Die US-Behörde National Security Agency (NSA) hat gerade einen neuen Leitfaden für die Sicherung von IT-Netzwerken vor Cyberangriffen veröffentlicht. Der Bericht mit dem Titel „Cybersecurity Technical Report (CTR): Network Infrastructure Security Guidance“ steht allen Netzwerkadministratoren und CIOs kostenlos zur Verfügung, um ihre Netzwerke vor Cyberangriffen zu schützen.
‍
Die Veröffentlichung kann auch als Reaktion auf die massiven Cyberangriffe russischer und weißrussischer Hacker auf die Ukraine betrachtet werden, bei der neben DDoS-Angriffen auch eine neue Disc-Wiper-Malware namens Hermetic zum Einsatz kam. Die Sicherheitslage weltweit ist seither noch angespannter und verschiedene Sicherheitsbehörden wie FBI und BSI haben ihre Warnstufen erhöht (wir berichteten). Auch die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) empfiehlt Verantwortlichen in den USA und weltweit die Lektüre des NSA-Dokuments und die Anwendung der darin ausgesprochenen Empfehlungen.
‍
Im Bericht enthalten sind alle Themen von Netzwerkdesign und Passwortmanagement über Remoteprotokollierung und -verwaltung sowie Update- und Patchmanagement bis hin zu den wichtigsten Exchange-Algorithmen. Auch Netzwerkprotokolle wie Network Time Protocol, SSH, HTTP und Simple Network Management Protocol (SNMP) werden behandelt.
‍
Darüber hinaus beschäftigt sich das Dokument mit der Einführung von „Zero Trust“-Regeln, über die auch wir erst kürzlich an dieser Stelle berichtet haben. US-Bundesbehörden müssen diesen Standard bis 2024 umsetzen und auch das National Institute of Standards and Technology (NIST) hat bereits eine entsprechende Handreichung veröffentlicht, an die sich der NSA-Report nun anschließt und Empfehlungen für die Umsetzung ausspricht. Dabei geht es um die Installation von Routern, die Verwendung mehrerer Anbieter und um die Erstellung von Firewalls, die das Potenzial eines Exploits verringern.
‍
Doch auch für Unternehmen und Organisationen, für die Zero Trust noch außer Reichweite liegt, ist der Report lesenswert, denn er gibt wertvolle Hilfestellung bei der Beseitigung der häufigsten Schwachstellen in bestehenden Netzwerken.
‍
Unter anderem wird der Umgang mit Cisco und seiner weit verbreiteten IOS-Netzwerksoftware für Router und Switches besprochen. Auch wie man Passwörter mit den Algorithmen speichert, die Cisco IOS-Geräte verwenden, wird behandelt. Darüber hinaus wird empfohlen:

• Ähnliche Systeme innerhalb eines Netzwerks gruppieren, um sich nach einer Kompromittierung vor einer Ausbreitung des Angreifers auf benachbarte Systeme zu schützen.
• Backdoor-Verbindungen zwischen Geräten im Netzwerk entfernen, strenge Perimeter-Zugriffskontrolllisten verwenden und eine Netzwerkzugriffskontrolle (NAC) implementieren, die einzelne mit dem Netzwerk verbundene Geräte authentifiziert.
• Bei VPNs Deaktivierung aller nicht benötigten Funktionen und strenge Verkehrsfilterregeln implementieren. Zudem werden im Dokument die Algorithmen spezifiziert, die für den Schlüsselaustausch in IPSec-VPN-Konfigurationen verwendet werden sollten.
• Lokale Administratorkonten sollten mit einem eindeutigen und komplexen Passwort geschützt werden.

Die NSA empfiehlt außerdem die Durchsetzung einer neuen Passwortrichtlinie und warnt vor Default-Einstellungen, die standardmäßig administrative Rechte mitbringen. Administratoren sollten daher alle Standardkonfigurationen entfernen und sie dann mit einem eindeutigen sicheren Konto für jeden Administrator neu konfigurieren. Zu guter Letzt werden mit Leitlinien für die Auswahl geeigneter VPN-Netzwerke den besonderen Herausforderungen der vergangenen zwei Jahr Rechnung getragen.

Der vollständige Bericht ist hier zu finden.