NGN eService

Next Generation Network Solution in Thailand

Config Rounter (Installation Checklist)

ชื่อเรื่อง : Checklist สำหรับบริหารจัดการเราเตอร์
เรียบเรียงโดย :
สมันต์ภูมิ ปฐมภัททพันธุ์ และ พุธ นาฑีสุวรรณ
เผยแพร่เมื่อ : 10 พฤศจิกายน 2548

กล่าวนำ

บทความนี้มีจุดประสงค์เพื่อให้ผู้ที่มีหน้าที่บริหารและจัดการเราเตอร์ ได้มีหลักปฏิบัติสำหรับการบริหารและจัดการอุปกรณ์ประเภทเราเตอร์ให้มีความมั่งคงปลอดภัยที่สูงขึ้น โดยหัวข้อด้านล่างนี้จะเน้นกับเราเตอร์ของ CISCO เป็นหลักแต่ผู้อ่านสามารถที่จะนำไปประยุกต์เพื่อใช้ปฏิบัติกับเราเตอร์อื่น ๆ ได้เกือบทุกข้อ ซึ่งหัวข้อด้านล่างนี้เป็นสิ่งที่ควรดำเนินการทั้งหมด หากปัจจุบันองค์กรยังมิได้ดำเนินการ

  • กำหนดให้การสร้างเส้นทางในระบบเครือข่ายต้องมีการพิสูจน์ตัวตนด้วย MD5 ให้กับอุปกรณ์เราเตอร์ทั้งหมดขององค์กรที่อยู่ภายใต้ Autonomous Systems (AS) เดียวกัน ซึ่งโปรโตคอลที่ใช้ในการสร้างเส้นทางและมีคุณสมบัติรองรับ MD5 ได้แก่ BGP,OSPF,IS-IS,EIGRP และ RIPv.2
  • จำกัดให้เฉพาะเราเตอร์ภายนอกที่จะทำการเชื่อมต่อกับเราเตอร์ภายในองค์กรกับพอร์ต TCP 179 จะต้องเป็นเราเตอร์ที่มี AS ที่เชื่อถือได้เท่านั้น
  • กำหนดให้มีการใช้งานเครื่องเซิร์ฟเวอร์ที่ทำหน้าที่พิสูจน์ตัวตนสำหรับบุคคลที่จะเข้าใช้งาน โดยจะต้องพิสูจน์ตัวตนทุกครั้งก่อนการใช้งาน
  • กำหนดให้มีบัญชีผู้ใช้งานภายในเราเตอร์ให้น้อยที่สุด
  • กำหนดสิทธิและขอบเขตการใช้งานให้แก่ผู้ใช้งานไว้ที่ระดับต่ำที่สุด เพื่อให้ผู้ใช้มีสิทธิเข้าปฏิบัติงานตามหน้าที่ที่ได้รับมอบหมายเท่านั้น
  • ปิดการใช้งานพอร์ต AUX
  • สร้างแบนเนอร์เพื่อแจ้งให้กับผู้ที่ไม่ได้รับอนุญาตให้เข้าถึงการใช้งานเราเตอร์ทราบ
  • กำหนดให้มีการใช้รหัสผ่านให้กับผู้ใช้ที่ผ่านทางคอนโซล และ จากระยะไกลโดยเทอร์มินัล VTY
  • กำหนดเวลาในการเชื่อมต่อกับเราเตอร์ถ้าหากไม่มีการใช้งานนานเกินกว่า 15 นาที ให้ยุติการเชื่อมต่อทันที
  • ปิดอินเตอร์เฟสบนเราเตอร์ที่ไม่มีความจำเป็นในการใช้งาน
  • กำหนดให้การเชื่อมต่อในลักษณะ In-band เพื่อติดต่อกับเราเตอร์ต้องมีการใช้รหัสผ่านก่อนทุกครั้ง
  • อนุญาตเฉพาะบาง IP Address ภายในระบบเครือข่ายเท่านั้น ที่มีสิทธิเชื่อมต่อกับเราเตอร์เพื่อบริหารจัดการโดยใช้ Access Control Lists (ACLs)
  • กำหนดให้ใช้ SSH สำหรับการเชื่อมต่อเพื่อบริหารจัดการเราเตอร์เพื่อความปลอดภัย
  • กำหนดเวลาในการเชื่อมต่อกับเราเตอร์ให้จำกัดไม่เกิน 15 นาทีต่อการเชื่อมต่อ 1 ครั้ง
  • กำหนดให้เราเตอร์มีการบันทึกการใช้งานทุกครั้งที่มีการเชื่อมต่อกับเราเตอร์จากระยะไกลโดยเทอร์มินัล VTY
  • ปิดการบริหารจัดการเราเตอร์ผ่านทางโปรโตคอล HTTP, FTP หรือ BSD r เพื่อจำกัดการเชื่อมต่อที่ไม่จำเป็น
  • กำหนดอินเตอร์เฟสที่เชื่อมต่อกับภายนอกให้ไม่ตอบสนองต่อแพ็คเก็ต ICMP ขาออกประเภท IP Unreachable, IP Redirects และ IP Mask-reply เพื่อลดโอกาสในการโจมตีจากภายนอก
  • กำหนดรูปแบบของเหตุการณ์ที่ทำการบันทึกโดยให้ระบุวันเวลาของเหตุการณ์ที่เกิดขึ้นให้เป็นมาตรฐาน
  • กำหนดเราเตอร์ให้ตั้งสัญญาณนาฬิกาตามเวลามาตรฐานโดยใช้งาน NTP Server อย่างน้อย 2 เครื่อง เพราะหากเครื่องแรกไม่สามารถให้บริการได้จะยังสามารถตั้งสัญญาณนาฬิกาจากอีกเครื่องได้
  • หากมีความจำเป็นต้องใช้บริการแปลงชื่อโดเมนกับ IP Address ให้กำหนด DNS ไว้ในเราเตอร์เพื่อใช้งาน
  • กำหนด ACL ที่ใช้ในเราเตอร์เพื่ออนุญาตให้ใช้งานตามที่จำเป็นเท่านั้น ที่เหลือให้ปฏิเสธทิ้งให้หมด
  • ตรวจสอบ ACL ที่ใช้งานให้ตรงกับอินเตอร์เฟส เช่น ACL ที่สร้างเพื่อใช้งานแค่ภายในไม่ควรนำไปใช้กับอินเตอร์เฟสที่ติดต่อกับด้านนอก
  • กำหนดให้เราเตอร์ทำการบันทึกทุกครั้งที่พบว่าเราเตอร์มีการปฏิเสธการใช้งาน ไม่ว่าจะเกิดจากการเชื่อมต่อมายังพอร์ต โปรโตคอล หรือผ่านทางบริการต่าง ๆ ที่อยู่ในเราเตอร์ด้วย
  • กำหนดให้เราเตอร์ทำการบันทึกเหตุการณ์ตั้งแต่ระดับ 0 – 6 และส่งข้อมูลไปยังเครื่องเซิร์ฟเวอร์ SysLog
  • จำกัดการติดต่อประเภท SNMP กับเราเตอร์โดยอนุญาตให้เฉพาะ IP Address ที่ได้รับอนุญาตไว้แล้วเท่านั้น
  • กำหนดการใช้งาน SNMP ให้อยู่ในโหมดที่สามารถอ่านได้อย่างเดียว (Read-Only) เท่านั้น หรือกำหนดสิทธิอื่นที่สูงกว่าจะขึ้นอยู่กับความจำเป็นซึ่งรับการพิจารณาจากผู้ดูแลระบบแล้ว
  • ใช้ ACL ในการกำหนดให้เราเตอร์ยอมรับการเชื่อมต่อเฉพาะแพ็กเก็ตที่มาจาก IP Address ที่ใช้งานภายในระบบเครือข่ายเท่านั้น
  • กำหนดให้มีการตรวจสอบ ACL อย่างน้อยปีละหนึ่งครั้ง หรือตามรอบระยะเวลาที่หน่วยงานกำหนดไว้
  • อนุญาตให้แพ็คเก็ตขาออกบางประเภทเท่านั้นที่สามารถใช้งานได้ เช่น HTTP, Mail และ ต้องอนุญาตให้ทำการเชื่อมต่อกับ IP Address ที่มีอยู่จริงเท่านั้น โดยใช้คำสั่งประเภท ACL ร่วมกับ Unicast Reverse Path Forwarding เพื่อตรวจสอบแพ็กเก็ตของ IP Address ต้นทาง
  • กำหนดให้เราเตอร์ใช้คำสั่งประเภท TCP Intercept command เพื่อป้องกันการโจมตีจากเครือข่ายภายนอก เช่น ป้องกันการทำ TCP SYN flood จากเครือข่ายภายนอก
  • ปฎิเสธการติดต่อจากแพ็กเก็ต ICMP ขาเข้าประเภท Echo Reply (type 0), Time Exceeded (type 11) และ Destination Unreachable (type 3)
  • ปฎิเสธการติดต่อของแพ็กเก็ต ICMP ขอออกประเภท Echo Request (type 8), Parameter Problem (type 12) และ Source Quench (type 4)
  • กำหนดให้เราเตอร์ไม่อนุญาตให้แพ็กเก็ตจากโปรแกรม traceroute ที่เข้ามายังเราเตอร์ ไม่ให้มีการใช้งาน
  • ไม่ใช้โปรโตคอลประเภท TFTP ในการโอนถ่ายข้อมูลคอนฟิกกูเรชัน หรือ เฟิร์มแวร์ของเราเตอร์เนื่องจากโปรโตคอล ดังกล่าวไม่มีการเข้ารหัส

เอกสารอ้างอิง

Network Infrastructure Security Checklist Version 5 Release 2.3 (Router Checklist Procedure Guide), National Institute of Standards and Technology (NIST), February 2005.

Filed under: NGN News

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: