherheitsniveau mit den zubeschaffenden Geräten erreicht werden kann.
* Grundlage für die Beschaffung SOLLTEN daher dieAnforderungen aus der Sicherheitsrichtlinie sein.NET.3.1.A12 Erstellung einer Konfigurations-Checkliste für Router und Switches (S)Es SOLLTE eine Konfigurations-Checkliste erstellt werden, anhand derer die wichtigstensicherheitsrelevanten Einstellungen auf Routern und Switches geprüft werden können.
* Da die sichereKonfiguration stark vom Einsatzzweck abhängt, SOLLTEN die unterschiedlichen Anforderungen der Gerätein der Konfigurations-Checkliste berücksichtigt werden.NET.3.1.A13 Administration über ein gesondertes Managementnetz (S)Router und Switches SOLLTEN ausschließlich über ein separates Managementnetz (Out-of-Band-Management) administriert werden.  
* Eine eventuell vorhandene Administrationsschnittstelle über daseigentliche Datennetz (In-Band) SOLLTE deaktiviert werden.
* Die verfügbaren Sicherheitsmechanismen dereingesetzten Managementprotokolle zur Authentisierung, Integritätssicherung und VerschlüsselungSOLLTEN aktiviert werden.
* Alle unsicheren Managementprotokolle SOLLTEN deaktiviert werden.NET.3.1.A14 Schutz vor Missbrauch von ICMP-Nachrichten (S)Die Protokolle ICMP und ICMPv6 SOLLTEN restriktiv gefiltert werden.


NET.3.1.A15 Bogon- und Spoofing-Filterung (S)Es SOLLTE verhindert werden, dass Angreifer mithilfe gefälschter, reservierter oder noch nicht zugewiesenerIP-Adressen in die Router und Switches eindringen können.NET.3.1.A16 Schutz vor „IPv6 Routing Header Type-0“-Angriffen (S)Beim Einsatz von IPv6 SOLLTEN Mechanismen eingesetzt werden, die Angriffe auf den Routing-Header desType-0 erkennen und verhindern.NET.3.1.A17 Schutz vor DoS- und DDoS-Angriffen (S)Es SOLLTEN Mechanismen eingesetzt werden, die hochvolumige Angriffe sowie TCP-State-Exhaustion-Angriffe erkennen und abwehren.NET.3.1.A18 Einrichtung von Access Control Lists (S)Der Zugriff auf Router und Switches SOLLTE mithilfe von Access Control Lists (ACLs) definiert werden.
=== Erhöht ===
* Inder ACL SOLLTE anhand der Sicherheitsrichtlinie der Institution festgelegt werden, über welche IT-Systemeoder Netze mit welcher Methode auf einen Router oder Switch zugegriffen werden darf.
; Exemplarische Vorschläge
* Für den Fall, dasskeine spezifischen Regeln existieren, SOLLTE generell der restriktivere Whitelist-Ansatz bevorzugt werden.NET.3.1.A19 Sicherung von Switch-Ports (S)Die Ports eines Switches SOLLTEN vor unberechtigten Zugriffen geschützt werden.NET.3.1.A20 Sicherheitsaspekte von Routing-Protokollen (S)Router SOLLTEN sich authentisieren, wenn sie Routing-Informationen austauschen oder Updates fürRouting-Tabellen verschicken.
* Anforderungen, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen
* Es SOLLTEN ausschließlich Routing-Protokolle eingesetzt werden, die diesunterstützen.Dynamische Routing-Protokolle SOLLTEN ausschließlich in sicheren Netzen verwendet werden.
* ''SOLLTEN'' bei ''ERHÖHTEM SCHUTZBEDARF'' in Betracht gezogen werden
* SieDÜRFEN NICHT in demilitarisierten Zonen (DMZs) eingesetzt werden.
* Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse
* In DMZs SOLLTEN stattdessenstatische Routen eingetragen werden.NET.3.1.A21 Identitäts- und Berechtigungsmanagement in der Netzinfrastruktur(S)Router und Switches SOLLTEN an ein zentrales Identitäts- und Berechtigungsmanagement angebundenwerden (siehe ORP.4 Identitäts- und Berechtigungsmanagement).NET.3.1.A22 Notfallvorsorge bei Routern und Switches (S)Es SOLLTE geplant und vorbereitet werden, welche Fehler bei Routern oder Switches in einem Notfalldiagnostiziert werden könnten.
* Außerdem SOLLTE geplant und vorbereitet werden, wie die identifiziertenFehler behoben werden können.
* Für typische Ausfallszenarien SOLLTEN entsprechendeHandlungsanweisungen definiert und in regelmäßigen Abständen aktualisiert werden.Die Notfallplanungen für Router und Switches SOLLTEN mit der übergreifenden Störungs- undNotfallvorsorge abgestimmt sein.
* Die Notfallplanungen SOLLTEN sich am allgemeinenNotfallvorsorgekonzept orientieren (siehe DER.4 Notfallmanagement).
* Es SOLLTE sichergestellt sein, dass dieDokumentationen zur Notfallvorsorge und die darin enthaltenen Handlungsanweisungen in Papierformvorliegen.
* Das im Rahmen der Notfallvorsorge beschriebene Vorgehen SOLLTE regelmäßig geprobt werden.NET.3.1.A23 Revision und Penetrationstests (S)Router und Switches SOLLTEN regelmäßig auf bekannte Sicherheitsprobleme hin überprüft werden.
* AuchSOLLTEN regelmäßig Revisionen durchgeführt werden.
* Dabei SOLLTE unter anderem geprüft werden, obder Ist-Zustand der festgelegten sicheren Grundkonfiguration entspricht.
* Die Ergebnisse SOLLTENnachvollziehbar dokumentiert und mit dem Soll-Zustand abgeglichen werden.
* Abweichungen SOLLTEnachgegangen werden.


3.3.
{| class="wikitable sortable options"
* Anforderungen bei erhöhtem SchutzbedarfIm Folgenden sind für den Baustein NET.3.1 Router und Switches exemplarische Vorschläge fürAnforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehenund BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN.
|-
* Die konkrete Festlegungerfolgt im Rahmen einer Risikoanalyse.NET.3.1.A24 Einsatz von Netzzugangskontrollen (H)Eine Port-based Access Control SOLLTE nach IEEE 802.1x auf Basis von EAP-TLS implementiert werden.
! Anforderung !! Beschreibung
* EsSOLLTE KEINE Implementierung nach den Standards IEEE 802.1x-2001 und IEEE 802.1x-2004 erfolgen.NET.3.1.A25 Erweiterter Integritätsschutz für die Konfigurationsdateien (H)Stürzt ein Router oder Switch ab, SOLLTE sichergestellt werden, dass bei der Wiederherstellung bzw.  
|-
* beimNeustart keine alten oder fehlerhaften Konfigurationen (unter anderem ACLs) benutzt werden.NET.3.1.A26 Hochverfügbarkeit (H)Die Realisierung einer Hochverfügbarkeitslösung SOLLTE den Betrieb der Router und Switches bzw.  
| A24 || Einsatz von Netzzugangskontrollen
* derenSicherheitsfunktionen NICHT behindern oder das Sicherheitsniveau senken.  
|-
* Router und Switches SOLLTENredundant ausgelegt werden.  
| A25 || Erweiterter Integritätsschutz für die Konfigurationsdateien
* Dabei SOLLTE darauf geachtet werden, dass die Sicherheitsrichtlinie derInstitution eingehalten wird.NET.3.1.A27 Bandbreitenmanagement für kritische Anwendungen und Dienste (H)Router und Switches SOLLTEN Funktionen enthalten und einsetzen, mit denen sich die Applikationenerkennen und Bandbreiten priorisieren lassen.NET.3.1.A28 Einsatz von zertifizierten Produkten (H)Es SOLLTEN Router und Switches mit einer Sicherheitsevaluierung nach Common Criteria eingesetztwerden, mindestens mit der Stufe EAL4.4.
|-
* Weiterführende Informationen4.1.
| A26 || Hochverfügbarkeit
* WissenswertesDas BSI hat in den BSI-Standards zur Internet Sicherheit (ISi-Reihe) weitere Informationen zur Sicherheit beiRoutern und Switches veröffentlicht.Das Institute of Electrical and Electronics Engineers (IEEE) hat in seiner Standard-Reihe die Standards IEEE802.1Q „IEEE Standard for Local and Metropolitan Area Networks - Bridges and Bridged Networks“ und IEEE802.1AE „IEEE Standard for Local and Metropolitan Area Networks: Media Access Control (MAC) Security“veröffentlicht.In den Requests for Comments (RFC) bieten der RFC 6165 „Extensions to IS-IS for Layer-2 Systems“ und derRFC 7348 „Virtual Extensible Local Area Network (VXLAN): A Framework for Overlaying Virtualized Layer 2Networks over Layer 3 Networks“ weiterführende Informationen zu Routern und Switches.5.
|-
* Anlage: Kreuzreferenztabelle zu elementaren GefährdungenDie Kreuzreferenztabelle enthält die Zuordnung von elementaren Gefährdungen zu den Anforderungen.Anhand dieser Tabelle lässt sich ermitteln, welche elementaren Gefährdungen durch welche Anforderungenabgedeckt sind.
| A27 || Bandbreitenmanagement für kritische Anwendungen und Dienste
* Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wirdden entsprechenden elementaren Gefährdungen entgegengewirkt.
|-
* Die Buchstaben in der zweiten Spalte (C =Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden.
| A28 || Einsatz von zertifizierten Produkten
|}
 
==== A24 Einsatz von Netzzugangskontrollen ====
; Eine Port-based Access Control SOLLTE nach IEEE 802.1x auf Basis von EAP-TLS implementiert werden
* Es SOLLTE KEINE Implementierung nach den Standards IEEE 802.1x-2001 und IEEE 802.1x-2004 erfolgen.
 
==== A25 Erweiterter Integritätsschutz für die Konfigurationsdateien ====
Stürzt ein Router oder Switch ab, SOLLTE sichergestellt werden, dass bei der Wiederherstellung bzw. beim Neustart keine alten oder fehlerhaften Konfigurationen (unter anderem ACLs) benutzt werden.
 
==== A26 Hochverfügbarkeit ====
Die Realisierung einer Hochverfügbarkeitslösung SOLLTE den Betrieb der Router und Switches bzw. deren Sicherheitsfunktionen NICHT behindern oder das Sicherheitsniveau senken.
* Router und Switches SOLLTEN redundant ausgelegt werden.
* Dabei SOLLTE darauf geachtet werden, dass die Sicherheitsrichtlinie der Institution eingehalten wird.
 
==== A27 Bandbreitenmanagement für kritische Anwendungen und Dienste ====
Router und Switches SOLLTEN Funktionen enthalten und einsetzen, mit denen sich die Applikationen erkennen und Bandbreiten priorisieren lassen.
 
==== A28 Einsatz von zertifizierten Produkten ====
Es SOLLTEN Router und Switches mit einer Sicherheitsevaluierung nach Common Criteria eingesetzt werden, mindestens mit der Stufe EAL
 
== Weiterführende Informationen ==


Die folgenden elementaren Gefährdungen sind für den Baustein NET.3.1 Router und Switches von Bedeutung.
; BSI
* Das BSI hat in den BSI-Standards zur Internet Sicherheit (ISi-Reihe) weitere Informationen zur Sicherheit bei Routern und Switches veröffentlicht.  
; IEEE
* Das Institute of Electrical and Electronics Engineers (IEEE) hat in seiner Standard-Reihe die Standards IEEE802.1Q „IEEE Standard for Local and Metropolitan Area Networks - Bridges and Bridged Networks“ und IEEE802.1AE „IEEE Standard for Local and Metropolitan Area Networks: Media Access Control (MAC) Security“veröffentlicht.
; RDC
* In den Requests for Comments (RFC) bieten der RFC 6165 „Extensions to IS-IS for Layer-2 Systems“ und derRFC 7348 „Virtual Extensible Local Area Network (VXLAN): A Framework for Overlaying Virtualized Layer 2Networks over Layer 3 Networks“ weiterführende Informationen zu Routern und Switches.


G 0.9 Ausfall oder Störung von KommunikationsnetzenG 0.11 Ausfall oder Störung von DienstleisternG 0.14 Ausspähen von Informationen (Spionage)G 0.15 AbhörenG 0.18 Fehlplanung oder fehlende AnpassungG 0.19 Offenlegung schützenswerter InformationenG 0.20 Informationen oder Produkte aus unzuverlässiger QuelleG 0.21 Manipulation von Hard- oder SoftwareG 0.22 Manipulation von InformationenG 0.23 Unbefugtes Eindringen in IT-SystemeG 0.25 Ausfall von Geräten oder SystemenG 0.26 Fehlfunktion von Geräten oder SystemenG 0.27 RessourcenmangelG 0.29 Verstoß gegen Gesetze oder RegelungenG 0.30 Unberechtigte Nutzung oder Administration von Geräten und SystemenG 0.31 Fehlerhafte Nutzung oder Administration von Geräten und SystemenG 0.32 Missbrauch von BerechtigungenG 0.36 IdentitätsdiebstahlG 0.37 Abstreiten von HandlungenG 0.38 Missbrauch personenbezogener DatenG 0.40 Verhinderung von Diensten (Denial of Service)G 0.43 Einspielen von NachrichtenG 0.45 DatenverlustG 0.46 Integritätsverlust schützenswerter Informatione
[[Kategorie:NET]]
[[Kategorie:Router/Sicherheit]]
[[Kategorie:Switch/Sicherheit]]

Aktuelle Version vom 7. Dezember 2023, 21:35 Uhr

NET.3.1 Router und Switches - Sicherer Einsatz von Router und Switches

Beschreibung

Router und Switches sind unverzichtbare aktive Komponenten von Computernetzwerken

MÜSSEN besonders gesichert werden
  • Ausfall führt zum Stillstand des Netzwerkes

Router

Verbindungen zwischen Systemen auf OSI-Layer 3
  • Quellnetz/Zielnetz, Quellsystem/Zielsystem, meist IP
  • Netze verbinden, Netze segmentieren
OSI-Schicht 3 (Netzschicht)
  • Vermitteln Datenpakete anhand der Ziel-IP-Adresse im IP-Header
  • Verbindung verschiedener Topografien

Switches

Klassische Switches arbeiten auf dem Data-Link-Layer des OSI-Referenzmodells

Switches mit unterschiedlichen Funktionen

Hersteller kennzeichnen Geräte oft mit dem OSI-Layer, der unterstützt wird

Layer-3- und Layer-4-Switches
  • sind funktional Router
  • Funktionen von Switches und Routern in einem Gerät

Abgrenzung und Modellierung

NET.3.1 Router und Switches ist auf jeden Router und Switch anzuwenden

Abgrenzung

Option Beschreibung
Herstellerunabhängigkeit Keine Beschreibung von Anforderungen für bestimmte Produkte
Routern und Switches Weitgehend nicht unterschieden
Routing-Funktionen von Betriebssysteme nicht gesondert beschrieben
Virtuelle Router und Switches nicht gesondert beschrieben

Modellierung

Option Beschreibung
Infrastrukturellen Sicherheit Bausteine der Schicht INF Infrastruktur
  • geeignete Aufstellung
  • Stromversorgung
  • Verkabelung
Firewall
Netzdesigns und -managements
Zu berücksichtigende Bausteine

Gefährdungslage

Gefährdung Beschreibung
Distributed Denial of Service (DDoS) Ausfall von Diensten aufgrund zu vieler Verbindungsanfragen von vielen verschiedenen Rechnern
Manipulation Gelingt es einem Angreifer, unberechtigt auf einen Router oder Switch zuzugreifen, kann er die Geräte neu konfigurieren oder auch zusätzliche Dienste starten.
  • Die Konfiguration lässt sich beispielsweise so verändern, dass Dienste, Clients oder ganze Netzsegmente geblockt werden.
  • Gleichzeitig kann ein Angreifer am Switch den Netzverkehr abfangen, mitlesen oder manipulieren.
Fehlerhafte Konfiguration Router und Switches werden mit einer Standardkonfiguration ausgeliefert, in der viele Dienste aktiviert sind.
  • Auch verraten Login-Banner etwa die Modell- und Versionsnummer des Gerätes.
  • Werden Router und Switches mit unsicheren Werkseinstellungen produktiv eingesetzt, kann einfacher unberechtigt auf sie zugegriffen werden.
  • Im schlimmsten Fall sind dadurch interne Dienste für Angreifer erreichbar.
Fehlerhafte Planung und Konzeption Viele Institutionen planen und konzipieren den Einsatz von Routern und Switches fehlerhaft.
  • So werden unter anderem Geräte beschafft, die nicht ausreichend dimensioniert sind, z. B. hinsichtlich der Port-Anzahl oder der Leistung.
  • In der Folge kann ein Router oder Switch bereits überlastet sein, wenn er zum ersten Mal eingesetzt wird.
  • Dadurch sind eventuell Dienste oder ganze Netze nicht erreichbar und der Fehler muss aufwendig korrigiert werden.
Inkompatible aktive Netzkomponenten Kompatibilitätsprobleme können insbesondere dann entstehen, wenn bestehende Netze um aktive Netzkomponenten anderer Hersteller ergänzt oder wenn Netze mit Netzkomponenten unterschiedlicher Hersteller betrieben werden.
  • Werden aktive Netzkomponenten mit unterschiedlichen Implementierungen desselben Kommunikationsverfahrens gemeinsam in einem Netz betrieben, können einzelne Teilbereiche des Netzes, bestimmte Dienste oder sogar das gesamte Netz ausfallen.
MAC-Flooding Beim MAC-Flooding schickt ein Angreifer viele Anfragen mit wechselnden Quell-MAC-Adressen an einen Switch.
  • Sobald der Switch dann die Limits der MAC-Adressen, die er speichern kann, erreicht hat, fängt er an, sämtliche Anfragen an alle IT-Systeme im Netz zu schicken.
  • Dadurch kann der Angreifer den Netzverkehr einsehen.
Spanning-Tree-Angriffe Bei Spanning-Tree-Angriffen versendet ein Angreifer sogenannte Bridge Protocol Data Units (BPDUs), mit dem Ziel, die Switches dazu zu bringen, seinen eigenen (bösartigen) Switch als Root Bridge anzusehen.
  • Dadurch wird der Netzverkehr über den Switch des Angreifers umgeleitet, sodass er alle über ihn versendeten Informationen mitschneiden kann.
  • In der Folge kann er DDoS-Attacken initiieren und durch falsche BPDUs das Netz dazu zwingen, die Spanning-Tree-Topologie neu aufzubauen, wodurch das Netz ausfallen kann.
GARP-Attacken Bei Gratuitous-ARP (GARP)-Attacken sendet der Angreifer unaufgeforderte ARP-Antworten an bestimmte Opfer oder an alle IT-Systeme im selben Subnetz.
  • In dieser gefälschten ARP-Antwort trägt der Angreifer seine MAC-Adresse als Zuordnung zu einer fremden IP-Adresse ein und bringt das Opfer dazu, seine ARP-Tabelle so zu verändern, dass der Netzverkehr nun zum Angreifer, anstatt zum validen Ziel gesendet wird.
  • Dadurch kann er die Kommunikation zwischen den Opfern mitschneiden oder sie manipulieren.

Elementaren Gefährdungen

Kreuzreferenztabelle
  • Zuordnung von elementaren Gefährdungen zu den Anforderungen
  • Anhand dieser Tabelle kann ermittelt werden, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind.
  • Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entsprechenden elementaren Gefährdungen entgegengewirkt.
  • Die Buchstaben in der zweiten Spalte (C =Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden.
Nr Gefährdung Grundwert
G 0.09 Ausfall oder Störung von Kommunikationsnetzen
G 0.11 Ausfall oder Störung von Dienstleistern
G 0.14 Ausspähen von Informationen (Spionage)
G 0.15 Abhören
G 0.18 Fehlplanung oder fehlende Anpassung
G 0.19 Offenlegung schützenswerter Informationen
G 0.20 Informationen oder Produkte aus unzuverlässiger Quelle
G 0.21 Manipulation von Hard- oder Software
G 0.22 Manipulation von Informationen
G 0.23 Unbefugtes Eindringen in IT-Systeme
G 0.25 Ausfall von Geräten oder Systemen
G 0.26 Fehlfunktion von Geräten oder Systemen
G 0.27 Ressourcenmangel
G 0.29 Verstoß gegen Gesetze oder Regelungen
G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen
G 0.32 Missbrauch von Berechtigungen
G 0.36 Identitätsdiebstahl
G 0.37 Abstreiten von Handlungen
G 0.38 Missbrauch personenbezogener Daten
G 0.40 Verhinderung von Diensten (Denial of Service)
G 0.43 Einspielen von Nachrichten
G 0.45 Datenverlust
G 0.46 Integritätsverlust schützenswerter Informationen

Zuständigkeiten

Rollen und Zuständigkeiten
  • Grundsätzlich ist der IT-Betrieb für die Erfüllung der Anforderungen zuständig.
  • Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen.
  • Außerdem ist der ISB dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden.
  • Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten beider Erfüllung von Anforderungen haben.
  • Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt.
  • Zuständigkeiten Rollen Grundsätzlich zuständig IT-Betrieb
  • Weitere Zuständigkeiten

Anforderungen

Schutzbedarf Beschreibung
Basis MÜSSEN vorrangig erfüllt werden
Standard SOLLTEN grundsätzlich erfüllt werden
Erhöht Exemplarische Vorschläge

Basis

Basis-Anforderungen MÜSSEN vorrangig erfüllt werden
Anforderung Beschreibung Zuständigkeit
A1 Grundkonfiguration
A2 ENTFALLEN
A3 ENTFALLEN
A4 Administrationsschnittstellen
A5 Fragmentierungsangriffe
A6 Notfallzugriff
A7 Protokollierung
A8 Datensicherung
A9 Betriebsdokumentationen

A1 Sichere Grundkonfiguration eines Routers oder Switches

Bevor ein Router oder Switch eingesetzt wird, MUSS er sicher konfiguriert werden
  • Alle Konfigurationsänderungen SOLLTEN nachvollziehbar dokumentiert sein
  • Die Integrität der Konfigurationsdateien MUSS in geeigneter Weise geschützt werden
  • Bevor Zugangspasswörter abgespeichert werden, MÜSSEN sie mithilfe eines zeitgemäßen kryptografischen Verfahrens abgesichert werden
siehe CON.1 Kryptokonzept
  • Router und Switches MÜSSEN so konfiguriert sein, dass nur zwingend erforderliche Dienste, Protokolle und funktionale Erweiterungen genutzt werden.
  • Nicht benötigte Dienste, Protokolle und funktionale Erweiterungen MÜSSEN deaktiviert oder ganz deinstalliert werden.
  • Ebenfalls MÜSSEN nicht benutzte Schnittstellen auf Routern und Switches deaktiviert werden.
  • Unbenutzte Netzports MÜSSEN nach Möglichkeit deaktiviert oder zumindest einem dafür eingerichteten Unassigned-VLAN zugeordnet werden.
Funktionale Erweiterungen MÜSSEN die Sicherheitsrichtlinien der Institution erfüllen
  • Auch SOLLTE begründet und dokumentiert werden, warum solche Erweiterungen eingesetzt werden.
Informationen über den internen Konfigurations- und Betriebszustand MÜSSEN nach außen verborgen werden.
  • Unnötige Auskunftsdienste MÜSSEN deaktiviert werden.

A4 Schutz der Administrationsschnittstellen

Alle Administrations- und Managementzugänge der Router und Switches MÜSSEN auf einzelne Quell-IP-Adressen bzw. -Adressbereiche eingeschränkt werden
  • Es MUSS sichergestellt sein, dass aus nichtvertrauenswürdigen Netzen heraus nicht direkt auf die Administrationsschnittstellen zugegriffen werden kann.
  • Um Router und Switches zu administrieren bzw. zu überwachen, SOLLTEN geeignet verschlüsselte Protokolle eingesetzt werden.
  • Sollte dennoch auf unverschlüsselte Protokolle zurückgegriffen werden, MUSS für die Administration ein eigenes Administrationsnetz (Out-of-Band-Management) genutzt werden.
  • Die Managementschnittstellen und die Administrationsverbindungen MÜSSEN durch eine separate Firewallgeschützt werden.
  • Für die Schnittstellen MÜSSEN geeignete Zeitbeschränkungen für z. B. Timeoutsvorgegeben werden.
  • Alle für das Management-Interface nicht benötigten Dienste MÜSSEN deaktiviert werden.
  • Verfügt eine Netzkomponente über eine dedizierte Hardwareschnittstelle, MUSS der unberechtigte Zugriff darauf in geeigneter Weise unterbunden werden.

A5 Schutz vor Fragmentierungsangriffen

An Routern und Layer-3-Switches MÜSSEN Mechanismen zum Schutz vor IPv4/v6-Fragmentierungsangriffe abzuwehren

A6 Notfallzugriff auf Router und Switches

Es MUSS für die Administratoren immer möglich sein, direkt auf Router und Switches zuzugreifen
  • sodass diese weiterhin lokal administriert werden können, auch wenn das gesamte Netz ausfällt.

A7 Protokollierung

Protokollierung bei Routern und Switches
  • Ein Router oder Switch MUSS so konfiguriert werden, dass er unter anderem folgende Ereignisse protokolliert:
  • Konfigurationsänderungen (möglichst automatisch)
  • Reboot
  • Systemfehler
  • Statusänderungen pro Interface, System und Netzsegment sowie
  • Login-Fehler

A8 Regelmäßige Datensicherung

Konfigurationsdateien von Routern und Switches MÜSSEN regelmäßig gesichert werden
Sicherungskopien MÜSSEN so abgelegt werden, dass im Notfall darauf zugegriffen werden kann

A9 Betriebsdokumentationen

Die wichtigsten betrieblichen Aufgaben eines Routers oder Switches MÜSSEN geeignet dokumentiert werden
  • Es SOLLTEN alle Konfigurationsänderungen sowie sicherheitsrelevante Aufgaben dokumentiert werden
  • Die Dokumentation SOLLTEN vor unbefugten Zugriffen geschützt werden

Standard

Basis-Anforderungen und Standard-Anforderungen entsprechen dem Stand der Technik für den Baustein NET.3.1 Router und Switches
Standard-Anforderungen SOLLTEN grundsätzlich erfüllt werden
Anforderung Beschreibung
A10 Erstellung einer Sicherheitsrichtlinie (S)
A11 Beschaffung eines Routers oder Switches (S)
A12 Erstellung einer Konfigurations-Checkliste für Router und Switches (S)
A13 Administration über ein gesondertes Managementnetz
A14 Schutz vor Missbrauch von ICMP-Nachrichten (S)
A15 Bogon- und Spoofing-Filterung (S)
A16 Schutz vor „IPv6 Routing Header Type-0“-Angriffen (S)
A17 Schutz vor DoS- und DDoS-Angriffen (S)
A18 Einrichtung von Access Control Lists (S)
A19 Sicherung von Switch-Ports (S)
A20 Sicherheitsaspekte von Routing-Protokollen (S)
A21 Identitäts- und Berechtigungsmanagement in der Netzinfrastruktur(S)
A22 Notfallvorsorge bei Routern und Switches (S)
A23 Revision und Penetrationstests (S)

A10 Erstellung einer Sicherheitsrichtlinie (S)

Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution SOLLTE eine spezifische Sicherheitsrichtlinie erstellt werden
  • In der Sicherheitsrichtlinie SOLLTEN nachvollziehbar Anforderungen und Vorgaben beschrieben sein, wie Router und Switches sicher betrieben werden können.
  • Die Richtlinie SOLLTE allen Administratoren bekannt und grundlegend für ihre Arbeit sein.
  • Wird die Richtlinie verändert oder wird von den festgelegten Anforderungen abgewichen, SOLLTE das mit dem ISB abgestimmt und dokumentiert werden.
  • Es SOLLTE regelmäßig überprüft werden, ob die Richtlinie noch korrekt umgesetzt ist.
  • Die Ergebnisse SOLLTEN geeignet dokumentiert werden.

A11 Beschaffung eines Routers oder Switches (S)

Bevor Router oder Switches beschafft werden, SOLLTE basierend auf der Sicherheitsrichtlinie eine Anforderungsliste erstellt werden, anhand derer die am Markt erhältlichen Produkte bewertet werden.
  • Es SOLLTE darauf geachtet werden, dass das von der Institution angestrebte Sicherheitsniveau mit den zu beschaffenden Geräten erreicht werden kann.
  • Grundlage für die Beschaffung SOLLTEN daher die Anforderungen aus der Sicherheitsrichtlinie sein.

A12 Erstellung einer Konfigurations-Checkliste für Router und Switches (S)

Es SOLLTE eine Konfigurations-Checkliste erstellt werden, anhand derer die wichtigsten sicherheitsrelevanten Einstellungen auf Routern und Switches geprüft werden können.
  • Da die sichere Konfiguration stark vom Einsatzzweck abhängt, SOLLTEN die unterschiedlichen Anforderungen der Geräte in der Konfigurations-Checkliste berücksichtigt werden.

A13 Administration über ein gesondertes Managementnetz (S)

Router und Switches SOLLTEN ausschließlich über ein separates Managementnetz (Out-of-Band-Management) administriert werden.
  • Eine eventuell vorhandene Administrationsschnittstelle über das eigentliche Datennetz (In-Band) SOLLTE deaktiviert werden.
  • Die verfügbaren Sicherheitsmechanismen der eingesetzten Managementprotokolle zur Authentisierung, Integritätssicherung und Kryptografie SOLLTEN aktiviert werden.
  • Alle unsicheren Managementprotokolle SOLLTEN deaktiviert werden.

A14 Schutz vor Missbrauch von ICMP-Nachrichten (S)

Die Protokolle ICMP und ICMPv6 SOLLTEN restriktiv gefiltert werden.

A15 Bogon- und Spoofing-Filterung (S)

Es SOLLTE verhindert werden, dass Angreifer mithilfe gefälschter, reservierter oder noch nicht zugewiesener IP-Adressen in die Router und Switches eindringen können.

A16 Schutz vor „IPv6 Routing Header Type-0“-Angriffen (S)

Beim Einsatz von IPv6 SOLLTEN Mechanismen eingesetzt werden, die Angriffe auf den Routing-Header des Type-0 erkennen und verhindern.

A17 Schutz vor DoS- und DDoS-Angriffen (S)

Es SOLLTEN Mechanismen eingesetzt werden, die hochvolumige Angriffe sowie TCP-State-Exhaustion-Angriffe erkennen und abwehren.

A18 Einrichtung von Access Control Lists (S)

Zugriff auf Router und Switches SOLLTE mithilfe von Access Control Lists (ACLs) definiert werden
  • In der ACL SOLLTE anhand der Sicherheitsrichtlinie der Institution festgelegt werden, über welche IT-Systeme oder Netze mit welcher Methode auf einen Router oder Switch zugegriffen werden darf.
  • Für den Fall, dass keine spezifischen Regeln existieren, SOLLTE generell der restriktivere Whitelist-Ansatz bevorzugt werden.

A19 Sicherung von Switch-Ports (S)

Die Ports eines Switches SOLLTEN vor unberechtigten Zugriffen geschützt werden.

A20 Sicherheitsaspekte von Routing-Protokollen (S)

Router SOLLTEN sich authentisieren, wenn sie Routing-Informationen austauschen oder Updates für Routing-Tabellen verschicken.
  • Es SOLLTEN ausschließlich Routing-Protokolle eingesetzt werden, die dies unterstützen.
  • Dynamische Routing-Protokolle SOLLTEN ausschließlich in sicheren Netzen verwendet werden.
  • Sie DÜRFEN NICHT in demilitarisierten Zonen (DMZs) eingesetzt werden.
  • In DMZs SOLLTEN stattdessenstatische Routen eingetragen werden.

A21 Identitäts- und Berechtigungsmanagement in der Netzinfrastruktur(S)

Router und Switches SOLLTEN an ein zentrales Identitäts- und Berechtigungsmanagement angebunden werden
  • siehe ORP.4 Identitäts- und Berechtigungsmanagement

A22 Notfallvorsorge bei Routern und Switches (S)

Es SOLLTE geplant und vorbereitet werden, welche Fehler bei Routern oder Switches in einem Notfall diagnostiziert werden könnten.
  • Außerdem SOLLTE geplant und vorbereitet werden, wie die identifizierten Fehler behoben werden können.
  • Für typische Ausfallszenarien SOLLTEN entsprechende Handlungsanweisungen definiert und in regelmäßigen Abständen aktualisiert werden.
  • Die Notfallplanungen für Router und Switches SOLLTEN mit der übergreifenden Störungs- und Notfallvorsorge abgestimmt sein.
  • Die Notfallplanungen SOLLTEN sich am allgemeinen Notfallvorsorgekonzept orientieren (siehe DER.4 Notfallmanagement).
  • Es SOLLTE sichergestellt sein, dass die Dokumentationen zur Notfallvorsorge und die darin enthaltenen Handlungsanweisungen in Papierformvorliegen.
  • Das im Rahmen der Notfallvorsorge beschriebene Vorgehen SOLLTE regelmäßig geprobt werden.

A23 Revision und Penetrationstests (S)

Router und Switches SOLLTEN regelmäßig auf bekannte Sicherheitsprobleme hin überprüft werden.
  • Auch SOLLTEN regelmäßig Revisionen durchgeführt werden.
  • Dabei SOLLTE unter anderem geprüft werden, ob der Ist-Zustand der festgelegten sicheren Grundkonfiguration entspricht.
  • Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert und mit dem Soll-Zustand abgeglichen werden.
  • Abweichungen SOLLTE nachgegangen werden.

Erhöht

Exemplarische Vorschläge
  • Anforderungen, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen
  • SOLLTEN bei ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden
  • Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse
Anforderung Beschreibung
A24 Einsatz von Netzzugangskontrollen
A25 Erweiterter Integritätsschutz für die Konfigurationsdateien
A26 Hochverfügbarkeit
A27 Bandbreitenmanagement für kritische Anwendungen und Dienste
A28 Einsatz von zertifizierten Produkten

A24 Einsatz von Netzzugangskontrollen

Eine Port-based Access Control SOLLTE nach IEEE 802.1x auf Basis von EAP-TLS implementiert werden
  • Es SOLLTE KEINE Implementierung nach den Standards IEEE 802.1x-2001 und IEEE 802.1x-2004 erfolgen.

A25 Erweiterter Integritätsschutz für die Konfigurationsdateien

Stürzt ein Router oder Switch ab, SOLLTE sichergestellt werden, dass bei der Wiederherstellung bzw. beim Neustart keine alten oder fehlerhaften Konfigurationen (unter anderem ACLs) benutzt werden.

A26 Hochverfügbarkeit

Die Realisierung einer Hochverfügbarkeitslösung SOLLTE den Betrieb der Router und Switches bzw. deren Sicherheitsfunktionen NICHT behindern oder das Sicherheitsniveau senken.

  • Router und Switches SOLLTEN redundant ausgelegt werden.
  • Dabei SOLLTE darauf geachtet werden, dass die Sicherheitsrichtlinie der Institution eingehalten wird.

A27 Bandbreitenmanagement für kritische Anwendungen und Dienste

Router und Switches SOLLTEN Funktionen enthalten und einsetzen, mit denen sich die Applikationen erkennen und Bandbreiten priorisieren lassen.

A28 Einsatz von zertifizierten Produkten

Es SOLLTEN Router und Switches mit einer Sicherheitsevaluierung nach Common Criteria eingesetzt werden, mindestens mit der Stufe EAL

Weiterführende Informationen

BSI
  • Das BSI hat in den BSI-Standards zur Internet Sicherheit (ISi-Reihe) weitere Informationen zur Sicherheit bei Routern und Switches veröffentlicht.
IEEE
  • Das Institute of Electrical and Electronics Engineers (IEEE) hat in seiner Standard-Reihe die Standards IEEE802.1Q „IEEE Standard for Local and Metropolitan Area Networks - Bridges and Bridged Networks“ und IEEE802.1AE „IEEE Standard for Local and Metropolitan Area Networks: Media Access Control (MAC) Security“veröffentlicht.
RDC
  • In den Requests for Comments (RFC) bieten der RFC 6165 „Extensions to IS-IS for Layer-2 Systems“ und derRFC 7348 „Virtual Extensible Local Area Network (VXLAN): A Framework for Overlaying Virtualized Layer 2Networks over Layer 3 Networks“ weiterführende Informationen zu Routern und Switches.