M 2.283 Software-Pflege auf Routern und Switches
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Jeglicher Betrieb von Software macht es notwendig, Betriebssystem und Konfiguration regelmäßig zu überprüfen und zu pflegen. Router und Switches können hiervon nicht ausgenommen werden, um beispielsweise funktionale Erweiterungen zu ermöglichen, Softwarefehler zu beheben und Performance und Sicherheit zu verbessern.
Dabei ist zu beachten, dass in der Praxis zur Pflege des Betriebssystems bei Router und Switches oftmals ein kompletter Austausch der Betriebssystemsoftware erforderlich ist. Das Einspielen von Updates oder Patches ist in vielen Fällen nicht möglich. Wie bei allen Konfigurationsänderungen ist mit angemessener Sorgfalt vorzugehen, da eine unsachgemäße Durchführung Beeinträchtigungen der Funktion und der Sicherheit der Geräte zur Folge haben kann. Insofern gehört zur sorgfältigen Planung einer Änderung immer auch eine Fallback-Strategie.
Einspielen neuer Software
Bei der Vorbereitung von Updates sind folgende Punkte zu beachten:
- Es muss ein geeignetes Zeitfenster vorgesehen werden. Der benötigte Aufwand sollte nicht unterschätzt werden und vorsichtshalber eine ausreichende Down-Time eingeplant werden.
- Die vom Hersteller beigefügten Hinweistexte (Release Notes) des neuen Release sind sorgfältig zu lesen.
- Bei neuen Softwareversionen sind eventuell einzelne Features nicht mehr enthalten oder funktionieren nicht korrekt. Manchmal ändern sich auch Defaulteinstellungen.
- Neue Versionen eines Programmes und insbesondere eines Betriebssystems müssen vor der Inbetriebnahme sorgfältig getestet werden, um die volle Funktionalität sicher zu stellen.
- Neue Programme oder Betriebssysteme sind unter Umständen weniger performant, beispielsweise wegen zusätzlicher Features oder höherem Speicherbedarf. Dies kann zu Problemen führen, wenn ein Router oder Switch bereits vor dem Upgrade an der Auslastungsgrenze betrieben wurde.
Viele Hersteller bieten zur Planung der Erweiterung Konfigurationswerkzeuge an. Diese ermöglichen es, ausgehend vom benutzen Gerät eine Konfiguration zu planen und die benötigten Hardwarebestandteile wie Interfaces und Speicher auszuwählen.
Bei der Durchführung von Updates sollten folgende Schritte durchgeführt werden:
- Beschaffung des Updates aus vertrauenswürdiger Quelle. Normalerweise sollten Updates nur vom Hersteller bezogen werden. Falls der Hersteller für die Updates Prüfsummen zur Verfügung stellt oder die Update-Pakete digital signiert, so sollten die Prüfsummen oder Signaturen überprüft werden (siehe auch M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates und M 4.177 Sicherstellung der Integrität und Authentizität von Softwarepaketen).
- Überprüfung der Integrität und Funktion des Updates
- Trennung des Gerätes vom produktiven Netz oder Deaktivierung aller Schnittstellen
- Nach Möglichkeit Sicherung der bestehenden Konfiguration und des Betriebssystems
- Einspielen des Updates
- Test
- Re-Aktivierung des Gerätes im Netz
Änderung der Konfiguration
Konfigurationsänderungen können sowohl direkt am Gerät an der System-Konsole (online) als auch auf einem eigenen Management-Rechner mit einem entsprechenden Konfigurationsprogramm oder einem Texteditor (offline) vorgenommen werden. Beide Vorgehen haben Vor- und Nachteile, generell ist jedoch die Offline-Konfiguration zu bevorzugen.
Die Online-Konfiguration kann in der Regel nur wenig komfortabel und ohne Zuhilfenahme von Tools erfolgen, beispielsweise ist das Einfügen von Kommentaren nicht immer möglich. Dafür wird die Syntax zeitnah überprüft.
Wenn die Erstellung von Konfigurationsdateien offline durchgeführt wird, stehen in der Regel komfortablere Werkzeuge zur Verfügung und es können Kommentare eingefügt werden. Nachteil bei dieser Vorgehensweise ist, dass oftmals Passworte im Klartext in die Konfigurationsdateien eingetragen werden müssen. Da die Passworte in der Konfigurationsdatei - und damit auch der bei Übertragung über das Netz auf das Gerät, sofern keine verschlüsselte Verbindung verwendet wird - lesbar sind, sollten diese sofort nach dem Einspielen der Konfigurationsdatei geändert werden. Eine andere Möglichkeit besteht darin, Passworte online zu setzen und die Konfiguration anschließend inklusive der verschlüsselten Passworte auszulesen.
Um sicher zu stellen, dass bei einem Boot-Vorgang aus dem Speicher die aktuelle Konfiguration eingelesen wird, muss die geänderte Konfiguration gespeichert werden, nachdem sie in das Gerät geladen wurde.
Bei manchen Geräten können Konfigurationsdateien für eine zentrale Administration auch auf separaten Servern gehalten und von dort geladen werden. Dies kann sowohl manuell als auch automatisiert - beispielsweise beim Bootvorgang - geschehen. Änderungen können somit automatisiert an die Geräte verteilt werden. Das Laden beim Bootvorgang ist jedoch wegen der Möglichkeit zur mutwilligen Störung, seiner Fehleranfälligkeit und der entstehenden Netzlast nicht empfehlenswert und wird nur selten genutzt. Die Sicherung und Verwaltung der Konfigurationsdateien hingegen sollte über einen derartigen zentralen Server erfolgen.
In jedem Fall muss der Administrationsrechner, auf dem die Offline-Konfiguration vorgenommen wird beziehungsweise auf dem die Konfigurationsdaten gehalten werden, vor unbefugtem Zugriff besonders geschützt werden.
Ergänzende Kontrollfragen:
- Sind Sicherheitslücken eingesetzter Betriebssystemversionsstände bekannt?
- Werden veraltete Versionen verwendet?
- Wann wurde die letzte Aktualisierung durchgeführt?
- Wie findet die Informationsbeschaffung über Sicherheitslücken der eingesetzten Systeme statt?
- Wird vor der Konfigurationsänderung eine Sicherung durchgeführt?