M 5.147 Absicherung der Kommunikation mit Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT, Administrator

Der Datenaustausch zwischen Client und Verzeichnisdienst-Server erfolgt über Netzverbindungen. Je nach Verzeichnisdienst-System und Netzstruktur werden die Kommunikationspakete, die neben Verzeichnisinhalten unter Umständen auch Authentisierungsinformationen enthalten können, ungeschützt übertragen.

Dabei können abhängig vom installiertem Betriebssystem unterschiedliche Netzprotokolle zum Einsatz kommen. In aller Regel erfolgt der Zugriff auf Verzeichnisdienste über das standardisierte Protokoll LDAP, kann aber auch über proprietäre Protokolle geschehen. Der Transport der Daten erfolgt dabei für LDAP ausschließlich über IP-Netze.

Die Benutzer-Authentisierung kann dabei nach Verfahren erfolgen, die keine Authentisierungsdaten direkt über das Netz transportieren. Die Kommunikation zwischen Client und Server wird jedoch nicht grundsätzlich verschlüsselt. Es ist auch die Angelegenheit des eingesetzten Clients, die Verschlüsselung der Kommunikation sicherzustellen.

Soll von außen auf einen Verzeichnisdienst-Server zugegriffen werden, so ist eine entsprechende Absicherung der Kommunikationsverbindung zwischen Client und Server zu realisieren, die die Vertraulichkeit der übertragenen Daten hinreichend schützt. Dies kann z. B. durch Verwendung eines Virtuellen Privaten Netzes (VPN) erreicht werden.

Administratoren haben oft die Möglichkeit, über einen Fernzugang auf das Verzeichnisdienst-System zuzugreifen. Beispiele sind Terminalservices oder Web-basierte Dienste, mit denen über einen Browser auf Daten des Systems zugegriffen werden kann.

Da die im Fernzugriff verfügbaren Daten wesentliche Einblicke in den Aufbau und die Konfiguration einer Verzeichnisdienst-Installation geben, muss auch dieser indirekte Zugang zum Verzeichnisdienst abgesichert werden. Protokolle, die keine ausreichenden Sicherheitseigenschaften mitbringen, sollten - wenn überhaupt - nur innerhalb gesicherter Netze verwendet werden. Wenn auf den Verzeichnisdienst per HTTP zugegriffen werden kann, muss eine Authentisierung von allen Benutzern erzwungen werden, anonyme Zugriffe dürfen über diesen Weg nicht erlaubt werden. Die Übertragung der Authentisierungsdaten sollte außerdem durch TLS/SSL geschützt werden (siehe M 4.310 Einrichtung des LDAP-Zugriffs auf Verzeichnisdienste).

Prüffragen: