Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.15 Absicherung externer Remote-Zugänge - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.15 Absicherung externer Remote-Zugänge

Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Als externer Remote-Zugang wird hierbei jeder Zugriff über den Wartungseingang der TK-Anlage via öffentliche Vermittlungssysteme angesehen. Dies kann entweder dadurch notwendig werden, dass die einzelnen Anlagen des Verbundes nicht oder nicht nur (siehe Anmerkung) über Standleitungen verbunden sind oder dass auf eine schnelle Unterstützung des Herstellers in Notfällen nicht verzichtet werden kann. In diesen Fällen muss der Wartungsport (Modem) die volle Amtsberechtigung besitzen.

Die nachfolgende Abbildung stellt ein typisches Szenario eines externen Remote-Zugangs zu einem Fernadministrationsport via Modem dar. Die TK-Anlage wird vom externen Wartungsplatz aus über Modem 1 - öffentliches Netz - PBX - Modem 2 - V.24-Wartungsschnittstelle administriert.

Abbildung: Aufbau einer externen Fernadministration über Modem

Aus Sicherheitsgründen ist es sinnvoll, auf externe Fernwartung zu verzichten. Ist dies nicht möglich, so sind - neben den Maßnahmen für interne Remote Zugänge - zusätzliche Sicherungsmaßnahmen unumgänglich.

-----

Anmerkung: Einige Anlagen bieten die Möglichkeit, nur die Grundverkehrslast über Standleitungen abzuwickeln und Lastspitzen automatisch über das öffentliche Netz zu routen. Dieser Vorgang wird dem Benutzer nicht signalisiert.

PC-Gateway (siehe Anmerkung)

Zwischen Wartungsport und Modem sollte ein PC-Gateway geschaltet werden. Dieser muss die folgenden Sicherheitsfunktionen realisieren:

Darüber hinaus können noch weitere Funktionalitäten implementiert werden:

Physikalische Abschaltung des Fernwartungszuganges

Sollte im Normalfall keine Fernwartung benötigt und nur im Bedarfsfall eine solche ermöglicht werden, so empfiehlt sich die physikalische Abschaltung des Zuganges. Im Bedarfsfall kann dieser, eventuell nach telefonischer Rücksprache mit dem Hersteller oder der Wartungsfirma, kurzfristig aktiviert werden.

Geschlossene Benutzergruppen (Closed User Group, CUG)

In öffentlichen ISDN- und X.25-Netzen wird das Leistungsmerkmal der Bildung von CUG angeboten. Auf diese Weise wird für einen Benutzer vom Netzbetreiber ein virtuelles "Netz-im-Netz" zur Verfügung gestellt. Die geschlossenen Benutzergruppen können beim Netzbetreiber gegen entsprechende Entgelte beantragt werden.

Alternativ kann überlegt werden, die geschlossenen Benutzergruppen durch Nutzung der ISDN-Hilfsdienste Calling Line Identification and Presentation (CLIP) und Connected Line Identification and Presentation (COLP) selbst zu realisieren. Dies kann, wenn möglich, durch entsprechende Konfiguration der eigenen TK-Anlage oder aber durch entsprechende Auslegung eines PC-Gateways geschehen.

-----

Anmerkung: Diese Maßnahme sollte auch bei interner Fernwartung über virtuelle private Netze angewandt werden.

Vermeidung bzw. Kontrolle direkter Einwahlmöglichkeiten (Dial-In)

Eine direkte Einwahlmöglichkeit, z. B. aus anderen Netzen über Nachwahl im Mehrfrequenzwahlverfahren, in die TK-Anlage sollte nach Möglichkeit unterbunden werden. Solche Verfahren werden oft für den Zugang zu Serverdiensten genutzt. Sollte ein Unterbinden aus betrieblichen Gründen nicht vermeidbar sein, so empfiehlt sich das vollständige Aktivieren der möglichen Schutzmechanismen und eine regelmäßige Kontrolle auf möglichen Missbrauch.

Ergänzende Kontrollfragen: