Inhaltsverzeichnis
Werbung
Physischer/Remote-Zugriff
• Betreiben Sie die Geräte nur in einem geschützten Netzwerkbereich. Angreifer können von
Außen nicht auf interne Daten zugreifen, wenn das interne und externe Netzwerk
voneinander getrennt sind.
• Beschränken Sie den physischen Zugriff auf das Gerät ausschließlich auf vertrauenswürdiges
Personal. Ein Benutzer mit bösartigen Absichten, der im Besitz der Wechselmedien des
Geräts ist, könnte kritische Informationen wie Zertifikate, Schlüssel usw. extrahieren
(Benutzerpasswörter sind durch Hash-Codes geschützt) oder die Medien neu
programmieren.
• Kontrollieren Sie den Zugriff auf die serielle Konsole in dem gleichen Umfang wie jeden
physischen Zugriff auf das Gerät.
• Es wird dringend empfohlen, den Schutz vor Brute-Force-Angriffen (BFA) aktiviert zu lassen,
um zu verhindern, dass sich Fremde unbefugten Zugriff auf das Gerät verschaffen.
Für weitere Informationen siehe "Ergänzende Dokumentation (Seite 8)".
• Verwenden Sie für die Kommunikation über nicht sichere Netzwerke zusätzliche Geräte mit
VPN-Funktionalität, um die Kommunikation zu verschlüsseln und zu authentifizieren.
• Wenn Sie eine sichere Verbindung zu einem Server (beispielsweise für ein sicheres Upgrade)
herstellen, achten Sie darauf, dass serverseitig starke Verschlüsselungsverfahren und
Protokolle konfiguriert sind.
• Beenden Sie Managementverbindungen (z.B. HTTP, HTTPS, SSH) ordnungsgemäß.
• Stellen Sie sicher, dass das Gerät vollständig abgeschaltet wurde, bevor Sie es aus dem
Betrieb nehmen.
Für weitere Informationen siehe "Ergänzende Dokumentation (Seite 8)".
Sichere/nicht sichere Protokolle
• Verwenden Sie sichere Protokolle, wenn der Zugriff auf das Gerät nicht durch physische
Schutzmaßnahmen verhindert wird.
• Deaktivieren oder begrenzen Sie den Einsatz nicht sicherer Protokolle. Denn manche
Protokolle sind tatsächlich sicher (z.B. HTTPS, SSH, 802.1X usw.), andere jedoch wurden
nicht zu dem Zweck entwickelt, Anwendungen abzusichern (z.B. SNMPv1/v2c, RSTP usw.).
Gegenüber nicht sicheren Protokollen sind angemessene Sicherheitsvorkehrungen
einzuhalten, um unbefugten Zugriff auf das Gerät/Netzwerk zu verhindern.
• Wenn nicht sichere Protokolle und Dienste erforderlich sind, stellen Sie sicher, dass das Gerät
in einem geschützten Netzwerkbereich betrieben wird.
• Falls für ein Protokoll eine sichere Alternative verfügbar ist, nutzen Sie diese. Beispiel:
– Verwenden Sie HTTPS statt HTTP.
– Verwenden Sie SNMPv3 statt SNMPv1/v2c.
• Vermeiden oder begrenzen Sie den Einsatz von:
– nicht authentifizierten und unverschlüsselten Protokollen
– Link Layer Discovery Protocol (LLDP)
• Achten Sie nach der Inbetriebnahme darauf, dass die Zugriffsrechte des Discovery and
Configuration Protocol (DCP) auf "schreibgeschützt" eingestellt sind.
SCALANCE XRH-300/XRM-300
Gerätehandbuch, 03/2023, C79000-G8900-C546-02
Security-Empfehlungen
3.1 Security-Empfehlungen
17
Werbung
Inhaltsverzeichnis
