Sicherheitsempfehlungen; Authentifizierung - Siemens RUGGEDCOM ROS Benutzerhandbuch

Kapitel 1
Einleitung
Abschnitt 1.2

Sicherheitsempfehlungen

Um unbefugten Zugriff auf das Gerät zu verhindern, sind folgende Sicherheitsempfehlungen zu beachten:

Authentifizierung

• Vor Einsatz des Geräts sind alle voreingestellten Passwörter für alle User-Accounts und Prozesse (wenn
erforderlich) zu ändern.
• Verwenden Sie starke Passwörter mit hoher Randomisierung (d.h. Entropie) ohne Zeichenwiederholung.
Vermeiden Sie schwache Passwörter, wie passwort1, 123456789 oder abcdefgh sowie ganze Wörter aus
dem Wörterbuch, Eigennamen oder Kombinationen daraus. Weitere Informationen zum Erstellen von
starken Passwörtern finden Sie in den Anforderungen für Passwörter in
Passwörtern".
• Passwörter müssen geschützt werden und sollten nicht an unbefugtes Personal weitergegeben werden.
• Passwörter sollten nach Ablauf nicht für mehrere Benutzernamen oder in verschiedenen Systemen wieder
verwendet werden.
• Bei Remote-Authentifizierung für RADIUS achten Sie darauf, dass die gesamte Kommunikation innerhalb des
Sicherheitsbereichs oder über sichere Kanäle erfolgt.
• Vor der Inbetriebnahme des Geräts sollte ein spezifisches SSL-Zertifikat und ein Schlüsselpaar für den SSL-Host
generiert und zur Verfügung gestellt werden. Weitere Informationen finden Sie unter
von SSH--Schlüsseln, SSL-Schlüsseln und
• Setzen Sie die Authentifizierung von öffentlichen SSH-Schlüsseln ein. Weitere Informationen finden Sie unter
Abschnitt 3.4, „Verwalten von SSH--Schlüsseln, SSL-Schlüsseln und
Physischer / Remote-Zugang
• Stellen Sie für das Gerät keine Internetverbindung her. Setzen Sie das Gerät nur in einer gesicherten
Netzwerkumgebung ein.
• Beschränken Sie den physischen Zugang zum Gerät ausschließlich auf befugtes Personal. Personen
mit böswilligen Absichten können an kritische Informationen, wie Zertifikate, Schlüssel usw. gelangen
(Benutzerpasswörter sind durch Hash-Codes geschützt) oder das Gerät umprogrammieren.
• Verwenden Sie für den Zugriff auf die serielle Konsole einen ebenso hohen Schutz als für den physischen
Zugriff auf das Gerät. Zugriff zur seriellen Konsole kann möglicherweise auch den Zugriff auf den RUGGEDCOM
ROS-Bootloader ermöglichen. Hier stehen Tools zur Verfügung, die vollständigen Zugriff auf das Gerät
gewährleisten.
• Aktivieren Sie nur solche Dienste, die auch tatsächlich auf dem Gerät benutzt werden. Hierzu gehören auch
physische Ports. Nicht verwendete physische Ports können möglicherweise für den Zugriff auf das Netzwerk
hinter dem Gerät genutzt werden.
• Ist SNMP aktiviert, beschränken Sie die Anzahl der IP-Adressen, die eine Verbindung zum Gerät herstellen
können und ändern Sie die Community-Bezeichnungen. Außerdem konfigurieren Sie das SNMP so, dass
bei fehlgeschlagener Authentifizierung eine Trap aktiviert wird. Weitere Informationen finden Sie unter
Abschnitt 5.6, „Verwalten von
• Vermeiden Sie den Einsatz unsicherer Dienste, wie Telnet und TFTP oder deaktivieren Sie diese nach Möglichkeit
vollständig. Solche Dienste sind aus historischen Gründen noch verfügbar, sind aber standardmäßig deaktiviert.
• Begrenzen Sie die Anzahl der zulässigen gleichzeitigen WebServer-, Telnet- und SSH-Sitzungen.
4
Zertifikaten".
SNMP".
Abschnitt 4.3.1, „Konfigurieren von
Abschnitt 3.4, „Verwalten
Zertifikaten".
Sicherheitsempfehlungen
RUGGEDCOM ROS
Benutzerhandbuch