Sichere/Unsichere Protokolle und Dienste
● Vermeiden oder deaktivieren Sie unsichere Protokolle und Dienste, wie z. B. HTTP, Telnet
und TFTP. Diese Protokolle sind aus historischen Gründen verfügbar, jedoch nicht für einen
sicheren Einsatz gedacht. Setzen Sie unsichere Protokolle auf dem Gerät mit Bedacht ein.
● Prüfen Sie die Notwendigkeit der Nutzung folgender Protokolle und Dienste:
– Nicht authentifizierte und unverschlüsselte Ports
– MRP, HRP
– IGMP Snooping
– LLDP
– Syslog
– RADIUS
– DHCP-Optionen 66/67
– TFTP
– GMRP und GVRP
● Die folgenden Protokolle bieten sichere Alternativen:
– HTTP → HTTPS
– Telnet → SSH
– SNMPv1/v2c → SNMPv3
● Nutzen Sie sichere Protokolle, wenn der Zugriff auf das Gerät nicht durch physische
Schutzvorkehrungen gesichert ist.
● Wenn Sie unsichere Protokolle und Dienste benötigen, betreiben Sie diese nur innerhalb
eines geschützten Netzwerkbereichs.
● Beschränken Sie die nach außen angebotenen Dienste und Protokolle auf das erforderliche
Mindestmaß.
● Aktivieren Sie für die DCP-Funktion nach der Inbetriebnahme den Modus
"Schreibgeschützt".
● Wenn Sie RADIUS für den Management-Zugriff auf das Gerät verwenden, aktivieren Sie
sichere Protokolle und Dienste.
Schnittstellen-Security
● Deaktivieren Sie ungenutzte Schnittstellen.
● Verwenden Sie IEEE 802.1X für die Schnittstellen-Authentifizierung.
● Verwenden Sie die Funktion "Gesperrte Ports", um Schnittstellen für unbekannte
Teilnehmer zu sperren.
SCALANCE XB-200
Betriebsanleitung, 02/2019, C79000-G8900-C359-08
Prüfen Sie die Notwendigkeit der Nutzung von SNMPv1/v2c. SNMPv1/v2c sind als
unsicher eingestuft. Nutzen Sie die Möglichkeit, den Schreibzugriff zu unterbinden. Das
Gerät bietet entsprechende Einstellmöglichkeiten.
Wenn SNMP aktiviert ist, ändern Sie die Community-Namen. Wenn kein
uneingeschränkter Zugriff erforderlich ist, beschränken Sie den Zugriff über SNMP.
Nutzen Sie die Authentifizierungs- und Verschlüsselungsmechanismen von SNMPv3.
Empfehlungen zur Netzwerksicherheit
13