M 4.111 Sichere Konfiguration des RAS-Systems
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement-Team
Verantwortlich für Umsetzung: Administrator
Die Funktion und die Sicherheit eines RAS-Systems wird wesentlich durch die eingestellten Konfigurationsparameter bestimmt. Da jedoch ein RAS-System nicht aus nur einer Komponente und deren Konfiguration besteht, ergibt sich naturgemäß eine erhöhte Komplexität für die Gesamtkonfiguration. Aufgrund dieser Komplexität können leicht Konfigurationsfehler entstehen, die die Sicherheit des Gesamtsystems verringern können. Das nicht abgestimmte Ändern eines Konfigurationsparameters bei einer Komponente kann daher im Zusammenspiel mit den anderen Komponenten zu Fehlfunktionen führen. Im Extremfall kann dadurch auch die Sicherheit des LANs beeinträchtigt werden.
Da die Konfiguration eines RAS-Systems in der Regel Veränderungen unterworfen ist (z. B. durch Personaländerungen, neue Nutzungsszenarien, Systemerweiterungen), kann nicht davon ausgegangen werden, dass es genau eine sichere (und statische) Konfiguration gibt, die einmal eingestellt und nie wieder verändert wird. Vielmehr unterliegt die Konfiguration fortschreitenden Versionsänderungen. Es ist Aufgabe der für das RAS-System zuständigen Administratoren, dass jeweils nur sichere Versionen der Systemkonfiguration definiert werden und das System von einer sicheren Konfiguration in die nachfolgende sichere Konfiguration überführt wird.
Generell kann zwischen den folgenden Konfigurationskategorien unterschieden werden:
- Die Default-Konfiguration ergibt sich durch die vom Hersteller voreingestellten Werte für die Konfigurationsparameter. Diese ist in der Regel nicht ausreichend sicher und sollte daher nicht verwendet werden.
- Nach der Installation und vor der Inbetriebnahme muss - ausgehend von der Default-Konfiguration - eine sichere Anfangskonfiguration durch die Administratoren eingestellt werden. Hier sollten möglichst restriktive Einstellungen gelten, sodass nur die berechtigten Administratoren Veränderungen vornehmen können, um z. B. eine erste Betriebskonfiguration einzustellen, die das geplante Sicherheitskonzept umsetzt.
- Die sicheren Betriebskonfigurationen ergeben sich aus den jeweiligen Konfigurationen im laufenden Betrieb. Hier muss auch regelmäßig überprüft werden, ob neu bekannt gewordene Sicherheitslücken Anpassungen erfordern (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems).
- Schließlich sollten sichere Notfallkonfigurationen im Rahmen der Notfallplanung definiert und dokumentiert werden. Sie dienen dazu, auch bei eingeschränkter Betriebsfähigkeit die Sicherheit aufrechtzuerhalten. In der Regel werden durch die Notfallplanung mehrere Notfallsituationen definiert. Es empfiehlt sich, für jede der definierten Situationen eine
- adäquate Notfallkonfiguration festzulegen. Im einfachsten Fall besteht die Notfallkonfiguration darin, den Zugang zum RAS-System zu sperren.
Allgemein sollten folgende Punkte bei den gewählten Einstellungen für eine sichere Konfiguration beachtet werden:
- Neben der Konfiguration des RAS-Systems kann auch die Aufteilung des Netzes in Teilnetze zur Zugriffssteuerung dienen. Aus Gründen der IT-Sicherheit kann es daher zweckmäßig sein, so genannte Zugangsnetze (Access-Networks) einzurichten (siehe auch M 5.77 Bildung von Teilnetzen).
- Die Routing-Einstellungen der für das RAS-System verwendeten Netzkoppelelemente sollte zur restriktiven Steuerung des Netz-Verkehrsflusses eingesetzt werden. Netzpakete dürfen nur auf den erlaubten Verbindungen weitergeleitet werden. Zusätzlich erlauben moderne Netzkoppelelemente das selektive Weiterleiten von Paketen innerhalb erlaubter Netzverbindungen (Paketfilter-Funktion). Auf diese Weise kann z. B. erreicht werden, dass ausschließlich Verbindungsanfragen an den HTTP-Dienst eines Servers weitergeleitet werden.
- Das Einschränken des Zugangs zu RAS-Clients ist insbesondere für mobile Rechner schwierig zu realisieren. Bei mobilen RAS-Clients ist es daher besonders wichtig, dass sich die Benutzer strikt an die festgelegten Regelungen halten (z. B. Diebstahlschutz, siehe auch Baustein B 3.203 Laptop).
- Die sichere Konfiguration der RAS-Server-Software erfordert, dass die durch die Software angebotenen und im vorliegenden Einsatzszenario sinnvollen Sicherheitseinstellungen auch aktiviert sind und genutzt werden können. Die Nutzung von bestimmten Sicherheitseinstellungen setzt u. U. voraus, dass auch andere Komponenten des RAS-Systems entsprechende Funktionen besitzen bzw. entsprechend konfiguriert werden können. So ist z. B. bei der Nutzung der Rufnummernübertragung (Calling Line Identification Protocol - CLIP) sicherzustellen, dass diese für den gewählten Anschluss auch aktiviert ist. Damit die Benutzer-Identifikation beispielsweise beim Zugriff über das Internet über X.509-Zertifikate erfolgen kann, muss dem RAS-System der Speicherort der Benutzerzertifikate bekannt sein. Dazu muss die RAS-Software entweder externe Authentisierungsserver unterstützen oder eine eigene Zertifikatsverwaltung anbieten.
- Daher sollte vorab überprüft werden, ob alle angebotenen Sicherheitsmechanismen auch genutzt werden können oder ob hierzu andere bzw. zusätzliche Hard- oder Software benötigt wird. Im laufenden Betrieb muss dann regelmäßig die Korrektheit der Einstellungen überprüft werden.
- Für die sichere Konfiguration der RAS-Client-Software gelten ähnliche Anforderungen wie für die Server-Software. Zusätzlich ist darauf zu achten, dass zum RAS-Zugang benötigte Passwörter nicht durch die Software gespeichert werden, auch wenn dies vielfach angeboten wird. Wenn dies nicht technisch verhindert werden kann, muss es allen
- Benutzern untersagt werden. Außerdem sollten alle Benutzer über die Problematik aufgeklärt werden.
- Damit Client und Server in sicherer Art und Weise kommunizieren können, ist auf eine konsistente Konfiguration der beteiligten Komponenten zu achten (z. B. beim benutzten Verfahren zur Kommunikationsabsicherung).
- Die sichere und konsistente Konfiguration von Client und Server kann dadurch unterstützt werden, dass eine Standardkonfiguration für RAS-Clients (Hard- und Software) durch das RAS-Konzept festgelegt und durch organisatorische Maßnahmen durchgesetzt wird. Dadurch wird erreicht, dass nur eine feste Anzahl unterschiedlicher Client-Konfigurationen im Einsatz ist. Dies erleichtert die gesamte Konfiguration, insbesondere hilft es aber auch, eine sichere und konsistente Konfiguration aufrechtzuerhalten.
- Änderungen an der RAS-Systemkonfiguration sollten einem organisatorischen Prozess unterliegen, der sicherstellt, dass das RAS-System nur mit geprüften Konfigurationen aktiviert wird. Alle Änderungen sollten dokumentiert und genehmigt sein. Hinweis: Das Hinzufügen oder Löschen von RAS-Benutzern macht in der Regel keine Änderung der RAS-Systemkonfiguration nötig, da diese Änderungen oft durch die Benutzerverwaltung des Betriebssystems (z. B. RAS unter Windows NT) oder eines Authentisierungsservers (siehe RADIUS, TACACS+) erfolgen.
- Die RAS-Konfiguration sollte regelmäßig überprüft werden. Dabei ist sicherzustellen, dass alle Vorgaben der RAS-Sicherheitsrichtlinie umgesetzt sind und die Einstellungen keine Schwachstellen aufweisen.
Obwohl RAS-Systeme eine recht einfache Aufgabe übernehmen, gestaltet sich der Aufbau und der Betrieb ähnlich komplex wie z. B. der eines Firewall-Systems. Die hier angeführten Themenbereiche sind daher immer im Rahmen der RAS-Systemplanung und des RAS-Betriebes zu konkretisieren, zu erweitern und anzupassen.
Beispiele:
- Unter Windows NT sollte die Berechtigung zum RAS-Zugriff nach der Installation des RAS-Dienstes beschränkt werden. Dies kann bei Windows NT nur auf Benutzer-Ebene erfolgen, was bei vielen Benutzern nicht mehr effizient über den Benutzermanager zu administrieren ist. Das Werkzeug zur RAS-Administration unter Windows NT erlaubt es hingegen, auch allen Benutzern auf einmal die Einwahlberechtigung zu entziehen.
- Für einen RAS-Server sollte nur das Einwählen erlaubt sein, abgehende Verbindungen vom RAS-Server selbst sind in der Regel nicht notwendig und sollten daher unterbunden werden. Unter Windows NT kann dies über den Eigenschaftsdialog des RAS-Dienstes für jedes Gerät, das für Remote Access geeignet ist (z. B. Modem, ISDN-Karte, VPN-Adapter), konfiguriert werden. Zu den entsprechenden Dialogfeldern gelangt man über Systemsteuerung, Netzwerk, Dienste, RAS-Dienst, Gerät, Konfigurieren.
- Bei Verwendung von RAS-Diensten sollten nur die Protokolle über den RAS-Zugang erlaubt werden, die auch tatsächlich notwendig sind. Nicht benötigte Protokolle sind entsprechend zu deaktivieren. Dies geschieht unter Windows NT über Systemsteuerung, Netzwerk, Dienste, RAS-Dienst, Netzwerk, Servereinstellungen. Die Konfiguration der benötigten Protokolle muss den Sicherheitsrichtlinien entsprechen, beispielsweise in Bezug auf Authentisierung, Verschlüsselung, IP-Adressbereich, lokaler oder netzweiter Zugriff.
Ergänzende Kontrollfragen:
- Ist die RAS-Client-Software so konfiguriert, dass zum Zugang benutzte Passwörter nicht gespeichert werden?
- Ist eine konsistente Konfiguration aller RAS-Komponenten sichergestellt?
- Wird die RAS-Konfiguration regelmäßig überprüft?