Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: G 3.40 Ungeeignete Nutzung von Authentisierungsdiensten bei Remote Access - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 3.40 Ungeeignete Nutzung von Authentisierungsdiensten bei Remote Access

Die Identität der RAS-Benutzer muss beim Verbindungsaufbau festgestellt werden. Dazu werden typischerweise Authentisierungsmechanismen verwendet, die auf einer Benutzerverwaltung mit gespeicherten Authentisierungsdaten beruhen. RAS-Systeme bieten für die Speicherung der Benutzerdaten mehrere Möglichkeiten an: eine eigene Benutzerverwaltung, Nutzung der Benutzerverwaltung des Betriebssystems, Nutzung von Authentisierungsservern (mit eigener Benutzerverwaltung). Werden getrennte Benutzerverwaltungen für RAS und Betriebssystem verwendet, so kann es aufgrund von Störungen im organisatorischen Ablauf zu Inkonsistenzen in den beiden Datenbeständen kommen. Dies kann zu unerlaubten Verbindungsaufnahmen und unberechtigten Zugriffen auf Daten führen. Eine getrennte Verwaltung empfiehlt sich daher nicht.

Beispiel:

Viele Client-Komponenten für den Remote Access erlauben es, die zur Authentisierung notwendigen Daten nach einmaliger Eingabe lokal zu speichern, so dass beim erneuten Verbindungsaufbau die Eingabe der Daten durch den Benutzer nicht mehr erforderlich ist. Dies birgt jedoch ein hohes Risikopotential für den Fall, dass der RAS-Client einem unberechtigten Zugriff ausgesetzt ist. Der Authentisierungsmechanismus kann dann seine Aufgabe nicht mehr erfüllen. Dadurch können Unbefugte ggf. auf die lokalen Netze zugreifen, die über eine RAS-Verbindung vom jeweiligen Client aus erreichbar sind. Die Sicherheit dieser lokalen Netze ist somit gefährdet. Ähnliche Gefährdungen ergeben sich durch das Speichern von Schlüsseln zur Datenverschlüsselung oder digitalen Signatur auf dem RAS-Client.