AĞ.06 — Switch Standartları
Açıklama
Şirketin kablolu ağlarında ve ağ altyapısında kullanılan switch'ler için minimum standartlar bu dokümanda anlatılmıştır.
Standartlar
- Switch'e fiziksel erişim sınırlandırılır, sadece yetkili personelin erişmesi sağlanır.
- Switch'lerin işletim sistemlerinin (firmware) güncel olup olmadığı en az altı aylık periyotlarla kontrol edilir ve işletim sistemlerinin stabil, güncel ve üretici tarafından onaylanmış sürümü yüklenir.
- Her değişiklik sonrası switch'lerin konfigürasyon yedekleri alınır. Konfigürasyon yedekleri güvenli bir alanda en az bir yıl saklanır.
- Ağ cihazları şifreleri konfigürasyon dosyasında hash değeri kullanılarak saklanır.
- Ağ cihazlarındaki gereksiz ve kullanılmayan tüm servisler kapatılır (Proxy ARP, DNS, bootstrap, CDP, Finger, UDP Small Servers vb.).
- Uzaktan yönetim işlemleri SSH üzerinden yapılır. Telnet protokolü kullanılmaz.
- Switch'e yapılacak konsol ve SSH erişimleri sınırlandırılır. Sadece yetkisi olan kişilere konsol ve uzaktan erişim yetkisi verilir.
- Switch fiziksel olarak güvenli bir ortamda tutulsa dahi, konsol şifresi tanımlanır ve merkezi şifre yönetimi süreci içerisinde uygun kontroller ile saklanır.
- Yetkisiz erişimin engellendiğini ve tüm erişimlerin kayıt altına alındığını bildiren bir banner konfigüre edilir.
- Uzaktan yönetim işlemleri, erişim kontrol listeleri ile sınırlandırılır ve zaman aşımı süresi belirlenir.
- Switch yönetimi için ayrı bir VLAN yaratılır ve tüm yönetim işlemleri bu VLAN üzerinden yapılır.
- Switch üzerinde yerel kullanıcı hesapları kullanılır; kullanıcı kimlik denetim işlemleri için AAA (Authentication, Authorization, Accounting) özelliklerine sahip (RADIUS ya da TACACS+ gibi) bir sunucu kullanılır.
- Sadece gerekli network servisleri açılır ve güvenli bir şekilde konfigüre edilir; gereksiz
- IP directed broadcasts,
- TCP small servisleri,
- UDP small servisleri,
- switch üzerinde çalışan tüm web servisleri,
- FTP servisleri kapatılır.
- Switch arayüzlerinde dinamik port müzakeresi (DTP) kapatılır; portlar statik olarak access ya da trunk şeklinde yapılandırılır.
- SNMP servisi kullanılacaksa SNMPv3 (kimlik doğrulama SHA-256 ve üzeri, şifreleme AES ile) tercih edilir; SNMPv1/v2c kullanılmak zorundaysa güçlü bir community string belirlenir. SNMP servisi kullanılmayacaksa mutlaka kapalı tutulur.
- Ön tanımlı “public”, “private” ve “system” topluluk adları kullanılmaz; bu adlarla veya yetkisiz SNMP erişim denemeleriyle işlem yapılması durumunda log kaydı gönderecek “trap” tanımları yapılır.
- Ağa erişim sınırlandırılır; bunun için port security uygulanır ya da NAC çözümü kullanılır. (Bkz. AĞ.08 Ağ Erişim Kontrol (NAC) Cihazları Standartları)
- Switch'lerde standart olarak gelen VLAN1 tanımı değiştirilir.
- Bir VLAN'e erişim sağlandıktan sonra diğer VLAN'lere de erişimin sağlanmasını kolaylaştıran “VLAN hopping” saldırılarına karşı, kullanılmıyorsa “VLAN trunk autonegotiation” opsiyonu kapatılır.
- DoS ataklarına karşı “storm control” kullanılır.
- Kullanılmayan switch portları kapatılır ve kullanımda olmayan bir VLAN'a tanımlanır.
- Trunk üzerinden taşınacak VLAN sayısı sınırlandırılarak sadece ihtiyaç olan VLAN'ların taşınması sağlanır.
- Kritik ağ cihazlarına ilişkin;
- erişim yetkilendirmesi,
- başarılı ve başarısız erişimler,
- kilitlenmiş kullanıcı hesapları
- NTP sunucu bilgisi girilerek logların doğru zaman bilgisi içermesi sağlanır.
- STP konfigürasyonlarında Root Guard, BPDU Guard, BPDU Filter vb. STP özellikleri kullanılır.
Referanslar
- Week 47: Switch security tips — searchsecurity.techtarget.com
- Router and Switch Security Standard (Loyola University Chicago) — www.luc.edu