Heterogene Netze - Universität Paderborn
Transcription
Heterogene Netze - Universität Paderborn
IT-Grundschutzhandbuch 6.7 Heterogene Netze Heterogene Netze Beschreibung Ein lokales Netz setzt sich aus der Verkabelung (d. h. den passiven Netzkomponenten Kabel und den Verbindungselementen) sowie den aktiven Netzkomponenten zur Netzkopplung zusammen. Generell können dabei unterschiedliche Verkabelungstypen wie auch unterschiedliche aktive Netzkomponenten in ein LAN integriert werden. Als aktive Netzkomponenten werden alle Netzkomponenten bezeichnet, die eine eigene (Netz-)Strom-Versorgung benötigen. Dazu gehören u. a. Repeater, Brücken, Switches, Router, Gateways. Als passive Netzkomponenten werden alle Netzkomponenten betrachtet, die keine eigene Netzstrom-Versorgung benötigen. Dazu gehören z. B. Kabel, Verteilerschränke, Patchfelder, Steckverbinder. Die Verkabelung wird bereits detailliert in Kapitel 4.2, die anwendungsbezogene Peripherie in den Kapiteln 5 und 6 behandelt, so daß im vorliegenden Baustein primär die aktiven Netzkomponenten, die ihnen zugrundeliegende Topologie, ihre Konfiguration, Kriterien zur Auswahl geeigneter Komponenten, die Auswahl von Übertragungsprotokollen sowie das zugehörige Netzmanagement betrachtet werden. Es werden nur LAN-Technologien betrachtet, z. B. die Netzprotokolle Ethernet, Token Ring oder FDDI bzw. die zugehörigen Netzkomponenten wie Bridges, Switches oder Router. Diese Technologien können u. U. auch in einem MAN zum Einsatz kommen. Fragestellungen im Zusammenhang mit einer WAN-Anbindung werden dagegen nicht behandelt. Hier sei u. a. auf das Kapitel 7.3 Firewall verwiesen. Soll ein LAN hinreichend im Sinne des IT-Grundschutzes geschützt werden, so genügt es nicht, nur das vorliegende Kapitel alleine zu bearbeiten. Neben den aktiven Netzkomponenten und der eingesetzten Software zum Netzmanagement müssen auch die physikalische Verkabelung und die im Netz zur Verfügung stehenden Serversysteme beachtet werden. Deshalb ist es unumgänglich, auch die oben genannten Kapitel durchzuarbeiten. Dieses Kapitel beschreibt einen Leitfaden, wie ein heterogenes Netz analysiert und darauf aufbauend unter Sicherheitsaspekten konzipiert und betrieben werden kann. Damit richtet sich dieses Kapitel an die Stelle einer Organisation, die für den Netzbetrieb verantwortlich ist und das entsprechende fachliche Wissen besitzt. Gefährdungslage Für den IT-Grundschutz eines heterogenen Netzes werden pauschal die folgenden Gefährdungen angenommen: Höhere Gewalt: - G 1.1 - G 1.2 - G 1.3 - G 1.4 - G 1.5 - G 1.7 Version 1998 Personalausfall Ausfall des IT-Systems Blitz Feuer Wasser Unzulässige Temperatur und Luftfeuchte Teil 1 - Kapitel 6.7 - Seite 1 Heterogene Netze - G 1.8 IT-Grundschutzhandbuch Staub, Verschmutzung Organisatorische Mängel: - G 2.7 Unerlaubte Ausübung von Rechten - G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz - G 2.22 Fehlende Auswertung von Protokolldaten - G 2.27 Fehlende oder unzureichende Dokumentation - G 2.32 Unzureichende Leitungskapazitäten - G 2.44 Inkompatible aktive und passive Netzkomponenten - G 2.45 Konzeptionelle Schwächen des Netzes - G 2.46 Überschreiten der zulässigen Kabel- oder Buslänge bzw. der Ringgröße Menschliche Fehlhandlungen: - G 3.2 Fahrlässige Zerstörung von Gerät oder Daten - G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen - G 3.5 Unbeabsichtigte Leitungsbeschädigung - G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal - G 3.8 Fehlerhafte Nutzung des IT-Systems - G 3.9 Fehlerhafte Administration des IT-Systems - G 3.28 Ungeeignete Konfiguration der aktiven Netzkomponenten - G 3.29 Fehlende oder ungeeignete Segmentierung Technisches Versagen: - G 4.1 Ausfall der Stromversorgung - G 4.6 Spannungsschwankungen/Überspannung/Unterspannung - G 4.8 Bekanntwerden von Softwareschwachstellen - G 4.31 Ausfall oder Störung von Netzkomponenten Vorsätzliche Handlungen: - G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör - G 5.2 Manipulation an Daten oder Software - G 5.4 Diebstahl - G 5.5 Vandalismus - G 5.6 Anschlag - G 5.7 Abhören von Leitungen - G 5.8 Manipulation an Leitungen - G 5.9 Unberechtigte IT-Nutzung - G 5.18 Systematisches Ausprobieren von Paßwörtern - G 5.28 Verhinderung von Diensten - G 5.66 Unberechtigter Anschluß von IT-Systemen an ein Netz - G 5.67 Unberechtigte Ausführung von Netzmanagementfunktionen - G 5.68 Unberechtigter Zugang zu den aktiven Netzkomponenten Maßnahmenvorschläge Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Maßnahmenbündel ("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwählen. Teil 1 - Kapitel 6.7 - Seite 2 Version 1998 IT-Grundschutzhandbuch Heterogene Netze An dieser Stelle sei nochmals darauf hingewiesen, daß ein ausreichender Schutz für ein LAN im Sinne des IT-Grundschutzhandbuchs nur dann gewährleistet werden kann, wenn zusätzlich die Maßnahmenbündel aus Kapitel 4.2 Verkabelung, Kapitel 6.1 Servergestütztes Netz und ggf. die betriebssystemspezifischen Ergänzungen umgesetzt werden. Weiterhin sollten die aktiven Netzkomponenten in Räumen für technische Infrastruktur (z. B. Verteilerräume) untergebracht werden, so daß auch die Maßnahmen aus Kapitel 4.3.4 Raum für technische Infrastruktur realisiert werden müssen. Der Arbeitsplatz des Netzadministrators sollte ebenfalls besonders geschützt werden. Neben den Maßnahmen aus Kapitel 4.3.1 Büroraum sind hier die Regelungen für das eingesetzte Betriebssystem zu nennen (siehe Kapitel 6). Für den sicheren Einsatz eines heterogenen Netzes sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Analyse der aktuellen Netzsituation über die Entwicklung eines Netzmanagement-Konzeptes bis zum Betrieb eines heterogenen Netzes. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im folgenden aufgeführt. 1. Analyse der aktuellen Netzsituation (siehe M 2.139 Ist-Aufnahme der aktuellen Netzsituation und M 2.140 Analyse der aktuellen Netzsituation) - Erhebung von Lastfaktoren und Verkehrsflußanalyse - Feststellung von Netzengpässen - Identifikation kritischer Bereiche 2. Konzeption - Konzeption eines Netzes (siehe M 2.141 Entwicklung eines Netzkonzeptes und M 2.142 Entwicklung eines Netz-Realisierungsplans und M 5.60 Auswahl einer geeigneten Backbone-Technologie) - Konzeption Netzmanagement (siehe M 2.143 Entwicklung eines NetzmanagementKonzeptes und M 2.144 Geeignete Auswahl eines Netzmanagement-Protokolls) 3. Sicherer Betrieb des Netzes - Segmentierung des Netzes (siehe M5.61 Geeignete physikalische Segmentierung und M 5.62 Geeignete logische Segmentierung) - Einsatz einer Netzmanagement-Software (siehe M 2.145 Anforderungen an ein Netzmanagement-Tool und M 2.146 Sicherer Betrieb eines Netzmanagementsystems) - Audit und Revision des Netzes (siehe M 4.81 Audit und Protokollierung der Aktivitäten im Netz und M 2.64 Kontrolle der Protokoll- und Auditdateien) 4. Notfallvorsorge - Redundante Auslegung der Netzkomponenten (siehe M 6.53 Redundante Auslegung der Netzkomponenten) - Sicherung der Konfigurationsdaten (siehe M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten und M 6.22 Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen) Version 1998 Teil 1 - Kapitel 6.7 - Seite 3 Heterogene Netze IT-Grundschutzhandbuch Nachfolgend wird das komplette Maßnahmenbündel für den Bereich "Heterogene Netze" vorgestellt, in dem auch Maßnahmen von eher grundsätzlicher Art enthalten sind, die zusätzlich zu den oben aufgeführten Schritten beachtet werden müssen. Infrastruktur: - M 1.25 (1) - M 1.27 (2) - M 1.28 (1) - M 1.29 (3) - M 1.32 (1) Überspannungsschutz Klimatisierung Lokale unterbrechungsfreie Stromversorgung Geeignete Aufstellung eines IT-Systems (optional) Geeignete Aufstellung von Konsole, Geräten mit austauschbaren Datenträgern und Druckern Organisation: - M 2.4 (2) - M 2.22 (2) - M 2.25 (1) - M 2.26 (1) - M 2.34 (1) - M 2.35 (1) - M 2.38 (2) - M 2.64 (2) - M 2.139 (1) - M 2.140 (1) - M 2.141 (1) - M 2.142 (1) - M 2.143 (1) - M 2.144 (1) - M 2.145 (2) - M 2.146 (1) Regelungen für Wartungs- und Reparaturarbeiten Hinterlegen des Paßwortes Dokumentation der Systemkonfiguration Ernennung eines Administrators und eines Vertreters Dokumentation der Veränderungen an einem bestehenden System Informationsbeschaffung über Sicherheitslücken des Systems Aufteilung der Administrationstätigkeiten Kontrolle der Protokolldateien Ist-Aufnahme der aktuellen Netzsituation Analyse der aktuellen Netzsituation (optional) Entwicklung eines Netzkonzeptes Entwicklung eines Netz-Realisierungsplans Entwicklung eines Netzmanagementkonzeptes Geeignete Auswahl eines Netzmanagement-Protokolls Anforderungen an ein Netzmanagement-Tool Sicherer Betrieb eines Netzmanagementsystems Personal: - M 3.4 - M 3.5 - M 3.10 - M 3.11 Schulung vor Programmnutzung Schulung zu IT-Sicherheitsmaßnahmen Auswahl eines vertrauenswürdigen Administrators und Vertreters Schulung des Wartungs- und Administrationspersonals (1) (1) (1) (1) Hardware/Software: - M 4.7 (1) Änderung voreingestellter Paßwörter - M 4.15 (2) Gesichertes Login - M 4.24 (1) Sicherstellung einer konsistenten Systemverwaltung - M 4.79 (1) Sichere Zugriffsmechanismen bei lokaler Administration - M 4.80 (1) Sichere Zugriffsmechanismen bei Fernadministration - M 4.81 (2) Audit und Protokollierung der Aktivitäten im Netz - M 4.82 (1) Sichere Konfiguration der aktiven Netzkomponenten - M 4.83 (3) Update/Upgrade von Soft- und Hardware im Netzbereich Kommunikation: - M 5.2 (1) Auswahl einer geeigneten Netz-Topographie - M 5.7 (1) Netzverwaltung Teil 1 - Kapitel 6.7 - Seite 4 Version 1998 IT-Grundschutzhandbuch - M 5.12 M 5.13 M 5.60 M 5.61 M 5.62 (2) (1) (1) (1) (1) Notfallvorsorge: - M 6.22 (2) - M 6.52 (1) - M 6.53 (1) - M 6.54 (3) Heterogene Netze Einrichtung eines zusätzlichen Netzadministrators Geeigneter Einsatz von Elementen zur Netzkopplung Auswahl einer geeigneten Backbone-Technologie Geeignete physikalische Segmentierung Geeignete logische Segmentierung (optional) Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten Redundante Auslegung der Netzkomponenten Verhaltensregeln nach Verlust der Netzintegrität r Version 1998 Teil 1 - Kapitel 6.7 - Seite 5 Heterogene Netze G 1.1 IT-Grundschutzhandbuch Personalausfall Durch Krankheit, Unfall, Tod oder Streik kann ein nicht vorhersehbarer Personalausfall entstehen. Desweiteren ist auch der Personalausfall bei einer regulären Beendigung des Arbeitsverhältnisses zu berücksichtigen, insbesondere wenn die Restarbeitszeit z. B. durch einen Urlaubsanspruch verkürzt wird. In allen Fällen kann die Konsequenz sein, daß entscheidende Aufgaben aufgrund des Personalausfalls im IT-Einsatz nicht mehr wahrgenommen werden. Dies ist besonders dann kritisch, wenn die betroffene Person im IT-Bereich eine Schlüsselstellung einnimmt und aufgrund fehlenden Fachwissens anderer nicht ersetzt werden kann. Störungen des IT-Betriebs können die Folge sein. Beispiel: Aufgrund längerer Krankheit blieb der Netzadministrator vom Dienst fern. In der betroffenen Firma lief das Netz zunächst fehlerfrei weiter. Nach zwei Wochen jedoch war nach einem Systemabsturz niemand in der Lage, den Fehler zu beheben. Dies führte zu einem Ausfall des Netzes über mehrere Tage. Teil 1 - Kapitel 6.7 - Seite 6 Version 1998 IT-Grundschutzhandbuch G 1.2 Heterogene Netze Ausfall des IT-Systems Der Ausfall einer Komponente eines IT-Systems kann zu einem Ausfall des gesamten IT-Betriebs führen. Insbesondere zentrale Komponenten eines IT-Systems sind geeignet, solche Ausfälle herbeizuführen, z. B. Klima- und Stromversorgung, LAN-Server, Datenfernübertragungseinrichtung. Technisches Versagen (z. B. G 4.1 Ausfall der Stromversorgung) muß nicht zwingend als Ursache für den Ausfall eines IT-Systems angenommen werden. Ausfälle lassen sich auch oft auf menschliches Fehlverhalten (z. B. G 3.2 Fahrlässige Zerstörung von Gerät oder Daten) oder vorsätzliche Handlungen (z. B. G 5.4 Diebstahl) zurückführen. Es treten auch Schäden aufgrund höherer Gewalt (z. B. Feuer, Blitzschlag, Chemieunfall) ein, allerdings sind diese Schäden meist um ein Vielfaches höher. Werden auf einem IT-System zeitkritische IT-Anwendungen betrieben, sind die Folgeschäden nach Systemausfall entsprechend hoch, wenn es keine Ausweichmöglichkeiten gibt. Version 1998 Teil 1 - Kapitel 6.7 - Seite 7 Heterogene Netze G 1.3 IT-Grundschutzhandbuch Blitz Der Blitz ist die wesentliche während eines Gewitters bestehende Gefährdung für ein Gebäude und die darin befindliche Informationstechnik. Blitze erreichen bei Spannungen von mehreren 100.000 Volt Ströme bis zu 200.000 Ampere. Diese enorme elektrische Energie wird innerhalb von 50-100 µs freigesetzt und abgebaut. Ein Blitz mit diesen Werten, der in einem Abstand von ca. 2 km einschlägt, verursacht auf elektrischen Leitungen im Gebäude immer noch Spannungsspitzen, die zur Zerstörung empfindlicher elektronischer Geräte führen können. Diese indirekten Schäden nehmen mit abnehmender Entfernung zu. Schlägt der Blitz direkt in ein Gebäude ein, werden durch die dynamische Energie des Blitzes Schäden hervorgerufen. Dies können Beschädigungen des Baukörpers (Dach und Fassade), Schäden durch auftretende Brände oder Überspannungsschäden an elektrischen Geräten sein. Über das regional unterschiedliche Blitzschlagrisiko erteilt der Deutsche Wetterdienst entsprechende Auskünfte. Teil 1 - Kapitel 6.7 - Seite 8 Version 1998 IT-Grundschutzhandbuch G 1.4 Heterogene Netze Feuer Neben direkten durch das Feuer verursachten Schäden an einem Gebäude oder dessen Einrichtung lassen sich Folgeschäden aufzeigen, die insbesondere für die Informationstechnik in ihrer Schadenswirkung ein katastrophales Ausmaß erreichen können. Löschwasserschäden treten beispielsweise nicht nur an der Brandstelle auf. Sie können auch in tiefer liegenden Gebäudeteilen entstehen. Bei der Verbrennung von PVC entstehen Chlorgase, die zusammen mit der Luftfeuchtigkeit und dem Löschwasser Salzsäure bilden. Werden die Salzsäuredämpfe über die Klimaanlage verteilt, können auf diese Weise Schäden an empfindlichen elektronischen Geräten entstehen, die in einem vom Brandort weit entfernten Teil des Gebäudes stehen. Ein Brand entsteht nicht nur durch den fahrlässigen Umgang mit Feuer (z.B. Adventskranz, Schweiß- und Lötarbeiten), sondern auch durch unsachgemäße Benutzung elektrischer Einrichtungen (z. B. unbeaufsichtigte Kaffeemaschine, Überlastung von Mehrfachsteckdosen). Die Ausbreitung eines Brandes kann unter anderem begünstigt werden durch: - Aufhalten von Brandabschnittstüren durch Keile, - Unsachgemäße Lagerung brennbarer Materialien, - Fehlen von Brandmeldeeinrichtungen, - mangelhaft vorbeugenden Brandschutz (z. B. Fehlen von Brandabschottungen auf Kabeltrassen). Beispiel: Anfang der 90er Jahre erlitt im Frankfurter Raum ein Großrechenzentrum einen katastrophalen Brandschaden, der zu einem kompletten Ausfall führte. Version 1998 Teil 1 - Kapitel 6.7 - Seite 9 Heterogene Netze G 1.5 IT-Grundschutzhandbuch Wasser Der unkontrollierte Eintritt von Wasser in Gebäuden oder Räumen kann bspw. bedingt sein durch: - Regen, Hochwasser, Überschwemmung, Störungen in der Wasser-Versorgung oder Abwasser-Entsorgung, Defekte der Heizungsanlage, Defekte an Klimaanlagen mit Wasseranschluß, Defekte in Sprinkleranlagen und Löschwasser bei der Brandbekämpfung. Unabhängig davon, auf welche Weise Wasser in Gebäude oder Räume gelangt, besteht die Gefahr, daß Versorgungseinrichtungen oder IT-Komponenten beschädigt oder außer Betrieb gesetzt werden (Kurzschluß, mechanische Beschädigung, Rost etc.). Durch die Unterbringung zentraler Einrichtungen der Gebäudeversorgung (Hauptverteiler für Strom, Telefon, Daten) in Kellerräumen ohne selbsttätige Entwässerung, kann eindringendes Wasser sehr hohe Schäden verursachen. Teil 1 - Kapitel 6.7 - Seite 10 Version 1998 IT-Grundschutzhandbuch G 1.7 Heterogene Netze Unzulässige Temperatur und Luftfeuchte Jedes Gerät hat einen Temperaturbereich, innerhalb dessen seine ordnungsgemäße Funktion gewährleistet ist. Überschreitet die Raumtemperatur die Grenzen dieses Bereiches nach oben oder unten, kann es zu Betriebsstörungen und zu Geräteausfällen kommen. So wird z. B. in einem Serverraum durch die darin befindlichen Geräte elektrische Energie in Wärme umgesetzt und daher der Raum aufgeheizt. Bei unzureichender Lüftung kann die zulässige Betriebstemperatur der Geräte überschritten werden. Bei Sonneneinstrahlung in den Raum sind Temperaturen über 50°C nicht unwahrscheinlich. Zu Lüftungszwecken werden oft die Fenster des Serverraumes geöffnet. In der Übergangszeit (Frühjahr, Herbst) kann das bei großen Temperaturschwankungen dazu führen, daß durch starke Abkühlung die zulässige Luftfeuchte überschritten wird. Beispiel: In einer Bonner Behörde wurde die gesamte Steuerungs- und Auswerteelektronik einer Sicherungseinrichtung in einem Raum untergebracht, der gerade genug Platz ließ, um die Türen der Geräteschränke zu öffnen. Aus Sicherheitsgründen waren sowohl die Schränke als auch der Raum mit festen Türen verschlossen. Nach der Fertigstellung der Anlage im Herbst lief die Anlage störungsfrei. Im folgenden Sommer zeigten sich zuerst unerklärliche Funktionsfehler und bald Totalabstürze des Systems, alles ohne erkennbare Systematik. Tagelanges Suchen mit hohem technischen und personellem Aufwand bei geöffneten Türen erbrachte keine Ergebnisse. Nur durch Zufall wurde schließlich die Überhitzung der Anlage bei Außentemperaturen über 30oC als Ursache der Störungen erkannt und durch ein Kühlgerät erfolgreich abgestellt. Version 1998 Teil 1 - Kapitel 6.7 - Seite 11 Heterogene Netze G 1.8 IT-Grundschutzhandbuch Staub, Verschmutzung Trotz zunehmender Elektronik in der IT kommt sie noch nicht ohne mechanisch arbeitende Komponenten aus. Zu nennen sind Disketten, Fest- und Wechselplatten, Diskettenlaufwerke, Drucker, Scanner etc. Mit steigenden Anforderungen an die Qualität und die Schnelligkeit müssen diese Geräte immer präziser arbeiten. Bereits geringfügige Verunreinigungen können zu einer Störung eines Gerätes führen. Vorhandene Sicherheitsschaltungen in den Geräten führen meist zu einem rechtzeitigen Abschalten. Das hält zwar den Schaden, die Instandsetzungskosten und die Ausfallzeiten klein, führt aber dazu, daß das betroffene Gerät nicht verfügbar ist. Teil 1 - Kapitel 6.7 - Seite 12 Version 1998 IT-Grundschutzhandbuch G 2.7 Heterogene Netze Unerlaubte Ausübung von Rechten Rechte wie Zutritts-, Zugangs- und Zugriffsberechtigungen werden als organisatorische Maßnahmen eingesetzt, um eine sichere und ordnungsgemäße IT-Nutzung zu gewährleisten. Werden solche Rechte an die falsche Person vergeben oder wird ein Recht unautorisiert ausgeübt, können sich eine Vielzahl von Gefährdungen ergeben, die die Vertraulichkeit und Integrität von Daten oder die Verfügbarkeit von Rechnerleistung beeinträchtigen. Beispiel: Der Arbeitsvorbereiter, der keine Zutrittsberechtigung zum Datenträgerarchiv besitzt, entnimmt in Abwesenheit des Archivverwalters Magnetbänder, um Sicherungskopien einspielen zu können. Durch die unkontrollierte Entnahme wird das Bestandsverzeichnis des Datenträgerarchivs nicht aktualisiert, die Bänder sind für diesen Zeitraum nicht auffindbar. Version 1998 Teil 1 - Kapitel 6.7 - Seite 13 Heterogene Netze G 2.9 IT-Grundschutzhandbuch Mangelhafte Anpassung an Veränderungen beim IT-Einsatz Die speziell für den Einsatz von Informationstechnik geschaffenen organisatorischen Regelungen, aber auch das gesamte Umfeld einer Behörde bzw. eines Unternehmens unterliegen ständigen Veränderungen. Sei es nur, daß Mitarbeiter ausscheiden oder hinzukommen, Mitarbeiter das Büro wechseln, neue Hardware oder Software beschafft wird, der Zulieferbetrieb für die Betriebsmittel Konkurs anmeldet. Daß sich bei einer ungenügenden Berücksichtigung der vorzunehmenden organisatorischen Anpassungen Gefährdungen ergeben, zeigen folgende Beispiele: - Vor Urlaubsantritt vergißt ein Mitarbeiter, der Urlaubsvertretung die Paßwörter für seinen Arbeitsbereich mitzuteilen. Hierdurch können sich Verzögerungen im IT-Betrieb ergeben. - Durch bauliche Änderungen im Gebäude werden bestehende Fluchtwege verändert. Durch mangelhafte Unterrichtung der Mitarbeiter ist die Räumung des Gebäudes nicht in der erforderlichen Zeit möglich. - Durch eine Umstellung eines IT-Verfahrens werden größere Mengen an Druckerpapier benötigt. Durch fehlende Unterrichtung der Beschaffungsstelle kommt es zu Engpässen im IT-Betrieb. - Beim Empfang elektronischer Dokumente werden diese nicht automatisch auf Makroviren überprüft, da dieses Problem noch nicht bekannt ist oder kein Virenprüfprogramm vorhanden ist. - Bei der Übermittlung elektronischer Dokumente wird nicht darauf geachtet, diese in einem für die Empfängerseite lesbaren Format abzuspeichern. Teil 1 - Kapitel 6.7 - Seite 14 Version 1998 IT-Grundschutzhandbuch G 2.22 Heterogene Netze Fehlende Auswertung von Protokolldaten Protokolldaten dienen dem Zweck, nachträglich feststellen zu können, ob Sicherheitsverletzungen im IT-System stattgefunden haben oder ob ein solcher Versuch unternommen wurde. Daher können Protokolldaten für die Täterermittlung im Schadensfall genutzt werden. Eine weitere wichtige Funktion der Protokolldaten ist die Abschreckung. Werden Protokolldaten regelmäßig ausgewertet, können vorsätzliche Angriffe auf ein IT-System frühzeitig erkannt werden. Findet die Auswertung der Protokolldaten jedoch nicht oder nur unzureichend statt und wird dies bekannt, verliert sich die Abschreckungswirkung vollständig. Version 1998 Teil 1 - Kapitel 6.7 - Seite 15 Heterogene Netze G 2.27 IT-Grundschutzhandbuch Fehlende oder unzureichende Dokumentation Verschiedene Formen der Dokumentation können betrachtet werden: die Produktbeschreibung, die Administrator- und Benutzerdokumentation zur Anwendung des Produktes und die Systemdokumentation. Eine fehlende oder unzureichende Dokumentation der eingesetzten IT-Komponenten kann sowohl im Auswahl- und Entscheidungsprozeß für ein Produkt, als auch bei einem Schadensfall im Wirkbetrieb erhebliche Auswirkungen haben. Bei einer unzureichenden Dokumentation kann sich im Schadensfall, beispielsweise durch den Ausfall von Hardware bzw. Fehlfunktionen von Programmen, die Fehlerdiagnose und -behebung erheblich verzögern oder völlig undurchführbar sein. Beispiele: - Wenn von einem Programm Arbeitsergebnisse in temporären Dateien zwischengespeichert werden, ohne daß dies ausreichend dokumentiert ist, kann dies dazu führen, daß die temporären Dateien nicht angemessen geschützt und vertrauliche Informationen offengelegt werden. Durch fehlenden Zugriffsschutz auf diese Dateien oder eine nicht korrekte physikalische Löschung der nur temporär genutzten Bereiche können Informationen Unbefugten zugänglich werden. - Bei Installation eines neuen Softwareproduktes werden bestehende Konfigurationen abgeändert. Andere, bislang fehlerfrei laufende Programme sind danach falsch parametrisiert und stürzen ggf. ab. Durch eine detaillierte Dokumentation der Veränderung bei der Installation von Software ließe sich der Fehler schnell lokalisieren und beheben. Teil 1 - Kapitel 6.7 - Seite 16 Version 1998 IT-Grundschutzhandbuch G 2.32 Heterogene Netze Unzureichende Leitungskapazitäten Bei der Planung von Netzen wird oft der Fehler begangen, die Kapazitätsauslegung ausschließlich am aktuellen Bedarf vorzunehmen. Dabei wird übersehen, daß die Kapazitätsanforderungen an das Netz stetig steigen, z. B. wenn neue IT-Systeme in das Netz integriert werden oder das übertragene Datenvolumen zunimmt. Wenn die Kapazität des Netzes nicht mehr ausreicht, wird die Übertragungsgeschwindigkeit und ggf. auch die Erreichbarkeit im Netz für alle Benutzer stark eingeschränkt. Beispielsweise werden Dateizugriffe auf entfernten IT-Systemen erheblich verzögert, wenn gleichzeitig das Netz von anderen Benutzern stark in Anspruch genommen wird, wie durch das Verschieben von großen Dateien von einem IT-System zum anderen. Beispiel: Eine verteilte Organisation baut für die Datenkommunikation ein Netz über ISDN-SoVerbindungen auf. Nach Einführung eines graphisch orientierten, firmeneigenen Intranet kommt die Datenkommunikation fast zum Stillstand. Erst das Umstellen auf S2MÜbertragungswege schafft die nötige Übertragungskapazität. Version 1998 Teil 1 - Kapitel 6.7 - Seite 17 Heterogene Netze G 2.44 IT-Grundschutzhandbuch Inkompatible aktive und passive Netzkomponenten Durch inkompatible aktive Netzkomponenten können Probleme verursacht werden, die im Umfeld nicht oder noch nicht vollständig standardisierter Kommunikationsverfahren auftreten, wie z. B. ATM oder Tag-Switching. Um das betreffende Kommunikationsverfahren nutzen zu können, sind die Hersteller aufgrund der fehlenden oder nur teilweise vorhandenen Standards gezwungen, proprietäre Implementierungen einzusetzen. Inkompatibilitätsprobleme dieser Art können entstehen, wenn bestehende Netze um aktive Netzkomponenten anderer Hersteller ergänzt werden oder wenn Netze mit Netzkomponenten unterschiedlicher Hersteller aufgebaut werden. Werden aktive Netzkomponenten mit unterschiedlichen Implementierungen des gleichen Kommunikationsverfahrens gemeinsam in einem Netz betrieben, kann es zu einem Verlust der Verfügbarkeit des gesamten Netzes, von einzelnen Teilbereichen oder bestimmter Dienste kommen. Zwei Fälle können je nach Art der Inkompatibilität unterschieden werden: - Durch nicht interoperable Implementierungen eines Kommunikationsverfahrens kann über die zugehörigen Komponenten hinweg keine Kommunikation erfolgen. Beispiel: ATM-Komponenten können unterschiedliche Signalisierungsprotokolle verwenden, z. B. gemäß UNI (User Network Interface) Version 3.0 und UNI Version 3.1, die nicht interoperabel zueinander sind. - Auch auf aktiven Netzkomponenten, die prinzipiell interoperabel sind, können spezifische Dienste unterschiedlich implementiert sein. Dies hat zur Folge, daß die betreffenden Dienste nicht oder nicht netzweit zur Verfügung stehen, obwohl eine Kommunikation über diese Komponenten hinweg möglich ist. Beispiel: Es existieren proprietäre Implementierungen redundanter LAN Emulation Server für ATM-Netze. Besteht ein ATM-Netz z. B. aus zwei ATM-Switches, von denen ein Switch über eine solche proprietäre Implementierung verfügt und der andere nicht, kann zwar eine Kommunikation via LANE (LAN Emulation) erfolgen, der proprietär implementierte Dienst jedoch nicht genutzt werden. Aber auch die Kombination von inkompatiblen passiven Netzkomponenten kann die Verfügbarkeit eines Netzes gefährden. So existieren für Twisted-Pair-Kabel Ausführungen in 100 und 150 Ohm, die nicht ohne einen entsprechenden Umsetzer zusammen verwendet werden dürfen. Eine ungeeignete Kombination von aktiven und passiven Netzkomponenten kann die Verfügbarkeit ebenfalls beeinträchtigen, wenn beispielsweise ein Netzzugangsprotokoll auf einem nicht hierfür definierten Medium betrieben wird. Beispielsweise läßt sich ATM nicht über ein 50 Ohm Koaxialkabel betreiben. Teil 1 - Kapitel 6.7 - Seite 18 Version 1998 IT-Grundschutzhandbuch G 2.45 Heterogene Netze Konzeptionelle Schwächen des Netzes Die Planung des Auf- und Ausbaus eines Netzes ist ein kritischer Erfolgsfaktor für den Netzbetrieb. Insbesondere bei den immer kürzer werdenden Innovationszyklen in der IT können sich Netze, die auf Grund ihrer Konzeption nicht neuen Erfordernissen angepaßt werden können, schnell zu einem Engpaß entwickeln: - Abhängig von einer Anforderungsermittlung von Netzteilnehmern (z. B. Arbeitsgruppen) an die Vertraulichkeit der Daten und die Integrität des Netzes muß das Netz entsprechend konzipiert worden sein. Ansonsten können vertrauliche Daten einer Arbeitsgruppe von anderen, hierzu unbefugten Netzteilnehmern mitgelesen werden. Unter diesem Aspekt kann die Vertraulichkeit auch durch den Umzug von Arbeitsgruppenteilnehmern oder der ganzen Arbeitsgruppe verloren gehen, wenn es nicht möglich ist, im Netz neue vertrauliche Bereiche einzurichten bzw. zu ändern. Diese Gefährdung betrifft analog die Integrität des Netzes bzw. die Integrität von Netzsegmenten. Beispiel: Für eine Arbeitsgruppe mit besonderen Anforderungen an Vertraulichkeit und Integrität ihrer Daten wurde ein eigenes Teilnetz eingerichtet, welches durch einen Router abgetrennt ist. Dieses Segment ist durch die Kabelführung auf ein Gebäude beschränkt. Nach einem Umzug mehrerer Mitglieder dieser Arbeitsgruppe in andere Gebäude müssen diese über das normale Produktivnetz miteinander kommunizieren. Die Vertraulichkeit und auch die Integrität der Daten kann nicht mehr gewährleistet werden. - Werden neue Anwendungen mit einem höheren als zum Planungszeitpunkt berücksichtigten Bandbreitenbedarf auf dem Netz betrieben, kann dies schnell zu einem Verlust der Verfügbarkeit des gesamten Netzes führen, wenn die Netzinfrastruktur in Folge konzeptioneller Schwächen nicht mehr ausreichend skaliert werden kann (Verlust der Verfügbarkeit durch Überlastung). Abhängig von der gewählten Segmentierung des Netzes kann der Verlust der Verfügbarkeit auch nur einzelne Segment des Netzes betreffen. Beispiel: In den heute noch häufig vorzufindenden, bedarfsorientiert gewachsenen Netzen, sind aus historischen Gründen vielfach Backbone-Segmente mit niedriger maximaler Bandbreite, wie z. B. Token-Ring- oder Ethernet-Segmente, vorhanden. Durch diese Beschränkung der Geschwindigkeit im Backbone-Bereich ist bei hoher zusätzlicher Last die Verfügbarkeit des gesamten Netzes betroffen. - Netze, die ausschließlich zum Anschluß proprietärer Systeme geeignet sind, können ebenfalls einen Verlust der Verfügbarkeit bedingen, wenn hierfür ungeeignete Systeme an das Netz angeschaltet werden (Verlust der Verfügbarkeit durch nicht interoperable Netzkomponenten). Beispiel: Nicht systemneutrale Netze sind vorrangig im Großrechnerumfeld zur Vernetzung der Großrechner mit den zugehörigen Terminals anzutreffen. Häufig sind dies Netze, die für den Terminal- oder Druckerbetrieb installiert wurden und nicht für den Betrieb von anderen Architekturen (z. B. Ethernet) geeignet sind. Dies betrifft sowohl die eingesetzte Verkabelung als auch die aktiven Netzkomponenten. Wird dennoch versucht, wird das proprietäre Netz im allgemeinen nicht mehr verfügbar sein. Eine Möglichkeit zur Integration zweier Architekturen kann u. U. die Kopplung über ein Gateway darstellen. - Beim Einsatz von aktiven Netzkomponenten, die nicht für den Einsatz bestimmter Protokolle vorgesehen sind, können ggf. zusätzlich erforderliche Dienste oder Protokolle nicht verwendet werden. Version 1998 Teil 1 - Kapitel 6.7 - Seite 19 Heterogene Netze IT-Grundschutzhandbuch Beispiel: In einem Netz, welches ausschließlich mit aktiven Netzkomponenten aufgebaut ist, die nur IP-Routing oder IP-Switching unterstützen, kann kein Novell NetWareNetzbetriebssystem auf der Basis von SPX/IPX betrieben werden. - Beim Einsatz von passiven Netzkomponenten, die eine Einschränkung der auf ihnen zu betreibenden Netzzugangsprotokollen mit sich bringen, kann das Netz in Zukunft u. U. nicht mehr skaliert werden. Beispiel: In einem Netz, welches ausschließlich mit 50 Ohm Koaxialkabel aufgebaut ist, kann kein ATM benutzt werden. An Netzen, die mit 150 Ohm Twisted-Pair-Kabeln aufgebaut sind, können keine 100 Ohm Ethernet-Komponenten betrieben werden. Die Folge der o. a., zum Teil historisch bedingten konzeptionellen Schwächen, sind kostenintensive Veränderungen der Netzinfrastruktur. Netze können zwar anwendungs-, system- und dienstneutral ausgeführt sein, aber durch eine sehr heterogene Komponentenlandschaft einen Betreuungsaufwand erfordern, der durch das Betriebspersonal nicht mehr geleistet werden kann. Dies kann zu einem Verlust der Verfügbarkeit des Netzes führen, wenn Störungen oder Ausfälle passiver oder aktiver Netzkomponenten aufgrund mangelnder personeller Ressourcen nicht mehr schnell genug beseitigt werden können. Teil 1 - Kapitel 6.7 - Seite 20 Version 1998 IT-Grundschutzhandbuch G 2.46 Heterogene Netze Überschreiten der zulässigen Kabel- bzw. Buslänge oder der Ringgröße Je nach Kabeltyp, Topologie und Übertragungsverfahren sehen die betreffenden Standards maximale Kabel- bzw. Buslängen sowie maximale Ringgrößen vor, um die Funktionsfähigkeit des Netzes im Sinne dieses Standards zu garantieren. Überhöhte Kabellängen wie auch überhöhte Bus- oder Ringlängen verlängern die Signallaufzeiten über das für das betreffende Übertragungsverfahren vorgesehene Maß hinaus, so daß die Verfügbarkeit des jeweiligen Netzsegments oder die Kommunikationsbandbreite herabgesetzt wird. Die auftretenden Phänomene sind vom Zugriffsverfahren abhängig: - Bei Netzsegmenten, auf denen das Zugriffsverfahren CSMA/CD (Carrier Sense Multiple Access/Collision Detection) verwendet wird, greifen alle Endgeräte gleichberechtigt zu, obwohl das Medium jeweils nur exklusiv durch ein Endgerät genutzt werden kann. Hierzu prüft jedes Endgerät zunächst, ob das Medium für die Benutzung zur Verfügung steht (Carrier Sense). Ist dies der Fall, beginnt das betreffende Endgerät mit der Übertragung. Geschieht dies durch mehrere Endgeräte gleichzeitig (Multiple Access), kommt es zu einer Kollision, die von den sendenden Endgeräten erkannt wird (Collision Detection) und zu einer erneuten Prüfung des Mediums mit anschließender Wiederholung der Übertragung führt. Wird die maximal definierte Signallaufzeit auf dem Medium überschritten, können Kollisionen ggf. im vorgesehenen Zeitintervall (Collision Detection) nicht erkannt werden. Dies bedeutet, daß ein Endgerät bereits begonnen hat, Daten zu übertragen, während ein anderes Endgerät das Übertragungsmedium noch als frei betrachtet. In diesem Fall kommt es zu sogenannten späten Kollisionen, die das betreffende Datenpaket unbrauchbar machen und in Abhängigkeit der Länge des Datenpakets das Medium über Gebühr blockieren. Die nutzbare Übertragungsbandbreite auf dem Medium kann dadurch stark eingeschränkt werden. Einen Verlust von Informationen tritt in der Regel, trotz des Verlustes von einzelnen Datenpaketen, durch die Sicherung des Netzzugangsprotokolls nicht auf. Beispielsweise verwenden Ethernet oder Fast Ethernet das CSMA/CD Übertragungsverfahren. - Übertragungsverfahren, die auf dem Token-Passing-Verfahren basieren, verwenden ein spezielles Datenpaket (das sogenannte Token), um festzulegen, welches Endgerät das Medium belegen darf. Erhält ein Endgerät das Token, belegt es das Medium und gibt das Token in Abhängigkeit des implementierten Token-Passing-Verfahrens an das nächste Endgerät weiter. Hiermit ist gewährleistet, daß das Medium immer nur durch ein einziges Endgerät belegt wird. Wesentlich für Netzsegmente, auf denen ein Token-Passing-Verfahren betrieben wird, ist eine synchrone Datenübertragung mit konstanter Bitrate. Ist das Medium belegt, werden die betreffenden Zeitintervalle für die unterschiedlichen Bits für die Übertragung der Datenpakete genutzt, ist das Medium frei, werden die Zeitintervalle für die Weitergabe des Tokens genutzt. Bei einer Überschreitung der maximal vorgesehenen Signallaufzeit kann die für das betreffende Übertragungsverfahren vorgesehene konstante Bitrate nicht mehr eingehalten werden, so daß die Kommunikation zum Erliegen kommt. Beispielsweise basieren Token Ring oder FDDI auf dem Token-Passing-Verfahren. Neben einer Verlängerung der Signallaufzeit erhöhen längere Kabel die Dämpfung. Bei Überschreitung der Kabellängen im Hinblick auf den betreffenden Standard kann die Dämpfung Version 1998 Teil 1 - Kapitel 6.7 - Seite 21 Heterogene Netze IT-Grundschutzhandbuch des Kabels so groß werden, daß die verschiedenen Signalpegel nicht mehr wie im Standard festgelegt voneinander unterschieden werden können. Die Kommunikation über die betreffenden Adern oder Glasfasern kann in diesem Fall nicht über die gesamte Länge sichergestellt werden. Teil 1 - Kapitel 6.7 - Seite 22 Version 1998 IT-Grundschutzhandbuch G 3.2 Heterogene Netze Fahrlässige Zerstörung von Gerät oder Daten Durch Fahrlässigkeit, aber auch durch ungeschulten Umgang kann es zu Zerstörungen an Geräten und Daten kommen, die den Betrieb des IT-Systems empfindlich stören können. Dies ist auch durch die unsachgemäße Verwendung von IT-Anwendungen möglich, wodurch fehlerhafte Ergebnisse entstehen oder Daten unabsichtlich verändert oder zerstört werden. Beispiele: - Benutzer, die aufgrund von Fehlermeldungen den Rechner ausschalten, statt ordnungsgemäß alle laufenden Anwendungen zu beenden bzw. einen Sachkundigen zu Rate zu ziehen, können hierdurch schwerwiegende Integritätsfehler in Datenbeständen hervorrufen. - Durch umgestoßene Kaffeetassen oder beim Blumengießen eindringende Feuchtigkeit können in einem IT-System Kurzschlüsse hervorrufen werden. Version 1998 Teil 1 - Kapitel 6.7 - Seite 23 Heterogene Netze G 3.3 IT-Grundschutzhandbuch Nichtbeachtung von IT-Sicherheitsmaßnahmen Aufgrund von Nachlässigkeit und fehlenden Kontrollen kommt es immer wieder vor, daß Personen die ihnen empfohlenen oder angeordneten IT-Sicherheitsmaßnahmen nicht oder nicht im vollen Umfang durchführen. Es können Schäden entstehen, die sonst verhindert oder zumindest vermindert worden wären. Je nach der Funktion der Person und der Bedeutung der mißachteten Maßnahme können sogar gravierende Schäden eintreten. Vielfach werden IT-Sicherheitsmaßnahmen aus einem mangelnden Sicherheitsbewußtsein heraus nicht beachtet. Ein typisches Indiz dafür ist, daß wiederkehrende Fehlermeldungen nach einer gewissen Gewöhnungszeit ignoriert werden. Beispiele: - Der verschlossene Schreibtisch zur Aufbewahrung von Disketten bietet keinen hinreichenden Schutz gegen einen unbefugten Zugriff, wenn der Schlüssel im Büro aufbewahrt wird, z. B. auf dem Schrank oder im Zettelkasten. - Geheimzuhaltende Paßwörter werden schriftlich fixiert in der Nähe eines Terminals oder PCs aufbewahrt. - Obwohl die schadensmindernde Eigenschaft von Datensicherungen hinreichend bekannt ist, treten immer wieder Schäden auf, wenn Daten unvorhergesehen gelöscht werden und aufgrund fehlender Datensicherung die Wiederherstellung unmöglich ist. Dies zeigen insbesondere die dem BSI gemeldeten Schäden, die z. B. aufgrund von Computer-Viren entstehen. - Der Zutritt zu einem Rechenzentrum sollte ausschließlich durch die mit einem Zutrittskontrollsystem (z. B. Magnetstreifenleser) gesicherte Tür erfolgen. Die Fluchttür wird jedoch, obwohl sie nur im Notfall geöffnet werden darf, als zusätzlicher Ein- und Ausgang genutzt. Teil 1 - Kapitel 6.7 - Seite 24 Version 1998 IT-Grundschutzhandbuch G 3.5 Heterogene Netze Unbeabsichtigte Leitungsbeschädigung Je ungeschützter ein Kabel verlegt ist, desto größer ist die Gefahr einer unbeabsichtigten Beschädigung. Die Beschädigung führt nicht unbedingt sofort zu einem Ausfall von Verbindungen. Auch die zufällige Entstehung unzulässiger Verbindungen ist möglich. Typische Beispiele für solche Beschädigungen sind: Im Innenbereich: - Herausreißen der Geräteanschlußleitung mit dem Fuß bei "fliegender" Verlegung, - Beschädigung unter Putz verlegter Leitungen durch Bohren oder Nageln, - Eindringen von Wasser in Fensterbank-Kanäle, - Eindringen von Wasser in Fußbodenkanäle bei der Gebäudereinigung, - Beschädigung auf Putz oder Estrich verlegter Leitungen beim Transport sperriger und schwerer Gegenstände. Im Außenbereich: - Beschädigung bei Tiefbauarbeiten, sowohl durch Handschachtung als auch durch Bagger, - Eindringen von Wasser in Erdtrassen/Erdkabel, Beispiel: In einer Fußgängerzone hatte es sich die Putzfrau eines kleinen Geschäftes zu Angewohnheit gemacht, das gebrauchte Putzwasser in den direkt vor der Ladentür befindlichen Revisionsschacht einer Post-Kabeltrasse zu schütten. Das Wasser verdunstete zwar mit der Zeit immer wieder, der Schmutz- und Seifenanteil jedoch lagerte sich auf den Kabeln ab und mußte für Arbeiten daran erst mühsam und zeitaufwendig entfernt werden. - Beschädigung von Kabeln durch Nagetiere, - Beschädigung von Trassen und Kabeln durch Wurzeln (Baumwurzeln besitzen genug Kraft, um Kabel abzuquetschen), - Beschädigung durch Überschreitung zulässiger Verkehrslasten (Rohre können brechen, Kabel können abscheren). Version 1998 Teil 1 - Kapitel 6.7 - Seite 25 Heterogene Netze G 3.6 IT-Grundschutzhandbuch Gefährdung durch Reinigungs- oder Fremdpersonal Die Gefährdung durch Reinigungs- und Fremdpersonal erstreckt sich von der unsachgemäßen Behandlung der technischen Einrichtungen, über den Versuch des "Spielens" am IT-System ggf. bis zum Diebstahl von IT-Komponenten. Beispiele: Durch Reinigungspersonal kann versehentlich eine Steckverbindung gelöst werden, Wasser kann in Geräte gelangen, Unterlagen können verlegt oder sogar mit dem Abfall entfernt werden. Teil 1 - Kapitel 6.7 - Seite 26 Version 1998 IT-Grundschutzhandbuch G 3.8 Heterogene Netze Fehlerhafte Nutzung des IT-Systems Eine fehlerhafte Nutzung des IT-Systems beeinträchtigt die Sicherheit eines IT-Systems, wenn dadurch IT-Sicherheitsmaßnahmen mißachtet oder umgangen werden. Dies kann vermieden werden, wenn der Benutzer über die ordnungsgemäße Funktion und den Betrieb eines IT-Systems ausreichend informiert ist. Beispiele: zu großzügig vergebene Rechte, leicht zu erratende Paßwörter, versehentliches Löschen, Datenträger mit den Sicherheitskopien sind für Unbefugte zugänglich, das Terminal wird bei vorübergehender Abwesenheit nicht verschlossen u.v.a. Version 1998 Teil 1 - Kapitel 6.7 - Seite 27 Heterogene Netze G 3.9 IT-Grundschutzhandbuch Fehlerhafte Administration des IT-Systems Eine fehlerhafte Administration beeinträchtigt die Sicherheit eines IT-Systems, wenn dadurch ITSicherheitsmaßnahmen mißachtet oder umgangen werden. Eine fehlerhafte Administration liegt z. B. vor, wenn Netzzugangsmöglichkeiten (DaemonProzesse) geschaffen oder nicht verhindert werden, die für den ordnungsgemäßen Betrieb des IT-Systems nicht notwendig sind oder auf Grund ihrer Fehleranfälligkeit eine besonders große Bedrohung darstellen. Beispiele: Über das bei G 3.8 Fehlerhafte Nutzung des IT-Systems gesagte hinaus kann der Systemadministrator durch eine fehlerhafte Installation neuer oder vorhandener Software Gefährdungen schaffen. Eine fehlerhafte Administration liegt auch vor, wenn Protokollierungsmöglichkeiten nicht genutzt oder vorhandene Protokolldateien nicht ausgewertet werden, wenn zu großzügig Zugangsberechtigungen vergeben und diese dann nicht in gewissen Abständen kontrolliert werden, wenn Login-Namen oder UIDs mehr als einmal vergeben werden oder wenn vorhandene Sicherheitstools, wie z. B. unter Unix die Benutzung einer shadow-Datei für die Paßwörter, nicht genutzt werden. Teil 1 - Kapitel 6.7 - Seite 28 Version 1998 IT-Grundschutzhandbuch G 3.28 Heterogene Netze Ungeeignete Konfiguration der aktiven Netzkomponenten Durch eine ungeeignete Konfiguration der Netzkomponenten kann es zu einem Verlust der Verfügbarkeit des Netzes oder Teilen davon, zu einem Verlust der Vertraulichkeit von Informationen oder zu einem Verlust der Datenintegrität kommen. Dabei können insbesondere die folgenden Fehlkonfigurationen unterschieden werden: - Aktive Netzkomponenten, die zur Bildung von VLANs (Virtual LANs) eingesetzt werden, segmentieren das Netz logisch. Im Fall einer Fehlkonfiguration kann ggf. die Kommunikation innerhalb eines VLANs, zwischen einzelnen oder zwischen allen VLANs zum Erliegen kommen. In Abhängigkeit der VLAN-Strategie des betreffenden Herstellers betrifft dies zum einen die Zuordnung von miteinander kommunizierenden Systemen zu den gleichen VLANs, zum anderen auch das VLAN-Routing, insofern ein solches durch die aktiven Netzkomponenten unterstützt wird. Beispiel: Bei VLANs, die nur über Router miteinander kommunizieren können, werden die zentralen Infrastrukturserver, die beispielsweise Datei- und Druckdienste bereitstellen, nicht gleichzeitig auch den VLANs der Arbeitsplatzsysteme zugeordnet, Router sind ebenfalls nicht vorhanden. In diesem Fall können einige Arbeitsplatzsysteme die Dienste der zentralen Infrastrukturserver nicht nutzen, da diese in einem nicht erreichbaren Teilnetz sind. - Ein Netz kann durch den Einsatz von Routern mittels Teilnetzbildung strukturiert werden. Für eine Kommunikation zwischen den Teilnetzen ist eine entsprechende Konfiguration der Router erforderlich, die hierzu die Leitwege zwischen den verschiedenen Teilnetzen in Routing-Tabellen vorhalten müssen. Routing-Tabellen können statisch oder dynamisch verwaltet werden. In beiden Fällen ist eine Kommunikation zwischen unterschiedlichen Teilnetzen nicht möglich, wenn die Routing-Tabellen keinen Leitweg zwischen den betreffenden Teilnetzen enthalten. Zu einer Fehlkonfiguration kann es dementsprechend durch eine fehlerhafte Definition statischer Routing-Tabellen oder durch eine fehlerhafte Konfiguration der Routing-Protokolle (wie z. B. RIP oder OSPF) kommen, die zum automatischen Abgleich dynamischer Routing-Tabellen verwendet werden. Beispiel: Eine Router-zu-Router-Verbindung ist durch einen statischen Eintrag der entsprechenden IP-Adressen konfiguriert. Bei einer Änderung der IP-Adresse einer der Router oder durch das Zwischenschalten eines weiteren Routers ist diese Kommunikationsstrecke nicht mehr verfügbar. - Aktive Netzkomponenten, die in der Lage sind, Protokolle oder Netzadressen zu filtern, können mit dieser Technik eine Kommunikation bestimmter Protokolle unterbinden oder eine Kommunikation zwischen Systemen mit bestimmten Netzadressen verhindern. Eine Fehlkonfiguration der betreffenden Filter kann entsprechend zu einer unerwünschten Unterbindung der Kommunikation in Abhängigkeit des fehlkonfigurierten Filters und der Art der Fehlkonfiguration führen. Ebenso können fehlkonfigurierte Filter dazu führen, daß Verbindungen aufgebaut werden, die Eindringlingen die Möglichkeit bieten, Angriffe gegen IT-Systeme im geschützten Netz durchzuführen. Je nach Art des Angriffs kann daraus ein Verlust der Verfügbarkeit einzelner Netzkomponenten oder auch des ganzen Netzes resultieren. Weiterhin können z. B. durch die mögliche Manipulation der Verbindungswege Datenpakete umgeleitet werden oder Datenpakete verändert oder mitgelesen werden. Version 1998 Teil 1 - Kapitel 6.7 - Seite 29 Heterogene Netze IT-Grundschutzhandbuch Beispiel: Ein Multiport-Repeater ist so konfiguriert, daß nur Systeme mit bestimmten MAC-Adressen an bestimmte Ports angeschlossen werden können. Nach einem Austausch der Netzkarte in einem der Endgeräte und der damit verbundenen Änderung der MACAdresse, wird dieses System keine Verbindung mehr zum Netz bekommen (Verlust der Verfügbarkeit) Durch eine ungeeignete Konfiguration von aktiven Netzkomponenten (insbesondere von VLANs oder Filterregeln) können Broadcast-Domänen unnötig groß werden oder es können unnötige Kommunikationsverbindungen entstehen. Dadurch kann es Unbefugten möglich sein, vertrauliche Daten zu lesen. Teil 1 - Kapitel 6.7 - Seite 30 Version 1998 IT-Grundschutzhandbuch G 3.29 Heterogene Netze Fehlende oder ungeeignete Segmentierung Lokale Netze können physikalisch durch aktive Netzkomponenten oder logisch durch eine entsprechende VLAN-Konfiguration segmentiert werden. Dabei werden die angeschlossenen ITSysteme eines Netzes auf verschiedene Segmente verteilt. Dies verbessert die Lastverteilung innerhalb des Netzes und erhöht dessen Administrierbarkeit. Dabei kann es zu folgenden konkreten Gefährdungen kommen: - Verlust der Verfügbarkeit Durch eine hohe Anzahl von IT-Systemen innerhalb eines Schicht-2-Segments erhöht sich in diesem die Netzlast. Dies kann die Verfügbarkeit dieses Netzsegmentes stark beeinträchtigen oder sogar zu dessen Überlastung und Ausfall führen. Bei CSMA/CDbasierten Netzzugangsprotokollen (z. B. Ethernet) kommt es daneben häufiger zu Kollisionen, wodurch sich die verfügbare Bandbreite reduziert. Eine ungeeignete Segementierung kann auch dann vorliegen, wenn Systeme durch aktive Netzkomponenten der Schicht 2 oder 3 getrennt werden, die sehr viel miteinander kommunizieren. - Kein ausreichender Schutz der Vertraulichkeit Um einen Schutz vertraulicher Daten gewährleisten zu können, sollten auch nur die unbedingt notwendigen Benutzer darauf Zugriff haben. Broadcast-Domänen sind daher auf das unbedingt notwendige Maß zu beschränken. Wurden die einzelnen Segmente jedoch ungeeignet konfiguriert, können nun auch andere Benutzer die übertragenen Nachrichten mit vertraulichen Daten mitlesen und ggf. auswerten. Beispiele: - Zwei IT-Systeme, die große Datenmengen austauschen, sind durch einen Router getrennt. Dies kann eine ungeeignete Segmentierung darstellen, da der Datenverkehr durch einen relativ langsamen Router geführt werden muß. - Zwei IT-Systeme, die häufig Paßwörter oder andere sensitive Informationen austauschen, sind durch eine Brücke getrennt. Dies bedingt, daß dieser Datenverkehr in beiden Segmenten abgehört werden kann. Die Begrenzung des Datenverkehrs zwischen diesen beiden IT-Systemen auf ein Segment würde einen höheren Schutz der Vertraulichkeit mit sich bringen. Version 1998 Teil 1 - Kapitel 6.7 - Seite 31 Heterogene Netze G 4.1 IT-Grundschutzhandbuch Ausfall der Stromversorgung Trotz hoher Versorgungssicherheit kommt es immer wieder zu Unterbrechungen der Stromversorgung seitens der Energieversorgungsunternehmen (EVU). Die größte Zahl dieser Störungen ist mit Zeiten unter einer Sekunde so kurz, daß der Mensch sie nicht bemerkt. Aber schon Unterbrechungen von mehr als 10 ms sind geeignet, den IT-Betrieb zu stören. Bei einer bundesweiten Messung mit ca. 60 Meßstellen wurden 1983 rund 100 solcher Netzeinbrüche registriert. Davon dauerten fünf Ausfälle bis zu 1 Stunde und einer länger als eine Stunde. Diese Unterbrechungen beruhten einzig auf Störungen im Versorgungsnetz. Dazu kommen Unterbrechungen durch Abschaltungen bei nicht angekündigten Arbeiten oder durch Kabelbeschädigungen bei Tiefbauarbeiten. Von der Stromversorgung sind nicht nur die offensichtlichen, direkten Stromverbraucher (PC, Beleuchtung usw.) abhängig. Alle Infrastruktureinrichtungen sind heute direkt oder indirekt vom Strom abhängig, z. B. Aufzüge, Rohrpostanlagen, Klimatechnik, Gefahrenmeldeanlagen, Telefonnebenstellenanlagen. Selbst die Wasserversorgung in Hochhäusern ist wegen der zur Druckerzeugung in den oberen Etagen erforderlichen Pumpen stromabhängig. Beispiel: In einem großen süddeutschen Industriebetrieb war die gesamte Stromversorgung für mehrere Stunden unterbrochen, da technische Probleme beim Stromversorgungsunternehmen aufgetreten waren. Infolgedessen fielen sowohl die Produktion als auch sämtliche Rechner der Entwicklungsabteilungen aus, die über keine Ersatz-Stromversorgung verfügten. Teil 1 - Kapitel 6.7 - Seite 32 Version 1998 IT-Grundschutzhandbuch G 4.6 Heterogene Netze Spannungsschwankungen/Überspannung/Unterspannung Durch Schwankungen der Versorgungsspannung kann es zu Funktionsstörungen und Beschädigungen der IT kommen. Die Schwankungen reichen von extrem kurzen und kleinen Ereignissen, die sich kaum oder gar nicht auf die IT auswirken, bis zu Totalausfällen oder zerstörerischen Überspannungen. Die Ursache dafür kann in allen Bereichen des Stromversorgungsnetzes entstehen, vom Netz des Energieversorgungsunternehmens bis zum Stromkreis, an dem die jeweiligen Geräte angeschlossen sind. Version 1998 Teil 1 - Kapitel 6.7 - Seite 33 Heterogene Netze G 4.8 IT-Grundschutzhandbuch Bekanntwerden von Softwareschwachstellen Unter Softwareschwachstellen sollen unbeabsichtigte Programmfehler verstanden werden, die dem Anwender nicht oder noch nicht bekannt sind und ein Sicherheitsrisiko für das IT-System darstellen. Es werden ständig neue Sicherheitslücken in vorhandener, auch in weit verbreiteter oder ganz neuer Software gefunden. Beispiele: Zwei Beispiele für Softwareschwachstellen, die unter Unix auftraten, waren - ein Sendmail Bug, durch den es für jeden Benutzer möglich war, unter der UID und GID von sendmail Programme auszuführen und Dateien zu verändern, und - die Routine gets. Diese wurde vom Programm fingerd zum Einlesen einer Zeile benutzt, ohne daß eine Überprüfung der Variablengrenzen vorgenommen wurde. So konnte durch einen Überlauf der Stack so verändert werden, daß eine neue Shell gestartet werden konnte. Teil 1 - Kapitel 6.7 - Seite 34 Version 1998 IT-Grundschutzhandbuch G 4.31 Heterogene Netze Ausfall oder Störung von Netzkomponenten Durch einen Ausfall oder eine Störung von aktiven Netzkomponenten kommt es zu einem Verlust der Verfügbarkeit des Netzes oder von Teilbereichen davon. Hier können 3 Varianten unterschieden werden: - Bei Ausfall oder Störung der kompletten Netzkomponente ist das gesamte Netz für alle angeschlossenen Endgeräte nicht mehr verfügbar. Beim Ausfall oder Störung nur eines Ports ist nur für das dort angeschlossene Endgerät das Netz nicht mehr verfügbar. Beispiel: Fällt, wie in der folgenden Abbildung dargestellt, der zentrale Switch 1 völlig aus, ist keinerlei Kommunikation zwischen den angeschlossenen Endgeräten mehr möglich. Switch 1 Arbeitsplatz 1 - Arbeitsplatz 2 Server 1 Server 2 Arbeitsplatz 3 Arbeitsplatz 4 Es handelt sich um aktive Netzkomponenten, die zwar nicht direkt an den Netzsegmenten von miteinander kommunizierenden Arbeitsplatz- und Serversystemen angeschlossen sind, jedoch im Signalpfad zwischen Arbeitsplatz- und Serversystemen liegen. Falls keine redundanten Signalpfade zwischen den betreffenden Arbeitsplatz- und Serversystemen zur Verfügung stehen, kann bei Ausfall oder Störung einer oder mehrerer dieser Komponenten keine oder nur eingeschränkte Kommunikation zwischen Arbeitsplatz- und Serversystemen mehr stattfinden. Beispiel: Fällt, wie in der folgenden Abbildung dargestellt, Switch 1 völlig aus, ist von den Arbeitsplätzen 3 und 4 weder eine Kommunikation mit den beiden Servern noch mit den anderen Arbeitplätzen möglich. Version 1998 Teil 1 - Kapitel 6.7 - Seite 35 Heterogene Netze G 5.1 IT-Grundschutzhandbuch Manipulation/Zerstörung von IT-Geräten oder Zubehör Außentäter, aber auch Innentäter, können aus unterschiedlichen Beweggründen (Rache, Böswilligkeit, Frust) heraus versuchen, IT-Geräte, Zubehör, Schriftstücke oder ähnliches zu manipulieren oder zu zerstören. Die Manipulationen können dabei umso wirkungsvoller sein, je später sie entdeckt werden, je umfassender die Kenntnisse des Täters sind und je tiefgreifender die Auswirkungen auf einen Arbeitsvorgang sind. Die Auswirkungen reichen von der unerlaubten Einsichtnahme in schützenswerte Daten bis hin zur Zerstörung von Datenträgern oder ITSystemen, die erhebliche Ausfallzeiten nach sich ziehen können. Teil 1 - Kapitel 6.7 - Seite 36 Version 1998 IT-Grundschutzhandbuch G 5.2 Heterogene Netze Manipulation an Daten oder Software Daten oder Software können auf vielfältige Weise manipuliert werden: durch falsches Erfassen von Daten, Änderungen von Zugriffsrechten, inhaltliche Änderung von Abrechnungsdaten oder von Schriftverkehr, Änderungen in der Betriebssystemsoftware und vieles mehr. Ein Täter kann allerdings nur die Daten und Software manipulieren, auf die er Zugriff hat. Je mehr Zugriffsrechte eine Person besitzt, desto schwerwiegendere Manipulationen kann sie vornehmen. Falls die Manipulationen nicht frühzeitig erkannt werden, kann der reibungslose IT-Einsatz empfindlich gestört werden. Manipulationen an Daten oder Software können aus Rachegefühlen, um einen Schaden mutwillig zu erzeugen, zur Verschaffung persönlicher Vorteile oder zur Bereicherung vorgenommen werden. Beispiel: 1993 wurde in einem Schweizer Finanzunternehmen durch einen Mitarbeiter die Einsatzsoftware für bestimmte Finanzdienstleistungen manipuliert. Damit war es ihm möglich, sich illegal größere Geldbeträge zu verschaffen. Version 1998 Teil 1 - Kapitel 6.7 - Seite 37 Heterogene Netze G 5.4 IT-Grundschutzhandbuch Diebstahl Durch den Diebstahl von IT-Geräten, Zubehör, Software oder Daten entstehen einerseits Kosten für die Wiederbeschaffung sowie für die Wiederherstellung eines arbeitsfähigen Zustandes, andererseits Verluste aufgrund mangelnder Verfügbarkeit. Darüber hinaus können Schäden durch einen Vertraulichkeitsverlust und daraus resultierenden Konsequenzen entstehen. Teil 1 - Kapitel 6.7 - Seite 38 Version 1998 IT-Grundschutzhandbuch G 5.5 Heterogene Netze Vandalismus Vandalismus ist dem Anschlag sehr verwandt, nur daß er nicht wie dieser gezielt eingesetzt wird, sondern meist Ausdruck blinder Zerstörungswut ist. Sowohl Außentäter (z. B. enttäuschte Einbrecher, außer Kontrolle geratene Demonstrationen) als auch Innentäter (z. B. frustrierte oder alkoholisierte Mitarbeiter) kommen in Betracht. Die tatsächliche Gefährdung durch Vandalismus ist schwerer abschätzbar als die eines Anschlages, da ihm in der Regel keine zielgerichtete Motivation zugrunde liegt. Persönliche Probleme oder ein schlechtes Betriebsklima können dabei Ursachen sein. Version 1998 Teil 1 - Kapitel 6.7 - Seite 39 Heterogene Netze G 5.6 IT-Grundschutzhandbuch Anschlag Die technischen Möglichkeiten, einen Anschlag zu verüben, sind vielfältig: geworfene Ziegelsteine, Explosion durch Sprengstoff, Schußwaffengebrauch, Brandstiftung. Ob und in welchem Umfang ein IT-Betreiber der Gefahr eines Anschlages ausgesetzt ist, hängt neben der Lage und dem Umfeld des Gebäudes stark von seinen Aufgaben und vom politisch-sozialen Klima ab. ITBetreiber in politisch kontrovers diskutierten Bereichen sind stärker bedroht als andere. ITBetreiber in der Nähe üblicher Demonstrationsaufmarschgebiete sind stärker gefährdet als solche in abgelegenen Randbereichen. Für die Einschätzung der Gefährdung durch politisch motivierte Anschläge können die Landeskriminalämter oder das Bundeskriminalamt beratend hinzugezogen werden. Beispiele: - In den 80er Jahren wurde ein Sprengstoffanschlag auf das Rechenzentrum einer großen Bundesbehörde in Köln verübt. - Ein Finanzamt im rheinischen Raum wurde praktisch jährlich durch Bombendrohungen für einige Stunden lahmgelegt. - Ende der 80er Jahre wurde von einem versuchten Anschlag der RAF auf das Rechenzentrum einer großen deutschen Bank berichtet. Teil 1 - Kapitel 6.7 - Seite 40 Version 1998 IT-Grundschutzhandbuch G 5.7 Heterogene Netze Abhören von Leitungen Wegen des geringen Entdeckungsrisikos ist das Abhören von Leitungen eine nicht zu vernachlässigende Gefährdung der IT-Sicherheit. Grundsätzlich gibt es keine abhörsicheren Kabel. Lediglich der erforderliche Aufwand zum Abhören unterscheidet die Kabel. Ob eine Leitung tatsächlich abgehört wird, ist nur mit hohem meßtechnischen Aufwand feststellbar. Der Entschluß, eine Leitung abzuhören, wird im wesentlichen durch die Frage bestimmt, ob die Informationen den technischen (kostenmäßigen) Aufwand und das Risiko der Entdeckung wert sind. Die Beantwortung dieser Frage ist sehr von den individuellen Möglichkeiten und Interessen des Angreifers abhängig. Somit ist eine sichere Festlegung, welche Informationen und damit Leitungen ggf. abgehört werden, nicht möglich. Beispiele: - So ist es z. B. falsch anzunehmen, daß per Electronic Mail versandte Nachrichten mit klassischen Briefen vergleichbar sind. Da Mails während ihres gesamten Weges durch das Netz gelesen werden können, ist ein Vergleich mit Postkarten sehr viel realistischer. - Einige Hersteller liefern Programme (Sniffer), die zum Debuggen der Netze dienen, aber auch zum Abhören benutzt werden können, schon zusammen mit ihren Betriebssystemen aus. Version 1998 Teil 1 - Kapitel 6.7 - Seite 41 Heterogene Netze G 5.8 IT-Grundschutzhandbuch Manipulation an Leitungen Neben dem Abhören von Leitungen (siehe G 5.7 Abhören von Leitungen) kann eine Manipulation an Leitungen noch andere Ziele haben: - Frustrierte Mitarbeiter manipulieren Leitungen so, daß es zu unzulässigen Verbindungen innerhalb und außerhalb der eigenen IT kommt. Dabei geht es oft nur darum, den ITBetrieb zu stören. - Leitungen können so manipuliert werden, daß eine private Nutzung zu Lasten des Netzbetreibers erfolgen kann. Neben den dadurch entstehenden Kosten bei der Nutzung gebührenpflichtiger Verbindungen werden Leitungen und Ressourcen durch die private Nutzung blockiert. - Durch die Manipulation von Leitungen kann es möglich werden, darauf übertragene Daten zum Vorteil des Täters zu verändern. Insbesondere bei kassenwirksamen Verfahren, in der Lohnbuchhaltung und bei allen IT-Anwendungen, die sich direkt oder indirekt mit der Verwaltung von Sachwerten befassen, können sich durch Manipulationen hohe Schäden ergeben. Teil 1 - Kapitel 6.7 - Seite 42 Version 1998 IT-Grundschutzhandbuch G 5.9 Heterogene Netze Unberechtigte IT-Nutzung Ohne Mechanismen zur Identifikation und Authentisierung von Benutzern ist die Kontrolle über unberechtigte IT-Nutzung praktisch nicht möglich. Selbst bei IT-Systemen mit einer Identifikations- und Authentisierungsfunktion in Form von Benutzer-ID- und Paßwort-Prüfung ist eine unberechtigte Nutzung denkbar, wenn Paßwort und zugehörige Benutzer-ID ausgespäht werden. Um das geheimgehaltene Paßwort zu erraten, können Unbefugte innerhalb der Login-Funktion ein mögliches Paßwort eingeben. Die Reaktion des IT-Systems gibt anschließend Aufschluß darüber, ob das Paßwort korrekt war oder nicht. Auf diese Weise können Paßwörter durch Ausprobieren erraten werden. Viel erfolgversprechender ist jedoch die Attacke, ein sinnvolles Wort als Paßwort anzunehmen und alle Benutzereinträge durchzuprobieren. Bei entsprechend großer Benutzeranzahl wird damit oft eine gültige Kombination gefunden. Falls die Identifikations- und Authentisierungsfunktion mißbräuchlich nutzbar ist, so können sogar automatisch Versuche gestartet werden, indem ein Programm erstellt wird, das systematisch alle möglichen Paßwörter testet. Beispiel: 1988 nutzte der Internet-Wurm eine Schwachstelle der betroffenen Unix-Betriebssysteme aus, um gültige Paßwörter zu finden, obwohl die gültigen Paßwörter verschlüsselt gespeichert waren. Dazu probierte ein Programm sämtliche Eintragungen eines Wörterbuches aus, indem es sie mit der zur Verfügung stehenden Chiffrierfunktion verschlüsselte und mit den abgespeicherten verschlüsselten Paßwörtern verglich. Sobald eine Übereinstimmung gefunden war, war auch ein gültiges Paßwort erkannt. Version 1998 Teil 1 - Kapitel 6.7 - Seite 43 Heterogene Netze G 5.18 IT-Grundschutzhandbuch Systematisches Ausprobieren von Paßwörtern Zu einfache Paßwörter lassen sich durch systematisches Ausprobieren herausfinden. Beispiel: Eine Untersuchung von Klein (Klein, Daniel V. 1990, USENIX Security Workshop Proceedings, Portland August 1990) an 15000 Accounts ergab eine Erfolgsquote von 24,2 %, wobei folgende Möglichkeiten für ein Paßwort ausprobiert wurden: ca. 130 Variationen des Login Namens (Vor- und Zuname) und anderer persönlicher Daten aus dem /etc/passwd File, häufige Namen, Namen von bekannten Personen, Namen und Orte aus Filmen, von Sportereignissen und aus der Bibel, gebräuchliche Schimpfwörter und Wörter aus Fremdsprachen, verschiedene Variationen dieser Wörter, wie z. B. Umwandlung Groß-Kleinschreibung, Einfügen von Sonder- und Kontrollzeichen, Umkehrung der Buchstabenreihenfolge, wiederholte Buchstaben (z. B. aaabbb) oder häufige Abkürzungen (z. B. rggbv für die Farben des Regenbogens) und Paare aus zwei kurzen Wörtern. Alle diese Kombinationen und mehr lassen sich mit Hilfe des Public Domain Programms crack von jedem Benutzer eines Unix-Systems, auf dem die Paßwortdatei frei zugänglich ist, ausprobieren. Darüber hinaus ist die Wahrscheinlichkeit, ein Paßwort durch systematisches Probieren aller Kombinationen zu finden, bei zu kurzen Paßwörtern groß. Teil 1 - Kapitel 6.7 - Seite 44 Version 1998 IT-Grundschutzhandbuch G 5.28 Heterogene Netze Verhinderung von Diensten Ein solcher Angriff zielt darauf ab, die IT-Benutzer daran zu hindern, Funktionen oder Geräte zu benutzen, die ihnen normalerweise zur Verfügung stehen. Dieser Angriff steht häufig im Zusammenhang mit verteilten Ressourcen, indem ein Angreifer diese Ressourcen so stark in Anspruch nimmt, daß andere Benutzer an der Arbeit gehindert werden. Es können z. B. die folgenden Ressourcen künstlich verknappt werden: Prozesse, CPU-Zeit, Plattenplatz, Inodes, Verzeichnisse. Dies kann z. B. geschehen durch - das Starten von beliebig vielen Programmen gleichzeitig, - das mehrfache Starten von Programmen, die viel CPU-Zeit verbrauchen, - das Belegen aller freien Inodes in einem Unix-System, so daß keine neuen Dateien mehr angelegt werden können, - das Anlegen sehr vieler kleiner Dateien in einem Verzeichnis auf einem DOS-PC, so daß in diesem Verzeichnis keine neuen Dateien mehr angelegt werden können, - die gezielte Überlastung des Netzes, - das Kappen von Netzverbindungen. Version 1998 Teil 1 - Kapitel 6.7 - Seite 45 Heterogene Netze G 5.66 IT-Grundschutzhandbuch Unberechtigter Anschluß von IT-Systemen an ein Netz Grundsätzlich kann der unberechtigte Anschluß eines IT-Systems in ein bestehendes Netz (durch ein Aufschalten auf die zugehörige Verkabelung oder durch die Nutzung von Schnittstellen in Verteiler- oder Büroräumen) nicht verhindert werden. Es gibt keinen Verkabelungstyp, der ein solches Ankoppeln verhindern würde, lediglich der erforderliche Aufwand zum Auftrennen der Verkabelung und zum Lesen bzw. Einspielen von Daten unterscheidet die verschiedenen Typen. Die unberechtigte Integration eines Rechners in ein Netz ist nur sehr schwer zu entdecken und bleibt meistens unbemerkt. Ein solcher Zugriff betrifft den gesamten Netzverkehr in dem zugehörigen Segment und kann z. B. - die Manipulation an Daten oder Software, - das Abhören von Leitungen, - die Manipulation an Leitungen, - das Wiedereinspielen von Nachrichten, - die Maskerade als anderer Kommunikationsteilnehmer, - eine Analyse des Nachrichtenflusses, - die Verhinderung von Diensten, - die unberechtigte Ausführung von Netzmanagementfunktionen oder - den unberechtigten Zugang zu den aktiven Netzkomponenten begünstigen. Teil 1 - Kapitel 6.7 - Seite 46 Version 1998 IT-Grundschutzhandbuch G 5.67 Heterogene Netze Unberechtigte Ausführung von Netzmanagementfunktionen Durch die unberechtigte Ausführung von Netzmanagementfunktionen können aktive Netzkomponenten teilweise oder vollständig kontrolliert werden. Die Kontrollmöglichkeiten werden u. a. durch das verwendete Netzmanagementprotokoll, wie z. B. SNMP oder CMIP/CMOT bestimmt. Daraus kann ein Verlust der Netzintegrität, der Verfügbarkeit einzelner oder aller Netzbestandteile sowie der Vertraulichkeit bzw. Integrität von Daten resultieren. Unter Verwendung eines Serviceprotokolls, wie z. B. SNMP, können dedizierte Ports aktiver Netzkomponenten aktiviert oder insbesondere auch deaktiviert werden. Weiterhin können z. B. die VLAN-Konfiguration, Routing-Tabellen, die Router-Konfiguration sowie die Konfiguration von Filtern manipuliert werden (siehe G 3.28 Ungeeignete Konfiguration der aktiven Netzkomponenten). Daneben kann die Möglichkeit einer Verteilung von Firmware-Updates über das Netz genutzt werden, um unberechtigt Software auf aktiven Netzkomponenten zu installieren, mit deren Unterstützung wiederum vielfältige Angriffe auf Komponenten innerhalb des Netzes durchgeführt oder unterstützt werden können. Version 1998 Teil 1 - Kapitel 6.7 - Seite 47 Heterogene Netze G 5.68 IT-Grundschutzhandbuch Unberechtigter Zugang zu den aktiven Netzkomponenten Aktive Netzkomponenten haben üblicherweise eine serielle Schnittstelle (RS-232), an die von außen ein Terminal oder ein tragbarer PC angeschlossen werden kann. Dadurch ist es möglich, aktive Netzkomponenten auch lokal zu administrieren. Bei unzureichend gesicherten Schnittstellen ist es denkbar, daß Angreifer einen unberechtigten Zugang zur Netzkomponente erlangen. Sie können somit nach Überwindung der lokalen Sicherheitsmechanismen (z. B. des Paßwortes) ggf. alle Administrationstätigkeiten ausüben. Dabei können durch das Auslesen der Konfiguration aktiver Netzkomponenten ggf. schutzbedürftige Informationen über die Topologie, die Sicherheitsmechanismen und die Nutzung eines Netzes in Erfahrung gebracht werden. Ein Auslesen der Konfigurationsdaten ist z. B. durch den Anschluß eines Terminals oder tragbaren PCs an die serielle Schnittstelle der aktiven Netzkomponente, durch den Zugriff auf die aktive Netzkomponente über das lokale Netz oder durch das Mitlesen der Daten auf einem Bildschirm oder Display möglich, falls die aktive Netzkomponente gerade administriert bzw. konfiguriert wird. Teil 1 - Kapitel 6.7 - Seite 48 Version 1998 IT-Grundschutzhandbuch M 1.25 Heterogene Netze Überspannungsschutz Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Haustechnik, Administrator Je nach Qualität und Ausbau des Versorgungsnetzes des Energieversorgungsunternehmens und des eigenen Stromleitungsnetzes, abhängig vom Umfeld (andere Stromverbraucher) und von der geographischen Lage, können durch Induktion oder Blitzschlag Überspannungsspitzen im Stromversorgungsnetz entstehen. Überspannungen durch Blitz haben i. d. R. ein recht hohes zerstörerisches Potential, während Überspannungen anderer Ursachen geringer sind, aber trotzdem ausreichen können, um die IT zu stören. Ein komplettes Überspannungschutzkonzept baut sich in drei Stufen auf: - der Grobschutz in der Gebäudeeinspeisung, - der Mittelschutz in den Etagenverteilern und - der Feinschutz an den jeweiligen Steckdosen und den Steckverbindungen aller anderen Leitungen. Die Auslegung des Grobschutzes ist von dem Vorhandensein eines äußeren Blitzschutzes abhängig. Die Schutzwirkung jeder Stufe baut auf der vorherigen auf. Der Verzicht auf eine Stufe macht den gesamten Überspannungsschutz nahezu unwirksam. Ist der gebäudeweite Aufbau eines Überspannungsschutzes nicht möglich, so kann man zumindest wichtige Teile der IT (Server etc.) mit einer entsprechenden Schutzzone umgeben. Netze mit einer Vielzahl angeschlossener Geräte können, um einen möglichen Schaden klein zu halten, durch Optokoppler oder Überspannungsableiter in kleine, gegeneinander geschützte Bereiche aufgeteilt werden. Zwei Grundvoraussetzungen sind unabhängig von Umfang und Ausbau des Überspannungsschutzes zu beachten: - Die Leitungslänge zwischen dem Feinschutz und zu schützenden Geräten sollte 20 m nicht überschreiten. Falls doch, ist ein erneuter Feinschutz zwischenzuschalten. Verfügt ein Gerät über einen Feinschutz im Eingang, entfällt die 20 m Begrenzung. - Für einen funktionierenden Überspannungsschutz ist ein umfassender Potentialausgleich aller in den Überspannungsschutz einbezogenen elektrischen Betriebsmittel erforderlich! Ergänzende Kontrollfragen: - Werden Blitz- und Überspannungsschutzeinrichtungen periodisch und nach bekannten Ereignissen geprüft und ggf. ersetzt? - Ist ein durchgängiger Potentialausgleich realisiert? - Wird bei Nachinstallationen darauf geachtet, daß der Potentialausgleich mitgeführt wird? Version 1998 Teil 1 - Kapitel 6.7 - Seite 49 Heterogene Netze M 1.27 IT-Grundschutzhandbuch Klimatisierung Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT, Verantwortlich für Umsetzung: Haustechnik Um den zulässigen Betriebstemperaturbereich von IT-Geräten zu gewährleisten, reicht der normale Luft- und Wärmeaustausch eines Raumes manchmal nicht aus, so daß der Einbau einer Klimatisierung erforderlich wird. Deren Aufgabe ist es, die Raumtemperatur durch Kühlung unter dem von der IT vorgegebenen Höchstwert zu halten. Werden darüber hinaus Forderungen an die Luftfeuchtigkeit gestellt, kann ein Klimagerät durch Be- und Entfeuchtung auch diese erfüllen. Dazu muß das Klimagerät allerdings an eine Wasserleitung angeschlossen werden. M 1.24 Vermeidung von wasserführenden Leitungen ist zu beachten. Um die Schutzwirkung aufrechtzuerhalten, ist eine regelmäßige Wartung der Klimatisierungseinrichtung vorzusehen. Ergänzende Kontrollfragen: - In welchen für IT genutzte Räumen können erhöhte Temperaturen auftreten? - Werden eingesetzte Klimageräte regelmäßig gewartet? - Welches sind die für die IT zulässigen Höchst- und Tiefstwerte für Temperatur und Luftfeuchte? Teil 1 - Kapitel 6.7 - Seite 50 Version 1998 IT-Grundschutzhandbuch M 1.28 Heterogene Netze Lokale unterbrechungsfreie Stromversorgung Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Haustechnik, Administrator Mit einer unterbrechungsfreien Stromversorgung (USV) kann ein kurzzeitiger Stromausfall überbrückt werden oder die Stromversorgung solange aufrechterhalten werden, daß ein geordnetes Herunterfahren angeschlossener Rechner möglich ist. Dies ist insbesondere dann sinnvoll, - wenn im Rechner umfangreiche Daten zwischengespeichert werden (z. B. Cache-Speicher im Netz-Server), bevor sie auf nichtflüchtige Speicher ausgelagert werden, - beim Stromausfall ein großes Datenvolumen verloren gehen würde und nachträglich nochmals erfaßt werden müßte, - wenn die Stabilität der Stromversorgung nicht ausreichend gewährleistet ist. Zwei Arten der USV sind zu unterscheiden: - Off-Line-USV: Hierbei werden die angeschlossenen Verbraucher im Normalfall direkt aus dem Stromversorgungsnetz gespeist. Erst wenn dieses ausfällt, schaltet sich die USV selbsttätig zu und übernimmt die Versorgung. - On-Line-USV: Hier ist die USV ständig zwischen Netz und Verbraucher geschaltet. Die gesamte Stromversorgung läuft immer über die USV. Beide USV-Arten können neben der Überbrückung von Totalausfällen der Stromversorgung und Unterspannungen auch dazu dienen, Überspannungen zu glätten. Auch hier gilt hinsichtlich des Überspannungsschutzes die in M 1.25 Überspannungsschutz erläuterte Begrenzung auf 20 m. Werden IT-Geräte in einem Gebäude mit TN-S-Netz (siehe dazu M 1.39 Verhinderung von Ausgleichsströmen auf Schirmungen) mit einer lokalen USV versorgt, ist folgendes zu beachten: Um die Schutzwirkung des TN-S-Netzes gegen Ausgleichsströme auf Schirmen von Datenleitungen aufrecht zu erhalten, darf der PE-Leiter der Stromzuleitung nicht mit dem PELeiter der Ausgangsseite der USV verbunden werden. Bei der Dimensionierung einer USV kann man i. d. R. von einer üblichen Überbrückungszeit von ca. 10 bis 15 Minuten ausgehen. Die Mehrzahl aller Stromausfälle ist innerhalb von 5 bis 10 Minuten behoben, so daß nach Abwarten dieser Zeitspanne noch 5 Minuten übrigbleiben, um die angeschlossene IT geordnet herunterfahren zu können, sollte der Stromausfall länger andauern. Die meisten modernen USV-Geräte bieten Rechnerschnittstellen an, die nach einer vorher festgelegten Zeit, entsprechend dem Zeitbedarf der IT und der Kapazität der USV, ein rechtzeitiges automatisches Herunterfahren (Shut-down) einleiten können. Für spezielle Anwendungsfälle (z. B. TK-Anlagen) kann die erforderliche Überbrückungszeit auch mehrere Stunden betragen. Um die Schutzwirkung aufrechtzuerhalten, ist eine regelmäßige Wartung der USV vorzusehen. Falls die Möglichkeit besteht, die Stromversorgung unterbrechungsfrei aus einer anderen Quelle zu beziehen (z. B. durch Anschluß an eine zentrale USV), so stellt dies eine Alternative zur lokalen USV dar. Version 1998 Teil 1 - Kapitel 6.7 - Seite 51 Heterogene Netze IT-Grundschutzhandbuch Ergänzende Kontrollfragen: - Werden die Wartungsintervalle der USV eingehalten? - Ist ein automatisches Shut-down vorgesehen? - Wird die Wirksamkeit der USV regelmäßig getestet? - Haben sich Veränderungen ergeben, so daß die vorgehaltene Kapazität der USV nicht mehr ausreichend ist? Teil 1 - Kapitel 6.7 - Seite 52 Version 1998 IT-Grundschutzhandbuch M 1.29 Heterogene Netze Geeignete Aufstellung eines IT-Systems Verantwortlich für Initiierung: Leiter Haustechnik, Leiter IT Verantwortlich für Umsetzung: Haustechnik, IT-Benutzer Bei der Aufstellung eines IT-Systems sollten verschiedene Voraussetzungen beachtet werden, die die Lebensdauer und Zuverlässigkeit der Technik verbessern und die Ergonomie berücksichtigen. Einige seien hier genannt: - ein IT-System sollte nicht in unmittelbarer Nähe der Heizung aufgestellt werden, um eine Überhitzung zu vermeiden, - ein IT-System sollte nicht der direkten Sonneneinstrahlung ausgesetzt sein, - Staub und Verschmutzungen sollten vermieden werden, da die mechanischen Bauteile (Diskettenlaufwerke, mechanische Maus, Festplatten) beeinträchtigt werden können, - direkte Lichteinstrahlung auf den Bildschirm sollte aus ergonomischen Gründen vermieden werden, - der Standort in der Nähe eines Fensters oder einer Tür erhöht die Gefahr des Beobachtens von außerhalb. Weitere Hinweise sind den Empfehlungen der Berufsgenossenschaften zu entnehmen. Ergänzende Kontrollfragen: - Sind durch den Aufstellungsort bedingte Ausfälle in der Vergangenheit zu beobachten gewesen? - Beklagen sich Benutzer von IT-Systemen über unzureichende ergonomische Bedingungen? Version 1998 Teil 1 - Kapitel 6.7 - Seite 53 Heterogene Netze M 1.32 IT-Grundschutzhandbuch Geeignete Aufstellung von Konsole, Geräten mit austauschbaren Datenträgern und Druckern Verantwortlich für Initiierung: Leiter IT, TK-Anlagen-Verantwortlicher, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Diese Maßnahme dient der Absicherung der Schnittstellen eines IT-Systems zur Außenwelt, um auch dort den Sicherheitsanforderungen in bezug auf die gespeicherten und verarbeiteten Daten zu entsprechen, die im IT-System durch die internen Sicherheitsmechanismen und durch die Maßnahmen im Bereich Hardware/Software gewährleistet sind. Der Schutz vor unbefugtem Lesen von Informationen, der innerhalb des Systems durch die Mechanismen der Zugriffskontrolle gegeben ist, muß an diesen Schnittstellen hauptsächlich durch infrastrukturelle oder organisatorische Maßnahmen gewährleistet werden. Um Manipulationen an der Konsole, an Geräten mit austauschbaren Datenträgern und an Drukkern zu verhindern, müssen diese so aufgestellt werden, daß nur Berechtigte Zugang haben. Insbesondere gilt: - Bei Unix-Systemen dürfen Unbefugte keinen Zugang zur Konsole erhalten, weil sie dort unter Umständen den Unix-Rechner in den Single-User-Modus booten bzw. den MonitorModus aktivieren können und damit Systemadministrator-Rechte erlangen. - Es ist sicherzustellen, daß an den Geräten für austauschbare Datenträger - wie Streamern, Diskettenlaufwerken, Wechselplatten usw. - kein mißbräuchliches Ein- und Auslesen von Dateien möglich ist. - Nur Berechtigte dürfen Zutritt zu Räumen mit Druckern / Ausdrucken haben. Dieses kann z. B. durch Aufstellung der Drucker in einem geschlossenen Raum und Verteilung der Ausdrucke in nur für den jeweiligen Empfänger zugängliche Fächer durch eine vertrauenswürdige Person erreicht werden. Druckerausgaben müssen daher mit dem Namen des Empfängers gekennzeichnet sein. Dieses kann automatisch durch die Druckprogramme erfolgen. Diese Maßnahme wird ergänzt durch folgende Maßnahmen: - M 4.18 Administrative und technische Absicherung des Zugangs zum Monitor- und Single-User-Modus - M 4.21 Verhinderung des unautorisierten Erlangens von Administratorrechten Ergänzende Kontrollfragen: - Sind Konsole, Geräte für austauschbare Datenträger und Druckerausgaben vor unbefugtem Zugriff geschützt? Teil 1 - Kapitel 6.7 - Seite 54 Version 1998 IT-Grundschutzhandbuch M 2.4 Heterogene Netze Regelungen für Wartungs- und Reparaturarbeiten Verantwortlich für Initiierung: Leiter IT Verantwortlich für Umsetzung: Leiter IT, Administrator, IT-Benutzer Als vorbeugende Maßnahme, um IT vor Störungen zu bewahren, ist die ordnungsgemäße Durchführung von Wartungsarbeiten von besonderer Bedeutung. Die rechtzeitige Einleitung von Wartungsarbeiten und die Überprüfung ihrer Durchführung sollte von einer zentralen Stelle aus wahrgenommen werden (z. B. Beschaffungsstelle). Dabei sollten die Wartungsarbeiten von vertrauenswürdigen Personen oder Firmen durchgeführt werden. Wartungs- und Reparaturarbeiten im Hause Für Wartungs- und Reparaturarbeiten, insbesondere wenn sie durch Externe durchgeführt werden, sind Regelungen über deren Beaufsichtigung zu treffen: während der Arbeiten sollte eine fachkundige Kraft die Arbeiten soweit beaufsichtigen, daß sie beurteilen kann, ob während der Arbeit nicht-autorisierte Handlungen vollzogen werden. Weiterhin ist zu überprüfen, ob der Wartungsauftrag ausgeführt wurde. Als Maßnahmen vor und nach Wartungs- und Reparaturarbeiten sind einzuplanen: - Ankündigung der Maßnahme gegenüber den betroffenen Mitarbeitern. - Wartungstechniker müssen sich auf Verlangen ausweisen. - Der Zugriff auf Daten durch den Wartungstechniker ist soweit wie möglich zu vermeiden. Falls erforderlich, sind Speichermedien vorher auszubauen oder zu löschen (nach einer kompletten Datensicherung), insbesondere wenn die Arbeiten extern durchgeführt werden müssen. Falls das Löschen nicht möglich ist (z. B. aufgrund eines Defektes), sind die Arbeiten auch extern zu beobachten bzw. es sind besondere vertragliche Vereinbarungen zu treffen. - Die dem Wartungstechniker eingeräumten Zutritts-, Zugangs- und Zugriffsrechte sind auf das notwendige Minimum zu beschränken und nach den Arbeiten zu widerrufen bzw. zu löschen. - Nach der Durchführung von Wartungs- oder Reparaturarbeiten sind - je nach "Eindringtiefe" des Wartungspersonals - Paßwortänderungen erforderlich. Im PC-Bereich sollte ein Computer-Viren-Check durchgeführt werden. - Die durchgeführten Wartungsarbeiten sind zu dokumentieren (Umfang, Ergebnisse, Zeitpunkt, evtl. Name des Wartungstechnikers). Externe Wartungs- und Reparaturarbeiten Werden IT-Systeme zur Wartung oder Reparatur außer Haus gegeben, sind alle sensitiven Daten, die sich auf Datenträgern befinden, vorher physikalisch zu löschen. Ist dies nicht möglich, weil aufgrund eines Defekts nicht mehr auf die Datenträger zugegriffen werden kann, sind die mit der Reparatur beauftragten Unternehmen auf die Einhaltung der erforderlichen ITSicherheitsmaßnahmen zu verpflichten. Entsprechend M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen sind mit diesen vertragliche Regelungen über die Geheimhaltung von Daten zu treffen. Insbesondere ist festzulegen, daß Daten, die im Rahmen der Wartung extern gespeichert wurden, nach Abschluß der Arbeiten sorgfältig gelöscht werden. Ebenso sind die Pflichten und Kompetenzen des externen Wartungspersonals sorgfältig festzulegen. Version 1998 Teil 1 - Kapitel 6.7 - Seite 55 Heterogene Netze IT-Grundschutzhandbuch Die Durchführung externer Wartungsarbeiten muß protokolliert werden, welche IT-Systeme oder Komponenten wann an wen zur Reparatur gegeben wurden, wer dies veranlaßt hat, zu welchem Zeitpunkt die Reparatur abgeschlossen sein sollte und wann das Gerät wieder zurückgebracht wurde. Um dies nachhalten zu können, ist eine Kennzeichnung der IT-Systeme oder Komponenten erforderlich, aus der zum einem hervorgeht, welcher Organisation diese gehören, und zum anderen eine eindeutige Zuordnung innerhalb der Organisation möglich ist. Bei Versand oder Transport der zu reparierenden IT-Komponenten sollte darauf geachtet werden, daß Beschädigungen und Diebstahl vorgebeugt wird. Befinden sich auf den IT-Systemen noch sensitive Informationen, müssen sie entsprechend geschützt transportiert werden, also z. B. in verschlossenen Behältnissen oder durch Kuriere. Weiterhin müssen Nachweise über den Versand (Begleitzettel, Versandscheine) und den Eingang beim Empfänger (Empfangsbestätigung) geführt und archiviert werden. Bei IT-Systemen, die durch Paßwörter geschützt sind, müssen je nach Umfang der Reparaturarbeiten und der Art der Paßwortabsicherung, alle oder einige Paßwörter entweder bekanntgegeben oder auf festgelegte Einstellungen wie "REPARATUR" gesetzt werden, damit die Wartungstechniker auf die Geräte zugreifen können. Nach der Rückgabe der IT-Systeme oder Komponenten sind diese auf Vollständigkeit zu überprüfen. Alle Paßwörter sind zu ändern. PC-Datenträger sind nach der Rückgabe mittels eines aktuellen Viren-Suchprogramms auf Computer-Viren zu überprüfen. Alle Dateien oder Programme, die sich auf dem reparierten Gerät befinden, sind auf Integrität zu überprüfen. Fernwartung Regelungen für die Fernwartung können der Maßnahme M 5.33 Absicherung der per Modem durchgeführten Fernwartung entnommen werden. Ergänzende Kontrollfragen: - Werden die Mitarbeiter zur Wahrnehmung der Aufsicht angehalten? - Werden Nachweise über durchgeführte Wartungsarbeiten geführt? - Liegt ein Fristenplan für Wartungsarbeiten vor? Teil 1 - Kapitel 6.7 - Seite 56 Version 1998 IT-Grundschutzhandbuch M 2.22 Heterogene Netze Hinterlegen des Paßwortes Verantwortlich für Initiierung: Leiter IT Verantwortlich für Umsetzung: IT-Benutzer Ist der Zugriff auf ein IT-System durch ein Paßwort geschützt, so müssen Vorkehrungen getroffen werden, die bei Abwesenheit eines Mitarbeiters, z. B. im Urlaubs- oder Krankheitsfall, seinem Vertreter den Zugriff auf das IT-System ermöglichen. Zu diesem Zweck ist das aktuelle Paßwort durch jeden Mitarbeiter an einer geeigneten Stelle (in einem geschlossenen Umschlag) zu hinterlegen und bei jeder Änderung des Paßwortes zu aktualisieren. Wird es notwendig, dieses hinterlegte Paßwort zu nutzen, so sollte dies nach dem Vier-Augen-Prinzip, d. h. von zwei Personen gleichzeitig, geschehen. Bei einem Telearbeiter ist sicherzustellen, daß dessen Paßwörter auch in der Institution hinterlegt werden, damit im Notfall sein Vertreter auf die im Telearbeitsrechner gespeicherten Daten zugreifen kann. Bei allen von Administratoren betreuten Systemen, insbesondere bei vernetzten Systemen, ist durch regelmäßige Überprüfung sicherzustellen, daß das aktuelle Systemadministrator-Paßwort hinterlegt ist. Ergänzende Kontrollfragen: - Sind die hinterlegten Paßwörter vollständig und aktuell? - Ist die ordnungsgemäße Verwendung eines hinterlegten Paßwortes geregelt? - Wird anhand der Aktualisierungen der hinterlegten Paßwörter die Wechselsystematik kontrolliert? Version 1998 Teil 1 - Kapitel 6.7 - Seite 57 Heterogene Netze M 2.25 IT-Grundschutzhandbuch Dokumentation der Systemkonfiguration Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT Verantwortlich für Umsetzung: Administrator Planung, Steuerung, Kontrolle und Notfallvorsorge des IT-Einsatzes basieren auf einer aktuellen Dokumentation des vorhandenen IT-Systems. Nur eine aktuelle Dokumentation der Systemkonfiguration ermöglicht im Notfall einen geordneten Wiederanlauf des IT-Systems. Bei einem Netzbetrieb ist die physikalische Netzstruktur (vgl. M 5.4 Dokumentation und Kennzeichnung der Verkabelung) und die logische Netzkonfiguration zu dokumentieren. Dazu gehören auch die Zugriffsrechte der einzelnen Benutzer (siehe M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile) und der Stand der Datensicherung. Dabei ist auf Aktualität und Verständlichkeit der Dokumentation zu achten, damit auch ein Vertreter die Administration jederzeit weiterführen kann, ebenso wie auf eine sichere Aufbewahrung der Unterlagen, um deren Verfügbarkeit im Bedarfsfall zu gewährleisten. Ergänzende Kontrollfragen: - Ist die vorhandene Dokumentation aktuell? - Kann aufgrund der Dokumentation die Administration weitergeführt werden? Teil 1 - Kapitel 6.7 - Seite 58 Version 1998 IT-Grundschutzhandbuch M 2.26 Heterogene Netze Ernennung eines Administrators und eines Vertreters Verantwortlich für Initiierung: Leiter IT, wortlicher IT-Sicherheitsmanagement, TK-Anlagen-Verant- Verantwortlich für Umsetzung: Um einen geordneten Betrieb von IT-Systemen zu ermöglichen, ist ein Administrator zu bestimmen. Ihm obliegt neben allgemeinen Administrationsarbeiten insbesondere die Benutzerverwaltung einschließlich der Verwaltung der Zugriffsrechte. Zusätzlich ist er für die Sicherheitsbelange des betreuten IT-Systems zuständig. Beim Einsatz von Protokollierung sollte auf die Rollentrennung von Administration und Revision geachtet werden. Hier ist zu überprüfen, inwieweit die IT-Systeme dies unterstützen. Um bei Verhinderung des Administrators die Funktionen weiter aufrechtzuerhalten, ist ein Vertreter zu benennen. Für die Übernahme von Administrationsaufgaben muß gewährleistet sein, daß dem Administrator und seinem Vertreter für eine sorgfältige Aufgabenerfüllung auch die hierfür erforderliche Zeit zur Verfügung steht. Hierbei muß auch berücksichtigt werden, daß Aus- und Fortbildungsmaßnahmen erforderlich sind. Ergänzende Kontrollfragen: - Wurden der Administrator und der Vertreter ausreichend geschult? - Wurden Zuständigkeiten für die Administration geändert und die notwendigen Schulungsmaßnahmen eingeleitet? Version 1998 Teil 1 - Kapitel 6.7 - Seite 59 Heterogene Netze M 2.34 IT-Grundschutzhandbuch Dokumentation der Veränderungen an einem bestehenden System Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Um einen reibungslosen Betriebsablauf zu gewährleisten, muß der Administrator einen Überblick über das System haben bzw. sich verschaffen können. Dieses muß auch für seinen Vertreter möglich sein, falls der Administrator unvorhergesehen ausfällt. Der Überblick ist auch Voraussetzung, um Prüfungen des Systems (z. B. auf problematische Einstellungen, Konsistenz bei Änderungen) durchführen zu können. Daher sollten die Veränderungen, die Administratoren am System vornehmen, dokumentiert werden, nach Möglichkeit automatisiert. Dieses gilt insbesondere für Änderungen an Systemverzeichnissen und -dateien. Bei Installation neuer Betriebssysteme oder bei Updates sind die vorgenommenen Änderungen besonders sorgfältig zu dokumentieren. Möglicherweise kann durch die Aktivierung neuer oder durch die Änderung bestehender Systemparameter das Verhalten das Verhalten des IT-Systems (insbesondere auch Sicherheitsfunktionen) maßgeblich verändert werden. Unter Unix müssen ausführbare Dateien, auf die auch andere Benutzer als der Eigentümer Zugriff haben oder deren Eigentümer root ist, vom Systemadministrator freigegeben und dokumentiert werden (siehe auch M 2.9 Nutzungsverbot nicht freigegebener Software). Insbesondere müssen Listen mit den freigegebenen Versionen dieser Dateien geführt werden, die außerdem mindestens das Erstellungsdatum, die Größe jeder Datei und Angaben über evtl. gesetzte s-Bits enthalten. Sie sind Voraussetzung für den regelmäßigen Sicherheitscheck und für Überprüfungen nach einem Verlust der Integrität. Ergänzende Kontrollfragen: - Werden Logbücher über Systemveränderungen geführt? - Sind die Aufzeichnungen aktuell und vollständig? - Kann aufgrund der Aufzeichnungen die Administration weitergeführt werden? Teil 1 - Kapitel 6.7 - Seite 60 Version 1998 IT-Grundschutzhandbuch M 2.35 Heterogene Netze Informationsbeschaffung über Sicherheitslücken des Systems Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator Gegen bekannt gewordene und durch Veröffentlichungen zugänglich gemachte Sicherheitslücken müssen die erforderlichen organisatorischen und administrativen Maßnahmen ergriffen oder zusätzliche Sicherheitshardware bzw. Sicherheitssoftware eingesetzt werden. Es ist daher sehr wichtig, sich über neu bekannt gewordene Schwachstellen zu informieren. Informationsquellen: - Bundesamt für Sicherheit in der Informationstechnik (BSI), Postfach 20 03 63, 53133 Bonn, Telefon: (0228) 9582-444, Fax -427, E-Mail: [email protected] BSI-Mailbox: (0228) 9580971 (weitere Informationen zur Mailbox: s. Anhang) - Hersteller bzw. Vertreiber des Betriebssystems informieren registrierte Kunden über bekannt gewordene Sicherheitslücken ihrer Systeme und stellen korrigierte Varianten des Systems oder Patches zur Behebung der Sicherheitslücken zur Verfügung. - Computer Emergency Response Teams (CERT) sind Organisationen, die über bekannt gewordene Betriebssystemfehler und deren Behebungsmöglichkeiten informieren. Computer Emergency Response Team / Coordination Center (CERT/CC), Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA 15213-3890, Tel. +1 412 268-7090 (24-Stunden-Hotline), E-Mail: [email protected] oder [email protected], ftp: cert.sei.cmu.edu (192.88.209.5) Die CERT-Mitteilungen werden in Newsgruppen (comp.security.announce und info.nsfnet.cert) und über Mailinglisten (Aufnahme durch E-Mail an: [email protected]) veröffentlicht. - CERT in Deutschland: - BSI-CERT, Bundesamt für Sicherheit in der Informationstechnik , Postfach 20 03 63, 53133 Bonn, Telefon: (0228) 9582-444, Fax -427, E-Mail: [email protected] - DFN-CERT, Universität Hamburg, Fachbereich Informatik, Vogt-Kölln-Straße 30, 22527 Hamburg, Tel. 040 54715-262, Fax -241, E-Mail: [email protected], ftp: ftp.cert.dfn.de: /pub/security, gopher: gopher.cert.dfn.de, Aufnahme in Mailingliste für CERT-Mitteilungen durch E-Mail an: [email protected] Mailinglisten für Diskussionen: [email protected] Mailinglisten für sicherheitsrelevante Informationen: [email protected] URLs: FTP: ftp://ftp.cert.dfn.de/pub/security WWW: http://www.cert.dfn.de - Micro-BIT Virus Center/CERT, Universität Karlsruhe, Postfach 6980, 76128 Karlsruhe, Tel. (0721) 376422, Fax (0721) 32550, E-Mail: [email protected] - hersteller- und systemspezifische sowie sicherheitsspezifische Newsgruppen Version 1998 Teil 1 - Kapitel 6.7 - Seite 61 Heterogene Netze - IT-Grundschutzhandbuch IT-Fachzeitschriften Ergänzende Kontrollfragen: - Steht der Administrator in regelmäßigem Kontakt zu den Herstellern der betreuten Systeme? Sind diese Systeme registriert? Sind Wartungsverträge abgeschlossen worden? - Werden alle bekannten Informationsmöglichkeiten genutzt? - Werden neue Informationsquellen erschlossen? - Werden bekannt gewordene Sicherheitslücken schnellstmöglich behoben? Teil 1 - Kapitel 6.7 - Seite 62 Version 1998 IT-Grundschutzhandbuch M 2.38 Heterogene Netze Aufteilung der Administrationstätigkeiten Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Viele Netzbetriebssysteme bieten die Möglichkeit, die Administratorrolle aufzuteilen und Administrationstätigkeiten an verschiedene Benutzer zu verteilen. So können z. B. unter Novell Netware 3.11 die folgenden Administratorrollen eingerichtet werden: Workgroup Manager, User Account Manager, File Server Console Operator, Print Server Operator, Print Queue Operator. Unter Windows NT können durch die gezielte Vergabe von Benutzerrechten an einzelne Benutzer oder besser an Gruppen definierte Administratorrollen geschaffen werden. Neben der Gruppe der Administratoren sind hier die Gruppen Hauptbenutzer (d.h. Administratoren mit eingeschränkten Rechten), Sicherungs-Operatoren, Druck-Operatoren, Server-Operatoren sowie ReproduktionsOperatoren zu nennen. Darüber hinaus können weitere Rollen durch explizite Zuweisung von Benutzerrechten definiert werden (siehe auch M 4.50 Strukturierte Systemverwaltung unter Windows NT). Wenn es Administratorrollen für Spezialaufgaben gibt, sollte davon Gebrauch gemacht werden. Insbesondere wenn in großen Systemen mehrere Personen mit Administrationsaufgaben betraut werden müssen, kann das Risiko der übergroßen Machtbefugnis der Administratorrollen durch eine entsprechende Aufgabenteilung vermindert werden, so daß Administratoren nicht unkontrolliert unautorisierte oder unbeabsichtigte Veränderungen am System vornehmen können. Trotz des Aufteilens von Administrationstätigkeiten legt das System meist noch automatisch einen Account für einen Administrator an, der keinen Beschränkungen unterliegt, den Supervisor. Das Supervisor-Paßwort sollte, wenn überhaupt, nur einem kleinen Personenkreis bekannt sein. Es darf keinem der Subadministratoren bekannt sein, damit diese nicht auf diese Weise ihre Rechte erweitern können. Das Paßwort ist gesichert zu hinterlegen (siehe M 2.22 Hinterlegen des Paßwortes). Das Supervisor-Login kann durch Anwendung des Vier-Augen-Prinzips zusätzlich geschützt werden, z. B. durch organisatorische Maßnahmen wie ein geteiltes Paßwort. Dabei muß das Paßwort eine erhöhte Mindestlänge (12 oder mehr Zeichen) haben. Hierbei muß darauf geachtet werden, daß das Paßwort in voller Mindestlänge vom System überprüft wird. Ergänzende Kontrollfragen: - Welchen Personen ist das Supervisor-Paßwort bekannt? - Sind Administrator-Rollen getrennt worden? Version 1998 Teil 1 - Kapitel 6.7 - Seite 63 Heterogene Netze M 2.64 IT-Grundschutzhandbuch Kontrolle der Protokolldateien Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Verantwortliche der einzelnen IT-Anwendungen, Revisor Die Protokollierung sicherheitsrelevanter Ereignisse ist als Sicherheitsmaßnahme nur wirksam, wenn die protokollierten Daten in regelmäßigen Abständen durch einen Revisor ausgewertet werden. Ist es technisch nicht möglich, die Rolle eines unabhängigen Revisors für Protokolldateien zu implementieren, kann ihre Auswertung auch durch den Administrator erfolgen. Für diesen Fall bleibt zu beachten, daß damit eine Kontrolle der Tätigkeiten des Administrators nur schwer möglich ist. Das Ergebnis der Auswertung sollte daher dem ITSicherheitsbeauftragten, dem IT-Verantwortlichen oder einem anderen besonders zu bestimmenden Mitarbeiter vorgelegt werden. Die regelmäßige Kontrolle dient darüber hinaus auch dem Zweck, durch die anschließende Löschung der Protokolldaten ein übermäßiges Anwachsen der Protokolldateien zu verhindern. Da Protokolldateien in den meisten Fällen personenbezogene Daten beinhalten, ist sicherzustellen, daß diese Daten nur zum Zweck der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes verwendet werden dürfen (vgl. § 14 Abs. 4 BDSG). Die nachfolgenden Auswertungskriterien dienen als Beispiele, die Hinweise auf eventuelle Sicherheitslücken, Manipulationsversuche und Unregelmäßigkeiten erkennen lassen: - Liegen die Zeiten des An- und Abmeldens außerhalb der Arbeitszeit (Hinweis auf Manipulationsversuche)? - Häufen sich fehlerhafte Anmeldeversuche (Hinweis auf den Versuch, Paßwörter zu erraten)? - Häufen sich unzulässige Zugriffsversuche (Hinweis auf Versuche zur Manipulation)? - Gibt es auffällig große Zeitintervalle, in denen keine Protokolldaten aufgezeichnet wurden (Hinweis auf eventuell gelöschte Protokollsätze)? - Ist der Umfang der protokollierten Daten zu groß (eine umfangreiche Protokolldatei erschwert das Auffinden von Unregelmäßigkeiten)? - Gibt es auffällig große Zeitintervalle, in denen anscheinend kein Benutzer-Wechsel stattgefunden hat (Hinweis darauf, daß das konsequente Abmelden nach Arbeitsende nicht vollzogen wird)? - Gibt es auffallend lange Verbindungszeiten in öffentliche Netze hinein (vgl. G 4.25 Nicht getrennte Verbindungen)? - Wurde in einzelnen Netzsegmenten oder im gesamten Netz eine auffällig hohe Netzlast oder eine Unterbrechung des Netzbetriebes festgestellt (Hinweis auf Versuche, die Dienste des Netzes zu verhindern bzw. zu beeinträchtigen oder auf eine ungeeignete Konzeption bzw. Konfiguration des Netzes)? Wenn regelmäßig umfangreiche Protokolldateien ausgewertet werden müssen, ist es sinnvoll, ein Werkzeug zur Auswertung zu benutzen. Dieses Werkzeug sollte wählbare Auswertungskriterien zulassen und besonders kritische Einträge (z. B. mehrfacher fehlerhafter Anmeldeversuch) hervorheben. Teil 1 - Kapitel 6.7 - Seite 64 Version 1998 IT-Grundschutzhandbuch Heterogene Netze Das oben gesagte gilt analog auch für die Erhebung von Auditdaten, da es sich dabei im Prinzip nur um die Protokollierung sicherheitskritischer Ereignisse handelt. Ergänzende Kontrollfragen: - Wer wertet die Protokolldateien aus? Findet das Vier-Augen-Prinzip Anwendung? - Können die Aktivitäten des Administrators ausreichend kontrolliert werden? - Wird das IT-Sicherheitsmanagement bei Auffälligkeiten unterrichtet? Version 1998 Teil 1 - Kapitel 6.7 - Seite 65 Heterogene Netze M 2.139 IT-Grundschutzhandbuch Ist-Aufnahme der aktuellen Netzsituation Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter Die Bestandsaufnahme der aktuellen Netzsituation ist Voraussetzung für eine gezielte Sicherheitsanalyse des bestehenden Netzes. Sie ist ebenso erforderlich für die Erweiterung eines bestehenden Netzes. Bei der Planung von Netzen sind die im folgenden beschriebenen Punkte bei der Konzeption zu berücksichtigen. Hierzu ist eine Ist-Aufnahme mit einhergehender Dokumentation der folgenden Aspekte, die z. T. aufeinander aufbauen, notwendig: - Netztopographie, - Netztopologie, - verwendete Netzprotokolle, - Kommunikationsübergänge im LAN und zum WAN sowie - Netzperformance und Verkehrsfluß. In den einzelnen Schritten ist im wesentlichen folgendes festzuhalten: Ist-Aufnahme der Netztopographie Für die Ist-Aufnahme der Netztopographie ist die physikalische Struktur des Netzes zu erfassen. Dabei ist es sinnvoll, sich an den räumlichen Verhältnissen zu orientieren, unter denen das Netz aufgebaut wird. Es ist ein Plan zu erstellen bzw. fortzuschreiben, der - die aktuelle Kabelführung, - die Standorte aller Netzteilnehmer, insbesondere der verwendeten aktiven Netzkomponenten, - die verwendeten Kabeltypen sowie - die festgelegten Anforderungen an den Schutz von Kabeln (M 1.22 Materielle Sicherung von Leitungen und Verteilern) enthält. Zur Pflege dieses Planes ist es sinnvoll, ein entsprechendes Tool zur Unterstützung einzusetzen (z. B. CAD-Programme, spezielle Tools für Netzpläne, Kabelmanagementtools im Zusammenhang mit Systemmanagementtools o. ä.). Eine konsequente Aktualisierung dieser Pläne bei Umbauten oder Erweiterungen ist ebenso zu gewährleisten wie eine eindeutige und nachvollziehbare Dokumentation (vgl. auch M 1.11 Lagepläne der Versorgungsleitungen und M 5.4 Dokumentation und Kennzeichnung der Verkabelung). Ist-Aufnahme der Netztopologie Für die Ist-Aufnahme der Netztopologie ist die logische Struktur des Netzes zu betrachten. Dazu ist es notwendig, die Segmentierung der einzelnen OSI-Schichten und ggf. die VLAN-Struktur zu erfassen. Anhand der Darstellung der Netztopologie muß feststellbar sein, über welche aktiven Netzkomponenten eine Verbindung zwischen zwei beliebigen Endgeräten aufgebaut werden kann. Zusätzlich sind die Konfigurationen der aktiven Netzkomponenten zu dokumentieren, die zur Bildung der Segmente verwendet werden. Dies können bei logischer Segmentierung die Konfi- Teil 1 - Kapitel 6.7 - Seite 66 Version 1998 IT-Grundschutzhandbuch Heterogene Netze gurationsdateien sein, bei physikalischer Segmentierung die konkrete Konfiguration der Netzkomponenten. Ist-Aufnahme der verwendeten Netzprotokolle Bezogen auf die gewählte Segmentierung des Netzes, sind die in den einzelnen Segmenten verwendeten Netzprotokolle und die hierfür notwendigen Konfigurationen (z. B. die MACAdressen, die IP-Adressen und die Subnetzmasken für das IP-Protokoll) festzustellen und zu dokumentieren. Hier sollte auch dokumentiert werden, welche Dienste zugelassen sind (z. B. HTTP, SMTP, Telnet) und welche Dienst nach welchen Kriterien gefiltert werden. Ist-Aufnahme von Kommunikationsübergängen im LAN und WAN Die Kommunikationsübergänge im LAN und WAN sind, soweit sie nicht in der bereits erstellten Dokumentation enthalten sind, zu beschreiben. Für jeden Kommunikationsübergang zwischen zwei Netzen ist zu beschreiben, - welche Übertragungsstrecken (z. B. Funkstrecke für eine LAN/LAN-Kopplung) hierfür eingesetzt werden, - welche Kommunikationspartner und -dienste in welche Richtung hierüber zugelassen sind, und - wer für die technische Umsetzung zuständig ist. Hierzu gehört auch die Dokumentation der verwendeten WAN-Protokolle (z. B. ISDN, X.25). Bei einem Einsatz einer Firewall (siehe Kapitel 7.3 Firewall) ist zusätzlich deren Konfiguration (z. B. Filterregeln) zu dokumentieren. Ist-Aufnahme der Netzperformance und des Verkehrsflusses Es ist eine Messung der Netzperformance und eine Analyse des Verkehrsflusses in und zwischen den Segmenten oder Teilnetzen durchzuführen. Für jedes eingesetzte Netzprotokoll müssen die entsprechenden Messungen erfolgen. Bei jeder Änderung der Netzsituation sind die zuletzt durchgeführten Ist-Aufnahmen zu wiederholen. Die im Rahmen der Ist-Aufnahmen erstellte Dokumentation ist so aufzubewahren, daß sie einerseits vor unbefugtem Zugriff geschützt ist, aber andererseits für das Sicherheitsmanagement oder die Administratoren jederzeit verfügbar ist. Ergänzende Kontrollfragen: - Werden regelmäßig Performance-Messungen und Verkehrsfluß-Analysen durchgeführt und ausgewertet? - Wird die erstellte Dokumentation laufend aktualisiert? - Ist die Dokumentation auch für Dritte verständlich und nachvollziehbar? Version 1998 Teil 1 - Kapitel 6.7 - Seite 67 Heterogene Netze M 2.140 IT-Grundschutzhandbuch Analyse der aktuellen Netzsituation Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Netzspezialist Diese Maßnahme baut auf den Ergebnissen der Ist-Aufnahme nach M 2.139 Ist-Aufnahme der aktuellen Netzsituation auf und erfordert spezielle Kenntnisse im Bereich der Netztopologie, der Netztopographie und von netzspezifischen Schwachstellen. Darüber hinaus ist Erfahrung bei der Beurteilung der eingesetzten individuellen IT-Anwendungen hinsichtlich Vertraulichkeit, Integrität bzw. Verfügbarkeit notwendig. Da dies ein komplexes Gebiet ist, das neben tiefgehenden Kenntnissen in allen genannten Bereichen auch viel Zeit erfordert, kann es zur Analyse der aktuellen Netzsituation hilfreich sein, externe Berater hinzuzuziehen. Im Bereich der deutschen Bundesverwaltung kann hier das BSI Hilfestellung leisten. Eine Analyse der aktuellen Netzsituation besteht im wesentlichen aus einer Strukturanalyse, einer Schutzbedarfsfeststellung und einer Schwachstellenanalyse. Eine Strukturanalyse besteht aus einer Analyse der nach M 2.139 Ist-Aufnahme der aktuellen Netzsituation angelegten Dokumentationen. Die Strukturanalyse muß von einem Analyseteam durchgeführt werden, das in der Lage ist, alle möglichen Kommunikationsbeziehungen nachzuvollziehen oder auch herleiten zu können. Als Ergebnis muß das Analyseteam die Funktionsweise des Netzes verstanden haben und über die prinzipiellen Kommunikationsmöglichkeiten informiert sein. Häufig lassen sich bei der Strukturanalyse bereits konzeptionelle Schwächen des Netzes identifizieren. Eine erfolgreich durchgeführte Strukturanalyse ist unbedingte Voraussetzung für die sich anschließende detaillierte Schutzbedarfsfeststellung bzw. der Schwachstellenanalyse. Detaillierte Schutzbedarfsfeststellung An die Strukturanalyse schließt sich eine Schutzbedarfsfeststellung an, die über die in Kapitel 2 genannte hinausgeht. Hier werden zusätzlich die Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität in einzelnen Netzbereichen bzw. Segmenten berücksichtigt. Hierzu ist es notwendig festzustellen, welche Anforderungen aufgrund der verschiedenen IT-Verfahren bestehen und wie diese auf die gegebene Netzsegmentierung Einfluß nehmen. Als Ergebnis muß erkenntlich sein, in welchen Netzsegmenten besondere Sicherheitsanforderungen bestehen. Analyse von Schwachstellen im Netz Basierend auf den bisher vorliegenden Ergebnissen erfolgt eine Analyse der Schwachpunkte des Netzes. Hierzu gehört insbesondere bei entsprechenden Verfügbarkeitsanforderungen die Identifizierung von nicht redundant ausgelegten Netzkomponenten (Single-Point-of-Failures). Weiterhin müssen die Bereiche benannt werden, in denen die Anforderungen an Verfügbarkeit, Vertraulichkeit oder Integrität nicht eingehalten werden können bzw. besonderer Aufmerksamkeit bedürfen. Zudem ist festzustellen, ob die gewählte Segmentierung hinsichtlich Bandbreite und Performance geeignet ist (anhand der Ergebnisse der Verkehrsflußanalyse aus M 2.139 IstAufnahme der aktuellen Netzsituation). Beispielhafte Schwachstelle: Die Performance- und Verkehrsflußanalyse zeigt eine überlastete aktive Netzkomponente. Für den betreffenden Kommunikationsweg wurden im Rahmen der Schutzbedarfsfeststellung hohe Anforderungen an die Verfügbarkeit und damit auch an die Performance festgestellt. Diese Schwachstelle erfordert eine Anpassung der Segmentierung des Netzes oder den Austausch der Netzkomponente gegen ein leistungsfähigeres Modell (siehe Teil 1 - Kapitel 6.7 - Seite 68 Version 1998 IT-Grundschutzhandbuch Heterogene Netze M 5.61 Geeignete physikalische Segmentierung, M 5.62 Geeignete logische Segmentierung, M 5.1 Auswahl einer geeigneten Backbone-Technologie und M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung). Ergänzende Kontrollfragen: - Ist die aktuelle Netzsituation hinreichend dokumentiert? - Steht ausreichendes "Know How" für eine Sicherheitsanalyse der Netzsituation zur Verfügung? - Sind die Anforderungen bezüglich der Vertraulichkeit, Verfügbarkeit und Integrität des Netzes und der Daten definiert und dokumentiert? Version 1998 Teil 1 - Kapitel 6.7 - Seite 69 Heterogene Netze M 2.141 IT-Grundschutzhandbuch Entwicklung eines Netzkonzeptes Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter Um den Anforderungen bezüglich Verfügbarkeit (auch Bandbreite und Performance), Vertraulichkeit und Integrität zu genügen, muß der Aufbau, die Änderung bzw. die Erweiterung eines Netzes sorgfältig geplant werden. Hierzu dient die Erstellung eines Netzkonzeptes. Die Entwicklung eines Netzkonzeptes unterteilt sich in einen analytischen und einen konzeptionellen Teil: Analyse Zunächst ist zu unterscheiden, ob ein bestehendes Netz zu erweitern bzw. zu verändern ist oder ob das Netz vollständig neu aufgebaut werden soll. Im ersten Fall sind vorab die Maßnahmen M 2.139 Ist-Aufnahme der aktuellen Netzsituation und M 2.140 Analyse der Netzsituation zu bearbeiten. Im zweiten Fall entfallen diese Maßnahmen. Stattdessen sind die Anforderungen an die Netzkommunikation zu ermitteln sowie eine Schutzbedarfsfeststellung des zukünftigen Netzes durchzuführen. Zur Ermittlung der Kommunikationsanforderungen ist der zukünftig zu erwartende Daten- und Verkehrsfluß zwischen logischen oder organisatorischen Einheiten festzustellen, da die zu erwartende Last die Segmentierung des zukünftigen Netzes beeinflussen muß. Die notwendigen logischen bzw. physikalischen Kommunikationsbeziehungen (dienste-, anwender-, gruppenbezogen) sind ebenfalls zu eruieren und die Kommunikationsübergänge zur LAN/LANKopplung oder über ein WAN zu ermitteln. Die Schutzbedarfsanforderungen des Netzes werden aus denen der geplanten oder bereits bestehenden IT-Verfahren abgeleitet. Daraus werden physikalische und logische Segmentstrukturen gefolgert, so daß diesen Anforderungen (z. B. hinsichtlich Vertraulichkeit) durch eine Realisierung des Netzes Rechnung getragen werden kann. Zum Beispiel bestimmt der Schutzbedarf einer IT-Anwendung die zukünftige Segmentierung des Netzes. Schließlich muß versucht werden, die abgeleiteten Kommunikationsbeziehungen mit den Schutzbedarfsanforderungen zu harmonisieren. Unter Umständen sind hierzu Kommunikationsbeziehungen einzuschränken, um dem festgestellten Schutzbedarf gerecht zu werden. Abschließend sind die verfügbaren Ressourcen zu ermitteln. Hierzu gehören sowohl Personalressourcen, die erforderlich sind, um ein Konzept zu erstellen und umzusetzen bzw. um das Netz zu betreiben, als auch die hierfür notwendigen finanziellen Ressourcen. Die Ergebnisse sind entsprechend zu dokumentieren. Konzeption Unter den oben genannten Gesichtspunkten, anhand einer Planung, die zukünftige Anforderungen (z. B. hinsichtlich Bandbreite) mit einbezieht, sowie unter Berücksichtigung der örtlichen Gegebenheiten, sind die Netzstruktur und die zu beachtenden Randbedingungen nach den folgenden Schritten zu entwickeln und im Konzept festzuhalten. Die Erstellung eines Netzkonzeptes erfolgt analog M 2.139 Ist-Aufnahme der aktuellen Netzsituation und besteht danach prinzipiell aus den folgenden Schritten, wobei diese Schritte nicht in jedem Fall streng aufeinander folgend ausgeführt werden können. In einigen Teilen beeinflussen Teil 1 - Kapitel 6.7 - Seite 70 Version 1998 IT-Grundschutzhandbuch Heterogene Netze sich die Ergebnisse der Schritte gegenseitig, so daß eine regelmäßige Überprüfung und Konsolidierung der Teilergebnisse vorgenommen werden muß. 1) Konzeption der Netztopographie und der Netztopologie, der physikalischen und logischen Segmentierung 2) Konzeption der verwendeten Netzprotokolle 3) Konzeption von Kommunikationsübergängen im LAN und WAN In den einzelnen Schritten sind im wesentlichen die folgenden Tätigkeiten auszuführen: Schritt 1 - Konzeption der Netztopographie und Netztopologie Basierend auf der Analysesituation (s. o.) und den konkreten baulichen Gegebenheiten muß eine geeignete Netztopographie und Netztopologie ausgewählt werden (siehe hierzu M 5.60 Auswahl einer geeigneten Backbone-Technologie, M 5.2 Auswahl einer geeigneten Netz-Topographie und M 5.3 Auswahl geeigneter Kabeltypen aus kommunikationstechnischer Sicht). Aber auch zukünftige Anforderungen wie Skalierbarkeit müssen hier Berücksichtigung finden. Die so erstellte Konzeption muß dokumentiert werden (Verkabelungspläne usw.). Ausgehend von den ermittelten Anforderungen und dem zu erwartenden bzw. ermittelten Datenfluß muß bei der Konzeption der Netztopographie und -topologie eine geeignete physikalische und logische Segmentierung durchgeführt werden (siehe M 5.61 Geeignete physikalische Segmentierung, M 5.62 Geeignete logische Segmentierung und M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung). Schritt 2 - Konzeption der Netzprotokolle In diesem Schritt sind die einzusetzenden Netzprotokolle auszuwählen und diese entsprechend zu konzipieren. Hierzu gehört beispielsweise für das IP-Protokoll die Erstellung eines Adressierungsschemas und die Teilnetzbildung. Für die Auswahl der Netzprotokolle ist zu beachten, daß diese durch die Netztopologie und die geplanten oder vorhandenen aktiven Netzkomponenten unterstützt werden können. Schritt 3 - Konzeption der Kommunikationsübergänge im LAN und WAN Bezogen auf den ermittelten Datenfluß über Kommunikationsübergänge hinweg und die Anforderungen bezüglich der Sicherheit und Verfügbarkeit können in diesem Schritt die Kommunikationsübergänge konzipiert werden. Hierzu gehört die Auswahl geeigneter Koppelelemente (siehe M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung) aber auch die sichere Konfiguration derselben (siehe Kapitel 7.3 Firewall und M 4.82 Sichere Konfiguration der aktiven Netzkomponenten). Weitere Schritte Ausgehend von dem erstellten Netzkonzept können nun die Maßnahmen zur Erstellung eines Netzmanagementkonzeptes durchgeführt werden (siehe M 2.143 Entwicklung eines Netzmanagementkonzeptes, M 2.144 Geeignete Auswahl eines Netzmanagement-Protokolls und M 2.145 Anforderungen an ein Netzmanagement-Tool) und ein Realisierungsplan nach M 2.142 Entwicklung eines Netz-Realisierungsplanes ausgearbeitet werden. Version 1998 Teil 1 - Kapitel 6.7 - Seite 71 Heterogene Netze M 2.142 IT-Grundschutzhandbuch Entwicklung eines Netz-Realisierungsplans Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Für die Erstellung eines Netz-Realisierungsplans ist zu unterscheiden, ob es sich um einen vollständigen Neuaufbau des Netzes, um eine Veränderung der bestehenden Konzeption und/oder eine Erweiterung handelt. Bei einer vollständigen Neuplanung sind anhand der entwickelten Netzkonzeption (vgl. M 2.141 Entwicklung eines Netzkonzeptes) die notwendigen Schritte abzuleiten. Dabei erfolgt nach abgeschlossener Planung der Aufbau des Netzes über das Verlegen der notwendigen Kommunikationskabel, das Einrichten von Räumen für die technische Infrastrukur, das Installieren der versorgenden technischen Infrastruktur, die Integration der notwendigen Koppelelemente (Bridges, Switches, Router etc.), das Einrichten der Netzmanagementstationen, den Einbau der entsprechenden Netzadapater in den Endgeräten, bis hin zur Konfiguration dieser Endgeräte. Soll ein bestehendes Netz verändert oder erweitert werden, ist in einem Soll/Ist-Vergleich das nach M 2.141 Entwicklung eines Netzkonzeptes erarbeitete Netzkonzept mit der vorhandenen Situation nach M 2.139 Ist-Aufnahme der aktuellen Netzsituation zu vergleichen. Ausgehend von Differenzen kann unter Berücksichtigung der o. g. Maßnahmen ein Realisierungsplan für die sogenannte Netzmigration erstellt werden. Dabei ist zu berücksichtigen, daß der Realisierungsaufwand um so größer ist, je mehr das Netzkonzept vom Ist-Zustand abweicht. Beispielhafte Migration eines "Shared Ethernet" zu einem "Switched Fast-Ethernet" Eine Migration von einer Netztopologie zu einer anderen erfolgt im allgemeinen stufenweise. Im folgenden ist beispielhaft eine solche Migration von einem "Shared Ethernet" auf ein FastEthernet mit Switching-Technologie skizziert. Für eine Umsetzung in der Praxis müssen allerdings die Randbedingungen genau geprüft und entsprechend ein eigenes Migrationskonzept erstellt werden. - Migrationsschritt 1 Im ersten Migrationsschritt kann das existierende Backbone durch ein Fast-EthernetBackbone ersetzt oder ggf. neu aufgebaut werden. Der Anschluß der verbleibenden Shared Ethernet-Segmente erfolgt über die Netzkomponenten des Backbones, die dementsprechend auch Standard-Ethernet unterstützen müssen. - Migrationsschritt 2 Aufbau einer strukturierten Verkabelung, d. h. es wird von einem Standard-Ethernet mit Stichleitung zu einem Verkabelungskonzept übergegangen, bei dem jeder Arbeitsplatz sternförmig an einen Verteilerraum angebunden wird, ohne die topologische Busstruktur aufzugeben. - Migrationsschritt 3 Die Anbindung der Server erfolgt zentral an einen Switch mit Fast-Ethernet Anschlüssen (Installation einer sogenannten Serverfarm). Teil 1 - Kapitel 6.7 - Seite 72 Version 1998 IT-Grundschutzhandbuch - Heterogene Netze Migrationsschritt 4 Anwender, die eine hohe Bandbreite benötigen, werden durch Austausch der entsprechenden Schnittstellen ebenfalls mit Fast-Ethernet angeschlossen. - Migrationsschritt 5 Migration der verbleibenden Ethernet-Segmente zu einem vollständig geswitchten System. Hierzu können beispielsweise Ethernet-Switches an die Fast-Ethernet-Switches des Backbones angebunden werden. Version 1998 Teil 1 - Kapitel 6.7 - Seite 73 Heterogene Netze M 2.143 IT-Grundschutzhandbuch Entwicklung eines Netzmanagementkonzeptes Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Netzmanagement umfaßt die Gesamtheit der Vorkehrungen und Aktivitäten zur Sicherstellung des effektiven Einsatzes eines Netzes. Hierzu gehört beispielsweise die Überwachung der Netzkomponenten auf ihre korrekte Funktion, das Monitoring der Netzperformance und die zentrale Konfiguration der Netzkomponenten. Netzmanagement ist in erster Linie eine organisatorische Problemstellung, deren Lösung lediglich mit technischen Mitteln, einem Netzmanagementsystem, unterstützt werden kann. Abzugrenzen vom Netzmanagement ist das Systemmanagement, welches sich in erster Linie mit dem Management verteilter Systeme befaßt. Hierzu gehören beispielweise eine zentrale Verwaltung der Benutzer, Softwareverteilung, Management der Anwendungen usw. In einigen Bereichen, wie z. B. dem Konfigurationsmanagement (dem Überwachen und Konsolidieren von Konfigurationen eines Systems oder einer Netzkomponente) sind Netz- und Systemmanagement nicht klar zu trennen. In der ISO/IECNorm 7498-4 bzw. als X.700 der ITU-T ist ein Netz- und Systemmanagement-Framework definiert. Die in einem lokalen Netz zusammengefaßten vielfältigen IT-Systeme, wie z. B. Serversysteme, Endgeräte, Drucker, aktive Netzkomponenten usw., sollten auf Netzebene an einer geeigneten Stelle zentral administriert und überwacht werden können. Eine zentrale Administration der Netzkomponenten ist dabei einer dezentralen vorzuziehen, da in diesem Fall Administrationsaufwände verringert und Anforderungen an die Sicherheit zentral definiert und kontrolliert werden können. In erster Linie wird ein zentrales Netzmanagement verwendet, um die Verfügbarkeit und Integrität des Netzes sowie die Integrität und Vertraulichkeit der übermittelten Daten zu gewährleisten. Diese Aufgabe hat eine hohe Komplexität und sollte durch den Einsatz eines Netzmanagement-Tools unterstützt werden. Vor der Beschaffung und dem Betrieb eines solchen Netzmanagement-Systems ist im ersten Schritt ein Konzept zu erstellen, in dem alle Sicherheitsanforderungen an das Netzmanagement formuliert und angemessene Maßnahmen für den Fehler- oder Alarmfall vorgeschlagen werden. Dabei sind insbesondere die folgenden Aspekte Bestandteile eines Netzmanagementkonzeptes, bei der Erstellung zu berücksichtigen und in einem Gesamtzusammenhang darzustellen. - Performance-Messungen zur Netzanalyse (siehe M 2.140 Analyse der aktuellen Netzsituation), - Reaktionen auf Fehlermeldungen der überwachten Netzkomponenten, - Fernwartung / Remote-Control, insbesondere der aktiven Netzkomponenten, - Generierung von Trouble-Tickets und Eskalation bei Netzproblemen (Hierüber kann eine Anbindung an Systemmanagement- und User-Help-Desksysteme bzw. an externe Nachrichtenübermittler, z. B. Pager, Fax usw., erfolgen.), - Protokollierung und Audit (Online und/oder Offline), - Einbindung eventuell vorhandener proprietärer Systeme bzw. von Systemen mit unterschiedlichen Managementprotokollen (z. B. im Telekommunikationsbereich), - Konfigurationsmanagement aller im Einsatz befindlichen IT-Systeme (siehe u. a. M 4.82 Sichere Konfiguration der aktiven Netzkomponenten), Teil 1 - Kapitel 6.7 - Seite 74 Version 1998 IT-Grundschutzhandbuch - Heterogene Netze Verteilter Zugriff auf die Netzmanagementfunktionalitäten (Für die Administration oder für das Audit kann ein Remotezugriff auf die Netzmanagementfunktionalitäten notwendig sein. Hier ist insbesondere eine sorgfältige Definition und Vergabe der Zugriffsrechte notwendig.). Die konkreten Anforderungen an ein Netzmanagement-Tool sind in M 2.145 Anforderungen an ein Netzmanagement-Tool beschrieben. Diese müssen eine Umsetzung des Netzmanagementkonzeptes ermöglichen. Ergänzende Kontrollfragen: - Wurden alle Sicherheitsanforderungen an das Netzmanagement formuliert und dokumentiert? Version 1998 Teil 1 - Kapitel 6.7 - Seite 75 Heterogene Netze M 2.144 IT-Grundschutzhandbuch Geeignete Auswahl eines Netzmanagement-Protokolls Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Als Standardprotokolle für Netzmanagement gelten derzeit: - SNMP (Simple Network Management Protocol), SNMP ist in RFC 1157 beschrieben, Request for Comment (RFC) ist die Bezeichnung für einen in der Internet-Society etablierten Standard. - CMIP (Common Management Information Protocol), CMIP ist in der ITU-T-Norm X.711 bzw. in ISO/IEC 9596-1 beschrieben. Im folgenden werden die wesentlichen Vor- und Nachteile der beiden Protokolle als Entscheidungshilfe bei der Auswahl eines Netzmanagement-Protokolls aufgezeigt. SNMP Für SNMP sind zwei Komponenten definiert, Manager und Agent. In einem lokalen Netz werden ein oder eventuell mehrere Manager und je ein Agent pro IT-System, das mit SNMP überwacht bzw. konfiguriert werden soll, installiert. Die Agenten sammeln über diese Systeme Informationen und legen sie in einer MIB (Management Information Base) ab. Sie tauschen mit dem Manager über ein verbindungsloses Protokoll Nachrichten aus, so daß SNMP an kein bestimmtes Transportprotokoll gebunden ist. Es wird jedoch heute üblicherweise auf UDP/IP implementiert. Andere Implementationen sind jedoch ebenfalls möglich und vorhanden (z. B. über OSI, AppleTalk, SPX/IPX). SNMP gibt es in verschiedenen Versionen. Neben der Urversion SNMPv1 sind derzeit auch im geringen Umfang verschiedene Ausprägungen der Version 2 (SNMPv2) im Einsatz (RFC 1901-1908). Die wesentlichen Vor- und Nachteile sind: + SNMP zeichnet sich durch ein einfaches Design und damit auch durch eine einfache Implementation aus. Dies reduziert die Fehleranfälligkeit und verbessert die Stabilität des Protokolls. + SNMP ist sehr weit verbreitet und gilt als ein De-facto-Standard. Dadurch wird es durch fast jedes Produkt im Netz- und Systemtechnikumfeld unterstützt. + Das Protokoll kann sehr einfach an zukünftige Bedürfnisse angepaßt werden. Aus diesem Grund und der oben genannten weiten Verbreitung von SNMP kann es als sehr zukunftssicheres Protokoll (Investitionsschutz) bezeichnet werden. + Es handelt sich um ein verbindungsloses, einfaches Protokoll auf Transportebene. Damit ist die Performance der Übertragung der SNMP-Pakete im Netz besser als beim verbindungsorientierten CMIP. − Der Einsatz von SNMP birgt Sicherheitsrisiken, die es u. U. einem Angreifer ermöglichen, weitgehende Informationen über die System- und Netzumgebung zu erhalten. Insbesondere existiert, abgesehen von den Community-Namen (die bei SNMP die Möglichkeit zur Bildung von Gruppen und einen rudimentären Paßwortschutz bieten), kein echter Paßwortschutz beim Zugriff auf die Netzkomponenten. − Aufgrund der Einfachheit des Protokolls und der verfügbaren Möglichkeiten weist SNMP Schwächen im Umgang mit sehr großen oder stark expandierenden Netzen auf. Teil 1 - Kapitel 6.7 - Seite 76 Version 1998 IT-Grundschutzhandbuch − Heterogene Netze Die Performance der Version 1 bei aufwendigeren MIB-Abfragen ist ungenügend, da immer der gesamte MIB-Baum angegeben werden muß. Einer der großen Nachteile der Version 1 des SNMP liegt in der fehlenden Unterstützung einer Authentisierung beim Zugriff auf die überwachten Komponenten. Diese Nachteile gleicht die Version 2 von SNMP zum Teil aus, zusätzlich wurde die Performance bei der Abfrage der MIBs erhöht. Allerdings gibt es auch in SNMPv2 bezüglich der unterstützten Sicherheit unterschiedliche Varianten. Erst die Versionen SNMPv2* und SNMPv2u bieten die Möglichkeit einer symmetrischen benutzerbasierten Authentisierung, während SNMPv2c weiterhin auf Communities aufbaut. Communities werden in SNMP zum einen genutzt, um die einzelnen Netzkomponenten zu Bereichen zusammenzufassen, und zum anderen als Paßwortersatz beim Zugriff auf diese. Hinzu kommt in SNMPv2* die Möglichkeit der Datenverschlüsselung nach dem Data Encryption Standard im Cipher Block Chaining Modus (DES-CBC). Aufgrund der unterschiedlichen Varianten innerhalb von SNMPv2 ist derzeit die Unsicherheit bei den Herstellern von Netzkomponenten und Netzmanagementsystemen groß, so daß Implementierungen nach SNMPv2 noch nicht flächendeckend anzutreffen und nur eingeschränkt interoperabel sind. Die unterschiedlichen Ausprägungen von SNMPv2 sollen in der nächsten SNMP-Version (SNMPv3) konsolidiert werden. Die Verabschiedung von SNMPv3 ist zur Zeit in Arbeit, aber noch nicht abgeschlossen. Aus den oben genannten Gründen kann im Sinne des IT-Grundschutzes bislang nur der Einsatz von SNMPv1 empfohlen werden. Werden weitergehende Anforderungen an die Sicherheit des Netzmanagement-Protokolls bzw. an die Sicherheitsmechanismen des Netzes gestellt, muß entweder SNMPv2u oder SNMPv2* mit benutzerbasierter Authentisierung oder CMIP eingesetzt werden. Prinzipiell läßt sich festhalten, daß Vertraulichkeits- bzw. Authentizitätsaspekte bei den neueren Versionen von SNMP stärker berücksichtigt werden, Bandbreitenverluste dabei jedoch in Kauf zu nehmen sind. CMIP CMIP setzt im Gegensatz zu SNMP auf einem implementierten OSI-Protokollstapel (die OSISchichten1 bis 3 sind als Protokollstapel implementiert) auf und arbeitet damit auch verbindungsorientiert. Hierdurch wird die Verwendung des CMIP auf Komponenten eingeschränkt, die die notwendigen Hard- und Softwarevoraussetzungen für die Implementation eines vollständigen OSI-Stapels bieten. Aufgrund der hohen Anforderungen, die diese Implementation stellt, wurde auch ein "CMIP Over TCP/IP" (CMOT) definiert (RFC 1189). Hierdurch wird es möglich, CMIP auch in reinen TCP/IP-Netzen zu betreiben. Eines der Ziele bei der Entwicklung des CMIP war es, ein objektorientiertens Management zu entwickeln. CMIP ist dementsprechend konsequent objektorientiert aufgebaut. Im CMIP übernimmt eine CMIP-Maschine (CMIPM) die Aufgaben, die unter SNMP der Manager durchführt. An diese CMIPM, die wie der SNMP-Manager als Software realisiert ist, werden von den Agenten der zu verwaltenden Objekte Service-Requests zur Einleitung verschiedener Aktionen geschickt und umgekehrt versendet die CMIPM CMIP-Nachrichten an die Agenten der zu verwaltenden Objekte. Die zu verwaltenden Objekte werden nach den Grundsätzen des objektorientierten Ansatzes in mehreren Bäumen verwaltet, die zueinander verschiedene Relationen und Zugriffsarten aufweisen. Version 1998 Teil 1 - Kapitel 6.7 - Seite 77 Heterogene Netze IT-Grundschutzhandbuch Das CMIP ist aufgrund der beschriebenen Objektstruktur ein sehr leistungsfähiges und komplexes Protokoll. Das Protokoll selbst besteht dagegen aus relativ wenigen Operationen, mit denen das gesamte Management auf der Basis der o. g. Objektstruktur ermöglicht wird. Die wesentlichen Vor- und Nachteile sind: + CMIP bietet durch den objektorientierten Ansatz wesentlich mehr Möglichkeiten als SNMP, da z. B. auch Aktionen ausgeführt und Instanzen von Management-Objekten verwaltet werden können. + CMIP bietet größere Sicherheit als SNMP, insbesondere durch die Bereitstellung von Mechanismen zum Zugriffsschutz, zur Authentisierung der Benutzer und zum Auditing. + CMIP ist ein durch OSI genormtes Protokoll und damit ein offizieller internationaler Standard, während SNMP nur einen De-Facto-Standard auf RFC-Basis darstellt. + Die genannten Schwächen von SNMP werden vermieden. − CMIP ist ein sehr komplexes Protokoll, dessen gesamte Leistungsfähigkeit jedoch nur selten benötigt und genutzt werden kann. Eine entsprechende Konfiguration des Protokolls ist aufgrund der vielen möglichen Einstellungen nur schwer möglich und erfordert ein erhebliches Know-how des Administrators. − CMIP benötigt ungefähr zehnmal soviel Systemressourcen wie SNMP. Deshalb muß eine leistungsfähige Hardware verwendet werden, die nur in wenigen aktiven Netzkomponenten vorhanden ist. Außerdem ist im allgemeinen eine Implementation des OSI-Protokollstapels notwendig, der zusätzliche Ressourcen verbraucht. Eine Ausnahme bildet hier CMOT. − Aufgrund der Komplexität des Protokolls und der dementsprechenden Implementationen ist CMIP potentiell fehleranfälliger als SNMP-Implementationen. − Von CMIP existieren derzeit nur wenig verfügbare Implementationen und es wird in der Praxis, abgesehen vom Telekommunikationsbereich, kaum eingesetzt. Im konkreten Fall muß detailliert geprüft werden, welches Netzmanagement-Protokoll das für den jeweiligen Verwendungszweck geeignete darstellt. Dazu müssen die Sicherheitsanforderungen an das Netzmanagement formuliert und abgestimmt sein. Wird der TCP/IP-Protokollstapel bereits im lokalen Netz verwendet und sind die Sicherheitsanforderungen gering, bietet sich SNMPv1 als Lösung an. Dennoch können höhere Sicherheitsanforderungen auch hier für den Einsatz von SNMPv2 oder CMIP sprechen. Beim Einsatz von CMIP muß dann erwogen werden, auf welchem Protokollstapel CMIP implementiert werden soll. Entweder auf dem OSI-Stapel (CMIP) oder auf dem TCP/IP-Stapel (CMOT). Zu Bedenken ist auch, daß CMIP bzw. CMOT derzeit nicht von allen aktiven Netzkomponenten und Netzmanagementsystemen unterstützt wird. Vor dem Einsatz von CMIP ist also sorgfältig zu untersuchen, ob die eingesetzten Komponenten und Clients CMIP-fähig sind. Ergänzende Kontrollfragen: - Wurden die Sicherheitsanforderungen an das Netzmanagement formuliert und dokumentiert? - Wurde die Kompatibilität der aktiven Netzkomponenten und der Clients bzgl. der ausgewählten SNMP-Version bzw. zu CMIP überprüft? Teil 1 - Kapitel 6.7 - Seite 78 Version 1998 IT-Grundschutzhandbuch M 2.145 Heterogene Netze Anforderungen an ein Netzmanagement-Tool Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Um ein effektives Netzmanagement durchführen zu können, ist der Einsatz eines Netzmanagement-Tools hilfreich. Derzeit stellt der Markt eine Vielzahl von Produkten für das Netzmanagement zur Verfügung, die alle hinsichtlich der eigenen individuellen Anforderungen geprüft werden müssen, bevor eine Entscheidung zur Beschaffung eines konkreten Tools gefällt werden kann. Dabei gilt es vor allem, die Sicherheitsanforderungen nach M 2.143 Entwicklung eines Netzmanagementkonzeptes zu erfüllen und die folgenden Punkte zu beachten: - Es muß das ausgewählte Netzmanagement-Protokoll unterstützen (siehe M 2.144 Geeignete Auswahl eines Netzmanagement-Protokolls). - Das Produkt muß skalierbar sein, d. h. es muß an zukünftige Anforderungen angepaßt werden können. - Es muß alle im lokalen Netz vorhandenen Netzkomponenten unterstützen. - Es muß alle im lokalen Netz eingesetzten Netzprotokolle unterstützen. - Es sollte modular aufgebaut sein, um auch später weitere Funktionen ohne großen Aufwand in das bestehende Netzmanagement-System integrieren zu können. - Es sollte eine grafische Oberfläche (Graphical User Interface, GUI) besitzen, um die relevanten Informationen übersichtlich und verständlich darstellen zu können. - Werden außerdem Produkte zum Systemmanagement eingesetzt, sollte im Sinne eines "single point of administration" eine Integration mit dem Netzmanagement unter einer Oberfläche möglich sein. Neben diesen allgemein zu prüfenden Anforderungen sind zusätzlich die funktionalen Anforderungen an ein Netzmanagementsystem zu definieren. Die folgenden Kriterien stellen dazu eine Übersicht über die Möglichkeiten in aktuell verfügbaren Produkten dar, nicht alle Funktionen sind jedoch in allen Produkten realisiert. Vor einer Produktentscheidung muß deshalb festgelegt werden, welche Funktionen notwendig sind und welche nicht benötigt werden: - topologische Darstellung des Netzes (z. B. auch die Möglichkeit der Einbindung von Hintergrundgrafiken wie Baupläne usw.), - wählbare Darstellungsform der Topologie, - topographische Darstellung des Netzes (z. B. auch die Möglichkeit der Einbindung von Hintergrundgrafiken wie Baupläne usw.), - automatisches Erkennen und Abbilden der Netztopologie und Segmentierung (AutoDiscovery), - Anzeige der Konfiguration der aktiven Netzkomponenten auf Portebene, - Anzeige der Performance auf Portebene, - graphische Visualisierung der aktiven Netzkomponenten, - interaktives Tool für das Managementprotokoll (z. B. MIB-Browser), Version 1998 Teil 1 - Kapitel 6.7 - Seite 79 Heterogene Netze IT-Grundschutzhandbuch - einfache Navigation im Netzmanagement-Tool, z. B. durch Zoomfunktionen oder durch Ausschnittsvergrößerungen, - eventuell Integration eines VLAN-Managers und graphische Darstellung der VLANs, - intuitive Bedienbarkeit der Tool-Oberfläche, insbesondere desjenigen Teils, in dem die topologischen bzw. topographischen Abbildungen editiert werden (beispielsweise durch "Drag & Drop"), - Darstellung der Fehler- und Alarmmeldungen durch frei definierbare Farben und nach selbst zu definierenden Kriterien, - Möglichkeit eines verteilten Managements (Client/Server und Manager-of-Manager) und - Möglichkeit der Integration und Definition weiterer MIBs (Private-MIBs). Ergänzende Kontrollfragen: - Wurden alle Anforderungen an ein Netzmanagement-Tool formuliert und dokumentiert? - Kann mit dem Netzmanagement-Tool das Netzmanagement-Konzept umgesetzt werden? Teil 1 - Kapitel 6.7 - Seite 80 Version 1998 IT-Grundschutzhandbuch M 2.146 Heterogene Netze Sicherer Betrieb eines Netzmanagementsystems Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Für den sicheren Betrieb eines Netzmanagementtools oder eines komplexen Netzmanagementsystems, welches beispielsweise aus mehreren verschiedenen Netzmanagementtools zusammengesetzt sein kann, ist die sichere Konfiguration aller beteiligten Komponenten zu überprüfen und sicherzustellen. Hierzu gehören die Betriebssysteme, auf denen das oder die Netzmanagementsysteme betrieben werden, die zumeist notwendigen externen Datenbanken für ein Netzmanagementsystem, das verwendete Protokoll (siehe M 2.144 Geeignete Auswahl eines Netzmanagementprotokolls) und die aktiven Netzkomponenten selbst. Vor dem Betrieb eines Netzmanagementsystems muß die Ermittlung der Anforderungen an den Betrieb und die Erstellung eines Netzmanagementkonzeptes stehen (siehe M 2.143 Entwicklung eines Netzmanagementkonzeptes). Insbesondere sind folgende Punkte zu beachten: - Um ein Mitlesen oder Verändern der Netzmanagement-Informationen zu verhindern, muß der Rechner, auf dem die Netzmanagement-Konsole betrieben wird, geeignet geschützt werden. Dazu zählen beispielsweise die Aufstellung in einem besonders geschützten Raum, der Einsatz von Bildschirmsperren, Paßwortschutz für die Netzmanagement-Konsole und weitere Sicherheitsmechanismen des zugrundeliegenden Betriebssystems. - Die Maßnahme M 2.144 Geeignete Auswahl eines Netzmanagementprotokolls ist vor dem Hintergrund des sicheren Betriebes zu berücksichtigen. Insbesondere ist durch eine geeignete Konfiguration der aktiven Netzkomponenten auf der Basis des verwendeten Protokolls ein Auslesen der MIBs und anderer Informationen durch unautorisierte Personen zu verhindern (siehe M 4.80 Sichere Zugriffsmechanismen bei Fernadministration und M 4.82 Sichere Konfiguration der aktiven Netzkomponenten). - Werden Netzmanagementfunktionen dezentral nach dem Client/Server-Modell oder durch Benutzung der X-Windows-Technologie durchgeführt, muß für diese ebenfalls der sichere Betrieb gewährleistet werden. - Es müssen in regelmäßigen Abständen Integritätstests der eingesetzten Software durchgeführt werden, um unautorisierte Änderungen frühzeitig zu erkennen. - Das Netzmanagement-System muß auf sein Verhalten bei einem Systemabsturz getestet werden. Insbesondere sollte ein automatischer Neustart möglich sein, um die Zeitspanne, in der das lokale Netz nicht überwacht wird, so gering wie möglich zu halten. Die Netzmanagement-Datenbank darf durch einen Systemabsturz nicht beschädigt werden und muß nach einem Neustart wieder verfügbar sein, da die darin enthaltenen Konfigurationsdaten wesentlich für den Betrieb des Netzmanagementsystems sind. Diese Daten müssen daher besonders gesichert werden, damit sie einerseits noch verfügbar sind und andererseits keine alten oder fehlerhaften Konfigurationsdaten bei einem Neustart benutzt werden, der ggf. durch einen Angreifer aus diesem Grunde provoziert wurde. Für den Schutz der eingesetzten Datenbank ist u. U. auch der Baustein 9.2 Datenbanken zu beachten. - Beim Wiedereinspielen von gesicherten Datenbeständen muß darauf geachtet werden, daß für den sicheren Betrieb des Netzmanagement-Systems relevante Dateien wie Konfigurationsdaten, Paßwortdateien und auch die Metakonfigurationsdateien für die eigentlichen Netzkomponenten auf dem aktuellsten Stand sind. Version 1998 Teil 1 - Kapitel 6.7 - Seite 81 Heterogene Netze IT-Grundschutzhandbuch Für den sicheren Betrieb eines Netzmanagement-Systems sind folgende Daten relevant: - Konfigurationsdaten des Netzmanagementsystems, die sich in entsprechend geschützten Verzeichnissen befinden müssen. - Konfigurationsdaten der Netzkomponenten (Metakonfigurationsdateien), die sich ebenfalls in entsprechend geschützten Verzeichnissen befinden müssen. - Paßwortdateien für das Netzmanagementsystem. Hierbei ist beispielsweise auf die Güte des Paßworts und die Möglichkeit einer verschlüsselten Speicherung des Paßworts zu achten (siehe M 2.11 Regelung des Paßwortgebrauchs). - Eine Administration der aktiven Netzkomponenten über das Netz sollte dann eingeschränkt werden und eine Administration über die lokalen Schnittstellen erfolgen, wenn die Erfüllung der Anforderungen an Vertraulichkeit und Integrität der Netzmanagementinformationen nicht gewährleistet werden kann. In diesem Fall ist auf ein zentrales Netzmanagement zu verzichten. Ergänzende Kontrollfragen: - Wurde eine Regelung des Paßwortgebrauchs für das Netzmanagementsystems bzw. -tool erstellt? - Unterstützt das Netzmanagementsystem die erforderlichen Sicherheitsmaßnahmen? Teil 1 - Kapitel 6.7 - Seite 82 Version 1998 IT-Grundschutzhandbuch M 3.4 Heterogene Netze Schulung vor Programmnutzung Verantwortlich für Initiierung: Leiter Personal, Vorgesetzte Verantwortlich für Umsetzung: Vorgesetzte, Verfahrensverantwortliche Durch unsachgemäßen Umgang mit IT-Anwendungen hervorgerufene Schäden können vermieden werden, wenn die Benutzer eingehend in die IT-Anwendungen eingewiesen werden. Daher ist es unabdingbar, daß die Benutzer vor der Übernahme IT-gestützter Aufgaben ausreichend geschult werden. Dies betrifft sowohl die Nutzung von Standardprogrammpaketen als auch von speziell entwickelten IT-Anwendungen. Darüber hinaus müssen auch bei umfangreichen Änderungen in einer IT-Anwendung Schulungsmaßnahmen durchgeführt werden. Stehen leicht verständliche Handbücher zu IT-Anwendungen bereit, so kann anstelle der Schulung auch die Aufforderung stehen, sich selbständig einzuarbeiten. Eine wesentliche Voraussetzung dazu ist allerdings die Bereitstellung ausreichender Einarbeitungszeit. Ergänzende Kontrollfragen: - Werden Mitarbeiter, die eine IT-gestützte Aufgabe neu übernehmen sollen, ausreichend geschult? Wird ein Schulungsplan für die Einführung einer neuen IT-Anwendung erstellt? - Welche IT-Anwendungen sind seit der letzten Überprüfung neu hinzugekommen? Wie wurden die Mitarbeiter eingearbeitet? Welche Schulungsveranstaltungen haben Mitarbeiter seitdem besucht? Version 1998 Teil 1 - Kapitel 6.7 - Seite 83 Heterogene Netze M 3.5 IT-Grundschutzhandbuch Schulung zu IT-Sicherheitsmaßnahmen Verantwortlich für Initiierung: Vorgesetzte, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Vorgesetzte, IT-Sicherheitsmanagement Die überwiegende Zahl von Schäden im IT-Bereich entsteht durch Nachlässigkeit. Um dies zu verhindern, ist jeder einzelne zum sorgfältigen Umgang mit der IT zu motivieren. Zusätzlich sind Verhaltensregeln zu vermitteln, die ein Verständnis für die IT-Sicherheitsmaßnahmen wecken. Insbesondere sollen folgende Themen in der Schulung zu IT-Sicherheitsmaßnahmen vermittelt werden: - Sensibilisierung für IT-Sicherheit Jeder Mitarbeiter ist auf die Notwendigkeit der IT-Sicherheit hinzuweisen. Das Aufzeigen der Abhängigkeit der Behörde bzw. des Unternehmens und damit der Arbeitsplätze von dem reibungslosen Funktionieren der IT-Systeme ist ein geeigneter Einstieg in die Sensibilisierung. Darüber hinaus ist der Wert von Informationen herauszuarbeiten, insbesondere unter den Gesichtspunkten Vertraulichkeit, Integrität und Verfügbarkeit. Diese Sensibilisierungsmaßnahmen sind in regelmäßigen Zeitabständen zu wiederholen, evtl. auch durch praktische Hinweise z. B. in der Hauspost. - Die mitarbeiterbezogenen IT-Sicherheitsmaßnahmen Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden, die in einem IT-Sicherheitskonzept erarbeitet wurden und von den einzelnen Mitarbeitern umzusetzen sind. Dieser Teil der Schulungsmaßnahmen hat eine große Bedeutung, da viele IT-Sicherheitsmaßnahmen erst nach einer entsprechenden Schulung und Motivation effektiv umgesetzt werden können. - Die produktbezogenen IT-Sicherheitsmaßnahmen Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden, die inhärent mit einem Softwareprodukt verbunden sind und bereits im Lieferumfang enthalten sind. Dies können neben Paßwörtern zur Anmeldung, der Pausenschaltung durch Bildschirmschoner auch Möglichkeiten der Verschlüsselung von Dokumenten oder Datenfeldern sein. Hinweise und Empfehlungen über die Strukturierung und Organisation von Dateien, die Bewegungsdaten enthalten, können die Vergabe von Zugriffsrechten erleichtern und den Aufwand zu Datensicherung deutlich reduzieren. - Das Verhalten bei Auftreten eines Computer-Virus auf einem PC Hier soll den Mitarbeitern vermittelt werden, wie mit Computer-Viren umzugehen ist. Mögliche Inhalte dieser Schulung sind (siehe M 6.23 Verhaltensregeln bei Auftreten eines Computer-Virus): - Erkennen des Computer-Virusbefalls Wirkungsweise und Arten von Computer-Viren Sofortmaßnahmen im Verdachtsfall Maßnahmen zur Eliminierung des Computer-Virus Vorbeugende Maßnahmen Teil 1 - Kapitel 6.7 - Seite 84 Version 1998 IT-Grundschutzhandbuch - Heterogene Netze Der richtige Einsatz von Paßwörtern Hierbei sollen die Bedeutung des Paßwortes für die IT-Sicherheit sowie die Randbedingungen erläutert werden, die einen wirksamen Einsatz eines Paßwortes erst ermöglichen (vgl. auch M 2.11 Regelung des Paßwortgebrauchs). - Die Bedeutung der Datensicherung und deren Durchführung Die regelmäßige Datensicherung ist eine der wichtigsten IT-Sicherheitsmaßnahmen in jedem IT-System. Vermittelt werden soll das Datensicherungskonzept (s. Kapitel 3.4 Datensicherungskonzept) der Behörde bzw. des Unternehmens und die von jedem einzelnen durchzuführenden Datensicherungsaufgaben. Besonders bedeutend ist dies für den PC-Bereich, in dem jeder Benutzer selbst die Datensicherung verantwortlich durchführen muß. - Der Umgang mit personenbezogenen Daten An den Umgang mit personenbezogene Daten sind besondere Anforderungen zu stellen. Mitarbeiter, die mit personenbezogenen Daten (sowohl in IT-Systemen als auch in Akten) arbeiten müssen, sind für die gesetzlich erforderlichen Sicherheitsmaßnahmen zu schulen. Dies betrifft den Umgang mit Auskunftsersuchen, Änderungsund Verbesserungswünschen der Betroffenen, gesetzlich vorgeschriebene Löschfristen, Schutz der Vertraulichkeit und die Übermittlung der Daten. - Die Einweisung in Notfallmaßnahmen Sämtliche Mitarbeiter (auch nicht unmittelbar mit IT befaßte Personen wie Pförtnerdienst oder Wachpersonal) sind in bestehende Notfallmaßnahmen einzuweisen. Dazu gehört die Erläuterung der Fluchtwege, die Verhaltensweisen bei Feuer, der Umgang mit Feuerlöschern, das Notfall-Meldesystem (wer als erstes wie zu benachrichtigen ist) und der Umgang mit dem Notfall-Handbuch. - Vorbeugung gegen Social Engineering Die Mitarbeiter sollen auf die Gefahren des Social Engineering hingewiesen werden. Die typischen Muster solcher Versuche, über gezieltes Aushorchen an vertrauliche Informationen zu gelangen, ebenso wie die Methoden, sich dagegen zu schützen, sollten bekannt gegeben werden. Da Social Engineering oft mit der Vorspiegelung einer falschen Identität einhergeht, sollten Mitarbeiter regelmäßig darauf hingewiesen werden, die Identität von Gesprächspartnern zu überprüfen und insbesondere am Telefon keine vertraulichen Informationen weiterzugeben. Ergänzende Kontrollfragen: - Welche Themen bzgl. IT-Sicherheitsmaßnahmen wurden schon geschult? - Werden neue Mitarbeiter entsprechend in die IT-Sicherheitsmaßnahmen eingewiesen? - Welche Schulungsmaßnahmen werden in welchen Intervallen angeboten? - Decken die Inhalte der Schulungsmaßnahmen die erforderlichen Gebiete ab? Version 1998 Teil 1 - Kapitel 6.7 - Seite 85 Heterogene Netze M 3.10 IT-Grundschutzhandbuch Auswahl eines vertrauenswürdigen Administrators und Vertreters Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter Personal, Leiter IT, TKAnlagen-Verantwortlicher, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Den IT-System- oder TK-Anlagen-Administratoren und deren Vertretern muß vom Betreiber großes Vertrauen entgegengebracht werden können. Sie haben - in Abhängigkeit vom eingesetzten System - weitgehende und oftmals alle Befugnisse. Administratoren und ihre Vertreter sind in der Lage, auf alle gespeicherten Daten zuzugreifen, ggf. zu verändern und Berechtigungen so zu vergeben, daß erheblicher Mißbrauch möglich wäre. Das hierfür eingesetzte Personal muß sorgfältig ausgewählt werden. Es soll regelmäßig darüber belehrt werden, daß die Befugnisse nur für die erforderlichen Administrationsaufgaben verwendet werden dürfen. Ergänzende Kontrollfragen: - Wie wurde die Zuverlässigkeit des Administrators bzw. seines Stellvertreters festgestellt? Teil 1 - Kapitel 6.7 - Seite 86 Version 1998 IT-Grundschutzhandbuch M 3.11 Heterogene Netze Schulung des Wartungs- und Administrationspersonals Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter Personal, Leiter IT, TKAnlagen-Verantwortlicher, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Vorgesetzte Das Wartungs- und Administrationspersonal sollte mindestens soweit geschult werden, daß - alltägliche Administrationsarbeiten selbst durchgeführt, - einfache Fehler selbst erkannt und behoben, - Datensicherungen selbsttätig durchgeführt und - die Eingriffe von externem Wartungspersonal nachvollzogen werden können. Entsprechende Schulungen werden in der Regel von den Herstellern der IT-Systeme bzw. TKAnlagen angeboten. Administratoren von TK-Anlagen sollten außerdem in der Lage sein, - das Betriebsverhalten der TK-Anlage mit Hilfe der Kontrollanzeigen an den Geräten zu beurteilen, - die TK-Anlage selbständig außer- und in Betrieb nehmen zu können. Version 1998 Teil 1 - Kapitel 6.7 - Seite 87 Heterogene Netze M 4.7 IT-Grundschutzhandbuch Änderung voreingestellter Paßwörter Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher, Leiter IT IT-Sicherheitsmanagement, Verantwortlich für Umsetzung: Administrator Viele IT-Systeme, TK-Anlagen und Netzkoppelelemente (bspw. ISDN-Router, Sprach-DatenMultiplexer etc.) besitzen nach der Auslieferung durch den Hersteller noch voreingestellte Standardpaßwörter. Diese sollten als erstes durch individuelle Paßwörter ersetzt werden. Hierbei sind die einschlägigen Regeln für Paßwörter zu beachten (vgl. M 2.11 Regelung des Paßwortgebrauchs). Achtung: Bei einigen TK-Anlagen werden vorgenommene Änderungen der Konfiguration nur im RAM abgelegt. Dies gilt auch für Paßwortänderungen. Daher ist nach einer solchen Operation stets eine Datensicherung vorzunehmen und eine neue Sicherungskopie zu erstellen. Unterbleibt dies, so ist nach einem "Restart" der Anlage wieder das Standardpaßwort gültig. Weiterhin sollte überprüft werden, ob nach Einrichten eines neuen Paßworts das Standardpaßwort tatsächlich seine Gültigkeit verloren hat und nicht weiterhin für den Systemzugang genutzt werden kann. Ergänzende Kontrollfragen: - Ist die Anlage noch mit einem Standardpaßwort versehen? - Wurden die Sicherungskopien nach der Vergabe und Speicherung des individuellen Paßworts angelegt? - Ist der Systemzugang mit dem Standardpaßwort nach der Eingabe eines neuen Paßworts weiterhin möglich? - Werden die einschlägigen Regeln zum "Paßwort-Handling" beachtet? Teil 1 - Kapitel 6.7 - Seite 88 Version 1998 IT-Grundschutzhandbuch M 4.15 Heterogene Netze Gesichertes Login Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Es sollte ein Login-Programm verwendet bzw. Optionen aktiviert werden, so daß die folgenden Maßnahmen durchgeführt werden können: - Die Anzahl erfolgloser Login-Versuche wird beschränkt. - Nach jedem erfolglosen Login-Versuch vergrößert sich die Wartezeit bis zur nächsten Login-Aufforderung. Nach einer bestimmten Anzahl von Fehlversuchen wird der Account und / oder das Terminal gesperrt. Dabei ist zu bedenken, daß dadurch nicht der Administrator ausgesperrt werden darf, es muß ihm an der Konsole eine Zugangsmöglichkeit offen bleiben (siehe auch M 1.32 Geeignete Aufstellung von Konsole, Geräten mit austauschbaren Datenträgern und Druckern). - Der Zeitpunkt des letzten erfolgreichen Logins wird dem Benutzer beim Login gemeldet. - Erfolglose Login-Versuche werden dem Benutzer beim Login gemeldet. Eventuell sollte diese Meldung bei mehreren darauffolgenden Logins wiederholt werden. - Der Zeitpunkt des letzten Logouts wird dem Benutzer beim Login gemeldet. Hierbei wird zwischen Logouts zu einem interaktiven Login und solchen zu einem nicht-interaktiven Login (Logout von Hintergrundprozessen) unterschieden. - Für das Login über Netze, in denen Paßwörter unverschlüsselt übertragen werden, empfiehlt sich die zusätzliche Verwendung von Einmalpaßwörtern (siehe auch M 5.34 Einsatz von Einmalpaßwörtern). Ergänzende Kontrollfragen: - Sind die Benutzer darauf hingewiesen worden, den Zeitpunkt des letzten erfolgreichen Logins auf Plausibilität zu überprüfen? - Wie häufig werden erfolglose Login-Versuche dem Benutzer gemeldet? Version 1998 Teil 1 - Kapitel 6.7 - Seite 89 Heterogene Netze M 4.24 IT-Grundschutzhandbuch Sicherstellung einer konsistenten Systemverwaltung Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement, Administrator Verantwortlich für Umsetzung: Administrator In vielen komplexen IT-Systemen, z. B. unter Unix oder in einem Netz, gibt es eine Administratorrolle, die keinerlei Beschränkungen unterliegt. Unter Unix ist das der Super-User root, in einem Novell-Netz der SUPERVISOR. Durch fehlende Beschränkungen ist die Gefahr von Fehlern oder Mißbrauch besonders hoch. Um Fehler zu vermeiden, soll unter dem Super-User-Login nur gearbeitet werden, wenn es notwendig ist; andere Arbeiten soll auch der Administrator nicht unter der Administrator-Kennung erledigen. Insbesondere dürfen keine Programme anderer Benutzer unter der AdministratorKennung aufgerufen werden. Ferner sollte die routinemäßige Systemverwaltung (zum Beispiel Backup, Einrichten eines neuen Benutzers) nur menügesteuert durchgeführt werden können. Durch Aufgabenteilung, Regelungen und Absprache ist sicherzustellen, daß Administratoren keine inkonsistenten oder unvollständigen Eingriffe vornehmen. Zum Beispiel darf eine Datei nicht gleichzeitig von mehreren Administratoren editiert und verändert werden, da dann nur die zuletzt gespeicherte Version erhalten bleibt. Wenn die Gefahr des Abhörens von Leitungen zwischen Konsole und Terminals besteht, darf der Administrator nur an der Konsole arbeiten, damit keine Paßwörter abgehört werden können. Für alle Administratoren sind zusätzliche Benutzer-Kennungen einzurichten, die nur über die eingeschränkten Rechte verfügen, die die Administratoren zur Aufgabenerfüllung außerhalb der Administration benötigen. Für Arbeiten, die nicht der Administration dienen, sollen die Administratoren ausschließlich diese zusätzliche Benutzer-Kennungen verwenden. Ergänzende Kontrollfragen: - Wie ist sichergestellt, daß Eingriffe des Administrators nicht zu Inkonsistenzen führen? - Werden vor größeren Eingriffen Backups gefahren? - Haben alle Administratoren eine zusätzliche Benutzer-Kennung mit eingeschränkten Rechten? - Werden standardmäßig die zusätzlichen Benutzer-Kennungen benutzt? Teil 1 - Kapitel 6.7 - Seite 90 Version 1998 IT-Grundschutzhandbuch M 4.79 Heterogene Netze Sichere Zugriffsmechanismen bei lokaler Administration Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Bei einigen aktiven Komponenten kann über einen lokalen Zugriff die Administration der Komponenten erfolgen. Solch ein lokaler Zugriff ist zumeist über einen seriellen Anschluß (üblicherweise eine V.24 bzw. EIA-232-E Schnittstelle) realisiert. Für einen sicheren lokalen Zugriff sind die folgenden Maßnahmen zu beachten: - Die aktiven Netzkomponenten und ihre Peripheriegeräte, wie z. B. angeschlossene Terminals, müssen sicher aufgestellt werden (siehe M 1.29 Geeignete Aufstellung eines ITSystems), - der lokale Zugriff zur Administration der lokalen Komponenten muß softwaretechnisch und/oder mechanisch gesperrt werden, - eine eventuell vorhandenes Standardpaßwort des lokalen Zugriffs muß sofort nach Inbetriebnahme geändert werden (zur Auswahl des neuen Paßwortes siehe M 2.11 Regelung des Paßwortgebrauchs), - die Sicherheitseigenschaften dauerhaft angeschlossener Terminals oder Rechner, wie z. B. automatische Bildschirmsperre oder Auto-Logout, sind zu aktivieren (siehe M 5.11 Konsolen der Server und aktiven Netzkomponenten sperren). Eine lokale Administration bietet folgende Vorteile: - Die Gefahr des Abhörens von Paßwörtern wird reduziert. - Auch bei einem Ausfall des Netzsegmentes, in dem sich die aktive Komponente befindet, oder bei einem Ausfall des gesamten Netzes ist eine Administration weiterhin möglich. Eine lokale Administration bietet allerdings auch folgende Nachteile: - Aktive Netzkomponenten können im allgemeinen so konfiguriert werden, daß eine lokale oder eine zentrale Administration der aktiven Netzkomponenten möglich ist. Für die Auswahl der Konfigurationsmethode kann jedoch keine generelle Empfehlung gegeben werden. Zu berücksichtigen ist jedoch, daß bei der Konfiguration für eine ausschließlich lokale Administration keine zentrale Administration der aktiven Netzkomponenten mehr möglich ist. Diese muß dann immer vor Ort direkt an den entsprechenden Komponenten vorgenommen werden. In diesem Fall erhöht sich auch die Reaktionszeit im Störungsfall, da unter Umständen längere Wege bis zum Standort der Komponente zurückzulegen sind. - Der lokale Zugriff ist durch die Realisierung über eine V.24 bzw. EIA-232-E Schnittstelle im allgemeinen langsamer als ein Fernzugriff über das Netz. Ergänzende Kontrollfragen: - Sind die Standardpaßwörter für den lokalen Zugriff gegen sichere ausgetauscht worden? Version 1998 Teil 1 - Kapitel 6.7 - Seite 91 Heterogene Netze M 4.80 IT-Grundschutzhandbuch Sichere Zugriffsmechanismen bei Fernadministration Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Einige aktive Netzkomponenten können über einen Netzzugriff fernadministriert oder überwacht werden. Der Zugriff erfolgt entweder über verbindungsorientierte oder verbindungslose Protokolle. Hierzu gehören: - Protokolle zur reinen Datenübertragung, beispielsweise um neue Firmware-Versionen oder Konfigurationsdateien zu übertragen, z. B. FTP, TFTP (von letzterem wird prinzipiell abgeraten) oder RCP (siehe auch M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten), - Protokolle zur interaktiven Kommunikation, z. B. Telnet, - Protokolle für das Netzmanagement, z. B. SNMP oder CMIP. Bei allen Zugriffsarten ist dafür Sorge zu tragen, daß kein unautorisierter Zugriff erfolgen kann. Hierzu sind die Standardpaßwörter bzw. Community-Namen der Netzkomponenten gegen sichere Paßwörter bzw. Community-Namen auszutauschen (siehe M 4.82 Sichere Konfiguration der aktiven Netzkomponenten). Die Kopplung von Community-Namen und Paßwort betrifft bei vielen aktiven Netzkomponenten die Protokolle FTP, Telnet, SNMP und CMIP. Einige Komponenten bieten auch die Möglichkeit, den Zugriff auf der Basis von MAC- oder IPAdressen zu beschränken. Soweit möglich, sollte diese Option genutzt werden, um den Zugriff nur von dedizierten Managementstationen aus zu gestatten. Protokolle zur Datenübertragung (TFTP, FTP, RCP) sollten nur von der Netzkomponente selbst aus initiiert werden können. Dies trifft insbesondere für nicht authentifizierende Protokolle wie TFTP zu. Für interaktive Kommunikationsprotokolle (Telnet) sollte die Auto-Logout-Option der Netzkomponente aktiviert werden. Bei den meisten der genannten Protokollen ist zu beachten, daß die Übertragung der Paßwörter bzw. Community-Namen im Klartext erfolgt, also prinzipiell abgehört werden kann (siehe hierzu M 5.61 Geeignete physikalische Segmentierung und M 5.62 Geeignete logische Segmentierung) Beispiel: Die bei SNMP standardmäßig voreingestellten Community-Namen “public” und “private” sollten gegen andere Namen ausgetauscht werden. Ergänzende Kontrollfragen: - Wurden alle Standardpaßwörter und Community-Namen gegen sichere selbstgewählte ausgetauscht? - Können Datenübertragungen nur von den Netzkomponenten aus initiiert werden? Teil 1 - Kapitel 6.7 - Seite 92 Version 1998 IT-Grundschutzhandbuch M 4.81 Heterogene Netze Audit und Protokollierung der Aktivitäten im Netz Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator, Revisor, Auditor Eine angemessene Durchführung von Protokollierung, Audit und Revision ist ein wesentlicher Faktor der Netzsicherheit. Eine Protokollierung innerhalb eines Netzmanagementsystems oder an bestimmten aktiven Netzkomponenten erlaubt es, gewisse (im allgemeinen zu definierende) Zustände für eine spätere Auswertung abzuspeichern. Typische Fälle, die protokolliert werden können, sind z. B. die übertragenen fehlerhaften Pakete an einer Netzkomponente, ein unautorisierter Zugriff auf eine Netzkomponente oder die Performance eines Netzes zu bestimmten Zeiten. Eine Auswertung solcher Protokolle mit geeigneten Hilfsmitteln erlaubt beispielsweise einen Rückschluß, ob die Bandbreite des Netzes den derzeitigen Anforderungen genügt, oder die Erkennung von systematischen Angriffen auf das Netz. Unter einem Audit wird die Verwendung eines Dienstes verstanden, der insbesondere sicherheitskritische Ereignisse betrachtet. Dies kann online oder offline erfolgen. Bei einem OnlineAudit werden die Ereignisse mit Hilfe eines Tools (z. B. einem Netzmanagementsystem) in Echtzeit betrachtet und ausgewertet. Bei einem Offline-Audit werden die Daten protokolliert oder aus einer bestehenden Protokolldatei extrahiert. Zu den mit Hilfe eines Offline-Audits überwachten Faktoren gehören häufig auch Daten über Nutzungszeiten und angefallene Kosten. Bei der Revision werden die beim (Offline-) Audit gesammelten Daten von einem oder mehreren unabhängigen Mitarbeitern (4-Augen-Prinzip) überprüft, um Unregelmäßigkeiten beim Betrieb der IT-Systeme aufzudecken und die Arbeit der Administratoren zu kontrollieren. Die mit einem Netzmanagement-System möglichen Protokollierungs- und Audit-Funktionen sind in einem sinnvollen Umfang zu aktivieren. Neben Performance-Messungen zur Überwachung der Netzlast sind dabei insbesondere die Ereignisse (Events) auszuwerten, die von einem Netzmanagement-System generiert werden, oder spezifische Datensammler (z. B. RMONProbes) einzusetzen, mit denen sicherheitskritische Ereignisse überwacht und ausgewertet werden können. Bei der Protokollierung fallen zumeist sehr viele Einträge an, so daß diese nur mit Hilfe eines Werkzeuges sinnvoll ausgewertet werden können. Beim Audit liegt die Fokusierung auf der Überwachung von sicherheitskritischen Ereignissen. Zusätzlich werden beim Audit häufig auch Daten über Nutzungszeiträume und anfallende Kosten erhoben. Dabei sind für ein Audit insbesondere folgende Vorkommnisse von Interesse: - Daten über die Betriebsdauer von IT-Systemen (wann wurde welches IT-System ein- bzw. wieder ausgeschaltet?), - Zugriffe auf aktive Netzkomponenten (wer hat sich wann angemeldet?), - sicherheitskritische Zugriffe auf Netzkomponenten und Netzmanagementkomponenten mit oder ohne Erfolg, - Verteilung der Netzlast über die Betriebsdauer eines Tages oder eines Monats und die allgemeine Performance des Netzes. Weiterhin sollten folgende Vorkommnisse protokolliert werden: Version 1998 Teil 1 - Kapitel 6.7 - Seite 93 Heterogene Netze IT-Grundschutzhandbuch - Hardware-Fehlfunktionen, die zu einem Ausfall eines IT-Systems führen können, - Unzulässige Änderungen der IP-Adresse eines IT-Systems (in einem TCP/IP-Umfeld). Ein Audit kann sowohl online als auch offline betrieben werden. Bei einem Online-Audit werden entsprechend kategorisierte Ereignisse direkt dem Auditor mitgeteilt, der ggf. sofort Maßnahmen einleiten kann. Dafür müssen Ereignisse in geeignete Kategorien eingeteilt werden, damit der zuständige Administrator oder Auditor auf wichtige Ereignisse sofort reagieren kann und nicht unter einer Flut von Informationen den Überblick verliert. Ist Rollentrennung notwendig? Bei einem Offline-Audit werden die Daten aus den Protokolldateien oder speziellen Auditdateien mit Hilfe eines Werkzeuges für Auditzwecke aufbereitet und durch den Auditor überprüft. Im letzteren Fall können Maßnahmen zur Einhaltung oder Wiederherstellung der Sicherheit nur zeitverzögert eingeleitet werden. Im allgemeinen wird eine Mischform aus Online- und OfflineAudit empfohlen. Dabei werden für das Online-Audit die sicherheitskritischen Ereignisse gefiltert und dem Auditor sofort zur Kenntnis gebracht. Zusätzlich werden weniger kritische Ereignisse offline ausgewertet. Für Protokollierung und Audit können die Standard-Managementprotokolle, wie z. B. SNMP und das darauf aufsetzende RMON, aber auch spezifische Protokolle des eingesetzten Netzmanagementproduktes verwendet werden. Auf keinen Fall dürfen Benutzer-Paßwörter im Rahmen eines Audits oder einer Protokollierung gesammelt werden! Dadurch wird ein hohes Sicherheitsrisiko erzeugt, falls es zu einem unberechtigten Zugriff auf diese Informationen kommt. Auch falsch eingegebene Paßwörter sollten nicht protokolliert werden, da sie sich von den gültigen Paßwörtern meist nur um ein Zeichen bzw. um eine Vertauschung zweier Zeichen unterscheiden. Es muß weiterhin festgelegt werden, wer die Protokolle und Audit-Daten auswertet. Hierbei muß eine angemessene Trennung zwischen Ereignisverursacher und -auswerter (z. B. Administrator und Auditor) vorgenommen werden. Weiterhin ist darauf zu achten, daß die datenschutzrechtlichen Bestimmungen eingehalten werden. Für alle erhobenen Daten ist insbesondere die Zweckbindung nach § 14 BDSG zu beachten. Die Protokoll- oder Auditdateien müssen regelmäßig ausgewertet werden. Sie können sehr schnell sehr umfangreich werden. Um die Protokoll- oder Auditdateien auf ein auswertbares Maß zu beschränken, sollten die Auswertungsintervalle daher angemessen, aber dennoch so kurz gewählt werden, daß eine sinnvolle Auswertung möglich ist. Ergänzende Kontrollfragen: - Werden die aufgezeichneten Protokoll- und Auditdaten regelmäßig kontrolliert? - Werden die möglichen Konsequenzen sicherheitskritischer Ereignisse analysiert? - Werden die Benutzer-Paßwörter protokolliert? Teil 1 - Kapitel 6.7 - Seite 94 Version 1998 IT-Grundschutzhandbuch M 4.82 Heterogene Netze Sichere Konfiguration der aktiven Netzkomponenten Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Neben der Sicherheit von Serversystemen und Endgeräten wird die eigentliche Netzinfrastruktur mit den aktiven Netzkomponenten in vielen Fällen vernachlässigt. Gerade zentrale aktive Netzkomponenten müssen jedoch sorgfältig konfiguriert werden. Denn während durch eine fehlerhafte Konfiguration eines Serversystems nur diejenigen Benutzer betroffen sind, die die entsprechenden Dienste dieses Systems nutzen, können bei einer Fehlkonfiguration eines Routers größere Teilnetze bzw. sogar das gesamte Netz ausfallen oder Daten unbemerkt kompromittiert werden. Im Rahmen des Netzkonzeptes (siehe M 2.141 Entwicklung eines Netzkonzeptes) sollte auch die sichere Konfiguration der aktiven Netzkomponenten festgelegt werden. Dabei gilt es insbesondere folgendes zu beachten: - Für Router und Layer-3-Switching muß ausgewählt werden, welche Protokolle weitergeleitet und welche nicht durchgelassen werden. Dies kann durch die Implementation geeigneter Filterregeln geschehen. - Es muß festgelegt werden, welche IT-Systeme in welcher Richtung über die Router kommunizieren. Auch dies kann durch Filterregeln realisiert werden. - Sofern dies von den aktiven Netzkomponenten unterstützt wird, sollte festgelegt werden, welche IT-Systeme Zugriff auf die Ports der Switches und Hubs des lokalen Netzes haben. Hierzu wird die MAC-Adresse des zugreifenden IT-Systems ausgewertet und auf ihre Berechtigung hin überprüft. Für aktive Netzkomponenten mit Routing-Funktionalität ist außerdem ein geeigneter Schutz der Routing-Updates erforderlich. Diese sind zur Aktualisierung der Routing-Tabellen erforderlich, um eine dynamische Anpassung an die aktuellen Gegebenheiten des lokalen Netzes zu erreichen. Dabei kann man zwei verschiedene Sicherheitsmechanismen unterscheiden: - Paßwörter Die Verwendung von Paßwörtern schützt die so konfigurierten Router vor der Annahme von Routing-Updates durch Router, die nicht über das entsprechende Paßwort verfügen. Hierdurch können also Router davor geschützt werden, falsche oder ungültige RoutingUpdates anzunehmen.Der Vorteil von Paßwörtern gegenüber den anderen Schutzmechanismen ist ihr geringer Overhead, der nur wenig Bandbreite und Rechenzeit benötigt. - Kryptographische Prüfsummen Prüfsummen schützen vor der unbemerkten Veränderung von gültigen Routing-Updates auf dem Weg durch das Netz. Zusammen mit einer Sequenznummer oder einem eindeutigen Bezeichner kann eine Prüfsumme auch vor dem Wiedereinspielen alter RoutingUpdates schützen. Die Auswahl eines geeigneten Routing-Protokolls ist die Voraussetzung für einen angemessenen Schutz der Routing-Updates. RIP-2 (Routing Information Protocol Version 2, RFC 1723) und OSPF (Open Shortest Path First, RFC 1583) unterstützen Paßwörter in ihrer Basis-Spezifikation und können durch Erweiterungen auch kryptographische Prüfsummen nach dem MD5 (Message Digest 5) Verfahren verwenden. Version 1998 Teil 1 - Kapitel 6.7 - Seite 95 Heterogene Netze IT-Grundschutzhandbuch Ergänzende Kontrollfragen: - Wurde bei der Erstellung des Netz-Konzeptes die sichere Konfiguration der aktiven Netzkomponenten berücksichtigt? - Wird ein geeignetes Routing-Protokoll eingesetzt? - Wie werden die Routing-Updates geschützt? Teil 1 - Kapitel 6.7 - Seite 96 Version 1998 IT-Grundschutzhandbuch M 4.83 Heterogene Netze Update/Upgrade von Soft- und Hardware im Netzbereich Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Netzadministrator Durch ein Update von Software können Schwachstellen beseitigt oder Funktionen erweitert werden. Dies betrifft beispielsweise die Betriebssoftware von aktiven Netzkomponenten wie z. B. Switches oder Router, aber auch eine Netzmanagementsoftware. Ein Update ist insbesondere dann notwendig, wenn Schwachstellen bekannt werden, die Auswirkungen auf den sicheren Betrieb des Netzes haben, wenn Fehlfunktionen wiederholt auftauchen oder eine funktionale Erweiterung aus sicherheitstechnischen oder fachlichen Erfordernissen notwendig wird. Auch ein Upgrade von Hardware kann in bestimmten Fällen sinnvoll sein, wenn z. B. eine neue Version eines Switches eine höhere Transfer- und Filterrate bietet. Durch diese Maßnahmen kann der Grad der Verfügbarkeit, der Integrität und der Vertraulichkeit unter Umständen erhöht werden. Bevor jedoch ein Upgrade oder ein Update vorgenommen wird, muß die Funktionalität, die Interoperabilität und die Zuverlässigkeit der neuen Komponenten genau geprüft werden. Dies geschieht am sinnvollsten in einem physikalisch separaten Testnetz, bevor das Update oder Upgrade in den produktiven Einsatz übernommen wird (siehe M 4.78 Sorgfältige Durchführung von Konfigurationsänderungen). Ergänzende Kontrollfragen: - Werden die Updates bzw. Upgrades vor einem produktiven Einsatz auf die Interoperabilität mit den bereits vorhandenen Komponenten überprüft? Version 1998 Teil 1 - Kapitel 6.7 - Seite 97 Heterogene Netze M 5.2 IT-Grundschutzhandbuch Auswahl einer geeigneten Netz-Topographie Verantwortlich für Initiierung: Leiter IT Verantwortlich für Umsetzung: Netzplaner, Leiter Haustechnik Unter der Topographie eines Netzes wird die rein physikalische Struktur eines Netzes in Form der Kabelführung verstanden. Im Gegensatz dazu handelt es sich bei der Netz-Topologie um die logische Struktur eines Netzes. Die Topographie und Topologie eines Netzes sind nicht notwendig identisch. Die Topographie orientiert sich naturgemäß fast immer an den räumlichen Verhältnissen, unter denen das Netz aufgebaut wird. Dies sind u.a.: - Standorte der Netzteilnehmer, - verfügbarer Platz für Trassen und Kabel (M 1.21 Ausreichende Trassendimensionierung), - erforderliche Kabeltypen (M 1.20 Auswahl geeigneter Kabeltypen unter physikalischmechanischer Sicht), - Anforderungen an den Schutz von Kabeln (M 1.22 Materielle Sicherung von Leitungen und Verteilern). Nachfolgend werden die Vor- und Nachteile möglicher Topographien aufgeführt. Weitere denkbare Topographien, die an dieser Stelle nicht genannt sind, können als Spezialfall der betrachteten Strukturen aufgefaßt werden. Im allgemeinen können zwei Grundformen unterschieden werden: der Stern und der Bus. Daraus lassen sich als Erweiterungen aus dem Stern eine baumförmige Struktur und aus dem Bus eine ringförmige Struktur ableiten. Diese vier Formen werden im folgenden kurz dargestellt: Stern Bei einem Stern sind alle Teilnehmer des Netzes über eine dedizierte Leitung mit einem zentralen Knoten verbunden. Die häufig anzutreffende Token-Ring-Architektur wird topographisch als Stern verkabelt, bildet topologisch jedoch einen Ring. Die Vorteile: - Die Beschädigung einer Leitung beeinträchtigt nur den Betrieb des daran angeschlossenen Systems. - Änderungen der Zuordnung von Netzteilnehmern zum Anschlußpunkt am zentralen Knoten sowie Trennungen einzelner Teilnehmer lassen sich zentral durchführen. - Mit einer Sternverkabelung können alle denkbaren logischen Topologien nachgebildet werden. Die Nachteile: - Bei einem Ausfall des zentralen Knotens fallen alle angeschlossenen IT-Systeme aus. - Durch die Einzelanbindung jedes Teilnehmers an den zentralen Knoten ist ein hoher Kabelaufwand erforderlich. - Mit zunehmender Zahl individueller Leitungen wächst die Gefahr des Übersprechens. - Durch die sternförmige Verkabelung können Reichweitenprobleme in Abhängigkeit vom verwendeten Kabeltyp und vom eingesetzten Protokoll auftreten (vgl. M 5.3 Auswahl geeigneter Kabeltypen aus kommunikationstechnischer Sicht). In diesem Fall können Teil 1 - Kapitel 6.7 - Seite 98 Version 1998 IT-Grundschutzhandbuch Heterogene Netze Verstärker (Repeater) eingesetzt werden, was jedoch u. U. bei einer hohen Zahl von Leitungen sehr kostenintensiv ist. Hinzu kommt, daß nicht beliebig viele Verstärker in eine Leitung geschaltet werden dürfen. Dies ist ebenfalls vom verwendeten Protokoll abhängig. Eine andere Möglichkeit ist hier der Übergang zu einer baumförmigen Struktur. Baum Eine Baumstruktur entsteht durch die Verbindung mehrerer Sterne. In diesem Fall werden die Netzteilnehmer zu Gruppen zusammengefaßt, die an dezentrale Netzknoten sternförmig angeschlossen werden. Diese dezentralen Netzknoten sind wiederum über eine Leitung oder mehrere dedizierte Leitungen miteinander verbunden. Unter Umständen werden auch alle dezentralen Netzknoten an einem zentralen Netzknoten zusammengeführt. Die Vorteile: - Für den Anschluß der Systeme an die dezentralen Netzknoten gelten die gleichen Vorteile wie beim Stern. Für neue Teilnehmer muß nur im Bereich des dezentralen Netzknotens neu verkabelt werden. Bei entsprechender Auslegung der dezentralen Netzknoten ist ein Datenaustausch zwischen den Teilnehmern eines solchen Knotens auch bei einem Ausfall der anderen Knoten möglich. Durch die Verbindung der dezentralen Knoten untereinander über eine Leitung reduziert sich der Verkabelungsaufwand. Zur Überwindung großer Entfernungen zwischen den Knoten reicht die Verstärkung auf einer Leitung (Kostenersparnis). Für die Verbindung der Knoten ist der Einsatz hochwertigerer (meist teurerer) Kabel sinnvoll, mit denen auch größere Distanzen ohne zusätzliche Verstärkung überwunden werden können. Das bringt gegenüber den sonst notwendigen Verstärkern Vorteile in bezug auf Ausfallsicherheit und Kostenreduzierung. Eine Baumstruktur ermöglicht es, durch Vermaschung der einzelnen Knoten redundante Verbindungen aufzubauen. Die Nachteile: - Bei Störung eines Übergangs zu einem anderen dezentralen Netzknoten wird der Betrieb mit allen daran angeschlossenen Teilnehmern unterbrochen. Bus Bei einem Bus werden alle Netzteilnehmer an eine gemeinsame Leitung angeschlossen. Dies geschieht im allgemeinen durch ein zentrales Kabel, an das mit Stichleitungen die einzelnen Teilnehmer angebunden werden. Die Vorteile: - Die Verkabelung reduziert sich auf ein Kabel, hinzu kommen evtl. notwendige Stichleitungen. - Die Nachinstallation neuer Teilnehmer erfordert im allgemeinen nur geringen Verkabelungsaufwand. Sie werden einfach an das vorhandene Buskabel angeschlossen. - Der Bus ist durch den Einsatz von Verstärkern einfach verlängerbar. Dabei sind jedoch die Längenrestriktionen aufgrund des eingesetzten Kabeltyps und des verwendeten Protokolls Version 1998 Teil 1 - Kapitel 6.7 - Seite 99 Heterogene Netze IT-Grundschutzhandbuch zu beachten (vgl. M 5.3 Auswahl geeigneter Kabeltypen aus kommunikationstechnischer Sicht). - Ressourcen können an nahezu beliebigen Stellen am Bus angeschlossen werden. - Eine Busverkabelung erfordert durch das zentrale Kabel deutlich weniger Platz als eine vergleichbare Sternverkabelung mit TP-Kabel. Die Nachteile: - Störungen, die auf das Kabel wirken, beeinträchtigen den gesamten Bus. - Unterbrechungen des Buskabels bringen den gesamten Datenverkehr zum Erliegen. - Ab einer gewissen maximalen Länge und einer bestimmten Anzahl von Teilnehmern ist keine einfache Erweiterung des Busses mehr möglich. - Abhängig vom Kabeltyp müssen Restriktionen beim Anschluß neuer Teilnehmer beachtet werden (z. B. der Mindestabstand zwischen zwei Teilnehmern). Ring Der Ring ist aus topographischer Sicht ein Bus, dessen beide Enden miteinander verbunden sind. Eine Sonderform des Rings besteht in der doppelten Ausführung als Doppelring, wie sie z. B. bei FDDI Verwendung findet. Die Vorteile: - Der Ring kann bei einer Leitungsunterbrechung mit gewissen Beeinträchtigungen weiterarbeiten. Die Art der Beeinträchtigung hängt vom für den Ring verwendeten Netzzugangsprotokoll ab. Beeinträchtigungen können z. B. Bandbreitenverluste sein. - Die mögliche Ausführung als Doppelring ermöglicht eine zusätzliche Redundanz bzw. Fehlertoleranz. Die Nachteile: - Die verfügbaren Protokolle für Ring- und Doppelringsysteme sind beschränkt, d. h. es können nicht alle Protokolle auf diesen eingesetzt werden. Dies kann sich für die zukünftige Weiterentwicklung des Netzes nachteilig auswirken. Collapsed und Distributed Backbone Ein Collapsed Backbone ist eine spezielle Ausprägung eines Netzknotens, der innerhalb seiner Backplane (eine lokale Hochgeschwindigkeitsverbindung innerhalb eines Gerätes) eine der o. g. Strukturen oder eine Mischform daraus realisiert. Bei einem Collapsed Backbone werden alle Kabel zentral zu einem Netzknoten geführt, so daß es sich im Prinzip um eine Sternverkabelung handelt. Innerhalb des Netzknotens können nun die unterschiedlichsten Strukturen unterstützt werden. So werden beispielsweise bei einer Baumstruktur die nötigen Verbindungswege zwischen den dezentralen Sternen durch sehr kurze Verbindungen innerhalb des Netzknotens realisiert. Die Vorteile: - Alle Kabelanschlüsse können zentral kontrolliert und verwaltet werden. - Es werden im allgemeinen hohe Übertragungsraten in der Backplane erreicht. Hierdurch steht, je nach Produkt, zwischen den Segmenten die volle Netzbandbreite zur Verfügung. Die Nachteile: Teil 1 - Kapitel 6.7 - Seite 100 Version 1998 IT-Grundschutzhandbuch - Heterogene Netze Bei einem Ausfall des Collapsed Backbones fallen alle Netzzugänge aus. TokenRing 1 Etage 2 Etage 1 TokenRing 2 Etage 0 Koppelelement Zentraler Backbone (Collapsed Backbone) auf der Backplane Bei einem Distributed Backbone sind die einzelnen Netzkomponenten, die zum Backbone gehören, räumlich verteilt und werden durch die normale Netzinfrastruktur gekoppelt. Topographische Bäume werden beispielsweise im allgemeinen durch einen Distributed Backbone realisiert. Die Vorteile: - Bei einem Ausfall einer Netzkomponente sind nicht unbedingt alle IT-Systeme betroffen. Die Nachteile: - Die Kopplung der Backbone-Komponenten erfolgt über die im Vergleich zum Collapsed Backbone relativ langsame normale Netzverkabelung. - Es ist keine zentrale Administration der Backbone-Anschlüsse möglich. Version 1998 Teil 1 - Kapitel 6.7 - Seite 101 Heterogene Netze IT-Grundschutzhandbuch TokenRing 1 Brücke Etage 2 Etage 1 TokenRing 2 Brücke Verteilter Backbone (Distributed Backbone) über Sekundärverkabelung Bei der Auswahl einer geeigneten Netztopographie kann, wie bereits eingangs erwähnt, keine allgemeingültige Empfehlung gegeben werden. Solch eine Entscheidung wird u. a. immer stark durch bauliche Gegebenheiten beeinflußt. Allgemein üblich ist heute bei Neuinstallationen eine strukturierte Verkabelung in Stern- oder Baumform. Hierbei ist es sinnvoll, im Backbone-Bereich (Primär- und Sekundärbereich) Lichtwellenleiter und für die Etagenverkabelung (Tertiärbereich) Twisted-Pair-Kabel mind. der Kategorie 5 zu verwenden. Mit Primärbereich wird dabei der Bereich der Kabelführung, der Gebäude miteinander verbindet, bezeichnet und mit Sekundärbereich die Verkabelung zur Verbindung der aktiven Netzkomponenten einzelner Abschnitte innerhalb eines Gebäudes (z. B. zur Verbindung von Stockwerken). Die Wahl dieser Medien für die einzelnen Bereiche gewährleistet aus heutiger Sicht eine zukunftssichere Verkabelung, die auch höheren Bandbreitenanforderungen v. a. im BackboneBereich gerecht wird. Im Einzelfall ist jedoch auch zu prüfen, ob es sinnvoll oder notwendig ist, eine Mischform aus Stern- und Ringverkabelung zu installieren. Hier bietet sich häufig die Möglichkeit, die Primärverkabelung zwischen Gebäuden als FDDI-Doppelring und die Sekundärund Tertiärverkabelung wie o. g. als Stern- oder Baum auszuführen. Teil 1 - Kapitel 6.7 - Seite 102 Version 1998 IT-Grundschutzhandbuch M 5.7 Heterogene Netze Netzverwaltung Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Leiter IT Netze können zentral oder lokal an den einzelnen Knoten verwaltet werden. Das ist neben den technischen Möglichkeiten davon abhängig, wer den Netzknoten administriert. In jedem Fall ist eine zentrale Koordinierung aller Netzaktivitäten einer Behörde oder eines Unternehmens notwendig, damit Redundanzen vermieden werden. Zentral gesteuert werden sollten: - die Auswahl und Verlegung der Kabel, die Auswahl der eingesetzten IT-Systeme und Anwendungen, um Unverträglichkeiten zu vermeiden, die zentrale Vergabe von Netzadressen und Benutzer-IDs, die organisatorische Zuteilung von Netzkomponenten z. B. zu Abteilungen. Die einzelnen Netzknoten und die dort angeschlossenen IT-Systeme können auch lokal verwaltet werden. Die Aufgaben- und Verantwortungsbereiche der Systemverwalter müssen dabei klar spezifiziert und eindeutig geregelt sein (siehe auch M 2.26 Ernennung eines Administrators und eines Vertreters). Version 1998 Teil 1 - Kapitel 6.7 - Seite 103 Heterogene Netze M 5.12 IT-Grundschutzhandbuch Einrichtung eines zusätzlichen Netzadministrators Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Für den Fall, daß der Netzadministrator wie auch sein Stellvertreter die Administrationsaufgaben nicht wahrnehmen können, ist Vorsorge zu treffen. Dazu ist ein zusätzlicher Benutzer einzurichten, der über die Rechte des Netzadministrators verfügt. Die Benutzer-Kennung und das dazugehörende Paßwort ist in einem versiegelten Umschlag sicher zu hinterlegen. Der Gebrauch dieses Paßwortes ist zu dokumentieren und mit dem Vier-Augen-Prinzip zu kontrollieren. Ergänzende Kontrollfragen: - Ist ein Ersatz-Benutzer für den Netzadministrator und seinen Stellvertreter eingerichtet worden? Teil 1 - Kapitel 6.7 - Seite 104 Version 1998 IT-Grundschutzhandbuch M 5.13 Heterogene Netze Geeigneter Einsatz von Elementen zur Netzkopplung Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Leiter IT, Administrator Geräte zur Netzkopplung wie Router, Bridges oder Gateways verbinden nicht nur Netze, sie können auch zur physikalischen oder logischen Segmentierung von Netzen benutzt werden. Durch die Aufteilung von großen Netzen in Teilnetze kann z. B. die Verfügbarkeit verbessert werden, da ein Fehler nur einen begrenzten Bereich des Netzes betrifft und dort schneller lokalisiert werden kann. Bei zunehmender Anzahl von Netzstationen können Antwortzeiten unakzeptabel und eine Teilnetzbildung zur Lasttrennung notwendig werden. Der Schutz von sensitiven Informationen kann ein weiterer Grund zur Segmentierung von Netzen sein, so daß diese nicht auf dem Gesamtnetz verfügbar sind. Um sich vor externen Angreifern zu schützen, kann es sinnvoll sein, einen Transfer von Paketen nur vom sicheren ins unsichere Netz zuzulassen, zum Schutz von vertraulichen Daten kann es andererseits sinnvoll sein, keinen Transfer von Paketen vom sicheren ins unsichere Netz zuzulassen. Die Aufteilung in Netzsegmente bzw. die Netzkopplung kann auf verschiedenen Schichten nach dem OSI-Modell erfolgen. Netzkoppelkomponenten auf der physikalischen Schicht (Schicht 1) des OSI-Modells sind z. B. Repeater, auf der Sicherungsschicht (Schicht 2) z. B. Bridges, auf der Vermittlungsschicht (Schicht 3) z. B. Router und auf der Anwendungsschicht (Schicht 7) im allgemeinen Gateways. Zum besseren Verständnis ist das OSI-Modell in der folgenden Abbildung dargestellt. Das OSI/ISO Referenzmodell Eine Verbindung mit einem anderen Netz auf einer höheren Schicht (ab Schicht 3) des OSIModells ermöglicht es z. B. den Datenfluß nach Sicherheitsanforderungen zu reglementieren und somit zu schützende und unsichere Netze kontrolliert zu verbinden. Version 1998 Teil 1 - Kapitel 6.7 - Seite 105 Heterogene Netze IT-Grundschutzhandbuch Andererseits kann das Trennen von Netzen erforderlich sein, wenn diese vor Zugriffen aus dem jeweils anderen Netz geschützt werden sollen oder um die Verfügbarkeit der Netze im Fehlerfall zu erhöhen bzw. die Netzlast in den jeweiligen Netzsegmenten zu verringern. Um Manipulationen zu verhindern, müssen alle Geräte zur Netzkopplung so aufgestellt werden, daß nur Berechtigte physikalischen Zugang haben. Repeater Repeater arbeiten auf der Schicht 1 des OSI-Modells und sind einfache Signalverstärker. Dadurch erlauben sie es, die maximale Kabellänge eines bestehenden Netzsegmentes zu verlängern bzw. mehrere Netzsegmente zu verbinden. Beispielsweise kann mit ihnen beim Einsatz von Ethernet auf Koaxialkabelbasis die maximale Kabellänge auf über 185 m bzw. auf über 500 m (für Thin- bzw. Thick-Ethernetkabel) verlängert werden. Zu beachten sind hierbei die Konfigurationsregeln für Repeater, die die Anzahl und Anordnung von Repeatern beschränken. Im Fall einer Twisted-Pair-Verkabelung werden Repeater häufig als zentraler oder dezentraler Netzknoten zur Verbindung der einzelnen Netzteilnehmer eingesetzt. Da hierfür mehrere Repeater in einem Gerät miteinander verbunden werden müssen, werden diese Geräte auch MultiportRepeater genannt. Multiport-Repeater werden häufig auch als Hubs bzw. als Mini-Hubs bezeichnet. Durch die somit erreichte Trennung auf der Schicht 1 des Netzes werden elektrische Fehler auf ein Segment beschränkt. Dies gilt jedoch nicht für Fehler in höheren Schichten (z. B. zu häufige Kollisionen oder ein Broadcast-Sturm). Von einigen Herstellern gibt es inzwischen auch Multiport-Repeater, die Informationen aus Schicht 2 auswerten (aber noch keine Bridges sind) und dadurch z. B. die Implementation von Zugriffsbeschränkungen erlauben. Mit solchen Geräten läßt sich beispielsweise einstellen, daß nur bestimmte Netzteilnehmer Zugang zum Netz bekommen. Bridge Die Verbindung von Netzen auf der Ebene 2 des ISO-OSI-Referenzmodells erfolgt über Bridges. Eine Bridge verbindet zwei Netze, die in der Regel dasselbe Logical Link Control (LLC) Protokoll benutzen, aber unterschiedliche Medium Access Control (MAC) Protokolle. Eine Bridge kann z. B. ein Ethernet mit einem Token-Ring-Netz verbinden. Eine solche Bridge wird dann Translation-Bridge oder T-Bridge genannt. Hierdurch ergeben sich drei wesentliche Vorteile: - Die Bridge trennt Collision-Domains, d. h. performanceverringernde Kollisionen bei CSMA/CD-basierten Netzen gelangen nicht in das andere Segment. - Eine Bridge leitet nur diejenigen Datenpakete in ein anderes Segment, die dort auch ihre Zieladresse haben. Hierdurch bleibt der Datenverkehr auf das jeweils notwendige Segment beschränkt, wodurch die Abhörsicherheit steigt. - Schließlich steigt dadurch auch der Datendurchsatz in jedem Segment, da auf jeder Seite der Bridge unabhängig Daten übertragen werden können und somit eine Lasttrennung erfolgt. Switch (Ethernet, Token-Ring, ATM) Ein Switch ist eine Variante einer Brücke, die mehrere logische LAN-Segmente verbindet (Multiport-Brücke), arbeitet also auf Schicht 2 des OSI-Modells. Einige neuere Produkte Teil 1 - Kapitel 6.7 - Seite 106 Version 1998 IT-Grundschutzhandbuch Heterogene Netze implementieren zusätzlich auch Switching-Funktionalität auf der Schicht 3 des OSI-Modells, erlauben also hiermit auch eine Schicht 3 Segmentierung. Ein Ethernet-Switch besteht aus mehreren Bridges, die auf geeignete Weise intern miteinander verbunden sind (z. B. über eine sogenannte Switching-Matrix). Ein Ethernet-Switch bietet die Vorteile einer Bridge für mehrere Anschlüsse (üblich sind derzeit 8 bis 32 Anschlüsse pro Switch), d. h. jeder Netzteilnehmer bzw. jedes Segment an einem Switchanschluß bildet eine eigene Collision-Domain und der Verbindungsaufbau beruht auf den tatsächlichen Erfordernissen. Damit kann jedes angeschlossene Segment mit allen anderen unbeeinflußt von dem Verkehr und der Last der anderen Segmente kommunizieren, solange das entsprechende Segment nicht bereits anderweitig belegt ist. Switches bieten sich vor allem zur Lasttrennung und als zentrale Kopplungskomponente von mehreren Teilsegmenten an. Durch die Kaskadierung von Switches, d. h. durch den Anschluß von nachgeordneten Switches an einen zentralen Switch, lassen sich bei geeigneter Wahl der logischen Netzstruktur sehr leistungsfähige Netze bilden. Ethernet-Switches, die nach der IEEE-Norm für Bridges arbeiten, benutzen die Store-andForward-Technik. Bei dieser Technik wird zunächst das gesamte Ethernet-Paket des Quellports eingelesen und auf Korrektheit überprüft. Nur korrekt und vollständig empfangene Pakete werden an das Zielsegment weitergeschickt. Die Verzögerungszeit solcher Switches ist relativ hoch, sie garantieren aber auch, daß keine fehlerhaften Pakete in andere Segmente übertragen werden. Der Einsatz solcher Store-and-Forward-Switche ist dann zu empfehlen, wenn Wert auf maximale Verfügbarkeit und Integrität und nicht so sehr auf Bandbreite gelegt wird. Im Gegensatz dazu wurden alternativ Techniken entwickelt, die den Durchsatz eines EthernetSwitches erhöhen, also die Verzögerungszeit zu verkleinern, die ein zu verarbeitendes Datenpaket erfährt. Hierzu wird die On-the-Fly-Technik (auch Cut-Through genannt) eingesetzt, die nicht mehr das gesamte Paket einliest und überprüft, sondern lediglich die Zieladresse des Paketes auswertet und daraufhin sofort das gesamte Paket an diese Adresse schickt. On-the-Fly-Switches sind damit maximal um den Faktor 20 schneller als Store-and-Forward-Switches. Allerdings leiten sie auch fehlerhafte Pakete in das andere Segment, wodurch die Bandbreite und damit u. U. die Verfügbarkeit der einzelnen Segmente beeinträchtigt werden kann. On-the-fly-Switches sollten also in Netzen eingesetzt werden, in denen wenig fehlerhafte Pakete auftreten können und in denen es auf maximalen Durchsatz ankommt. Die meisten Hersteller bieten heute Switches an, die beide Techniken beherrschen und entsprechend konfiguriert werden können. Von einigen Produkten wird inzwischen auch ein Switching auf der Schicht 3 des OSI-Modells unterstützt. Dabei werden die Netzteilnehmer nicht mehr nach ihrer MAC-Adresse unterschieden (Layer-2-Switching), sondern nach den Adressen der Schicht 3 (für den TCP/IP-Protokollstapel ist dies die IP-Adresse). Ein Layer-3-Switching kann weitere Performancevorteile bedeuten, in diesem Fall muß aber der Switch, analog zu einem Router, die auf der Schicht 3 verwendeten Protokolle verarbeiten können. Switches für ATM oder Token-Ring sind funktional einem Ethernet-Switch sehr ähnlich, d. h. auch ein Switch für diese Protokolle ermöglicht es, daß zwei Netzteilnehmer oder Netzbereiche unabhängig von den anderen kommunizieren können. Für ATM-Netze ist durch die zugrundeliegende Konzeption der Einsatz eines Switches sogar zwingend. Bei der Auswahl von Switches, mit denen ein Collapsed Backbone realisiert werden soll, muß die zur Verfügung gestellte Portdichte berücksichtigt werden. Bei einem "Collapsed backbone" sollte es vermieden werden, mehrere Switches einsetzen zu müssen, die nicht über eine gemeinsame Version 1998 Teil 1 - Kapitel 6.7 - Seite 107 Heterogene Netze IT-Grundschutzhandbuch (Hochgeschwindigkeits-) Backplane verfügen (vgl. M 5.2 Auswahl einer geeigneten NetzTopographie). Router Router trennen bzw. verbinden Netze auf der Schicht 3 des OSI-Modells. Damit arbeiten Router nicht mehr protokolltransparent (wie z. B. Repeater oder Bridges), sondern müssen die im Einsatz befindlichen Protokolle auf der Vermittlungsschicht auch verarbeiten können. Dadurch verlangsamen Router den Datenverkehr zwischen zwei verbundenen Teilnetzen merklich, da der Router jedes Paket auf der Schicht 3 auswerten muß. Aufgrund ihrer Fähigkeit, Protokolle zu verarbeiten und diese umzusetzen, werden Router vor allem zur LAN-LAN-Kopplung und zur Anbindung eines LANs an ein WAN genutzt. Ein Router kann beispielsweise zwei LANs über eine ISDN-Leitung miteinander verbinden. Hierbei wird das LAN-Protokoll unverändert in das WAN-Protokoll eingekapselt (encapsulation) und übertragen. Ein anderes Protokoll, das hier beispielsweise zum Einsatz kommen kann, ist das X.25-Protokoll. In großen Netzen, in denen viele Teilnetze durch Router verbunden sind, ist eine wesentliche Aufgabe des Routers die Wegewahl (Routing) zwischen den Teilnetzen. Hierbei können prinzipiell zwei Verfahren unterschieden werden: - Das statische Routing, bei dem die Wegewahl manuell angegeben wird. - Das dynamische Routing, bei dem die Wegewahl durch die Router bestimmt und laufend aktualisiert wird. Hierzu stehen mehrere Algorithmen bzw. Protokolle zur Verfügung, die auch den Abgleich der Router untereinander gewährleisten. Die bekanntesten Protokolle sind RIP (Routing Information Protocol), OSPF (Open Shortest Path First) und IGRP (Interior Gateway Routing Protocol). Für die Auswahl eines geeigneten Routing-Protokolls ist auch M 4.82 Sichere Konfiguration der aktiven Netzkomponenten zu beachten. Weiterhin kann durch den Einsatz von Filtern eine Zugriffskontrolle gewährleistet werden, d. h. welche Systeme mit welchen Protokollen über den Router in welche Richtung miteinander kommunizieren dürfen Konzentratoren und Hubs Unter einem Hub wird eine Komponente verstanden, die eine oder mehrere aktive Netzkoppelkomponenten aufnimmt und eine Kommunikation dieser Komponenten untereinander über eine interne Backplane (siehe auch M 5.2 Auswahl einer geeigneten Netz-Topographie) ermöglicht. Hubs, die bei Bedarf mehrere Netzkoppelkomponenten aufnehmen können, werden als modulare Hubs bezeichnet. Entsprechend werden Hubs, die nur aus einer Koppelkomponente bestehen und nicht zur Aufnahme weiterer Komponenten bestimmt sind, als nicht modulare Hubs bezeichnet. Wenn es möglich ist, die Backplanes mehrerer Hubs miteinander zu verbinden, werden diese Hubs als stackable Hubs bezeichnet. Durch den Einsatz eines Hubs oder eines Konzentrators erfolgt die Leitungsführung zumindest zum Teil sternförmig zu den Endgeräten, aus diesem Grund werden Hubs oder Konzentratoren auch Sternkoppler genannt. Wie bereits bei den Repeatern erwähnt ist die kleinste Form eines Konzentrators bzw. eines Hubs ein Multiport-Repeater. Modulare Hubs dagegen erlauben die Aufnahme verschiedener Koppelelemente, die selbst wiederum auf verschiedenen Schichten arbeiten können (z. B. Repeater, Bridges und Router). Durch diese Konzentration der Netzkoppelkomponenten an einem Ort ergeben sich Vorteile in der einfacheren Administration des Netzes, allerdings beeinflußt der Ausfall eines solchen zentralen Hubs auch das gesamte Netz. Für diesen Fall sind geeignete Teil 1 - Kapitel 6.7 - Seite 108 Version 1998 IT-Grundschutzhandbuch Heterogene Netze Vorsorge-Maßnahmen zu treffen, wie z. B. die redundante Auslegung der Netzkomponenten (siehe M 6.53 Redundante Auslegung der Netzkomponenten). Gateway Ein Gateway verbindet zwei Netze auf der Anwendungsschicht (Schicht 7) des OSI-Modells. Daher erfüllt er nicht nur die Aufgabe, ein Netzprotokoll zu konvertieren, sondern auch Daten auf Anwendungsebene zu transportieren, gegebenenfalls zu modifizieren und unter Sicherheitsgesichtspunkten auszuwerten. Ein typisches Einsatzfeld eines Gateways ist die Kommunikation von Systemen in einem TCP/IP-Netz mit einem SNA-Host. In diesem Fall besteht das Gateway aus einer Kombination von Hard- und Software. Es gibt jedoch auch Gateways, die nur durch Software realisiert sind. Dies sind z. B. Mail-Gateways, die unterschiedliche Mailformate verstehen und konvertieren können. Version 1998 Teil 1 - Kapitel 6.7 - Seite 109 Heterogene Netze M 5.60 IT-Grundschutzhandbuch Auswahl einer geeigneten Backbone-Technologie Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Leiter IT, Administrator Die Auswahl des Netzprotokolls im Backbone-Bereich ist ein entscheidender Faktor für den Schutz der Verfügbarkeit der Anwendungen in einem lokalen Netz, da das gewählte Protokoll die Performance des Netzes und die zur Verfügung stehenden Bandbreiten wesentlich beeinflußt. Falls die zugrundeliegende Verkabelung ohne die Festlegung auf bestimmte Dienste (z. B. proprietäre Lösungen) geplant wurde (siehe G 2.45 Konzeptionelle Schwächen des Netzes), ist prinzipiell ein Wechsel der Backbone-Technologie problemlos möglich. Dennoch verursacht dies im allgemeinen nicht unerheblichen organisatorischen, personellen und finanziellen Aufwand. Eine generelle Empfehlung, unter IT-Sicherheitsgesichtspunkten eine bestimmte BackboneTechnologie auszuwählen, kann nicht gegeben werden, da viele individuelle Aspekte betrachtet werden müssen. Nachfolgend werden daher die Vor- und Nachteile der wichtigsten Netzzugangsprotokolle aufgeführt. Es gibt die vier Basis-Technologien Ethernet, Token-Ring, FDDI und ATM, die sich wie folgt darstellen: Ethernet Die Ethernet-Technologie wird im IEEE 802.3 Standard beschrieben und basiert auf dem CSMA/CD-Zugriffsverfahren (Carrier Sense Multiple Access / Collision Detection). Bei diesem Verfahren greifen alle Endgeräte gleichberechtigt auf das Übertragungsmedium zu, obwohl es jeweils nur exklusiv durch ein Endgerät genutzt werden kann. Sobald ein Endgerät Daten übertragen möchte, prüft es zunächst, ob das Medium für die Benutzung zur Verfügung steht (Carrier Sense). Ist dies der Fall, beginnt es mit der Datenübertragung. Geschieht dies durch mehrere Endgeräte gleichzeitig (Multiple Access), kommt es zu einer Kollision, die von den betroffenen Endgeräten erkannt wird (Collision Detection) und zu einer erneuten Prüfung des Mediums mit anschließender Wiederholung der Übertragung führt. CSMA/CD ist ein stochastisches Verfahren und kann deshalb keine dedizierten Bandbreiten zusichern. Aus diesem Grund ist es beispielsweise für Multimedia-Anwendungen weniger geeignet, die eine feste Bandbreite benötigen. Auf Ethernet-basierten Netzen kann somit im allgemeinen keine bestimmte Betriebsgüte (Quality of Service - QoS) zugesichert werden. Für Gigabit-Ethernet ist ein Analogon zur QoS vorgesehen. Es gibt drei verschiedene Varianten des Ethernet, die sich prinzipiell nur in der unterstützten Übertragungsrate unterscheiden: - Standard Ethernet Standard Ethernet ist der schon lange im Einsatz befindliche Standard und der Vorläufer der beiden anderen Varianten. Es ist durch eine Übertragungsrate von 10 Mbit/s gekennzeichnet. Damit ist es für die meisten lokalen Netze als Backbone-Technologie ungeeignet, da es bei steigender Netzlast sehr schnell zu einer Vielzahl an Kollisionen kommt und dadurch der erzielbare Durchsatz immer mehr abnimmt. - Fast Ethernet Aufgrund der steigenden Anzahl vernetzter Rechner und der damit verbundenen Netzlast wurde eine Weiterentwicklung des Standard Ethernet zwingend notwendig, um den Teil 1 - Kapitel 6.7 - Seite 110 Version 1998 IT-Grundschutzhandbuch Heterogene Netze gestiegenen Bedürfnissen Rechnung zu tragen. Dies führte zur Entwicklung des Fast Ethernet mit einer Übertragungsrate von 100 Mbit/s. Dies reicht zur Zeit für die meisten Netze im Backbone-Bereich aus und hat außerdem den Vorteil, daß die bereits etablierte Technologie (CSMA/CD) weiter verwendet werden kann. Es müssen allerdings im allgemeinen die aktiven Netzkomponenten ausgetauscht bzw. angepaßt werden, und auch die Verkabelung ist auf eine Eignung für Fast Ethernet zu prüfen. - Gigabit Ethernet Da die Einführung von Fast Ethernet sehr erfolgreich verlief, wurde die Forderung nach einer noch schnelleren Backbone-Technologie basierend auf Ethernet laut. Dies führte zur Gründung der Gigabit-Ethernet-Allianz (GEA) mit mehreren namhaften Herstellern, die eine Übertragungsrate von 1 Gbit/s erreichen wollen. Die Standardisierungsphase in Zusammenarbeit mit der IEEE befindet sich zur Zeit kurz vor dem Abschluß. Der neue Standard soll dann auch über eine Protokollerweiterung (Resource Reservation Protocol, RSVP) für zeitkritische Übertragungen (z. B. im Multimediabereich) dedizierte Bandbreiten über Gigabit-Ethernet zur Verfügung stellen. Damit wird versucht, zu ATM analoge Eigenschaften wie Quality of Service (QoS) bereitzustellen. Da der endgültige Standard aber noch nicht verabschiedet ist, wird momentan von dieser Variante abgeraten, um den Einsatz einer eventuell unvollständigen Implementation zu vermeiden. Token-Ring Die Token-Ring-Technologie wird im IEEE 802.5 Standard beschrieben und basiert auf dem Token-Passing-Verfahren. Dabei wird ein spezielles, im Ring kreisendes Datenpaket (das "Token") verwendet, um festzulegen, welches Endgerät das Übertragungsmedium benutzen darf. Erhält ein Endgerät das Token, belegt es das Medium und gibt das Token an das nächste Endgerät weiter. Hiermit ist gewährleistet, daß das Medium immer nur durch ein einziges Endgerät belegt wird. Bei diesem deterministischen Verfahren kann es im Gegensatz zu Ethernet nicht dazu kommen, daß einzelne Endgeräte bei hoher Netzbelastung unbestimmt lange warten müssen, bis sie senden können. Token-Ring bietet dagegen eine fest bestimmbare maximale Wartezeit. Ein Token-Ring-Netz ist meistens als physikalischer Doppelring ausgeführt, wodurch sich die Verfügbarkeit des Netzes merklich erhöht, da bei einem Ausfall einer Station oder der Unterbrechung eines Ringes die fehlerhafte Stelle durch die Nutzung des zweiten Ringes überbrückt werden kann. Die Übertragungsrate von Token-Ring kann 4 oder 16 Mbit/s betragen, so daß mittlerweile auch hier von einem Einsatz als Backbone-Technologie für die meisten lokalen Netze abgeraten wird. Die zur Verfügung stehende Bandbreite ist zu gering. Mitte September 1997 wurde eine "High Speed Token Ring Alliance" (HSTR) von mehreren namhaften Herstellern gegründet mit dem Ziel, Übertragungsraten von 100 Mbit/s und später 1 Gbit/s zu erreichen. Dazu soll bis Mitte 1998 der IEEE 802.5 Standard erweitert werden. Da sich diese Varianten noch in der Entwicklung befinden, kann ein Einsatz zum jetzigen Zeitpunkt nicht befürwortet werden. FDDI Der FDDI (Fiber Distributed Data Interface) Standard wurde 1989 vom ANSI definiert und basiert wie Token-Ring auf dem Token-Passing-Verfahren. Allerdings kommt hier zusätzlich die Technik des Early-Token-Release zum Einsatz, bei der das Token direkt nach dem letzten Version 1998 Teil 1 - Kapitel 6.7 - Seite 111 Heterogene Netze IT-Grundschutzhandbuch Datenpaket an das nächste Endgerät weitergegeben wird. Dadurch werden die Leerlaufzeiten im Ring reduziert und es kann eine höhere Bandbreite erreicht werden. FDDI nutzt Lichtwellenleiter als Übertragungsmedium mit einer Übertragungsrate von 100 Mbit/s. Durch seinen hohen Durchsatz ist es ideal für den Einsatz im Backbone-Bereich. Weitere Vorteile sind die Fehlertoleranz aufgrund der Doppelring-Topologie und die elektromagnetische Unempfindlichkeit durch die Verwendung von Lichtwellenleitern. Im Gegensatz zu Ethernet ist FDDI auch für laufzeitabhängige Multimedia-Anwendungen geeignet, da es eine maximale Verzögerungszeit garantieren kann. Werden beide Ringe zur Übertragung genutzt, ist sogar eine Übertragungsrate von 200 Mbit/s erreichbar, allerdings entfällt dann der Vorteil der höheren Fehlertoleranz, da beim Ausfall eines Ringes nicht mehr automatisch auf den anderen Ring ausgewichen werden kann. FDDI-Komponenten sind jedoch teurer als Ethernet-Komponenten vergleichbarer Funktion, so daß der erzielbare Nutzen durch den Einsatz von FDDI immer den entstehenden Kosten gegenübergestellt werden muß. FDDI kann auch auf Kupferkabeln betrieben werden und wird dann CDDI (Copper Distributed Data Interface) genannt. ATM ATM steht als Abkürzung für Asynchronous Transfer Mode. Hinter diesem Begriff verbirgt sich ein Übertragungsverfahren, das sich sehr gut für den Einsatz im Backbone-Bereich eines Netzes eignet und dort auch Echtzeit-Dienste bereitstellen kann. Bei ATM werden alle Arten von Informationen in Paketen mit fester Länge befördert, die als Zellen bezeichnet werden. Dabei kann es sich um beliebige Daten, wie z. B. auch Audio- und Video-Daten handeln. Durch die einheitliche Länge der Pakete wird es ermöglicht, daß die ATMSwitches die Verarbeitung der Zellen fast vollständig durch Hardware-Komponenten durchführen und somit einen höheren Durchsatz erreichen können. Dadurch entsteht eine kalkulierbare Verzögerung bei der Übertragung beliebiger Informationen, so daß für einzelne Anwendungen garantierte Bandbreiten vergeben werden können. Damit ist ATM eine gut geeignete Technologie für Multimedia-Anwendungen, da ein berechenbares Echtzeitverhalten und damit Quality of Service (QoS) garantiert werden kann. Dies bedeutet, daß jedem angeschlossenen Gerät statisch oder dynamisch die benötigte Bandbreite zugeordnet werden kann. Die Übertragung selbst beruht auf dem Prinzip der virtuellen Verbindungen. Dabei werden keine festen Kanäle zwischen den beteiligten Endgeräten geschaltet, vielmehr werden die Zellen erst zum Zeitpunkt ihrer Erzeugung über einen vorher festgelegten Weg durch das Netz transportiert. Die so erreichbaren Übertragungsraten liegen typischerwiese bei 25 MBit/s, 155 MBit/s oder 622 MBit/s. ATM-Komponenten sind allerdings derzeit noch sehr teuer, so daß eine Integration mit den im lokalen Netz bereits vorhandenen Komponenten anderer Technologien aus Gründen des Investitionsschutzes angestrebt werden sollte. ATM unterstützt jedoch keine Broadcasts oder die Benutzung von MAC-Adressen, was jedoch Voraussetzung für die Nutzung der meisten Protokollstapel wie TCP/IP oder SPX/IPX ist. Dazu existieren drei verschiedene Lösungsansätze: Teil 1 - Kapitel 6.7 - Seite 112 Version 1998 IT-Grundschutzhandbuch - Heterogene Netze Classical IP-over-ATM (CIP) Für die Verwendung von IP über ATM wurde RFC 1577 (Classical IP-over-ATM) entwickelt, welches Endgeräten mit TCP/IP-Protokollstapel erlaubt, ATM als Transportmedium zu nutzen. - LAN Emulation (LANE) Hier werden auf Schicht 2 des OSI-Modells alle relevanten LAN-Technologien für die Clients emuliert, für die sich ATM dann z. B. als Ethernet oder Token-Ring-Netz darstellt. Damit wird eine Kommunikation zwischen konventionellem LAN und ATM möglich. - Multiprotocol-over-ATM (MPOA) MPOA ist prinzipiell eine Weiterentwicklung des klassischen ATM und LANE. Im Gegensatz zu LANE arbeitet MPOA auf der Schicht 3 des OSI-Modells und benutzt LANE zur Übertragung auf der Schicht 2. MPOA implementiert also sowohl Bridging (Schicht 2) als auch Routing (Schicht 3) und kann somit ein voll geroutetes ATM-Netz konfigurieren. Gleichzeitig bleiben jedoch alle Vorteile der ATM-Technologie, wie z. B. die garantierten Bandbreiten für bestimmte Anwendungen, erhalten. Weiterhin ist zu beachten, daß z. Z. zwischen ATM-Komponenten verschiedener Hersteller keine Kompatibilität bzw. Interoperabilität garantiert ist. Dies ist daher im Einzelfall nachzuprüfen. Eine allgemeine Empfehlung zur Auswahl einer Backbone-Technolgie kann, wie bereits eingangs erwähnt, nicht gegeben werden. Hier spielen neben Sicherheitsanforderungen auch Kriterien zur Zukunftssicherheit, Wirtschaftlichkeit, Skalierbarkeit und Integration vorhandener Komponenten eine Rolle. Je nach ausgewähltem Protokoll können nur bestimmte Kabeltypen eingesetzt werden (z. B. LWL für FDDI), die wiederum durch bestimmte Längenrestriktionen eingeschränkt sind (siehe auch M 5.2 Auswahl einer geeigneten Netz-Topographie). Ergänzende Kontrollfragen: - Wurden die Anforderungen an den Backbone-Bereich des lokalen Netzes in bezug auf Verfügbarkeit, Bandbreiten und Performance formuliert und dokumentiert? - Wurde eine Betrachtung aller relevanten Backbone-Technologien durchgeführt? Version 1998 Teil 1 - Kapitel 6.7 - Seite 113 Heterogene Netze M 5.61 IT-Grundschutzhandbuch Geeignete physikalische Segmentierung Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Unter einer physikalischen Segmentierung wird der Vorgang der Segmentbildung mit Hilfe von aktiven und passiven Netzkomponenten auf Schicht 1, 2 oder 3 verstanden. Eine geeignete physikalische Segmentierung kann zur Erhöhung der Verfügbarkeit, der Integrität und der Vertraulichkeit verwendet werden. Dies läßt sich durch den Einsatz unterschiedlicher Netzkomponenten (siehe M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung) erreichen. Verfügbarkeit Unter dem Gesichtspunkt der Verfügbarkeit wird auch die Performance bzw. die verfügbare Bandbreite eines Netzes betrachtet. Diese kann erhöht werden, wenn das Netz auf den Schichten 1, 2 oder 3 des OSI-Modells getrennt wird. Bei einer Auftrennung auf der Schicht 1 kann die geringste Erhöhung der Verfügbarkeit in den Einzelsegmenten, aber der höchste Durchsatz zwischen den Segmenten und bei einer Trennung auf Schicht 3 die größte Erhöhung der Verfügbarkeit und der geringste Durchsatz zwischen den Segmenten erzielt werden. Durch eine Segmentierung auf Schicht 1 mit Hilfe eines Repeaters wird die Verfügbarkeit des Netzes dadurch erhöht, daß elektrische Fehler des einen Segmentes das andere nicht beeinflussen können. Beispiel: Bei einem Netz aus zwei Thin-Ethernet-Segmenten, die durch einen Repeater miteinander verbunden sind, beeinflußt die fehlende Terminierung in einem Segment nicht die Funktion des anderen. Elektrisch defektes Segment Repeater Elektrisch unbeeinflusstes Segment Abbildung 1: Elektrische Trennung von Segmenten durch einen Repeater zur Erhöhung der Verfügbarkeit Für Bridges und Switches gilt zunächst einmal das gleiche wie für Repeater, da diese die Schicht 1 mit abdecken. Zusätzlich zu dieser Funktion werden fehlerhafte Datenpakete der Schicht 2 und Kollisionen in einem Segment isoliert. Weiterhin werden die Segmente entlastet, da Datenpakete zielgerichtet zwischen den Segmenten weitergeleitet werden können. Dabei ist darauf zu achten, daß die eingesetzte Bridge bzw. der Switch eine ausreichend hohe Kapazität (Filterrate und Transferrate) besitzt, um den Datenverkehr zwischen den Segmenten ohne große Verzögerungen zu verarbeiten. Üblicherweise arbeiten Bridges/Switches auf der Schicht 2 des OSI-Modells. Diese werten für den Aufbau der Verbindungsmatrix die MAC-Adressen der beteiligten Systeme in den jeweiligen Segmenten aus. Von einigen Herstellern gibt es auch Switches, die auf Schicht 3 arbeiten, also Teil 1 - Kapitel 6.7 - Seite 114 Version 1998 IT-Grundschutzhandbuch Heterogene Netze beispielsweise die IP-Adresse zum Aufbau der Verbindungsmatrix verwenden. Dieser Aufbau geschieht in beiden Fällen automatisch, kann bei einigen Modellen jedoch auch manuell beeinflußt werden. Einige Hersteller bieten zusätzlich auch die Möglichkeit, die Verbindungsmatrix manuell (über ein zentrales Tool) auf Portebene, also auf der Ebene der tatsächlichen Kabelführung, vorzunehmen (Port- oder Configuration-Switching). Router, die auf der Schicht 3 arbeiten, fassen die Eigenschaften von Repeatern und Bridges hinsichtlich der Verfügbarkeit zusammen und erweitern diese um die Fähigkeit, Protokolle der Schicht 3 auszuwerten. Hiermit erfolgt eine Lasttrennung auf einer höheren Ebene, wodurch der Netzverkehr fast vollständig kontrolliert werden kann. Insbesondere werden keine Broadcasts zwischen Segmenten (Teilnetzen) weitergeleitet, die durch einen Router getrennt sind. Ein Broadcaststurm auf dem einen Segment kann also das andere nicht beeinflussen. Ausgehend von den Ergebnissen einer durchgeführten Verkehrsflußanalyse (siehe M 2.139 IstAufnahme der aktuellen Netzsituation), sollte ggf. eine physikalische Segmentierung vorgenommen werden, um die Bandbreite bzw. Performance im erforderlichen Maße zu erhöhen. Beispiel: Innerhalb eines Netzes sind zentrale Server für Datei- und Druckdienste sowie für die Anwendungen vorhanden bzw. geplant. Für eine hohe Performance und Verfügbarkeit kann es sinnvoll sein, diese dediziert an einen Switch anzuschließen und von diesem Switch die einzelnen Arbeitsplatzstationen anzubinden (shared oder switched). Wenn möglich, sollte die Verbindung zwischen den Servern und dem Switch zumindest eine Fast-Ethernet Verbindung sein. Generell läßt sich festhalten, daß für eine höhere Performance ein geswitchtes Netz einem SharedNetz vorzuziehen ist, da sich in einem Shared-Netz alle daran angeschlossenen Teilnehmer die verfügbare Bandbreite teilen müssen. In einem Switched-Netz dagegen steht jedem Teilnehmer zumindest bis zur nächsten aktiven Netzkomponente die volle Bandbreite zur Verfügung. Zu beachten sind hierbei allerdings die Notwendigkeit einer strukturierten Verkabelung (Sternform) und die relativ hohen Kosten für ein vollständig geswitchtes Netz. Als Alternativen bieten sich Lösungen an, die im Backbone-Bereich oder im Bereich hoher Netzlast (z. B. Arbeitsgruppen) über einen Switch einzelne Netzsegmente koppeln, die wiederum als Shared-Media-LAN ausgelegt sind (vgl. Abbildung 2). Zusätzlich besteht immer die Möglichkeit, einzelne Arbeitsplatzsysteme mit hohen Anforderungen an die Performance direkt an einen Switch anzuschließen. Während ein Shared-Netz bzw. Shared Segment sowohl in Bus- als auch in Sternform aufgebaut sein kann, ist es aus Gründen der Verfügbarkeit und des Investitionsschutzes sinnvoll, dieses ebenfalls in strukturierter Verkabelung (Sternform) auszuführen (vgl. M 5.2 Auswahl einer geeigneten Netztopographie). Version 1998 Teil 1 - Kapitel 6.7 - Seite 115 Heterogene Netze IT-Grundschutzhandbuch Switched Segment Switch 1 Fas t-E the rne t MultiportRepeater 2 Server 1 Arbeitsplatz 1 Arbeitsplatz 2 Shared Segment t ne er th -E st Fa et ern Eth Eth ern et MultiportRepeater 1 Server 2 Arbeitsplatz 3 Arbeitsplatz 4 Shared Segment Abbildung 2: Beispiel für ein Netz, welches aus Switched und Shared Segmenten besteht. Die Anbindung der Server erfolgt über Fast-Ethernet. Vertraulichkeit Zur Erhöhung der Vertraulichkeit sind alle Maßnahmen geeignet, die einen Austausch von Daten zwischen zwei Segmenten verhindern. Aus diesem Grund ist ein reiner Repeater dafür ungeeignet. Einige Hersteller bieten Multiport-Repeater an, die so konfiguriert werden können, daß nur bestimmte Netzteilnehmer über solch einen Repeater im Netz arbeiten können. Hierdurch kann bis zu einem gewissen Grad ausgeschlossen werden, daß sich unberechtigte Nutzer auf das Netz aufschalten können. Bridges/Switches und Router erhöhen die Vertraulichkeit dadurch, daß sie den Datenverkehr auf Schicht 2 bzw. 3 verhindern und kontrollieren können bzw. dediziert auf Port-Ebene Segmente verbinden oder trennen können. Auch für Bridges/Switches einiger Hersteller gilt, daß hier der Zugang von Netzteilnehmern beschränkt werden kann. Router bieten die umfassendsten Kontrollmöglichkeiten der hier behandelten Komponenten. Mit Hilfe von Routern kann nicht nur der Zugang und die Wegewahl in andere Netze bestimmt werden, sondern zusätzlich auch, welcher Netzteilnehmer mit Systemen im anderen Segment auf welcher Basis kommunizieren darf. Durch den Ausschluß bestimmter Protokolle der Ebene 3 am Router kann verhindert werden, daß Daten dieses Protokolls in das andere Segment gelangen. Dies geschieht Teil 1 - Kapitel 6.7 - Seite 116 Version 1998 IT-Grundschutzhandbuch Heterogene Netze durch die Definition geeigneter Filterregeln in den Routern, die auf Protokollebene gebildet werden können. So können beispielsweise bei der Verwendung des TCP/IP-Protokollstapels einzelne TCP- und UDP-Ports für den Übergang in das andere Segment selektiv gesperrt oder freigegeben werden. Komponenten, die auf höheren Schichten arbeiten, wie z. B. ApplicationLevel-Firewalls, werden an dieser Stelle nicht behandelt (siehe M 2.75 Geeignete Auswahl eines Application-Gateway). Beispiel: Durch die Trennung eines Netzes mit Hilfe eines Routers und eine entsprechende Konfiguration der Filterregeln kann erreicht werden, daß kein FTP- und TFTP-Datentransfer (Port 20 und 21 bzw. 69) zwischen den Segmenten möglich ist und somit auch nicht vom jeweils anderen abgehört werden kann. Ebenso werden keine Broadcast-Daten zwischen den Teilnetzen übertragen. Außerdem müssen die Filter standardmäßig derart konfiguriert sein, daß zunächst die Kommunikation maximal eingeschränkt und erst nach Bedarf und dienstebezogen freigegeben wird. Hierbei sollte ggf. eine IP-bezogene Filterung berücksichtigt werden. Kein FTP-Datenverkehr möglich FTP-Datenverkehr Router FTP-Datenverkehr Abbildung 3: Beispiel für die Trennung von Teilnetzen auf Schicht 3 durch einen Router Daten- und Netzintegrität Die Integrität der Daten bis zur Schicht 3 wird in der Regel durch das eingesetzte Netzzugangsprotokoll sichergestellt, während die Sicherstellung der Netzintegrität, also dem Übereinstimmen der aktuellen Netzsituation mit der geplanten und vorgesehenen physikalischen und logischen Segmentierung, zusätzliche Maßnahmen erfordert. Diese Maßnahmen müssen sicherstellen, daß keine unautorisierten oder fehlgeleiteten Kommunikationsverbindungen aufgebaut oder unautorisierten Systemzugriffe durchgeführt werden, die im integren Netzzustand unterbunden sind. Die Netzintegrität wird daher im wesentlichen dadurch sichergestellt, daß - Veränderungen unmittelbar an Netzkomponenten (Umrangierungen, Installation neuer, nicht autorisierter Komponenten etc.) verhindert oder zumindest erkannt werden (Hardware-bezogene Sicherheit), Version 1998 Teil 1 - Kapitel 6.7 - Seite 117 Heterogene Netze - IT-Grundschutzhandbuch Veränderungen an der Konfiguration der Netzkomponenten (z. B. an Routingprotokollen, an der Port-Switching-Matrix oder an der VLAN-Zuweisung) verhindert oder zumindest erkannt werden (Software-bezogene Sicherheit). Dazu ist es erforderlich, den Zugang zu den Netzkomponenten mit ausreichender Stärke zu verwehren (z. B. durch Infrastruktrurmaßnahmen bzgl. Verteilerraum, Verkabelung etc.) und das Netzmanagement so zu konzipieren, daß unberechtigte Zugriffe über das Netz auf die Netzkomponenten verhindert werden. Eine Erhöhung des Schutzes bezüglich der Integrität der Daten auf Schicht 3 (z. B. der Anwendungsdaten) kann nicht alleine durch den Einsatz von Netzkomponenten erreicht, aber ein gezielter Angriff auf die Datenintegrität kann erschwert werden. Hierzu können Netzkomponenten verwendet werden, die das Mithören und Verändern von Datenpaketen verhindern. Dies sind z. B. Bridges/Switches und Router, die ein Netz in Segmente bzw.Teilnetze aufspalten können, zwischen denen der Datenverkehr kontrolliert, beschränkt oder konfiguriert werden soll. Insbesondere bei den sich automatisch konfigurierenden Netzkomponenten wie Bridges und Switches, spielt die Abbildung der logischen Zusammengehörigkeit auf die physikalische Konfiguration eine große Rolle. Nur so kann erreicht werden, daß die Datenpakete einer logischen Gruppe auch tatsächlich im selben physikalischen Segment verbleiben. Bei Bridges/Switches, die eine Konfiguration der möglichen Verbindungen auf Portbasis erlauben (Port-Switching) können auch manuell die Verbindungsmöglichkeiten auf der Schicht 1 kontrolliert werden. Beispiel: Systeme, die den Anschluß von Terminals an ein Netz erlauben (Terminalserver) und die Systeme, auf die vom Terminalserver aus zugegriffen werden soll, müssen in einem Segment durch eine Bridge vom Rest des Netzes abgetrennt werden. Nur so kann vermieden werden, daß der Austausch des Paßwortes zwischen Terminalserver und dem angesprochenen System von einem anderen Segment aus abgehört und ggf. verändert werden kann. Terminal-Server Zugriff auf Filedienste File-Server Austausch des Paßworts Bridge Abbildung 4: Trennung von Segmenten durch eine Bridge zur Erhöhung der Integrität und Vertraulichkeit Zusätzlich ist durch die geeignete Dimensionierung und Auswahl von Netzkomponenten dafür Sorge zu tragen, daß weder durch deren Überlastung noch durch deren Fehlfunktion Datenpakete verloren gehen können bzw. verfälscht werden. Teil 1 - Kapitel 6.7 - Seite 118 Version 1998 IT-Grundschutzhandbuch Heterogene Netze Ergänzende Kontrollfragen: - Wurde beim Entwurf des lokalen Netzes an eine physikalische Segmentierung gedacht? - Wurden die Anforderungen bezüglich Verfügbarkeit (insbesondere auch Performance), Vertraulichkeit und Integrität ermittelt und berücksichtigt? Version 1998 Teil 1 - Kapitel 6.7 - Seite 119 Heterogene Netze M 5.62 IT-Grundschutzhandbuch Geeignete logische Segmentierung Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Mit Hilfe geeigneter aktiver Netzkomponenten ist es möglich, trotz einer festen physikalischen Segmentierung des Netzes, dieses darüber hinaus logisch zu segmentieren. Die Möglichkeit hierzu bieten Switches, die auf der Schicht 2 und 3 des OSI-Modells arbeiten. Aufgrund der Eigenschaften solch eines Switches, die Protokolle der Schicht 2 bzw. 3 zu verstehen, können durch Kontrolle des Datenflusses zwischen den Anschlüssen am Switch sogenannte virtuelle LANs (VLANs) gebildet werden. Hierdurch können Gruppen im Netz zusammengefaßt werden, die in der physikalischen Segmentierung so nicht abgebildet sind. Vor allem ergibt sich hierdurch die Möglichkeit, Gruppen ohne Eingriff in die physikalische Vernetzung dynamisch und zeitnah neu zu bilden bzw. umzugruppieren. Analog zur physikalischen Segmentierung auf der Schicht 2 bzw. 3 sind die Kriterien bezüglich Vertraulichkeit, Verfügbarkeit und Integrität auch hier anzuwenden. Kriterien für eine geeignete Segmentierung können ebenfalls analog wie für die physikalischen Segmente angewendet werden. In der folgenden Abbildung ist die Möglichkeit der VLAN-Bildung mit Hilfe mehrer Schicht-3Switches dargestellt. Die physikalische Anbindung der Endgeräte an die Switches erfolgt hierbei wie durch die Verbindungslinien angedeutet. Die logische Segmentierung erfolgt durch die Gruppierung mit Hilfe der Switches nach VLANs. VLAN 3 VLAN 1 VLAN 2 Abbildung 1: VLAN-Bildung mit Hilfe mehrerer Switches Teil 1 - Kapitel 6.7 - Seite 120 Version 1998 IT-Grundschutzhandbuch Heterogene Netze Würde man die in Abbildung 1 gezeigte VLAN-Struktur durch eine herkömmliche physikalische Segmentierung erreichen wollen, würde das wie in Abbildung 2 dargestellt aussehen. Die einzelnen LANs können hier beispielsweise durch Shared Ethernet-Segmente abgebildet werden, die Verbindung der einzelnen LANs erfolgt durch eine Bridge. LAN 3 LAN 1 LAN 2 Abbildung 2: Physikalische Segmentierung analog zu Abbildung 1 Auf der Basis von VLAN-fähigen Netzkomponenten können ohne physikalische Umstrukturierung virtuelle LANs gebildet werden, die je nach eingesetzter Technologie analog zu LANs, mit Segmentierungen auf Schicht 2 oder 3 sind. Hiermit können in einem Netz analog zur Segmentierung von LANs Bereiche gebildet werden, in denen z. B. hohe Anforderungen an die Vertraulichkeit der Daten gelten (siehe M 5.61 Geeignete physikalische Segmentierung). Je nach eingesetztem Produkt bieten diese bei der VLAN-Bildung unterschiedliche Funktionalitäten. Einige Produkte stellen die Möglichkeit zur Verfügung, VLANs auf Schicht 2 oder 3 zu bilden, die u. U. nur durch den Einsatz von Routern gekoppelt werden können (sog. sichere VLANs, da diese nur durch den Einsatz von Routern verbunden werden können). In diesem Fall muß mit Hilfe der Filterregeln des Routers ein kontrollierter Übergang zwischen den VLANs hergestellt werden. Andere Hersteller implementieren in Schicht-3-Switches bereits Routing-Funktionalität, die VLANs ohne zusätzliche Router verbinden. Der Einsatz entsprechender Technologien und Produkte muß insbesondere gegen die Anforderungen an die Vertraulichkeit und Integrität der Daten geprüft werden. Version 1998 Teil 1 - Kapitel 6.7 - Seite 121 Heterogene Netze IT-Grundschutzhandbuch Schicht-3-Switch Schicht-3-Switch Schicht-3-Switch VLAN 3 VLAN 1 VLAN 2 Abbildung 3: Bildung von sicheren VLANs mit Schicht-3-Switches Im dargestellten Fall (Abbildung 3) wurden mit Hilfe von Schicht-3-Switches sichere VLANs auf der Schicht 3 des OSI-Modells eingerichtet. Die dargestellten Switches sind in diesem Fall ohne Routing-Funktionalität. VLAN 1, VLAN 2 und VLAN 3 verhalten sich dabei so, als ob sie durch einen Router segmentiert wären, ohne daß ein Routing zwischen ihnen stattfindet. VLAN 3 hat also keinerlei Verbindung mit den anderen VLANs, lediglich VLAN 1 und VLAN 2 können über einen Router miteinander kommunzieren. Die Kommunikation kann durch die Konfiguration des Routers entsprechend kontrolliert und gesteuert werden. Mit anderen Produkten, die RoutingFunktionalität in den Schicht-3-Switches implementieren, kann der dargestellte Router entfallen und das Routing mit Hilfe der Switches kontrolliert werden. Eine allgemeine Empfehlung bezüglich einer logischen Segmentierung kann nicht gegeben werden. Für eine Neuinstallation eines Netzes ist aber zu prüfen, ob durch den Einsatz von VLANs die Anforderungen an die Verfügbarkeit, Vertraulichkeit und Integrität nicht einfacher erreicht werden können als durch eine aufwendigere physikalische Segmentierung. Teil 1 - Kapitel 6.7 - Seite 122 Version 1998 IT-Grundschutzhandbuch Heterogene Netze Als Vorteil einer logischen Segmentierung ist die einfache, zentrale Neu- und Umkonfigurierbarkeit der Segmente zu sehen. Insbesondere bei Produkten, die sichere VLANs unterstützen, können so schnell und einfach Arbeitsgruppen im Netz gebildet werden, die höhere Anforderungen an die Vertraulichkeit ihrer Daten stellen. Auf der anderen Seite muß in diesem Fall auch ein besonderes Augenmerk auf den sicheren Remote-Zugang zu den aktiven Netzkomponenten gelegt werden, da die Segmentierung hier nur auf der Konfiguration von Software beruht. Es muß also bei einer logischen Segmentierung zwischen den Anforderungen an die Sicherheit des Netzes (auch vor unberechtigter Umkonfiguration) und der Möglichkeit einer flexiblen Umgestaltung des Netzes abgewogen werden. Ergänzende Kontrollfragen: - Sind die eingesetzten Netzkomponenten VLAN-fähig? - Wurde das Netz geeignet logisch segmentiert? - Sind die eingesetzten Netzkomponenten bezüglich der VLAN-Funktionalität interoperabel? - Ist der Remote-Zugang der aktiven Netzkomponenten vor unberechtigter Administration geschützt? - Wurden die Anforderungen bzgl. Verfügbarkeit, Vertraulichkeit und Integrität ermittelt und berücksichtigt? Version 1998 Teil 1 - Kapitel 6.7 - Seite 123 Heterogene Netze M 6.22 IT-Grundschutzhandbuch Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator, IT-Benutzer Für die Rekonstruktion eines Datenbestandes muß geprüft werden, ob mit den vorhandenen Sicherungskopien der Daten ein solches Vorhaben durchgeführt werden kann. Durch technische Defekte, falsche Parametrisierung, einer unzureichenden Datenträgerverwaltung oder der Nichteinhaltung von Regeln, die in einem Datensicherungskonzept gefordert werden, ist es möglich, daß eine Rekonstruktion eines Datenbestandes nicht möglich ist. Daher ist es notwendig, daß sporadisch überprüft wird, ob die erzeugten Datensicherungen zur Wiederherstellung verlorener Daten genutzt werden können. Ergänzende Kontrollfragen: Wann wurde zuletzt überprüft, ob die gesicherten Daten rekonstruiert werden können? Teil 1 - Kapitel 6.7 - Seite 124 Version 1998 IT-Grundschutzhandbuch M 6.52 Heterogene Netze Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator An die Verfügbarkeit der zentralen aktiven Netzkomponenten müssen hohe Anforderungen gestellt werden, da in der Regel viele Benutzer vom reibungslosen Funktionieren eines lokalen Netzes abhängig sind. Damit in einem Fehlerfall der Betrieb so schnell wie möglich wieder aufgenommen werden kann, müssen alle Konfigurationsdaten der aktiven Netzkomponenten in elektronischer Form gesichert werden (vgl. auch M 6.32 Regelmäßige Datensicherung). Diese Sicherung kann prinzipiell lokal an den einzelnen Komponenten erfolgen oder über das Netz, z. B. mit Hilfe eines Netzmanagementtools. Wurden die Daten elektronisch gesichert, kann in diesem Fall das Wiederherstellen einer Konfiguration schneller und sicherer durchgeführt werden und eine zeitaufwendige manuelle Eingabe entfallen. Das Wiedereinspielen der Daten kann hierbei automatisch, z. B. durch ein zentrales Netzmanagementtool oder manuell durch den Eingriff eines Administrators erfolgen. Bei einer Sicherung der Konfigurationsdaten über das Netz ist jedoch, im Gegensatz zu einer lokalen Sicherung, zu beachten, daß die übertragenen Daten eventuell mitgelesen werden können und potentielle Angreifer möglicherweise sicherheitskritische Informationen über die Konfiguration der aktiven Netzkomponenten, wie z. B. Paßwörter, und damit möglicherweise über die gesamte Netzkonfiguration erhalten. Dabei werden im allgemeinen die Protokolle Trivial File Transfer Protocol (TFTP) oder Remote Copy Protocol (RCP) eingesetzt, wobei nach Möglichkeit RCP mit Authentifizierung verwendet werden sollte (siehe M 5.20 Einsatz der Sicherheitsmechanismen von rlogin, rsh und rcp). TFTP bietet dagegen keine Schutzmechanismen vor einem unbefugten Zugriff auf die Konfigurationsdaten (siehe auch M 5.21 Sicherer Einsatz von telnet, ftp, tftp und rexec), so daß von dessen Einsatz abgeraten wird. Bei allen Sicherungsmethoden muß ein Test durchgeführt werden, ob die Sicherung ordnungsgemäß durchgeführt wurde und die Wiederherstellung der Konfigurationsdaten möglich ist. Dies gilt insbesondere bei der Sicherung über das Netz, da hier nach einem Fehlerfall das Netz u. U. in einem Zustand ist, der keine Wiederherstellung über das Netz ermöglicht. Ergänzende Kontrollfragen: Sind alle Konfigurationsdaten aktiver Netzkomponenten gesichert? Wird der Datensicherungsvorgang dokumentiert? Ist der Datensicherungsvorgang konform zu einem vorhandenen Datensicherungskonzept (vgl. M 6.13 Erstellung eines Datensicherungsplans)? Version 1998 Teil 1 - Kapitel 6.7 - Seite 125 Heterogene Netze M 6.53 IT-Grundschutzhandbuch Redundante Auslegung der Netzkomponenten Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator, Beschaffungsstelle An die Verfügbarkeit der zentralen Netzkomponenten müssen hohe Anforderungen gestellt werden, da in der Regel viele Benutzer vom reibungslosen Funktionieren eines lokalen Netzes abhängig sind. Damit in einem Fehlerfall der Betrieb so schnell wie möglich wieder aufgenommen werden kann, ist in Abhängigkeit von den entsprechenden Verfügbarkeitsanforderungen im jeweiligen Bereich Redundanz zu schaffen, die einem Teil- oder Totalausfall der relevanten Netzkomponenten mit akzeptablem Aufwand vorbeugt. Dabei gibt es zwei verschiedene Möglichkeiten, Redundanz zu erreichen: Die Netzkomponenten können redundant im Lager vorgehalten werden, um in einem Notfall kurzfristig einen Austausch durchführen zu können. Wird dies nicht beachtet, sind oft langwierige Beschaffungsvorgänge nötig, bevor die Störung behoben werden kann. Alternativ sind Wartungs- bzw. Lieferverträge mit den entsprechenden Herstellern abzuschließen, die einen schnellen Ersatz defekter Komponenten garantieren (siehe auch M 6.14 Ersatzbeschaffungsplan). Danach können die gesicherten Konfigurationsdaten wieder eingespielt werden, um die Ausfallzeit der betroffenen Netzsegmente so gering wie möglich zu halten (siehe M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten). Es ist weiterhin sinnvoll, bereits bei der Konzeption des Netzes eine redundante Auslegung der Netzkomponenten einzuplanen. So sollten alle zentralen Switches und je nach den verwendeten Protokollen alle Router zumindest doppelt in das Netz eingebunden sein, um die Anbindung der Server und die Verbindung zwischen den einzelnen Netzkomponenten redundant zu halten (siehe Abb. 1). Die korrekte Funktionsweise ist durch eine geeignete logische Netzkonfiguration zu gewährleisten. Teil 1 - Kapitel 6.7 - Seite 126 Version 1998 IT-Grundschutzhandbuch Heterogene Netze Hub Endgerät Switch Switch Serversystem Abb. 1: Redundante Verbindungen der Netzkomponenten Ist je nach Verfügbarkeitsanforderungen auch eine Redundanz im Endgeräte-Bereich nötig, so müssen zusätzlich alle Endgeräte mit zwei Netzadaptern ausgerüstet werden (siehe Abb. 2). Hubs Endgerät Switch Switch Serversystem Abb. 2: Redundanz bis in den Endgeräte-Bereich Dabei gilt es im konkreten Fall zu prüfen, ob diese Technik von den eingesetzten aktiven Netzkomponenten und Betriebssystemen unterstützt wird. Weiterhin stellt das Netzteil von aktiven Netzkomponenten eine häufige Störungsursache dar, da diese auf eine stabile Stromversorgung angewiesen sind. Viele Komponenten lassen sich deshalb mit redundanten Netzteilen ausrüsten oder sind hiermit bereits ausgestattet. So läßt sich die Ausfallsicherheit einzelner Netzkomponenten erhöhen, ohne daß zwei Version 1998 Teil 1 - Kapitel 6.7 - Seite 127 Heterogene Netze IT-Grundschutzhandbuch Netzkomponenten eingesetzt werden müssen. Durch solch eine Maßnahme wird aber nicht die Ausfallsicherheit der eigentlichen Funktionalität der Netzkomponenten erhöht. Es muß in jedem Fall anhand einer sorgfältigen Analyse festgestellt werden, welche konkreten Verfügbarkeitsanforderungen gegeben sind. Im Rahmen einer detaillierten Planung der Systemund Netzarchitektur muß dann ein geeignetes Redundanzkonzept entwickelt werden, welches diesen Anforderungen genügt. In diesem Zusammenhang ist auch die Maßnahme M 6.18 Redundante Leitungsführung zu beachten. Ergänzende Kontrollfragen: Wurden die Verfügbarkeitsanforderungen an das Netz ermittelt und dokumentiert? Werden alle wichtigen Netzkomponenten im Lager vorgehalten bzw. existieren dazu Lieferverträge? Wurde bei der Planung des Netzes die Redundanz der Komponenten berücksichtigt? Teil 1 - Kapitel 6.7 - Seite 128 Version 1998 IT-Grundschutzhandbuch M 6.54 Heterogene Netze Verhaltensregeln nach Verlust der Netzintegrität Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator, IT-Benutzer Falls sich das Netz in nicht vorgesehener Weise verhält (z. B. Server sind nicht verfügbar, Zugriff auf Netzressourcen ist nicht möglich, Netzperformance bricht dauerhaft ein) kann ein Verlust der Netzintegrität vorliegen, der durch mißbräuchliche Nutzung des Netzes verursacht wurde (z. B. unautorisierte Administration, Veränderungen der Konfigurationen der aktiven Netzkomponenten, Beschädigung von Netzkomponenten). Dann sollten die Benutzer folgende Punkte beachten: Sicherung der Arbeitsergebnisse und ggf. Beendigung laufender Programme. Der Administrator muß über eine geeignete Eskalationstufe (z. B. User Help Desk) von den Benutzern benachrichtigt werden. Dabei ist sicherzustellen, daß der Administrator durch den Benachrichtigungsprozeß in seiner Arbeit nicht wesentlich behindert wird. Der Netzadministrator sollte folgende Schritte durchführen: Eingrenzen des fehlerhaften Verhaltens auf ein Netzsegment bzw. eine Netzkomponente, Überprüfen der Konfigurationen der dort vorhandenen aktiven Netzkomponenten (darunter fällt auch die Kontrolle der Paßwörter), ggf. Wiedereinspielen der Original-Konfigurationsdaten (siehe M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten), ggf. Überprüfung der eingesetzten Hardware (Verkabelung, Steckverbindungen, aktive Netzkomponenten usw.) auf Defekte, Benachrichtigung der Benutzer mit der Bitte, ihre Arbeitsbereiche auf Unregelmäßigkeiten zu prüfen. Ergänzende Kontrollfragen: Wie ist sichergestellt, daß der Administrator effektiv benachrichtigt wird? Wird diese Regelung auch angewendet? Version 1998 Teil 1 - Kapitel 6.7 - Seite 129