Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: M 2.67 Festlegung einer Sicherheitsstrategie für Peer-to-Peer-Dienste - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.67 Festlegung einer Sicherheitsstrategie für Peer-to-Peer-Dienste

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement

Bevor mit der eigentlichen Konfiguration und Installation von Peer-to-Peer-Diensten begonnen werden kann, müssen zuerst einige grundlegende Überlegungen angestellt werden:

Zunächst muss geklärt werden, welche Dienstleistung das jeweilige Betriebssystem erbringen und in welchem Rahmen es diesbezüglich eingesetzt werden soll. Insbesondere ist zu klären, ob überhaupt Peer-to-Peer-Funktionalitäten, d. h. die Freigabe von Ressourcen, wie Verzeichnisse oder Drucker, auf einem Arbeitsplatz-Computer, verwendet werden sollen.

Dies soll anhand einiger Beispiele veranschaulicht werden:

Hinweis:

Servergestützte Netze bieten wesentlich weitgehendere Sicherheitsfunktionalitäten als Peer-to-Peer-Netze. Darüber hinaus entstehen durch die Verwendung von Peer-to-Peer-Diensten in servergestützten Netzen zusätzliche Sicherheitsprobleme. Deshalb sollte bei servergestützten Netzen auf die Verwendung von Peer-to-Peer-Funktionalitäten verzichtet werden.

Sofern Peer-to-Peer-Dienste verwendet werden sollen, müssen anschließend diese Überlegungen in eine Sicherheitsstrategie übersetzt werden.

Dabei zeigt sich, dass je nach bereits vorhandener Systemumgebung und Organisationsstruktur sowie der vorzusehenden Restriktionen an die Peer-to-Peer-Funktionalitäten, ein mehr oder weniger großer Aufwand bei der Entwicklung einer dazu passenden Sicherheitsstrategie notwendig ist.

Es wird nachfolgend eine methodische Vorgehensweise aufgezeigt, mittels derer eine umfassende Sicherheitsstrategie für den Einsatz von Peer-to-Peer-Diensten entwickelt werden kann. Da jedoch Peer-to-Peer-Dienste in verschiedenen Konfigurationen eingesetzt werden können, ist für die jeweilige Ausprägung individuell zu entscheiden, welche der beschriebenen Schritte anzuwenden sind.

In der Sicherheitsstrategie sollte aufgezeigt werden, wie Peer-to-Peer-Dienste sicher installiert, administriert und betrieben werden. Nachfolgend werden die einzelnen Entwicklungsschritte einer solchen Strategie vorgestellt:

1. Definition der Peer-to-Peer-Netzstruktur

Eine Peer-to-Peer-Netzstruktur wird definiert durch die Festlegung,

fungieren sollen. Dabei ist darauf zu achten, dass die Kapazität der "Server" den jeweiligen Anforderungen hinsichtlich Geschwindigkeit und Plattenspeicherplatz genügt. Außerdem sollte auch die Anzahl der "Server" auf das notwendige Maß beschränkt werden. Darüber hinaus sollten keine Applikationen auf "Server" ausgelagert werden, bei denen ständig große Datenmengen über das Netz übertragen werden müssen, da dies zu Netzüberlastungen führen kann.

2. Regelung der Verantwortlichkeiten

Peer-to-Peer-Dienste sollten mittels eines geschulten Administrators nebst Stellvertreter sicher betrieben werden. Diese allein dürfen Sicherheitsparameter der Peer-to-Peer-Funktionalitäten verändern. Sie sind z. B. dafür zuständig, auf eventuellen "Applikationsservern" oder "Fileservern" den entsprechenden Verantwortlichen Administrationsrechte und -werkzeuge zur Verfügung zu stellen, damit diese die Freigabe der von anderen benötigten Verzeichnisse bzw. Anwendungen vornehmen können.

Auch in einem servergestützten Netz, in dem zusätzlich Peer-to-Peer-Funktionalitäten zugelassen werden sollen, müssen explizit Peer-to-Peer-Administratoren ernannt werden, die aber mit den Netzadministratoren identisch sein dürfen.

Die Verantwortlichkeiten der einzelnen Benutzer beim Einsatz von Peer-to-Peer-Diensten sind unter Schritt 7 dargestellt.

3. Einschränkung der Freigabemöglichkeiten

Windows für Workgroups:

Mit dem Administrationswerkzeug ADMINCFG.EXE für WfW können die folgenden Möglichkeiten für jeden WfW-Rechner einzeln zugelassen oder gesperrt werden:

Die Datei ADMINCFG.EXE gehört zwar zum Lieferumfang von WfW, wird aber nicht standardmäßig auf den Rechnern installiert. Eine Dokumentation erfolgt nur in den Anleitungen für Systemverwalter (siehe M 4.45 Einrichtung einer sicheren Peer-to-Peer-Umgebung unter WfW).

Es ist festzulegen, auf welchen Rechnern dieses Administrationswerkzeug installiert werden soll.

Dieses Programm verfügt über eine Passwortabfrage, mit der die eingestellte Konfiguration geschützt wird. Jeder, der Zugriff auf dieses Programm hat, kann versuchen, das Passwort der jeweiligen Konfigurationsdatei herauszufinden und dann die Freigabeoptionen zu ändern.

Sinnvollerweise sollte es daher nur dem Administrator und seinem Stellvertreter zur Verfügung gestellt werden. Darüber hinaus ist es unter WfW möglich, die Konfigurationsdateien zentral auf einem Server abzulegen, und zwar entweder für jeden Benutzer einzeln, für Gruppen oder für alle Benutzer gemeinsam. Weitere Informationen hierzu finden sich im WfW Resource Kit, Addendum for Operating System Version 3.11. Dies hat den Vorteil, Änderungen für mehrere WfW-Benutzer gleichzeitig vornehmen zu können, insbesondere wenn das Passwort der Konfigurationsdatei(en) geändert werden soll.

Hinweis: Eine durch ein Passwort geschützte Konfiguration bietet nur eingeschränkte Sicherheit, da sie einem vorsätzlichen Angriff kaum standhält. Die Einschränkung der WfW-Funktionalität beugt damit in erster Linie dem unbeabsichtigten Fehlverhalten der Benutzer vor.

Windows 95:

Die Möglichkeit zur Freigabe von Verzeichnissen bzw. Druckern lässt sich unter Windows 95 für einzelne Rechner und/oder Benutzer durch entsprechende Einträge in deren Profile einschränken (siehe auch M 4.58 Freigabe von Verzeichnissen unter Windows 95).

Windows NT/2000:

Unter Windows NT/2000 ist die Möglichkeit der Freigabe von Verzeichnissen auf Administratoren bzw. Hauptbenutzer eingeschränkt, so dass hier einem Missbrauch durch Endbenutzer vorgebeugt ist. Ob und ggf. welche Ressourcen freigegeben werden sollen, ist bei der Planung des Netzes im Detail fest-

zulegen (siehe M 2.94 Freigabe von Verzeichnissen unter Windows NT und M 4.149 Datei- und Freigabeberechtigungen unter Windows 2000/XP).

Unix bzw. Linux:

Auf IT-Systemen unter Unix oder Linux können Peer-to-Peer-Dienste durch eine Reihe von Mechanismen bereitgestellt werden. Die wichtigsten Beispiele sind NFS-Shares, SAMBA und durch den Daemon inetd bereitgestellte Dienste. Durch geeignete Rechtevergabe (siehe auch M 4.19 Restriktive Attributvergabe bei Unix-Systemdateien und -verzeichnissen) muss sichergestellt werden, dass Benutzer die systemweiten Konfigurationsdaten (beispielsweise /etc/inetd.conf) nicht modifizieren können. Anderenfalls besteht die Gefahr, dass Benutzer zusätzliche privilegierte Dienste aktivieren, wodurch Sicherheitslücken entstehen können (siehe auch M 5.72 Deaktivieren nicht benötigter Netzdienste).

Bestimmte Netzdienste können unter Unix bzw. Linux auch ohne Supervisor-Rechte gestartet werden, in der Regel jedoch mit eingeschränkter Funktionalität. Dies kann nur dadurch verhindert werden, dass dem Benutzer der Zugriff auf die entsprechenden Daemons verweigert wird. Auch auf Entwicklungswerkzeuge (z. B. Compiler) sollten Benutzer nur dann zugreifen können, wenn sie sie zwingend benötigen (siehe auch M 2.9 Nutzungsverbot nicht freigegebener Hard- und Software).

4. Festlegung einer Namenskonvention

Um eine Maskerade zu erschweren, sollten eindeutige Namen für die Rechner, Benutzergruppen und die Benutzer verwendet werden. Diese Namen sind allen Benutzern bekannt zu geben. Erfolgt nun eine Anmeldung unter einem Namen, den es nach der Konvention nicht geben kann, z. B. indem er einem bestehenden nur ähnlich ist, wird eine Maskerade offensichtlich. Eine Anmeldung unter einem bereits angemeldeten Rechnernamen wird von WfW abgewiesen, jedoch ist eine Maskerade unter einem zugelassenen Namen dann möglich, wenn der betreffende Anwender nicht angemeldet ist.

Unter Windows 95 ist durch die Systemrichtlinien sicherzustellen, dass die Benutzer weder Rechner- noch Benutzernamen selbstständig ändern können. Dazu sollte für Standardbenutzer der Zugriff auf die Systemsteuerungsoption Netzwerk deaktiviert werden.

Unter Windows NT/2000 sind nur die vom Administrator definierten Benutzer zugelassen und es können nur Administratoren den Rechnernamen ändern. Allerdings können Benutzer versuchen, sich über die Option Verbinden Als unter Netzlaufwerk verbinden unter anderem Benutzernamen anzumelden.

Zusätzlich können Namenskonventionen für die Freigabenamen von Verzeichnissen oder Druckern eingeführt werden. Sollen keine Rückschlüsse auf den Inhalt des Verzeichnisses möglich sein, sind entsprechende Pseudonyme zu verwenden. Soll eine unter Windows freigegebene Ressource nicht als solche erkennbar sein, ist dem Freigabenamen das Zeichen "$" anzuhängen. Letzteres empfiehlt sich immer dann, wenn Verzeichnisse nur zum bilateralen Austausch von Informationen zwischen zwei Anwendern freigegeben werden.

Bei korrekter Rechtevergabe können Benutzer von IT-Systemen unter Unix oder Linux weder die IP-Adresse noch den Rechnernamen ändern. Ähnlich wie unter Windows NT/2000 können sie jedoch bei der Anmeldung an einem anderen IT-System einen beliebigen Benutzernamen wählen.

5. Festlegung freizugebender Verzeichnisse bzw. Drucker und Vergabe der Zugriffsrechte

Für die "Applikationsserver" ist festzulegen, welche Verzeichnisse (z. B. das Post-Office-Verzeichnis AGPO unter dem WfW-Programm Mail) für den Betrieb freizugeben sind. Für die "Fileserver" sind diejenigen Verzeichnisse auszuwählen, die den Benutzern zur Verfügung gestellt werden sollen. Unter WfW und Windows 95 können beliebige Benutzer Ressourcen für den Netzzugriff freigeben, unter Windows NT/2000 ist dies nur den Administratoren bzw. Hauptbenutzern erlaubt.

Dabei muss zwischen zwei Zugriffsmodellen unterschieden werden:

WfW unterstützt nur das erste dieser Modelle, Windows NT/2000 (als Client) das zweite, während Windows 95 über die Registerkarte Zugriffssteuerung der Systemsteuerungsoption Netzwerk die Auswahl zwischen beiden Modellen gestattet.

Bei Verwendung der Sicherheit auf Freigabeebene sind für die freigegebenen Verzeichnisse Zugriffsrechte (Lese- oder Lese-/Schreibrecht) zu definieren und geeignete Passwörter auszuwählen.

Durch die gezielte Weitergabe dieser Passwörter an einzelne Benutzer werden nunmehr die Zugriffsrechte im Peer-to-Peer-Netz vergeben. Diese Passwörter sind nur soweit erforderlich bekannt zu geben, da die Rücknahme der Freigabe für eine einzelne Person nur durch einen aufwendigen Passwortwechsel für alle anderen noch berechtigten Benutzer vorgenommen werden kann.

Bei Verwendung der Sicherheit auf Benutzer-Ebene unter Windows NT/2000 und Windows 95 werden die Zugriffsrechte dagegen explizit einzelnen Benutzern und/oder Gruppen zugewiesen, so dass in diesem Fall die Eingabe von Passwörtern entfällt. Dies setzt die Einbindung der Clients in eine Arbeitsgruppe bzw. eine Domäne zusammen mit wenigstens einem Windows NT/2000-System voraus. Die Verwendung der Sicherheit auf Freigabeebene ist in diesem Fall zu vermeiden, da sie einen wesentlich geringeren Schutz bietet. Anschließend ist zu entscheiden, ob die Verzeichnisse automatisch beim Start des jeweiligen Servers freigegeben und ob sie automatisch beim Start des zugreifenden Rechners verbunden werden sollen.

Das zuvor Gesagte gilt analog für die Freigabe von Druckern.

Unter Unix oder Linux ist nicht nur festzulegen, welche Ressourcen (z. B. Verzeichnisse oder Drucker) im Netz zur Verfügung gestellt werden sollen, sondern auch, über welche Protokolle der Zugriff erfolgen soll. Dateien oder Verzeichnisse können unter Unix beispielsweise via FTP, NFS oder SAMBA für die gemeinsame Nutzung bereitgestellt werden. Letzteres erlaubt auch Windows-Systemen den Zugriff auf die Ressourcen, ohne dass dort zusätzliche Software-Komponenten installiert werden müssten. Gängige Methoden zur Bereitstellung von Druckdiensten unter Unix sind das LPR-Protokoll und SAMBA.

Unter Unix unterstützen alle gängigen Netzdienste eine benutzerspezifische Zugriffskontrolle. Diese sollte aktiviert und genutzt werden, sofern nicht alle Benutzer im Netz unbeschränkten Zugriff auf die Ressourcen haben sollen. Beim Einsatz von SAMBA sollte die Einstellung security=share auf jeden Fall vermieden werden (siehe auch M 5.82 Sicherer Einsatz von SAMBA).

6. Passwortwechselstrategie

Windows für Workgroups:

Im WfW-Netz werden eine Reihe von Passwörtern gebraucht: die Anmeldepasswörter, das Passwort für den Aufruf von ADMINCFG.EXE und die Passwörter für die verschiedenen Rechte freigegebener Verzeichnisse, Drucker und Ablagemappen. Die Anmeldepasswörter und das Passwort für den Aufruf von ADMINCFG.EXE sollten regelmäßig gewechselt werden (siehe auch M 2.11 Regelung des Passwortgebrauchs). Eine maximale Gültigkeitsdauer dieser Passwörter ist daher festzulegen. Damit auch der Wechsel des ADMINCFG.EXE-Passwortes einfach möglich ist, können die zugehörigen Konfigurationsdateien zentral auf einem Server hinterlegt werden. Da ein Wechsel der Freigabe-Passwörter mit erheblichem organisatorischen Aufwand (siehe Nr. 5) verbunden sein kann, ist vorab festzulegen, wie oft diese gewechselt und wie die neuen Passwörter den Betroffenen bekannt gegeben werden sollen.

Windows 95:

Unter Windows 95 hängt die Anzahl der zu verwendenden Passwörter davon ab, ob als Zugriffsmodell die Sicherheit auf Benutzer-Ebene oder die Sicherheit auf Freigabeebene verwendet wird. Im ersten Fall werden, analog zur Situation bei Windows NT/2000, nur die Anmeldepasswörter zu den Rechnern benötigt, die Ressourcen für den Netzzugriff freigegeben haben. Dagegen werden im zweiten Fall, ähnlich wie bei WfW, auch Passwörter für den Zugriff auf freigegebenen Ressourcen benötigt. Eigene Passwörter zur Verwaltung der Peer-to-Peer-Funktionalität entfallen, da diese hier über Benutzerprofile gesteuert wird.

Der Zugriffsschutz auf Benutzer-Ebene basiert auf den Benutzerlisten, die auf Windows NT/2000 oder Novell Netware Servern geführt werden, und kann daher auch nur in solchen Netzen realisiert werden. Dieses Zugriffsmodell bietet die größere Sicherheit und sollte daher vorzugsweise eingesetzt werden, wenn trotz einer Vernetzung über Windows NT/2000 oder Novell Netware Server Peer-to-Peer-Funktionalitäten eingesetzt werden sollen.

Windows NT/2000:

Unter Windows NT/2000 erfolgt die Verwaltung der Peer-to-Peer-Funktionalität unter der Kontrolle der allgemeinen Zugangs- und Zugriffskontrolle, so dass hier keine eigenen Passwörter für diese Verwaltungstätigkeiten erforderlich sind. Zur Verwaltung der Zugangspasswörter der betreffenden Benutzer sollten die Vorgaben der Maßnahme M 2.11 Regelung des Passwortgebrauchs berücksichtigt werden.

Unix bzw. Linux:

Werden Ressourcen unter Unix oder Linux über mehr als ein Protokoll im Netz zur Verfügung gestellt, so werden dabei u. U. unterschiedliche Passwort-Datenbanken verwendet (z. B. NIS, /etc/passwd und smb.passwd). Diese sollten entweder manuell oder mit Hilfe geeigneter Administrations-Tools synchronisiert werden. Inkonsistente Inhalte in den Passwort-Datenbanken führen möglicherweise zu Verwirrung bei den Benutzern und sollten daher vermieden werden.

7. Verantwortlichkeiten für Benutzer im Peer-to-Peer-Netz

Neben der Wahrnehmung der Peer-to-Peer-Managementaufgaben (siehe Nr. 2) müssen weitere Verantwortlichkeiten festgelegt werden. Es ist festzulegen, welche Verantwortung die einzelnen Benutzer der Peer-to-Peer-Dienste übernehmen müssen. Dies können zum Beispiel Verantwortlichkeiten sein für

8. Schulung

Abschließend muss festgelegt werden, welche Peer-to-Peer-Benutzer zu welchen Punkten geschult werden müssen. Erst nach ausreichender Schulung kann der Wirkbetrieb aufgenommen werden.

Die so entwickelte Sicherheitsstrategie ist zu dokumentieren und im erforderlichen Umfang den Benutzern der Peer-to-Peer-Dienste mitzuteilen.

Ergänzende Kontrollfragen: