Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.112 Sicherer Betrieb des RAS-Systems - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.112 Sicherer Betrieb des RAS-Systems

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Voraussetzung für den sicheren Betrieb eines RAS-Systems ist die sichere Installation und Konfiguration der beteiligten Hard- und Software-Komponenten. Die Maßnahmen M 4.110 Sichere Installation des RAS-Systems und M 4.111 Sichere Konfiguration des RAS-Systems müssen daher vor Inbetriebnahme durchgeführt worden sein. Zusätzlich müssen alle organisatorischen Abläufe definiert und umgesetzt worden sein (z. B. Meldewege und Zuständigkeiten). Weiterhin ist zu beachten, dass die angestrebte Systemsicherheit nur gewährleistet werden kann, wenn auch die physikalische Sicherheit der beteiligten Hardware-Komponenten sichergestellt ist (siehe auch M 4.110 Sichere Installation des RAS-Systems).

Die Sicherheit eines RAS-Systems lässt sich grob in drei Bereiche aufteilen:

Kann die gewünschte Sicherheit des RAS-Servers noch durch die Durchsetzung einer lokalen Sicherheitsrichtlinie gesteuert werden, so unterliegt der RAS-Client typischerweise nicht mehr der vollen Kontrolle des für das LAN verantwortlichen IT-Personals. Die Sicherheit der Datenübertragungsmedien entzieht sich in der Regel vollständig der Kontrolle. Aus diesem Grund muss die Absicherung der Kommunikation zwischen Client und Server mit zusätzlichen Mitteln erfolgen.

Im Umfeld des RAS-Servers sind folgende Empfehlungen für den sicheren Betrieb zu berücksichtigen:

Da RAS-Clients in der Regel in nicht vollständig kontrollierten Umgebungen betrieben werden, müssen für diesen Fall spezielle Mechanismen, Verfahren und Maßnahmen zum Einsatz kommen, die den Schutz des Clients gewährleisten können. Insbesondere mobile RAS-Clients sind hier einer besonderen Gefahr ausgesetzt, da diese physikalisch besonders leicht anzugreifen sind (Diebstahl, Vandalismus). Ist ein RAS-Client kompromittiert, so besteht die Gefahr, dass dadurch auch die Sicherheit des LANs beeinträchtigt wird.

Für den sicheren Betrieb von RAS-Clients sind daher folgende Aspekte zu berücksichtigen:

Die Kommunikationsverbindung zwischen RAS-Client und RAS-Server wird in der Regel über Netze von Dritten aufgebaut. Die dabei benutzten Netzkomponenten unterliegen meist nicht der Kontrolle durch den Betreiber des LANs, mit dem die Verbindung aufgebaut werden soll. Es muss weiter davon ausgegangen werden, dass die Daten nicht nur über das Telekommunikationsnetz eines Anbieters übertragen werden, sondern dass auch die Netze von Kooperationspartnern des Telekommunikationsanbieters benutzt werden. Dies gilt insbesondere beim Zugriff auf ein LAN aus dem Ausland. Um dem Schutzbedarf der so übertragenen Daten gerecht zu werden, müssen Sicherheitsmaßnahmen getroffen werden, die z. B. die Vertraulichkeit der Daten sicherstellen. Daher gilt für die Datenübertragung:

Um diesen Anforderungen an den Schutz der Daten gerecht zu werden, können verschiedene Sicherungsmechanismen für RAS-Verbindungen benutzt werden. Relevant sind hier unter anderem:

Die Sicherheit beim entfernten Zugriff über eine RAS-Verbindung kann nur dann gewährleistet werden, wenn alle Komponenten des RAS-Systems korrekt und konsistent konfiguriert sind. Zu beachten ist jedoch, dass je nach Zugriffsverfahren ein Grossteil der benutzten Komponenten nicht der direkten Kontrolle der lokalen RAS-Administration untersteht. Daher ist der RAS-Zugang zu einem LAN mit besonderer Sorgfalt und Aufmerksamkeit zu überwachen.

Beispiel:

Da Windows NT standardmäßig mit RAS-Unterstützung ausgeliefert wird, soll der RAS-Dienst von Windows NT als Beispiel dienen. Die angebotene Funktionalität sowie die verfügbaren Sicherheitsmechanismen sind jedoch in der Regel nur für eine geringe Anzahl an RAS-Benutzern und Daten mit geringem Schutzbedarf geeignet. Bei großen Benutzermengen und erhöhtem Schutzbedarf sollten auch zusätzliche RAS-Produkte in Betracht gezogen werden.

Für RAS-Clients unter Windows NT gilt:

Für RAS-Server unter Windows NT gilt:

Ergänzende Kontrollfragen: