Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: B 4.4 Remote Access - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 4.4 Remote Access Dienste

logo Remote Access Dienste

Beschreibung

Durch entfernte Zugriffe (Remote Access) wird es einem Benutzer ermöglicht, sich mit einem lokalen Rechner an ein entferntes Rechnernetz zu verbinden und dessen Ressourcen zu nutzen, als ob eine direkte LAN-Koppelung bestehen würde. Die dafür benutzten Dienste werden Remote Access Service (RAS) genannt. Durch RAS wird entfernten Benutzern der Zugriff auf die Ressourcen des Netzes gewährt.

Generell lassen sich für den Einsatz von RAS im Wesentlichen folgende Szenarien unterscheiden:

Für diese Szenarien bietet RAS eine einfache Lösung: der entfernte Benutzer verbindet sich z. B. über das Telefonnetz mit Hilfe eines Modems mit dem Firmennetz. Diese Direktverbindung kann solange wie nötig bestehen bleiben und als Standleitung angesehen werden, die nur bei Bedarf geschaltet wird.

Entfernter Zugriff auf Ressourcen

Abbildung: Entfernter Zugriff auf Ressourcen

Damit eine RAS-Verbindung aufgebaut werden kann, werden in der Regel drei Komponenten benötigt:

  1. ein Rechner mit RAS-Software im Firmennetz, der bereit ist, RAS-Verbindungen entgegenzunehmen - der so genannte RAS-Server oder Zugangsserver (engl. Access-Server),
  2. ein entfernter Rechner mit RAS-Software, der die RAS-Verbindung initiiert - der so genannte RAS-Client - und
  3. das Kommunikationsmedium, über das die RAS-Verbindung aufgebaut wird. In den meisten Szenarien nutzt der RAS-Client ein Telekommunikationsnetz zur Verbindungsaufnahme. Es wirddaher mindestens ein Telefonanschluss und ein entsprechendes Modem benötigt. Je nach RAS-Architektur kommen serverseitig unterschiedliche Anbindungstechniken zum Einsatz.

Der RAS-Dienst ist als Client-Server-Architektur realisiert: Der RAS-Client kann so konfiguriert werden, dass er die RAS-Verbindung automatisch aufbaut, wenn Ressourcen des Firmennetzes benötigt werden. Dies geschieht dadurch, dass er die Telefonnummer des Rechners anwählt, auf dem die RAS-Server-Software installiert ist. Alternativ kann die RAS-Verbindung auch "von Hand" vom Benutzer initiiert werden. Einige Betriebssysteme erlauben auch das Aktivieren des RAS-Dienstes schon bei der Systemanmeldung, beispielsweise Windows NT.

Für die Verbindungsaufnahme zum entfernten LAN kommen im Wesentlichen zwei Verfahren zum Einsatz (siehe Maßnahme M 2.185 Auswahl einer geeigneten RAS-Systemarchitektur):

Unter dem Gesichtspunkt der Sicherheit sind für RAS-Zugänge folgende Sicherheitsziele zu unterscheiden:

  1. Zugangssicherheit: Der entfernte Benutzer muss durch das RAS-System eindeutig zu identifizieren sein. Die Identität des Benutzers muss durch einen Authentisierungsmechanismus bei jedem Verbindungsaufbau zum lokalen Netz sichergestellt werden. Im Rahmen des Systemzugangs müssen weitere Kontrollmechanismen angewandt werden, um den Systemzugang für entfernte Benutzer reglementieren zu können (z. B. zeitliche Beschränkungen oder Einschränkung auf erlaubte entfernte Verbindungspunkte).
  2. Zugriffskontrolle: Ist der entfernte Benutzer authentisiert, so muss das System in der Lage sein, die entfernten Zugriffe des Benutzers auch zu kontrollieren. Dazu müssen die Berechtigungen und Einschränkungen, die für lokale Netzressourcen durch befugte Administratoren festgelegt wurden, auch für den entfernten Benutzer durchgesetzt werden.
  3. Kommunikationssicherheit: Bei einem entfernten Zugriff auf lokale Ressourcen sollen im Allgemeinen auch über die aufgebaute RAS-Verbindung Nutzdaten übertragen werden. Generell sollen auch für Daten, die über RAS-Verbindungen übertragen werden, die im lokalen Netz geltenden Sicherheitsanforderungen bezüglich Kommunikationsabsicherung (Vertraulichkeit, Integrität, Authentizität) durchsetzbar sein. Der Absicherung der RAS-Kommunikation kommt jedoch eine besondere Bedeutung zu, da zur Abwicklung der Kommunikation verschiedene Kommunikationsmedien in Frage kommen, die in der Regel nicht dem Hoheitsbereich des Betreibers des lokalen Netzes zuzurechnen sind.
  4. Verfügbarkeit: Wird der RAS-Zugang im produktiven Betrieb genutzt, so ist die Verfügbarkeit des RAS-Zugangs von besonderer Bedeutung. Der reibungslose Ablauf von Geschäftsprozessen kann bei Totalausfall des RAS-Zugangs oder bei Verbindungen mit nicht ausreichender Bandbreite unter Umständen beeinträchtigt werden. Durch die Nutzung von alternativen oder redundanten RAS-Zugängen kann diese Gefahr bis zu einem gewissen Grad verringert werden. Dies gilt insbesondere für RAS-Zugänge, die das Internet als Kommunikationsmedium nutzen, da hier in der Regel keine Verbindungs- oder Bandbreitengarantien gegeben werden.

Gefährdungslage

Durch die Client-Server-Architektur von RAS-Systemen ergeben sich für RAS-Client und RAS-Server jeweils spezifische Gefahren durch die Art des Einsatzumfeldes und die Nutzungsweise.

RAS-Clients können stationär (heimischer PC), aber auch mobil (Laptop) verwendet werden. In der Regel unterliegt der Client-Standort jedoch nicht der Kontrolle des LAN-Betreibers, so dass insbesondere für den mobilen Einsatz von einem unsicheren Umfeld mit spezifischen Gefährdungen ausgegangen werden muss. Hier müssen insbesondere auch physische Gefahren (Diebstahl, Beschädigung, usw.) in Betracht gezogen werden. Hierzu können auch die Bausteine B 2.8 Häuslicher Arbeitsplatz , B 3.203 Laptop und B 5.8 Telearbeit betrachtet werden.

RAS-Server sind in der Regel Teil des LANs, mit dem sich entfernte Benutzer verbinden wollen. Sie sind im Hoheits- und Kontrollbereich des LAN-Betreibers angesiedelt und können damit durch die lokal geltenden Sicherheitsvorschriften erfasst werden. Da die Hauptaufgabe des RAS-Servers darin besteht, nur berechtigten Benutzern den Zugriff auf das angeschlossene LAN zu gewähren, sind die Gefahren für RAS-Server eher im Bereich von Angriffen zu sehen, die den unberechtigten Zugang zum LAN zum Ziel haben.

Von einer vollständig getrennten Betrachtung der Client- und Server-seitigen Gefährdungen soll an dieser Stelle abgesehen werden, da sich z. B. durch die Gefahr der Kompromittierung eines RAS-Clients automatisch eine Gefährdung für den RAS-Server ergibt. Ferner ist zu bedenken, dass sich z. B. im Windows-Umfeld jeder RAS-Client auch als RAS-Server betreiben lässt, so dass sich hier die Gefährdungen kumulieren.

Für den IT-Grundschutz eines RAS-Systems werden die folgenden typischen Gefährdungen angenommen:

Höhere Gewalt

- G 1.2 Ausfall des IT-Systems

Organisatorische Mängel:

- G 2.2 Unzureichende Kenntnis über Regelungen
- G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs
- G 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung
- G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen
- G 2.44 Inkompatible aktive und passive Netzkomponenten
- G 2.64 Fehlende Regelungen für das RAS-System

Menschliche Fehlhandlungen:

- G 3.39 Fehlerhafte Administration des RAS-Systems
- G 3.40 Ungeeignete Nutzung von Authentisierungsdiensten bei Remote Access
- G 3.41 Fehlverhalten bei der Nutzung von RAS-Diensten
- G 3.42 Unsichere Konfiguration der RAS-Clients
- G 3.43 Ungeeigneter Umgang mit Passwörtern
- G 3.44 Sorglosigkeit im Umgang mit Informationen

Technisches Versagen:

- G 4.35 Unsichere kryptographische Algorithmen
- G 4.40 Ungeeignete Ausrüstung der Betriebsumgebung des RAS-Clients

Vorsätzliche Handlungen:

- G 5.7 Abhören von Leitungen
- G 5.8 Manipulation an Leitungen
- G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems
- G 5.39 Eindringen in Rechnersysteme über Kommunikationskarten
- G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
- G 5.83 Kompromittierung kryptographischer Schlüssel
- G 5.91 Abschalten von Sicherheitsmechanismen für den RAS-Zugang
- G 5.92 Nutzung des RAS-Clients als RAS-Server
- G 5.93 Erlauben von Fremdnutzung von RAS-Komponenten

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Ein RAS-System besteht aus mehreren Komponenten, die zunächst als Einzelkomponenten abgesichert werden sollten. Jenseits der RAS-Funktionalität sind diese als normale IT-Systeme oder Netzkoppelelemente anzusehen und sollten gemäß der Maßnahmenvorschläge aus den entsprechenden Bausteinen abgesichert werden. RAS-Server sind Rechner, die sich üblicherweise im Hoheitsgebiet eines Unternehmens oder einer Behörde befinden, und nehmen die wichtige Aufgabe wahr, den Zugriff auf das interne Netz zu kontrollieren. Die RAS-Funktionalität ist in der Regel auf einem Betriebssystem aufgesetzt, das in den meisten Fällen weitere Dienste anbietet. Daher hängt die Sicherheit des RAS-Zuganges auch davon ab, dass auch auf Betriebssystem- und Dienstebene keine Sicherheitslücken existieren.

Zusätzlich zu der Absicherung der RAS-Systemkomponenten muss jedoch auch ein RAS-Sicherheitskonzept erstellt werden, das sich in das bestehende Sicherheitskonzept eingliedert: das RAS-System muss einerseits bestehende Sicherheitsforderungen umsetzen und erfordert andererseits das Aufstellen neuer, RAS-spezifischer Sicherheitsregeln.

Ein RAS-System wird in der Regel im Umfeld anderer Systeme eingesetzt, die dazu dienen, den Zugriff auf das interne Netz von außen zu kontrollieren. Hier sind z. B. Firewall-Systeme oder Systeme zur Fernwartung zu nennen, mit denen ein RAS-System im Verbund zusammenarbeiten muss. Aus diesem Grund sind bei der Durchführung der RAS-spezifischen Maßnahmen auch die Maßnahmen aus den jeweiligen Bausteinen der betroffenen Systeme zu berücksichtigen. Zu nennen sind u. a. die Bausteine:

- B 2.8 Häuslicher Arbeitsplatz

- B 3.301 Sicherheitsgateway (Firewall)

- B 3.401 TK-Anlage

- B 5.8 Telearbeit

Für den sicheren Aufbau eines RAS-Zuganges sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

  1. Begonnen wird mit dem Erstellen eines RAS-Konzeptes, das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien für Remote Access beruht.
    1. Um das Konzept individuell zuschneiden zu können, müssen zunächst die Anforderungen festgestellt werden. Dazu ist eine Anforderungsanalyse (siehe M 2.183 Durchführung einer RAS-Anforderungsanalyse) durchzuführen.
    2. Aufgrund der festgestellten Anforderungen kann dann die Definition eines RAS-Konzeptes (siehe M 2.184 Entwicklung eines RAS-Konzeptes) erfolgen.
    3. Zur Umsetzung des Konzeptes ist eine RAS-Systemarchitektur zu definieren (siehe M 2.185 Auswahl einer geeigneten RAS-Systemarchitektur), die auf die Anforderungen des RAS-Einsatzes und das umzusetzende Konzept abgestimmt ist.
  2. Die Beschaffung des RAS-Systems erfordert, die aus dem RAS-Konzept resultierenden Anforderungen an das RAS-Produkt zu formulieren und basierend darauf die Auswahl eines geeigneten RAS-Produktes zu treffen (siehe M 2.186 Geeignete Auswahl eines RAS-Produktes).
  3. Die sicherheitsrelevanten Maßnahmen für die Umsetzung des RAS-Konzepts untergliedern sich in die Bereiche:
    1. Definition der Sicherheitsrichtlinie für den RAS-Einsatz (siehe M 2.187 Festlegen einer RAS-Sicherheitsrichtlinie),
    2. Installation und erste Konfiguration (siehe M 4.110 Sichere Installation des RAS-Systems und M 4.111 Sichere Konfiguration des RAS-Systems) und
    3. den laufenden Betrieb des RAS-Systems (siehe M 4.112 Sicherer Betrieb des RAS-Systems).

Typischerweise muss für RAS-Systeme immer eine Betrachtung von RAS-Servern und RAS-Clients erfolgen. Da die Benutzer eines RAS-Systems wesentlich zu dessen sicheren Betrieb beitragen, müssen sie auf die Nutzung des RAS-Zugangs vorbereitet werden und den Umgang mit der RAS-Software erlernen. Hier muss insbesondere auf die Gefahren aufmerksam gemacht werden, die sich bei der Nutzung des RAS-Zugangs von zu Hause oder von unterwegs ergeben (siehe M 3.4 Schulung vor Programmnutzung und M 3.5 Schulung zu IT-Sicherheitsmaßnahmen).
Zur Absicherung von RAS-Verbindungen werden in vielen Fällen so genannte Tunnel-Protokolle eingesetzt. Diese erlauben es, aufbauend auf einer bestehenden Verbindung einen durch Zugriffskontrolle und Verschlüsselung abgeschotteten Kommunikationskanal zwischen IT-Systemen oder Netzen herzustellen. Aufgrund dieser Abschottung gegen die Außenwelt wird hier auch häufig von Virtuellen Privaten Netzen (VPN) gesprochen (siehe M 5.76 Einsatz geeigneter Tunnel-Protokolle für die RAS-Kommunikation).

Nachfolgend wird das Maßnahmenbündel für den Baustein "Remote Access" vorgestellt.

Planung und Konzeption

- M 2.183 (A) Durchführung einer RAS-Anforderungsanalyse
- M 2.184 (A) Entwicklung eines RAS-Konzeptes
- M 2.185 (A) Auswahl einer geeigneten RAS-Systemarchitektur
- M 2.187 (A) Festlegen einer RAS-Sicherheitsrichtlinie
- M 2.205 (A) Übertragung und Abruf personenbezogener Daten
- M 4.113 (Z) Nutzung eines Authentisierungsservers beim RAS-Einsatz
- M 5.76 (Z) Einsatz geeigneter Tunnel-Protokolle für die RAS-Kommunikation

Beschaffung

- M 2.186 (A) Geeignete Auswahl eines RAS-Produktes

Umsetzung

- M 4.110 (A) Sichere Installation des RAS-Systems
- M 4.111 (A) Sichere Konfiguration des RAS-Systems

Betrieb

- M 4.112 (A) Sicherer Betrieb des RAS-Systems

Aussonderung

- M 4.233 (B) Sperrung nicht mehr benötigter RAS-Zugänge

Notfallvorsorge

- M 6.70 (B) Erstellen eines Notfallplans für den Ausfall des RAS-Systems
- M 6.71 (B) Datensicherung bei mobiler Nutzung des IT-Systems