Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.222 Festlegung geeigneter Einstellungen von Sicherheitsproxies - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.222 Festlegung geeigneter Einstellungen von Sicherheitsproxies

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

In dieser Maßnahme werden Empfehlungen zu Standardeinstellungen der wichtigsten Sicherheitsproxies zusammengestellt. Die vorgeschlagenen Einstellungen können allerdings die Funktionalität der betreffenden Inhalte einschränken (z. B. können eventuell Web-Seiten aufgrund des fehlenden JavaScript nicht mehr bedient werden) und müssen deshalb auf die eigenen Bedürfnisse angepasst werden.

HTTP

Die Filterung aktiver Inhalte in Webseiten ist ein zentraler Punkt bei der Sicherheit der Clients (siehe auch M 4.100 Sicherheitsgateways und aktive Inhalte). Für Clients mit hohem Schutzbedarf bezüglich der Vertraulichkeit sollten aktive Inhalte in Webseiten grundsätzlich ausgefiltert werden. Gegebenenfalls können in Einzelfällen für vertrauenswürdige Websites aktive Inhalte zugelassen werden (Whitelist Strategie). Die entsprechenden Whitelists dürfen aber nicht zu umfangreich werden und müssen regelmäßig überprüft und gepflegt werden.

Folgende weitergehende Einstellungen werden für HTTP-Proxies empfohlen:

HTTPS

Bezüglich der Filterung von Schadprogrammen sollte wie beim HTTP-Proxy verfahren werden.

Ein HTTPS-Proxy ist die zentrale Entscheidungsinstanz für die Akzeptanz von Zertifikaten und nimmt den Benutzern weitgehend die Kontrolle über die Zertifikate ab. Aus diesem Grunde sind die Einstellungen des HTTPS-Proxies bezüglich der Vorgehensweise bei "problematischen" Zertifikaten besonders wichtig. Die folgende Tabelle gibt Vorschläge zur Einstellung in verschiedenen Fällen:

 
Entscheidung  Vorschlag zur Einstellung 

Akzeptieren von Zertifikaten, die von einer Zertifizierungsstelle ausgestellt wurden.

 

Den in weit verbreiteten Browsern eingetragenen Zertifizierungsstellen kann vertraut werden. Dabei wird davon ausgegangen, dass die Vertrauenswürdigkeit der Zertifizierungsstellen durch den Hersteller der Browser überprüft wurde.

Trotzdem sollte regelmäßig geprüft werden, ob alle Zertifizierungsstellen noch vertrauenswürdig sind.

Gegebenenfalls können zusätzliche Zertifizierungsstellen hinzugefügt werden. Dies darf aber nur nach sorgfältiger Prüfung der Vertrauenswürdigkeit der Zertifizierungsstelle geschehen.

 

Akzeptieren von Zertifikaten, die nicht von einer Zertifizierungsstelle ausgestellt wurden ("self signed certificates").

 

Selbst erstellte Zertifikate dienen ausschließlich zur Verschlüsselung und bieten keine Funktionen zur Sicherstellung der Authentizität einer Web-Site.

Solche Zertifikate sollten nur in Ausnahmefällen nach einer expliziten Überprüfung akzeptiert werden.

 

Tunneln von Webseiten (d. h. bei diesen besteht Ende-zu-Ende-Verschlüsselung).

 

Beim Tunneln wird die Filterung auf Schadprogramme umgangen. Daher sollte Tunneln nur ausnahmsweise zugelassen werden, wenn zu der betreffenden Gegenseite ein besonders hohes Vertrauen besteht.

 

Akzeptieren von Zertifikaten, bei denen der "Common Name" des Zertifikats nicht mit der aufgerufenen URL übereinstimmt.

 

Stimmen der "Common Name" des Zertifikats und URL nicht überein, so ist dies prinzipiell ein Indiz für eine Manipulation.

Solche Zertifikate sollten prinzipiell nicht akzeptiert werden.

 

Akzeptieren von Zertifikaten trotz abgelaufenen Gültigkeitszeitraums.

 

Vertrauenswürdige Web-Sites sind gut betreut und besitzen immer ein gültiges Zertifikat.

Zertifikate mit abgelaufenen Gültigkeitszeitraum sollten daher prinzipiell nicht akzeptiert werden.

 

Tabelle: Vorschläge zur Einstellung

SMTP

Auch im Zusammenhang mit SMTP (d. h. dem Dienst E-Mail) sollte M 4.100 Sicherheitsgateways und aktive Inhalte beachtet werden.

In verschiedene Sicherheitsproxies sind Spam-Filter integriert. Allerdings reichen die Fähigkeiten dieser Filter oft nicht an die Funktionalität dedizierter Spam-Filter (d. h. eigenständiger Komponenten) heran. Die Integration eines dedizierten Spam-Filters in das Sicherheitsgateway ermöglicht somit oft eine effektivere Filterung von E-Mails.

Derzeit existieren keine Verfahren, die "nützliche" E-Mails von Spam-Mails sicher unterscheiden können. Der Einsatz eines Spam-Mail-Filters ist deshalb nur dann zu empfehlen, wenn die Liste der verworfenen E-Mails ständig (in der Regel täglich) von einem Mitarbeiter nach versehentlich verworfenen E-Mails ("false positives") durchsucht wird.

Vorschläge zu Konfiguration und Betrieb des Spam-Filters:

Wird kein Spam-Filter in das Sicherheitsgateway integriert, so sollten die Mitarbeiter beim sicheren Umgang mit Spam-Mails geschult werden. Hinweise an die Mitarbeiter könnten sein:

Filterung von Dateianhängen

Folgende Dateianhänge werden in den meisten Arbeitsumgebungen nicht benötigt und könnten gefiltert werden (geordnet nach der Art der Bedrohung):

Zugriff auf das gesamte System:

Ausführung beliebiger Anwendungen:

Weitere Probleme:

Diese Liste ist zwangsläufig unvollständig. Es existieren viele weitere Dateitypen, mit denen ein Endgerät kompromittiert werden kann, die teilweise für Arbeitsvorgänge unbedingt benötigt werden (z. B. .html, .xls, .pdf). Das Filtern von Dateien alleine anhand von Dateiendungen oder MIME-Typen kann alleine keine ausreichende Sicherheit erzeugen, da Dateien mit Schadprogrammen oft mit unbedenklichen Endungen versehen und trotzdem ausgeführt werden.

Telnet

Telnet sollte nur noch in Ausnahmefällen verwendet und nach Möglichkeit durch ein sichereres Protokoll wie beispielsweise SSH ersetzt werden. Muss Telnet aus zwingenden Gründen trotzdem noch eingesetzt werden, so müssen mit Hilfe des ALG oder der Paketfilter die erlaubten Verbindungen auf ein Minimum beschränkt werden.

FTP

FTP sollte wie Telnet ebenfalls nur noch in Ausnahmefällen verwendet und die erlaubten Verbindungen müssen ebenfalls mit entsprechenden Filterregeln oder Acess-Control-Lists auf ein Minimum beschränkt werden.

Folgende Protokollbefehle sollten gefiltert werden:

POP3

Bei POP3 sollte M 4.100 Sicherheitsgateways und aktive Inhalte beachtet werden.

Ergänzende Kontrollfragen: