Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.80 Sichere Zugriffsmechanismen bei Fernadministration - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.80 Sichere Zugriffsmechanismen bei Fernadministration

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Einige aktive Netzkomponenten können über einen Netzzugriff fernadministriert oder überwacht werden. Der Zugriff erfolgt entweder über verbindungsorientierte oder verbindungslose Protokolle. Hierzu gehören:

Bei allen Zugriffsarten ist dafür Sorge zu tragen, dass kein unautorisierter Zugriff erfolgen kann.

Hierzu sind die Standardpasswörter bzw. Community-Namen der Netzkomponenten gegen sichere Passwörter bzw. Community-Namen auszutauschen (siehe M 4.82 Sichere Konfiguration der aktiven Netzkomponenten). Die Kopplung von Community-Namen und Passwort betrifft bei vielen aktiven Netzkomponenten die Protokolle FTP, Telnet, SNMP und CMIP. Einige Komponenten bieten auch die Möglichkeit, den Zugriff auf der Basis von MAC- oder IP-Adressen zu beschränken. Soweit möglich, sollte diese Option genutzt werden, um den Zugriff nur von dedizierten Managementstationen aus zu gestatten.

Protokolle zur Datenübertragung (TFTP, FTP, RCP) sollten nur von der Netzkomponente selbst initiiert werden können. Dies trifft insbesondere für nicht authentisierende Protokolle wie TFTP zu. Für interaktive Kommunikationsprotokolle (Telnet) sollte die Auto-Logout-Option der Netzkomponente aktiviert werden.

Bei den meisten der genannten Protokollen ist zu beachten, dass die Übertragung der Passwörter bzw. Community-Namen im Klartext erfolgt, also prinzipiell abgehört werden kann (siehe hierzu M 5.61 Geeignete physikalische Segmentierung und M 5.62 Geeignete logische Segmentierung)

Beispiel: Die bei SNMP standardmäßig voreingestellten Community-Namen "public" und "private" sollten gegen andere Namen ausgetauscht werden.

Ergänzende Kontrollfragen: