Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: B 5.9 Novell eDirectory - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 5.9 Novell eDirectory

Logo Novell eDirectory

Beschreibung

Novell eDirectory ist ein komplexes und vielseitiges Produkt, welches

Diese beiden Szenarien ergeben völlig unterschiedliche Gefährdungen für den Einsatz und den Betrieb eines solchen Systems. Vor allem eine Kombination dieser Einsatzszenarien stellt vom Standpunkt der IT-Sicherheit eine Herausforderung dar.

Entsprechend muss für die Sicherheit der in einem eDirectory-Verzeichnis gespeicherten Daten stets auch die Sicherheit des zugrunde liegenden Betriebssystems mit berücksichtigt werden. Letzteres ist jedoch nicht Bestandteil dieses Bausteins und es wird deshalb auf die entsprechenden Beschreibungen zum sicheren Betrieb des genutzten Betriebssystems in den Bausteinen der Schicht 3 verwiesen.

eDirectory ist aus dem Verzeichnisdienst Novell Directory Services (NDS) hervorgegangen, das Bestandteil des Betriebssystems Netware 4 war. Dies war seinerzeit die herausragende Neuerung gegenüber dem Betriebssystem Netware 3. Inzwischen positioniert Novell diese Verzeichnisdienste als eigenständiges Produkt eDirectory vollständig unabhängig vom Netware-Betriebssystem. eDirectory lässt sich dabei auf einer Vielzahl von Betriebssystemen installieren und betreiben. In der Literatur und in den Quellen wird jedoch häufig weiterhin von "den Novell Directory Services" gesprochen und NDS mit eDirectory synonym gesetzt.

In diesem Baustein wird speziell die eDirectory-Version 8.6 betrachtet, und zwar die englische Version. Die Software unterstützt die Plattformen Netware, Windows NT/2000, Linux sowie Sun Solaris.

eDirectory kann mit spezieller Clientsoftware verwendet werden, wie dem Novell Client für die Windows-Betriebssysteme. Diese Clients sind in den Bootvorgang des jeweiligen Rechners integriert und übernehmen die Authentisierung der Benutzer gegen den Verzeichnisdienst eDirectory. Auch für Unix-Betriebssysteme (Linux, Solaris) gibt es eine ähnliche Möglichkeit, die den Mechanismus der Pluggable Authentication Modules (PAM) nutzt. Dabei kommen die Novell Account Management Modules zum Einsatz. Auch hier werden Benutzer beim Login gegen den eDirectory-Verzeichnisdienst authentisiert.

Eine andere Möglichkeit bietet der Zugriff über die LDAP-Schnittstelle. Durch die Verwendung dieser standardisierten Schnittstelle ist die Nutzung des eDirectorys auch mit anderen Applikationen und Systemen möglich. Für den Einsatz im Internet ist generell das LDAP-Protokoll die Zugriffsmethode.

Architekturskizze

Abbildung: Architekturskizze

Weiterhin bietet die eDirectory-Software eine Vielzahl von Tools, unter anderem den iMonitor, der Überwachungs- und Diagnosemöglichkeiten über die Server eines Verzeichnisdienstes von einem Web-Browser aus zur Verfügung stellt.

Gefährdungslage

Aufgrund der Vielzahl an Funktionen und der Komplexität der Software ist ein eDirectory-Verzeichnisdienst einer Reihe von Gefährdungen ausgesetzt. Hinzu kommen die Gefährdungen, die das eingesetzte Betriebssystem betreffen, insbesondere den allgemeinen Serverzugriff und das Dateisystem.

Für den IT-Grundschutz eines Novell eDirectory-Systems werden folgende typische Gefährdungen angenommen:

Höhere Gewalt:

- G 1.2 Ausfall des IT-Systems

Organisatorische Mängel:

- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis über Regelungen
- G 2.7 Unerlaubte Ausübung von Rechten
- G 2.69 Fehlende oder unzureichende Planung des Einsatzes von Novell eDirectory
- G 2.70 Fehlerhafte oder unzureichende Planung der Partitionierung und Replizierung im Novell eDirectory
- G 2.71 Fehlerhafte oder unzureichende Planung des LDAP-Zugriffs auf Novell eDirectory

Menschliche Fehlhandlungen:

- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.13 Übertragung falscher oder nicht gewünschter Datensätze
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.34 Ungeeignete Konfiguration des Managementsystems
- G 3.35 Server im laufenden Betrieb ausschalten
- G 3.36 Fehlinterpretation von Ereignissen
- G 3.38 Konfigurations- und Bedienungsfehler
- G 3.43 Ungeeigneter Umgang mit Passwörtern
- G 3.50 Fehlkonfiguration von Novell eDirectory
- G 3.51 Falsche Vergabe von Zugriffsrechten im Novell eDirectory
- G 3.52 Fehlkonfiguration des Intranet-Clientzugriffs auf Novell eDirectory
- G 3.53 Fehlkonfiguration des LDAP-Zugriffs auf Novell eDirectory

Technisches Versagen:

- G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
- G 4.13 Verlust gespeicherter Daten
- G 4.33 Schlechte oder fehlende Authentikation
- G 4.34 Ausfall eines Kryptomoduls
- G 4.44 Ausfall von Novell eDirectory

Vorsätzliche Handlungen:

- G 5.16 Gefährdung bei Wartungs-/Administrierungsarbeiten durch internes Personal
- G 5.17 Gefährdung bei Wartungsarbeiten durch externes Personal
- G 5.18 Systematisches Ausprobieren von Passwörtern
- G 5.19 Missbrauch von Benutzerrechten
- G 5.20 Missbrauch von Administratorrechten
- G 5.65 Verhinderung der Dienste eines Datenbanksystems
- G 5.78 DNS-Spoofing
- G 5.81 Unautorisierte Benutzung eines Kryptomoduls

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für den Einsatz der eDirectory-Komponenten sollte bereits bei der Planung ein spezifisches IT-Sicherheitskonzept erstellt werden, welches sich konsistent in das bestehende organisationsweite IT-Sicherheitskonzept integrieren lässt. Das eDirectory-System muss so konfiguriert werden, dass bereits bestehende Sicherheitsanforderungen umgesetzt werden, und hat darüber hinaus weitere, eDirectory-spezifische Anforderungen durchzusetzen.

Ein eDirectory-System wird in der Regel im Umfeld mit weiteren Systemen eingesetzt, welche den Zugriff auf das interne Netz von außen kontrollieren. Hierbei sind insbesondere Firewall-Systeme und Systeme zur Fernwartung zu nennen, mit denen eDirectory zusammenarbeiten muss. Aus diesem Grund sind bei der Durchführung der eDirectory-spezifischen Maßnahmen stets auch die entsprechenden Maßnahmen aus den jeweiligen Bausteinen zusätzlich betroffener Systeme mit zu berücksichtigen. Neben den Bausteinen aus der Schicht 3 sind unter anderem auch die folgenden Bausteine zu nennen:

Für die sichere Implementierung eines eDirectory-Systems sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung über die Installation bis hin zum Betrieb. Die einzelnen Schritte sowie die jeweiligen Maßnahmen, die auf diesem Weg zu beachten sind, sind nachstehend zusammengefasst:

  1. Nach der Entscheidung, eDirectory als Verzeichnissystem einzusetzen, muss Software und eventuell zusätzlich benötigte Hardware beschafft werden. Da eDirectory verschiedene Einsatzmöglichkeiten zulässt (siehe oben), hängt die gegebenenfalls zu beschaffende Hardware von den geplanten Einsatzszenarien ab. Daher sind folgende Maßnahmen zu ergreifen:
  2. Nachdem die organisatorischen und planerischen Vorbereitungen durchgeführt wurden, kann die Installation des eDirectory-Systems erfolgen. Folgende Maßnahmen sind dabei zu ergreifen:
  3. Nach der Konfiguration und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Dabei sind unter Sicherheitsgesichtspunkten folgende Aspekte zu beachten:

Nachfolgend wird das Maßnahmenbündel für den Baustein "Novell eDirectory" vorgestellt:

Planung und Konzeption

- M 2.236 (A) Planung des Einsatzes von Novell eDirectory
- M 2.237 (B) Planung der Partitionierung und Replikation im Novell eDirectory
- M 2.238 (A) Festlegung einer Sicherheitsrichtlinie für Novell eDirectory
- M 2.239 (A) Planung des Einsatzes von Novell eDirectory im Intranet
- M 2.240 (A) Planung des Einsatzes von Novell eDirectory im Extranet

Umsetzung

- M 3.29 (A) Schulung zur Administration von Novell eDirectory
- M 3.30 (A) Schulung zum Einsatz von Novell eDirectory Clientsoftware
- M 4.153 (A) Sichere Installation von Novell eDirectory
- M 4.154 (A) Sichere Installation der Novell eDirectory Clientsoftware
- M 4.155 (A) Sichere Konfiguration von Novell eDirectory
- M 4.156 (A) Sichere Konfiguration der Novell eDirectory Clientsoftware
- M 4.157 (A) Einrichten von Zugriffsberechtigungen auf Novell eDirectory
- M 4.158 (B) Einrichten des LDAP-Zugriffs auf Novell eDirectory

Betrieb

- M 4.159 (A) Sicherer Betrieb von Novell eDirectory
- M 4.160 (B) Überwachen von Novell eDirectory
- M 5.97 (B) Absicherung der Kommunikation mit Novell eDirectory

Notfallvorsorge

- M 6.80 (A) Erstellen eines Notfallplans für den Ausfall eines Novell eDirectory Verzeichnisdienstes
- M 6.81 (A) Erstellen von Datensicherungen für Novell eDirectory