ReadyPlanet.com
Home เกี่ยวกับชมรมฯ อบรม / สัมมนา เอกสารการอบรม ภาพกิจกรรมชมรมฯ
dot dot
dot
  •  Internal Auditors Club
dot
bulletคณะกรรมการบริหาร
bulletหน้าที่ของ กบร.
bulletนโยบายชมรม
bulletขอบเขตรับผิดชอบอนุกรรมการ
bulletข้อบังคับชมรมฯ
bulletธนาคาร&สถาบันการเงินสมาชิก
bulletแผนการดำเนินงาน
dot
  •  Tools & Guideline
dot
bulletข้อมูล ธปท.สำหรับสถาบันการเงิน
bullet Web App. Security (OWASP Top 10)
bullet Checklist สำหรับบริหารจัดการ Cisco Router
bulletRouter Audit Tool (RAT)
bulletweb application testing
dot
  •  Link ที่เกี่ยวข้อง
dot
bulletกระทรวงการคลัง
bulletธนาคารแห่งประเทศไทย
bulletสมาคมผู้ตรวจสอบภายในฯ
bulletสมาคมธนาคารไทย
bulletISACA Bangkok
bulletสำนักงานคณะกรรมการ กลต.
bulletInformation Technology Governance (โดย อ.เมธา )
bulletThaiCERT
bulletAudit Net
Checklist สำหรับบริหารจัดการ Cisco Router

กล่าวนำ

บทความนี้มีจุดประสงค์เพื่อให้ผู้ที่มีหน้าที่บริหารและจัดการเราเตอร์ ได้มีหลักปฏิบัติสำหรับการบริหารและจัดการอุปกรณ์ประเภทเราเตอร์ให้มีความมั่งคงปลอดภัยที่สูงขึ้น โดยหัวข้อด้านล่างนี้จะเน้นกับเราเตอร์ของ CISCO เป็นหลักแต่ผู้อ่านสามารถที่จะนำไปประยุกต์เพื่อใช้ปฏิบัติกับเราเตอร์อื่น ๆ ได้เกือบทุกข้อ ซึ่งหัวข้อด้านล่างนี้เป็นสิ่งที่ควรดำเนินการทั้งหมด หากปัจจุบันองค์กรยังมิได้ดำเนินการ

  • กำหนดให้การสร้างเส้นทางในระบบเครือข่ายต้องมีการพิสูจน์ตัวตนด้วย MD5 ให้กับอุปกรณ์เราเตอร์ทั้งหมดขององค์กรที่อยู่ภายใต้ Autonomous Systems (AS) เดียวกัน ซึ่งโปรโตคอลที่ใช้ในการสร้างเส้นทางและมีคุณสมบัติรองรับ MD5 ได้แก่ BGP,OSPF,IS-IS,EIGRP และ RIPv.2
  • จำกัดให้เฉพาะเราเตอร์ภายนอกที่จะทำการเชื่อมต่อกับเราเตอร์ภายในองค์กรกับพอร์ต TCP 179 จะต้องเป็นเราเตอร์ที่มี AS ที่เชื่อถือได้เท่านั้น
  • กำหนดให้มีการใช้งานเครื่องเซิร์ฟเวอร์ที่ทำหน้าที่พิสูจน์ตัวตนสำหรับบุคคลที่จะเข้าใช้งาน โดยจะต้องพิสูจน์ตัวตนทุกครั้งก่อนการใช้งาน
  • กำหนดให้มีบัญชีผู้ใช้งานภายในเราเตอร์ให้น้อยที่สุด
  • กำหนดสิทธิและขอบเขตการใช้งานให้แก่ผู้ใช้งานไว้ที่ระดับต่ำที่สุด เพื่อให้ผู้ใช้มีสิทธิเข้าปฏิบัติงานตามหน้าที่ที่ได้รับมอบหมายเท่านั้น
  • ปิดการใช้งานพอร์ต AUX
  • สร้างแบนเนอร์เพื่อแจ้งให้กับผู้ที่ไม่ได้รับอนุญาตให้เข้าถึงการใช้งานเราเตอร์ทราบ
  • กำหนดให้มีการใช้รหัสผ่านให้กับผู้ใช้ที่ผ่านทางคอนโซล และ จากระยะไกลโดยเทอร์มินัล VTY
  • กำหนดเวลาในการเชื่อมต่อกับเราเตอร์ถ้าหากไม่มีการใช้งานนานเกินกว่า 15 นาที ให้ยุติการเชื่อมต่อทันที
  • ปิดอินเตอร์เฟสบนเราเตอร์ที่ไม่มีความจำเป็นในการใช้งาน
  • กำหนดให้การเชื่อมต่อในลักษณะ In-band เพื่อติดต่อกับเราเตอร์ต้องมีการใช้รหัสผ่านก่อนทุกครั้ง
  • อนุญาตเฉพาะบาง IP Address ภายในระบบเครือข่ายเท่านั้น ที่มีสิทธิเชื่อมต่อกับเราเตอร์เพื่อบริหารจัดการโดยใช้ Access Control Lists (ACLs)
  • กำหนดให้ใช้ SSH สำหรับการเชื่อมต่อเพื่อบริหารจัดการเราเตอร์เพื่อความปลอดภัย
  • กำหนดเวลาในการเชื่อมต่อกับเราเตอร์ให้จำกัดไม่เกิน 15 นาทีต่อการเชื่อมต่อ 1 ครั้ง
  • กำหนดให้เราเตอร์มีการบันทึกการใช้งานทุกครั้งที่มีการเชื่อมต่อกับเราเตอร์จากระยะไกลโดยเทอร์มินัล VTY
  • ปิดการบริหารจัดการเราเตอร์ผ่านทางโปรโตคอล HTTP, FTP หรือ BSD r เพื่อจำกัดการเชื่อมต่อที่ไม่จำเป็น
  • กำหนดอินเตอร์เฟสที่เชื่อมต่อกับภายนอกให้ไม่ตอบสนองต่อแพ็คเก็ต ICMP ขาออกประเภท IP Unreachable, IP Redirects และ IP Mask-reply เพื่อลดโอกาสในการโจมตีจากภายนอก
  • กำหนดรูปแบบของเหตุการณ์ที่ทำการบันทึกโดยให้ระบุวันเวลาของเหตุการณ์ที่เกิดขึ้นให้เป็นมาตรฐาน
  • กำหนดเราเตอร์ให้ตั้งสัญญาณนาฬิกาตามเวลามาตรฐานโดยใช้งาน NTP Server อย่างน้อย 2 เครื่อง เพราะหากเครื่องแรกไม่สามารถให้บริการได้จะยังสามารถตั้งสัญญาณนาฬิกาจากอีกเครื่องได้
  • หากมีความจำเป็นต้องใช้บริการแปลงชื่อโดเมนกับ IP Address ให้กำหนด DNS ไว้ในเราเตอร์เพื่อใช้งาน
  • กำหนด ACL ที่ใช้ในเราเตอร์เพื่ออนุญาตให้ใช้งานตามที่จำเป็นเท่านั้น ที่เหลือให้ปฏิเสธทิ้งให้หมด
  • ตรวจสอบ ACL ที่ใช้งานให้ตรงกับอินเตอร์เฟส เช่น ACL ที่สร้างเพื่อใช้งานแค่ภายในไม่ควรนำไปใช้กับอินเตอร์เฟสที่ติดต่อกับด้านนอก
  • กำหนดให้เราเตอร์ทำการบันทึกทุกครั้งที่พบว่าเราเตอร์มีการปฏิเสธการใช้งาน ไม่ว่าจะเกิดจากการเชื่อมต่อมายังพอร์ต โปรโตคอล หรือผ่านทางบริการต่าง ๆ ที่อยู่ในเราเตอร์ด้วย
  • กำหนดให้เราเตอร์ทำการบันทึกเหตุการณ์ตั้งแต่ระดับ 0 - 6 และส่งข้อมูลไปยังเครื่องเซิร์ฟเวอร์ SysLog
  • จำกัดการติดต่อประเภท SNMP กับเราเตอร์โดยอนุญาตให้เฉพาะ IP Address ที่ได้รับอนุญาตไว้แล้วเท่านั้น
  • กำหนดการใช้งาน SNMP ให้อยู่ในโหมดที่สามารถอ่านได้อย่างเดียว (Read-Only) เท่านั้น หรือกำหนดสิทธิอื่นที่สูงกว่าจะขึ้นอยู่กับความจำเป็นซึ่งรับการพิจารณาจากผู้ดูแลระบบแล้ว
  • ใช้ ACL ในการกำหนดให้เราเตอร์ยอมรับการเชื่อมต่อเฉพาะแพ็กเก็ตที่มาจาก IP Address ที่ใช้งานภายในระบบเครือข่ายเท่านั้น
  • กำหนดให้มีการตรวจสอบ ACL อย่างน้อยปีละหนึ่งครั้ง หรือตามรอบระยะเวลาที่หน่วยงานกำหนดไว้
  • อนุญาตให้แพ็คเก็ตขาออกบางประเภทเท่านั้นที่สามารถใช้งานได้ เช่น HTTP, Mail และ ต้องอนุญาตให้ทำการเชื่อมต่อกับ IP Address ที่มีอยู่จริงเท่านั้น โดยใช้คำสั่งประเภท ACL ร่วมกับ Unicast Reverse Path Forwarding เพื่อตรวจสอบแพ็กเก็ตของ IP Address ต้นทาง
  • กำหนดให้เราเตอร์ใช้คำสั่งประเภท TCP Intercept command เพื่อป้องกันการโจมตีจากเครือข่ายภายนอก เช่น ป้องกันการทำ TCP SYN flood จากเครือข่ายภายนอก
  • ปฎิเสธการติดต่อจากแพ็กเก็ต ICMP ขาเข้าประเภท Echo Reply (type 0), Time Exceeded (type 11) และ Destination Unreachable (type 3)
  • ปฎิเสธการติดต่อของแพ็กเก็ต ICMP ขอออกประเภท Echo Request (type 8), Parameter Problem (type 12) และ Source Quench (type 4)
  • กำหนดให้เราเตอร์ไม่อนุญาตให้แพ็กเก็ตจากโปรแกรม traceroute ที่เข้ามายังเราเตอร์ ไม่ให้มีการใช้งาน
  • ไม่ใช้โปรโตคอลประเภท TFTP ในการโอนถ่ายข้อมูลคอนฟิกกูเรชัน หรือ เฟิร์มแวร์ของเราเตอร์เนื่องจากโปรโตคอล ดังกล่าวไม่มีการเข้ารหัส

ที่มา : ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย

http://www.thaicert.nectec.or.th/paper/basic/router-checklist.php



« Back
Copyright © 2012 All Rights Reserved.
ชมรมผู้ตรวจสอบภายในธนาคาร และสถาบันการเงิน (Bank & Financial Institution Internal Auditors Club) ที่ทำการ สมาคมธนาคารไทย เลขที่ 5/13 ชั้น 4 หมู่ 3 ถนนแจ้งวัฒนะ ตำบลคลองเกลือ อำเภอปากเกร็ด จังหวัดนนทบุรี 11120 โทร. 0-2264-0883-7 โทรสาร. 0-2264-0888 สถานที่ติดต่อ ประธานและเลขาธิการกรรมการบริหารและคณะกรรมการบริหารชมรมฯ ตามระยะเวลาที่ดำรงตำแหน่งอยู่ โปรดดูรายละเอียดในหัวเรื่องคณะกรรมการ