กล่าวนำ
บทความนี้มีจุดประสงค์เพื่อให้ผู้ที่มีหน้าที่บริหารและจัดการเราเตอร์ ได้มีหลักปฏิบัติสำหรับการบริหารและจัดการอุปกรณ์ประเภทเราเตอร์ให้มีความมั่งคงปลอดภัยที่สูงขึ้น โดยหัวข้อด้านล่างนี้จะเน้นกับเราเตอร์ของ CISCO เป็นหลักแต่ผู้อ่านสามารถที่จะนำไปประยุกต์เพื่อใช้ปฏิบัติกับเราเตอร์อื่น ๆ ได้เกือบทุกข้อ ซึ่งหัวข้อด้านล่างนี้เป็นสิ่งที่ควรดำเนินการทั้งหมด หากปัจจุบันองค์กรยังมิได้ดำเนินการ
- กำหนดให้การสร้างเส้นทางในระบบเครือข่ายต้องมีการพิสูจน์ตัวตนด้วย MD5 ให้กับอุปกรณ์เราเตอร์ทั้งหมดขององค์กรที่อยู่ภายใต้ Autonomous Systems (AS) เดียวกัน ซึ่งโปรโตคอลที่ใช้ในการสร้างเส้นทางและมีคุณสมบัติรองรับ MD5 ได้แก่ BGP,OSPF,IS-IS,EIGRP และ RIPv.2
- จำกัดให้เฉพาะเราเตอร์ภายนอกที่จะทำการเชื่อมต่อกับเราเตอร์ภายในองค์กรกับพอร์ต TCP 179 จะต้องเป็นเราเตอร์ที่มี AS ที่เชื่อถือได้เท่านั้น
- กำหนดให้มีการใช้งานเครื่องเซิร์ฟเวอร์ที่ทำหน้าที่พิสูจน์ตัวตนสำหรับบุคคลที่จะเข้าใช้งาน โดยจะต้องพิสูจน์ตัวตนทุกครั้งก่อนการใช้งาน
- กำหนดให้มีบัญชีผู้ใช้งานภายในเราเตอร์ให้น้อยที่สุด
- กำหนดสิทธิและขอบเขตการใช้งานให้แก่ผู้ใช้งานไว้ที่ระดับต่ำที่สุด เพื่อให้ผู้ใช้มีสิทธิเข้าปฏิบัติงานตามหน้าที่ที่ได้รับมอบหมายเท่านั้น
- ปิดการใช้งานพอร์ต AUX
- สร้างแบนเนอร์เพื่อแจ้งให้กับผู้ที่ไม่ได้รับอนุญาตให้เข้าถึงการใช้งานเราเตอร์ทราบ
- กำหนดให้มีการใช้รหัสผ่านให้กับผู้ใช้ที่ผ่านทางคอนโซล และ จากระยะไกลโดยเทอร์มินัล VTY
- กำหนดเวลาในการเชื่อมต่อกับเราเตอร์ถ้าหากไม่มีการใช้งานนานเกินกว่า 15 นาที ให้ยุติการเชื่อมต่อทันที
- ปิดอินเตอร์เฟสบนเราเตอร์ที่ไม่มีความจำเป็นในการใช้งาน
- กำหนดให้การเชื่อมต่อในลักษณะ In-band เพื่อติดต่อกับเราเตอร์ต้องมีการใช้รหัสผ่านก่อนทุกครั้ง
- อนุญาตเฉพาะบาง IP Address ภายในระบบเครือข่ายเท่านั้น ที่มีสิทธิเชื่อมต่อกับเราเตอร์เพื่อบริหารจัดการโดยใช้ Access Control Lists (ACLs)
- กำหนดให้ใช้ SSH สำหรับการเชื่อมต่อเพื่อบริหารจัดการเราเตอร์เพื่อความปลอดภัย
- กำหนดเวลาในการเชื่อมต่อกับเราเตอร์ให้จำกัดไม่เกิน 15 นาทีต่อการเชื่อมต่อ 1 ครั้ง
- กำหนดให้เราเตอร์มีการบันทึกการใช้งานทุกครั้งที่มีการเชื่อมต่อกับเราเตอร์จากระยะไกลโดยเทอร์มินัล VTY
- ปิดการบริหารจัดการเราเตอร์ผ่านทางโปรโตคอล HTTP, FTP หรือ BSD r เพื่อจำกัดการเชื่อมต่อที่ไม่จำเป็น
- กำหนดอินเตอร์เฟสที่เชื่อมต่อกับภายนอกให้ไม่ตอบสนองต่อแพ็คเก็ต ICMP ขาออกประเภท IP Unreachable, IP Redirects และ IP Mask-reply เพื่อลดโอกาสในการโจมตีจากภายนอก
- กำหนดรูปแบบของเหตุการณ์ที่ทำการบันทึกโดยให้ระบุวันเวลาของเหตุการณ์ที่เกิดขึ้นให้เป็นมาตรฐาน
- กำหนดเราเตอร์ให้ตั้งสัญญาณนาฬิกาตามเวลามาตรฐานโดยใช้งาน NTP Server อย่างน้อย 2 เครื่อง เพราะหากเครื่องแรกไม่สามารถให้บริการได้จะยังสามารถตั้งสัญญาณนาฬิกาจากอีกเครื่องได้
- หากมีความจำเป็นต้องใช้บริการแปลงชื่อโดเมนกับ IP Address ให้กำหนด DNS ไว้ในเราเตอร์เพื่อใช้งาน
- กำหนด ACL ที่ใช้ในเราเตอร์เพื่ออนุญาตให้ใช้งานตามที่จำเป็นเท่านั้น ที่เหลือให้ปฏิเสธทิ้งให้หมด
- ตรวจสอบ ACL ที่ใช้งานให้ตรงกับอินเตอร์เฟส เช่น ACL ที่สร้างเพื่อใช้งานแค่ภายในไม่ควรนำไปใช้กับอินเตอร์เฟสที่ติดต่อกับด้านนอก
- กำหนดให้เราเตอร์ทำการบันทึกทุกครั้งที่พบว่าเราเตอร์มีการปฏิเสธการใช้งาน ไม่ว่าจะเกิดจากการเชื่อมต่อมายังพอร์ต โปรโตคอล หรือผ่านทางบริการต่าง ๆ ที่อยู่ในเราเตอร์ด้วย
- กำหนดให้เราเตอร์ทำการบันทึกเหตุการณ์ตั้งแต่ระดับ 0 - 6 และส่งข้อมูลไปยังเครื่องเซิร์ฟเวอร์ SysLog
- จำกัดการติดต่อประเภท SNMP กับเราเตอร์โดยอนุญาตให้เฉพาะ IP Address ที่ได้รับอนุญาตไว้แล้วเท่านั้น
- กำหนดการใช้งาน SNMP ให้อยู่ในโหมดที่สามารถอ่านได้อย่างเดียว (Read-Only) เท่านั้น หรือกำหนดสิทธิอื่นที่สูงกว่าจะขึ้นอยู่กับความจำเป็นซึ่งรับการพิจารณาจากผู้ดูแลระบบแล้ว
- ใช้ ACL ในการกำหนดให้เราเตอร์ยอมรับการเชื่อมต่อเฉพาะแพ็กเก็ตที่มาจาก IP Address ที่ใช้งานภายในระบบเครือข่ายเท่านั้น
- กำหนดให้มีการตรวจสอบ ACL อย่างน้อยปีละหนึ่งครั้ง หรือตามรอบระยะเวลาที่หน่วยงานกำหนดไว้
- อนุญาตให้แพ็คเก็ตขาออกบางประเภทเท่านั้นที่สามารถใช้งานได้ เช่น HTTP, Mail และ ต้องอนุญาตให้ทำการเชื่อมต่อกับ IP Address ที่มีอยู่จริงเท่านั้น โดยใช้คำสั่งประเภท ACL ร่วมกับ Unicast Reverse Path Forwarding เพื่อตรวจสอบแพ็กเก็ตของ IP Address ต้นทาง
- กำหนดให้เราเตอร์ใช้คำสั่งประเภท TCP Intercept command เพื่อป้องกันการโจมตีจากเครือข่ายภายนอก เช่น ป้องกันการทำ TCP SYN flood จากเครือข่ายภายนอก
- ปฎิเสธการติดต่อจากแพ็กเก็ต ICMP ขาเข้าประเภท Echo Reply (type 0), Time Exceeded (type 11) และ Destination Unreachable (type 3)
- ปฎิเสธการติดต่อของแพ็กเก็ต ICMP ขอออกประเภท Echo Request (type 8), Parameter Problem (type 12) และ Source Quench (type 4)
- กำหนดให้เราเตอร์ไม่อนุญาตให้แพ็กเก็ตจากโปรแกรม traceroute ที่เข้ามายังเราเตอร์ ไม่ให้มีการใช้งาน
- ไม่ใช้โปรโตคอลประเภท TFTP ในการโอนถ่ายข้อมูลคอนฟิกกูเรชัน หรือ เฟิร์มแวร์ของเราเตอร์เนื่องจากโปรโตคอล ดังกล่าวไม่มีการเข้ารหัส
ที่มา : ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย
http://www.thaicert.nectec.or.th/paper/basic/router-checklist.php