M 4.80 Sichere Zugriffsmechanismen bei Fernadministration
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Einige aktive Netzkomponenten können über einen Netzzugriff fernadministriert oder überwacht werden. Der Zugriff erfolgt entweder über verbindungsorientierte oder verbindungslose Protokolle. Hierzu gehören:
- Protokolle zur reinen Datenübertragung, beispielsweise um neue Firmware-Versionen oder Konfigurationsdateien zu übertragen, z. B. FTP, TFTP (von letzterem wird prinzipiell abgeraten) oder RCP (siehe auch M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten),
- Protokolle zur interaktiven Kommunikation, z. B. SSH,
- Protokolle für das Netzmanagement, z. B. SNMP oder CMIP.
Bei allen Zugriffsarten ist dafür Sorge zu tragen, dass kein unautorisierter Zugriff erfolgen kann.
Hierzu sind die Standardpasswörter bzw. Community-Namen der Netzkomponenten gegen sichere Passwörter bzw. Community-Namen auszutauschen (siehe M 4.82 Sichere Konfiguration der aktiven Netzkomponenten). Die Kopplung von Community-Namen und Passwort betrifft bei vielen aktiven Netzkomponenten die Protokolle FTP, Telnet, SNMP und CMIP. Einige Komponenten bieten auch die Möglichkeit, den Zugriff auf der Basis von MAC- oder IP-Adressen zu beschränken. Soweit möglich, sollte diese Option genutzt werden, um den Zugriff nur von dedizierten Managementstationen aus zu gestatten.
Protokolle zur Datenübertragung (TFTP, FTP, RCP) sollten nur von der Netzkomponente selbst initiiert werden können. Dies trifft insbesondere für nicht authentisierende Protokolle wie TFTP zu. Für interaktive Kommunikationsprotokolle (Telnet) sollte die Auto-Logout-Option der Netzkomponente aktiviert werden.
Bei den meisten der genannten Protokolle ist zu beachten, dass die Übertragung der Passwörter bzw. Community-Namen im Klartext erfolgt, also prinzipiell abgehört werden kann (siehe hierzu M 5.61 Geeignete physikalische Segmentierung und M 5.62 Geeignete logische Segmentierung)
Beispiel: Die bei SNMP standardmäßig voreingestellten Community-Namen "public" und "private" sollten gegen andere Namen ausgetauscht werden.
Prüffragen:
-
Ist bei allen Zugriffsarten der Fernadministration dafür gesorgt, dass kein Zugriff von Unberechtigten erfolgen kann?
-
Bei Verwendung von Komponenten, bei denen der Zugriff auf MAC oder IPAdressen beschränkt werden kann: Wird der Zugriff nur von dedizierten Managementstationen gestattet?
-
Können Protokolle zur Datenübertragung nur von den Netzkomponenten selbst initiiert werden?