Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.14 Absicherung interner Remote-Zugänge - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.14 Absicherung interner Remote-Zugänge

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Die Remote-Zugänge bei TK-Anlagen werden für Fernwartungs-, Fernadministrations- und Netzmanagement-Aufgaben genutzt. Ferner können noch Remote-Zugänge für die Anlagennutzer (Dial-In-Optionen) existieren.

Grundsätzlich lässt sich zwischen

unterscheiden.

Beim internen Remote-Zugang wird die Absicherung einer Fernwartung innerhalb eines TK-Anlagenverbundes betrachtet. Unter Anlagenverbund wird hierbei eine aus mehreren separaten Anlagenteilen bestehende Gesamtanlage verstanden, welche über ein eigenes Leitungsnetz miteinander verbunden ist. Sollte diese Verbindung über öffentliche Vermittlungseinrichtungen geführt sein, so sind zusätzlich die unter M 5.15 Absicherung externer Remote-Zugänge beschriebenen Maßnahmen zu realisieren. Bei Vernetzung über geschlossene Benutzergruppen innerhalb öffentlicher Netze oder über virtuelle private Netze (VPN) sollten die Maßnahmen für interne Remote Zugänge und nach Möglichkeit die mit * gekennzeichneten Punkte aus den Maßnahmen für externe Remote-Zugänge umgesetzt werden.

Der wichtigste Aspekt bei der Absicherung des internen "Remote-Zuganges" ist der, Eindringversuche aus externen Netzen wirksam zu unterbinden und gegebenenfalls auch erkennen zu können. Des weiteren sollen die Zugänge aus dem eigenen Netz auf die berechtigten Stellen und Personen eingeschränkt werden können. Je nach Art der Zugangstechnik existieren hierfür unterschiedliche Methoden.

Absicherung eines internen Remote-Zuganges via Modem

Die nachfolgende Abbildung stellt ein typisches Szenario eines internen Remote-Zugangs zu einem Fernadministrationsport via Modem dar. Die TK-Anlage PBX 1 wird vom Wartungsplatz aus direkt über die V.24-Wartungsschnittstelle administriert. Die TK-Anlage PBX 2 wird vom Wartungsplatz aus über Modem 1 - PBX 1 - PBX 2 - Modem 2 - V.24-Wartungsschnittstelle administiert.

Aufbau einer Fernadministration via Modem

Abbildung: Aufbau einer Fernadministration via Modem

In einem solchem Fall können folgende Maßnahmen zur Abschottung gegenüber Zugängen aus externen Netzen ergriffen werden:

Um sicherzustellen, dass nur die berechtigten Stellen innerhalb des eigenen Netzes auf die Remote-Zugänge zugreifen können, müssen folgende Maßnahmen umgesetzt werden:

Um sicherzustellen, dass nur die berechtigten Personen innerhalb des eigenen Netzes auf die Remote-Zugänge zugreifen können, müssen folgende Maßnahmen umgesetzt werden:

Absicherung eines internen Remote-Zugriffes via ISDN-Vernetzung

Aus Pratikabilitätsgründen bietet es sich teilweise an, die PCs mit Netzmanagement-Aufgaben mit ISDN-Karten auszurüsten. In einem solchen Fall sollte eine geschlossene Benutzergruppe gebildet werden. Hierzu kann die Rufnummer des rufenden Teilnehmers genutzt werden (Calling Line Identification and Presentation, CLIP). Dies könnte vom Endgerät selbst unter Zuhilfenahme der vom Netz zur Verfügung gestellten Rufnummer des anrufenden Gerätes (CLIP) realisiert werden.

Absicherung direkter Systemzugänge (Direct Inward System Access, DISA)

Direkte Systemzugänge sollten nach Möglichkeit gesperrt werden. Ist dies nicht möglich, so sollten die Berechtigungen so gesetzt werden, dass der direkte Systemzugang nur über einen dedizierten Port erfolgen kann. Auf diese Weise wird es möglich, den DISA-Zugang über ein Gateway zu führen. Ein Beispiel einer solchen Absicherung ist in der folgenden Abbildung dargestellt:

Absicherung eines direkten Systemzuganges

Abbildung: Absicherung eines direkten Systemzuganges

Einrichtung und Unterbringung eines Netzmanagementzentrums

Der Vorteil eines zentralen Netzmanagementes ist, neben einer komfortablen Abwicklungsmöglichkeit der Systemadministration, dass für die alltäglichen Administrationsarbeiten kein physikalischer Zutritt zu den TK-Anlagen mehr notwendig ist.

Sollte die Einrichtung eines zentralen Netzmanagementes erwogen werden, so ist dies in einem gesicherten Bereich unterzubringen. Der Zutritt zu diesem Zentrum ist durch organisatorische Maßnahmen zu regeln. Entsprechende Vorgaben können dem Baustein B 2.4 Serverraum entnommen werden. Die Managementrechner, von welchem die Arbeiten durchgeführt werden können, sollten auch mit geeigneten Maßnahmen abgesichert werden. Beispiele finden sich in B 3.209 Client unter Windows XP und B 3.204 Client unter Unix.

Protokollierung von Wartungsmaßnahmen

Die momentane Anlagenkonfiguration, d. h. vergebene Rufnummern und Berechtigungen, aktivierte und deaktivierte Leistungsmerkmale, eingerichtete Heranholgruppen etc., muss jederzeit nachvollziehbar sein. Hierzu ist es notwendig, vorgenommene Veränderungen zu protokollieren. Eine elegante Methode ist die Zwangsprotokollierung mit Hilfe eines PC-Gateways.

Ergänzende Kontrollfragen: