web-dev-qa-db-ja.com

ネットワークスイッチを選択するためのセキュリティ基準?

24ポート以上のスイッチを購入したいと考えています。スイッチを選択するときに心に留めておくべき一連のセキュリティ基準は、私にはわかりません。

私はすでに他のネットワークセキュリティの問題を考慮に入れようとしましたが、ネットワークスイッチに関連する一連のリスクについてのみ質問しています。ファイアウォールをセットアップしてネットワークを保護し、ワイヤレスアクセスポイントを安全な設定に構成しました。ネットワーク機器はロックされたクローゼットの中にあります。ネットワーク機器がリモートで悪用されているという報告に照らして、私は候補製品を検討する際に何を考慮する必要があるかを理解しようとしています。

現在、私は次のことが重要な基準であると考えています。

  1. タイムリーなファームウェア更新

スイッチの悪用が発見された場合、ファームウェアを更新する方法はありますか?また、スイッチの製造元はファームウェアの更新をタイムリーに提供しますか?

  1. 管理

これが正味のセキュリティプラスになるかどうかはわかりません。一方では、VLANなどのセキュリティ関連機能を有効にすることができます。もう1つは、「ばか」な管理されていないスイッチを介して攻撃面を拡大するだけかもしれません。

  1. 管理/構成インターフェース

承認されたアクセスのみを許可するには、SSHまたはTLSを介する必要があります。

  1. VLANサポート

ネットワークの分離(信頼されたネットワークとゲストネットワーク)を許可しますが、攻撃対象を拡大する可能性があります。

  1. 評判

これは、ほんの一握りの製造業者だけが確かなセキュリティ実績を持っている状況ですか?それともこれは無関係ですか?

  1. ロギング/ SNMP

監視に役立ちますか、それとも問題のない別の攻撃面ですか?

他に考慮すべき基準はありますか?または、上記の基準を改良しますか?

3
taltman

リストは良い出発点ですが、安全なインフラストラクチャを構築しているときに重要だと思ういくつかの技術要件を追加したいと思います。

  1. 中央認証/ Radiusサポート。認証を中央認証サーバーに統合するのが好きです。これにより、スイッチの管理者の管理が容易になり、ブルートフォース攻撃(アカウントロックダウン)からスイッチを保護できます。

  2. ポートセキュリティ/ IEEE 802.1X:一部の場所では、イーサネットプラグが露出しており、他の人に無許可のデバイスをネットワークに接続させたくありません。

  3. 管理VLAN。 VLANデバイスが管理サービス(ssh/https/snmpなど)に使用する)を選択するためのサポート。

  4. アクセス制御リスト/ ACL。一部のスイッチでは、ACLをポートに設定できます。これは、冗長なバリアが構成エラー(ファイアウォールの構成ミスなど)を軽減する必要がある厳密な環境で、またはトラフィックが実際のファイアウォールを通過しない場合のオプションとして役立ちます。

  5. ボンディング/ LACP。 (複数のスイッチ間で)ネットワークインターフェイスの結合を許可します。これは、いくつかの高可用性要件がある場合、インフラストラクチャを冗長化したい場合です。

  6. MACロックダウン。新しいMACアドレスを持つ機器をポートに接続する場合にスイッチポートを無効にする貧弱な人のポートセキュリティ。スイッチに接続する機器がIEEE 802.1Xをサポートしていない場合に便利です。

これらの可能な要件が役立つことを願っています。

5