M 2.150 Revision von Novell Netware 4.x Netzen
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Revisor
Eine wichtige Methode zur Gewährleistung der Sicherheit eines Netzes besteht darin, unabhängigen Revisoren die Überprüfung der Vorgänge im Netz zu gestatten. Netware 4.x bietet dazu die Möglichkeit, durch Aktivierung der Revision mit dem Dienstprogramm SYS:PUBLIC\AUDITCON.EXE eine Vielzahl von Ereignissen in der NDS und im Dateisystem zu verfolgen. Es ist bei Netware 4.x möglich, beliebigen Benutzern die Rolle eines Revisors zuzuweisen. Dieses Programm ermöglicht unter anderem die folgenden Funktionen:
- Die Revisoren können alle NDS-Dateiereignisse der Netware-Server, der Container oder eines bestimmten Volumes überwachen.
- Die Dateisystemrevision auf Volume- und Behälterebene kann aktiviert werden.
- Die Revisoren können Netzereignisse und -aktivitäten zurückverfolgen, jedoch können sie außer den Revisionsdaten- und Revisionsverlaufsdateien nur diejenigen Dateien öffnen oder ändern, zu denen ihnen vom Administrator die entsprechenden Rechte erteilt wurden.
Anmerkung: Bei der Aktivierung der Möglichkeiten zur Protokollierung ist zu beachten, dass die Protokolldatei sehr groß werden kann. Daher sollte die maximale Größe der Protokolldatei begrenzt werden, um einen Speicherplatzmangel zu verhindern. Da dies abhängig von der Anzahl der Benutzer und deren Aktivitäten ist, können hier jedoch keine konkreten Richtlinien angegeben werden.
Die dabei anfallenden Daten sind in den meisten Fällen personenbezogen und unterliegen somit dem Bundesdatenschutzgesetz (BDSG). Es ist sicherzustellen, dass diese Daten nur zum Zweck der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes verwendet werden (siehe auch M 2.110 Datenschutzaspekte bei der Protokollierung).
Um einen unabhängigen Revisor einzurichten, der keine sonstigen administrativen Rechte im Netz hat, aber die Aktivitäten eines Administrators überprüfen kann, sind folgende Maßnahmen durchzuführen:
-
Für Netware 4.10 muss das Auditing für das Dateisystem bzw. für die NDS aktiviert sein und ein Passwort hierfür vergeben werden. Jeder, der dieses Passwort kennt, ist in der Lage, das Auditing auszuwerten. Deshalb sollte unter Netware 4.10 sehr sorgsam mit diesem Passwort umgegangen werden. Weitere Rechtevergaben sind unter Netware 4.10 nicht notwendig.
Ab Netware 4.11 werden die Informationen in NDS-Audit-File-Objekte abgelegt. Somit lässt sich eine wesentlich bessere Sicherheit hierfür aufbauen. Zudem bestehen unter Netware 4.11 wesentlich bessere Überwachungsmöglichkeiten, da man die Anzahl der Auditing-Mechanismen und -Funktionen wesentlich erweitert hat. - Erstellen eines Benutzer-Objekts für den Revisor. Die Berechtigung sollte nicht für einen herkömmlichen Benutzer-Account vergeben werden, da dies die Sicherheit aushebeln könnte.
- Ab Netware 4.11 muss der Revisor notwendige NDS-Recht auf die dementsprechenden NDS-Audit-File-Objekte erhalten.
- Aktivieren der Netzrevision. Die Person, die das NDS-Audit-File-Objekt erstellt, bekommt das Supervisor-Recht auf das NDS-Audit-File-Objekt und das Write-Recht auf das Access Control List Property. Zudem kommen noch das Read- und Write-Recht auf das Audit Policy Property und das Read-Recht für das Audit Contents Property hinzu. Somit ist der Ersteller dieses NDS-Audit-File-Objektes in der Lage, die Administration für das Auditing und Auswertungen hierzu durchzuführen.
- Vergabe eines Revisorpassworts im Utility SYS:PUBLIC\AUDITCON.EXE, um Unabhängigkeit vom Administrator zu erhalten (Netware 4.10 und aus Kompatibilitätsgründen auch in Netware 4.11).
- Ab Netware 4.11 sollte die Unabhängigkeit des Auditors vom Administrator über die Vergabe von NDS-Rechten erzielt werden. Hier können auch noch Abstufungen stattfinden, ob ein bestimmter Revisor Audit-Daten einsehen und/oder das Auditing administrieren darf.
Ist es aus wohl überlegten Gründen nicht gewünscht oder nicht möglich, die Rolle eines unabhängigen Revisors einzurichten, kann die Auswertung der Protokolldateien auch durch den Administrator erfolgen. Für diesen Fall bleibt zu beachten, dass damit eine Kontrolle der Tätigkeiten des Administrators nur schwer möglich ist. Das Ergebnis der Auswertung sollte daher zumindest dem IT-Sicherheitsbeauftragten, dem IT-Verantwortlichen oder einem anderen besonders zu bestimmenden Mitarbeiter vorgelegt werden.
Ergänzende Kontrollfragen:
- Wer wertet die Revisionsdateien aus?
- Können die Aktivitäten des Administrators ausreichend kontrolliert werden?
- Wird das IT-Sicherheitsmanagement bei Auffälligkeiten unterrichtet?
- Wurde die maximale Größe der Protokolldatei begrenzt, um einen Speicherplatzmangel zu verhindern?