Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.160 Überwachen von Novell eDirectory - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.160 Überwachen von Novell eDirectory

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, Administrator, Revisor

Um den Sicherheitszustand eines Systems nachvollziehen zu können, ist es notwendig, dieses kontinuierlich zu überwachen. Ziel einer solchen Überwachung ist es, Verstöße gegen die geltenden Sicherheitsvorschriften zu entdecken, bestehende Sicherheitslücken aufzudecken oder Fehlkonfigurationen, die zu Sicherheitslücken führen können, zu erkennen. Ein entsprechendes Überwachungskonzept ist dabei auch als Teil des Sicherheitskonzeptes anzusehen.

Komplexe Systeme wie eDirectory können dabei in der Regel nicht mehr durch einzelne Administratoren überwacht werden, sondern die Kontrolle muss automatisch durch entsprechende Systemkomponenten oder Produkte von Drittherstellern erfolgen. Dabei ist auch die Konfiguration der Systemüberwachung regelmäßig an das sich verändernde System anzupassen.

eDirectory stellt für die Systemüberwachung das Werkzeug iMonitor zur Verfügung. Dies ist eine Client-Server-Anwendung, bei der auf einigen (oder allen) eDirectory-Servern der iMonitor-Dienst läuft. Die Clients können über einen Browser darauf zugreifen, der hierfür HTML Version 3 unterstützen muss. Der Zugreifende muss sich gegenüber den iMonitor-Services authentisieren und erhält nach erfolgreicher Erkennung Zugriff auf die iMonitor-Daten, wobei die für ihn konfigurierten Rechte gelten.

Die Informationen, die der iMonitor-Dienst über einen eDirectory-Server zur Verfügung stellt, könnten u. U. von Unbefugten dazu genutzt werden, gezielt nach Sicherheitslücken in einer bestehenden eDirectory-Installation zu suchen. Aus diesem Grund wird empfohlen, den Zugriff auf den iMonitor-Dienst nur mit aktivierter SSL-Verschlüsselung zu erlauben, besonders wenn von außerhalb des eigenen Behörden- bzw. Unternehmensnetzes aus zugegriffen werden kann. Dazu muss auf dem Client das entsprechende Server-Zertifikat in den Browser importiert werden.

Es gibt zwei verschiedene Operationsmodi des iMonitor-Zugriffs: den direkten Modus und den Proxymodus. Beim direkten Modus ist der Browser direkt mit dem eDirectory-Server verbunden, dessen Statusdaten abgefragt werden. Auf dem eDirectory-Server müssen dabei die iMonitor-Services aktiviert sein. Beim Proxymodus wird auf einen Server zugegriffen, auf dem die iMonitor-Services zur Verfügung stehen, die eigentliche Information wird aber von einem anderen Server abgefragt.

Der direkte Modus besitzt gegenüber dem Proxymodus u. a. den Vorteil, dass er weniger Bandbreite benötigt und die serverzentrierten Funktionalitäten in vollem Umfang zur Verfügung stehen. Aus Sicht der IT-Sicherheit ist jedoch der Proxymodus zu bevorzugen, damit nicht alle eDirectory-Rechner diese direkte Zugriffsmöglichkeit gestatten. Dabei sollte eine feste Einwahladresse verwendet werden, die dann entsprechend kontrolliert und geschützt werden muss.

Das NDS Trace Utility dient der Erfassung eDirectory-spezifischer Ereignisse in eine eigene Protokolldatei. Damit kann eine Protokollierung sämtlicher eDirectory-Ereignisse erreicht werden. Ferner gibt es das Zusatzmodul NAAS (Novell Advanced Auditing Service), womit sich eine automatisierte Auswertung der eDirectory-spezifischen Ereignisse realisieren lässt.

Im Rahmen der Überwachung sind auch folgende Aspekte zu beachten:

Im Rahmen der Überwachung der Systemfunktionen empfiehlt sich außerdem eine regelmäßige Kontrolle der eDirectory-Replikation, durch die Konfigurationsänderungen weitergeleitet werden. Fehler in der Replikation haben meist zur Folge, dass Konfigurationsänderungen nicht überall durchgeführt werden und so z. B. einem Benutzer zu viele Rechte zugestanden werden.

Ergänzende Kontrollfragen: