Цель — определить минимальные требования по защищенному конфигурированию всех пограничных маршрутизаторов и коммутаторов, соединенных с интранетом или используемых в производственных целях самой Организацией или от ее имени.
Область действия. Политика распространяется на все пограничные маршрутизаторы и коммутаторы, соединенные с интранетом Организации. На маршрутизаторы и коммутаторы вну три интранета политика не распространяется. Для маршрутизаторов и коммутаторов внутри демилитаризованной зоны (ДМ3) применяется политика для оборудования ДМ3.
Основные положения. Конфигурация каждого маршрутизатора должна соответствовать следующим стандартам.
На маршрутизаторе не должно быть сконфигурировано никаких локальных учетных записей. Для аутентификации всех пользователей должен использоваться протокол TACACS+ или RADIUS (в зависимости от требуемого функционала).
Пароль на вход в привилегированный режим маршрутизатора должен храниться в зашифрованном виде. В качестве пароля привилегированный режим маршрутизатора должен использоваться текущий пароль, выданный Организацией, осуществляющей поддержку маршрутизатора. Запретить следующее:
- направленный широковещательный IP-трафик (IP directed broadcasts);
- входящие на маршрутизатор пакеты, направленные с ложных адресов, например, перечисленных в RFC 1918; TCP и UDP small services;
- все типы маршрутизации от источника;
- все веб-сервисы, запущенные на маршрутизаторе.
Использовать стандартные для организации «SNMP community strings». Правила доступа должны добавляться по мере необходимости. Маршрутизатор должен быть включен в корпоративную систему управления с заранее определенным контактным лицом.
На каждом маршрутизаторе должна присутствовать надпись: «Несанкционированный доступ к данному сетевому оборудованию запрещен. На доступ и конфигурирования устройства необходимо соответствующее разрешение. Все действия, выполняемые на этом устройстве, регистрируются. Нарушение данной политики повлечет за собой дисциплинарные взыскания или даже преследования в соответствии с законом. Никто не имеет права на сохранность информации, вводимой в сеансе удаленного доступа к данному устройству.»
Ответственность. Любой сотрудник, нарушивший политику, может быть привлечен к дисциплинарному наказанию, вплоть до увольнения с работы.