M 5.42 Sichere Konfiguration der TCP/IP-Netzverwaltung unter Windows NT
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Bei der Einbindung von Windows NT Systemen in ein Rechnernetz kommt der korrekten Konfiguration der installierten Netzdienste eine besondere Bedeutung zu. In den folgenden Abschnitten werden einige Hinweise zu den meistgenutzten Diensten gegeben; diese ersetzen jedoch nicht eine detaillierte Prüfung der Sicherheitsanforderungen und die Notwendigkeit zur genauen Kenntnis der Systemdokumentation.
DHCP (Dynamic Host Configuration Protocol)
Um den Aufwand für die Verwaltung von IP-Adressinformationen zu reduzieren, können über DHCP IP-Adressen und die zugehörigen Daten dynamisch konfiguriert werden.
Ein Windows NT Rechner wird ein DHCP-Client, wenn er bei der Installation von TCP/IP für automatische DHCP-Konfiguration konfiguriert wird. Nach dem Start eines DHCP-Clients stellt dieser eine Verbindung zu einem DHCP-Server her, um die erforderlichen TCP/IP-Konfigurationsdaten zu erhalten. Diese Konfigurationsdaten enthalten zumindest eine IP-Adresse, eine Subnetz-Maske sowie die für die Konfiguration geltende Gültigkeitsdauer der Adresse.
Die Installation eines DHCP-Servers, die nur von einem Mitglied der Gruppe "Administratoren" durchgeführt werden kann, gehört zur Installation von Microsoft TCP/IP.
Hinweis: Vor der Installation eines neuen DHCP-Servers muss geprüft werden, ob im Netz bereits andere DHCP-Server vorhanden sind, um einen eventuellen Konflikt zu vermeiden.
Eine automatische Konfiguration eines neuen DHCP-Servers kann nicht über DHCP vorgenommen werden, da ein Computer nicht gleichzeitig DHCP-Client und DHCP-Server sein kann.
Hinweis: Alle Einträge der Registrierung, die sich auf den DHCP Server beziehen, befinden sich unter dem Pfad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ DHCPserver\Parameters.
Mittels des Dienstprogramms DHCP-Manager können folgende grundlegenden Aufgaben ausgeführt werden:
- Einen oder mehrere DHCP-Bereiche anlegen, damit die DHCP-Dienste zur Verfügung stehen.
- Definieren der Eigenschaften des Bereichs, einschließlich der Nutzungsdauer und der IP-Adressen-Pools, die möglichen DHCP-Clients von Servern in diesem Bereich zugewiesen werden sollen.
- Festlegen von Standardwerten für Optionen wie Standard-Gateway, DNS-Server oder WINS-Server, die zusammen mit einer IP-Adresse zugewiesen werden sollen, und Hinzufügen von eigenen Optionen.
Ein DHCP-Bereich stellt eine Gruppe von Rechnern dar, die den DHCP-Client Dienst in einem Teilnetz ausführen. Der Bereich wird zum Definieren von Parametern für jedes Teilnetz verwendet. Jeder Bereich hat die folgenden Eigenschaften:
- Eine eindeutige Subnetz-Maske, die zum Ermitteln des Teilnetzes verwendet wird, das einer bestimmten IP-Adresse zugeordnet ist.
- Ein Bereichsname, der vom Administrator beim Erstellen des Bereichs zugewiesen wird.
- Werte für die Nutzungsdauer dynamischer Adressen, die den DHCP-Clients zugewiesen werden.
Jedes Teilnetz kann nur einen einzigen Bereich mit einem durchgehenden IP-Adressen-Pool haben; diese Adressen müssen für das Teilnetz gelten. Sollen in einem Teilnetz mehrere Adressenpools realisiert werden, wird ein durchgehender Bereich angelegt, der all diese Adressenpools umfasst, und dann werden die Adressen zwischen den gewünschten Pools ausgeschlossen. Falls mehr Adressen benötigt werden, kann der Bereich später immer noch ausgeweitet werden.
Die Konfigurationsparameter, die ein DHCP-Server einem Client zuweist, werden unter Verwendung des DHCP-Managers als DHCP-Optionen definiert. Die meisten Optionen sind auf der Grundlage der Standardparameter, die in den Internet-Standards RFC 1541 bzw. RFC 1542 festgelegt wurden, vordefiniert. Wird ein DHCP-Bereich konfiguriert, so können ihm Optionstypen zugewiesen werden, die alle Konfigurationsparameter regulieren.
Zusätzlich zu den IP-Adressinformationen müssen für jeden Bereich weitere DHCP-Optionen konfiguriert werden, die an DHCP-Clients zu übergeben sind. Diese Optionen können global für alle Bereiche, speziell für einzelne Bereiche oder für einzelne DHCP-Clients mit reservierten Adressen definiert werden. Aktive globale Optionen gelten, sofern sie nicht durch Bereichsoptionen oder DHCP-Client-Einstellungen außer Kraft gesetzt werden. Aktive Optionstypen für einen Bereich gelten für alle Computer in diesem Bereich, sofern sie nicht für einen einzelnen DHCP-Client außer Kraft gesetzt werden.
Hinweis: Eine Veränderung der voreingestellten Werte darf nur bei genauer Kenntnis der Auswirkungen dieser Änderungen erfolgen. Die zu verwendenden Werte sind im Rahmen einer spezifischen Sicherheitsanalyse festzulegen.
Für einen Client kann eine bestimmte IP-Adresse reserviert werden. Das ist in der Regel in den folgenden Fällen notwendig:
- für Domänencontroller, wenn das Netz auch mit LMHOSTS-Dateien arbeitet, die IP-Adressen für Domänencontroller definieren,
- für Clients, die mit IP-Adressen arbeiten, die zur TCP/IP-Konfiguration über ein anderes Verfahren zugewiesen wurden,
- zur Zuweisung durch RAS-Server an Clients, die nicht mit DHCP arbeiten,
- für DNS-Server.
Falls mehrere DHCP-Server Adressen im selben Bereich verteilen, müssen die Client-Reservierungen auf jedem DHCP-Server identisch sein, ansonsten erhält der reservierte Client - in Abhängigkeit vom antwortenden Server - unterschiedliche IP-Adressen.
Hinweis: Die IP-Adresse und der statische Name, die in WINS angegeben werden, haben Vorrang vor der IP-Adresse, die vom DHCP-Server zugewiesen wird. In diesen Fällen wird für den Client eine Client-Reservierung mit der IP-Adresse generiert, die in der WINS-Datenbank festgelegt ist.
Folgenden Dateien sind im Verzeichnis %SystemRoot%\SYSTEM32\DHCP gespeichert, das beim Einrichten eines DHCP-Servers angelegt wird:
- DHCP.MDB ist die DHCP-Datenbankdatei.
- DHCP.TMP ist eine temporäre Datei, die DHCP für temporäre Datenbankdaten anlegt.
- Die Dateien JET.LOG und JET*.LOG enthalten Protokolle mit sämtlichen Transaktionen, die mit der Datenbank ausgeführt wurden. Mit Hilfe dieser Dateien stellt DHCP eventuell verloren gegangene Daten bei Bedarf wieder her.
- SYSTEM.MDB wird von DHCP zum Ablegen der Daten über die Struktur seiner Datenbank genutzt.
Hinweis: Die Dateien DHCP.TMP, DHCP.MDB, JET.LOG und SYSTEM.MDB sollten weder gelöscht noch in irgendeiner Weise verändert werden, da dies zu Fehlfunktionen von DHCP führen kann. Zugriff auf diese Dateien darf nur den Administratoren gegeben werden, da sonst unkontrollierte Veränderungen der DHCP-Konfiguration möglich sind.
WINS (Windows Internet Name Service)
Über WINS können NetBIOS-Computer-Namen zu IP-Adressen zugeordnet werden. Die Installation eines WINS-Servers läuft als Teil der Installation von TCP/IP unter Windows NT Server ab. Damit die einzelnen Server besser verfügbar sind und die Arbeitslast gleichmäßig auf diese Server verteilt ist, sollten mehrere WINS-Server eingerichtet sein. Jeder WINS-Server muss dann so konfiguriert sein, dass er gleichzeitig als Reproduktionspartner für mindestens einen anderen WINS-Server fungiert.
Zur Konfiguration eines WINS-Servers gehört die Angabe von Informationen darüber, wann die Datenbankeinträge für die Partner reproduziert werden. Unter einem Pull-Partner ist ein WINS-Server zu verstehen, der sich Kopien der Datenbankeinträge von seinem Partner beschafft, indem er zuerst eine Anforderung ausgibt und die gewünschten Kopien dann annimmt. Ein Push-Partner ist ein WINS-Server, der seine Partner mit einer Aktualisierungsmeldung benachrichtigt, wenn sich in der WINS-Datenbank etwas geändert hat. Wenn sein Partner auf diese Mitteilung mit einer Reproduktionsanforderung reagiert, sendet der Push-Partner eine Kopie der aktuellen WINS-Datenbank an diesen Reproduktionspartner. Damit die Datenbanken auf dem primären WINS-Server und auf dem Backup-Server immer übereinstimmen,
müssen beide jeweils die Rolle des Push- bzw. des Pull-Partners übernehmen. Es ist ohnehin stets zweckmäßig für Reproduktionspartner, beide Rollen zu übernehmen, d. h. sowohl Push- als auch Pull-Partner zu sein.
Für jeden WINS-Server muss ein bestimmter Zeitpunkt, eine Zeitdauer oder eine bestimmte Anzahl von Datensätzen als Schwellwert festgelegt werden. Wird dieser Wert erreicht, so erfolgt die Datenbankreproduktion. Wird für die Reproduktion ein bestimmter Zeitpunkt festgelegt, so wird diese einmal durchgeführt. Ist dagegen eine Zeitdauer festgelegt, so wiederholt sich die Reproduktion in den jeweiligen Abständen. Diese können z. B. in einer geographischen Region im Bereich von 1/4 bis 1/2 Stunde liegen, während über größere Entfernungen auch Abstände von einigen Stunden gewählt werden können.
Hinweis: Alle Einträge der Registratur, die sich auf die Konfiguration des WINS-Servers beziehen, befinden sich unter dem Pfad:
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\WINS\Parameters.
WINS-Server verständigen sich untereinander, um eine vollständige Reproduktion ihrer Datenbanken zu erreichen und zu gewährleisten, dass ein in einem WINS-Server registrierter Name letztlich in allen anderen WINS-Servern des Netzverbundes reproduziert wird. Alle Zuordnungsänderungen werden innerhalb der so genannten Reproduktionsperiode (maximaler Zeitraum für die Weitergabe der Änderungen an alle WINS-Server) für das gesamte WINS-System gesammelt. Alle freigegebenen Namen werden, sobald sie entsprechend dem im WINS-Manager festgelegten Intervall veraltet sind, an alle WINS-Server weitergeleitet.
Die Reproduktion erfolgt unter den Reproduktionspartnern, und nicht zwischen einem Server und den jeweils anderen Servern. Letztendlich werden sämtliche Kopien von den anderen WINS-Servern in einem Netzverbund angefordert, aber die WINS-Server senden Startsignale aus, um darauf hinzuweisen, wann eine Reproduktion eingeleitet werden soll. Damit eine Reproduktion stattfinden kann, muss jeder WINS-Server der Push- oder Pull-Partner von mindestens einem weiteren WINS-Server sein.
Hinweis: Alle Einträge der Registratur, die sich auf die WINS-Reproduktion beziehen, befinden sich unter dem Pfad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\WINS\Partners.
Statische Zuordnungen sind feststehende Listen, in denen Rechnernamen IP-Adressen zugeordnet sind. Diese Zuordnungen lassen sich nicht anzweifeln oder löschen, es sei denn, der Administrator entfernt eine bestimmte Zuordnung. Über den Befehl "Statische Zuordnungen" im WINS-Manager können statische Zuordnungen für diejenigen Clients im Netz hinzugefügt, editiert, importiert oder gelöscht werden, auf denen der WINS-Dienst nicht aktiviert ist.
Hinweis: Ist auf dem Netz auch DHCP im Einsatz, setzt eine reservierte (oder statische) IP-Adresse alle Einstellungen des WINS-Servers außer Kraft.
Statische Zuordnungen sollten einem Computer nicht zugewiesen werden, wenn auf diesem Computer WINS aktiv ist.
Folgenden Dateien werden im Verzeichnis %SystemRoot%\SYSTEM32\WINS gespeichert. Dieses Verzeichnis wird automatisch bei der Konfiguration eines WINS-Servers erstellt.
- JET.LOG ist die Protokolldatei für alle Transaktionen, die in der Datenbank durchgeführt werden. WINS verwendet die Datei bei Bedarf zur Wiederherstellung der Daten.
- Mit Hilfe von SYSTEM.MDB hält WINS Informationen über die Struktur der Datenbank fest.
- WINS.MDB ist die WINS-Datenbankdatei.
- WINSTMP.MDB ist eine durch WINS erstellte temporäre Datei. Sie kann nach einem Systemausfall im Verzeichnis \WINS übrig bleiben.
Hinweis: Die Dateien JET.LOG, SYSTEM.MDB, WINS.MDB und WINSTMP.MDB sollten weder gelöscht noch in irgendeiner Form verändert werden, da dies zu Fehlfunktionen von DHCP führen kann. Zugriff auf diese Dateien darf nur den Administratoren gegeben werden, da sonst unkontrollierte Veränderungen der WINS-Konfiguration möglich sind.
SNMP (Simple Network Management Protocol)
SNMP dient zur Überwachung und Administration von TCP/IP-basierten Netzen. Der SNMP-Dienst wird installiert, wenn die entsprechende Option bei der Installation von Windows NT TCP/IP gewählt wird. Nach der Installation muss der SNMP-Dienst mit den gültigen Informationen konfiguriert werden, damit SNMP betriebsbereit ist.
Nur Mitglieder der Gruppe der Administratoren des lokalen Computers können SNMP konfigurieren. Bei der Konfiguration von SNMP werden Communities und Trap-Ziele bestimmt:
- Unter einer Community ist eine Gruppe von Hosts zu verstehen, zu der ein Server gehört, der den SNMP-Dienst ausführt. Es können eine oder mehrere Communities angegeben werden, an die das Windows NT System, auf dem SNMP installiert wird, Traps sendet. Der Name der Community wird beim Senden des Traps in das SNMP-Paket aufgenommen. Empfängt der SNMP-Dienst eine Anforderung, die nicht den richtigen Community-Namen enthält und nicht zu einem der akzeptierten Hosts für den Dienst passt, kann der SNMP-Dienst ein Trap an das (die) Trap-Ziel(e) senden, das darauf hinweist, dass die Echtheitsbestätigung der Anforderung fehlschlug.
- Trap-Ziele sind die Namen oder IP-Adressen von Hosts, an die der SNMP-Dienst Traps, d. h. Meldungen vordefinierter Ereignisse, mit dem ausgewählten Community-Namen senden soll.
Hinweis: SNMP sollte grundsätzlich so konfiguriert werden, dass es nur Anforderungen definierter Communities (und möglichst nicht der vordefinierten Community public) annimmt.
Die SNMP Sicherheit gestattet es, die Communities und Hosts festzulegen, von denen ein Computer Anforderungen entgegen nimmt. Ferner kann festgelegt werden, ob ein Echtheitsbestätigungs-Trap gesendet wird, wenn eine Community oder ein Host unberechtigterweise Informationen anfordern. Diese Festlegungen sind sorgfältig zu planen, und die Möglichkeit des Versendens von Traps ist zu nutzen. Die dabei entstehenden Protokolle sind regelmäßig auszuwerten.
Ergänzende Kontrollfragen:
- Sind nur die minimal erforderlichen Netzdienste installiert / aktiviert?