ThaiCERT: Thai Computer Emergency Response Team ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย

กล่าวนำ

บทความนี้มีจุดประสงค์เพื่อให้ผู้ที่มีหน้าที่บริหารและจัดการสวิตซ์ ได้มีหลักปฏิบัติสำหรับการบริหารและจัดการอุปกรณ์ประเภทสวิตซ์ให้มีความมั่งคงปลอดภัยที่สูงขึ้น โดยหัวข้อด้านล่างนี้จะเน้นกับสวิตซ์ของ CISCO เป็นหลักแต่ผู้อ่านสามารถที่จะนำไปประยุกต์เพื่อใช้ปฏิบัติกับสวิตซ์อื่น ๆ ได้เกือบทุกข้อ ซึ่งหัวข้อด้านล่างนี้เป็นสิ่งที่ควรดำเนินการทั้งหมด หากปัจจุบันองค์กรยังมิได้ดำเนินการ

• กำหนดให้มีนโยบายจัดการความปลอดภัยทางด้านเครือข่ายที่ว่าด้วยเรื่องการบริหารจัดการสวิตซ์ด้วย
• ควบคุมการเข้าถึงสวิตซ์ทางกายภาพ โดยเข้าถึงได้เฉพาะผู้ที่ได้รับอนุญาตแล้วเท่านั้น อาจทำห้องหรือพื้นที่ที่สามารถควบคุมการเข้าถึงได้
• กำหนดให้มีการใช้เฟิร์มแวร์ที่มีความเสถียรล่าสุดในการติดตั้งภายในสวิตซ์
• กำหนดการใช้รหัสผ่านแบบ "Enable Secret" (ซึ่งจะทำให้ผู้อื่นไม่สามารถเห็นรหัสผ่านในขณะที่ทำการพิสูจน์ตัวตน)
• การบริหารจัดการสวิตซ์ให้ใช้การบริหารจัดการแบบ Out-of-band เสมอ แต่ถ้าหากไม่ทำแบบ Out-of-Band ได้ ให้จัดทำ Virtual LAN (VLAN) แยกเป็นเครือข่ายพิเศษเฉพาะผู้ดูแลเครือข่ายหรือผู้ที่มีสิทธิเพื่อทำการบริหารจัดการแบบ In-Band
• ต้องจำกัดเวลาในการบริหารจัดการสวิตซ์ เช่น ไม่เกิน 9 นาทีต่อการเชื่อมต่อ 1 ครั้ง และ กำหนดให้มีการใช้รหัสผ่านให้แก่การใช้งานในโหมด Privileged ด้วย
• สร้างแบนเนอร์เพื่อแจ้งให้กับผู้ที่ไม่ได้รับอนุญาตให้เข้าถึงการใช้งานสวิตซ์ทราบ
• ปิดบริการของสวิตซ์ที่ไม่จำเป็น เช่น บริการโปรโตคอล HTTP TCP Small Server หรือบริการอื่น ๆ
• เปิดเฉพาะบริการเท่าที่จำเป็น เช่น บริการเฉพาะ SSH เท่านั้น และ ตั้งค่าของบริการที่เปิดไว้ให้มีความปลอดภัย
• ใช้ SSH แทนการ Telnet และ กำหนดรหัสผ่านที่ยากต่อการเดาในการเข้าใช้งาน อย่างน้อยมีความยาว 8 ตัวอักษร
• หากมีความจำเป็นที่จะต้องใช้ SNMP ควรตั้งรหัสผ่านที่ยากต่อการเดา
• จำกัดการเข้าถึงสวิตซ์โดยอนุญาตเฉพาะบาง MAC Address เท่านั้นที่จะสามารถเข้าถึงได้ และ ปิดการใช้งาน Auto-trunking ที่พอร์ตที่เชื่อมต่อกับผู้ใช้งาน
• เฝ้าดูพอร์ตที่ต้องการตรวจสอบการใช้งานโดยใช้เทคนิค Mirroring
• ปิดพอร์ตของสวิตซ์ที่ไม่มีความจำเป็นต้องใช้งาน และ ลบ VLAN ของพอร์ตดังกล่าวทิ้งไปด้วย
• การใช้งาน Trunk บนพอร์ต จะใช้งานร่วมกับพอร์ตที่มีความจำเป็นเท่านั้น
• ตรวจสอบ VLAN ที่มีการใช้งานอยู่ในระบบให้มีเท่าที่จำเป็น
• ปิดการใช้ VLAN Trunking Protocol (VTP) ถ้าไม่มีความจำเป็น แต่ถ้าหากมีความจำเป็นต้องใช้งาน ให้กำหนดโดเมนให้แก่ VTP กำหนดรหัสผ่าน กำหนด pruning และ กำหนดให้อยู่ในโหมด Transparent
• กำหนด Access Control List (ACLs) ให้เหมาะสมกับการใช้งาน
• กำหนดให้สวิตซ์ทำการบันทึกเหตุการณ์ และ ส่งข้อมูลไปยังเครื่องเซิร์ฟเวอร์ SysLog
• กำหนดรูปแบบของเหตุการณ์ที่ทำการบันทึกโดยให้ระบุวันเวลาของเหตุการณ์ที่เกิดขึ้นให้เป็นมาตรฐาน
• กำหนดให้มีการปรับสัญญาณนาฬิกาตามเวลามาตรฐานด้วย NTP Server
• ผู้ดูแลระบบต้องตรวจสอบเหตุการณ์ต่าง ๆ บนสวิตซ์อย่างสม่ำเสมอ โดยยึดถือตามนโยบายจัดการความปลอดภัยทางด้านเครือข่าย
• ใช้การเข้าถึงสวิตซ์แบบ AAA (Authentication, Authorization, Accounting) (โดยที่จะต้องทำการพิสูจน์ตัวตน มีการกำหนดสิทธิการใช้งาน และ บันทึกเหตุการณ์ต่าง ๆ จากการใช้งาน) เพื่อใช้ตรวจสอบผู้ที่จะเข้ามาบริหารจัดการสวิตซ์ทั้งจากภายในเครือข่าย และ จากระยะไกล
• บำรุงรักษาไฟล์คอนฟิกกูเรชันแบบ Off-Line และ จำกัดการเข้าถึงให้เฉพาะผู้ที่ได้รับอนุญาตไว้แล้วเท่านั้น ซึ่งในรายละเอียดของไฟล์คอนฟิกกูเรชันควรมีการใช้คอมเมนต์เพื่ออธิบายเหตุผลในการคอนฟิกให้ชัดเจนซึ่งจะเป็นประโยชน์ในการตรวจสอบในอนาคต

เอกสารอ้างอิง

Network Infrastructure Security Checklist Version 1.0 (Cisco IOS Switch Security Configuration Guide), National Institute of Standards and Technology (NIST), June 2004.