Werbung
Einleitung
1.2 Sicherheitsempfehlungen
Physischer/Remote-Zugriff
•
•
•
•
•
•
•
•
•
6
treffen, zum Beispiel durch den Schutz des physischen Zugangs zum lokalen
Netzwerk und die Verwendung von Higher-Layer-Protokollen (HLP).
Stellen Sie für das Gerät keine Internetverbindung her. Setzen Sie das Gerät nur
in einer gesicherten Netzwerkumgebung ein.
Beschränken Sie den physischen Zugang zum Gerät ausschließlich auf befugtes
Personal. Personen mit böswilligen Absichten können an kritische Informationen,
wie Zertifikate, Schlüssel usw. gelangen (Benutzerpasswörter sind durch Hash-
Codes geschützt) oder das Gerät umprogrammieren.
Sofern nicht erforderlich, sollte der automatische Zugriff auf entnehmbaren
Speicher deaktiviert werden, um unbefugten Zugriff zu verhindern. Weitere
Informationen zum Deaktivieren des Zugriffs auf entnehmbaren Speicher
finden Sie unter
"Aktivieren/Deaktivieren des automatischen Zugriffs auf den
entnehmbaren Speicher (Seite
Kontrollieren Sie den Zugriff auf die serielle Konsole im gleichen Umfang wie
jeden physischen Zugriff auf das Gerät. Zugriff zur seriellen Konsole kann
möglicherweise auch unbefugten Zugriff auf den RUGGEDCOM ROS-Bootloader
ermöglichen. Hier stehen Tools zur Verfügung, die vollständigen Zugriff auf
das Gerät gewährleisten. Weitere Informationen zum Beschränken des Zugriffs
auf den Bootloader finden Sie unter
Schnittstelle (Seite
42)".
Aktivieren Sie nur solche Dienste, die auch tatsächlich auf dem Gerät benutzt
werden. Hierzu gehören auch physische Ports. Freie physische Ports können
potenziell dazu verwendet werden, Zugriff auf das Netzwerk hinter dem Gerät zu
erlangen.
Spiegel-Ports ermöglichen bidirektionalen Datenverkehr (d.h. das Gerät
blockiert eingehenden Datenverkehr zum Spiegel-Port oder zu den Spiegel-
Ports nicht). Um die Sicherheit zu erhöhen, konfigurieren Sie einen Ingress-
Filter, um den Datenverkehrsfluss zu steuern, wenn Port-Spiegelung aktiviert
ist. Weitere Informationen zum Aktivieren von Port-Spiegelung finden Sie unter
"Konfigurieren von Traffic Mirroring (Seite
Aktivieren des Ingress-Filters finden Sie unter
(Seite
177)".
Aktivieren Sie zur höheren Sicherheit standardmäßig den Ingress-Filter an allen
Ports. Weitere Informationen zum Aktivieren des Ingress-Filters finden Sie unter
"Konfigurieren von globalen VLANs (Seite
Ist SNMP aktiviert, beschränken Sie die Anzahl der IP-Adressen, die eine
Verbindung zum Gerät herstellen können, und ändern Sie die Community-
Bezeichnungen. Außerdem konfigurieren Sie das SNMP so, dass bei
fehlgeschlagener Authentifizierung ein Trap erzeugt wird. Weitere Informationen
finden Sie unter
"Verwalten von SNMP (Seite
Vermeiden Sie den Einsatz unsicherer Dienste wie Telnet und TFTP oder
deaktivieren Sie diese nach Möglichkeit vollständig. Solche Dienste sind aus
historischen Gründen noch verfügbar, sind aber standardmäßig deaktiviert.
44)".
"Verwalten des Zugriffs auf die Bootloader-
80)". Weitere Informationen zum
"Konfigurieren von globalen VLANs
177)".
289)".
Konfigurationshandbuch, 01/2022, C79000-G8900-1509-01
RUGGEDCOM ROS v5.6
Werbung
