Filter

Sjekkliste: Ti grunnleggende tiltak for sikring av egne nettverk

Ytterligere nettverkstiltak er spesifisert i N-01 og N-03. NSM anbefaler at de følgende tiltakene iverksettes i angitt rekkefølge.

  1. Etabler nettverkssoner og filtrer nettverkstrafikken mellom soner og på perimeteren. Nettverkssoner bør etableres for enheter med forskjellig tillitsnivå/funksjon, som klienter og servere. Filtrering bør utføres ved å hviteliste ønsket nettverkstrafikk. Dersom hvitelisting ikke kan benyttes, bør man svarteliste uønsket nettverkstrafikk.
  2. Isolér klienter fra hverandre. Portisolasjon (Private VLAN) i klientsonen hindrer klienter fra å kommunisere med andre klienter.
  3. Logisk deaktiver og fysisk koble fra nettverkskabler fra ubrukte nettverksporter i svitsjer.  Angrepsflaten i nettverket reduseres ved logisk å deaktivere ubrukte nettverksporter og fysisk koble fra ubrukte nettverkskabler.
  4. Blokker uønskede DHCP- og ARP-meldinger i nettverket. DHCP-snooping og dynamisk ARP-inspeksjon forhindrer slike uønskede meldinger.
  5. Begrens antall MAC-adresser per nettverksport. Uønsket utvidelse av nettverket forhindres ved å begrense antallet MAC-adresser per nettverksport til én.
  6. Autentiser sluttbrukerutstyr som kobler seg til nettverket. IEEE 802.1X autentiserer sluttbrukerutstyr som kobler til nettverket ved at de må fremvise et maskinsertifikat utstedt av virksomheten.
  7. Beskytt trådløse nettverk med sterke sikkerhetsmekanismer. IEEE 802.11i-2004 (WPA2) i enterprise-modus med toveis-autentisering basert på maskinsertifikater og EAP-TLS sikrer trådløs kommunikasjon.
  8. Benytt linkkrypto på eksponerte nettverkskabler. IEEE 802.1AE (MACsec) beskytter data mot avlytting ved å kryptere nettverkstrafikk mellom svitsjer. Dette er særlig viktig for kabler i lett tilgjengelige områder.
  9. Benytt kryptert VPN for kommunikasjon utenfor egne nettverk. Ved å tunnelere all nettverkstrafikk hjem til virksomhetens nettverk, blir trafikken beskyttet. I tillegg utnyttes virksomhetens interne sikkerhetsmekanismer, som filtrering og logging, også ved tilgang til internettbaserte tjenester.
  10. Aktiver logging på nettverkskomponenter. Logger er et viktig verktøy ved håndtering av hendelser. Logging bør derfor aktiveres på nettverkskomponenter som støtter dette.

Veiledningen er tilgjengelig for nedlastning her.