AĞ.06 — Switch Standartları

Ağ Güvenliği IT Standartları · Türkçe

Açıklama

Şirketin kablolu ağlarında ve ağ altyapısında kullanılan switch'ler için minimum standartlar bu dokümanda anlatılmıştır.

Standartlar

  1. Switch'e fiziksel erişim sınırlandırılır, sadece yetkili personelin erişmesi sağlanır.
  2. Switch'lerin işletim sistemlerinin (firmware) güncel olup olmadığı en az altı aylık periyotlarla kontrol edilir ve işletim sistemlerinin stabil, güncel ve üretici tarafından onaylanmış sürümü yüklenir.
  3. Her değişiklik sonrası switch'lerin konfigürasyon yedekleri alınır. Konfigürasyon yedekleri güvenli bir alanda en az bir yıl saklanır.
  4. Ağ cihazları şifreleri konfigürasyon dosyasında hash değeri kullanılarak saklanır.
  5. Ağ cihazlarındaki gereksiz ve kullanılmayan tüm servisler kapatılır (Proxy ARP, DNS, bootstrap, CDP, Finger, UDP Small Servers vb.).
  6. Uzaktan yönetim işlemleri SSH üzerinden yapılır. Telnet protokolü kullanılmaz.
  7. Switch'e yapılacak konsol ve SSH erişimleri sınırlandırılır. Sadece yetkisi olan kişilere konsol ve uzaktan erişim yetkisi verilir.
  8. Switch fiziksel olarak güvenli bir ortamda tutulsa dahi, konsol şifresi tanımlanır ve merkezi şifre yönetimi süreci içerisinde uygun kontroller ile saklanır.
  9. Yetkisiz erişimin engellendiğini ve tüm erişimlerin kayıt altına alındığını bildiren bir banner konfigüre edilir.
  10. Uzaktan yönetim işlemleri, erişim kontrol listeleri ile sınırlandırılır ve zaman aşımı süresi belirlenir.
  11. Switch yönetimi için ayrı bir VLAN yaratılır ve tüm yönetim işlemleri bu VLAN üzerinden yapılır.
  12. Switch üzerinde yerel kullanıcı hesapları kullanılır; kullanıcı kimlik denetim işlemleri için AAA (Authentication, Authorization, Accounting) özelliklerine sahip (RADIUS ya da TACACS+ gibi) bir sunucu kullanılır.
  13. Sadece gerekli network servisleri açılır ve güvenli bir şekilde konfigüre edilir; gereksiz
    • IP directed broadcasts,
    • TCP small servisleri,
    • UDP small servisleri,
    • switch üzerinde çalışan tüm web servisleri,
    • FTP servisleri kapatılır.
  14. Switch arayüzlerinde dinamik port müzakeresi (DTP) kapatılır; portlar statik olarak access ya da trunk şeklinde yapılandırılır.
  15. SNMP servisi kullanılacaksa SNMPv3 (kimlik doğrulama SHA-256 ve üzeri, şifreleme AES ile) tercih edilir; SNMPv1/v2c kullanılmak zorundaysa güçlü bir community string belirlenir. SNMP servisi kullanılmayacaksa mutlaka kapalı tutulur.
  16. Ön tanımlı “public”, “private” ve “system” topluluk adları kullanılmaz; bu adlarla veya yetkisiz SNMP erişim denemeleriyle işlem yapılması durumunda log kaydı gönderecek “trap” tanımları yapılır.
  17. Ağa erişim sınırlandırılır; bunun için port security uygulanır ya da NAC çözümü kullanılır. (Bkz. AĞ.08 Ağ Erişim Kontrol (NAC) Cihazları Standartları)
  18. Switch'lerde standart olarak gelen VLAN1 tanımı değiştirilir.
  19. Bir VLAN'e erişim sağlandıktan sonra diğer VLAN'lere de erişimin sağlanmasını kolaylaştıran “VLAN hopping” saldırılarına karşı, kullanılmıyorsa “VLAN trunk autonegotiation” opsiyonu kapatılır.
  20. DoS ataklarına karşı “storm control” kullanılır.
  21. Kullanılmayan switch portları kapatılır ve kullanımda olmayan bir VLAN'a tanımlanır.
  22. Trunk üzerinden taşınacak VLAN sayısı sınırlandırılarak sadece ihtiyaç olan VLAN'ların taşınması sağlanır.
  23. Kritik ağ cihazlarına ilişkin;
    • erişim yetkilendirmesi,
    • başarılı ve başarısız erişimler,
    • kilitlenmiş kullanıcı hesapları
    loglanır. Loglar log sunucusuna yönlendirilir. Level 0-3 logları için saklama politikası şirket tarafından belirlenir. Kayıtların log sunucusunda güvenli bir şekilde tutulduğundan emin olunur.
  24. NTP sunucu bilgisi girilerek logların doğru zaman bilgisi içermesi sağlanır.
  25. STP konfigürasyonlarında Root Guard, BPDU Guard, BPDU Filter vb. STP özellikleri kullanılır.

Referanslar

← Tüm IT Standartları