Werbung
Einleitung
2.2 Security-Empfehlungen
• Wenn Sie eine sichere Verbindung zu einem Server (beispielsweise für ein sicheres Upgrade)
herstellen, achten Sie darauf, dass serverseitig starke Verschlüsselungsverfahren und
Protokolle konfiguriert sind.
• Beenden Sie Managementverbindungen (z.B. HTTP, HTTPS, SSH) ordnungsgemäß.
• Stellen Sie sicher, dass das Gerät vollständig abgeschaltet wurde, bevor Sie es aus dem
Betrieb nehmen.
Für weitere Informationen siehe "Das Gerät außer Betrieb nehmen (Seite 85)".
Sichere/nicht sichere Protokolle
• Verwenden Sie sichere Protokolle, wenn der Zugriff auf das Gerät nicht durch physische
Schutzmaßnahmen verhindert wird.
• Deaktivieren oder begrenzen Sie den Einsatz nicht sicherer Protokolle. Denn manche
Protokolle sind tatsächlich sicher (z.B. HTTPS, SSH, 802.1X usw.), andere jedoch wurden
nicht zu dem Zweck entwickelt, Anwendungen abzusichern (z.B. SNMPv1/v2c, RSTP usw.).
Halten Sie gegenüber nicht sicheren Protokollen angemessene Sicherheitsvorkehrungen
ein, um unbefugten Zugriff aus das Netzwerk zu ergreifen.
• Wenn möglich, verwenden Sie das SSH File Transfer Protocol (SFTP) zur Übertragung von
Dateien. Es stehen zwar noch andere Protokolle zur Verfügung (z. B. FTP, TFTP, HTTP), doch
SFTP ist das einzige Protokoll, das Dateien verschlüsselt überträgt. Die anderen Protokolle
sind nicht vor Abfangen und Manipulation geschützt.
• Wenn nicht sichere Protokolle und Dienste erforderlich sind, stellen Sie sicher, dass das Gerät
in einem geschützten Netzwerkbereich betrieben wird.
• Falls für ein Protokoll eine sichere Alternative verfügbar ist, nutzen Sie diese. Beispiel:
– Verwenden Sie HTTPS statt HTTP.
– Verwenden Sie SNMPv3 statt SNMPv1/v2c.
• Vermeiden oder begrenzen Sie den Einsatz von:
– nicht authentifizierten und unverschlüsselten Protokollen
– Link Layer Discovery Protocol (LLDP)
• Nach der Inbetriebnahme werden die Zugriffsrechte des Discovery and basic Configuration
Protocol (DCP) automatisch auf schreibgeschützt eingestellt. Wenn Ihre Umgebung kein DCP
erfordert, wird empfohlen, das Protokoll vollständig zu deaktivieren.
Für weitere Informationen siehe "DCP (Seite 270)".
Hardware/Software
• Begrenzen Sie den Einsatz kritischer Anwendungen und beschränken Sie den Zugriff auf
Verwaltungsdienste auf private Netzwerke. Die Verbindung eines SINEC OS-Geräts mit dem
Internet ist möglich. Dabei muss jedoch mit größter Vorsicht vorgegangen werden, um das
Gerät und das Netzwerk dahinter zu schützen, indem sichere Mechanismen wie z.B. eine
Firewall oder IPsec verwendet werden.
• Verwenden Sie, wann immer möglich, VLANs als Schutz vor Denial-of-Service(DoS)-
Angriffen und vor unbefugtem Zugriff.
• Ausgewählte Dienste sind in SINEC OS standardmäßig aktiviert. Es wird empfohlen, nur die
für Ihre Installation unbedingt erforderlichen Dienste zu aktivieren.
Für weitere Informationen zu verfügbaren Diensten siehe "Verfügbare Dienste (Seite 29)".
26
Web User Interface (Web UI) SINEC OS v2.3
Projektierungshandbuch, 04/2023, C79000-G8900-C680-01
Werbung
