Checkliste - IT-Sicherheit

Funktion	Hinweis
Benutzer-Management	Benutzer nur mit den erforderlichen Rechten ausstatten und sicheres Passwort einrichten; unterschiedliche Passwörter für jeden Router/Benutzer verwenden
RADIUS-Server	Authentifizierung über RADIUS-Server erhöht die IT-Sicherheit
Zugriffsschutz für die Benutzeroberfläche	Zugriff über unverschlüsselte HTTP-Verbindung wenn möglich deaktivieren; Zugriff über verschlüsselte HTTPS-Verbindung deaktivieren wenn nicht erforderlich; eine Authentifizierung mit Zertifikaten wird empfohlen
Automatisches Session-Timeout für Benutzeroberfläche	so kurz wie möglich, um den Konfigurationskanal nach Verlassen des Konfigurations-PCs ohne vorherige Abmeldung so schnell wie möglich zu schließen
Zugriff auf Kommandozeile (CLI)	wenn erforderlich nur über verschlüsselte SSH-Verbindung
VPN-Verbindungen	wenn möglich VPN-Verbindungen verwenden (dabei kein PPTP verwenden)
NTP-Synchronisierung	regelmäßige Synchronisierung der internen Uhr einrichten, um z. B. die Gültigkeit von Zertifikaten überprüfen zu können
Auto-Update	automatisches Update der Router-Firmware einrichten, um Sicherheitslücken in einer veralteten Firmware zu vermeiden
DHCP-Server	wenn nicht erforderlich deaktivieren
DNS-Relay	wenn nicht erforderlich deaktivieren
IP-Filter	aktivieren und Regeln so präzise wie möglich anlegen (nur die Pakete erlauben, die unbedingt erforderlich sind); bestehende Regeln in Hinblick auf die IT-Sicherheit überprüfen; bestehende Regeln auf IPv4 oder IPv6 beschränken, wenn nur eine IP-Version verwendet wird.
MAC-Filter	aktivieren wenn alle angeschlossenen Geräte bekannt sind; dabei nicht vergessen, auch die MAC-Adresse des Konfigurations-PCs einzutragen
SNMP	wenn erforderlich nur v3 mit Authentifizierung und Verschlüsselung verwenden
SLAAC	deaktivieren wenn nicht erforderlich bzw. IPv6 nicht verwendet wird
Switch	nur erforderliche Ports aktiveren, um den physischen Zugriff auf das Netzwerk einzuschränken
Meldungen bei IT-Sicherheits-relevanten Ereignissen	Meldungen (per SMS, E-Mail, SNMP-Trap oder MCIP) bei IT-Sicherheits-relevanten Ereignissen wie Anmeldeversuche, Konfigurationsänderungen, Änderungen am Switch, etc. anlegen, um den Anwender rechtzeitig zu warnen
Log-Dateien	regelmäßig auf Unregelmäßigkeiten kontrollieren, um diese frühzeitig zu erkennen
Profil (Konfiguration)	Router-Konfiguration als Profil offline speichern, sichern und gegen unbefugten Zugang schützen sowie ggf. dokumentieren und kommentieren, um Manipulationen zu erschweren
Installationsort	Router an einem zutrittgeschützten Ort aufstellen, um den physischen Zugriff darauf zu erschweren

Funktion

Hinweis

Benutzer-Management

Benutzer nur mit den erforderlichen Rechten ausstatten und sicheres Passwort einrichten; unterschiedliche Passwörter für jeden Router/Benutzer verwenden

RADIUS-Server

Authentifizierung über RADIUS-Server erhöht die IT-Sicherheit

Zugriffsschutz für die Benutzeroberfläche

Zugriff über unverschlüsselte HTTP-Verbindung wenn möglich deaktivieren; Zugriff über verschlüsselte HTTPS-Verbindung deaktivieren wenn nicht erforderlich; eine Authentifizierung mit Zertifikaten wird empfohlen

Automatisches Session-Timeout für Benutzeroberfläche

so kurz wie möglich, um den Konfigurationskanal nach Verlassen des Konfigurations-PCs ohne vorherige Abmeldung so schnell wie möglich zu schließen

Zugriff auf Kommandozeile (CLI)

wenn erforderlich nur über verschlüsselte SSH-Verbindung

VPN-Verbindungen

wenn möglich VPN-Verbindungen verwenden (dabei kein PPTP verwenden)

NTP-Synchronisierung

regelmäßige Synchronisierung der internen Uhr einrichten, um z. B. die Gültigkeit von Zertifikaten überprüfen zu können

Auto-Update

automatisches Update der Router-Firmware einrichten, um Sicherheitslücken in einer veralteten Firmware zu vermeiden

DHCP-Server

wenn nicht erforderlich deaktivieren

DNS-Relay

wenn nicht erforderlich deaktivieren

IP-Filter

aktivieren und Regeln so präzise wie möglich anlegen (nur die Pakete erlauben, die unbedingt erforderlich sind); bestehende Regeln in Hinblick auf die IT-Sicherheit überprüfen; bestehende Regeln auf IPv4 oder IPv6 beschränken, wenn nur eine IP-Version verwendet wird.

MAC-Filter

aktivieren wenn alle angeschlossenen Geräte bekannt sind; dabei nicht vergessen, auch die MAC-Adresse des Konfigurations-PCs einzutragen

SNMP

wenn erforderlich nur v3 mit Authentifizierung und Verschlüsselung verwenden

SLAAC

deaktivieren wenn nicht erforderlich bzw. IPv6 nicht verwendet wird

Switch

nur erforderliche Ports aktiveren, um den physischen Zugriff auf das Netzwerk einzuschränken

Meldungen bei IT-Sicherheits-relevanten Ereignissen

Meldungen (per SMS, E-Mail, SNMP-Trap oder MCIP) bei IT-Sicherheits-relevanten Ereignissen wie Anmeldeversuche, Konfigurationsänderungen, Änderungen am Switch, etc. anlegen, um den Anwender rechtzeitig zu warnen

Log-Dateien

regelmäßig auf Unregelmäßigkeiten kontrollieren, um diese frühzeitig zu erkennen

Profil (Konfiguration)

Router-Konfiguration als Profil offline speichern, sichern und gegen unbefugten Zugang schützen sowie ggf. dokumentieren und kommentieren, um Manipulationen zu erschweren

Installationsort

Router an einem zutrittgeschützten Ort aufstellen, um den physischen Zugriff darauf zu erschweren

Die Checkliste erhebt keinen Anspruch auf Vollständigkeit und hat allgemeinen Charakter.