ReadyPlanet.com
dot dot
dot
dot
bulletคณะกรรมการบริหาร
bulletหน้าที่ของ กบร.
bulletนโยบายชมรม
bulletขอบเขตรับผิดชอบอนุกรรมการ
bulletข้อบังคับชมรมฯ
bulletธนาคาร&สถาบันการเงินสมาชิก
bulletแผนการดำเนินงาน
dot
dot
bulletข้อมูล ธปท.สำหรับสถาบันการเงิน
bullet Web App. Security (OWASP Top 10)
bullet Checklist สำหรับบริหารจัดการ Cisco Router
bulletRouter Audit Tool (RAT)
bulletweb application testing
dot
dot
bulletกระทรวงการคลัง
bulletธนาคารแห่งประเทศไทย
bulletสมาคมผู้ตรวจสอบภายในฯ
bulletสมาคมธนาคารไทย
bulletISACA Bangkok
bulletสำนักงานคณะกรรมการ กลต.
bulletInformation Technology Governance (โดย อ.เมธา )
bulletThaiCERT
bulletAudit Net




Checklist สำหรับบริหารจัดการ Cisco Router

กล่าวนำ

บทความนี้มีจุดประสงค์เพื่อให้ผู้ที่มีหน้าที่บริหารและจัดการเราเตอร์ ได้มีหลักปฏิบัติสำหรับการบริหารและจัดการอุปกรณ์ประเภทเราเตอร์ให้มีความมั่งคงปลอดภัยที่สูงขึ้น โดยหัวข้อด้านล่างนี้จะเน้นกับเราเตอร์ของ CISCO เป็นหลักแต่ผู้อ่านสามารถที่จะนำไปประยุกต์เพื่อใช้ปฏิบัติกับเราเตอร์อื่น ๆ ได้เกือบทุกข้อ ซึ่งหัวข้อด้านล่างนี้เป็นสิ่งที่ควรดำเนินการทั้งหมด หากปัจจุบันองค์กรยังมิได้ดำเนินการ

  • กำหนดให้การสร้างเส้นทางในระบบเครือข่ายต้องมีการพิสูจน์ตัวตนด้วย MD5 ให้กับอุปกรณ์เราเตอร์ทั้งหมดขององค์กรที่อยู่ภายใต้ Autonomous Systems (AS) เดียวกัน ซึ่งโปรโตคอลที่ใช้ในการสร้างเส้นทางและมีคุณสมบัติรองรับ MD5 ได้แก่ BGP,OSPF,IS-IS,EIGRP และ RIPv.2
  • จำกัดให้เฉพาะเราเตอร์ภายนอกที่จะทำการเชื่อมต่อกับเราเตอร์ภายในองค์กรกับพอร์ต TCP 179 จะต้องเป็นเราเตอร์ที่มี AS ที่เชื่อถือได้เท่านั้น
  • กำหนดให้มีการใช้งานเครื่องเซิร์ฟเวอร์ที่ทำหน้าที่พิสูจน์ตัวตนสำหรับบุคคลที่จะเข้าใช้งาน โดยจะต้องพิสูจน์ตัวตนทุกครั้งก่อนการใช้งาน
  • กำหนดให้มีบัญชีผู้ใช้งานภายในเราเตอร์ให้น้อยที่สุด
  • กำหนดสิทธิและขอบเขตการใช้งานให้แก่ผู้ใช้งานไว้ที่ระดับต่ำที่สุด เพื่อให้ผู้ใช้มีสิทธิเข้าปฏิบัติงานตามหน้าที่ที่ได้รับมอบหมายเท่านั้น
  • ปิดการใช้งานพอร์ต AUX
  • สร้างแบนเนอร์เพื่อแจ้งให้กับผู้ที่ไม่ได้รับอนุญาตให้เข้าถึงการใช้งานเราเตอร์ทราบ
  • กำหนดให้มีการใช้รหัสผ่านให้กับผู้ใช้ที่ผ่านทางคอนโซล และ จากระยะไกลโดยเทอร์มินัล VTY
  • กำหนดเวลาในการเชื่อมต่อกับเราเตอร์ถ้าหากไม่มีการใช้งานนานเกินกว่า 15 นาที ให้ยุติการเชื่อมต่อทันที
  • ปิดอินเตอร์เฟสบนเราเตอร์ที่ไม่มีความจำเป็นในการใช้งาน
  • กำหนดให้การเชื่อมต่อในลักษณะ In-band เพื่อติดต่อกับเราเตอร์ต้องมีการใช้รหัสผ่านก่อนทุกครั้ง
  • อนุญาตเฉพาะบาง IP Address ภายในระบบเครือข่ายเท่านั้น ที่มีสิทธิเชื่อมต่อกับเราเตอร์เพื่อบริหารจัดการโดยใช้ Access Control Lists (ACLs)
  • กำหนดให้ใช้ SSH สำหรับการเชื่อมต่อเพื่อบริหารจัดการเราเตอร์เพื่อความปลอดภัย
  • กำหนดเวลาในการเชื่อมต่อกับเราเตอร์ให้จำกัดไม่เกิน 15 นาทีต่อการเชื่อมต่อ 1 ครั้ง
  • กำหนดให้เราเตอร์มีการบันทึกการใช้งานทุกครั้งที่มีการเชื่อมต่อกับเราเตอร์จากระยะไกลโดยเทอร์มินัล VTY
  • ปิดการบริหารจัดการเราเตอร์ผ่านทางโปรโตคอล HTTP, FTP หรือ BSD r เพื่อจำกัดการเชื่อมต่อที่ไม่จำเป็น
  • กำหนดอินเตอร์เฟสที่เชื่อมต่อกับภายนอกให้ไม่ตอบสนองต่อแพ็คเก็ต ICMP ขาออกประเภท IP Unreachable, IP Redirects และ IP Mask-reply เพื่อลดโอกาสในการโจมตีจากภายนอก
  • กำหนดรูปแบบของเหตุการณ์ที่ทำการบันทึกโดยให้ระบุวันเวลาของเหตุการณ์ที่เกิดขึ้นให้เป็นมาตรฐาน
  • กำหนดเราเตอร์ให้ตั้งสัญญาณนาฬิกาตามเวลามาตรฐานโดยใช้งาน NTP Server อย่างน้อย 2 เครื่อง เพราะหากเครื่องแรกไม่สามารถให้บริการได้จะยังสามารถตั้งสัญญาณนาฬิกาจากอีกเครื่องได้
  • หากมีความจำเป็นต้องใช้บริการแปลงชื่อโดเมนกับ IP Address ให้กำหนด DNS ไว้ในเราเตอร์เพื่อใช้งาน
  • กำหนด ACL ที่ใช้ในเราเตอร์เพื่ออนุญาตให้ใช้งานตามที่จำเป็นเท่านั้น ที่เหลือให้ปฏิเสธทิ้งให้หมด
  • ตรวจสอบ ACL ที่ใช้งานให้ตรงกับอินเตอร์เฟส เช่น ACL ที่สร้างเพื่อใช้งานแค่ภายในไม่ควรนำไปใช้กับอินเตอร์เฟสที่ติดต่อกับด้านนอก
  • กำหนดให้เราเตอร์ทำการบันทึกทุกครั้งที่พบว่าเราเตอร์มีการปฏิเสธการใช้งาน ไม่ว่าจะเกิดจากการเชื่อมต่อมายังพอร์ต โปรโตคอล หรือผ่านทางบริการต่าง ๆ ที่อยู่ในเราเตอร์ด้วย
  • กำหนดให้เราเตอร์ทำการบันทึกเหตุการณ์ตั้งแต่ระดับ 0 - 6 และส่งข้อมูลไปยังเครื่องเซิร์ฟเวอร์ SysLog
  • จำกัดการติดต่อประเภท SNMP กับเราเตอร์โดยอนุญาตให้เฉพาะ IP Address ที่ได้รับอนุญาตไว้แล้วเท่านั้น
  • กำหนดการใช้งาน SNMP ให้อยู่ในโหมดที่สามารถอ่านได้อย่างเดียว (Read-Only) เท่านั้น หรือกำหนดสิทธิอื่นที่สูงกว่าจะขึ้นอยู่กับความจำเป็นซึ่งรับการพิจารณาจากผู้ดูแลระบบแล้ว
  • ใช้ ACL ในการกำหนดให้เราเตอร์ยอมรับการเชื่อมต่อเฉพาะแพ็กเก็ตที่มาจาก IP Address ที่ใช้งานภายในระบบเครือข่ายเท่านั้น
  • กำหนดให้มีการตรวจสอบ ACL อย่างน้อยปีละหนึ่งครั้ง หรือตามรอบระยะเวลาที่หน่วยงานกำหนดไว้
  • อนุญาตให้แพ็คเก็ตขาออกบางประเภทเท่านั้นที่สามารถใช้งานได้ เช่น HTTP, Mail และ ต้องอนุญาตให้ทำการเชื่อมต่อกับ IP Address ที่มีอยู่จริงเท่านั้น โดยใช้คำสั่งประเภท ACL ร่วมกับ Unicast Reverse Path Forwarding เพื่อตรวจสอบแพ็กเก็ตของ IP Address ต้นทาง
  • กำหนดให้เราเตอร์ใช้คำสั่งประเภท TCP Intercept command เพื่อป้องกันการโจมตีจากเครือข่ายภายนอก เช่น ป้องกันการทำ TCP SYN flood จากเครือข่ายภายนอก
  • ปฎิเสธการติดต่อจากแพ็กเก็ต ICMP ขาเข้าประเภท Echo Reply (type 0), Time Exceeded (type 11) และ Destination Unreachable (type 3)
  • ปฎิเสธการติดต่อของแพ็กเก็ต ICMP ขอออกประเภท Echo Request (type 8), Parameter Problem (type 12) และ Source Quench (type 4)
  • กำหนดให้เราเตอร์ไม่อนุญาตให้แพ็กเก็ตจากโปรแกรม traceroute ที่เข้ามายังเราเตอร์ ไม่ให้มีการใช้งาน
  • ไม่ใช้โปรโตคอลประเภท TFTP ในการโอนถ่ายข้อมูลคอนฟิกกูเรชัน หรือ เฟิร์มแวร์ของเราเตอร์เนื่องจากโปรโตคอล ดังกล่าวไม่มีการเข้ารหัส

ที่มา : ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย

http://www.thaicert.nectec.or.th/paper/basic/router-checklist.php







Copyright © 2012 All Rights Reserved.
ชมรมผู้ตรวจสอบภายในธนาคาร และสถาบันการเงิน (Bank & Financial Institution Internal Auditors Club) ที่ทำการ สมาคมธนาคารไทย เลขที่ 5/13 ชั้น 4 หมู่ 3 ถนนแจ้งวัฒนะ ตำบลคลองเกลือ อำเภอปากเกร็ด จังหวัดนนทบุรี 11120 โทร. 0-2264-0883-7 โทรสาร. 0-2264-0888 สถานที่ติดต่อ ประธานและเลขาธิการกรรมการบริหารและคณะกรรมการบริหารชมรมฯ ตามระยะเวลาที่ดำรงตำแหน่งอยู่ โปรดดูรายละเอียดในหัวเรื่องคณะกรรมการ