B 5.1 Peer-to-Peer-Dienste

Beschreibung
Peer-to-Peer-Dienste sind Funktionen auf Arbeitsplatz-Computern, die anderen IT-Systemen im lokalen Netz Ressourcen zur Verfügung stellen, beispielsweise gemeinsamen Zugriff auf die Festplatte oder auf Drucker. Solche Dienste werden von den gängigen Betriebssystemen unterstützt. In diesem Baustein werden die Betriebssysteme Windows für Workgroups (WfW), Windows 95/NT/2000 und Unix betrachtet, berücksichtigt wird hier aber nur die reine Peer-to-Peer-Funktionalität dieser Betriebssysteme. Auf sicherheitsspezifische Aspekte einzelner Anwendungen bei der Benutzung von Peer-to-Peer-Funktionalitäten, zum Beispiel bezüglich Mail, Exchange, Schedule+, Direct-Data-Exchange (DDE) oder Remote Access Service (RAS), wird nur am Rande eingegangen. Weiterhin werden in diesem Kapitel ausschließlich die für Peer-to-Peer-Dienste spezifischen Gefährdungen und Maßnahmen beschrieben, daher sind zusätzlich noch die betriebssystemspezifischen Bausteine zu betrachten. Peer-to-Peer-Kommunikation über das Internet ist nicht Gegenstand dieses Bausteins.
Da Peer-to-Peer-Dienste wesentlich geringere Sicherheitsfunktionalitäten bieten als durch dedizierte Server bereitgestellte Dienste, sollten Peer-to-Peer-Dienste innerhalb servergestützter Netze nicht verwendet werden.
Gefährdungslage
Für den IT-Grundschutz von Peer-to-Peer-Diensten werden folgende typische Gefährdungen angenommen:
Organisatorische Mängel:
- | G 2.25 | Einschränkung der Übertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-to-Peer-Funktionalitäten |
- | G 2.65 | Komplexität der SAMBA-Konfiguration |
Menschliche Fehlhandlungen:
- | G 3.9 | Fehlerhafte Administration des IT-Systems |
- | G 3.18 | Freigabe von Verzeichnissen, Druckern oder der Ablagemappe |
- | G 3.19 | Speichern von Passwörtern unter WfW und Windows 95 |
- | G 3.20 | Ungewollte Freigabe des Leserechtes bei Schedule+ |
Vorsätzliche Handlungen:
- | G 5.45 | Ausprobieren von Passwörtern unter WfW und Windows 95 |
- | G 5.46 | Maskerade unter WfW |
- | G 5.47 | Löschen des Post-Office unter WfW |
Maßnahmenempfehlungen
Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Bei der Bearbeitung der originären Peer-to-Peer-Maßnahmen sollte zuerst anhand von Maßnahme M 2.67 Festlegung einer Sicherheitsstrategie für Peer-to-Peer-Dienste eine Sicherheitsstrategie ausgearbeitet werden, da diese die Grundlage für die weiteren Maßnahmen ist.
Nachfolgend wird das Maßnahmenbündel für den Bereich "Peer-to-Peer-Dienste" vorgestellt:
Planung und Konzeption
- | M 2.67 | (A) | Festlegung einer Sicherheitsstrategie für Peer-to-Peer-Dienste |
- | M 5.37 | (B) | Einschränken der Peer-to-Peer-Funktionalitäten in einem servergestützten Netz |
Umsetzung
- | M 2.94 | (B) | Freigabe von Verzeichnissen unter Windows NT |
- | M 3.19 | (A) | Einweisung in den richtigen Einsatz der Sicherheitsfunktionen von Peer-to-Peer-Diensten |
- | M 4.45 | (A) | Einrichtung einer sicheren Peer-to-Peer-Umgebung unter WfW |
- | M 4.149 | (A) | Datei- und Freigabeberechtigungen unter Windows 2000/XP |
Betrieb
- | M 2.68 | (B) | Sicherheitskontrollen durch die Benutzer beim Einsatz von Peer-to-Peer-Diensten |
- | M 4.46 | (A) | Nutzung des Anmeldepasswortes unter WfW und Windows 95 |
- | M 4.58 | (B) | Freigabe von Verzeichnissen unter Windows 95 |
- | M 5.82 | (A) | Sicherer Einsatz von SAMBA |