Heterogene Netze - Universität Paderborn

Transcription

Heterogene Netze - Universität Paderborn
IT-Grundschutzhandbuch
6.7
Heterogene Netze
Heterogene Netze
Beschreibung
Ein lokales Netz setzt sich aus der Verkabelung
(d. h. den passiven Netzkomponenten Kabel und
den Verbindungselementen) sowie den aktiven
Netzkomponenten zur Netzkopplung zusammen.
Generell können dabei unterschiedliche Verkabelungstypen wie auch unterschiedliche aktive
Netzkomponenten in ein LAN integriert werden. Als
aktive Netzkomponenten werden alle Netzkomponenten bezeichnet, die eine eigene
(Netz-)Strom-Versorgung benötigen. Dazu gehören u. a. Repeater, Brücken, Switches, Router,
Gateways. Als passive Netzkomponenten werden alle Netzkomponenten betrachtet, die keine
eigene Netzstrom-Versorgung benötigen. Dazu gehören z. B. Kabel, Verteilerschränke, Patchfelder, Steckverbinder.
Die Verkabelung wird bereits detailliert in Kapitel 4.2, die anwendungsbezogene Peripherie in den
Kapiteln 5 und 6 behandelt, so daß im vorliegenden Baustein primär die aktiven Netzkomponenten, die ihnen zugrundeliegende Topologie, ihre Konfiguration, Kriterien zur Auswahl
geeigneter Komponenten, die Auswahl von Übertragungsprotokollen sowie das zugehörige
Netzmanagement betrachtet werden.
Es werden nur LAN-Technologien betrachtet, z. B. die Netzprotokolle Ethernet, Token Ring oder
FDDI bzw. die zugehörigen Netzkomponenten wie Bridges, Switches oder Router. Diese
Technologien können u. U. auch in einem MAN zum Einsatz kommen. Fragestellungen im
Zusammenhang mit einer WAN-Anbindung werden dagegen nicht behandelt. Hier sei u. a. auf
das Kapitel 7.3 Firewall verwiesen.
Soll ein LAN hinreichend im Sinne des IT-Grundschutzes geschützt werden, so genügt es nicht,
nur das vorliegende Kapitel alleine zu bearbeiten. Neben den aktiven Netzkomponenten und der
eingesetzten Software zum Netzmanagement müssen auch die physikalische Verkabelung und die
im Netz zur Verfügung stehenden Serversysteme beachtet werden. Deshalb ist es unumgänglich,
auch die oben genannten Kapitel durchzuarbeiten.
Dieses Kapitel beschreibt einen Leitfaden, wie ein heterogenes Netz analysiert und darauf aufbauend unter Sicherheitsaspekten konzipiert und betrieben werden kann. Damit richtet sich dieses
Kapitel an die Stelle einer Organisation, die für den Netzbetrieb verantwortlich ist und das
entsprechende fachliche Wissen besitzt.
Gefährdungslage
Für den IT-Grundschutz eines heterogenen Netzes werden pauschal die folgenden Gefährdungen
angenommen:
Höhere Gewalt:
- G 1.1
- G 1.2
- G 1.3
- G 1.4
- G 1.5
- G 1.7
Version 1998
Personalausfall
Ausfall des IT-Systems
Blitz
Feuer
Wasser
Unzulässige Temperatur und Luftfeuchte
Teil 1 - Kapitel 6.7 - Seite 1
Heterogene Netze
- G 1.8
IT-Grundschutzhandbuch
Staub, Verschmutzung
Organisatorische Mängel:
- G 2.7
Unerlaubte Ausübung von Rechten
- G 2.9
Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
- G 2.22
Fehlende Auswertung von Protokolldaten
- G 2.27
Fehlende oder unzureichende Dokumentation
- G 2.32
Unzureichende Leitungskapazitäten
- G 2.44
Inkompatible aktive und passive Netzkomponenten
- G 2.45
Konzeptionelle Schwächen des Netzes
- G 2.46
Überschreiten der zulässigen Kabel- oder Buslänge bzw. der Ringgröße
Menschliche Fehlhandlungen:
- G 3.2
Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3
Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.5
Unbeabsichtigte Leitungsbeschädigung
- G 3.6
Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.8
Fehlerhafte Nutzung des IT-Systems
- G 3.9
Fehlerhafte Administration des IT-Systems
- G 3.28
Ungeeignete Konfiguration der aktiven Netzkomponenten
- G 3.29
Fehlende oder ungeeignete Segmentierung
Technisches Versagen:
- G 4.1
Ausfall der Stromversorgung
- G 4.6
Spannungsschwankungen/Überspannung/Unterspannung
- G 4.8
Bekanntwerden von Softwareschwachstellen
- G 4.31
Ausfall oder Störung von Netzkomponenten
Vorsätzliche Handlungen:
- G 5.1
Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2
Manipulation an Daten oder Software
- G 5.4
Diebstahl
- G 5.5
Vandalismus
- G 5.6
Anschlag
- G 5.7
Abhören von Leitungen
- G 5.8
Manipulation an Leitungen
- G 5.9
Unberechtigte IT-Nutzung
- G 5.18
Systematisches Ausprobieren von Paßwörtern
- G 5.28
Verhinderung von Diensten
- G 5.66
Unberechtigter Anschluß von IT-Systemen an ein Netz
- G 5.67
Unberechtigte Ausführung von Netzmanagementfunktionen
- G 5.68
Unberechtigter Zugang zu den aktiven Netzkomponenten
Maßnahmenvorschläge
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen.
Teil 1 - Kapitel 6.7 - Seite 2
Version 1998
IT-Grundschutzhandbuch
Heterogene Netze
An dieser Stelle sei nochmals darauf hingewiesen, daß ein ausreichender Schutz für ein LAN im
Sinne des IT-Grundschutzhandbuchs nur dann gewährleistet werden kann, wenn zusätzlich die
Maßnahmenbündel aus Kapitel 4.2 Verkabelung, Kapitel 6.1 Servergestütztes Netz und ggf. die
betriebssystemspezifischen Ergänzungen umgesetzt werden.
Weiterhin sollten die aktiven Netzkomponenten in Räumen für technische Infrastruktur (z. B.
Verteilerräume) untergebracht werden, so daß auch die Maßnahmen aus Kapitel 4.3.4 Raum für
technische Infrastruktur realisiert werden müssen.
Der Arbeitsplatz des Netzadministrators sollte ebenfalls besonders geschützt werden. Neben den
Maßnahmen aus Kapitel 4.3.1 Büroraum sind hier die Regelungen für das eingesetzte
Betriebssystem zu nennen (siehe Kapitel 6).
Für den sicheren Einsatz eines heterogenen Netzes sind eine Reihe von Maßnahmen umzusetzen,
beginnend mit der Analyse der aktuellen Netzsituation über die Entwicklung eines
Netzmanagement-Konzeptes bis zum Betrieb eines heterogenen Netzes. Die Schritte, die dabei
durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet
werden sollten, sind im folgenden aufgeführt.
1.
Analyse der aktuellen Netzsituation (siehe M 2.139 Ist-Aufnahme der aktuellen Netzsituation und M 2.140 Analyse der aktuellen Netzsituation)
- Erhebung von Lastfaktoren und Verkehrsflußanalyse
- Feststellung von Netzengpässen
- Identifikation kritischer Bereiche
2.
Konzeption
- Konzeption eines Netzes (siehe M 2.141 Entwicklung eines Netzkonzeptes und M 2.142
Entwicklung eines Netz-Realisierungsplans und M 5.60 Auswahl einer geeigneten
Backbone-Technologie)
- Konzeption Netzmanagement (siehe M 2.143 Entwicklung eines NetzmanagementKonzeptes und M 2.144 Geeignete Auswahl eines Netzmanagement-Protokolls)
3.
Sicherer Betrieb des Netzes
- Segmentierung des Netzes (siehe M5.61 Geeignete physikalische Segmentierung und
M 5.62 Geeignete logische Segmentierung)
- Einsatz einer Netzmanagement-Software (siehe M 2.145 Anforderungen an ein Netzmanagement-Tool und M 2.146 Sicherer Betrieb eines Netzmanagementsystems)
- Audit und Revision des Netzes (siehe M 4.81 Audit und Protokollierung der Aktivitäten
im Netz und M 2.64 Kontrolle der Protokoll- und Auditdateien)
4.
Notfallvorsorge
- Redundante Auslegung der Netzkomponenten (siehe M 6.53 Redundante Auslegung der
Netzkomponenten)
- Sicherung der Konfigurationsdaten (siehe M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten und M 6.22 Sporadische Überprüfung auf
Wiederherstellbarkeit von Datensicherungen)
Version 1998
Teil 1 - Kapitel 6.7 - Seite 3
Heterogene Netze
IT-Grundschutzhandbuch
Nachfolgend wird das komplette Maßnahmenbündel für den Bereich "Heterogene Netze" vorgestellt, in dem auch Maßnahmen von eher grundsätzlicher Art enthalten sind, die zusätzlich zu
den oben aufgeführten Schritten beachtet werden müssen.
Infrastruktur:
- M 1.25 (1)
- M 1.27 (2)
- M 1.28 (1)
- M 1.29 (3)
- M 1.32 (1)
Überspannungsschutz
Klimatisierung
Lokale unterbrechungsfreie Stromversorgung
Geeignete Aufstellung eines IT-Systems (optional)
Geeignete Aufstellung von Konsole, Geräten mit austauschbaren Datenträgern
und Druckern
Organisation:
- M 2.4 (2)
- M 2.22 (2)
- M 2.25 (1)
- M 2.26 (1)
- M 2.34 (1)
- M 2.35 (1)
- M 2.38 (2)
- M 2.64 (2)
- M 2.139 (1)
- M 2.140 (1)
- M 2.141 (1)
- M 2.142 (1)
- M 2.143 (1)
- M 2.144 (1)
- M 2.145 (2)
- M 2.146 (1)
Regelungen für Wartungs- und Reparaturarbeiten
Hinterlegen des Paßwortes
Dokumentation der Systemkonfiguration
Ernennung eines Administrators und eines Vertreters
Dokumentation der Veränderungen an einem bestehenden System
Informationsbeschaffung über Sicherheitslücken des Systems
Aufteilung der Administrationstätigkeiten
Kontrolle der Protokolldateien
Ist-Aufnahme der aktuellen Netzsituation
Analyse der aktuellen Netzsituation (optional)
Entwicklung eines Netzkonzeptes
Entwicklung eines Netz-Realisierungsplans
Entwicklung eines Netzmanagementkonzeptes
Geeignete Auswahl eines Netzmanagement-Protokolls
Anforderungen an ein Netzmanagement-Tool
Sicherer Betrieb eines Netzmanagementsystems
Personal:
- M 3.4
- M 3.5
- M 3.10
- M 3.11
Schulung vor Programmnutzung
Schulung zu IT-Sicherheitsmaßnahmen
Auswahl eines vertrauenswürdigen Administrators und Vertreters
Schulung des Wartungs- und Administrationspersonals
(1)
(1)
(1)
(1)
Hardware/Software:
- M 4.7 (1) Änderung voreingestellter Paßwörter
- M 4.15 (2) Gesichertes Login
- M 4.24 (1) Sicherstellung einer konsistenten Systemverwaltung
- M 4.79 (1) Sichere Zugriffsmechanismen bei lokaler Administration
- M 4.80 (1) Sichere Zugriffsmechanismen bei Fernadministration
- M 4.81 (2) Audit und Protokollierung der Aktivitäten im Netz
- M 4.82 (1) Sichere Konfiguration der aktiven Netzkomponenten
- M 4.83 (3) Update/Upgrade von Soft- und Hardware im Netzbereich
Kommunikation:
- M 5.2 (1) Auswahl einer geeigneten Netz-Topographie
- M 5.7 (1) Netzverwaltung
Teil 1 - Kapitel 6.7 - Seite 4
Version 1998
IT-Grundschutzhandbuch
-
M 5.12
M 5.13
M 5.60
M 5.61
M 5.62
(2)
(1)
(1)
(1)
(1)
Notfallvorsorge:
- M 6.22 (2)
- M 6.52 (1)
- M 6.53 (1)
- M 6.54 (3)
Heterogene Netze
Einrichtung eines zusätzlichen Netzadministrators
Geeigneter Einsatz von Elementen zur Netzkopplung
Auswahl einer geeigneten Backbone-Technologie
Geeignete physikalische Segmentierung
Geeignete logische Segmentierung (optional)
Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen
Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten
Redundante Auslegung der Netzkomponenten
Verhaltensregeln nach Verlust der Netzintegrität
r
Version 1998
Teil 1 - Kapitel 6.7 - Seite 5
Heterogene Netze
G 1.1
IT-Grundschutzhandbuch
Personalausfall
Durch Krankheit, Unfall, Tod oder Streik kann ein nicht vorhersehbarer Personalausfall
entstehen. Desweiteren ist auch der Personalausfall bei einer regulären Beendigung des Arbeitsverhältnisses zu berücksichtigen, insbesondere wenn die Restarbeitszeit z. B. durch einen
Urlaubsanspruch verkürzt wird.
In allen Fällen kann die Konsequenz sein, daß entscheidende Aufgaben aufgrund des Personalausfalls im IT-Einsatz nicht mehr wahrgenommen werden. Dies ist besonders dann kritisch, wenn
die betroffene Person im IT-Bereich eine Schlüsselstellung einnimmt und aufgrund fehlenden
Fachwissens anderer nicht ersetzt werden kann. Störungen des IT-Betriebs können die Folge sein.
Beispiel: Aufgrund längerer Krankheit blieb der Netzadministrator vom Dienst fern. In der
betroffenen Firma lief das Netz zunächst fehlerfrei weiter. Nach zwei Wochen jedoch war
nach einem Systemabsturz niemand in der Lage, den Fehler zu beheben. Dies führte zu
einem Ausfall des Netzes über mehrere Tage.
Teil 1 - Kapitel 6.7 - Seite 6
Version 1998
IT-Grundschutzhandbuch
G 1.2
Heterogene Netze
Ausfall des IT-Systems
Der Ausfall einer Komponente eines IT-Systems kann zu einem Ausfall des gesamten IT-Betriebs
führen. Insbesondere zentrale Komponenten eines IT-Systems sind geeignet, solche Ausfälle herbeizuführen, z. B. Klima- und Stromversorgung, LAN-Server, Datenfernübertragungseinrichtung.
Technisches Versagen (z. B. G 4.1 Ausfall der Stromversorgung) muß nicht zwingend als
Ursache für den Ausfall eines IT-Systems angenommen werden. Ausfälle lassen sich auch oft auf
menschliches Fehlverhalten (z. B. G 3.2 Fahrlässige Zerstörung von Gerät oder Daten) oder
vorsätzliche Handlungen (z. B. G 5.4 Diebstahl) zurückführen. Es treten auch Schäden aufgrund
höherer Gewalt (z. B. Feuer, Blitzschlag, Chemieunfall) ein, allerdings sind diese Schäden meist
um ein Vielfaches höher.
Werden auf einem IT-System zeitkritische IT-Anwendungen betrieben, sind die Folgeschäden
nach Systemausfall entsprechend hoch, wenn es keine Ausweichmöglichkeiten gibt.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 7
Heterogene Netze
G 1.3
IT-Grundschutzhandbuch
Blitz
Der Blitz ist die wesentliche während eines Gewitters bestehende Gefährdung für ein Gebäude
und die darin befindliche Informationstechnik. Blitze erreichen bei Spannungen von mehreren
100.000 Volt Ströme bis zu 200.000 Ampere. Diese enorme elektrische Energie wird innerhalb
von 50-100 µs freigesetzt und abgebaut. Ein Blitz mit diesen Werten, der in einem Abstand von
ca. 2 km einschlägt, verursacht auf elektrischen Leitungen im Gebäude immer noch Spannungsspitzen, die zur Zerstörung empfindlicher elektronischer Geräte führen können. Diese indirekten
Schäden nehmen mit abnehmender Entfernung zu.
Schlägt der Blitz direkt in ein Gebäude ein, werden durch die dynamische Energie des Blitzes
Schäden hervorgerufen. Dies können Beschädigungen des Baukörpers (Dach und Fassade),
Schäden durch auftretende Brände oder Überspannungsschäden an elektrischen Geräten sein.
Über das regional unterschiedliche Blitzschlagrisiko erteilt der Deutsche Wetterdienst entsprechende Auskünfte.
Teil 1 - Kapitel 6.7 - Seite 8
Version 1998
IT-Grundschutzhandbuch
G 1.4
Heterogene Netze
Feuer
Neben direkten durch das Feuer verursachten Schäden an einem Gebäude oder dessen Einrichtung lassen sich Folgeschäden aufzeigen, die insbesondere für die Informationstechnik in ihrer
Schadenswirkung ein katastrophales Ausmaß erreichen können. Löschwasserschäden treten
beispielsweise nicht nur an der Brandstelle auf. Sie können auch in tiefer liegenden Gebäudeteilen
entstehen. Bei der Verbrennung von PVC entstehen Chlorgase, die zusammen mit der
Luftfeuchtigkeit und dem Löschwasser Salzsäure bilden. Werden die Salzsäuredämpfe über die
Klimaanlage verteilt, können auf diese Weise Schäden an empfindlichen elektronischen Geräten
entstehen, die in einem vom Brandort weit entfernten Teil des Gebäudes stehen.
Ein Brand entsteht nicht nur durch den fahrlässigen Umgang mit Feuer (z.B. Adventskranz,
Schweiß- und Lötarbeiten), sondern auch durch unsachgemäße Benutzung elektrischer Einrichtungen (z. B. unbeaufsichtigte Kaffeemaschine, Überlastung von Mehrfachsteckdosen).
Die Ausbreitung eines Brandes kann unter anderem begünstigt werden durch:
-
Aufhalten von Brandabschnittstüren durch Keile,
-
Unsachgemäße Lagerung brennbarer Materialien,
-
Fehlen von Brandmeldeeinrichtungen,
-
mangelhaft vorbeugenden Brandschutz (z. B. Fehlen von Brandabschottungen auf Kabeltrassen).
Beispiel: Anfang der 90er Jahre erlitt im Frankfurter Raum ein Großrechenzentrum einen
katastrophalen Brandschaden, der zu einem kompletten Ausfall führte.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 9
Heterogene Netze
G 1.5
IT-Grundschutzhandbuch
Wasser
Der unkontrollierte Eintritt von Wasser in Gebäuden oder Räumen kann bspw. bedingt sein
durch:
-
Regen, Hochwasser, Überschwemmung,
Störungen in der Wasser-Versorgung oder Abwasser-Entsorgung,
Defekte der Heizungsanlage,
Defekte an Klimaanlagen mit Wasseranschluß,
Defekte in Sprinkleranlagen und
Löschwasser bei der Brandbekämpfung.
Unabhängig davon, auf welche Weise Wasser in Gebäude oder Räume gelangt, besteht die
Gefahr, daß Versorgungseinrichtungen oder IT-Komponenten beschädigt oder außer Betrieb
gesetzt werden (Kurzschluß, mechanische Beschädigung, Rost etc.). Durch die Unterbringung
zentraler Einrichtungen der Gebäudeversorgung (Hauptverteiler für Strom, Telefon, Daten) in
Kellerräumen ohne selbsttätige Entwässerung, kann eindringendes Wasser sehr hohe Schäden
verursachen.
Teil 1 - Kapitel 6.7 - Seite 10
Version 1998
IT-Grundschutzhandbuch
G 1.7
Heterogene Netze
Unzulässige Temperatur und Luftfeuchte
Jedes Gerät hat einen Temperaturbereich, innerhalb dessen seine ordnungsgemäße Funktion
gewährleistet ist. Überschreitet die Raumtemperatur die Grenzen dieses Bereiches nach oben oder
unten, kann es zu Betriebsstörungen und zu Geräteausfällen kommen.
So wird z. B. in einem Serverraum durch die darin befindlichen Geräte elektrische Energie in
Wärme umgesetzt und daher der Raum aufgeheizt. Bei unzureichender Lüftung kann die zulässige Betriebstemperatur der Geräte überschritten werden. Bei Sonneneinstrahlung in den Raum
sind Temperaturen über 50°C nicht unwahrscheinlich.
Zu Lüftungszwecken werden oft die Fenster des Serverraumes geöffnet. In der Übergangszeit
(Frühjahr, Herbst) kann das bei großen Temperaturschwankungen dazu führen, daß durch starke
Abkühlung die zulässige Luftfeuchte überschritten wird.
Beispiel: In einer Bonner Behörde wurde die gesamte Steuerungs- und Auswerteelektronik einer
Sicherungseinrichtung in einem Raum untergebracht, der gerade genug Platz ließ, um die
Türen der Geräteschränke zu öffnen. Aus Sicherheitsgründen waren sowohl die Schränke
als auch der Raum mit festen Türen verschlossen.
Nach der Fertigstellung der Anlage im Herbst lief die Anlage störungsfrei. Im folgenden
Sommer zeigten sich zuerst unerklärliche Funktionsfehler und bald Totalabstürze des
Systems, alles ohne erkennbare Systematik. Tagelanges Suchen mit hohem technischen und
personellem Aufwand bei geöffneten Türen erbrachte keine Ergebnisse. Nur durch Zufall
wurde schließlich die Überhitzung der Anlage bei Außentemperaturen über 30oC als Ursache der Störungen erkannt und durch ein Kühlgerät erfolgreich abgestellt.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 11
Heterogene Netze
G 1.8
IT-Grundschutzhandbuch
Staub, Verschmutzung
Trotz zunehmender Elektronik in der IT kommt sie noch nicht ohne mechanisch arbeitende Komponenten aus. Zu nennen sind Disketten, Fest- und Wechselplatten, Diskettenlaufwerke, Drucker,
Scanner etc. Mit steigenden Anforderungen an die Qualität und die Schnelligkeit müssen diese
Geräte immer präziser arbeiten. Bereits geringfügige Verunreinigungen können zu einer Störung
eines Gerätes führen. Vorhandene Sicherheitsschaltungen in den Geräten führen meist zu einem
rechtzeitigen Abschalten. Das hält zwar den Schaden, die Instandsetzungskosten und die Ausfallzeiten klein, führt aber dazu, daß das betroffene Gerät nicht verfügbar ist.
Teil 1 - Kapitel 6.7 - Seite 12
Version 1998
IT-Grundschutzhandbuch
G 2.7
Heterogene Netze
Unerlaubte Ausübung von Rechten
Rechte wie Zutritts-, Zugangs- und Zugriffsberechtigungen werden als organisatorische Maßnahmen eingesetzt, um eine sichere und ordnungsgemäße IT-Nutzung zu gewährleisten. Werden
solche Rechte an die falsche Person vergeben oder wird ein Recht unautorisiert ausgeübt, können
sich eine Vielzahl von Gefährdungen ergeben, die die Vertraulichkeit und Integrität von Daten
oder die Verfügbarkeit von Rechnerleistung beeinträchtigen.
Beispiel: Der Arbeitsvorbereiter, der keine Zutrittsberechtigung zum Datenträgerarchiv besitzt,
entnimmt in Abwesenheit des Archivverwalters Magnetbänder, um Sicherungskopien
einspielen zu können. Durch die unkontrollierte Entnahme wird das Bestandsverzeichnis
des Datenträgerarchivs nicht aktualisiert, die Bänder sind für diesen Zeitraum nicht
auffindbar.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 13
Heterogene Netze
G 2.9
IT-Grundschutzhandbuch
Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
Die speziell für den Einsatz von Informationstechnik geschaffenen organisatorischen Regelungen,
aber auch das gesamte Umfeld einer Behörde bzw. eines Unternehmens unterliegen ständigen
Veränderungen. Sei es nur, daß Mitarbeiter ausscheiden oder hinzukommen, Mitarbeiter das
Büro wechseln, neue Hardware oder Software beschafft wird, der Zulieferbetrieb für die
Betriebsmittel Konkurs anmeldet. Daß sich bei einer ungenügenden Berücksichtigung der vorzunehmenden organisatorischen Anpassungen Gefährdungen ergeben, zeigen folgende Beispiele:
-
Vor Urlaubsantritt vergißt ein Mitarbeiter, der Urlaubsvertretung die Paßwörter für seinen
Arbeitsbereich mitzuteilen. Hierdurch können sich Verzögerungen im IT-Betrieb ergeben.
-
Durch bauliche Änderungen im Gebäude werden bestehende Fluchtwege verändert. Durch
mangelhafte Unterrichtung der Mitarbeiter ist die Räumung des Gebäudes nicht in der
erforderlichen Zeit möglich.
-
Durch eine Umstellung eines IT-Verfahrens werden größere Mengen an Druckerpapier
benötigt. Durch fehlende Unterrichtung der Beschaffungsstelle kommt es zu Engpässen im
IT-Betrieb.
-
Beim Empfang elektronischer Dokumente werden diese nicht automatisch auf Makroviren
überprüft, da dieses Problem noch nicht bekannt ist oder kein Virenprüfprogramm
vorhanden ist.
-
Bei der Übermittlung elektronischer Dokumente wird nicht darauf geachtet, diese in einem
für die Empfängerseite lesbaren Format abzuspeichern.
Teil 1 - Kapitel 6.7 - Seite 14
Version 1998
IT-Grundschutzhandbuch
G 2.22
Heterogene Netze
Fehlende Auswertung von Protokolldaten
Protokolldaten dienen dem Zweck, nachträglich feststellen zu können, ob Sicherheitsverletzungen
im IT-System stattgefunden haben oder ob ein solcher Versuch unternommen wurde. Daher
können Protokolldaten für die Täterermittlung im Schadensfall genutzt werden. Eine weitere
wichtige Funktion der Protokolldaten ist die Abschreckung. Werden Protokolldaten regelmäßig
ausgewertet, können vorsätzliche Angriffe auf ein IT-System frühzeitig erkannt werden. Findet
die Auswertung der Protokolldaten jedoch nicht oder nur unzureichend statt und wird dies
bekannt, verliert sich die Abschreckungswirkung vollständig.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 15
Heterogene Netze
G 2.27
IT-Grundschutzhandbuch
Fehlende oder unzureichende Dokumentation
Verschiedene Formen der Dokumentation können betrachtet werden: die Produktbeschreibung,
die Administrator- und Benutzerdokumentation zur Anwendung des Produktes und die
Systemdokumentation.
Eine fehlende oder unzureichende Dokumentation der eingesetzten IT-Komponenten kann sowohl
im Auswahl- und Entscheidungsprozeß für ein Produkt, als auch bei einem Schadensfall im
Wirkbetrieb erhebliche Auswirkungen haben.
Bei einer unzureichenden Dokumentation kann sich im Schadensfall, beispielsweise durch den
Ausfall von Hardware bzw. Fehlfunktionen von Programmen, die Fehlerdiagnose und -behebung
erheblich verzögern oder völlig undurchführbar sein.
Beispiele:
-
Wenn von einem Programm Arbeitsergebnisse in temporären Dateien zwischengespeichert
werden, ohne daß dies ausreichend dokumentiert ist, kann dies dazu führen, daß die
temporären Dateien nicht angemessen geschützt und vertrauliche Informationen offengelegt
werden. Durch fehlenden Zugriffsschutz auf diese Dateien oder eine nicht korrekte
physikalische Löschung der nur temporär genutzten Bereiche können Informationen
Unbefugten zugänglich werden.
-
Bei Installation eines neuen Softwareproduktes werden bestehende Konfigurationen
abgeändert. Andere, bislang fehlerfrei laufende Programme sind danach falsch
parametrisiert und stürzen ggf. ab. Durch eine detaillierte Dokumentation der Veränderung
bei der Installation von Software ließe sich der Fehler schnell lokalisieren und beheben.
Teil 1 - Kapitel 6.7 - Seite 16
Version 1998
IT-Grundschutzhandbuch
G 2.32
Heterogene Netze
Unzureichende Leitungskapazitäten
Bei der Planung von Netzen wird oft der Fehler begangen, die Kapazitätsauslegung ausschließlich
am aktuellen Bedarf vorzunehmen. Dabei wird übersehen, daß die Kapazitätsanforderungen an
das Netz stetig steigen, z. B. wenn neue IT-Systeme in das Netz integriert werden oder das
übertragene Datenvolumen zunimmt.
Wenn die Kapazität des Netzes nicht mehr ausreicht, wird die Übertragungsgeschwindigkeit und
ggf. auch die Erreichbarkeit im Netz für alle Benutzer stark eingeschränkt. Beispielsweise werden
Dateizugriffe auf entfernten IT-Systemen erheblich verzögert, wenn gleichzeitig das Netz von
anderen Benutzern stark in Anspruch genommen wird, wie durch das Verschieben von großen
Dateien von einem IT-System zum anderen.
Beispiel: Eine verteilte Organisation baut für die Datenkommunikation ein Netz über ISDN-SoVerbindungen auf. Nach Einführung eines graphisch orientierten, firmeneigenen Intranet
kommt die Datenkommunikation fast zum Stillstand. Erst das Umstellen auf S2MÜbertragungswege schafft die nötige Übertragungskapazität.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 17
Heterogene Netze
G 2.44
IT-Grundschutzhandbuch
Inkompatible aktive und passive Netzkomponenten
Durch inkompatible aktive Netzkomponenten können Probleme verursacht werden, die im Umfeld
nicht oder noch nicht vollständig standardisierter Kommunikationsverfahren auftreten, wie z. B.
ATM oder Tag-Switching. Um das betreffende Kommunikationsverfahren nutzen zu können, sind
die Hersteller aufgrund der fehlenden oder nur teilweise vorhandenen Standards gezwungen,
proprietäre Implementierungen einzusetzen.
Inkompatibilitätsprobleme dieser Art können entstehen, wenn bestehende Netze um aktive
Netzkomponenten anderer Hersteller ergänzt werden oder wenn Netze mit Netzkomponenten
unterschiedlicher Hersteller aufgebaut werden.
Werden aktive Netzkomponenten mit unterschiedlichen Implementierungen des gleichen
Kommunikationsverfahrens gemeinsam in einem Netz betrieben, kann es zu einem Verlust der
Verfügbarkeit des gesamten Netzes, von einzelnen Teilbereichen oder bestimmter Dienste
kommen. Zwei Fälle können je nach Art der Inkompatibilität unterschieden werden:
-
Durch nicht interoperable Implementierungen eines Kommunikationsverfahrens kann über
die zugehörigen Komponenten hinweg keine Kommunikation erfolgen.
Beispiel: ATM-Komponenten können unterschiedliche Signalisierungsprotokolle
verwenden, z. B. gemäß UNI (User Network Interface) Version 3.0 und UNI Version 3.1,
die nicht interoperabel zueinander sind.
-
Auch auf aktiven Netzkomponenten, die prinzipiell interoperabel sind, können spezifische
Dienste unterschiedlich implementiert sein. Dies hat zur Folge, daß die betreffenden
Dienste nicht oder nicht netzweit zur Verfügung stehen, obwohl eine Kommunikation über
diese Komponenten hinweg möglich ist.
Beispiel: Es existieren proprietäre Implementierungen redundanter LAN Emulation Server
für ATM-Netze. Besteht ein ATM-Netz z. B. aus zwei ATM-Switches, von denen ein
Switch über eine solche proprietäre Implementierung verfügt und der andere nicht, kann
zwar eine Kommunikation via LANE (LAN Emulation) erfolgen, der proprietär
implementierte Dienst jedoch nicht genutzt werden.
Aber auch die Kombination von inkompatiblen passiven Netzkomponenten kann die
Verfügbarkeit eines Netzes gefährden. So existieren für Twisted-Pair-Kabel Ausführungen in 100
und 150 Ohm, die nicht ohne einen entsprechenden Umsetzer zusammen verwendet werden
dürfen. Eine ungeeignete Kombination von aktiven und passiven Netzkomponenten kann die
Verfügbarkeit ebenfalls beeinträchtigen, wenn beispielsweise ein Netzzugangsprotokoll auf einem
nicht hierfür definierten Medium betrieben wird. Beispielsweise läßt sich ATM nicht über ein 50
Ohm Koaxialkabel betreiben.
Teil 1 - Kapitel 6.7 - Seite 18
Version 1998
IT-Grundschutzhandbuch
G 2.45
Heterogene Netze
Konzeptionelle Schwächen des Netzes
Die Planung des Auf- und Ausbaus eines Netzes ist ein kritischer Erfolgsfaktor für den
Netzbetrieb. Insbesondere bei den immer kürzer werdenden Innovationszyklen in der IT können
sich Netze, die auf Grund ihrer Konzeption nicht neuen Erfordernissen angepaßt werden können,
schnell zu einem Engpaß entwickeln:
-
Abhängig von einer Anforderungsermittlung von Netzteilnehmern (z. B. Arbeitsgruppen)
an die Vertraulichkeit der Daten und die Integrität des Netzes muß das Netz entsprechend
konzipiert worden sein. Ansonsten können vertrauliche Daten einer Arbeitsgruppe von
anderen, hierzu unbefugten Netzteilnehmern mitgelesen werden. Unter diesem Aspekt kann
die Vertraulichkeit auch durch den Umzug von Arbeitsgruppenteilnehmern oder der ganzen
Arbeitsgruppe verloren gehen, wenn es nicht möglich ist, im Netz neue vertrauliche
Bereiche einzurichten bzw. zu ändern. Diese Gefährdung betrifft analog die Integrität des
Netzes bzw. die Integrität von Netzsegmenten.
Beispiel: Für eine Arbeitsgruppe mit besonderen Anforderungen an Vertraulichkeit und
Integrität ihrer Daten wurde ein eigenes Teilnetz eingerichtet, welches durch einen Router
abgetrennt ist. Dieses Segment ist durch die Kabelführung auf ein Gebäude beschränkt.
Nach einem Umzug mehrerer Mitglieder dieser Arbeitsgruppe in andere Gebäude müssen
diese über das normale Produktivnetz miteinander kommunizieren. Die Vertraulichkeit und
auch die Integrität der Daten kann nicht mehr gewährleistet werden.
-
Werden neue Anwendungen mit einem höheren als zum Planungszeitpunkt berücksichtigten
Bandbreitenbedarf auf dem Netz betrieben, kann dies schnell zu einem Verlust der
Verfügbarkeit des gesamten Netzes führen, wenn die Netzinfrastruktur in Folge
konzeptioneller Schwächen nicht mehr ausreichend skaliert werden kann (Verlust der
Verfügbarkeit durch Überlastung). Abhängig von der gewählten Segmentierung des Netzes
kann der Verlust der Verfügbarkeit auch nur einzelne Segment des Netzes betreffen.
Beispiel: In den heute noch häufig vorzufindenden, bedarfsorientiert gewachsenen Netzen,
sind aus historischen Gründen vielfach Backbone-Segmente mit niedriger maximaler
Bandbreite, wie z. B. Token-Ring- oder Ethernet-Segmente, vorhanden. Durch diese
Beschränkung der Geschwindigkeit im Backbone-Bereich ist bei hoher zusätzlicher Last
die Verfügbarkeit des gesamten Netzes betroffen.
-
Netze, die ausschließlich zum Anschluß proprietärer Systeme geeignet sind, können
ebenfalls einen Verlust der Verfügbarkeit bedingen, wenn hierfür ungeeignete Systeme an
das Netz angeschaltet werden (Verlust der Verfügbarkeit durch nicht interoperable
Netzkomponenten).
Beispiel: Nicht systemneutrale Netze sind vorrangig im Großrechnerumfeld zur
Vernetzung der Großrechner mit den zugehörigen Terminals anzutreffen. Häufig sind dies
Netze, die für den Terminal- oder Druckerbetrieb installiert wurden und nicht für den
Betrieb von anderen Architekturen (z. B. Ethernet) geeignet sind. Dies betrifft sowohl die
eingesetzte Verkabelung als auch die aktiven Netzkomponenten. Wird dennoch versucht,
wird das proprietäre Netz im allgemeinen nicht mehr verfügbar sein. Eine Möglichkeit zur
Integration zweier Architekturen kann u. U. die Kopplung über ein Gateway darstellen.
-
Beim Einsatz von aktiven Netzkomponenten, die nicht für den Einsatz bestimmter
Protokolle vorgesehen sind, können ggf. zusätzlich erforderliche Dienste oder Protokolle
nicht verwendet werden.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 19
Heterogene Netze
IT-Grundschutzhandbuch
Beispiel: In einem Netz, welches ausschließlich mit aktiven Netzkomponenten aufgebaut
ist, die nur IP-Routing oder IP-Switching unterstützen, kann kein Novell NetWareNetzbetriebssystem auf der Basis von SPX/IPX betrieben werden.
-
Beim Einsatz von passiven Netzkomponenten, die eine Einschränkung der auf ihnen zu
betreibenden Netzzugangsprotokollen mit sich bringen, kann das Netz in Zukunft u. U.
nicht mehr skaliert werden.
Beispiel: In einem Netz, welches ausschließlich mit 50 Ohm Koaxialkabel aufgebaut ist,
kann kein ATM benutzt werden. An Netzen, die mit 150 Ohm Twisted-Pair-Kabeln
aufgebaut sind, können keine 100 Ohm Ethernet-Komponenten betrieben werden. Die
Folge der o. a., zum Teil historisch bedingten konzeptionellen Schwächen, sind
kostenintensive Veränderungen der Netzinfrastruktur.
Netze können zwar anwendungs-, system- und dienstneutral ausgeführt sein, aber durch eine sehr
heterogene Komponentenlandschaft einen Betreuungsaufwand erfordern, der durch das
Betriebspersonal nicht mehr geleistet werden kann. Dies kann zu einem Verlust der Verfügbarkeit
des Netzes führen, wenn Störungen oder Ausfälle passiver oder aktiver Netzkomponenten
aufgrund mangelnder personeller Ressourcen nicht mehr schnell genug beseitigt werden können.
Teil 1 - Kapitel 6.7 - Seite 20
Version 1998
IT-Grundschutzhandbuch
G 2.46
Heterogene Netze
Überschreiten der zulässigen Kabel- bzw. Buslänge oder der
Ringgröße
Je nach Kabeltyp, Topologie und Übertragungsverfahren sehen die betreffenden Standards
maximale Kabel- bzw. Buslängen sowie maximale Ringgrößen vor, um die Funktionsfähigkeit
des Netzes im Sinne dieses Standards zu garantieren. Überhöhte Kabellängen wie auch überhöhte
Bus- oder Ringlängen verlängern die Signallaufzeiten über das für das betreffende
Übertragungsverfahren vorgesehene Maß hinaus, so daß die Verfügbarkeit des jeweiligen
Netzsegments oder die Kommunikationsbandbreite herabgesetzt wird.
Die auftretenden Phänomene sind vom Zugriffsverfahren abhängig:
-
Bei Netzsegmenten, auf denen das Zugriffsverfahren CSMA/CD (Carrier Sense Multiple
Access/Collision Detection) verwendet wird, greifen alle Endgeräte gleichberechtigt zu,
obwohl das Medium jeweils nur exklusiv durch ein Endgerät genutzt werden kann. Hierzu
prüft jedes Endgerät zunächst, ob das Medium für die Benutzung zur Verfügung steht
(Carrier Sense). Ist dies der Fall, beginnt das betreffende Endgerät mit der Übertragung.
Geschieht dies durch mehrere Endgeräte gleichzeitig (Multiple Access), kommt es zu einer
Kollision, die von den sendenden Endgeräten erkannt wird (Collision Detection) und zu
einer erneuten Prüfung des Mediums mit anschließender Wiederholung der Übertragung
führt.
Wird die maximal definierte Signallaufzeit auf dem Medium überschritten, können
Kollisionen ggf. im vorgesehenen Zeitintervall (Collision Detection) nicht erkannt werden.
Dies bedeutet, daß ein Endgerät bereits begonnen hat, Daten zu übertragen, während ein
anderes Endgerät das Übertragungsmedium noch als frei betrachtet. In diesem Fall kommt
es zu sogenannten späten Kollisionen, die das betreffende Datenpaket unbrauchbar machen
und in Abhängigkeit der Länge des Datenpakets das Medium über Gebühr blockieren. Die
nutzbare Übertragungsbandbreite auf dem Medium kann dadurch stark eingeschränkt
werden. Einen Verlust von Informationen tritt in der Regel, trotz des Verlustes von
einzelnen Datenpaketen, durch die Sicherung des Netzzugangsprotokolls nicht auf.
Beispielsweise verwenden Ethernet oder Fast Ethernet das CSMA/CD
Übertragungsverfahren.
-
Übertragungsverfahren, die auf dem Token-Passing-Verfahren basieren, verwenden ein
spezielles Datenpaket (das sogenannte Token), um festzulegen, welches Endgerät das
Medium belegen darf. Erhält ein Endgerät das Token, belegt es das Medium und gibt das
Token in Abhängigkeit des implementierten Token-Passing-Verfahrens an das nächste
Endgerät weiter. Hiermit ist gewährleistet, daß das Medium immer nur durch ein einziges
Endgerät belegt wird.
Wesentlich für Netzsegmente, auf denen ein Token-Passing-Verfahren betrieben wird, ist
eine synchrone Datenübertragung mit konstanter Bitrate. Ist das Medium belegt, werden
die betreffenden Zeitintervalle für die unterschiedlichen Bits für die Übertragung der
Datenpakete genutzt, ist das Medium frei, werden die Zeitintervalle für die Weitergabe des
Tokens genutzt. Bei einer Überschreitung der maximal vorgesehenen Signallaufzeit kann
die für das betreffende Übertragungsverfahren vorgesehene konstante Bitrate nicht mehr
eingehalten werden, so daß die Kommunikation zum Erliegen kommt. Beispielsweise
basieren Token Ring oder FDDI auf dem Token-Passing-Verfahren.
Neben einer Verlängerung der Signallaufzeit erhöhen längere Kabel die Dämpfung. Bei
Überschreitung der Kabellängen im Hinblick auf den betreffenden Standard kann die Dämpfung
Version 1998
Teil 1 - Kapitel 6.7 - Seite 21
Heterogene Netze
IT-Grundschutzhandbuch
des Kabels so groß werden, daß die verschiedenen Signalpegel nicht mehr wie im Standard
festgelegt voneinander unterschieden werden können. Die Kommunikation über die betreffenden
Adern oder Glasfasern kann in diesem Fall nicht über die gesamte Länge sichergestellt werden.
Teil 1 - Kapitel 6.7 - Seite 22
Version 1998
IT-Grundschutzhandbuch
G 3.2
Heterogene Netze
Fahrlässige Zerstörung von Gerät oder Daten
Durch Fahrlässigkeit, aber auch durch ungeschulten Umgang kann es zu Zerstörungen an Geräten und Daten kommen, die den Betrieb des IT-Systems empfindlich stören können. Dies ist auch
durch die unsachgemäße Verwendung von IT-Anwendungen möglich, wodurch fehlerhafte
Ergebnisse entstehen oder Daten unabsichtlich verändert oder zerstört werden.
Beispiele:
-
Benutzer, die aufgrund von Fehlermeldungen den Rechner ausschalten, statt ordnungsgemäß alle laufenden Anwendungen zu beenden bzw. einen Sachkundigen zu Rate zu
ziehen, können hierdurch schwerwiegende Integritätsfehler in Datenbeständen hervorrufen.
-
Durch umgestoßene Kaffeetassen oder beim Blumengießen eindringende Feuchtigkeit
können in einem IT-System Kurzschlüsse hervorrufen werden.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 23
Heterogene Netze
G 3.3
IT-Grundschutzhandbuch
Nichtbeachtung von IT-Sicherheitsmaßnahmen
Aufgrund von Nachlässigkeit und fehlenden Kontrollen kommt es immer wieder vor, daß Personen die ihnen empfohlenen oder angeordneten IT-Sicherheitsmaßnahmen nicht oder nicht im
vollen Umfang durchführen. Es können Schäden entstehen, die sonst verhindert oder zumindest
vermindert worden wären. Je nach der Funktion der Person und der Bedeutung der mißachteten
Maßnahme können sogar gravierende Schäden eintreten.
Vielfach werden IT-Sicherheitsmaßnahmen aus einem mangelnden Sicherheitsbewußtsein heraus
nicht beachtet. Ein typisches Indiz dafür ist, daß wiederkehrende Fehlermeldungen nach einer
gewissen Gewöhnungszeit ignoriert werden.
Beispiele:
-
Der verschlossene Schreibtisch zur Aufbewahrung von Disketten bietet keinen hinreichenden Schutz gegen einen unbefugten Zugriff, wenn der Schlüssel im Büro aufbewahrt wird, z. B. auf dem Schrank oder im Zettelkasten.
-
Geheimzuhaltende Paßwörter werden schriftlich fixiert in der Nähe eines Terminals oder
PCs aufbewahrt.
-
Obwohl die schadensmindernde Eigenschaft von Datensicherungen hinreichend bekannt ist,
treten immer wieder Schäden auf, wenn Daten unvorhergesehen gelöscht werden und
aufgrund fehlender Datensicherung die Wiederherstellung unmöglich ist. Dies zeigen
insbesondere die dem BSI gemeldeten Schäden, die z. B. aufgrund von Computer-Viren
entstehen.
-
Der Zutritt zu einem Rechenzentrum sollte ausschließlich durch die mit einem Zutrittskontrollsystem (z. B. Magnetstreifenleser) gesicherte Tür erfolgen. Die Fluchttür wird
jedoch, obwohl sie nur im Notfall geöffnet werden darf, als zusätzlicher Ein- und Ausgang
genutzt.
Teil 1 - Kapitel 6.7 - Seite 24
Version 1998
IT-Grundschutzhandbuch
G 3.5
Heterogene Netze
Unbeabsichtigte Leitungsbeschädigung
Je ungeschützter ein Kabel verlegt ist, desto größer ist die Gefahr einer unbeabsichtigten
Beschädigung. Die Beschädigung führt nicht unbedingt sofort zu einem Ausfall von Verbindungen. Auch die zufällige Entstehung unzulässiger Verbindungen ist möglich. Typische Beispiele für solche Beschädigungen sind:
Im Innenbereich:
-
Herausreißen der Geräteanschlußleitung mit dem Fuß bei "fliegender" Verlegung,
-
Beschädigung unter Putz verlegter Leitungen durch Bohren oder Nageln,
-
Eindringen von Wasser in Fensterbank-Kanäle,
-
Eindringen von Wasser in Fußbodenkanäle bei der Gebäudereinigung,
-
Beschädigung auf Putz oder Estrich verlegter Leitungen beim Transport sperriger und
schwerer Gegenstände.
Im Außenbereich:
-
Beschädigung bei Tiefbauarbeiten, sowohl durch Handschachtung als auch durch Bagger,
-
Eindringen von Wasser in Erdtrassen/Erdkabel,
Beispiel: In einer Fußgängerzone hatte es sich die Putzfrau eines kleinen Geschäftes zu Angewohnheit gemacht, das gebrauchte Putzwasser in den direkt vor der Ladentür befindlichen
Revisionsschacht einer Post-Kabeltrasse zu schütten. Das Wasser verdunstete zwar mit der
Zeit immer wieder, der Schmutz- und Seifenanteil jedoch lagerte sich auf den Kabeln ab
und mußte für Arbeiten daran erst mühsam und zeitaufwendig entfernt werden.
-
Beschädigung von Kabeln durch Nagetiere,
-
Beschädigung von Trassen und Kabeln durch Wurzeln (Baumwurzeln besitzen genug
Kraft, um Kabel abzuquetschen),
-
Beschädigung durch Überschreitung zulässiger Verkehrslasten (Rohre können brechen,
Kabel können abscheren).
Version 1998
Teil 1 - Kapitel 6.7 - Seite 25
Heterogene Netze
G 3.6
IT-Grundschutzhandbuch
Gefährdung durch Reinigungs- oder Fremdpersonal
Die Gefährdung durch Reinigungs- und Fremdpersonal erstreckt sich von der unsachgemäßen
Behandlung der technischen Einrichtungen, über den Versuch des "Spielens" am IT-System ggf.
bis zum Diebstahl von IT-Komponenten.
Beispiele: Durch Reinigungspersonal kann versehentlich eine Steckverbindung gelöst werden,
Wasser kann in Geräte gelangen, Unterlagen können verlegt oder sogar mit dem Abfall
entfernt werden.
Teil 1 - Kapitel 6.7 - Seite 26
Version 1998
IT-Grundschutzhandbuch
G 3.8
Heterogene Netze
Fehlerhafte Nutzung des IT-Systems
Eine fehlerhafte Nutzung des IT-Systems beeinträchtigt die Sicherheit eines IT-Systems, wenn
dadurch IT-Sicherheitsmaßnahmen mißachtet oder umgangen werden. Dies kann vermieden
werden, wenn der Benutzer über die ordnungsgemäße Funktion und den Betrieb eines IT-Systems
ausreichend informiert ist.
Beispiele: zu großzügig vergebene Rechte, leicht zu erratende Paßwörter, versehentliches
Löschen, Datenträger mit den Sicherheitskopien sind für Unbefugte zugänglich, das Terminal wird bei vorübergehender Abwesenheit nicht verschlossen u.v.a.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 27
Heterogene Netze
G 3.9
IT-Grundschutzhandbuch
Fehlerhafte Administration des IT-Systems
Eine fehlerhafte Administration beeinträchtigt die Sicherheit eines IT-Systems, wenn dadurch ITSicherheitsmaßnahmen mißachtet oder umgangen werden.
Eine fehlerhafte Administration liegt z. B. vor, wenn Netzzugangsmöglichkeiten (DaemonProzesse) geschaffen oder nicht verhindert werden, die für den ordnungsgemäßen Betrieb des
IT-Systems nicht notwendig sind oder auf Grund ihrer Fehleranfälligkeit eine besonders große
Bedrohung darstellen.
Beispiele: Über das bei G 3.8 Fehlerhafte Nutzung des IT-Systems gesagte hinaus kann der
Systemadministrator durch eine fehlerhafte Installation neuer oder vorhandener Software
Gefährdungen schaffen. Eine fehlerhafte Administration liegt auch vor, wenn
Protokollierungsmöglichkeiten nicht genutzt oder vorhandene Protokolldateien nicht
ausgewertet werden, wenn zu großzügig Zugangsberechtigungen vergeben und diese dann
nicht in gewissen Abständen kontrolliert werden, wenn Login-Namen oder UIDs mehr als
einmal vergeben werden oder wenn vorhandene Sicherheitstools, wie z. B. unter Unix die
Benutzung einer shadow-Datei für die Paßwörter, nicht genutzt werden.
Teil 1 - Kapitel 6.7 - Seite 28
Version 1998
IT-Grundschutzhandbuch
G 3.28
Heterogene Netze
Ungeeignete Konfiguration der aktiven Netzkomponenten
Durch eine ungeeignete Konfiguration der Netzkomponenten kann es zu einem Verlust der
Verfügbarkeit des Netzes oder Teilen davon, zu einem Verlust der Vertraulichkeit von
Informationen oder zu einem Verlust der Datenintegrität kommen. Dabei können insbesondere die
folgenden Fehlkonfigurationen unterschieden werden:
-
Aktive Netzkomponenten, die zur Bildung von VLANs (Virtual LANs) eingesetzt werden,
segmentieren das Netz logisch. Im Fall einer Fehlkonfiguration kann ggf. die
Kommunikation innerhalb eines VLANs, zwischen einzelnen oder zwischen allen VLANs
zum Erliegen kommen. In Abhängigkeit der VLAN-Strategie des betreffenden Herstellers
betrifft dies zum einen die Zuordnung von miteinander kommunizierenden Systemen zu den
gleichen VLANs, zum anderen auch das VLAN-Routing, insofern ein solches durch die
aktiven Netzkomponenten unterstützt wird.
Beispiel: Bei VLANs, die nur über Router miteinander kommunizieren können, werden die
zentralen Infrastrukturserver, die beispielsweise Datei- und Druckdienste bereitstellen,
nicht gleichzeitig auch den VLANs der Arbeitsplatzsysteme zugeordnet, Router sind
ebenfalls nicht vorhanden. In diesem Fall können einige Arbeitsplatzsysteme die Dienste
der zentralen Infrastrukturserver nicht nutzen, da diese in einem nicht erreichbaren Teilnetz
sind.
-
Ein Netz kann durch den Einsatz von Routern mittels Teilnetzbildung strukturiert werden.
Für eine Kommunikation zwischen den Teilnetzen ist eine entsprechende Konfiguration der
Router erforderlich, die hierzu die Leitwege zwischen den verschiedenen Teilnetzen in
Routing-Tabellen vorhalten müssen. Routing-Tabellen können statisch oder dynamisch
verwaltet werden. In beiden Fällen ist eine Kommunikation zwischen unterschiedlichen
Teilnetzen nicht möglich, wenn die Routing-Tabellen keinen Leitweg zwischen den
betreffenden Teilnetzen enthalten. Zu einer Fehlkonfiguration kann es dementsprechend
durch eine fehlerhafte Definition statischer Routing-Tabellen oder durch eine fehlerhafte
Konfiguration der Routing-Protokolle (wie z. B. RIP oder OSPF) kommen, die zum
automatischen Abgleich dynamischer Routing-Tabellen verwendet werden.
Beispiel: Eine Router-zu-Router-Verbindung ist durch einen statischen Eintrag der
entsprechenden IP-Adressen konfiguriert. Bei einer Änderung der IP-Adresse einer der
Router oder durch das Zwischenschalten eines weiteren Routers ist diese
Kommunikationsstrecke nicht mehr verfügbar.
-
Aktive Netzkomponenten, die in der Lage sind, Protokolle oder Netzadressen zu filtern,
können mit dieser Technik eine Kommunikation bestimmter Protokolle unterbinden oder
eine Kommunikation zwischen Systemen mit bestimmten Netzadressen verhindern. Eine
Fehlkonfiguration der betreffenden Filter kann entsprechend zu einer unerwünschten
Unterbindung der Kommunikation in Abhängigkeit des fehlkonfigurierten Filters und der
Art der Fehlkonfiguration führen.
Ebenso können fehlkonfigurierte Filter dazu führen, daß Verbindungen aufgebaut werden,
die Eindringlingen die Möglichkeit bieten, Angriffe gegen IT-Systeme im geschützten Netz
durchzuführen. Je nach Art des Angriffs kann daraus ein Verlust der Verfügbarkeit
einzelner Netzkomponenten oder auch des ganzen Netzes resultieren. Weiterhin können
z. B. durch die mögliche Manipulation der Verbindungswege Datenpakete umgeleitet
werden oder Datenpakete verändert oder mitgelesen werden.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 29
Heterogene Netze
IT-Grundschutzhandbuch
Beispiel: Ein Multiport-Repeater ist so konfiguriert, daß nur Systeme mit bestimmten
MAC-Adressen an bestimmte Ports angeschlossen werden können. Nach einem Austausch
der Netzkarte in einem der Endgeräte und der damit verbundenen Änderung der MACAdresse, wird dieses System keine Verbindung mehr zum Netz bekommen (Verlust der
Verfügbarkeit)
Durch eine ungeeignete Konfiguration von aktiven Netzkomponenten (insbesondere von VLANs
oder Filterregeln) können Broadcast-Domänen unnötig groß werden oder es können unnötige
Kommunikationsverbindungen entstehen. Dadurch kann es Unbefugten möglich sein, vertrauliche
Daten zu lesen.
Teil 1 - Kapitel 6.7 - Seite 30
Version 1998
IT-Grundschutzhandbuch
G 3.29
Heterogene Netze
Fehlende oder ungeeignete Segmentierung
Lokale Netze können physikalisch durch aktive Netzkomponenten oder logisch durch eine
entsprechende VLAN-Konfiguration segmentiert werden. Dabei werden die angeschlossenen ITSysteme eines Netzes auf verschiedene Segmente verteilt. Dies verbessert die Lastverteilung
innerhalb des Netzes und erhöht dessen Administrierbarkeit.
Dabei kann es zu folgenden konkreten Gefährdungen kommen:
-
Verlust der Verfügbarkeit
Durch eine hohe Anzahl von IT-Systemen innerhalb eines Schicht-2-Segments erhöht sich
in diesem die Netzlast. Dies kann die Verfügbarkeit dieses Netzsegmentes stark
beeinträchtigen oder sogar zu dessen Überlastung und Ausfall führen. Bei CSMA/CDbasierten Netzzugangsprotokollen (z. B. Ethernet) kommt es daneben häufiger zu
Kollisionen, wodurch sich die verfügbare Bandbreite reduziert. Eine ungeeignete
Segementierung kann auch dann vorliegen, wenn Systeme durch aktive Netzkomponenten
der Schicht 2 oder 3 getrennt werden, die sehr viel miteinander kommunizieren.
-
Kein ausreichender Schutz der Vertraulichkeit
Um einen Schutz vertraulicher Daten gewährleisten zu können, sollten auch nur die
unbedingt notwendigen Benutzer darauf Zugriff haben. Broadcast-Domänen sind daher auf
das unbedingt notwendige Maß zu beschränken. Wurden die einzelnen Segmente jedoch
ungeeignet konfiguriert, können nun auch andere Benutzer die übertragenen Nachrichten
mit vertraulichen Daten mitlesen und ggf. auswerten.
Beispiele:
-
Zwei IT-Systeme, die große Datenmengen austauschen, sind durch einen Router getrennt.
Dies kann eine ungeeignete Segmentierung darstellen, da der Datenverkehr durch einen
relativ langsamen Router geführt werden muß.
-
Zwei IT-Systeme, die häufig Paßwörter oder andere sensitive Informationen austauschen,
sind durch eine Brücke getrennt. Dies bedingt, daß dieser Datenverkehr in beiden
Segmenten abgehört werden kann. Die Begrenzung des Datenverkehrs zwischen diesen
beiden IT-Systemen auf ein Segment würde einen höheren Schutz der Vertraulichkeit mit
sich bringen.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 31
Heterogene Netze
G 4.1
IT-Grundschutzhandbuch
Ausfall der Stromversorgung
Trotz hoher Versorgungssicherheit kommt es immer wieder zu Unterbrechungen der Stromversorgung seitens der Energieversorgungsunternehmen (EVU). Die größte Zahl dieser Störungen
ist mit Zeiten unter einer Sekunde so kurz, daß der Mensch sie nicht bemerkt. Aber schon
Unterbrechungen von mehr als 10 ms sind geeignet, den IT-Betrieb zu stören. Bei einer
bundesweiten Messung mit ca. 60 Meßstellen wurden 1983 rund 100 solcher Netzeinbrüche
registriert. Davon dauerten fünf Ausfälle bis zu 1 Stunde und einer länger als eine Stunde. Diese
Unterbrechungen beruhten einzig auf Störungen im Versorgungsnetz. Dazu kommen
Unterbrechungen durch Abschaltungen bei nicht angekündigten Arbeiten oder durch Kabelbeschädigungen bei Tiefbauarbeiten.
Von der Stromversorgung sind nicht nur die offensichtlichen, direkten Stromverbraucher (PC,
Beleuchtung usw.) abhängig. Alle Infrastruktureinrichtungen sind heute direkt oder indirekt vom
Strom abhängig, z. B. Aufzüge, Rohrpostanlagen, Klimatechnik, Gefahrenmeldeanlagen,
Telefonnebenstellenanlagen. Selbst die Wasserversorgung in Hochhäusern ist wegen der zur
Druckerzeugung in den oberen Etagen erforderlichen Pumpen stromabhängig.
Beispiel: In einem großen süddeutschen Industriebetrieb war die gesamte Stromversorgung für
mehrere Stunden unterbrochen, da technische Probleme beim Stromversorgungsunternehmen aufgetreten waren. Infolgedessen fielen sowohl die Produktion als auch
sämtliche Rechner der Entwicklungsabteilungen aus, die über keine Ersatz-Stromversorgung verfügten.
Teil 1 - Kapitel 6.7 - Seite 32
Version 1998
IT-Grundschutzhandbuch
G 4.6
Heterogene Netze
Spannungsschwankungen/Überspannung/Unterspannung
Durch Schwankungen der Versorgungsspannung kann es zu Funktionsstörungen und Beschädigungen der IT kommen. Die Schwankungen reichen von extrem kurzen und kleinen Ereignissen,
die sich kaum oder gar nicht auf die IT auswirken, bis zu Totalausfällen oder zerstörerischen
Überspannungen. Die Ursache dafür kann in allen Bereichen des Stromversorgungsnetzes
entstehen, vom Netz des Energieversorgungsunternehmens bis zum Stromkreis, an dem die
jeweiligen Geräte angeschlossen sind.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 33
Heterogene Netze
G 4.8
IT-Grundschutzhandbuch
Bekanntwerden von Softwareschwachstellen
Unter Softwareschwachstellen sollen unbeabsichtigte Programmfehler verstanden werden, die
dem Anwender nicht oder noch nicht bekannt sind und ein Sicherheitsrisiko für das IT-System
darstellen. Es werden ständig neue Sicherheitslücken in vorhandener, auch in weit verbreiteter
oder ganz neuer Software gefunden.
Beispiele:
Zwei Beispiele für Softwareschwachstellen, die unter Unix auftraten, waren
-
ein Sendmail Bug, durch den es für jeden Benutzer möglich war, unter der UID und GID
von sendmail Programme auszuführen und Dateien zu verändern, und
-
die Routine gets. Diese wurde vom Programm fingerd zum Einlesen einer Zeile benutzt,
ohne daß eine Überprüfung der Variablengrenzen vorgenommen wurde. So konnte durch
einen Überlauf der Stack so verändert werden, daß eine neue Shell gestartet werden konnte.
Teil 1 - Kapitel 6.7 - Seite 34
Version 1998
IT-Grundschutzhandbuch
G 4.31
Heterogene Netze
Ausfall oder Störung von Netzkomponenten
Durch einen Ausfall oder eine Störung von aktiven Netzkomponenten kommt es zu einem Verlust
der Verfügbarkeit des Netzes oder von Teilbereichen davon. Hier können 3 Varianten
unterschieden werden:
-
Bei Ausfall oder Störung der kompletten Netzkomponente ist das gesamte Netz für alle
angeschlossenen Endgeräte nicht mehr verfügbar. Beim Ausfall oder Störung nur eines
Ports ist nur für das dort angeschlossene Endgerät das Netz nicht mehr verfügbar.
Beispiel: Fällt, wie in der folgenden Abbildung dargestellt, der zentrale Switch 1 völlig
aus, ist keinerlei Kommunikation zwischen den angeschlossenen Endgeräten mehr möglich.
Switch 1
Arbeitsplatz 1
-
Arbeitsplatz 2
Server 1
Server 2
Arbeitsplatz 3
Arbeitsplatz 4
Es handelt sich um aktive Netzkomponenten, die zwar nicht direkt an den Netzsegmenten
von miteinander kommunizierenden Arbeitsplatz- und Serversystemen angeschlossen sind,
jedoch im Signalpfad zwischen Arbeitsplatz- und Serversystemen liegen. Falls keine
redundanten Signalpfade zwischen den betreffenden Arbeitsplatz- und Serversystemen zur
Verfügung stehen, kann bei Ausfall oder Störung einer oder mehrerer dieser Komponenten
keine oder nur eingeschränkte Kommunikation zwischen Arbeitsplatz- und Serversystemen
mehr stattfinden.
Beispiel: Fällt, wie in der folgenden Abbildung dargestellt, Switch 1 völlig aus, ist von den
Arbeitsplätzen 3 und 4 weder eine Kommunikation mit den beiden Servern noch mit den
anderen Arbeitplätzen möglich.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 35
Heterogene Netze
G 5.1
IT-Grundschutzhandbuch
Manipulation/Zerstörung von IT-Geräten oder Zubehör
Außentäter, aber auch Innentäter, können aus unterschiedlichen Beweggründen (Rache, Böswilligkeit, Frust) heraus versuchen, IT-Geräte, Zubehör, Schriftstücke oder ähnliches zu manipulieren oder zu zerstören. Die Manipulationen können dabei umso wirkungsvoller sein, je später
sie entdeckt werden, je umfassender die Kenntnisse des Täters sind und je tiefgreifender die
Auswirkungen auf einen Arbeitsvorgang sind. Die Auswirkungen reichen von der unerlaubten
Einsichtnahme in schützenswerte Daten bis hin zur Zerstörung von Datenträgern oder ITSystemen, die erhebliche Ausfallzeiten nach sich ziehen können.
Teil 1 - Kapitel 6.7 - Seite 36
Version 1998
IT-Grundschutzhandbuch
G 5.2
Heterogene Netze
Manipulation an Daten oder Software
Daten oder Software können auf vielfältige Weise manipuliert werden: durch falsches Erfassen
von Daten, Änderungen von Zugriffsrechten, inhaltliche Änderung von Abrechnungsdaten oder
von Schriftverkehr, Änderungen in der Betriebssystemsoftware und vieles mehr. Ein Täter kann
allerdings nur die Daten und Software manipulieren, auf die er Zugriff hat. Je mehr
Zugriffsrechte eine Person besitzt, desto schwerwiegendere Manipulationen kann sie vornehmen.
Falls die Manipulationen nicht frühzeitig erkannt werden, kann der reibungslose IT-Einsatz
empfindlich gestört werden.
Manipulationen an Daten oder Software können aus Rachegefühlen, um einen Schaden mutwillig
zu erzeugen, zur Verschaffung persönlicher Vorteile oder zur Bereicherung vorgenommen
werden.
Beispiel: 1993 wurde in einem Schweizer Finanzunternehmen durch einen Mitarbeiter die
Einsatzsoftware für bestimmte Finanzdienstleistungen manipuliert. Damit war es ihm möglich,
sich illegal größere Geldbeträge zu verschaffen.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 37
Heterogene Netze
G 5.4
IT-Grundschutzhandbuch
Diebstahl
Durch den Diebstahl von IT-Geräten, Zubehör, Software oder Daten entstehen einerseits Kosten
für die Wiederbeschaffung sowie für die Wiederherstellung eines arbeitsfähigen Zustandes,
andererseits Verluste aufgrund mangelnder Verfügbarkeit. Darüber hinaus können Schäden durch
einen Vertraulichkeitsverlust und daraus resultierenden Konsequenzen entstehen.
Teil 1 - Kapitel 6.7 - Seite 38
Version 1998
IT-Grundschutzhandbuch
G 5.5
Heterogene Netze
Vandalismus
Vandalismus ist dem Anschlag sehr verwandt, nur daß er nicht wie dieser gezielt eingesetzt wird,
sondern meist Ausdruck blinder Zerstörungswut ist.
Sowohl Außentäter (z. B. enttäuschte Einbrecher, außer Kontrolle geratene Demonstrationen) als
auch Innentäter (z. B. frustrierte oder alkoholisierte Mitarbeiter) kommen in Betracht. Die
tatsächliche Gefährdung durch Vandalismus ist schwerer abschätzbar als die eines Anschlages,
da ihm in der Regel keine zielgerichtete Motivation zugrunde liegt. Persönliche Probleme oder ein
schlechtes Betriebsklima können dabei Ursachen sein.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 39
Heterogene Netze
G 5.6
IT-Grundschutzhandbuch
Anschlag
Die technischen Möglichkeiten, einen Anschlag zu verüben, sind vielfältig: geworfene Ziegelsteine, Explosion durch Sprengstoff, Schußwaffengebrauch, Brandstiftung. Ob und in welchem
Umfang ein IT-Betreiber der Gefahr eines Anschlages ausgesetzt ist, hängt neben der Lage und
dem Umfeld des Gebäudes stark von seinen Aufgaben und vom politisch-sozialen Klima ab. ITBetreiber in politisch kontrovers diskutierten Bereichen sind stärker bedroht als andere. ITBetreiber in der Nähe üblicher Demonstrationsaufmarschgebiete sind stärker gefährdet als solche
in abgelegenen Randbereichen. Für die Einschätzung der Gefährdung durch politisch motivierte
Anschläge können die Landeskriminalämter oder das Bundeskriminalamt beratend hinzugezogen
werden.
Beispiele:
-
In den 80er Jahren wurde ein Sprengstoffanschlag auf das Rechenzentrum einer großen
Bundesbehörde in Köln verübt.
-
Ein Finanzamt im rheinischen Raum wurde praktisch jährlich durch Bombendrohungen für
einige Stunden lahmgelegt.
-
Ende der 80er Jahre wurde von einem versuchten Anschlag der RAF auf das Rechenzentrum einer großen deutschen Bank berichtet.
Teil 1 - Kapitel 6.7 - Seite 40
Version 1998
IT-Grundschutzhandbuch
G 5.7
Heterogene Netze
Abhören von Leitungen
Wegen des geringen Entdeckungsrisikos ist das Abhören von Leitungen eine nicht zu vernachlässigende Gefährdung der IT-Sicherheit. Grundsätzlich gibt es keine abhörsicheren Kabel.
Lediglich der erforderliche Aufwand zum Abhören unterscheidet die Kabel. Ob eine Leitung
tatsächlich abgehört wird, ist nur mit hohem meßtechnischen Aufwand feststellbar.
Der Entschluß, eine Leitung abzuhören, wird im wesentlichen durch die Frage bestimmt, ob die
Informationen den technischen (kostenmäßigen) Aufwand und das Risiko der Entdeckung wert
sind. Die Beantwortung dieser Frage ist sehr von den individuellen Möglichkeiten und Interessen
des Angreifers abhängig. Somit ist eine sichere Festlegung, welche Informationen und damit
Leitungen ggf. abgehört werden, nicht möglich.
Beispiele:
-
So ist es z. B. falsch anzunehmen, daß per Electronic Mail versandte Nachrichten mit
klassischen Briefen vergleichbar sind. Da Mails während ihres gesamten Weges durch das
Netz gelesen werden können, ist ein Vergleich mit Postkarten sehr viel realistischer.
-
Einige Hersteller liefern Programme (Sniffer), die zum Debuggen der Netze dienen, aber
auch zum Abhören benutzt werden können, schon zusammen mit ihren Betriebssystemen
aus.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 41
Heterogene Netze
G 5.8
IT-Grundschutzhandbuch
Manipulation an Leitungen
Neben dem Abhören von Leitungen (siehe G 5.7 Abhören von Leitungen) kann eine Manipulation
an Leitungen noch andere Ziele haben:
-
Frustrierte Mitarbeiter manipulieren Leitungen so, daß es zu unzulässigen Verbindungen
innerhalb und außerhalb der eigenen IT kommt. Dabei geht es oft nur darum, den ITBetrieb zu stören.
-
Leitungen können so manipuliert werden, daß eine private Nutzung zu Lasten des Netzbetreibers erfolgen kann. Neben den dadurch entstehenden Kosten bei der Nutzung
gebührenpflichtiger Verbindungen werden Leitungen und Ressourcen durch die private
Nutzung blockiert.
-
Durch die Manipulation von Leitungen kann es möglich werden, darauf übertragene Daten
zum Vorteil des Täters zu verändern. Insbesondere bei kassenwirksamen Verfahren, in der
Lohnbuchhaltung und bei allen IT-Anwendungen, die sich direkt oder indirekt mit der
Verwaltung von Sachwerten befassen, können sich durch Manipulationen hohe Schäden
ergeben.
Teil 1 - Kapitel 6.7 - Seite 42
Version 1998
IT-Grundschutzhandbuch
G 5.9
Heterogene Netze
Unberechtigte IT-Nutzung
Ohne Mechanismen zur Identifikation und Authentisierung von Benutzern ist die Kontrolle über
unberechtigte IT-Nutzung praktisch nicht möglich. Selbst bei IT-Systemen mit einer
Identifikations- und Authentisierungsfunktion in Form von Benutzer-ID- und Paßwort-Prüfung ist
eine unberechtigte Nutzung denkbar, wenn Paßwort und zugehörige Benutzer-ID ausgespäht
werden.
Um das geheimgehaltene Paßwort zu erraten, können Unbefugte innerhalb der Login-Funktion ein
mögliches Paßwort eingeben. Die Reaktion des IT-Systems gibt anschließend Aufschluß darüber,
ob das Paßwort korrekt war oder nicht. Auf diese Weise können Paßwörter durch Ausprobieren
erraten werden.
Viel erfolgversprechender ist jedoch die Attacke, ein sinnvolles Wort als Paßwort anzunehmen
und alle Benutzereinträge durchzuprobieren. Bei entsprechend großer Benutzeranzahl wird damit
oft eine gültige Kombination gefunden.
Falls die Identifikations- und Authentisierungsfunktion mißbräuchlich nutzbar ist, so können
sogar automatisch Versuche gestartet werden, indem ein Programm erstellt wird, das systematisch alle möglichen Paßwörter testet.
Beispiel: 1988 nutzte der Internet-Wurm eine Schwachstelle der betroffenen Unix-Betriebssysteme aus, um gültige Paßwörter zu finden, obwohl die gültigen Paßwörter verschlüsselt
gespeichert waren. Dazu probierte ein Programm sämtliche Eintragungen eines
Wörterbuches aus, indem es sie mit der zur Verfügung stehenden Chiffrierfunktion
verschlüsselte und mit den abgespeicherten verschlüsselten Paßwörtern verglich. Sobald
eine Übereinstimmung gefunden war, war auch ein gültiges Paßwort erkannt.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 43
Heterogene Netze
G 5.18
IT-Grundschutzhandbuch
Systematisches Ausprobieren von Paßwörtern
Zu einfache Paßwörter lassen sich durch systematisches Ausprobieren herausfinden.
Beispiel: Eine Untersuchung von Klein (Klein, Daniel V. 1990, USENIX Security Workshop
Proceedings, Portland August 1990) an 15000 Accounts ergab eine Erfolgsquote von
24,2 %, wobei folgende Möglichkeiten für ein Paßwort ausprobiert wurden:
ca. 130 Variationen des Login Namens (Vor- und Zuname) und anderer persönlicher Daten
aus dem /etc/passwd File, häufige Namen, Namen von bekannten Personen, Namen und
Orte aus Filmen, von Sportereignissen und aus der Bibel, gebräuchliche Schimpfwörter
und Wörter aus Fremdsprachen, verschiedene Variationen dieser Wörter, wie z. B.
Umwandlung Groß-Kleinschreibung, Einfügen von Sonder- und Kontrollzeichen,
Umkehrung der Buchstabenreihenfolge, wiederholte Buchstaben (z. B. aaabbb) oder
häufige Abkürzungen (z. B. rggbv für die Farben des Regenbogens) und Paare aus zwei
kurzen Wörtern.
Alle diese Kombinationen und mehr lassen sich mit Hilfe des Public Domain Programms crack
von jedem Benutzer eines Unix-Systems, auf dem die Paßwortdatei frei zugänglich ist,
ausprobieren. Darüber hinaus ist die Wahrscheinlichkeit, ein Paßwort durch systematisches
Probieren aller Kombinationen zu finden, bei zu kurzen Paßwörtern groß.
Teil 1 - Kapitel 6.7 - Seite 44
Version 1998
IT-Grundschutzhandbuch
G 5.28
Heterogene Netze
Verhinderung von Diensten
Ein solcher Angriff zielt darauf ab, die IT-Benutzer daran zu hindern, Funktionen oder Geräte zu
benutzen, die ihnen normalerweise zur Verfügung stehen. Dieser Angriff steht häufig im
Zusammenhang mit verteilten Ressourcen, indem ein Angreifer diese Ressourcen so stark in
Anspruch nimmt, daß andere Benutzer an der Arbeit gehindert werden. Es können z. B. die
folgenden Ressourcen künstlich verknappt werden: Prozesse, CPU-Zeit, Plattenplatz, Inodes,
Verzeichnisse.
Dies kann z. B. geschehen durch
-
das Starten von beliebig vielen Programmen gleichzeitig,
-
das mehrfache Starten von Programmen, die viel CPU-Zeit verbrauchen,
-
das Belegen aller freien Inodes in einem Unix-System, so daß keine neuen Dateien mehr
angelegt werden können,
-
das Anlegen sehr vieler kleiner Dateien in einem Verzeichnis auf einem DOS-PC, so daß in
diesem Verzeichnis keine neuen Dateien mehr angelegt werden können,
-
die gezielte Überlastung des Netzes,
-
das Kappen von Netzverbindungen.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 45
Heterogene Netze
G 5.66
IT-Grundschutzhandbuch
Unberechtigter Anschluß von IT-Systemen an ein Netz
Grundsätzlich kann der unberechtigte Anschluß eines IT-Systems in ein bestehendes Netz (durch
ein Aufschalten auf die zugehörige Verkabelung oder durch die Nutzung von Schnittstellen in
Verteiler- oder Büroräumen) nicht verhindert werden. Es gibt keinen Verkabelungstyp, der ein
solches Ankoppeln verhindern würde, lediglich der erforderliche Aufwand zum Auftrennen der
Verkabelung und zum Lesen bzw. Einspielen von Daten unterscheidet die verschiedenen Typen.
Die unberechtigte Integration eines Rechners in ein Netz ist nur sehr schwer zu entdecken und
bleibt meistens unbemerkt. Ein solcher Zugriff betrifft den gesamten Netzverkehr in dem
zugehörigen Segment und kann z. B.
-
die Manipulation an Daten oder Software,
-
das Abhören von Leitungen,
-
die Manipulation an Leitungen,
-
das Wiedereinspielen von Nachrichten,
-
die Maskerade als anderer Kommunikationsteilnehmer,
-
eine Analyse des Nachrichtenflusses,
-
die Verhinderung von Diensten,
-
die unberechtigte Ausführung von Netzmanagementfunktionen oder
-
den unberechtigten Zugang zu den aktiven Netzkomponenten
begünstigen.
Teil 1 - Kapitel 6.7 - Seite 46
Version 1998
IT-Grundschutzhandbuch
G 5.67
Heterogene Netze
Unberechtigte Ausführung von Netzmanagementfunktionen
Durch die unberechtigte Ausführung von Netzmanagementfunktionen können aktive
Netzkomponenten teilweise oder vollständig kontrolliert werden. Die Kontrollmöglichkeiten
werden u. a. durch das verwendete Netzmanagementprotokoll, wie z. B. SNMP oder
CMIP/CMOT bestimmt. Daraus kann ein Verlust der Netzintegrität, der Verfügbarkeit einzelner
oder aller Netzbestandteile sowie der Vertraulichkeit bzw. Integrität von Daten resultieren.
Unter Verwendung eines Serviceprotokolls, wie z. B. SNMP, können dedizierte Ports aktiver
Netzkomponenten aktiviert oder insbesondere auch deaktiviert werden. Weiterhin können z. B. die
VLAN-Konfiguration, Routing-Tabellen, die Router-Konfiguration sowie die Konfiguration von
Filtern manipuliert werden (siehe G 3.28 Ungeeignete Konfiguration der aktiven
Netzkomponenten). Daneben kann die Möglichkeit einer Verteilung von Firmware-Updates über
das Netz genutzt werden, um unberechtigt Software auf aktiven Netzkomponenten zu installieren,
mit deren Unterstützung wiederum vielfältige Angriffe auf Komponenten innerhalb des Netzes
durchgeführt oder unterstützt werden können.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 47
Heterogene Netze
G 5.68
IT-Grundschutzhandbuch
Unberechtigter Zugang zu den aktiven Netzkomponenten
Aktive Netzkomponenten haben üblicherweise eine serielle Schnittstelle (RS-232), an die von
außen ein Terminal oder ein tragbarer PC angeschlossen werden kann. Dadurch ist es möglich,
aktive Netzkomponenten auch lokal zu administrieren.
Bei unzureichend gesicherten Schnittstellen ist es denkbar, daß Angreifer einen unberechtigten
Zugang zur Netzkomponente erlangen. Sie können somit nach Überwindung der lokalen
Sicherheitsmechanismen (z. B. des Paßwortes) ggf. alle Administrationstätigkeiten ausüben.
Dabei können durch das Auslesen der Konfiguration aktiver Netzkomponenten ggf.
schutzbedürftige Informationen über die Topologie, die Sicherheitsmechanismen und die Nutzung
eines Netzes in Erfahrung gebracht werden. Ein Auslesen der Konfigurationsdaten ist z. B. durch
den Anschluß eines Terminals oder tragbaren PCs an die serielle Schnittstelle der aktiven
Netzkomponente, durch den Zugriff auf die aktive Netzkomponente über das lokale Netz oder
durch das Mitlesen der Daten auf einem Bildschirm oder Display möglich, falls die aktive
Netzkomponente gerade administriert bzw. konfiguriert wird.
Teil 1 - Kapitel 6.7 - Seite 48
Version 1998
IT-Grundschutzhandbuch
M 1.25
Heterogene Netze
Überspannungsschutz
Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Haustechnik, Administrator
Je nach Qualität und Ausbau des Versorgungsnetzes des Energieversorgungsunternehmens und
des eigenen Stromleitungsnetzes, abhängig vom Umfeld (andere Stromverbraucher) und von der
geographischen Lage, können durch Induktion oder Blitzschlag Überspannungsspitzen im
Stromversorgungsnetz entstehen. Überspannungen durch Blitz haben i. d. R. ein recht hohes
zerstörerisches Potential, während Überspannungen anderer Ursachen geringer sind, aber trotzdem ausreichen können, um die IT zu stören.
Ein komplettes Überspannungschutzkonzept baut sich in drei Stufen auf:
-
der Grobschutz in der Gebäudeeinspeisung,
-
der Mittelschutz in den Etagenverteilern und
-
der Feinschutz an den jeweiligen Steckdosen und den Steckverbindungen aller anderen
Leitungen.
Die Auslegung des Grobschutzes ist von dem Vorhandensein eines äußeren Blitzschutzes
abhängig. Die Schutzwirkung jeder Stufe baut auf der vorherigen auf. Der Verzicht auf eine
Stufe macht den gesamten Überspannungsschutz nahezu unwirksam.
Ist der gebäudeweite Aufbau eines Überspannungsschutzes nicht möglich, so kann man zumindest
wichtige Teile der IT (Server etc.) mit einer entsprechenden Schutzzone umgeben. Netze mit einer
Vielzahl angeschlossener Geräte können, um einen möglichen Schaden klein zu halten, durch
Optokoppler oder Überspannungsableiter in kleine, gegeneinander geschützte Bereiche aufgeteilt
werden.
Zwei Grundvoraussetzungen sind unabhängig von Umfang und Ausbau des Überspannungsschutzes zu beachten:
-
Die Leitungslänge zwischen dem Feinschutz und zu schützenden Geräten sollte 20 m nicht
überschreiten. Falls doch, ist ein erneuter Feinschutz zwischenzuschalten. Verfügt ein
Gerät über einen Feinschutz im Eingang, entfällt die 20 m Begrenzung.
-
Für einen funktionierenden Überspannungsschutz ist ein umfassender Potentialausgleich
aller in den Überspannungsschutz einbezogenen elektrischen Betriebsmittel erforderlich!
Ergänzende Kontrollfragen:
-
Werden Blitz- und Überspannungsschutzeinrichtungen periodisch und nach bekannten
Ereignissen geprüft und ggf. ersetzt?
-
Ist ein durchgängiger Potentialausgleich realisiert?
-
Wird bei Nachinstallationen darauf geachtet, daß der Potentialausgleich mitgeführt wird?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 49
Heterogene Netze
M 1.27
IT-Grundschutzhandbuch
Klimatisierung
Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT,
Verantwortlich für Umsetzung: Haustechnik
Um den zulässigen Betriebstemperaturbereich von IT-Geräten zu gewährleisten, reicht der normale Luft- und Wärmeaustausch eines Raumes manchmal nicht aus, so daß der Einbau einer
Klimatisierung erforderlich wird. Deren Aufgabe ist es, die Raumtemperatur durch Kühlung
unter dem von der IT vorgegebenen Höchstwert zu halten.
Werden darüber hinaus Forderungen an die Luftfeuchtigkeit gestellt, kann ein Klimagerät durch
Be- und Entfeuchtung auch diese erfüllen. Dazu muß das Klimagerät allerdings an eine
Wasserleitung angeschlossen werden. M 1.24 Vermeidung von wasserführenden Leitungen ist zu
beachten.
Um die Schutzwirkung aufrechtzuerhalten, ist eine regelmäßige Wartung der Klimatisierungseinrichtung vorzusehen.
Ergänzende Kontrollfragen:
-
In welchen für IT genutzte Räumen können erhöhte Temperaturen auftreten?
-
Werden eingesetzte Klimageräte regelmäßig gewartet?
-
Welches sind die für die IT zulässigen Höchst- und Tiefstwerte für Temperatur und Luftfeuchte?
Teil 1 - Kapitel 6.7 - Seite 50
Version 1998
IT-Grundschutzhandbuch
M 1.28
Heterogene Netze
Lokale unterbrechungsfreie Stromversorgung
Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Haustechnik, Administrator
Mit einer unterbrechungsfreien Stromversorgung (USV) kann ein kurzzeitiger Stromausfall
überbrückt werden oder die Stromversorgung solange aufrechterhalten werden, daß ein
geordnetes Herunterfahren angeschlossener Rechner möglich ist. Dies ist insbesondere dann
sinnvoll,
-
wenn im Rechner umfangreiche Daten zwischengespeichert werden (z. B. Cache-Speicher
im Netz-Server), bevor sie auf nichtflüchtige Speicher ausgelagert werden,
-
beim Stromausfall ein großes Datenvolumen verloren gehen würde und nachträglich
nochmals erfaßt werden müßte,
-
wenn die Stabilität der Stromversorgung nicht ausreichend gewährleistet ist.
Zwei Arten der USV sind zu unterscheiden:
-
Off-Line-USV: Hierbei werden die angeschlossenen Verbraucher im Normalfall direkt aus
dem Stromversorgungsnetz gespeist. Erst wenn dieses ausfällt, schaltet sich die USV
selbsttätig zu und übernimmt die Versorgung.
-
On-Line-USV: Hier ist die USV ständig zwischen Netz und Verbraucher geschaltet. Die
gesamte Stromversorgung läuft immer über die USV.
Beide USV-Arten können neben der Überbrückung von Totalausfällen der Stromversorgung und
Unterspannungen auch dazu dienen, Überspannungen zu glätten. Auch hier gilt hinsichtlich des
Überspannungsschutzes die in M 1.25 Überspannungsschutz erläuterte Begrenzung auf 20 m.
Werden IT-Geräte in einem Gebäude mit TN-S-Netz (siehe dazu M 1.39 Verhinderung von
Ausgleichsströmen auf Schirmungen) mit einer lokalen USV versorgt, ist folgendes zu beachten:
Um die Schutzwirkung des TN-S-Netzes gegen Ausgleichsströme auf Schirmen von
Datenleitungen aufrecht zu erhalten, darf der PE-Leiter der Stromzuleitung nicht mit dem PELeiter der Ausgangsseite der USV verbunden werden.
Bei der Dimensionierung einer USV kann man i. d. R. von einer üblichen Überbrückungszeit von
ca. 10 bis 15 Minuten ausgehen. Die Mehrzahl aller Stromausfälle ist innerhalb von 5 bis 10
Minuten behoben, so daß nach Abwarten dieser Zeitspanne noch 5 Minuten übrigbleiben, um die
angeschlossene IT geordnet herunterfahren zu können, sollte der Stromausfall länger andauern.
Die meisten modernen USV-Geräte bieten Rechnerschnittstellen an, die nach einer vorher
festgelegten Zeit, entsprechend dem Zeitbedarf der IT und der Kapazität der USV, ein
rechtzeitiges automatisches Herunterfahren (Shut-down) einleiten können.
Für spezielle Anwendungsfälle (z. B. TK-Anlagen) kann die erforderliche Überbrückungszeit
auch mehrere Stunden betragen.
Um die Schutzwirkung aufrechtzuerhalten, ist eine regelmäßige Wartung der USV vorzusehen.
Falls die Möglichkeit besteht, die Stromversorgung unterbrechungsfrei aus einer anderen Quelle
zu beziehen (z. B. durch Anschluß an eine zentrale USV), so stellt dies eine Alternative zur
lokalen USV dar.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 51
Heterogene Netze
IT-Grundschutzhandbuch
Ergänzende Kontrollfragen:
-
Werden die Wartungsintervalle der USV eingehalten?
-
Ist ein automatisches Shut-down vorgesehen?
-
Wird die Wirksamkeit der USV regelmäßig getestet?
-
Haben sich Veränderungen ergeben, so daß die vorgehaltene Kapazität der USV nicht mehr
ausreichend ist?
Teil 1 - Kapitel 6.7 - Seite 52
Version 1998
IT-Grundschutzhandbuch
M 1.29
Heterogene Netze
Geeignete Aufstellung eines IT-Systems
Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT
Verantwortlich für Umsetzung: Haustechnik, IT-Benutzer
Bei der Aufstellung eines IT-Systems sollten verschiedene Voraussetzungen beachtet werden, die
die Lebensdauer und Zuverlässigkeit der Technik verbessern und die Ergonomie berücksichtigen.
Einige seien hier genannt:
-
ein IT-System sollte nicht in unmittelbarer Nähe der Heizung aufgestellt werden, um eine
Überhitzung zu vermeiden,
-
ein IT-System sollte nicht der direkten Sonneneinstrahlung ausgesetzt sein,
-
Staub und Verschmutzungen sollten vermieden werden, da die mechanischen Bauteile
(Diskettenlaufwerke, mechanische Maus, Festplatten) beeinträchtigt werden können,
-
direkte Lichteinstrahlung auf den Bildschirm sollte aus ergonomischen Gründen vermieden
werden,
-
der Standort in der Nähe eines Fensters oder einer Tür erhöht die Gefahr des Beobachtens
von außerhalb.
Weitere Hinweise sind den Empfehlungen der Berufsgenossenschaften zu entnehmen.
Ergänzende Kontrollfragen:
-
Sind durch den Aufstellungsort bedingte Ausfälle in der Vergangenheit zu beobachten
gewesen?
-
Beklagen sich Benutzer von IT-Systemen über unzureichende ergonomische Bedingungen?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 53
Heterogene Netze
M 1.32
IT-Grundschutzhandbuch
Geeignete Aufstellung von Konsole, Geräten mit austauschbaren
Datenträgern und Druckern
Verantwortlich für Initiierung: Leiter IT, TK-Anlagen-Verantwortlicher, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Diese Maßnahme dient der Absicherung der Schnittstellen eines IT-Systems zur Außenwelt, um
auch dort den Sicherheitsanforderungen in bezug auf die gespeicherten und verarbeiteten Daten
zu entsprechen, die im IT-System durch die internen Sicherheitsmechanismen und durch die
Maßnahmen im Bereich Hardware/Software gewährleistet sind. Der Schutz vor unbefugtem
Lesen von Informationen, der innerhalb des Systems durch die Mechanismen der Zugriffskontrolle gegeben ist, muß an diesen Schnittstellen hauptsächlich durch infrastrukturelle oder
organisatorische Maßnahmen gewährleistet werden.
Um Manipulationen an der Konsole, an Geräten mit austauschbaren Datenträgern und an Drukkern zu verhindern, müssen diese so aufgestellt werden, daß nur Berechtigte Zugang haben.
Insbesondere gilt:
-
Bei Unix-Systemen dürfen Unbefugte keinen Zugang zur Konsole erhalten, weil sie dort
unter Umständen den Unix-Rechner in den Single-User-Modus booten bzw. den MonitorModus aktivieren können und damit Systemadministrator-Rechte erlangen.
-
Es ist sicherzustellen, daß an den Geräten für austauschbare Datenträger - wie Streamern,
Diskettenlaufwerken, Wechselplatten usw. - kein mißbräuchliches Ein- und Auslesen von
Dateien möglich ist.
-
Nur Berechtigte dürfen Zutritt zu Räumen mit Druckern / Ausdrucken haben. Dieses kann
z. B. durch Aufstellung der Drucker in einem geschlossenen Raum und Verteilung der
Ausdrucke in nur für den jeweiligen Empfänger zugängliche Fächer durch eine
vertrauenswürdige Person erreicht werden. Druckerausgaben müssen daher mit dem
Namen des Empfängers gekennzeichnet sein. Dieses kann automatisch durch die Druckprogramme erfolgen.
Diese Maßnahme wird ergänzt durch folgende Maßnahmen:
-
M 4.18
Administrative und technische Absicherung des Zugangs zum Monitor- und
Single-User-Modus
-
M 4.21
Verhinderung des unautorisierten Erlangens von Administratorrechten
Ergänzende Kontrollfragen:
-
Sind Konsole, Geräte für austauschbare Datenträger und Druckerausgaben vor unbefugtem Zugriff geschützt?
Teil 1 - Kapitel 6.7 - Seite 54
Version 1998
IT-Grundschutzhandbuch
M 2.4
Heterogene Netze
Regelungen für Wartungs- und Reparaturarbeiten
Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Leiter IT, Administrator, IT-Benutzer
Als vorbeugende Maßnahme, um IT vor Störungen zu bewahren, ist die ordnungsgemäße
Durchführung von Wartungsarbeiten von besonderer Bedeutung. Die rechtzeitige Einleitung von
Wartungsarbeiten und die Überprüfung ihrer Durchführung sollte von einer zentralen Stelle aus
wahrgenommen werden (z. B. Beschaffungsstelle). Dabei sollten die Wartungsarbeiten von
vertrauenswürdigen Personen oder Firmen durchgeführt werden.
Wartungs- und Reparaturarbeiten im Hause
Für Wartungs- und Reparaturarbeiten, insbesondere wenn sie durch Externe durchgeführt
werden, sind Regelungen über deren Beaufsichtigung zu treffen: während der Arbeiten sollte eine
fachkundige Kraft die Arbeiten soweit beaufsichtigen, daß sie beurteilen kann, ob während der
Arbeit nicht-autorisierte Handlungen vollzogen werden. Weiterhin ist zu überprüfen, ob der
Wartungsauftrag ausgeführt wurde.
Als Maßnahmen vor und nach Wartungs- und Reparaturarbeiten sind einzuplanen:
-
Ankündigung der Maßnahme gegenüber den betroffenen Mitarbeitern.
-
Wartungstechniker müssen sich auf Verlangen ausweisen.
-
Der Zugriff auf Daten durch den Wartungstechniker ist soweit wie möglich zu vermeiden.
Falls erforderlich, sind Speichermedien vorher auszubauen oder zu löschen (nach einer
kompletten Datensicherung), insbesondere wenn die Arbeiten extern durchgeführt werden
müssen. Falls das Löschen nicht möglich ist (z. B. aufgrund eines Defektes), sind die
Arbeiten auch extern zu beobachten bzw. es sind besondere vertragliche Vereinbarungen
zu treffen.
-
Die dem Wartungstechniker eingeräumten Zutritts-, Zugangs- und Zugriffsrechte sind auf
das notwendige Minimum zu beschränken und nach den Arbeiten zu widerrufen bzw. zu
löschen.
-
Nach der Durchführung von Wartungs- oder Reparaturarbeiten sind - je nach
"Eindringtiefe" des Wartungspersonals - Paßwortänderungen erforderlich. Im PC-Bereich
sollte ein Computer-Viren-Check durchgeführt werden.
-
Die durchgeführten Wartungsarbeiten sind zu dokumentieren (Umfang, Ergebnisse, Zeitpunkt, evtl. Name des Wartungstechnikers).
Externe Wartungs- und Reparaturarbeiten
Werden IT-Systeme zur Wartung oder Reparatur außer Haus gegeben, sind alle sensitiven Daten,
die sich auf Datenträgern befinden, vorher physikalisch zu löschen. Ist dies nicht möglich, weil
aufgrund eines Defekts nicht mehr auf die Datenträger zugegriffen werden kann, sind die mit der
Reparatur beauftragten Unternehmen auf die Einhaltung der erforderlichen ITSicherheitsmaßnahmen zu verpflichten. Entsprechend M 3.2 Verpflichtung der Mitarbeiter auf
Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen sind mit diesen vertragliche
Regelungen über die Geheimhaltung von Daten zu treffen. Insbesondere ist festzulegen, daß
Daten, die im Rahmen der Wartung extern gespeichert wurden, nach Abschluß der Arbeiten
sorgfältig gelöscht werden. Ebenso sind die Pflichten und Kompetenzen des externen
Wartungspersonals sorgfältig festzulegen.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 55
Heterogene Netze
IT-Grundschutzhandbuch
Die Durchführung externer Wartungsarbeiten muß protokolliert werden, welche IT-Systeme oder
Komponenten wann an wen zur Reparatur gegeben wurden, wer dies veranlaßt hat, zu welchem
Zeitpunkt die Reparatur abgeschlossen sein sollte und wann das Gerät wieder zurückgebracht
wurde. Um dies nachhalten zu können, ist eine Kennzeichnung der IT-Systeme oder
Komponenten erforderlich, aus der zum einem hervorgeht, welcher Organisation diese gehören,
und zum anderen eine eindeutige Zuordnung innerhalb der Organisation möglich ist.
Bei Versand oder Transport der zu reparierenden IT-Komponenten sollte darauf geachtet werden,
daß Beschädigungen und Diebstahl vorgebeugt wird. Befinden sich auf den IT-Systemen noch
sensitive Informationen, müssen sie entsprechend geschützt transportiert werden, also z. B. in
verschlossenen Behältnissen oder durch Kuriere. Weiterhin müssen Nachweise über den Versand
(Begleitzettel, Versandscheine) und den Eingang beim Empfänger (Empfangsbestätigung) geführt
und archiviert werden.
Bei IT-Systemen, die durch Paßwörter geschützt sind, müssen je nach Umfang der
Reparaturarbeiten und der Art der Paßwortabsicherung, alle oder einige Paßwörter entweder
bekanntgegeben oder auf festgelegte Einstellungen wie "REPARATUR" gesetzt werden, damit
die Wartungstechniker auf die Geräte zugreifen können.
Nach der Rückgabe der IT-Systeme oder Komponenten sind diese auf Vollständigkeit zu
überprüfen. Alle Paßwörter sind zu ändern. PC-Datenträger sind nach der Rückgabe mittels eines
aktuellen Viren-Suchprogramms auf Computer-Viren zu überprüfen. Alle Dateien oder
Programme, die sich auf dem reparierten Gerät befinden, sind auf Integrität zu überprüfen.
Fernwartung
Regelungen für die Fernwartung können der Maßnahme M 5.33 Absicherung der per Modem
durchgeführten Fernwartung entnommen werden.
Ergänzende Kontrollfragen:
-
Werden die Mitarbeiter zur Wahrnehmung der Aufsicht angehalten?
-
Werden Nachweise über durchgeführte Wartungsarbeiten geführt?
-
Liegt ein Fristenplan für Wartungsarbeiten vor?
Teil 1 - Kapitel 6.7 - Seite 56
Version 1998
IT-Grundschutzhandbuch
M 2.22
Heterogene Netze
Hinterlegen des Paßwortes
Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: IT-Benutzer
Ist der Zugriff auf ein IT-System durch ein Paßwort geschützt, so müssen Vorkehrungen getroffen werden, die bei Abwesenheit eines Mitarbeiters, z. B. im Urlaubs- oder Krankheitsfall, seinem
Vertreter den Zugriff auf das IT-System ermöglichen. Zu diesem Zweck ist das aktuelle Paßwort
durch jeden Mitarbeiter an einer geeigneten Stelle (in einem geschlossenen Umschlag) zu
hinterlegen und bei jeder Änderung des Paßwortes zu aktualisieren. Wird es notwendig, dieses
hinterlegte Paßwort zu nutzen, so sollte dies nach dem Vier-Augen-Prinzip, d. h. von zwei Personen gleichzeitig, geschehen.
Bei einem Telearbeiter ist sicherzustellen, daß dessen Paßwörter auch in der Institution hinterlegt
werden, damit im Notfall sein Vertreter auf die im Telearbeitsrechner gespeicherten Daten
zugreifen kann.
Bei allen von Administratoren betreuten Systemen, insbesondere bei vernetzten Systemen, ist
durch regelmäßige Überprüfung sicherzustellen, daß das aktuelle Systemadministrator-Paßwort
hinterlegt ist.
Ergänzende Kontrollfragen:
-
Sind die hinterlegten Paßwörter vollständig und aktuell?
-
Ist die ordnungsgemäße Verwendung eines hinterlegten Paßwortes geregelt?
-
Wird anhand der Aktualisierungen der hinterlegten Paßwörter die Wechselsystematik
kontrolliert?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 57
Heterogene Netze
M 2.25
IT-Grundschutzhandbuch
Dokumentation der Systemkonfiguration
Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: Administrator
Planung, Steuerung, Kontrolle und Notfallvorsorge des IT-Einsatzes basieren auf einer aktuellen
Dokumentation des vorhandenen IT-Systems. Nur eine aktuelle Dokumentation der
Systemkonfiguration ermöglicht im Notfall einen geordneten Wiederanlauf des IT-Systems.
Bei einem Netzbetrieb ist die physikalische Netzstruktur (vgl. M 5.4 Dokumentation und
Kennzeichnung der Verkabelung) und die logische Netzkonfiguration zu dokumentieren. Dazu
gehören auch die Zugriffsrechte der einzelnen Benutzer (siehe M 2.31 Dokumentation der
zugelassenen Benutzer und Rechteprofile) und der Stand der Datensicherung. Dabei ist auf
Aktualität und Verständlichkeit der Dokumentation zu achten, damit auch ein Vertreter die
Administration jederzeit weiterführen kann, ebenso wie auf eine sichere Aufbewahrung der
Unterlagen, um deren Verfügbarkeit im Bedarfsfall zu gewährleisten.
Ergänzende Kontrollfragen:
-
Ist die vorhandene Dokumentation aktuell?
-
Kann aufgrund der Dokumentation die Administration weitergeführt werden?
Teil 1 - Kapitel 6.7 - Seite 58
Version 1998
IT-Grundschutzhandbuch
M 2.26
Heterogene Netze
Ernennung eines Administrators und eines Vertreters
Verantwortlich für Initiierung: Leiter IT,
wortlicher
IT-Sicherheitsmanagement,
TK-Anlagen-Verant-
Verantwortlich für Umsetzung: Um einen geordneten Betrieb von IT-Systemen zu ermöglichen, ist ein Administrator zu
bestimmen. Ihm obliegt neben allgemeinen Administrationsarbeiten insbesondere die
Benutzerverwaltung einschließlich der Verwaltung der Zugriffsrechte. Zusätzlich ist er für die
Sicherheitsbelange des betreuten IT-Systems zuständig.
Beim Einsatz von Protokollierung sollte auf die Rollentrennung von Administration und Revision
geachtet werden. Hier ist zu überprüfen, inwieweit die IT-Systeme dies unterstützen.
Um bei Verhinderung des Administrators die Funktionen weiter aufrechtzuerhalten, ist ein Vertreter zu benennen.
Für die Übernahme von Administrationsaufgaben muß gewährleistet sein, daß dem Administrator
und seinem Vertreter für eine sorgfältige Aufgabenerfüllung auch die hierfür erforderliche Zeit
zur Verfügung steht. Hierbei muß auch berücksichtigt werden, daß Aus- und Fortbildungsmaßnahmen erforderlich sind.
Ergänzende Kontrollfragen:
-
Wurden der Administrator und der Vertreter ausreichend geschult?
-
Wurden Zuständigkeiten für die Administration geändert und die notwendigen Schulungsmaßnahmen eingeleitet?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 59
Heterogene Netze
M 2.34
IT-Grundschutzhandbuch
Dokumentation der Veränderungen an einem bestehenden System
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Um einen reibungslosen Betriebsablauf zu gewährleisten, muß der Administrator einen Überblick
über das System haben bzw. sich verschaffen können. Dieses muß auch für seinen Vertreter
möglich sein, falls der Administrator unvorhergesehen ausfällt. Der Überblick ist auch Voraussetzung, um Prüfungen des Systems (z. B. auf problematische Einstellungen, Konsistenz bei
Änderungen) durchführen zu können.
Daher sollten die Veränderungen, die Administratoren am System vornehmen, dokumentiert
werden, nach Möglichkeit automatisiert. Dieses gilt insbesondere für Änderungen an Systemverzeichnissen und -dateien.
Bei Installation neuer Betriebssysteme oder bei Updates sind die vorgenommenen Änderungen
besonders sorgfältig zu dokumentieren. Möglicherweise kann durch die Aktivierung neuer oder
durch die Änderung bestehender Systemparameter das Verhalten das Verhalten des IT-Systems
(insbesondere auch Sicherheitsfunktionen) maßgeblich verändert werden.
Unter Unix müssen ausführbare Dateien, auf die auch andere Benutzer als der Eigentümer
Zugriff haben oder deren Eigentümer root ist, vom Systemadministrator freigegeben und dokumentiert werden (siehe auch M 2.9 Nutzungsverbot nicht freigegebener Software). Insbesondere
müssen Listen mit den freigegebenen Versionen dieser Dateien geführt werden, die außerdem
mindestens das Erstellungsdatum, die Größe jeder Datei und Angaben über evtl. gesetzte s-Bits
enthalten. Sie sind Voraussetzung für den regelmäßigen Sicherheitscheck und für Überprüfungen
nach einem Verlust der Integrität.
Ergänzende Kontrollfragen:
-
Werden Logbücher über Systemveränderungen geführt?
-
Sind die Aufzeichnungen aktuell und vollständig?
-
Kann aufgrund der Aufzeichnungen die Administration weitergeführt werden?
Teil 1 - Kapitel 6.7 - Seite 60
Version 1998
IT-Grundschutzhandbuch
M 2.35
Heterogene Netze
Informationsbeschaffung über Sicherheitslücken des Systems
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Gegen bekannt gewordene und durch Veröffentlichungen zugänglich gemachte Sicherheitslücken
müssen die erforderlichen organisatorischen und administrativen Maßnahmen ergriffen oder
zusätzliche Sicherheitshardware bzw. Sicherheitssoftware eingesetzt werden.
Es ist daher sehr wichtig, sich über neu bekannt gewordene Schwachstellen zu informieren.
Informationsquellen:
-
Bundesamt für Sicherheit in der Informationstechnik (BSI), Postfach 20 03 63, 53133
Bonn, Telefon: (0228) 9582-444, Fax -427, E-Mail: cert@bsi.de
BSI-Mailbox: (0228) 9580971 (weitere Informationen zur Mailbox: s. Anhang)
-
Hersteller bzw. Vertreiber des Betriebssystems informieren registrierte Kunden über
bekannt gewordene Sicherheitslücken ihrer Systeme und stellen korrigierte Varianten des
Systems oder Patches zur Behebung der Sicherheitslücken zur Verfügung.
-
Computer Emergency Response Teams (CERT) sind Organisationen, die über bekannt
gewordene Betriebssystemfehler und deren Behebungsmöglichkeiten informieren.
Computer Emergency Response Team / Coordination Center (CERT/CC), Software
Engineering Institute, Carnegie Mellon University, Pittsburgh, PA 15213-3890,
Tel. +1 412 268-7090 (24-Stunden-Hotline), E-Mail: cert@cert.sei.cmu.edu oder
cert@cert.org, ftp: cert.sei.cmu.edu (192.88.209.5)
Die CERT-Mitteilungen werden in Newsgruppen (comp.security.announce und
info.nsfnet.cert) und über Mailinglisten (Aufnahme durch E-Mail an: cert-advisoryrequest@cert.org) veröffentlicht.
-
CERT in Deutschland:
- BSI-CERT, Bundesamt für Sicherheit in der Informationstechnik , Postfach 20 03 63,
53133 Bonn, Telefon: (0228) 9582-444, Fax -427, E-Mail: cert@bsi.de
- DFN-CERT, Universität Hamburg, Fachbereich Informatik, Vogt-Kölln-Straße 30,
22527 Hamburg, Tel. 040 54715-262, Fax -241,
E-Mail: dfncert@cert.dfn.de,
ftp: ftp.cert.dfn.de: /pub/security,
gopher: gopher.cert.dfn.de,
Aufnahme in Mailingliste für CERT-Mitteilungen durch E-Mail an: dfncertrequest@cert.dfn.de
Mailinglisten für Diskussionen: win-sec@cert.dfn.de
Mailinglisten für sicherheitsrelevante Informationen: win-sec-ssc@cert.dfn.de
URLs:
FTP: ftp://ftp.cert.dfn.de/pub/security
WWW: http://www.cert.dfn.de
- Micro-BIT Virus Center/CERT, Universität Karlsruhe, Postfach 6980, 76128 Karlsruhe,
Tel. (0721) 376422, Fax (0721) 32550,
E-Mail: cert@rz.uni-karlsruhe.de
-
hersteller- und systemspezifische sowie sicherheitsspezifische Newsgruppen
Version 1998
Teil 1 - Kapitel 6.7 - Seite 61
Heterogene Netze
-
IT-Grundschutzhandbuch
IT-Fachzeitschriften
Ergänzende Kontrollfragen:
-
Steht der Administrator in regelmäßigem Kontakt zu den Herstellern der betreuten
Systeme? Sind diese Systeme registriert? Sind Wartungsverträge abgeschlossen worden?
-
Werden alle bekannten Informationsmöglichkeiten genutzt?
-
Werden neue Informationsquellen erschlossen?
-
Werden bekannt gewordene Sicherheitslücken schnellstmöglich behoben?
Teil 1 - Kapitel 6.7 - Seite 62
Version 1998
IT-Grundschutzhandbuch
M 2.38
Heterogene Netze
Aufteilung der Administrationstätigkeiten
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Viele Netzbetriebssysteme bieten die Möglichkeit, die Administratorrolle aufzuteilen und
Administrationstätigkeiten an verschiedene Benutzer zu verteilen.
So können z. B. unter Novell Netware 3.11 die folgenden Administratorrollen eingerichtet werden: Workgroup Manager, User Account Manager, File Server Console Operator, Print Server
Operator, Print Queue Operator.
Unter Windows NT können durch die gezielte Vergabe von Benutzerrechten an einzelne Benutzer
oder besser an Gruppen definierte Administratorrollen geschaffen werden. Neben der Gruppe der
Administratoren sind hier die Gruppen Hauptbenutzer (d.h. Administratoren mit eingeschränkten
Rechten), Sicherungs-Operatoren, Druck-Operatoren, Server-Operatoren sowie ReproduktionsOperatoren zu nennen. Darüber hinaus können weitere Rollen durch explizite Zuweisung von
Benutzerrechten definiert werden (siehe auch M 4.50 Strukturierte Systemverwaltung unter
Windows NT).
Wenn es Administratorrollen für Spezialaufgaben gibt, sollte davon Gebrauch gemacht werden.
Insbesondere wenn in großen Systemen mehrere Personen mit Administrationsaufgaben betraut
werden müssen, kann das Risiko der übergroßen Machtbefugnis der Administratorrollen durch
eine entsprechende Aufgabenteilung vermindert werden, so daß Administratoren nicht unkontrolliert unautorisierte oder unbeabsichtigte Veränderungen am System vornehmen können.
Trotz des Aufteilens von Administrationstätigkeiten legt das System meist noch automatisch
einen Account für einen Administrator an, der keinen Beschränkungen unterliegt, den Supervisor.
Das Supervisor-Paßwort sollte, wenn überhaupt, nur einem kleinen Personenkreis bekannt sein.
Es darf keinem der Subadministratoren bekannt sein, damit diese nicht auf diese Weise ihre
Rechte erweitern können. Das Paßwort ist gesichert zu hinterlegen (siehe M 2.22 Hinterlegen des
Paßwortes). Das Supervisor-Login kann durch Anwendung des Vier-Augen-Prinzips zusätzlich
geschützt werden, z. B. durch organisatorische Maßnahmen wie ein geteiltes Paßwort. Dabei muß
das Paßwort eine erhöhte Mindestlänge (12 oder mehr Zeichen) haben. Hierbei muß darauf
geachtet werden, daß das Paßwort in voller Mindestlänge vom System überprüft wird.
Ergänzende Kontrollfragen:
-
Welchen Personen ist das Supervisor-Paßwort bekannt?
-
Sind Administrator-Rollen getrennt worden?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 63
Heterogene Netze
M 2.64
IT-Grundschutzhandbuch
Kontrolle der Protokolldateien
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Verantwortliche der einzelnen IT-Anwendungen, Revisor
Die Protokollierung sicherheitsrelevanter Ereignisse ist als Sicherheitsmaßnahme nur wirksam,
wenn die protokollierten Daten in regelmäßigen Abständen durch einen Revisor ausgewertet
werden. Ist es technisch nicht möglich, die Rolle eines unabhängigen Revisors für
Protokolldateien zu implementieren, kann ihre Auswertung auch durch den Administrator
erfolgen. Für diesen Fall bleibt zu beachten, daß damit eine Kontrolle der Tätigkeiten des
Administrators nur schwer möglich ist. Das Ergebnis der Auswertung sollte daher dem ITSicherheitsbeauftragten, dem IT-Verantwortlichen oder einem anderen besonders zu
bestimmenden Mitarbeiter vorgelegt werden.
Die regelmäßige Kontrolle dient darüber hinaus auch dem Zweck, durch die anschließende
Löschung der Protokolldaten ein übermäßiges Anwachsen der Protokolldateien zu verhindern.
Da Protokolldateien in den meisten Fällen personenbezogene Daten beinhalten, ist sicherzustellen,
daß diese Daten nur zum Zweck der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes verwendet werden dürfen (vgl. § 14 Abs. 4 BDSG).
Die nachfolgenden Auswertungskriterien dienen als Beispiele, die Hinweise auf eventuelle
Sicherheitslücken, Manipulationsversuche und Unregelmäßigkeiten erkennen lassen:
-
Liegen die Zeiten des An- und Abmeldens außerhalb der Arbeitszeit (Hinweis auf Manipulationsversuche)?
-
Häufen sich fehlerhafte Anmeldeversuche (Hinweis auf den Versuch, Paßwörter zu
erraten)?
-
Häufen sich unzulässige Zugriffsversuche (Hinweis auf Versuche zur Manipulation)?
-
Gibt es auffällig große Zeitintervalle, in denen keine Protokolldaten aufgezeichnet wurden
(Hinweis auf eventuell gelöschte Protokollsätze)?
-
Ist der Umfang der protokollierten Daten zu groß (eine umfangreiche Protokolldatei
erschwert das Auffinden von Unregelmäßigkeiten)?
-
Gibt es auffällig große Zeitintervalle, in denen anscheinend kein Benutzer-Wechsel stattgefunden hat (Hinweis darauf, daß das konsequente Abmelden nach Arbeitsende nicht vollzogen wird)?
-
Gibt es auffallend lange Verbindungszeiten in öffentliche Netze hinein (vgl. G 4.25 Nicht
getrennte Verbindungen)?
-
Wurde in einzelnen Netzsegmenten oder im gesamten Netz eine auffällig hohe Netzlast
oder eine Unterbrechung des Netzbetriebes festgestellt (Hinweis auf Versuche, die Dienste
des Netzes zu verhindern bzw. zu beeinträchtigen oder auf eine ungeeignete Konzeption
bzw. Konfiguration des Netzes)?
Wenn regelmäßig umfangreiche Protokolldateien ausgewertet werden müssen, ist es sinnvoll, ein
Werkzeug zur Auswertung zu benutzen. Dieses Werkzeug sollte wählbare Auswertungskriterien
zulassen und besonders kritische Einträge (z. B. mehrfacher fehlerhafter Anmeldeversuch)
hervorheben.
Teil 1 - Kapitel 6.7 - Seite 64
Version 1998
IT-Grundschutzhandbuch
Heterogene Netze
Das oben gesagte gilt analog auch für die Erhebung von Auditdaten, da es sich dabei im Prinzip
nur um die Protokollierung sicherheitskritischer Ereignisse handelt.
Ergänzende Kontrollfragen:
-
Wer wertet die Protokolldateien aus? Findet das Vier-Augen-Prinzip Anwendung?
-
Können die Aktivitäten des Administrators ausreichend kontrolliert werden?
-
Wird das IT-Sicherheitsmanagement bei Auffälligkeiten unterrichtet?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 65
Heterogene Netze
M 2.139
IT-Grundschutzhandbuch
Ist-Aufnahme der aktuellen Netzsituation
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter
Die Bestandsaufnahme der aktuellen Netzsituation ist Voraussetzung für eine gezielte Sicherheitsanalyse des bestehenden Netzes. Sie ist ebenso erforderlich für die Erweiterung eines
bestehenden Netzes. Bei der Planung von Netzen sind die im folgenden beschriebenen Punkte bei
der Konzeption zu berücksichtigen.
Hierzu ist eine Ist-Aufnahme mit einhergehender Dokumentation der folgenden Aspekte, die z. T.
aufeinander aufbauen, notwendig:
-
Netztopographie,
-
Netztopologie,
-
verwendete Netzprotokolle,
-
Kommunikationsübergänge im LAN und zum WAN sowie
-
Netzperformance und Verkehrsfluß.
In den einzelnen Schritten ist im wesentlichen folgendes festzuhalten:
Ist-Aufnahme der Netztopographie
Für die Ist-Aufnahme der Netztopographie ist die physikalische Struktur des Netzes zu erfassen.
Dabei ist es sinnvoll, sich an den räumlichen Verhältnissen zu orientieren, unter denen das Netz
aufgebaut wird. Es ist ein Plan zu erstellen bzw. fortzuschreiben, der
-
die aktuelle Kabelführung,
-
die Standorte aller Netzteilnehmer, insbesondere der verwendeten aktiven Netzkomponenten,
-
die verwendeten Kabeltypen sowie
-
die festgelegten Anforderungen an den Schutz von Kabeln (M 1.22 Materielle Sicherung
von Leitungen und Verteilern)
enthält. Zur Pflege dieses Planes ist es sinnvoll, ein entsprechendes Tool zur Unterstützung einzusetzen (z. B. CAD-Programme, spezielle Tools für Netzpläne, Kabelmanagementtools im
Zusammenhang mit Systemmanagementtools o. ä.). Eine konsequente Aktualisierung dieser Pläne
bei Umbauten oder Erweiterungen ist ebenso zu gewährleisten wie eine eindeutige und
nachvollziehbare Dokumentation (vgl. auch M 1.11 Lagepläne der Versorgungsleitungen und
M 5.4 Dokumentation und Kennzeichnung der Verkabelung).
Ist-Aufnahme der Netztopologie
Für die Ist-Aufnahme der Netztopologie ist die logische Struktur des Netzes zu betrachten. Dazu
ist es notwendig, die Segmentierung der einzelnen OSI-Schichten und ggf. die VLAN-Struktur zu
erfassen.
Anhand der Darstellung der Netztopologie muß feststellbar sein, über welche aktiven Netzkomponenten eine Verbindung zwischen zwei beliebigen Endgeräten aufgebaut werden kann.
Zusätzlich sind die Konfigurationen der aktiven Netzkomponenten zu dokumentieren, die zur
Bildung der Segmente verwendet werden. Dies können bei logischer Segmentierung die Konfi-
Teil 1 - Kapitel 6.7 - Seite 66
Version 1998
IT-Grundschutzhandbuch
Heterogene Netze
gurationsdateien sein, bei physikalischer Segmentierung die konkrete Konfiguration der Netzkomponenten.
Ist-Aufnahme der verwendeten Netzprotokolle
Bezogen auf die gewählte Segmentierung des Netzes, sind die in den einzelnen Segmenten
verwendeten Netzprotokolle und die hierfür notwendigen Konfigurationen (z. B. die MACAdressen, die IP-Adressen und die Subnetzmasken für das IP-Protokoll) festzustellen und zu
dokumentieren. Hier sollte auch dokumentiert werden, welche Dienste zugelassen sind (z. B.
HTTP, SMTP, Telnet) und welche Dienst nach welchen Kriterien gefiltert werden.
Ist-Aufnahme von Kommunikationsübergängen im LAN und WAN
Die Kommunikationsübergänge im LAN und WAN sind, soweit sie nicht in der bereits erstellten
Dokumentation enthalten sind, zu beschreiben. Für jeden Kommunikationsübergang zwischen
zwei Netzen ist zu beschreiben,
-
welche Übertragungsstrecken (z. B. Funkstrecke für eine LAN/LAN-Kopplung) hierfür
eingesetzt werden,
-
welche Kommunikationspartner und -dienste in welche Richtung hierüber zugelassen sind,
und
-
wer für die technische Umsetzung zuständig ist.
Hierzu gehört auch die Dokumentation der verwendeten WAN-Protokolle (z. B. ISDN, X.25).
Bei einem Einsatz einer Firewall (siehe Kapitel 7.3 Firewall) ist zusätzlich deren Konfiguration
(z. B. Filterregeln) zu dokumentieren.
Ist-Aufnahme der Netzperformance und des Verkehrsflusses
Es ist eine Messung der Netzperformance und eine Analyse des Verkehrsflusses in und zwischen
den Segmenten oder Teilnetzen durchzuführen. Für jedes eingesetzte Netzprotokoll müssen die
entsprechenden Messungen erfolgen.
Bei jeder Änderung der Netzsituation sind die zuletzt durchgeführten Ist-Aufnahmen zu
wiederholen. Die im Rahmen der Ist-Aufnahmen erstellte Dokumentation ist so aufzubewahren,
daß sie einerseits vor unbefugtem Zugriff geschützt ist, aber andererseits für das
Sicherheitsmanagement oder die Administratoren jederzeit verfügbar ist.
Ergänzende Kontrollfragen:
-
Werden regelmäßig Performance-Messungen und Verkehrsfluß-Analysen durchgeführt und
ausgewertet?
-
Wird die erstellte Dokumentation laufend aktualisiert?
-
Ist die Dokumentation auch für Dritte verständlich und nachvollziehbar?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 67
Heterogene Netze
M 2.140
IT-Grundschutzhandbuch
Analyse der aktuellen Netzsituation
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Netzspezialist
Diese Maßnahme baut auf den Ergebnissen der Ist-Aufnahme nach M 2.139 Ist-Aufnahme der
aktuellen Netzsituation auf und erfordert spezielle Kenntnisse im Bereich der Netztopologie, der
Netztopographie und von netzspezifischen Schwachstellen. Darüber hinaus ist Erfahrung bei der
Beurteilung der eingesetzten individuellen IT-Anwendungen hinsichtlich Vertraulichkeit,
Integrität bzw. Verfügbarkeit notwendig. Da dies ein komplexes Gebiet ist, das neben
tiefgehenden Kenntnissen in allen genannten Bereichen auch viel Zeit erfordert, kann es zur
Analyse der aktuellen Netzsituation hilfreich sein, externe Berater hinzuzuziehen. Im Bereich der
deutschen Bundesverwaltung kann hier das BSI Hilfestellung leisten.
Eine Analyse der aktuellen Netzsituation besteht im wesentlichen aus einer Strukturanalyse, einer
Schutzbedarfsfeststellung und einer Schwachstellenanalyse.
Eine Strukturanalyse besteht aus einer Analyse der nach M 2.139 Ist-Aufnahme der aktuellen
Netzsituation angelegten Dokumentationen. Die Strukturanalyse muß von einem Analyseteam
durchgeführt werden, das in der Lage ist, alle möglichen Kommunikationsbeziehungen nachzuvollziehen oder auch herleiten zu können. Als Ergebnis muß das Analyseteam die Funktionsweise des Netzes verstanden haben und über die prinzipiellen Kommunikationsmöglichkeiten
informiert sein. Häufig lassen sich bei der Strukturanalyse bereits konzeptionelle Schwächen des
Netzes identifizieren.
Eine erfolgreich durchgeführte Strukturanalyse ist unbedingte Voraussetzung für die sich
anschließende detaillierte Schutzbedarfsfeststellung bzw. der Schwachstellenanalyse.
Detaillierte Schutzbedarfsfeststellung
An die Strukturanalyse schließt sich eine Schutzbedarfsfeststellung an, die über die in Kapitel 2
genannte hinausgeht. Hier werden zusätzlich die Anforderungen an Vertraulichkeit, Verfügbarkeit
und Integrität in einzelnen Netzbereichen bzw. Segmenten berücksichtigt. Hierzu ist es notwendig
festzustellen, welche Anforderungen aufgrund der verschiedenen IT-Verfahren bestehen und wie
diese auf die gegebene Netzsegmentierung Einfluß nehmen. Als Ergebnis muß erkenntlich sein, in
welchen Netzsegmenten besondere Sicherheitsanforderungen bestehen.
Analyse von Schwachstellen im Netz
Basierend auf den bisher vorliegenden Ergebnissen erfolgt eine Analyse der Schwachpunkte des
Netzes. Hierzu gehört insbesondere bei entsprechenden Verfügbarkeitsanforderungen die
Identifizierung von nicht redundant ausgelegten Netzkomponenten (Single-Point-of-Failures).
Weiterhin müssen die Bereiche benannt werden, in denen die Anforderungen an Verfügbarkeit,
Vertraulichkeit oder Integrität nicht eingehalten werden können bzw. besonderer Aufmerksamkeit
bedürfen. Zudem ist festzustellen, ob die gewählte Segmentierung hinsichtlich Bandbreite und
Performance geeignet ist (anhand der Ergebnisse der Verkehrsflußanalyse aus M 2.139 IstAufnahme der aktuellen Netzsituation).
Beispielhafte Schwachstelle: Die Performance- und Verkehrsflußanalyse zeigt eine überlastete
aktive Netzkomponente. Für den betreffenden Kommunikationsweg wurden im Rahmen der
Schutzbedarfsfeststellung hohe Anforderungen an die Verfügbarkeit und damit auch an die Performance festgestellt. Diese Schwachstelle erfordert eine Anpassung der Segmentierung des
Netzes oder den Austausch der Netzkomponente gegen ein leistungsfähigeres Modell (siehe
Teil 1 - Kapitel 6.7 - Seite 68
Version 1998
IT-Grundschutzhandbuch
Heterogene Netze
M 5.61 Geeignete physikalische Segmentierung, M 5.62 Geeignete logische Segmentierung,
M 5.1 Auswahl einer geeigneten Backbone-Technologie und M 5.13 Geeigneter Einsatz von
Elementen zur Netzkopplung).
Ergänzende Kontrollfragen:
-
Ist die aktuelle Netzsituation hinreichend dokumentiert?
-
Steht ausreichendes "Know How" für eine Sicherheitsanalyse der Netzsituation zur Verfügung?
-
Sind die Anforderungen bezüglich der Vertraulichkeit, Verfügbarkeit und Integrität des
Netzes und der Daten definiert und dokumentiert?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 69
Heterogene Netze
M 2.141
IT-Grundschutzhandbuch
Entwicklung eines Netzkonzeptes
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter
Um den Anforderungen bezüglich Verfügbarkeit (auch Bandbreite und Performance), Vertraulichkeit und Integrität zu genügen, muß der Aufbau, die Änderung bzw. die Erweiterung eines
Netzes sorgfältig geplant werden. Hierzu dient die Erstellung eines Netzkonzeptes.
Die Entwicklung eines Netzkonzeptes unterteilt sich in einen analytischen und einen konzeptionellen Teil:
Analyse
Zunächst ist zu unterscheiden, ob ein bestehendes Netz zu erweitern bzw. zu verändern ist oder
ob das Netz vollständig neu aufgebaut werden soll.
Im ersten Fall sind vorab die Maßnahmen M 2.139 Ist-Aufnahme der aktuellen Netzsituation und
M 2.140 Analyse der Netzsituation zu bearbeiten. Im zweiten Fall entfallen diese Maßnahmen.
Stattdessen sind die Anforderungen an die Netzkommunikation zu ermitteln sowie eine
Schutzbedarfsfeststellung des zukünftigen Netzes durchzuführen.
Zur Ermittlung der Kommunikationsanforderungen ist der zukünftig zu erwartende Daten- und
Verkehrsfluß zwischen logischen oder organisatorischen Einheiten festzustellen, da die zu
erwartende Last die Segmentierung des zukünftigen Netzes beeinflussen muß. Die notwendigen
logischen
bzw.
physikalischen
Kommunikationsbeziehungen
(dienste-,
anwender-,
gruppenbezogen) sind ebenfalls zu eruieren und die Kommunikationsübergänge zur LAN/LANKopplung oder über ein WAN zu ermitteln.
Die Schutzbedarfsanforderungen des Netzes werden aus denen der geplanten oder bereits
bestehenden IT-Verfahren abgeleitet. Daraus werden physikalische und logische Segmentstrukturen gefolgert, so daß diesen Anforderungen (z. B. hinsichtlich Vertraulichkeit) durch eine
Realisierung des Netzes Rechnung getragen werden kann. Zum Beispiel bestimmt der
Schutzbedarf einer IT-Anwendung die zukünftige Segmentierung des Netzes.
Schließlich muß versucht werden, die abgeleiteten Kommunikationsbeziehungen mit den
Schutzbedarfsanforderungen zu harmonisieren. Unter Umständen sind hierzu Kommunikationsbeziehungen einzuschränken, um dem festgestellten Schutzbedarf gerecht zu werden.
Abschließend sind die verfügbaren Ressourcen zu ermitteln. Hierzu gehören sowohl Personalressourcen, die erforderlich sind, um ein Konzept zu erstellen und umzusetzen bzw. um das Netz
zu betreiben, als auch die hierfür notwendigen finanziellen Ressourcen.
Die Ergebnisse sind entsprechend zu dokumentieren.
Konzeption
Unter den oben genannten Gesichtspunkten, anhand einer Planung, die zukünftige Anforderungen
(z. B. hinsichtlich Bandbreite) mit einbezieht, sowie unter Berücksichtigung der örtlichen
Gegebenheiten, sind die Netzstruktur und die zu beachtenden Randbedingungen nach den folgenden Schritten zu entwickeln und im Konzept festzuhalten.
Die Erstellung eines Netzkonzeptes erfolgt analog M 2.139 Ist-Aufnahme der aktuellen Netzsituation und besteht danach prinzipiell aus den folgenden Schritten, wobei diese Schritte nicht in
jedem Fall streng aufeinander folgend ausgeführt werden können. In einigen Teilen beeinflussen
Teil 1 - Kapitel 6.7 - Seite 70
Version 1998
IT-Grundschutzhandbuch
Heterogene Netze
sich die Ergebnisse der Schritte gegenseitig, so daß eine regelmäßige Überprüfung und
Konsolidierung der Teilergebnisse vorgenommen werden muß.
1)
Konzeption der Netztopographie und der Netztopologie, der physikalischen und logischen
Segmentierung
2)
Konzeption der verwendeten Netzprotokolle
3)
Konzeption von Kommunikationsübergängen im LAN und WAN
In den einzelnen Schritten sind im wesentlichen die folgenden Tätigkeiten auszuführen:
Schritt 1 - Konzeption der Netztopographie und Netztopologie
Basierend auf der Analysesituation (s. o.) und den konkreten baulichen Gegebenheiten muß eine
geeignete Netztopographie und Netztopologie ausgewählt werden (siehe hierzu M 5.60 Auswahl
einer geeigneten Backbone-Technologie, M 5.2 Auswahl einer geeigneten Netz-Topographie
und M 5.3 Auswahl geeigneter Kabeltypen aus kommunikationstechnischer Sicht). Aber auch
zukünftige Anforderungen wie Skalierbarkeit müssen hier Berücksichtigung finden. Die so
erstellte Konzeption muß dokumentiert werden (Verkabelungspläne usw.).
Ausgehend von den ermittelten Anforderungen und dem zu erwartenden bzw. ermittelten
Datenfluß muß bei der Konzeption der Netztopographie und -topologie eine geeignete physikalische und logische Segmentierung durchgeführt werden (siehe M 5.61 Geeignete physikalische
Segmentierung, M 5.62 Geeignete logische Segmentierung und M 5.13 Geeigneter Einsatz von
Elementen zur Netzkopplung).
Schritt 2 - Konzeption der Netzprotokolle
In diesem Schritt sind die einzusetzenden Netzprotokolle auszuwählen und diese entsprechend zu
konzipieren. Hierzu gehört beispielsweise für das IP-Protokoll die Erstellung eines Adressierungsschemas und die Teilnetzbildung. Für die Auswahl der Netzprotokolle ist zu beachten,
daß diese durch die Netztopologie und die geplanten oder vorhandenen aktiven Netzkomponenten
unterstützt werden können.
Schritt 3 - Konzeption der Kommunikationsübergänge im LAN und WAN
Bezogen auf den ermittelten Datenfluß über Kommunikationsübergänge hinweg und die
Anforderungen bezüglich der Sicherheit und Verfügbarkeit können in diesem Schritt die
Kommunikationsübergänge konzipiert werden. Hierzu gehört die Auswahl geeigneter Koppelelemente (siehe M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung) aber auch die
sichere Konfiguration derselben (siehe Kapitel 7.3 Firewall und M 4.82 Sichere Konfiguration
der aktiven Netzkomponenten).
Weitere Schritte
Ausgehend von dem erstellten Netzkonzept können nun die Maßnahmen zur Erstellung eines
Netzmanagementkonzeptes durchgeführt werden (siehe M 2.143 Entwicklung eines Netzmanagementkonzeptes, M 2.144 Geeignete Auswahl eines Netzmanagement-Protokolls und
M 2.145 Anforderungen an ein Netzmanagement-Tool) und ein Realisierungsplan nach M 2.142
Entwicklung eines Netz-Realisierungsplanes ausgearbeitet werden.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 71
Heterogene Netze
M 2.142
IT-Grundschutzhandbuch
Entwicklung eines Netz-Realisierungsplans
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für die Erstellung eines Netz-Realisierungsplans ist zu unterscheiden, ob es sich um einen
vollständigen Neuaufbau des Netzes, um eine Veränderung der bestehenden Konzeption und/oder
eine Erweiterung handelt.
Bei einer vollständigen Neuplanung sind anhand der entwickelten Netzkonzeption (vgl. M 2.141
Entwicklung eines Netzkonzeptes) die notwendigen Schritte abzuleiten. Dabei erfolgt nach
abgeschlossener Planung der Aufbau des Netzes über das Verlegen der notwendigen
Kommunikationskabel, das Einrichten von Räumen für die technische Infrastrukur, das Installieren der versorgenden technischen Infrastruktur, die Integration der notwendigen Koppelelemente (Bridges, Switches, Router etc.), das Einrichten der Netzmanagementstationen, den
Einbau der entsprechenden Netzadapater in den Endgeräten, bis hin zur Konfiguration dieser
Endgeräte.
Soll ein bestehendes Netz verändert oder erweitert werden, ist in einem Soll/Ist-Vergleich das
nach M 2.141 Entwicklung eines Netzkonzeptes erarbeitete Netzkonzept mit der vorhandenen
Situation nach M 2.139 Ist-Aufnahme der aktuellen Netzsituation zu vergleichen. Ausgehend von
Differenzen kann unter Berücksichtigung der o. g. Maßnahmen ein Realisierungsplan für die
sogenannte Netzmigration erstellt werden. Dabei ist zu berücksichtigen, daß der Realisierungsaufwand um so größer ist, je mehr das Netzkonzept vom Ist-Zustand abweicht.
Beispielhafte Migration eines "Shared Ethernet" zu einem "Switched Fast-Ethernet"
Eine Migration von einer Netztopologie zu einer anderen erfolgt im allgemeinen stufenweise. Im
folgenden ist beispielhaft eine solche Migration von einem "Shared Ethernet" auf ein FastEthernet mit Switching-Technologie skizziert. Für eine Umsetzung in der Praxis müssen allerdings die Randbedingungen genau geprüft und entsprechend ein eigenes Migrationskonzept
erstellt werden.
-
Migrationsschritt 1
Im ersten Migrationsschritt kann das existierende Backbone durch ein Fast-EthernetBackbone ersetzt oder ggf. neu aufgebaut werden. Der Anschluß der verbleibenden Shared
Ethernet-Segmente erfolgt über die Netzkomponenten des Backbones, die dementsprechend
auch Standard-Ethernet unterstützen müssen.
-
Migrationsschritt 2
Aufbau einer strukturierten Verkabelung, d. h. es wird von einem Standard-Ethernet mit
Stichleitung zu einem Verkabelungskonzept übergegangen, bei dem jeder Arbeitsplatz
sternförmig an einen Verteilerraum angebunden wird, ohne die topologische Busstruktur
aufzugeben.
-
Migrationsschritt 3
Die Anbindung der Server erfolgt zentral an einen Switch mit Fast-Ethernet Anschlüssen
(Installation einer sogenannten Serverfarm).
Teil 1 - Kapitel 6.7 - Seite 72
Version 1998
IT-Grundschutzhandbuch
-
Heterogene Netze
Migrationsschritt 4
Anwender, die eine hohe Bandbreite benötigen, werden durch Austausch der entsprechenden Schnittstellen ebenfalls mit Fast-Ethernet angeschlossen.
-
Migrationsschritt 5
Migration der verbleibenden Ethernet-Segmente zu einem vollständig geswitchten System.
Hierzu können beispielsweise Ethernet-Switches an die Fast-Ethernet-Switches des
Backbones angebunden werden.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 73
Heterogene Netze
M 2.143
IT-Grundschutzhandbuch
Entwicklung eines Netzmanagementkonzeptes
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Netzmanagement umfaßt die Gesamtheit der Vorkehrungen und Aktivitäten zur Sicherstellung
des effektiven Einsatzes eines Netzes. Hierzu gehört beispielsweise die Überwachung der
Netzkomponenten auf ihre korrekte Funktion, das Monitoring der Netzperformance und die
zentrale Konfiguration der Netzkomponenten. Netzmanagement ist in erster Linie eine organisatorische Problemstellung, deren Lösung lediglich mit technischen Mitteln, einem Netzmanagementsystem, unterstützt werden kann. Abzugrenzen vom Netzmanagement ist das
Systemmanagement, welches sich in erster Linie mit dem Management verteilter Systeme befaßt.
Hierzu gehören beispielweise eine zentrale Verwaltung der Benutzer, Softwareverteilung,
Management der Anwendungen usw. In einigen Bereichen, wie z. B. dem Konfigurationsmanagement (dem Überwachen und Konsolidieren von Konfigurationen eines Systems oder
einer Netzkomponente) sind Netz- und Systemmanagement nicht klar zu trennen. In der ISO/IECNorm 7498-4 bzw. als X.700 der ITU-T ist ein Netz- und Systemmanagement-Framework
definiert.
Die in einem lokalen Netz zusammengefaßten vielfältigen IT-Systeme, wie z. B. Serversysteme,
Endgeräte, Drucker, aktive Netzkomponenten usw., sollten auf Netzebene an einer geeigneten
Stelle zentral administriert und überwacht werden können. Eine zentrale Administration der
Netzkomponenten ist dabei einer dezentralen vorzuziehen, da in diesem Fall
Administrationsaufwände verringert und Anforderungen an die Sicherheit zentral definiert und
kontrolliert werden können. In erster Linie wird ein zentrales Netzmanagement verwendet, um die
Verfügbarkeit und Integrität des Netzes sowie die Integrität und Vertraulichkeit der übermittelten
Daten zu gewährleisten. Diese Aufgabe hat eine hohe Komplexität und sollte durch den Einsatz
eines Netzmanagement-Tools unterstützt werden.
Vor der Beschaffung und dem Betrieb eines solchen Netzmanagement-Systems ist im ersten
Schritt ein Konzept zu erstellen, in dem alle Sicherheitsanforderungen an das Netzmanagement
formuliert und angemessene Maßnahmen für den Fehler- oder Alarmfall vorgeschlagen werden.
Dabei sind insbesondere die folgenden Aspekte Bestandteile eines Netzmanagementkonzeptes, bei
der Erstellung zu berücksichtigen und in einem Gesamtzusammenhang darzustellen.
-
Performance-Messungen zur Netzanalyse (siehe M 2.140 Analyse der aktuellen Netzsituation),
-
Reaktionen auf Fehlermeldungen der überwachten Netzkomponenten,
-
Fernwartung / Remote-Control, insbesondere der aktiven Netzkomponenten,
-
Generierung von Trouble-Tickets und Eskalation bei Netzproblemen (Hierüber kann eine
Anbindung an Systemmanagement- und User-Help-Desksysteme bzw. an externe Nachrichtenübermittler, z. B. Pager, Fax usw., erfolgen.),
-
Protokollierung und Audit (Online und/oder Offline),
-
Einbindung eventuell vorhandener proprietärer Systeme bzw. von Systemen mit unterschiedlichen Managementprotokollen (z. B. im Telekommunikationsbereich),
-
Konfigurationsmanagement aller im Einsatz befindlichen IT-Systeme (siehe u. a. M 4.82
Sichere Konfiguration der aktiven Netzkomponenten),
Teil 1 - Kapitel 6.7 - Seite 74
Version 1998
IT-Grundschutzhandbuch
-
Heterogene Netze
Verteilter Zugriff auf die Netzmanagementfunktionalitäten (Für die Administration oder
für das Audit kann ein Remotezugriff auf die Netzmanagementfunktionalitäten notwendig
sein. Hier ist insbesondere eine sorgfältige Definition und Vergabe der Zugriffsrechte
notwendig.).
Die konkreten Anforderungen an ein Netzmanagement-Tool sind in M 2.145 Anforderungen an
ein Netzmanagement-Tool beschrieben. Diese müssen eine Umsetzung des Netzmanagementkonzeptes ermöglichen.
Ergänzende Kontrollfragen:
-
Wurden alle Sicherheitsanforderungen an das Netzmanagement formuliert und dokumentiert?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 75
Heterogene Netze
M 2.144
IT-Grundschutzhandbuch
Geeignete Auswahl eines Netzmanagement-Protokolls
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Als Standardprotokolle für Netzmanagement gelten derzeit:
-
SNMP (Simple Network Management Protocol), SNMP ist in RFC 1157 beschrieben,
Request for Comment (RFC) ist die Bezeichnung für einen in der Internet-Society
etablierten Standard.
-
CMIP (Common Management Information Protocol), CMIP ist in der ITU-T-Norm X.711
bzw. in ISO/IEC 9596-1 beschrieben.
Im folgenden werden die wesentlichen Vor- und Nachteile der beiden Protokolle als Entscheidungshilfe bei der Auswahl eines Netzmanagement-Protokolls aufgezeigt.
SNMP
Für SNMP sind zwei Komponenten definiert, Manager und Agent. In einem lokalen Netz werden
ein oder eventuell mehrere Manager und je ein Agent pro IT-System, das mit SNMP überwacht
bzw. konfiguriert werden soll, installiert. Die Agenten sammeln über diese Systeme Informationen
und legen sie in einer MIB (Management Information Base) ab. Sie tauschen mit dem Manager
über ein verbindungsloses Protokoll Nachrichten aus, so daß SNMP an kein bestimmtes
Transportprotokoll gebunden ist. Es wird jedoch heute üblicherweise auf UDP/IP implementiert.
Andere Implementationen sind jedoch ebenfalls möglich und vorhanden (z. B. über OSI,
AppleTalk, SPX/IPX). SNMP gibt es in verschiedenen Versionen. Neben der Urversion SNMPv1
sind derzeit auch im geringen Umfang verschiedene Ausprägungen der Version 2 (SNMPv2) im
Einsatz (RFC 1901-1908).
Die wesentlichen Vor- und Nachteile sind:
+
SNMP zeichnet sich durch ein einfaches Design und damit auch durch eine einfache
Implementation aus. Dies reduziert die Fehleranfälligkeit und verbessert die Stabilität des
Protokolls.
+
SNMP ist sehr weit verbreitet und gilt als ein De-facto-Standard. Dadurch wird es durch
fast jedes Produkt im Netz- und Systemtechnikumfeld unterstützt.
+
Das Protokoll kann sehr einfach an zukünftige Bedürfnisse angepaßt werden. Aus diesem
Grund und der oben genannten weiten Verbreitung von SNMP kann es als sehr
zukunftssicheres Protokoll (Investitionsschutz) bezeichnet werden.
+
Es handelt sich um ein verbindungsloses, einfaches Protokoll auf Transportebene. Damit
ist die Performance der Übertragung der SNMP-Pakete im Netz besser als beim verbindungsorientierten CMIP.
−
Der Einsatz von SNMP birgt Sicherheitsrisiken, die es u. U. einem Angreifer ermöglichen,
weitgehende Informationen über die System- und Netzumgebung zu erhalten. Insbesondere
existiert, abgesehen von den Community-Namen (die bei SNMP die Möglichkeit zur
Bildung von Gruppen und einen rudimentären Paßwortschutz bieten), kein echter
Paßwortschutz beim Zugriff auf die Netzkomponenten.
−
Aufgrund der Einfachheit des Protokolls und der verfügbaren Möglichkeiten weist SNMP
Schwächen im Umgang mit sehr großen oder stark expandierenden Netzen auf.
Teil 1 - Kapitel 6.7 - Seite 76
Version 1998
IT-Grundschutzhandbuch
−
Heterogene Netze
Die Performance der Version 1 bei aufwendigeren MIB-Abfragen ist ungenügend, da
immer der gesamte MIB-Baum angegeben werden muß.
Einer der großen Nachteile der Version 1 des SNMP liegt in der fehlenden Unterstützung einer
Authentisierung beim Zugriff auf die überwachten Komponenten. Diese Nachteile gleicht die
Version 2 von SNMP zum Teil aus, zusätzlich wurde die Performance bei der Abfrage der MIBs
erhöht.
Allerdings gibt es auch in SNMPv2 bezüglich der unterstützten Sicherheit unterschiedliche
Varianten. Erst die Versionen SNMPv2* und SNMPv2u bieten die Möglichkeit einer symmetrischen benutzerbasierten Authentisierung, während SNMPv2c weiterhin auf Communities
aufbaut. Communities werden in SNMP zum einen genutzt, um die einzelnen Netzkomponenten
zu Bereichen zusammenzufassen, und zum anderen als Paßwortersatz beim Zugriff auf diese.
Hinzu kommt in SNMPv2* die Möglichkeit der Datenverschlüsselung nach dem Data Encryption
Standard im Cipher Block Chaining Modus (DES-CBC). Aufgrund der unterschiedlichen
Varianten innerhalb von SNMPv2 ist derzeit die Unsicherheit bei den Herstellern von
Netzkomponenten und Netzmanagementsystemen groß, so daß Implementierungen nach SNMPv2
noch nicht flächendeckend anzutreffen und nur eingeschränkt interoperabel sind.
Die unterschiedlichen Ausprägungen von SNMPv2 sollen in der nächsten SNMP-Version
(SNMPv3) konsolidiert werden. Die Verabschiedung von SNMPv3 ist zur Zeit in Arbeit, aber
noch nicht abgeschlossen.
Aus den oben genannten Gründen kann im Sinne des IT-Grundschutzes bislang nur der Einsatz
von SNMPv1 empfohlen werden. Werden weitergehende Anforderungen an die Sicherheit des
Netzmanagement-Protokolls bzw. an die Sicherheitsmechanismen des Netzes gestellt, muß
entweder SNMPv2u oder SNMPv2* mit benutzerbasierter Authentisierung oder CMIP eingesetzt
werden. Prinzipiell läßt sich festhalten, daß Vertraulichkeits- bzw. Authentizitätsaspekte bei den
neueren Versionen von SNMP stärker berücksichtigt werden, Bandbreitenverluste dabei jedoch in
Kauf zu nehmen sind.
CMIP
CMIP setzt im Gegensatz zu SNMP auf einem implementierten OSI-Protokollstapel (die OSISchichten1 bis 3 sind als Protokollstapel implementiert) auf und arbeitet damit auch verbindungsorientiert. Hierdurch wird die Verwendung des CMIP auf Komponenten eingeschränkt,
die die notwendigen Hard- und Softwarevoraussetzungen für die Implementation eines
vollständigen OSI-Stapels bieten. Aufgrund der hohen Anforderungen, die diese Implementation
stellt, wurde auch ein "CMIP Over TCP/IP" (CMOT) definiert (RFC 1189). Hierdurch wird es
möglich, CMIP auch in reinen TCP/IP-Netzen zu betreiben.
Eines der Ziele bei der Entwicklung des CMIP war es, ein objektorientiertens Management zu
entwickeln. CMIP ist dementsprechend konsequent objektorientiert aufgebaut. Im CMIP übernimmt eine CMIP-Maschine (CMIPM) die Aufgaben, die unter SNMP der Manager durchführt.
An diese CMIPM, die wie der SNMP-Manager als Software realisiert ist, werden von den
Agenten der zu verwaltenden Objekte Service-Requests zur Einleitung verschiedener Aktionen
geschickt und umgekehrt versendet die CMIPM CMIP-Nachrichten an die Agenten der zu verwaltenden Objekte. Die zu verwaltenden Objekte werden nach den Grundsätzen des objektorientierten Ansatzes in mehreren Bäumen verwaltet, die zueinander verschiedene Relationen und
Zugriffsarten aufweisen.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 77
Heterogene Netze
IT-Grundschutzhandbuch
Das CMIP ist aufgrund der beschriebenen Objektstruktur ein sehr leistungsfähiges und komplexes Protokoll. Das Protokoll selbst besteht dagegen aus relativ wenigen Operationen, mit
denen das gesamte Management auf der Basis der o. g. Objektstruktur ermöglicht wird.
Die wesentlichen Vor- und Nachteile sind:
+
CMIP bietet durch den objektorientierten Ansatz wesentlich mehr Möglichkeiten als
SNMP, da z. B. auch Aktionen ausgeführt und Instanzen von Management-Objekten
verwaltet werden können.
+
CMIP bietet größere Sicherheit als SNMP, insbesondere durch die Bereitstellung von
Mechanismen zum Zugriffsschutz, zur Authentisierung der Benutzer und zum Auditing.
+
CMIP ist ein durch OSI genormtes Protokoll und damit ein offizieller internationaler
Standard, während SNMP nur einen De-Facto-Standard auf RFC-Basis darstellt.
+
Die genannten Schwächen von SNMP werden vermieden.
−
CMIP ist ein sehr komplexes Protokoll, dessen gesamte Leistungsfähigkeit jedoch nur
selten benötigt und genutzt werden kann. Eine entsprechende Konfiguration des Protokolls
ist aufgrund der vielen möglichen Einstellungen nur schwer möglich und erfordert ein
erhebliches Know-how des Administrators.
−
CMIP benötigt ungefähr zehnmal soviel Systemressourcen wie SNMP. Deshalb muß eine
leistungsfähige Hardware verwendet werden, die nur in wenigen aktiven Netzkomponenten
vorhanden ist. Außerdem ist im allgemeinen eine Implementation des OSI-Protokollstapels
notwendig, der zusätzliche Ressourcen verbraucht. Eine Ausnahme bildet hier CMOT.
−
Aufgrund der Komplexität des Protokolls und der dementsprechenden Implementationen ist
CMIP potentiell fehleranfälliger als SNMP-Implementationen.
−
Von CMIP existieren derzeit nur wenig verfügbare Implementationen und es wird in der
Praxis, abgesehen vom Telekommunikationsbereich, kaum eingesetzt.
Im konkreten Fall muß detailliert geprüft werden, welches Netzmanagement-Protokoll das für den
jeweiligen Verwendungszweck geeignete darstellt. Dazu müssen die Sicherheitsanforderungen an
das Netzmanagement formuliert und abgestimmt sein. Wird der TCP/IP-Protokollstapel bereits
im lokalen Netz verwendet und sind die Sicherheitsanforderungen gering, bietet sich SNMPv1 als
Lösung an. Dennoch können höhere Sicherheitsanforderungen auch hier für den Einsatz von
SNMPv2 oder CMIP sprechen. Beim Einsatz von CMIP muß dann erwogen werden, auf
welchem Protokollstapel CMIP implementiert werden soll. Entweder auf dem OSI-Stapel (CMIP)
oder auf dem TCP/IP-Stapel (CMOT).
Zu Bedenken ist auch, daß CMIP bzw. CMOT derzeit nicht von allen aktiven Netzkomponenten
und Netzmanagementsystemen unterstützt wird. Vor dem Einsatz von CMIP ist also sorgfältig zu
untersuchen, ob die eingesetzten Komponenten und Clients CMIP-fähig sind.
Ergänzende Kontrollfragen:
-
Wurden die Sicherheitsanforderungen an das Netzmanagement formuliert und dokumentiert?
-
Wurde die Kompatibilität der aktiven Netzkomponenten und der Clients bzgl. der ausgewählten SNMP-Version bzw. zu CMIP überprüft?
Teil 1 - Kapitel 6.7 - Seite 78
Version 1998
IT-Grundschutzhandbuch
M 2.145
Heterogene Netze
Anforderungen an ein Netzmanagement-Tool
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Um ein effektives Netzmanagement durchführen zu können, ist der Einsatz eines Netzmanagement-Tools hilfreich. Derzeit stellt der Markt eine Vielzahl von Produkten für das Netzmanagement zur Verfügung, die alle hinsichtlich der eigenen individuellen Anforderungen geprüft
werden müssen, bevor eine Entscheidung zur Beschaffung eines konkreten Tools gefällt werden
kann. Dabei gilt es vor allem, die Sicherheitsanforderungen nach M 2.143 Entwicklung eines
Netzmanagementkonzeptes zu erfüllen und die folgenden Punkte zu beachten:
-
Es muß das ausgewählte Netzmanagement-Protokoll unterstützen (siehe M 2.144 Geeignete Auswahl eines Netzmanagement-Protokolls).
-
Das Produkt muß skalierbar sein, d. h. es muß an zukünftige Anforderungen angepaßt
werden können.
-
Es muß alle im lokalen Netz vorhandenen Netzkomponenten unterstützen.
-
Es muß alle im lokalen Netz eingesetzten Netzprotokolle unterstützen.
-
Es sollte modular aufgebaut sein, um auch später weitere Funktionen ohne großen Aufwand in das bestehende Netzmanagement-System integrieren zu können.
-
Es sollte eine grafische Oberfläche (Graphical User Interface, GUI) besitzen, um die
relevanten Informationen übersichtlich und verständlich darstellen zu können.
-
Werden außerdem Produkte zum Systemmanagement eingesetzt, sollte im Sinne eines
"single point of administration" eine Integration mit dem Netzmanagement unter einer
Oberfläche möglich sein.
Neben diesen allgemein zu prüfenden Anforderungen sind zusätzlich die funktionalen Anforderungen an ein Netzmanagementsystem zu definieren. Die folgenden Kriterien stellen dazu eine
Übersicht über die Möglichkeiten in aktuell verfügbaren Produkten dar, nicht alle Funktionen sind
jedoch in allen Produkten realisiert. Vor einer Produktentscheidung muß deshalb festgelegt
werden, welche Funktionen notwendig sind und welche nicht benötigt werden:
-
topologische Darstellung des Netzes (z. B. auch die Möglichkeit der Einbindung von
Hintergrundgrafiken wie Baupläne usw.),
-
wählbare Darstellungsform der Topologie,
-
topographische Darstellung des Netzes (z. B. auch die Möglichkeit der Einbindung von
Hintergrundgrafiken wie Baupläne usw.),
-
automatisches Erkennen und Abbilden der Netztopologie und Segmentierung (AutoDiscovery),
-
Anzeige der Konfiguration der aktiven Netzkomponenten auf Portebene,
-
Anzeige der Performance auf Portebene,
-
graphische Visualisierung der aktiven Netzkomponenten,
-
interaktives Tool für das Managementprotokoll (z. B. MIB-Browser),
Version 1998
Teil 1 - Kapitel 6.7 - Seite 79
Heterogene Netze
IT-Grundschutzhandbuch
-
einfache Navigation im Netzmanagement-Tool, z. B. durch Zoomfunktionen oder durch
Ausschnittsvergrößerungen,
-
eventuell Integration eines VLAN-Managers und graphische Darstellung der VLANs,
-
intuitive Bedienbarkeit der Tool-Oberfläche, insbesondere desjenigen Teils, in dem die
topologischen bzw. topographischen Abbildungen editiert werden (beispielsweise durch
"Drag & Drop"),
-
Darstellung der Fehler- und Alarmmeldungen durch frei definierbare Farben und nach
selbst zu definierenden Kriterien,
-
Möglichkeit eines verteilten Managements (Client/Server und Manager-of-Manager) und
-
Möglichkeit der Integration und Definition weiterer MIBs (Private-MIBs).
Ergänzende Kontrollfragen:
-
Wurden alle Anforderungen an ein Netzmanagement-Tool formuliert und dokumentiert?
-
Kann mit dem Netzmanagement-Tool das Netzmanagement-Konzept umgesetzt werden?
Teil 1 - Kapitel 6.7 - Seite 80
Version 1998
IT-Grundschutzhandbuch
M 2.146
Heterogene Netze
Sicherer Betrieb eines Netzmanagementsystems
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für den sicheren Betrieb eines Netzmanagementtools oder eines komplexen Netzmanagementsystems, welches beispielsweise aus mehreren verschiedenen Netzmanagementtools
zusammengesetzt sein kann, ist die sichere Konfiguration aller beteiligten Komponenten zu
überprüfen und sicherzustellen. Hierzu gehören die Betriebssysteme, auf denen das oder die
Netzmanagementsysteme betrieben werden, die zumeist notwendigen externen Datenbanken für
ein Netzmanagementsystem, das verwendete Protokoll (siehe M 2.144 Geeignete Auswahl eines
Netzmanagementprotokolls) und die aktiven Netzkomponenten selbst. Vor dem Betrieb eines
Netzmanagementsystems muß die Ermittlung der Anforderungen an den Betrieb und die
Erstellung eines Netzmanagementkonzeptes stehen (siehe M 2.143 Entwicklung eines Netzmanagementkonzeptes).
Insbesondere sind folgende Punkte zu beachten:
-
Um ein Mitlesen oder Verändern der Netzmanagement-Informationen zu verhindern, muß
der Rechner, auf dem die Netzmanagement-Konsole betrieben wird, geeignet geschützt
werden. Dazu zählen beispielsweise die Aufstellung in einem besonders geschützten Raum,
der Einsatz von Bildschirmsperren, Paßwortschutz für die Netzmanagement-Konsole und
weitere Sicherheitsmechanismen des zugrundeliegenden Betriebssystems.
-
Die Maßnahme M 2.144 Geeignete Auswahl eines Netzmanagementprotokolls ist vor dem
Hintergrund des sicheren Betriebes zu berücksichtigen. Insbesondere ist durch eine
geeignete Konfiguration der aktiven Netzkomponenten auf der Basis des verwendeten
Protokolls ein Auslesen der MIBs und anderer Informationen durch unautorisierte Personen zu verhindern (siehe M 4.80 Sichere Zugriffsmechanismen bei Fernadministration
und M 4.82 Sichere Konfiguration der aktiven Netzkomponenten).
-
Werden Netzmanagementfunktionen dezentral nach dem Client/Server-Modell oder durch
Benutzung der X-Windows-Technologie durchgeführt, muß für diese ebenfalls der sichere
Betrieb gewährleistet werden.
-
Es müssen in regelmäßigen Abständen Integritätstests der eingesetzten Software durchgeführt werden, um unautorisierte Änderungen frühzeitig zu erkennen.
-
Das Netzmanagement-System muß auf sein Verhalten bei einem Systemabsturz getestet
werden. Insbesondere sollte ein automatischer Neustart möglich sein, um die Zeitspanne, in
der das lokale Netz nicht überwacht wird, so gering wie möglich zu halten. Die Netzmanagement-Datenbank darf durch einen Systemabsturz nicht beschädigt werden und muß
nach einem Neustart wieder verfügbar sein, da die darin enthaltenen Konfigurationsdaten
wesentlich für den Betrieb des Netzmanagementsystems sind. Diese Daten müssen daher
besonders gesichert werden, damit sie einerseits noch verfügbar sind und andererseits keine
alten oder fehlerhaften Konfigurationsdaten bei einem Neustart benutzt werden, der ggf.
durch einen Angreifer aus diesem Grunde provoziert wurde. Für den Schutz der
eingesetzten Datenbank ist u. U. auch der Baustein 9.2 Datenbanken zu beachten.
-
Beim Wiedereinspielen von gesicherten Datenbeständen muß darauf geachtet werden, daß
für den sicheren Betrieb des Netzmanagement-Systems relevante Dateien wie Konfigurationsdaten, Paßwortdateien und auch die Metakonfigurationsdateien für die eigentlichen Netzkomponenten auf dem aktuellsten Stand sind.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 81
Heterogene Netze
IT-Grundschutzhandbuch
Für den sicheren Betrieb eines Netzmanagement-Systems sind folgende Daten relevant:
- Konfigurationsdaten des Netzmanagementsystems, die sich in entsprechend geschützten
Verzeichnissen befinden müssen.
- Konfigurationsdaten der Netzkomponenten (Metakonfigurationsdateien), die sich ebenfalls in entsprechend geschützten Verzeichnissen befinden müssen.
- Paßwortdateien für das Netzmanagementsystem. Hierbei ist beispielsweise auf die Güte
des Paßworts und die Möglichkeit einer verschlüsselten Speicherung des Paßworts zu
achten (siehe M 2.11 Regelung des Paßwortgebrauchs).
-
Eine Administration der aktiven Netzkomponenten über das Netz sollte dann eingeschränkt
werden und eine Administration über die lokalen Schnittstellen erfolgen, wenn die
Erfüllung der Anforderungen an Vertraulichkeit und Integrität der Netzmanagementinformationen nicht gewährleistet werden kann. In diesem Fall ist auf ein zentrales
Netzmanagement zu verzichten.
Ergänzende Kontrollfragen:
-
Wurde eine Regelung des Paßwortgebrauchs für das Netzmanagementsystems bzw. -tool
erstellt?
-
Unterstützt das Netzmanagementsystem die erforderlichen Sicherheitsmaßnahmen?
Teil 1 - Kapitel 6.7 - Seite 82
Version 1998
IT-Grundschutzhandbuch
M 3.4
Heterogene Netze
Schulung vor Programmnutzung
Verantwortlich für Initiierung: Leiter Personal, Vorgesetzte
Verantwortlich für Umsetzung: Vorgesetzte, Verfahrensverantwortliche
Durch unsachgemäßen Umgang mit IT-Anwendungen hervorgerufene Schäden können vermieden
werden, wenn die Benutzer eingehend in die IT-Anwendungen eingewiesen werden. Daher ist es
unabdingbar, daß die Benutzer vor der Übernahme IT-gestützter Aufgaben ausreichend geschult
werden. Dies betrifft sowohl die Nutzung von Standardprogrammpaketen als auch von speziell
entwickelten IT-Anwendungen.
Darüber hinaus müssen auch bei umfangreichen Änderungen in einer IT-Anwendung
Schulungsmaßnahmen durchgeführt werden.
Stehen leicht verständliche Handbücher zu IT-Anwendungen bereit, so kann anstelle der
Schulung auch die Aufforderung stehen, sich selbständig einzuarbeiten. Eine wesentliche
Voraussetzung dazu ist allerdings die Bereitstellung ausreichender Einarbeitungszeit.
Ergänzende Kontrollfragen:
-
Werden Mitarbeiter, die eine IT-gestützte Aufgabe neu übernehmen sollen, ausreichend
geschult? Wird ein Schulungsplan für die Einführung einer neuen IT-Anwendung erstellt?
-
Welche IT-Anwendungen sind seit der letzten Überprüfung neu hinzugekommen? Wie
wurden die Mitarbeiter eingearbeitet? Welche Schulungsveranstaltungen haben Mitarbeiter
seitdem besucht?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 83
Heterogene Netze
M 3.5
IT-Grundschutzhandbuch
Schulung zu IT-Sicherheitsmaßnahmen
Verantwortlich für Initiierung: Vorgesetzte, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Vorgesetzte, IT-Sicherheitsmanagement
Die überwiegende Zahl von Schäden im IT-Bereich entsteht durch Nachlässigkeit. Um dies zu
verhindern, ist jeder einzelne zum sorgfältigen Umgang mit der IT zu motivieren. Zusätzlich sind
Verhaltensregeln zu vermitteln, die ein Verständnis für die IT-Sicherheitsmaßnahmen wecken.
Insbesondere sollen folgende Themen in der Schulung zu IT-Sicherheitsmaßnahmen vermittelt
werden:
-
Sensibilisierung für IT-Sicherheit
Jeder Mitarbeiter ist auf die Notwendigkeit der IT-Sicherheit hinzuweisen. Das Aufzeigen
der Abhängigkeit der Behörde bzw. des Unternehmens und damit der Arbeitsplätze von
dem reibungslosen Funktionieren der IT-Systeme ist ein geeigneter Einstieg in die
Sensibilisierung. Darüber hinaus ist der Wert von Informationen herauszuarbeiten,
insbesondere unter den Gesichtspunkten Vertraulichkeit, Integrität und Verfügbarkeit.
Diese Sensibilisierungsmaßnahmen sind in regelmäßigen Zeitabständen zu wiederholen,
evtl. auch durch praktische Hinweise z. B. in der Hauspost.
-
Die mitarbeiterbezogenen IT-Sicherheitsmaßnahmen
Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden, die in einem
IT-Sicherheitskonzept erarbeitet wurden und von den einzelnen Mitarbeitern umzusetzen
sind. Dieser Teil der Schulungsmaßnahmen hat eine große Bedeutung, da viele
IT-Sicherheitsmaßnahmen erst nach einer entsprechenden Schulung und Motivation
effektiv umgesetzt werden können.
-
Die produktbezogenen IT-Sicherheitsmaßnahmen
Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden, die inhärent mit
einem Softwareprodukt verbunden sind und bereits im Lieferumfang enthalten sind. Dies
können neben Paßwörtern zur Anmeldung, der Pausenschaltung durch Bildschirmschoner
auch Möglichkeiten der Verschlüsselung von Dokumenten oder Datenfeldern sein.
Hinweise und Empfehlungen über die Strukturierung und Organisation von Dateien, die
Bewegungsdaten enthalten, können die Vergabe von Zugriffsrechten erleichtern und den
Aufwand zu Datensicherung deutlich reduzieren.
-
Das Verhalten bei Auftreten eines Computer-Virus auf einem PC
Hier soll den Mitarbeitern vermittelt werden, wie mit Computer-Viren umzugehen ist.
Mögliche Inhalte dieser Schulung sind (siehe M 6.23 Verhaltensregeln bei Auftreten eines
Computer-Virus):
-
Erkennen des Computer-Virusbefalls
Wirkungsweise und Arten von Computer-Viren
Sofortmaßnahmen im Verdachtsfall
Maßnahmen zur Eliminierung des Computer-Virus
Vorbeugende Maßnahmen
Teil 1 - Kapitel 6.7 - Seite 84
Version 1998
IT-Grundschutzhandbuch
-
Heterogene Netze
Der richtige Einsatz von Paßwörtern
Hierbei sollen die Bedeutung des Paßwortes für die IT-Sicherheit sowie die
Randbedingungen erläutert werden, die einen wirksamen Einsatz eines Paßwortes erst
ermöglichen (vgl. auch M 2.11 Regelung des Paßwortgebrauchs).
-
Die Bedeutung der Datensicherung und deren Durchführung
Die regelmäßige Datensicherung ist eine der wichtigsten IT-Sicherheitsmaßnahmen in
jedem IT-System. Vermittelt werden soll das Datensicherungskonzept (s. Kapitel 3.4
Datensicherungskonzept) der Behörde bzw. des Unternehmens und die von jedem
einzelnen durchzuführenden Datensicherungsaufgaben. Besonders bedeutend ist dies für
den PC-Bereich, in dem jeder Benutzer selbst die Datensicherung verantwortlich
durchführen muß.
-
Der Umgang mit personenbezogenen Daten
An den Umgang mit personenbezogene Daten sind besondere Anforderungen zu stellen.
Mitarbeiter, die mit personenbezogenen Daten (sowohl in IT-Systemen als auch in Akten)
arbeiten müssen, sind für die gesetzlich erforderlichen Sicherheitsmaßnahmen zu schulen.
Dies
betrifft
den
Umgang
mit
Auskunftsersuchen,
Änderungsund
Verbesserungswünschen der Betroffenen, gesetzlich vorgeschriebene Löschfristen, Schutz
der Vertraulichkeit und die Übermittlung der Daten.
-
Die Einweisung in Notfallmaßnahmen
Sämtliche Mitarbeiter (auch nicht unmittelbar mit IT befaßte Personen wie Pförtnerdienst
oder Wachpersonal) sind in bestehende Notfallmaßnahmen einzuweisen. Dazu gehört die
Erläuterung der Fluchtwege, die Verhaltensweisen bei Feuer, der Umgang mit
Feuerlöschern, das Notfall-Meldesystem (wer als erstes wie zu benachrichtigen ist) und der
Umgang mit dem Notfall-Handbuch.
-
Vorbeugung gegen Social Engineering
Die Mitarbeiter sollen auf die Gefahren des Social Engineering hingewiesen werden. Die
typischen Muster solcher Versuche, über gezieltes Aushorchen an vertrauliche
Informationen zu gelangen, ebenso wie die Methoden, sich dagegen zu schützen, sollten
bekannt gegeben werden. Da Social Engineering oft mit der Vorspiegelung einer falschen
Identität einhergeht, sollten Mitarbeiter regelmäßig darauf hingewiesen werden, die
Identität von Gesprächspartnern zu überprüfen und insbesondere am Telefon keine
vertraulichen Informationen weiterzugeben.
Ergänzende Kontrollfragen:
-
Welche Themen bzgl. IT-Sicherheitsmaßnahmen wurden schon geschult?
-
Werden neue Mitarbeiter entsprechend in die IT-Sicherheitsmaßnahmen eingewiesen?
-
Welche Schulungsmaßnahmen werden in welchen Intervallen angeboten?
-
Decken die Inhalte der Schulungsmaßnahmen die erforderlichen Gebiete ab?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 85
Heterogene Netze
M 3.10
IT-Grundschutzhandbuch
Auswahl eines vertrauenswürdigen Administrators und Vertreters
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter Personal, Leiter IT, TKAnlagen-Verantwortlicher, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Den IT-System- oder TK-Anlagen-Administratoren und deren Vertretern muß vom Betreiber
großes Vertrauen entgegengebracht werden können. Sie haben - in Abhängigkeit vom eingesetzten
System - weitgehende und oftmals alle Befugnisse. Administratoren und ihre Vertreter sind in der
Lage, auf alle gespeicherten Daten zuzugreifen, ggf. zu verändern und Berechtigungen so zu
vergeben, daß erheblicher Mißbrauch möglich wäre.
Das hierfür eingesetzte Personal muß sorgfältig ausgewählt werden. Es soll regelmäßig darüber
belehrt werden, daß die Befugnisse nur für die erforderlichen Administrationsaufgaben verwendet
werden dürfen.
Ergänzende Kontrollfragen:
-
Wie wurde die Zuverlässigkeit des Administrators bzw. seines Stellvertreters festgestellt?
Teil 1 - Kapitel 6.7 - Seite 86
Version 1998
IT-Grundschutzhandbuch
M 3.11
Heterogene Netze
Schulung des Wartungs- und Administrationspersonals
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter Personal, Leiter IT, TKAnlagen-Verantwortlicher, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Vorgesetzte
Das Wartungs- und Administrationspersonal sollte mindestens soweit geschult werden, daß
-
alltägliche Administrationsarbeiten selbst durchgeführt,
-
einfache Fehler selbst erkannt und behoben,
-
Datensicherungen selbsttätig durchgeführt und
-
die Eingriffe von externem Wartungspersonal nachvollzogen
werden können.
Entsprechende Schulungen werden in der Regel von den Herstellern der IT-Systeme bzw. TKAnlagen angeboten. Administratoren von TK-Anlagen sollten außerdem in der Lage sein,
-
das Betriebsverhalten der TK-Anlage mit Hilfe der Kontrollanzeigen an den Geräten zu
beurteilen,
-
die TK-Anlage selbständig außer- und in Betrieb nehmen zu können.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 87
Heterogene Netze
M 4.7
IT-Grundschutzhandbuch
Änderung voreingestellter Paßwörter
Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher,
Leiter IT
IT-Sicherheitsmanagement,
Verantwortlich für Umsetzung: Administrator
Viele IT-Systeme, TK-Anlagen und Netzkoppelelemente (bspw. ISDN-Router, Sprach-DatenMultiplexer etc.) besitzen nach der Auslieferung durch den Hersteller noch voreingestellte
Standardpaßwörter. Diese sollten als erstes durch individuelle Paßwörter ersetzt werden. Hierbei
sind die einschlägigen Regeln für Paßwörter zu beachten (vgl. M 2.11 Regelung des
Paßwortgebrauchs).
Achtung: Bei einigen TK-Anlagen werden vorgenommene Änderungen der Konfiguration nur im
RAM abgelegt. Dies gilt auch für Paßwortänderungen. Daher ist nach einer solchen Operation
stets eine Datensicherung vorzunehmen und eine neue Sicherungskopie zu erstellen. Unterbleibt
dies, so ist nach einem "Restart" der Anlage wieder das Standardpaßwort gültig. Weiterhin sollte
überprüft werden, ob nach Einrichten eines neuen Paßworts das Standardpaßwort tatsächlich
seine Gültigkeit verloren hat und nicht weiterhin für den Systemzugang genutzt werden kann.
Ergänzende Kontrollfragen:
-
Ist die Anlage noch mit einem Standardpaßwort versehen?
-
Wurden die Sicherungskopien nach der Vergabe und Speicherung des individuellen Paßworts angelegt?
-
Ist der Systemzugang mit dem Standardpaßwort nach der Eingabe eines neuen Paßworts
weiterhin möglich?
-
Werden die einschlägigen Regeln zum "Paßwort-Handling" beachtet?
Teil 1 - Kapitel 6.7 - Seite 88
Version 1998
IT-Grundschutzhandbuch
M 4.15
Heterogene Netze
Gesichertes Login
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Es sollte ein Login-Programm verwendet bzw. Optionen aktiviert werden, so daß die folgenden
Maßnahmen durchgeführt werden können:
-
Die Anzahl erfolgloser Login-Versuche wird beschränkt.
-
Nach jedem erfolglosen Login-Versuch vergrößert sich die Wartezeit bis zur nächsten
Login-Aufforderung. Nach einer bestimmten Anzahl von Fehlversuchen wird der Account
und / oder das Terminal gesperrt. Dabei ist zu bedenken, daß dadurch nicht der
Administrator ausgesperrt werden darf, es muß ihm an der Konsole eine Zugangsmöglichkeit offen bleiben (siehe auch M 1.32 Geeignete Aufstellung von Konsole, Geräten mit
austauschbaren Datenträgern und Druckern).
-
Der Zeitpunkt des letzten erfolgreichen Logins wird dem Benutzer beim Login gemeldet.
-
Erfolglose Login-Versuche werden dem Benutzer beim Login gemeldet. Eventuell sollte
diese Meldung bei mehreren darauffolgenden Logins wiederholt werden.
-
Der Zeitpunkt des letzten Logouts wird dem Benutzer beim Login gemeldet. Hierbei wird
zwischen Logouts zu einem interaktiven Login und solchen zu einem nicht-interaktiven
Login (Logout von Hintergrundprozessen) unterschieden.
-
Für das Login über Netze, in denen Paßwörter unverschlüsselt übertragen werden,
empfiehlt sich die zusätzliche Verwendung von Einmalpaßwörtern (siehe auch M 5.34
Einsatz von Einmalpaßwörtern).
Ergänzende Kontrollfragen:
-
Sind die Benutzer darauf hingewiesen worden, den Zeitpunkt des letzten erfolgreichen
Logins auf Plausibilität zu überprüfen?
-
Wie häufig werden erfolglose Login-Versuche dem Benutzer gemeldet?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 89
Heterogene Netze
M 4.24
IT-Grundschutzhandbuch
Sicherstellung einer konsistenten Systemverwaltung
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Administrator
In vielen komplexen IT-Systemen, z. B. unter Unix oder in einem Netz, gibt es eine Administratorrolle, die keinerlei Beschränkungen unterliegt. Unter Unix ist das der Super-User root, in
einem Novell-Netz der SUPERVISOR. Durch fehlende Beschränkungen ist die Gefahr von
Fehlern oder Mißbrauch besonders hoch.
Um Fehler zu vermeiden, soll unter dem Super-User-Login nur gearbeitet werden, wenn es
notwendig ist; andere Arbeiten soll auch der Administrator nicht unter der Administrator-Kennung erledigen. Insbesondere dürfen keine Programme anderer Benutzer unter der AdministratorKennung aufgerufen werden. Ferner sollte die routinemäßige Systemverwaltung (zum Beispiel
Backup, Einrichten eines neuen Benutzers) nur menügesteuert durchgeführt werden können.
Durch Aufgabenteilung, Regelungen und Absprache ist sicherzustellen, daß Administratoren
keine inkonsistenten oder unvollständigen Eingriffe vornehmen. Zum Beispiel darf eine Datei
nicht gleichzeitig von mehreren Administratoren editiert und verändert werden, da dann nur die
zuletzt gespeicherte Version erhalten bleibt.
Wenn die Gefahr des Abhörens von Leitungen zwischen Konsole und Terminals besteht, darf der
Administrator nur an der Konsole arbeiten, damit keine Paßwörter abgehört werden können.
Für alle Administratoren sind zusätzliche Benutzer-Kennungen einzurichten, die nur über die
eingeschränkten Rechte verfügen, die die Administratoren zur Aufgabenerfüllung außerhalb der
Administration benötigen. Für Arbeiten, die nicht der Administration dienen, sollen die
Administratoren ausschließlich diese zusätzliche Benutzer-Kennungen verwenden.
Ergänzende Kontrollfragen:
-
Wie ist sichergestellt, daß Eingriffe des Administrators nicht zu Inkonsistenzen führen?
-
Werden vor größeren Eingriffen Backups gefahren?
-
Haben alle Administratoren eine zusätzliche Benutzer-Kennung mit eingeschränkten
Rechten?
-
Werden standardmäßig die zusätzlichen Benutzer-Kennungen benutzt?
Teil 1 - Kapitel 6.7 - Seite 90
Version 1998
IT-Grundschutzhandbuch
M 4.79
Heterogene Netze
Sichere Zugriffsmechanismen bei lokaler Administration
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Bei einigen aktiven Komponenten kann über einen lokalen Zugriff die Administration der
Komponenten erfolgen. Solch ein lokaler Zugriff ist zumeist über einen seriellen Anschluß
(üblicherweise eine V.24 bzw. EIA-232-E Schnittstelle) realisiert. Für einen sicheren lokalen
Zugriff sind die folgenden Maßnahmen zu beachten:
-
Die aktiven Netzkomponenten und ihre Peripheriegeräte, wie z. B. angeschlossene Terminals, müssen sicher aufgestellt werden (siehe M 1.29 Geeignete Aufstellung eines ITSystems),
-
der lokale Zugriff zur Administration der lokalen Komponenten muß softwaretechnisch
und/oder mechanisch gesperrt werden,
-
eine eventuell vorhandenes Standardpaßwort des lokalen Zugriffs muß sofort nach Inbetriebnahme geändert werden (zur Auswahl des neuen Paßwortes siehe M 2.11 Regelung
des Paßwortgebrauchs),
-
die Sicherheitseigenschaften dauerhaft angeschlossener Terminals oder Rechner, wie z. B.
automatische Bildschirmsperre oder Auto-Logout, sind zu aktivieren (siehe M 5.11
Konsolen der Server und aktiven Netzkomponenten sperren).
Eine lokale Administration bietet folgende Vorteile:
-
Die Gefahr des Abhörens von Paßwörtern wird reduziert.
-
Auch bei einem Ausfall des Netzsegmentes, in dem sich die aktive Komponente befindet,
oder bei einem Ausfall des gesamten Netzes ist eine Administration weiterhin möglich.
Eine lokale Administration bietet allerdings auch folgende Nachteile:
-
Aktive Netzkomponenten können im allgemeinen so konfiguriert werden, daß eine lokale
oder eine zentrale Administration der aktiven Netzkomponenten möglich ist. Für die
Auswahl der Konfigurationsmethode kann jedoch keine generelle Empfehlung gegeben
werden. Zu berücksichtigen ist jedoch, daß bei der Konfiguration für eine ausschließlich
lokale Administration keine zentrale Administration der aktiven Netzkomponenten mehr
möglich ist. Diese muß dann immer vor Ort direkt an den entsprechenden Komponenten
vorgenommen werden. In diesem Fall erhöht sich auch die Reaktionszeit im Störungsfall,
da unter Umständen längere Wege bis zum Standort der Komponente zurückzulegen sind.
-
Der lokale Zugriff ist durch die Realisierung über eine V.24 bzw. EIA-232-E Schnittstelle
im allgemeinen langsamer als ein Fernzugriff über das Netz.
Ergänzende Kontrollfragen:
-
Sind die Standardpaßwörter für den lokalen Zugriff gegen sichere ausgetauscht worden?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 91
Heterogene Netze
M 4.80
IT-Grundschutzhandbuch
Sichere Zugriffsmechanismen bei Fernadministration
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Einige aktive Netzkomponenten können über einen Netzzugriff fernadministriert oder überwacht
werden. Der Zugriff erfolgt entweder über verbindungsorientierte oder verbindungslose
Protokolle. Hierzu gehören:
-
Protokolle zur reinen Datenübertragung, beispielsweise um neue Firmware-Versionen oder
Konfigurationsdateien zu übertragen, z. B. FTP, TFTP (von letzterem wird prinzipiell
abgeraten) oder RCP (siehe auch M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten),
-
Protokolle zur interaktiven Kommunikation, z. B. Telnet,
-
Protokolle für das Netzmanagement, z. B. SNMP oder CMIP.
Bei allen Zugriffsarten ist dafür Sorge zu tragen, daß kein unautorisierter Zugriff erfolgen kann.
Hierzu sind die Standardpaßwörter bzw. Community-Namen der Netzkomponenten gegen sichere
Paßwörter bzw. Community-Namen auszutauschen (siehe M 4.82 Sichere Konfiguration der
aktiven Netzkomponenten). Die Kopplung von Community-Namen und Paßwort betrifft bei
vielen aktiven Netzkomponenten die Protokolle FTP, Telnet, SNMP und CMIP. Einige
Komponenten bieten auch die Möglichkeit, den Zugriff auf der Basis von MAC- oder IPAdressen zu beschränken. Soweit möglich, sollte diese Option genutzt werden, um den Zugriff
nur von dedizierten Managementstationen aus zu gestatten.
Protokolle zur Datenübertragung (TFTP, FTP, RCP) sollten nur von der Netzkomponente selbst
aus initiiert werden können. Dies trifft insbesondere für nicht authentifizierende Protokolle wie
TFTP zu. Für interaktive Kommunikationsprotokolle (Telnet) sollte die Auto-Logout-Option der
Netzkomponente aktiviert werden.
Bei den meisten der genannten Protokollen ist zu beachten, daß die Übertragung der Paßwörter
bzw. Community-Namen im Klartext erfolgt, also prinzipiell abgehört werden kann (siehe hierzu
M 5.61 Geeignete physikalische Segmentierung und M 5.62 Geeignete logische Segmentierung)
Beispiel: Die bei SNMP standardmäßig voreingestellten Community-Namen “public” und
“private” sollten gegen andere Namen ausgetauscht werden.
Ergänzende Kontrollfragen:
-
Wurden alle Standardpaßwörter und Community-Namen gegen sichere selbstgewählte
ausgetauscht?
-
Können Datenübertragungen nur von den Netzkomponenten aus initiiert werden?
Teil 1 - Kapitel 6.7 - Seite 92
Version 1998
IT-Grundschutzhandbuch
M 4.81
Heterogene Netze
Audit und Protokollierung der Aktivitäten im Netz
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Revisor, Auditor
Eine angemessene Durchführung von Protokollierung, Audit und Revision ist ein wesentlicher
Faktor der Netzsicherheit.
Eine Protokollierung innerhalb eines Netzmanagementsystems oder an bestimmten aktiven
Netzkomponenten erlaubt es, gewisse (im allgemeinen zu definierende) Zustände für eine spätere
Auswertung abzuspeichern. Typische Fälle, die protokolliert werden können, sind z. B. die
übertragenen fehlerhaften Pakete an einer Netzkomponente, ein unautorisierter Zugriff auf eine
Netzkomponente oder die Performance eines Netzes zu bestimmten Zeiten. Eine Auswertung
solcher Protokolle mit geeigneten Hilfsmitteln erlaubt beispielsweise einen Rückschluß, ob die
Bandbreite des Netzes den derzeitigen Anforderungen genügt, oder die Erkennung von
systematischen Angriffen auf das Netz.
Unter einem Audit wird die Verwendung eines Dienstes verstanden, der insbesondere sicherheitskritische Ereignisse betrachtet. Dies kann online oder offline erfolgen. Bei einem OnlineAudit werden die Ereignisse mit Hilfe eines Tools (z. B. einem Netzmanagementsystem) in
Echtzeit betrachtet und ausgewertet. Bei einem Offline-Audit werden die Daten protokolliert oder
aus einer bestehenden Protokolldatei extrahiert. Zu den mit Hilfe eines Offline-Audits
überwachten Faktoren gehören häufig auch Daten über Nutzungszeiten und angefallene Kosten.
Bei der Revision werden die beim (Offline-) Audit gesammelten Daten von einem oder mehreren
unabhängigen Mitarbeitern (4-Augen-Prinzip) überprüft, um Unregelmäßigkeiten beim Betrieb
der IT-Systeme aufzudecken und die Arbeit der Administratoren zu kontrollieren.
Die mit einem Netzmanagement-System möglichen Protokollierungs- und Audit-Funktionen sind
in einem sinnvollen Umfang zu aktivieren. Neben Performance-Messungen zur Überwachung der
Netzlast sind dabei insbesondere die Ereignisse (Events) auszuwerten, die von einem
Netzmanagement-System generiert werden, oder spezifische Datensammler (z. B. RMONProbes) einzusetzen, mit denen sicherheitskritische Ereignisse überwacht und ausgewertet werden
können.
Bei der Protokollierung fallen zumeist sehr viele Einträge an, so daß diese nur mit Hilfe eines
Werkzeuges sinnvoll ausgewertet werden können. Beim Audit liegt die Fokusierung auf der
Überwachung von sicherheitskritischen Ereignissen. Zusätzlich werden beim Audit häufig auch
Daten über Nutzungszeiträume und anfallende Kosten erhoben.
Dabei sind für ein Audit insbesondere folgende Vorkommnisse von Interesse:
-
Daten über die Betriebsdauer von IT-Systemen (wann wurde welches IT-System ein- bzw.
wieder ausgeschaltet?),
-
Zugriffe auf aktive Netzkomponenten (wer hat sich wann angemeldet?),
-
sicherheitskritische Zugriffe auf Netzkomponenten und Netzmanagementkomponenten mit
oder ohne Erfolg,
-
Verteilung der Netzlast über die Betriebsdauer eines Tages oder eines Monats und die
allgemeine Performance des Netzes.
Weiterhin sollten folgende Vorkommnisse protokolliert werden:
Version 1998
Teil 1 - Kapitel 6.7 - Seite 93
Heterogene Netze
IT-Grundschutzhandbuch
-
Hardware-Fehlfunktionen, die zu einem Ausfall eines IT-Systems führen können,
-
Unzulässige Änderungen der IP-Adresse eines IT-Systems (in einem TCP/IP-Umfeld).
Ein Audit kann sowohl online als auch offline betrieben werden. Bei einem Online-Audit werden
entsprechend kategorisierte Ereignisse direkt dem Auditor mitgeteilt, der ggf. sofort Maßnahmen
einleiten kann. Dafür müssen Ereignisse in geeignete Kategorien eingeteilt werden, damit der
zuständige Administrator oder Auditor auf wichtige Ereignisse sofort reagieren kann und nicht
unter einer Flut von Informationen den Überblick verliert. Ist Rollentrennung notwendig? Bei
einem Offline-Audit werden die Daten aus den Protokolldateien oder speziellen Auditdateien mit
Hilfe eines Werkzeuges für Auditzwecke aufbereitet und durch den Auditor überprüft. Im
letzteren Fall können Maßnahmen zur Einhaltung oder Wiederherstellung der Sicherheit nur
zeitverzögert eingeleitet werden. Im allgemeinen wird eine Mischform aus Online- und OfflineAudit empfohlen. Dabei werden für das Online-Audit die sicherheitskritischen Ereignisse gefiltert
und dem Auditor sofort zur Kenntnis gebracht. Zusätzlich werden weniger kritische Ereignisse
offline ausgewertet.
Für Protokollierung und Audit können die Standard-Managementprotokolle, wie z. B. SNMP und
das darauf aufsetzende RMON, aber auch spezifische Protokolle des eingesetzten Netzmanagementproduktes verwendet werden.
Auf keinen Fall dürfen Benutzer-Paßwörter im Rahmen eines Audits oder einer Protokollierung
gesammelt werden! Dadurch wird ein hohes Sicherheitsrisiko erzeugt, falls es zu einem unberechtigten Zugriff auf diese Informationen kommt. Auch falsch eingegebene Paßwörter sollten
nicht protokolliert werden, da sie sich von den gültigen Paßwörtern meist nur um ein Zeichen
bzw. um eine Vertauschung zweier Zeichen unterscheiden.
Es muß weiterhin festgelegt werden, wer die Protokolle und Audit-Daten auswertet. Hierbei muß
eine angemessene Trennung zwischen Ereignisverursacher und -auswerter (z. B. Administrator
und Auditor) vorgenommen werden. Weiterhin ist darauf zu achten, daß die datenschutzrechtlichen Bestimmungen eingehalten werden. Für alle erhobenen Daten ist insbesondere
die Zweckbindung nach § 14 BDSG zu beachten.
Die Protokoll- oder Auditdateien müssen regelmäßig ausgewertet werden. Sie können sehr schnell
sehr umfangreich werden. Um die Protokoll- oder Auditdateien auf ein auswertbares Maß zu
beschränken, sollten die Auswertungsintervalle daher angemessen, aber dennoch so kurz gewählt
werden, daß eine sinnvolle Auswertung möglich ist.
Ergänzende Kontrollfragen:
-
Werden die aufgezeichneten Protokoll- und Auditdaten regelmäßig kontrolliert?
-
Werden die möglichen Konsequenzen sicherheitskritischer Ereignisse analysiert?
-
Werden die Benutzer-Paßwörter protokolliert?
Teil 1 - Kapitel 6.7 - Seite 94
Version 1998
IT-Grundschutzhandbuch
M 4.82
Heterogene Netze
Sichere Konfiguration der aktiven Netzkomponenten
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Neben der Sicherheit von Serversystemen und Endgeräten wird die eigentliche Netzinfrastruktur
mit den aktiven Netzkomponenten in vielen Fällen vernachlässigt. Gerade zentrale aktive
Netzkomponenten müssen jedoch sorgfältig konfiguriert werden. Denn während durch eine
fehlerhafte Konfiguration eines Serversystems nur diejenigen Benutzer betroffen sind, die die
entsprechenden Dienste dieses Systems nutzen, können bei einer Fehlkonfiguration eines Routers
größere Teilnetze bzw. sogar das gesamte Netz ausfallen oder Daten unbemerkt kompromittiert
werden.
Im Rahmen des Netzkonzeptes (siehe M 2.141 Entwicklung eines Netzkonzeptes) sollte auch die
sichere Konfiguration der aktiven Netzkomponenten festgelegt werden. Dabei gilt es insbesondere
folgendes zu beachten:
-
Für Router und Layer-3-Switching muß ausgewählt werden, welche Protokolle weitergeleitet und welche nicht durchgelassen werden. Dies kann durch die Implementation
geeigneter Filterregeln geschehen.
-
Es muß festgelegt werden, welche IT-Systeme in welcher Richtung über die Router
kommunizieren. Auch dies kann durch Filterregeln realisiert werden.
-
Sofern dies von den aktiven Netzkomponenten unterstützt wird, sollte festgelegt werden,
welche IT-Systeme Zugriff auf die Ports der Switches und Hubs des lokalen Netzes haben.
Hierzu wird die MAC-Adresse des zugreifenden IT-Systems ausgewertet und auf ihre
Berechtigung hin überprüft.
Für aktive Netzkomponenten mit Routing-Funktionalität ist außerdem ein geeigneter Schutz der
Routing-Updates erforderlich. Diese sind zur Aktualisierung der Routing-Tabellen erforderlich,
um eine dynamische Anpassung an die aktuellen Gegebenheiten des lokalen Netzes zu erreichen.
Dabei kann man zwei verschiedene Sicherheitsmechanismen unterscheiden:
-
Paßwörter
Die Verwendung von Paßwörtern schützt die so konfigurierten Router vor der Annahme
von Routing-Updates durch Router, die nicht über das entsprechende Paßwort verfügen.
Hierdurch können also Router davor geschützt werden, falsche oder ungültige RoutingUpdates anzunehmen.Der Vorteil von Paßwörtern gegenüber den anderen Schutzmechanismen ist ihr geringer Overhead, der nur wenig Bandbreite und Rechenzeit benötigt.
-
Kryptographische Prüfsummen
Prüfsummen schützen vor der unbemerkten Veränderung von gültigen Routing-Updates
auf dem Weg durch das Netz. Zusammen mit einer Sequenznummer oder einem eindeutigen Bezeichner kann eine Prüfsumme auch vor dem Wiedereinspielen alter RoutingUpdates schützen.
Die Auswahl eines geeigneten Routing-Protokolls ist die Voraussetzung für einen angemessenen
Schutz der Routing-Updates. RIP-2 (Routing Information Protocol Version 2, RFC 1723) und
OSPF (Open Shortest Path First, RFC 1583) unterstützen Paßwörter in ihrer Basis-Spezifikation
und können durch Erweiterungen auch kryptographische Prüfsummen nach dem MD5 (Message
Digest 5) Verfahren verwenden.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 95
Heterogene Netze
IT-Grundschutzhandbuch
Ergänzende Kontrollfragen:
-
Wurde bei der Erstellung des Netz-Konzeptes die sichere Konfiguration der aktiven
Netzkomponenten berücksichtigt?
-
Wird ein geeignetes Routing-Protokoll eingesetzt?
-
Wie werden die Routing-Updates geschützt?
Teil 1 - Kapitel 6.7 - Seite 96
Version 1998
IT-Grundschutzhandbuch
M 4.83
Heterogene Netze
Update/Upgrade von Soft- und Hardware im Netzbereich
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Netzadministrator
Durch ein Update von Software können Schwachstellen beseitigt oder Funktionen erweitert
werden. Dies betrifft beispielsweise die Betriebssoftware von aktiven Netzkomponenten wie z. B.
Switches oder Router, aber auch eine Netzmanagementsoftware. Ein Update ist insbesondere
dann notwendig, wenn Schwachstellen bekannt werden, die Auswirkungen auf den sicheren
Betrieb des Netzes haben, wenn Fehlfunktionen wiederholt auftauchen oder eine funktionale
Erweiterung aus sicherheitstechnischen oder fachlichen Erfordernissen notwendig wird.
Auch ein Upgrade von Hardware kann in bestimmten Fällen sinnvoll sein, wenn z. B. eine neue
Version eines Switches eine höhere Transfer- und Filterrate bietet. Durch diese Maßnahmen kann
der Grad der Verfügbarkeit, der Integrität und der Vertraulichkeit unter Umständen erhöht
werden.
Bevor jedoch ein Upgrade oder ein Update vorgenommen wird, muß die Funktionalität, die
Interoperabilität und die Zuverlässigkeit der neuen Komponenten genau geprüft werden. Dies
geschieht am sinnvollsten in einem physikalisch separaten Testnetz, bevor das Update oder
Upgrade in den produktiven Einsatz übernommen wird (siehe M 4.78 Sorgfältige Durchführung
von Konfigurationsänderungen).
Ergänzende Kontrollfragen:
-
Werden die Updates bzw. Upgrades vor einem produktiven Einsatz auf die Interoperabilität
mit den bereits vorhandenen Komponenten überprüft?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 97
Heterogene Netze
M 5.2
IT-Grundschutzhandbuch
Auswahl einer geeigneten Netz-Topographie
Verantwortlich für Initiierung: Leiter IT
Verantwortlich für Umsetzung: Netzplaner, Leiter Haustechnik
Unter der Topographie eines Netzes wird die rein physikalische Struktur eines Netzes in Form der
Kabelführung verstanden. Im Gegensatz dazu handelt es sich bei der Netz-Topologie um die
logische Struktur eines Netzes. Die Topographie und Topologie eines Netzes sind nicht
notwendig identisch. Die Topographie orientiert sich naturgemäß fast immer an den räumlichen
Verhältnissen, unter denen das Netz aufgebaut wird. Dies sind u.a.:
-
Standorte der Netzteilnehmer,
-
verfügbarer Platz für Trassen und Kabel (M 1.21 Ausreichende Trassendimensionierung),
-
erforderliche Kabeltypen (M 1.20 Auswahl geeigneter Kabeltypen unter physikalischmechanischer Sicht),
-
Anforderungen an den Schutz von Kabeln (M 1.22 Materielle Sicherung von Leitungen
und Verteilern).
Nachfolgend werden die Vor- und Nachteile möglicher Topographien aufgeführt. Weitere
denkbare Topographien, die an dieser Stelle nicht genannt sind, können als Spezialfall der
betrachteten Strukturen aufgefaßt werden.
Im allgemeinen können zwei Grundformen unterschieden werden: der Stern und der Bus. Daraus
lassen sich als Erweiterungen aus dem Stern eine baumförmige Struktur und aus dem Bus eine
ringförmige Struktur ableiten. Diese vier Formen werden im folgenden kurz dargestellt:
Stern
Bei einem Stern sind alle Teilnehmer des Netzes über eine dedizierte Leitung mit einem zentralen
Knoten verbunden. Die häufig anzutreffende Token-Ring-Architektur wird topographisch als
Stern verkabelt, bildet topologisch jedoch einen Ring.
Die Vorteile:
-
Die Beschädigung einer Leitung beeinträchtigt nur den Betrieb des daran angeschlossenen
Systems.
-
Änderungen der Zuordnung von Netzteilnehmern zum Anschlußpunkt am zentralen Knoten
sowie Trennungen einzelner Teilnehmer lassen sich zentral durchführen.
-
Mit einer Sternverkabelung können alle denkbaren logischen Topologien nachgebildet
werden.
Die Nachteile:
-
Bei einem Ausfall des zentralen Knotens fallen alle angeschlossenen IT-Systeme aus.
-
Durch die Einzelanbindung jedes Teilnehmers an den zentralen Knoten ist ein hoher
Kabelaufwand erforderlich.
-
Mit zunehmender Zahl individueller Leitungen wächst die Gefahr des Übersprechens.
-
Durch die sternförmige Verkabelung können Reichweitenprobleme in Abhängigkeit vom
verwendeten Kabeltyp und vom eingesetzten Protokoll auftreten (vgl. M 5.3 Auswahl
geeigneter Kabeltypen aus kommunikationstechnischer Sicht). In diesem Fall können
Teil 1 - Kapitel 6.7 - Seite 98
Version 1998
IT-Grundschutzhandbuch
Heterogene Netze
Verstärker (Repeater) eingesetzt werden, was jedoch u. U. bei einer hohen Zahl von
Leitungen sehr kostenintensiv ist. Hinzu kommt, daß nicht beliebig viele Verstärker in eine
Leitung geschaltet werden dürfen. Dies ist ebenfalls vom verwendeten Protokoll abhängig.
Eine andere Möglichkeit ist hier der Übergang zu einer baumförmigen Struktur.
Baum
Eine Baumstruktur entsteht durch die Verbindung mehrerer Sterne. In diesem Fall werden die
Netzteilnehmer zu Gruppen zusammengefaßt, die an dezentrale Netzknoten sternförmig angeschlossen werden. Diese dezentralen Netzknoten sind wiederum über eine Leitung oder mehrere
dedizierte Leitungen miteinander verbunden. Unter Umständen werden auch alle dezentralen
Netzknoten an einem zentralen Netzknoten zusammengeführt.
Die Vorteile:
-
Für den Anschluß der Systeme an die dezentralen Netzknoten gelten die gleichen Vorteile
wie beim Stern.
Für neue Teilnehmer muß nur im Bereich des dezentralen Netzknotens neu verkabelt
werden.
Bei entsprechender Auslegung der dezentralen Netzknoten ist ein Datenaustausch zwischen
den Teilnehmern eines solchen Knotens auch bei einem Ausfall der anderen Knoten
möglich.
Durch die Verbindung der dezentralen Knoten untereinander über eine Leitung reduziert
sich der Verkabelungsaufwand.
Zur Überwindung großer Entfernungen zwischen den Knoten reicht die Verstärkung auf
einer Leitung (Kostenersparnis).
Für die Verbindung der Knoten ist der Einsatz hochwertigerer (meist teurerer) Kabel
sinnvoll, mit denen auch größere Distanzen ohne zusätzliche Verstärkung überwunden
werden können. Das bringt gegenüber den sonst notwendigen Verstärkern Vorteile in bezug
auf Ausfallsicherheit und Kostenreduzierung.
Eine Baumstruktur ermöglicht es, durch Vermaschung der einzelnen Knoten redundante
Verbindungen aufzubauen.
Die Nachteile:
-
Bei Störung eines Übergangs zu einem anderen dezentralen Netzknoten wird der Betrieb
mit allen daran angeschlossenen Teilnehmern unterbrochen.
Bus
Bei einem Bus werden alle Netzteilnehmer an eine gemeinsame Leitung angeschlossen. Dies
geschieht im allgemeinen durch ein zentrales Kabel, an das mit Stichleitungen die einzelnen
Teilnehmer angebunden werden.
Die Vorteile:
-
Die Verkabelung reduziert sich auf ein Kabel, hinzu kommen evtl. notwendige Stichleitungen.
-
Die Nachinstallation neuer Teilnehmer erfordert im allgemeinen nur geringen Verkabelungsaufwand. Sie werden einfach an das vorhandene Buskabel angeschlossen.
-
Der Bus ist durch den Einsatz von Verstärkern einfach verlängerbar. Dabei sind jedoch die
Längenrestriktionen aufgrund des eingesetzten Kabeltyps und des verwendeten Protokolls
Version 1998
Teil 1 - Kapitel 6.7 - Seite 99
Heterogene Netze
IT-Grundschutzhandbuch
zu beachten (vgl. M 5.3 Auswahl geeigneter Kabeltypen aus kommunikationstechnischer
Sicht).
-
Ressourcen können an nahezu beliebigen Stellen am Bus angeschlossen werden.
-
Eine Busverkabelung erfordert durch das zentrale Kabel deutlich weniger Platz als eine
vergleichbare Sternverkabelung mit TP-Kabel.
Die Nachteile:
-
Störungen, die auf das Kabel wirken, beeinträchtigen den gesamten Bus.
-
Unterbrechungen des Buskabels bringen den gesamten Datenverkehr zum Erliegen.
-
Ab einer gewissen maximalen Länge und einer bestimmten Anzahl von Teilnehmern ist
keine einfache Erweiterung des Busses mehr möglich.
-
Abhängig vom Kabeltyp müssen Restriktionen beim Anschluß neuer Teilnehmer beachtet
werden (z. B. der Mindestabstand zwischen zwei Teilnehmern).
Ring
Der Ring ist aus topographischer Sicht ein Bus, dessen beide Enden miteinander verbunden sind.
Eine Sonderform des Rings besteht in der doppelten Ausführung als Doppelring, wie sie z. B. bei
FDDI Verwendung findet.
Die Vorteile:
-
Der Ring kann bei einer Leitungsunterbrechung mit gewissen Beeinträchtigungen
weiterarbeiten. Die Art der Beeinträchtigung hängt vom für den Ring verwendeten Netzzugangsprotokoll ab. Beeinträchtigungen können z. B. Bandbreitenverluste sein.
-
Die mögliche Ausführung als Doppelring ermöglicht eine zusätzliche Redundanz bzw.
Fehlertoleranz.
Die Nachteile:
-
Die verfügbaren Protokolle für Ring- und Doppelringsysteme sind beschränkt, d. h. es
können nicht alle Protokolle auf diesen eingesetzt werden. Dies kann sich für die zukünftige
Weiterentwicklung des Netzes nachteilig auswirken.
Collapsed und Distributed Backbone
Ein Collapsed Backbone ist eine spezielle Ausprägung eines Netzknotens, der innerhalb seiner
Backplane (eine lokale Hochgeschwindigkeitsverbindung innerhalb eines Gerätes) eine der o. g.
Strukturen oder eine Mischform daraus realisiert. Bei einem Collapsed Backbone werden alle
Kabel zentral zu einem Netzknoten geführt, so daß es sich im Prinzip um eine Sternverkabelung
handelt. Innerhalb des Netzknotens können nun die unterschiedlichsten Strukturen unterstützt
werden. So werden beispielsweise bei einer Baumstruktur die nötigen Verbindungswege zwischen
den dezentralen Sternen durch sehr kurze Verbindungen innerhalb des Netzknotens realisiert.
Die Vorteile:
-
Alle Kabelanschlüsse können zentral kontrolliert und verwaltet werden.
-
Es werden im allgemeinen hohe Übertragungsraten in der Backplane erreicht. Hierdurch
steht, je nach Produkt, zwischen den Segmenten die volle Netzbandbreite zur Verfügung.
Die Nachteile:
Teil 1 - Kapitel 6.7 - Seite 100
Version 1998
IT-Grundschutzhandbuch
-
Heterogene Netze
Bei einem Ausfall des Collapsed Backbones fallen alle Netzzugänge aus.
TokenRing 1
Etage 2
Etage 1
TokenRing 2
Etage 0
Koppelelement
Zentraler Backbone (Collapsed Backbone)
auf der Backplane
Bei einem Distributed Backbone sind die einzelnen Netzkomponenten, die zum Backbone
gehören, räumlich verteilt und werden durch die normale Netzinfrastruktur gekoppelt. Topographische Bäume werden beispielsweise im allgemeinen durch einen Distributed Backbone
realisiert.
Die Vorteile:
-
Bei einem Ausfall einer Netzkomponente sind nicht unbedingt alle IT-Systeme betroffen.
Die Nachteile:
-
Die Kopplung der Backbone-Komponenten erfolgt über die im Vergleich zum Collapsed
Backbone relativ langsame normale Netzverkabelung.
-
Es ist keine zentrale Administration der Backbone-Anschlüsse möglich.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 101
Heterogene Netze
IT-Grundschutzhandbuch
TokenRing 1
Brücke
Etage 2
Etage 1
TokenRing 2
Brücke
Verteilter Backbone (Distributed Backbone)
über Sekundärverkabelung
Bei der Auswahl einer geeigneten Netztopographie kann, wie bereits eingangs erwähnt, keine
allgemeingültige Empfehlung gegeben werden. Solch eine Entscheidung wird u. a. immer stark
durch bauliche Gegebenheiten beeinflußt. Allgemein üblich ist heute bei Neuinstallationen eine
strukturierte Verkabelung in Stern- oder Baumform. Hierbei ist es sinnvoll, im Backbone-Bereich
(Primär- und Sekundärbereich) Lichtwellenleiter und für die Etagenverkabelung (Tertiärbereich)
Twisted-Pair-Kabel mind. der Kategorie 5 zu verwenden. Mit Primärbereich wird dabei der
Bereich der Kabelführung, der Gebäude miteinander verbindet, bezeichnet und mit
Sekundärbereich die Verkabelung zur Verbindung der aktiven Netzkomponenten einzelner
Abschnitte innerhalb eines Gebäudes (z. B. zur Verbindung von Stockwerken).
Die Wahl dieser Medien für die einzelnen Bereiche gewährleistet aus heutiger Sicht eine
zukunftssichere Verkabelung, die auch höheren Bandbreitenanforderungen v. a. im BackboneBereich gerecht wird. Im Einzelfall ist jedoch auch zu prüfen, ob es sinnvoll oder notwendig ist,
eine Mischform aus Stern- und Ringverkabelung zu installieren. Hier bietet sich häufig die
Möglichkeit, die Primärverkabelung zwischen Gebäuden als FDDI-Doppelring und die Sekundärund Tertiärverkabelung wie o. g. als Stern- oder Baum auszuführen.
Teil 1 - Kapitel 6.7 - Seite 102
Version 1998
IT-Grundschutzhandbuch
M 5.7
Heterogene Netze
Netzverwaltung
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Netze können zentral oder lokal an den einzelnen Knoten verwaltet werden. Das ist neben den
technischen Möglichkeiten davon abhängig, wer den Netzknoten administriert. In jedem Fall ist
eine zentrale Koordinierung aller Netzaktivitäten einer Behörde oder eines Unternehmens notwendig, damit Redundanzen vermieden werden. Zentral gesteuert werden sollten:
-
die Auswahl und Verlegung der Kabel,
die Auswahl der eingesetzten IT-Systeme und Anwendungen, um Unverträglichkeiten zu
vermeiden,
die zentrale Vergabe von Netzadressen und Benutzer-IDs,
die organisatorische Zuteilung von Netzkomponenten z. B. zu Abteilungen.
Die einzelnen Netzknoten und die dort angeschlossenen IT-Systeme können auch lokal verwaltet
werden.
Die Aufgaben- und Verantwortungsbereiche der Systemverwalter müssen dabei klar spezifiziert
und eindeutig geregelt sein (siehe auch M 2.26 Ernennung eines Administrators und eines
Vertreters).
Version 1998
Teil 1 - Kapitel 6.7 - Seite 103
Heterogene Netze
M 5.12
IT-Grundschutzhandbuch
Einrichtung eines zusätzlichen Netzadministrators
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für den Fall, daß der Netzadministrator wie auch sein Stellvertreter die Administrationsaufgaben
nicht wahrnehmen können, ist Vorsorge zu treffen. Dazu ist ein zusätzlicher Benutzer
einzurichten, der über die Rechte des Netzadministrators verfügt. Die Benutzer-Kennung und das
dazugehörende Paßwort ist in einem versiegelten Umschlag sicher zu hinterlegen. Der Gebrauch
dieses Paßwortes ist zu dokumentieren und mit dem Vier-Augen-Prinzip zu kontrollieren.
Ergänzende Kontrollfragen:
-
Ist ein Ersatz-Benutzer für den Netzadministrator und seinen Stellvertreter eingerichtet
worden?
Teil 1 - Kapitel 6.7 - Seite 104
Version 1998
IT-Grundschutzhandbuch
M 5.13
Heterogene Netze
Geeigneter Einsatz von Elementen zur Netzkopplung
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Geräte zur Netzkopplung wie Router, Bridges oder Gateways verbinden nicht nur Netze, sie
können auch zur physikalischen oder logischen Segmentierung von Netzen benutzt werden. Durch
die Aufteilung von großen Netzen in Teilnetze kann z. B. die Verfügbarkeit verbessert werden, da
ein Fehler nur einen begrenzten Bereich des Netzes betrifft und dort schneller lokalisiert werden
kann. Bei zunehmender Anzahl von Netzstationen können Antwortzeiten unakzeptabel und eine
Teilnetzbildung zur Lasttrennung notwendig werden. Der Schutz von sensitiven Informationen
kann ein weiterer Grund zur Segmentierung von Netzen sein, so daß diese nicht auf dem
Gesamtnetz verfügbar sind. Um sich vor externen Angreifern zu schützen, kann es sinnvoll sein,
einen Transfer von Paketen nur vom sicheren ins unsichere Netz zuzulassen, zum Schutz von
vertraulichen Daten kann es andererseits sinnvoll sein, keinen Transfer von Paketen vom sicheren
ins unsichere Netz zuzulassen.
Die Aufteilung in Netzsegmente bzw. die Netzkopplung kann auf verschiedenen Schichten nach
dem OSI-Modell erfolgen. Netzkoppelkomponenten auf der physikalischen Schicht (Schicht 1)
des OSI-Modells sind z. B. Repeater, auf der Sicherungsschicht (Schicht 2) z. B. Bridges, auf der
Vermittlungsschicht (Schicht 3) z. B. Router und auf der Anwendungsschicht (Schicht 7) im
allgemeinen Gateways. Zum besseren Verständnis ist das OSI-Modell in der folgenden Abbildung
dargestellt.
Das OSI/ISO Referenzmodell
Eine Verbindung mit einem anderen Netz auf einer höheren Schicht (ab Schicht 3) des OSIModells ermöglicht es z. B. den Datenfluß nach Sicherheitsanforderungen zu reglementieren und
somit zu schützende und unsichere Netze kontrolliert zu verbinden.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 105
Heterogene Netze
IT-Grundschutzhandbuch
Andererseits kann das Trennen von Netzen erforderlich sein, wenn diese vor Zugriffen aus dem
jeweils anderen Netz geschützt werden sollen oder um die Verfügbarkeit der Netze im Fehlerfall
zu erhöhen bzw. die Netzlast in den jeweiligen Netzsegmenten zu verringern.
Um Manipulationen zu verhindern, müssen alle Geräte zur Netzkopplung so aufgestellt werden,
daß nur Berechtigte physikalischen Zugang haben.
Repeater
Repeater arbeiten auf der Schicht 1 des OSI-Modells und sind einfache Signalverstärker.
Dadurch erlauben sie es, die maximale Kabellänge eines bestehenden Netzsegmentes zu verlängern bzw. mehrere Netzsegmente zu verbinden. Beispielsweise kann mit ihnen beim Einsatz
von Ethernet auf Koaxialkabelbasis die maximale Kabellänge auf über 185 m bzw. auf über
500 m (für Thin- bzw. Thick-Ethernetkabel) verlängert werden. Zu beachten sind hierbei die
Konfigurationsregeln für Repeater, die die Anzahl und Anordnung von Repeatern beschränken.
Im Fall einer Twisted-Pair-Verkabelung werden Repeater häufig als zentraler oder dezentraler
Netzknoten zur Verbindung der einzelnen Netzteilnehmer eingesetzt. Da hierfür mehrere Repeater
in einem Gerät miteinander verbunden werden müssen, werden diese Geräte auch MultiportRepeater genannt. Multiport-Repeater werden häufig auch als Hubs bzw. als Mini-Hubs
bezeichnet.
Durch die somit erreichte Trennung auf der Schicht 1 des Netzes werden elektrische Fehler auf
ein Segment beschränkt. Dies gilt jedoch nicht für Fehler in höheren Schichten (z. B. zu häufige
Kollisionen oder ein Broadcast-Sturm). Von einigen Herstellern gibt es inzwischen auch
Multiport-Repeater, die Informationen aus Schicht 2 auswerten (aber noch keine Bridges sind)
und dadurch z. B. die Implementation von Zugriffsbeschränkungen erlauben. Mit solchen Geräten
läßt sich beispielsweise einstellen, daß nur bestimmte Netzteilnehmer Zugang zum Netz
bekommen.
Bridge
Die Verbindung von Netzen auf der Ebene 2 des ISO-OSI-Referenzmodells erfolgt über Bridges.
Eine Bridge verbindet zwei Netze, die in der Regel dasselbe Logical Link Control (LLC)
Protokoll benutzen, aber unterschiedliche Medium Access Control (MAC) Protokolle. Eine
Bridge kann z. B. ein Ethernet mit einem Token-Ring-Netz verbinden. Eine solche Bridge wird
dann Translation-Bridge oder T-Bridge genannt.
Hierdurch ergeben sich drei wesentliche Vorteile:
-
Die Bridge trennt Collision-Domains, d. h. performanceverringernde Kollisionen bei
CSMA/CD-basierten Netzen gelangen nicht in das andere Segment.
-
Eine Bridge leitet nur diejenigen Datenpakete in ein anderes Segment, die dort auch ihre
Zieladresse haben. Hierdurch bleibt der Datenverkehr auf das jeweils notwendige Segment
beschränkt, wodurch die Abhörsicherheit steigt.
-
Schließlich steigt dadurch auch der Datendurchsatz in jedem Segment, da auf jeder Seite
der Bridge unabhängig Daten übertragen werden können und somit eine Lasttrennung
erfolgt.
Switch (Ethernet, Token-Ring, ATM)
Ein Switch ist eine Variante einer Brücke, die mehrere logische LAN-Segmente verbindet
(Multiport-Brücke), arbeitet also auf Schicht 2 des OSI-Modells. Einige neuere Produkte
Teil 1 - Kapitel 6.7 - Seite 106
Version 1998
IT-Grundschutzhandbuch
Heterogene Netze
implementieren zusätzlich auch Switching-Funktionalität auf der Schicht 3 des OSI-Modells,
erlauben also hiermit auch eine Schicht 3 Segmentierung.
Ein Ethernet-Switch besteht aus mehreren Bridges, die auf geeignete Weise intern miteinander
verbunden sind (z. B. über eine sogenannte Switching-Matrix).
Ein Ethernet-Switch bietet die Vorteile einer Bridge für mehrere Anschlüsse (üblich sind derzeit 8
bis 32 Anschlüsse pro Switch), d. h. jeder Netzteilnehmer bzw. jedes Segment an einem
Switchanschluß bildet eine eigene Collision-Domain und der Verbindungsaufbau beruht auf den
tatsächlichen Erfordernissen. Damit kann jedes angeschlossene Segment mit allen anderen
unbeeinflußt von dem Verkehr und der Last der anderen Segmente kommunizieren, solange das
entsprechende Segment nicht bereits anderweitig belegt ist. Switches bieten sich vor allem zur
Lasttrennung und als zentrale Kopplungskomponente von mehreren Teilsegmenten an. Durch die
Kaskadierung von Switches, d. h. durch den Anschluß von nachgeordneten Switches an einen
zentralen Switch, lassen sich bei geeigneter Wahl der logischen Netzstruktur sehr leistungsfähige
Netze bilden.
Ethernet-Switches, die nach der IEEE-Norm für Bridges arbeiten, benutzen die Store-andForward-Technik. Bei dieser Technik wird zunächst das gesamte Ethernet-Paket des Quellports
eingelesen und auf Korrektheit überprüft. Nur korrekt und vollständig empfangene Pakete werden
an das Zielsegment weitergeschickt. Die Verzögerungszeit solcher Switches ist relativ hoch, sie
garantieren aber auch, daß keine fehlerhaften Pakete in andere Segmente übertragen werden. Der
Einsatz solcher Store-and-Forward-Switche ist dann zu empfehlen, wenn Wert auf maximale
Verfügbarkeit und Integrität und nicht so sehr auf Bandbreite gelegt wird.
Im Gegensatz dazu wurden alternativ Techniken entwickelt, die den Durchsatz eines EthernetSwitches erhöhen, also die Verzögerungszeit zu verkleinern, die ein zu verarbeitendes Datenpaket
erfährt. Hierzu wird die On-the-Fly-Technik (auch Cut-Through genannt) eingesetzt, die nicht
mehr das gesamte Paket einliest und überprüft, sondern lediglich die Zieladresse des Paketes
auswertet und daraufhin sofort das gesamte Paket an diese Adresse schickt. On-the-Fly-Switches
sind damit maximal um den Faktor 20 schneller als Store-and-Forward-Switches. Allerdings
leiten sie auch fehlerhafte Pakete in das andere Segment, wodurch die Bandbreite und damit u. U.
die Verfügbarkeit der einzelnen Segmente beeinträchtigt werden kann. On-the-fly-Switches sollten
also in Netzen eingesetzt werden, in denen wenig fehlerhafte Pakete auftreten können und in
denen es auf maximalen Durchsatz ankommt. Die meisten Hersteller bieten heute Switches an, die
beide Techniken beherrschen und entsprechend konfiguriert werden können.
Von einigen Produkten wird inzwischen auch ein Switching auf der Schicht 3 des OSI-Modells
unterstützt. Dabei werden die Netzteilnehmer nicht mehr nach ihrer MAC-Adresse unterschieden
(Layer-2-Switching), sondern nach den Adressen der Schicht 3 (für den TCP/IP-Protokollstapel
ist dies die IP-Adresse). Ein Layer-3-Switching kann weitere Performancevorteile bedeuten, in
diesem Fall muß aber der Switch, analog zu einem Router, die auf der Schicht 3 verwendeten
Protokolle verarbeiten können.
Switches für ATM oder Token-Ring sind funktional einem Ethernet-Switch sehr ähnlich, d. h.
auch ein Switch für diese Protokolle ermöglicht es, daß zwei Netzteilnehmer oder Netzbereiche
unabhängig von den anderen kommunizieren können. Für ATM-Netze ist durch die zugrundeliegende Konzeption der Einsatz eines Switches sogar zwingend.
Bei der Auswahl von Switches, mit denen ein Collapsed Backbone realisiert werden soll, muß die
zur Verfügung gestellte Portdichte berücksichtigt werden. Bei einem "Collapsed backbone" sollte
es vermieden werden, mehrere Switches einsetzen zu müssen, die nicht über eine gemeinsame
Version 1998
Teil 1 - Kapitel 6.7 - Seite 107
Heterogene Netze
IT-Grundschutzhandbuch
(Hochgeschwindigkeits-) Backplane verfügen (vgl. M 5.2 Auswahl einer geeigneten NetzTopographie).
Router
Router trennen bzw. verbinden Netze auf der Schicht 3 des OSI-Modells. Damit arbeiten Router
nicht mehr protokolltransparent (wie z. B. Repeater oder Bridges), sondern müssen die im Einsatz
befindlichen Protokolle auf der Vermittlungsschicht auch verarbeiten können. Dadurch
verlangsamen Router den Datenverkehr zwischen zwei verbundenen Teilnetzen merklich, da der
Router jedes Paket auf der Schicht 3 auswerten muß.
Aufgrund ihrer Fähigkeit, Protokolle zu verarbeiten und diese umzusetzen, werden Router vor
allem zur LAN-LAN-Kopplung und zur Anbindung eines LANs an ein WAN genutzt. Ein Router
kann beispielsweise zwei LANs über eine ISDN-Leitung miteinander verbinden. Hierbei wird das
LAN-Protokoll unverändert in das WAN-Protokoll eingekapselt (encapsulation) und übertragen.
Ein anderes Protokoll, das hier beispielsweise zum Einsatz kommen kann, ist das X.25-Protokoll.
In großen Netzen, in denen viele Teilnetze durch Router verbunden sind, ist eine wesentliche
Aufgabe des Routers die Wegewahl (Routing) zwischen den Teilnetzen. Hierbei können
prinzipiell zwei Verfahren unterschieden werden:
-
Das statische Routing, bei dem die Wegewahl manuell angegeben wird.
-
Das dynamische Routing, bei dem die Wegewahl durch die Router bestimmt und laufend
aktualisiert wird. Hierzu stehen mehrere Algorithmen bzw. Protokolle zur Verfügung, die
auch den Abgleich der Router untereinander gewährleisten. Die bekanntesten Protokolle
sind RIP (Routing Information Protocol), OSPF (Open Shortest Path First) und IGRP
(Interior Gateway Routing Protocol). Für die Auswahl eines geeigneten Routing-Protokolls
ist auch M 4.82 Sichere Konfiguration der aktiven Netzkomponenten zu beachten.
Weiterhin kann durch den Einsatz von Filtern eine Zugriffskontrolle gewährleistet werden, d. h.
welche Systeme mit welchen Protokollen über den Router in welche Richtung miteinander
kommunizieren dürfen
Konzentratoren und Hubs
Unter einem Hub wird eine Komponente verstanden, die eine oder mehrere aktive Netzkoppelkomponenten aufnimmt und eine Kommunikation dieser Komponenten untereinander über eine
interne Backplane (siehe auch M 5.2 Auswahl einer geeigneten Netz-Topographie) ermöglicht.
Hubs, die bei Bedarf mehrere Netzkoppelkomponenten aufnehmen können, werden als modulare
Hubs bezeichnet. Entsprechend werden Hubs, die nur aus einer Koppelkomponente bestehen und
nicht zur Aufnahme weiterer Komponenten bestimmt sind, als nicht modulare Hubs bezeichnet.
Wenn es möglich ist, die Backplanes mehrerer Hubs miteinander zu verbinden, werden diese
Hubs als stackable Hubs bezeichnet. Durch den Einsatz eines Hubs oder eines Konzentrators
erfolgt die Leitungsführung zumindest zum Teil sternförmig zu den Endgeräten, aus diesem
Grund werden Hubs oder Konzentratoren auch Sternkoppler genannt.
Wie bereits bei den Repeatern erwähnt ist die kleinste Form eines Konzentrators bzw. eines Hubs
ein Multiport-Repeater. Modulare Hubs dagegen erlauben die Aufnahme verschiedener
Koppelelemente, die selbst wiederum auf verschiedenen Schichten arbeiten können (z. B.
Repeater, Bridges und Router). Durch diese Konzentration der Netzkoppelkomponenten an einem
Ort ergeben sich Vorteile in der einfacheren Administration des Netzes, allerdings beeinflußt der
Ausfall eines solchen zentralen Hubs auch das gesamte Netz. Für diesen Fall sind geeignete
Teil 1 - Kapitel 6.7 - Seite 108
Version 1998
IT-Grundschutzhandbuch
Heterogene Netze
Vorsorge-Maßnahmen zu treffen, wie z. B. die redundante Auslegung der Netzkomponenten
(siehe M 6.53 Redundante Auslegung der Netzkomponenten).
Gateway
Ein Gateway verbindet zwei Netze auf der Anwendungsschicht (Schicht 7) des OSI-Modells.
Daher erfüllt er nicht nur die Aufgabe, ein Netzprotokoll zu konvertieren, sondern auch Daten auf
Anwendungsebene zu transportieren, gegebenenfalls zu modifizieren und unter Sicherheitsgesichtspunkten auszuwerten. Ein typisches Einsatzfeld eines Gateways ist die Kommunikation von Systemen in einem TCP/IP-Netz mit einem SNA-Host. In diesem Fall besteht das
Gateway aus einer Kombination von Hard- und Software. Es gibt jedoch auch Gateways, die nur
durch Software realisiert sind. Dies sind z. B. Mail-Gateways, die unterschiedliche Mailformate
verstehen und konvertieren können.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 109
Heterogene Netze
M 5.60
IT-Grundschutzhandbuch
Auswahl einer geeigneten Backbone-Technologie
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Die Auswahl des Netzprotokolls im Backbone-Bereich ist ein entscheidender Faktor für den
Schutz der Verfügbarkeit der Anwendungen in einem lokalen Netz, da das gewählte Protokoll die
Performance des Netzes und die zur Verfügung stehenden Bandbreiten wesentlich beeinflußt.
Falls die zugrundeliegende Verkabelung ohne die Festlegung auf bestimmte Dienste (z. B.
proprietäre Lösungen) geplant wurde (siehe G 2.45 Konzeptionelle Schwächen des Netzes), ist
prinzipiell ein Wechsel der Backbone-Technologie problemlos möglich. Dennoch verursacht dies
im allgemeinen nicht unerheblichen organisatorischen, personellen und finanziellen Aufwand.
Eine generelle Empfehlung, unter IT-Sicherheitsgesichtspunkten eine bestimmte BackboneTechnologie auszuwählen, kann nicht gegeben werden, da viele individuelle Aspekte betrachtet
werden müssen. Nachfolgend werden daher die Vor- und Nachteile der wichtigsten Netzzugangsprotokolle aufgeführt.
Es gibt die vier Basis-Technologien Ethernet, Token-Ring, FDDI und ATM, die sich wie folgt
darstellen:
Ethernet
Die Ethernet-Technologie wird im IEEE 802.3 Standard beschrieben und basiert auf dem
CSMA/CD-Zugriffsverfahren (Carrier Sense Multiple Access / Collision Detection). Bei diesem
Verfahren greifen alle Endgeräte gleichberechtigt auf das Übertragungsmedium zu, obwohl es
jeweils nur exklusiv durch ein Endgerät genutzt werden kann. Sobald ein Endgerät Daten
übertragen möchte, prüft es zunächst, ob das Medium für die Benutzung zur Verfügung steht
(Carrier Sense). Ist dies der Fall, beginnt es mit der Datenübertragung. Geschieht dies durch
mehrere Endgeräte gleichzeitig (Multiple Access), kommt es zu einer Kollision, die von den
betroffenen Endgeräten erkannt wird (Collision Detection) und zu einer erneuten Prüfung des
Mediums mit anschließender Wiederholung der Übertragung führt.
CSMA/CD ist ein stochastisches Verfahren und kann deshalb keine dedizierten Bandbreiten
zusichern. Aus diesem Grund ist es beispielsweise für Multimedia-Anwendungen weniger
geeignet, die eine feste Bandbreite benötigen. Auf Ethernet-basierten Netzen kann somit im
allgemeinen keine bestimmte Betriebsgüte (Quality of Service - QoS) zugesichert werden. Für
Gigabit-Ethernet ist ein Analogon zur QoS vorgesehen.
Es gibt drei verschiedene Varianten des Ethernet, die sich prinzipiell nur in der unterstützten
Übertragungsrate unterscheiden:
-
Standard Ethernet
Standard Ethernet ist der schon lange im Einsatz befindliche Standard und der Vorläufer
der beiden anderen Varianten. Es ist durch eine Übertragungsrate von 10 Mbit/s gekennzeichnet. Damit ist es für die meisten lokalen Netze als Backbone-Technologie ungeeignet,
da es bei steigender Netzlast sehr schnell zu einer Vielzahl an Kollisionen kommt und
dadurch der erzielbare Durchsatz immer mehr abnimmt.
-
Fast Ethernet
Aufgrund der steigenden Anzahl vernetzter Rechner und der damit verbundenen Netzlast
wurde eine Weiterentwicklung des Standard Ethernet zwingend notwendig, um den
Teil 1 - Kapitel 6.7 - Seite 110
Version 1998
IT-Grundschutzhandbuch
Heterogene Netze
gestiegenen Bedürfnissen Rechnung zu tragen. Dies führte zur Entwicklung des Fast
Ethernet mit einer Übertragungsrate von 100 Mbit/s. Dies reicht zur Zeit für die meisten
Netze im Backbone-Bereich aus und hat außerdem den Vorteil, daß die bereits etablierte
Technologie (CSMA/CD) weiter verwendet werden kann. Es müssen allerdings im allgemeinen die aktiven Netzkomponenten ausgetauscht bzw. angepaßt werden, und auch die
Verkabelung ist auf eine Eignung für Fast Ethernet zu prüfen.
-
Gigabit Ethernet
Da die Einführung von Fast Ethernet sehr erfolgreich verlief, wurde die Forderung nach
einer noch schnelleren Backbone-Technologie basierend auf Ethernet laut. Dies führte zur
Gründung der Gigabit-Ethernet-Allianz (GEA) mit mehreren namhaften Herstellern, die
eine Übertragungsrate von 1 Gbit/s erreichen wollen. Die Standardisierungsphase in
Zusammenarbeit mit der IEEE befindet sich zur Zeit kurz vor dem Abschluß. Der neue
Standard soll dann auch über eine Protokollerweiterung (Resource Reservation Protocol,
RSVP) für zeitkritische Übertragungen (z. B. im Multimediabereich) dedizierte Bandbreiten über Gigabit-Ethernet zur Verfügung stellen. Damit wird versucht, zu ATM
analoge Eigenschaften wie Quality of Service (QoS) bereitzustellen. Da der endgültige
Standard aber noch nicht verabschiedet ist, wird momentan von dieser Variante abgeraten,
um den Einsatz einer eventuell unvollständigen Implementation zu vermeiden.
Token-Ring
Die Token-Ring-Technologie wird im IEEE 802.5 Standard beschrieben und basiert auf dem
Token-Passing-Verfahren. Dabei wird ein spezielles, im Ring kreisendes Datenpaket (das
"Token") verwendet, um festzulegen, welches Endgerät das Übertragungsmedium benutzen darf.
Erhält ein Endgerät das Token, belegt es das Medium und gibt das Token an das nächste
Endgerät weiter. Hiermit ist gewährleistet, daß das Medium immer nur durch ein einziges Endgerät belegt wird.
Bei diesem deterministischen Verfahren kann es im Gegensatz zu Ethernet nicht dazu kommen,
daß einzelne Endgeräte bei hoher Netzbelastung unbestimmt lange warten müssen, bis sie senden
können. Token-Ring bietet dagegen eine fest bestimmbare maximale Wartezeit.
Ein Token-Ring-Netz ist meistens als physikalischer Doppelring ausgeführt, wodurch sich die
Verfügbarkeit des Netzes merklich erhöht, da bei einem Ausfall einer Station oder der Unterbrechung eines Ringes die fehlerhafte Stelle durch die Nutzung des zweiten Ringes überbrückt
werden kann.
Die Übertragungsrate von Token-Ring kann 4 oder 16 Mbit/s betragen, so daß mittlerweile auch
hier von einem Einsatz als Backbone-Technologie für die meisten lokalen Netze abgeraten wird.
Die zur Verfügung stehende Bandbreite ist zu gering. Mitte September 1997 wurde eine "High
Speed Token Ring Alliance" (HSTR) von mehreren namhaften Herstellern gegründet mit dem
Ziel, Übertragungsraten von 100 Mbit/s und später 1 Gbit/s zu erreichen. Dazu soll bis Mitte
1998 der IEEE 802.5 Standard erweitert werden. Da sich diese Varianten noch in der
Entwicklung befinden, kann ein Einsatz zum jetzigen Zeitpunkt nicht befürwortet werden.
FDDI
Der FDDI (Fiber Distributed Data Interface) Standard wurde 1989 vom ANSI definiert und
basiert wie Token-Ring auf dem Token-Passing-Verfahren. Allerdings kommt hier zusätzlich die
Technik des Early-Token-Release zum Einsatz, bei der das Token direkt nach dem letzten
Version 1998
Teil 1 - Kapitel 6.7 - Seite 111
Heterogene Netze
IT-Grundschutzhandbuch
Datenpaket an das nächste Endgerät weitergegeben wird. Dadurch werden die Leerlaufzeiten im
Ring reduziert und es kann eine höhere Bandbreite erreicht werden.
FDDI nutzt Lichtwellenleiter als Übertragungsmedium mit einer Übertragungsrate von
100 Mbit/s. Durch seinen hohen Durchsatz ist es ideal für den Einsatz im Backbone-Bereich.
Weitere Vorteile sind die Fehlertoleranz aufgrund der Doppelring-Topologie und die elektromagnetische Unempfindlichkeit durch die Verwendung von Lichtwellenleitern. Im Gegensatz zu
Ethernet ist FDDI auch für laufzeitabhängige Multimedia-Anwendungen geeignet, da es eine
maximale Verzögerungszeit garantieren kann.
Werden beide Ringe zur Übertragung genutzt, ist sogar eine Übertragungsrate von 200 Mbit/s
erreichbar, allerdings entfällt dann der Vorteil der höheren Fehlertoleranz, da beim Ausfall eines
Ringes nicht mehr automatisch auf den anderen Ring ausgewichen werden kann.
FDDI-Komponenten sind jedoch teurer als Ethernet-Komponenten vergleichbarer Funktion, so
daß der erzielbare Nutzen durch den Einsatz von FDDI immer den entstehenden Kosten gegenübergestellt werden muß.
FDDI kann auch auf Kupferkabeln betrieben werden und wird dann CDDI (Copper Distributed
Data Interface) genannt.
ATM
ATM steht als Abkürzung für Asynchronous Transfer Mode. Hinter diesem Begriff verbirgt sich
ein Übertragungsverfahren, das sich sehr gut für den Einsatz im Backbone-Bereich eines Netzes
eignet und dort auch Echtzeit-Dienste bereitstellen kann.
Bei ATM werden alle Arten von Informationen in Paketen mit fester Länge befördert, die als
Zellen bezeichnet werden. Dabei kann es sich um beliebige Daten, wie z. B. auch Audio- und
Video-Daten handeln. Durch die einheitliche Länge der Pakete wird es ermöglicht, daß die ATMSwitches die Verarbeitung der Zellen fast vollständig durch Hardware-Komponenten durchführen
und somit einen höheren Durchsatz erreichen können. Dadurch entsteht eine kalkulierbare
Verzögerung bei der Übertragung beliebiger Informationen, so daß für einzelne Anwendungen
garantierte Bandbreiten vergeben werden können. Damit ist ATM eine gut geeignete Technologie
für Multimedia-Anwendungen, da ein berechenbares Echtzeitverhalten und damit Quality of
Service (QoS) garantiert werden kann. Dies bedeutet, daß jedem angeschlossenen Gerät statisch
oder dynamisch die benötigte Bandbreite zugeordnet werden kann.
Die Übertragung selbst beruht auf dem Prinzip der virtuellen Verbindungen. Dabei werden keine
festen Kanäle zwischen den beteiligten Endgeräten geschaltet, vielmehr werden die Zellen erst
zum Zeitpunkt ihrer Erzeugung über einen vorher festgelegten Weg durch das Netz transportiert.
Die so erreichbaren Übertragungsraten liegen typischerwiese bei 25 MBit/s, 155 MBit/s oder
622 MBit/s.
ATM-Komponenten sind allerdings derzeit noch sehr teuer, so daß eine Integration mit den im
lokalen Netz bereits vorhandenen Komponenten anderer Technologien aus Gründen des
Investitionsschutzes angestrebt werden sollte. ATM unterstützt jedoch keine Broadcasts oder die
Benutzung von MAC-Adressen, was jedoch Voraussetzung für die Nutzung der meisten
Protokollstapel wie TCP/IP oder SPX/IPX ist. Dazu existieren drei verschiedene Lösungsansätze:
Teil 1 - Kapitel 6.7 - Seite 112
Version 1998
IT-Grundschutzhandbuch
-
Heterogene Netze
Classical IP-over-ATM (CIP)
Für die Verwendung von IP über ATM wurde RFC 1577 (Classical IP-over-ATM) entwickelt, welches Endgeräten mit TCP/IP-Protokollstapel erlaubt, ATM als Transportmedium zu nutzen.
-
LAN Emulation (LANE)
Hier werden auf Schicht 2 des OSI-Modells alle relevanten LAN-Technologien für die
Clients emuliert, für die sich ATM dann z. B. als Ethernet oder Token-Ring-Netz darstellt.
Damit wird eine Kommunikation zwischen konventionellem LAN und ATM möglich.
-
Multiprotocol-over-ATM (MPOA)
MPOA ist prinzipiell eine Weiterentwicklung des klassischen ATM und LANE. Im
Gegensatz zu LANE arbeitet MPOA auf der Schicht 3 des OSI-Modells und benutzt
LANE zur Übertragung auf der Schicht 2. MPOA implementiert also sowohl Bridging
(Schicht 2) als auch Routing (Schicht 3) und kann somit ein voll geroutetes ATM-Netz
konfigurieren. Gleichzeitig bleiben jedoch alle Vorteile der ATM-Technologie, wie z. B.
die garantierten Bandbreiten für bestimmte Anwendungen, erhalten.
Weiterhin ist zu beachten, daß z. Z. zwischen ATM-Komponenten verschiedener Hersteller keine
Kompatibilität bzw. Interoperabilität garantiert ist. Dies ist daher im Einzelfall nachzuprüfen.
Eine allgemeine Empfehlung zur Auswahl einer Backbone-Technolgie kann, wie bereits eingangs
erwähnt, nicht gegeben werden. Hier spielen neben Sicherheitsanforderungen auch Kriterien zur
Zukunftssicherheit, Wirtschaftlichkeit, Skalierbarkeit und Integration vorhandener Komponenten
eine Rolle.
Je nach ausgewähltem Protokoll können nur bestimmte Kabeltypen eingesetzt werden (z. B. LWL
für FDDI), die wiederum durch bestimmte Längenrestriktionen eingeschränkt sind (siehe auch
M 5.2 Auswahl einer geeigneten Netz-Topographie).
Ergänzende Kontrollfragen:
-
Wurden die Anforderungen an den Backbone-Bereich des lokalen Netzes in bezug auf
Verfügbarkeit, Bandbreiten und Performance formuliert und dokumentiert?
-
Wurde eine Betrachtung aller relevanten Backbone-Technologien durchgeführt?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 113
Heterogene Netze
M 5.61
IT-Grundschutzhandbuch
Geeignete physikalische Segmentierung
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Unter einer physikalischen Segmentierung wird der Vorgang der Segmentbildung mit Hilfe von
aktiven und passiven Netzkomponenten auf Schicht 1, 2 oder 3 verstanden. Eine geeignete
physikalische Segmentierung kann zur Erhöhung der Verfügbarkeit, der Integrität und der Vertraulichkeit verwendet werden. Dies läßt sich durch den Einsatz unterschiedlicher Netzkomponenten (siehe M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung) erreichen.
Verfügbarkeit
Unter dem Gesichtspunkt der Verfügbarkeit wird auch die Performance bzw. die verfügbare
Bandbreite eines Netzes betrachtet. Diese kann erhöht werden, wenn das Netz auf den Schichten
1, 2 oder 3 des OSI-Modells getrennt wird. Bei einer Auftrennung auf der Schicht 1 kann die
geringste Erhöhung der Verfügbarkeit in den Einzelsegmenten, aber der höchste Durchsatz
zwischen den Segmenten und bei einer Trennung auf Schicht 3 die größte Erhöhung der Verfügbarkeit und der geringste Durchsatz zwischen den Segmenten erzielt werden.
Durch eine Segmentierung auf Schicht 1 mit Hilfe eines Repeaters wird die Verfügbarkeit des
Netzes dadurch erhöht, daß elektrische Fehler des einen Segmentes das andere nicht beeinflussen
können.
Beispiel: Bei einem Netz aus zwei Thin-Ethernet-Segmenten, die durch einen Repeater miteinander verbunden sind, beeinflußt die fehlende Terminierung in einem Segment nicht die Funktion
des anderen.
Elektrisch defektes Segment
Repeater
Elektrisch unbeeinflusstes Segment
Abbildung 1: Elektrische Trennung von Segmenten durch einen Repeater zur Erhöhung der
Verfügbarkeit
Für Bridges und Switches gilt zunächst einmal das gleiche wie für Repeater, da diese die
Schicht 1 mit abdecken. Zusätzlich zu dieser Funktion werden fehlerhafte Datenpakete der
Schicht 2 und Kollisionen in einem Segment isoliert. Weiterhin werden die Segmente entlastet, da
Datenpakete zielgerichtet zwischen den Segmenten weitergeleitet werden können. Dabei ist darauf
zu achten, daß die eingesetzte Bridge bzw. der Switch eine ausreichend hohe Kapazität (Filterrate
und Transferrate) besitzt, um den Datenverkehr zwischen den Segmenten ohne große
Verzögerungen zu verarbeiten.
Üblicherweise arbeiten Bridges/Switches auf der Schicht 2 des OSI-Modells. Diese werten für
den Aufbau der Verbindungsmatrix die MAC-Adressen der beteiligten Systeme in den jeweiligen
Segmenten aus. Von einigen Herstellern gibt es auch Switches, die auf Schicht 3 arbeiten, also
Teil 1 - Kapitel 6.7 - Seite 114
Version 1998
IT-Grundschutzhandbuch
Heterogene Netze
beispielsweise die IP-Adresse zum Aufbau der Verbindungsmatrix verwenden. Dieser Aufbau
geschieht in beiden Fällen automatisch, kann bei einigen Modellen jedoch auch manuell beeinflußt
werden. Einige Hersteller bieten zusätzlich auch die Möglichkeit, die Verbindungsmatrix manuell
(über ein zentrales Tool) auf Portebene, also auf der Ebene der tatsächlichen Kabelführung,
vorzunehmen (Port- oder Configuration-Switching).
Router, die auf der Schicht 3 arbeiten, fassen die Eigenschaften von Repeatern und Bridges
hinsichtlich der Verfügbarkeit zusammen und erweitern diese um die Fähigkeit, Protokolle der
Schicht 3 auszuwerten. Hiermit erfolgt eine Lasttrennung auf einer höheren Ebene, wodurch der
Netzverkehr fast vollständig kontrolliert werden kann. Insbesondere werden keine Broadcasts
zwischen Segmenten (Teilnetzen) weitergeleitet, die durch einen Router getrennt sind. Ein
Broadcaststurm auf dem einen Segment kann also das andere nicht beeinflussen.
Ausgehend von den Ergebnissen einer durchgeführten Verkehrsflußanalyse (siehe M 2.139 IstAufnahme der aktuellen Netzsituation), sollte ggf. eine physikalische Segmentierung vorgenommen werden, um die Bandbreite bzw. Performance im erforderlichen Maße zu erhöhen.
Beispiel: Innerhalb eines Netzes sind zentrale Server für Datei- und Druckdienste sowie für die
Anwendungen vorhanden bzw. geplant. Für eine hohe Performance und Verfügbarkeit kann es
sinnvoll sein, diese dediziert an einen Switch anzuschließen und von diesem Switch die einzelnen
Arbeitsplatzstationen anzubinden (shared oder switched). Wenn möglich, sollte die Verbindung
zwischen den Servern und dem Switch zumindest eine Fast-Ethernet Verbindung sein.
Generell läßt sich festhalten, daß für eine höhere Performance ein geswitchtes Netz einem SharedNetz vorzuziehen ist, da sich in einem Shared-Netz alle daran angeschlossenen Teilnehmer die
verfügbare Bandbreite teilen müssen. In einem Switched-Netz dagegen steht jedem Teilnehmer
zumindest bis zur nächsten aktiven Netzkomponente die volle Bandbreite zur Verfügung. Zu
beachten sind hierbei allerdings die Notwendigkeit einer strukturierten Verkabelung (Sternform)
und die relativ hohen Kosten für ein vollständig geswitchtes Netz.
Als Alternativen bieten sich Lösungen an, die im Backbone-Bereich oder im Bereich hoher
Netzlast (z. B. Arbeitsgruppen) über einen Switch einzelne Netzsegmente koppeln, die wiederum
als Shared-Media-LAN ausgelegt sind (vgl. Abbildung 2). Zusätzlich besteht immer die
Möglichkeit, einzelne Arbeitsplatzsysteme mit hohen Anforderungen an die Performance direkt an
einen Switch anzuschließen. Während ein Shared-Netz bzw. Shared Segment sowohl in Bus- als
auch in Sternform aufgebaut sein kann, ist es aus Gründen der Verfügbarkeit und des
Investitionsschutzes sinnvoll, dieses ebenfalls in strukturierter Verkabelung (Sternform)
auszuführen (vgl. M 5.2 Auswahl einer geeigneten Netztopographie).
Version 1998
Teil 1 - Kapitel 6.7 - Seite 115
Heterogene Netze
IT-Grundschutzhandbuch
Switched Segment
Switch 1
Fas
t-E
the
rne
t
MultiportRepeater 2
Server 1
Arbeitsplatz 1
Arbeitsplatz 2
Shared Segment
t
ne
er
th
-E
st
Fa
et
ern
Eth
Eth
ern
et
MultiportRepeater 1
Server 2
Arbeitsplatz 3
Arbeitsplatz 4
Shared Segment
Abbildung 2: Beispiel für ein Netz, welches aus Switched und Shared Segmenten besteht. Die
Anbindung der Server erfolgt über Fast-Ethernet.
Vertraulichkeit
Zur Erhöhung der Vertraulichkeit sind alle Maßnahmen geeignet, die einen Austausch von Daten
zwischen zwei Segmenten verhindern. Aus diesem Grund ist ein reiner Repeater dafür ungeeignet.
Einige Hersteller bieten Multiport-Repeater an, die so konfiguriert werden können, daß nur
bestimmte Netzteilnehmer über solch einen Repeater im Netz arbeiten können. Hierdurch kann bis
zu einem gewissen Grad ausgeschlossen werden, daß sich unberechtigte Nutzer auf das Netz
aufschalten können. Bridges/Switches und Router erhöhen die Vertraulichkeit dadurch, daß sie
den Datenverkehr auf Schicht 2 bzw. 3 verhindern und kontrollieren können bzw. dediziert auf
Port-Ebene Segmente verbinden oder trennen können. Auch für Bridges/Switches einiger
Hersteller gilt, daß hier der Zugang von Netzteilnehmern beschränkt werden kann. Router bieten
die umfassendsten Kontrollmöglichkeiten der hier behandelten Komponenten. Mit Hilfe von
Routern kann nicht nur der Zugang und die Wegewahl in andere Netze bestimmt werden, sondern
zusätzlich auch, welcher Netzteilnehmer mit Systemen im anderen Segment auf welcher Basis
kommunizieren darf. Durch den Ausschluß bestimmter Protokolle der Ebene 3 am Router kann
verhindert werden, daß Daten dieses Protokolls in das andere Segment gelangen. Dies geschieht
Teil 1 - Kapitel 6.7 - Seite 116
Version 1998
IT-Grundschutzhandbuch
Heterogene Netze
durch die Definition geeigneter Filterregeln in den Routern, die auf Protokollebene gebildet
werden können. So können beispielsweise bei der Verwendung des TCP/IP-Protokollstapels
einzelne TCP- und UDP-Ports für den Übergang in das andere Segment selektiv gesperrt oder
freigegeben werden. Komponenten, die auf höheren Schichten arbeiten, wie z. B. ApplicationLevel-Firewalls, werden an dieser Stelle nicht behandelt (siehe M 2.75 Geeignete Auswahl eines
Application-Gateway).
Beispiel: Durch die Trennung eines Netzes mit Hilfe eines Routers und eine entsprechende
Konfiguration der Filterregeln kann erreicht werden, daß kein FTP- und TFTP-Datentransfer
(Port 20 und 21 bzw. 69) zwischen den Segmenten möglich ist und somit auch nicht vom jeweils
anderen abgehört werden kann. Ebenso werden keine Broadcast-Daten zwischen den Teilnetzen
übertragen. Außerdem müssen die Filter standardmäßig derart konfiguriert sein, daß zunächst die
Kommunikation maximal eingeschränkt und erst nach Bedarf und dienstebezogen freigegeben
wird. Hierbei sollte ggf. eine IP-bezogene Filterung berücksichtigt werden.
Kein FTP-Datenverkehr möglich
FTP-Datenverkehr
Router
FTP-Datenverkehr
Abbildung 3: Beispiel für die Trennung von Teilnetzen auf Schicht 3 durch einen Router
Daten- und Netzintegrität
Die Integrität der Daten bis zur Schicht 3 wird in der Regel durch das eingesetzte Netzzugangsprotokoll sichergestellt, während die Sicherstellung der Netzintegrität, also dem Übereinstimmen der aktuellen Netzsituation mit der geplanten und vorgesehenen physikalischen und
logischen Segmentierung, zusätzliche Maßnahmen erfordert. Diese Maßnahmen müssen
sicherstellen, daß keine unautorisierten oder fehlgeleiteten Kommunikationsverbindungen aufgebaut oder unautorisierten Systemzugriffe durchgeführt werden, die im integren Netzzustand
unterbunden sind.
Die Netzintegrität wird daher im wesentlichen dadurch sichergestellt, daß
-
Veränderungen unmittelbar an Netzkomponenten (Umrangierungen, Installation neuer,
nicht autorisierter Komponenten etc.) verhindert oder zumindest erkannt werden
(Hardware-bezogene Sicherheit),
Version 1998
Teil 1 - Kapitel 6.7 - Seite 117
Heterogene Netze
-
IT-Grundschutzhandbuch
Veränderungen an der Konfiguration der Netzkomponenten (z. B. an Routingprotokollen,
an der Port-Switching-Matrix oder an der VLAN-Zuweisung) verhindert oder zumindest
erkannt werden (Software-bezogene Sicherheit).
Dazu ist es erforderlich, den Zugang zu den Netzkomponenten mit ausreichender Stärke zu
verwehren (z. B. durch Infrastruktrurmaßnahmen bzgl. Verteilerraum, Verkabelung etc.) und das
Netzmanagement so zu konzipieren, daß unberechtigte Zugriffe über das Netz auf die
Netzkomponenten verhindert werden.
Eine Erhöhung des Schutzes bezüglich der Integrität der Daten auf Schicht 3 (z. B. der Anwendungsdaten) kann nicht alleine durch den Einsatz von Netzkomponenten erreicht, aber ein
gezielter Angriff auf die Datenintegrität kann erschwert werden. Hierzu können Netzkomponenten
verwendet werden, die das Mithören und Verändern von Datenpaketen verhindern. Dies sind z. B.
Bridges/Switches und Router, die ein Netz in Segmente bzw.Teilnetze aufspalten können,
zwischen denen der Datenverkehr kontrolliert, beschränkt oder konfiguriert werden soll.
Insbesondere bei den sich automatisch konfigurierenden Netzkomponenten wie Bridges und
Switches, spielt die Abbildung der logischen Zusammengehörigkeit auf die physikalische
Konfiguration eine große Rolle. Nur so kann erreicht werden, daß die Datenpakete einer logischen
Gruppe auch tatsächlich im selben physikalischen Segment verbleiben. Bei Bridges/Switches, die
eine Konfiguration der möglichen Verbindungen auf Portbasis erlauben (Port-Switching) können
auch manuell die Verbindungsmöglichkeiten auf der Schicht 1 kontrolliert werden.
Beispiel: Systeme, die den Anschluß von Terminals an ein Netz erlauben (Terminalserver) und
die Systeme, auf die vom Terminalserver aus zugegriffen werden soll, müssen in einem Segment
durch eine Bridge vom Rest des Netzes abgetrennt werden. Nur so kann vermieden werden, daß
der Austausch des Paßwortes zwischen Terminalserver und dem angesprochenen System von
einem anderen Segment aus abgehört und ggf. verändert werden kann.
Terminal-Server
Zugriff auf Filedienste
File-Server
Austausch des Paßworts
Bridge
Abbildung 4: Trennung von Segmenten durch eine Bridge zur Erhöhung der Integrität und
Vertraulichkeit
Zusätzlich ist durch die geeignete Dimensionierung und Auswahl von Netzkomponenten dafür
Sorge zu tragen, daß weder durch deren Überlastung noch durch deren Fehlfunktion Datenpakete
verloren gehen können bzw. verfälscht werden.
Teil 1 - Kapitel 6.7 - Seite 118
Version 1998
IT-Grundschutzhandbuch
Heterogene Netze
Ergänzende Kontrollfragen:
-
Wurde beim Entwurf des lokalen Netzes an eine physikalische Segmentierung gedacht?
-
Wurden die Anforderungen bezüglich Verfügbarkeit (insbesondere auch Performance),
Vertraulichkeit und Integrität ermittelt und berücksichtigt?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 119
Heterogene Netze
M 5.62
IT-Grundschutzhandbuch
Geeignete logische Segmentierung
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Mit Hilfe geeigneter aktiver Netzkomponenten ist es möglich, trotz einer festen physikalischen
Segmentierung des Netzes, dieses darüber hinaus logisch zu segmentieren. Die Möglichkeit hierzu
bieten Switches, die auf der Schicht 2 und 3 des OSI-Modells arbeiten. Aufgrund der
Eigenschaften solch eines Switches, die Protokolle der Schicht 2 bzw. 3 zu verstehen, können
durch Kontrolle des Datenflusses zwischen den Anschlüssen am Switch sogenannte virtuelle
LANs (VLANs) gebildet werden. Hierdurch können Gruppen im Netz zusammengefaßt werden,
die in der physikalischen Segmentierung so nicht abgebildet sind. Vor allem ergibt sich hierdurch
die Möglichkeit, Gruppen ohne Eingriff in die physikalische Vernetzung dynamisch und zeitnah
neu zu bilden bzw. umzugruppieren. Analog zur physikalischen Segmentierung auf der Schicht 2
bzw. 3 sind die Kriterien bezüglich Vertraulichkeit, Verfügbarkeit und Integrität auch hier
anzuwenden. Kriterien für eine geeignete Segmentierung können ebenfalls analog wie für die
physikalischen Segmente angewendet werden.
In der folgenden Abbildung ist die Möglichkeit der VLAN-Bildung mit Hilfe mehrer Schicht-3Switches dargestellt. Die physikalische Anbindung der Endgeräte an die Switches erfolgt hierbei
wie durch die Verbindungslinien angedeutet. Die logische Segmentierung erfolgt durch die
Gruppierung mit Hilfe der Switches nach VLANs.
VLAN 3
VLAN 1
VLAN 2
Abbildung 1: VLAN-Bildung mit Hilfe mehrerer Switches
Teil 1 - Kapitel 6.7 - Seite 120
Version 1998
IT-Grundschutzhandbuch
Heterogene Netze
Würde man die in Abbildung 1 gezeigte VLAN-Struktur durch eine herkömmliche physikalische
Segmentierung erreichen wollen, würde das wie in Abbildung 2 dargestellt aussehen. Die
einzelnen LANs können hier beispielsweise durch Shared Ethernet-Segmente abgebildet werden,
die Verbindung der einzelnen LANs erfolgt durch eine Bridge.
LAN 3
LAN 1
LAN 2
Abbildung 2: Physikalische Segmentierung analog zu Abbildung 1
Auf der Basis von VLAN-fähigen Netzkomponenten können ohne physikalische Umstrukturierung virtuelle LANs gebildet werden, die je nach eingesetzter Technologie analog zu LANs,
mit Segmentierungen auf Schicht 2 oder 3 sind. Hiermit können in einem Netz analog zur
Segmentierung von LANs Bereiche gebildet werden, in denen z. B. hohe Anforderungen an die
Vertraulichkeit der Daten gelten (siehe M 5.61 Geeignete physikalische Segmentierung). Je nach
eingesetztem Produkt bieten diese bei der VLAN-Bildung unterschiedliche Funktionalitäten.
Einige Produkte stellen die Möglichkeit zur Verfügung, VLANs auf Schicht 2 oder 3 zu bilden,
die u. U. nur durch den Einsatz von Routern gekoppelt werden können (sog. sichere VLANs, da
diese nur durch den Einsatz von Routern verbunden werden können). In diesem Fall muß mit
Hilfe der Filterregeln des Routers ein kontrollierter Übergang zwischen den VLANs hergestellt
werden. Andere Hersteller implementieren in Schicht-3-Switches bereits Routing-Funktionalität,
die VLANs ohne zusätzliche Router verbinden. Der Einsatz entsprechender Technologien und
Produkte muß insbesondere gegen die Anforderungen an die Vertraulichkeit und Integrität der
Daten geprüft werden.
Version 1998
Teil 1 - Kapitel 6.7 - Seite 121
Heterogene Netze
IT-Grundschutzhandbuch
Schicht-3-Switch
Schicht-3-Switch
Schicht-3-Switch
VLAN 3
VLAN 1
VLAN 2
Abbildung 3: Bildung von sicheren VLANs mit Schicht-3-Switches
Im dargestellten Fall (Abbildung 3) wurden mit Hilfe von Schicht-3-Switches sichere VLANs auf
der Schicht 3 des OSI-Modells eingerichtet. Die dargestellten Switches sind in diesem Fall ohne
Routing-Funktionalität. VLAN 1, VLAN 2 und VLAN 3 verhalten sich dabei so, als ob sie durch
einen Router segmentiert wären, ohne daß ein Routing zwischen ihnen stattfindet. VLAN 3 hat
also keinerlei Verbindung mit den anderen VLANs, lediglich VLAN 1 und VLAN 2 können über
einen Router miteinander kommunzieren. Die Kommunikation kann durch die Konfiguration des
Routers entsprechend kontrolliert und gesteuert werden. Mit anderen Produkten, die RoutingFunktionalität in den Schicht-3-Switches implementieren, kann der dargestellte Router entfallen
und das Routing mit Hilfe der Switches kontrolliert werden.
Eine allgemeine Empfehlung bezüglich einer logischen Segmentierung kann nicht gegeben
werden. Für eine Neuinstallation eines Netzes ist aber zu prüfen, ob durch den Einsatz von
VLANs die Anforderungen an die Verfügbarkeit, Vertraulichkeit und Integrität nicht einfacher
erreicht werden können als durch eine aufwendigere physikalische Segmentierung.
Teil 1 - Kapitel 6.7 - Seite 122
Version 1998
IT-Grundschutzhandbuch
Heterogene Netze
Als Vorteil einer logischen Segmentierung ist die einfache, zentrale Neu- und Umkonfigurierbarkeit der Segmente zu sehen. Insbesondere bei Produkten, die sichere VLANs unterstützen,
können so schnell und einfach Arbeitsgruppen im Netz gebildet werden, die höhere Anforderungen an die Vertraulichkeit ihrer Daten stellen. Auf der anderen Seite muß in diesem Fall auch
ein besonderes Augenmerk auf den sicheren Remote-Zugang zu den aktiven Netzkomponenten
gelegt werden, da die Segmentierung hier nur auf der Konfiguration von Software beruht. Es muß
also bei einer logischen Segmentierung zwischen den Anforderungen an die Sicherheit des Netzes
(auch vor unberechtigter Umkonfiguration) und der Möglichkeit einer flexiblen Umgestaltung des
Netzes abgewogen werden.
Ergänzende Kontrollfragen:
-
Sind die eingesetzten Netzkomponenten VLAN-fähig?
-
Wurde das Netz geeignet logisch segmentiert?
-
Sind die eingesetzten Netzkomponenten bezüglich der VLAN-Funktionalität interoperabel?
-
Ist der Remote-Zugang der aktiven Netzkomponenten vor unberechtigter Administration
geschützt?
-
Wurden die Anforderungen bzgl. Verfügbarkeit, Vertraulichkeit und Integrität ermittelt
und berücksichtigt?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 123
Heterogene Netze
M 6.22
IT-Grundschutzhandbuch
Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Für die Rekonstruktion eines Datenbestandes muß geprüft werden, ob mit den vorhandenen
Sicherungskopien der Daten ein solches Vorhaben durchgeführt werden kann. Durch technische
Defekte, falsche Parametrisierung, einer unzureichenden Datenträgerverwaltung oder der
Nichteinhaltung von Regeln, die in einem Datensicherungskonzept gefordert werden, ist es
möglich, daß eine Rekonstruktion eines Datenbestandes nicht möglich ist. Daher ist es notwendig,
daß sporadisch überprüft wird, ob die erzeugten Datensicherungen zur Wiederherstellung
verlorener Daten genutzt werden können.
Ergänzende Kontrollfragen:
Wann wurde zuletzt überprüft, ob die gesicherten Daten rekonstruiert werden können?
Teil 1 - Kapitel 6.7 - Seite 124
Version 1998
IT-Grundschutzhandbuch
M 6.52
Heterogene Netze
Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
An die Verfügbarkeit der zentralen aktiven Netzkomponenten müssen hohe Anforderungen
gestellt werden, da in der Regel viele Benutzer vom reibungslosen Funktionieren eines lokalen
Netzes abhängig sind. Damit in einem Fehlerfall der Betrieb so schnell wie möglich wieder
aufgenommen werden kann, müssen alle Konfigurationsdaten der aktiven Netzkomponenten in
elektronischer Form gesichert werden (vgl. auch M 6.32 Regelmäßige Datensicherung). Diese
Sicherung kann prinzipiell lokal an den einzelnen Komponenten erfolgen oder über das Netz, z. B.
mit Hilfe eines Netzmanagementtools. Wurden die Daten elektronisch gesichert, kann in diesem
Fall das Wiederherstellen einer Konfiguration schneller und sicherer durchgeführt werden und
eine zeitaufwendige manuelle Eingabe entfallen. Das Wiedereinspielen der Daten kann hierbei
automatisch, z. B. durch ein zentrales Netzmanagementtool oder manuell durch den Eingriff eines
Administrators erfolgen.
Bei einer Sicherung der Konfigurationsdaten über das Netz ist jedoch, im Gegensatz zu einer
lokalen Sicherung, zu beachten, daß die übertragenen Daten eventuell mitgelesen werden können
und potentielle Angreifer möglicherweise sicherheitskritische Informationen über die
Konfiguration der aktiven Netzkomponenten, wie z. B. Paßwörter, und damit möglicherweise
über die gesamte Netzkonfiguration erhalten. Dabei werden im allgemeinen die Protokolle Trivial
File Transfer Protocol (TFTP) oder Remote Copy Protocol (RCP) eingesetzt, wobei nach
Möglichkeit RCP mit Authentifizierung verwendet werden sollte (siehe M 5.20 Einsatz der
Sicherheitsmechanismen von rlogin, rsh und rcp). TFTP bietet dagegen keine Schutzmechanismen vor einem unbefugten Zugriff auf die Konfigurationsdaten (siehe auch M 5.21
Sicherer Einsatz von telnet, ftp, tftp und rexec), so daß von dessen Einsatz abgeraten wird.
Bei allen Sicherungsmethoden muß ein Test durchgeführt werden, ob die Sicherung ordnungsgemäß durchgeführt wurde und die Wiederherstellung der Konfigurationsdaten möglich ist. Dies
gilt insbesondere bei der Sicherung über das Netz, da hier nach einem Fehlerfall das Netz u. U. in
einem Zustand ist, der keine Wiederherstellung über das Netz ermöglicht.
Ergänzende Kontrollfragen:
Sind alle Konfigurationsdaten aktiver Netzkomponenten gesichert?
Wird der Datensicherungsvorgang dokumentiert?
Ist der Datensicherungsvorgang konform zu einem vorhandenen Datensicherungskonzept (vgl.
M 6.13 Erstellung eines Datensicherungsplans)?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 125
Heterogene Netze
M 6.53
IT-Grundschutzhandbuch
Redundante Auslegung der Netzkomponenten
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Beschaffungsstelle
An die Verfügbarkeit der zentralen Netzkomponenten müssen hohe Anforderungen gestellt
werden, da in der Regel viele Benutzer vom reibungslosen Funktionieren eines lokalen Netzes
abhängig sind. Damit in einem Fehlerfall der Betrieb so schnell wie möglich wieder aufgenommen
werden kann, ist in Abhängigkeit von den entsprechenden Verfügbarkeitsanforderungen im
jeweiligen Bereich Redundanz zu schaffen, die einem Teil- oder Totalausfall der relevanten
Netzkomponenten mit akzeptablem Aufwand vorbeugt.
Dabei gibt es zwei verschiedene Möglichkeiten, Redundanz zu erreichen:
Die Netzkomponenten können redundant im Lager vorgehalten werden, um in einem Notfall
kurzfristig einen Austausch durchführen zu können. Wird dies nicht beachtet, sind oft
langwierige Beschaffungsvorgänge nötig, bevor die Störung behoben werden kann.
Alternativ sind Wartungs- bzw. Lieferverträge mit den entsprechenden Herstellern
abzuschließen, die einen schnellen Ersatz defekter Komponenten garantieren (siehe auch
M 6.14 Ersatzbeschaffungsplan). Danach können die gesicherten Konfigurationsdaten
wieder eingespielt werden, um die Ausfallzeit der betroffenen Netzsegmente so gering wie
möglich zu halten (siehe M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver
Netzkomponenten).
Es ist weiterhin sinnvoll, bereits bei der Konzeption des Netzes eine redundante Auslegung der
Netzkomponenten einzuplanen. So sollten alle zentralen Switches und je nach den
verwendeten Protokollen alle Router zumindest doppelt in das Netz eingebunden sein, um
die Anbindung der Server und die Verbindung zwischen den einzelnen Netzkomponenten
redundant zu halten (siehe Abb. 1). Die korrekte Funktionsweise ist durch eine geeignete
logische Netzkonfiguration zu gewährleisten.
Teil 1 - Kapitel 6.7 - Seite 126
Version 1998
IT-Grundschutzhandbuch
Heterogene Netze
Hub
Endgerät
Switch
Switch
Serversystem
Abb. 1: Redundante Verbindungen der Netzkomponenten
Ist je nach Verfügbarkeitsanforderungen auch eine Redundanz im Endgeräte-Bereich nötig,
so müssen zusätzlich alle Endgeräte mit zwei Netzadaptern ausgerüstet werden (siehe
Abb. 2).
Hubs
Endgerät
Switch
Switch
Serversystem
Abb. 2: Redundanz bis in den Endgeräte-Bereich
Dabei gilt es im konkreten Fall zu prüfen, ob diese Technik von den eingesetzten aktiven
Netzkomponenten und Betriebssystemen unterstützt wird.
Weiterhin stellt das Netzteil von aktiven Netzkomponenten eine häufige Störungsursache dar, da
diese auf eine stabile Stromversorgung angewiesen sind. Viele Komponenten lassen sich
deshalb mit redundanten Netzteilen ausrüsten oder sind hiermit bereits ausgestattet. So läßt
sich die Ausfallsicherheit einzelner Netzkomponenten erhöhen, ohne daß zwei
Version 1998
Teil 1 - Kapitel 6.7 - Seite 127
Heterogene Netze
IT-Grundschutzhandbuch
Netzkomponenten eingesetzt werden müssen. Durch solch eine Maßnahme wird aber nicht
die Ausfallsicherheit der eigentlichen Funktionalität der Netzkomponenten erhöht.
Es muß in jedem Fall anhand einer sorgfältigen Analyse festgestellt werden, welche konkreten
Verfügbarkeitsanforderungen gegeben sind. Im Rahmen einer detaillierten Planung der Systemund Netzarchitektur muß dann ein geeignetes Redundanzkonzept entwickelt werden, welches
diesen Anforderungen genügt. In diesem Zusammenhang ist auch die Maßnahme M 6.18
Redundante Leitungsführung zu beachten.
Ergänzende Kontrollfragen:
Wurden die Verfügbarkeitsanforderungen an das Netz ermittelt und dokumentiert?
Werden alle wichtigen Netzkomponenten im Lager vorgehalten bzw. existieren dazu
Lieferverträge?
Wurde bei der Planung des Netzes die Redundanz der Komponenten berücksichtigt?
Teil 1 - Kapitel 6.7 - Seite 128
Version 1998
IT-Grundschutzhandbuch
M 6.54
Heterogene Netze
Verhaltensregeln nach Verlust der Netzintegrität
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Benutzer
Falls sich das Netz in nicht vorgesehener Weise verhält (z. B. Server sind nicht verfügbar, Zugriff
auf Netzressourcen ist nicht möglich, Netzperformance bricht dauerhaft ein) kann ein Verlust der
Netzintegrität vorliegen, der durch mißbräuchliche Nutzung des Netzes verursacht wurde (z. B.
unautorisierte Administration, Veränderungen der Konfigurationen der aktiven Netzkomponenten,
Beschädigung von Netzkomponenten).
Dann sollten die Benutzer folgende Punkte beachten:
Sicherung der Arbeitsergebnisse und ggf. Beendigung laufender Programme.
Der Administrator muß über eine geeignete Eskalationstufe (z. B. User Help Desk) von den
Benutzern benachrichtigt werden. Dabei ist sicherzustellen, daß der Administrator durch
den Benachrichtigungsprozeß in seiner Arbeit nicht wesentlich behindert wird.
Der Netzadministrator sollte folgende Schritte durchführen:
Eingrenzen des fehlerhaften Verhaltens auf ein Netzsegment bzw. eine Netzkomponente,
Überprüfen der Konfigurationen der dort vorhandenen aktiven Netzkomponenten (darunter fällt
auch die Kontrolle der Paßwörter),
ggf. Wiedereinspielen der Original-Konfigurationsdaten (siehe M 6.52 Regelmäßige Sicherung
der Konfigurationsdaten aktiver Netzkomponenten),
ggf. Überprüfung der eingesetzten Hardware (Verkabelung, Steckverbindungen, aktive
Netzkomponenten usw.) auf Defekte,
Benachrichtigung der Benutzer mit der Bitte, ihre Arbeitsbereiche auf Unregelmäßigkeiten zu
prüfen.
Ergänzende Kontrollfragen:
Wie ist sichergestellt, daß der Administrator effektiv benachrichtigt wird?
Wird diese Regelung auch angewendet?
Version 1998
Teil 1 - Kapitel 6.7 - Seite 129