M 5.14 Absicherung interner Remote-Zugänge von TK-Anlagen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, TK-Anlagen-Verantwortlicher

Verantwortlich für Umsetzung: Administrator

TK-Anlagen verfügen oft über Fernwartungszugänge für Managementfunktionen. Diese Zugänge können für Administrations- und Wartungstätigkeiten sowie für sonstige Management-Aufgaben, wie die Alarmsignalisierung und -bearbeitung, genutzt werden. Solche Remote-Zugänge sind besonders bei komplexen TK-Anlagen nützlich und teilweise unverzichtbar.

Oft kann der Remote-Zugang über folgende Techniken genutzt werden:

Die Benutzung von Remote-Zugängen sollte so weit wie möglich eingeschränkt werden. Des Weiterem sollten alle Zugriffe und alle Aktivitäten während einer Administrationssitzung protokolliert werden können.

Grundsätzlich lässt sich zwischen

unterscheiden.

Beim internen Remote-Zugang wird die Absicherung einer Fernwartung innerhalb eines TK-Anlagenverbundes betrachtet. Unter Anlagenverbund wird hierbei eine aus mehreren separaten Anlagenteilen bestehende Gesamtanlage verstanden, die über ein eigenes Leitungsnetz miteinander verbunden ist. Sollte diese Verbindung über öffentliche Vermittlungseinrichtungen geführt sein, so sind zusätzlich die unter M 5.15 Absicherung externer Remote-Zugänge von TK-Anlagen beschriebenen Maßnahmen zu realisieren. Bei Vernetzung über geschlossene Benutzergruppen innerhalb öffentlicher Netze oder über virtuelle private Netze (VPN) sollten die Maßnahmen für interne Remote Zugänge und nach Möglichkeit die mit * gekennzeichneten Punkte aus den Maßnahmen für externe Remote-Zugänge umgesetzt werden.

Der wichtigste Aspekt bei der Absicherung des internen Remote-Zuganges ist der, Eindringversuche aus externen Netzen wirksam zu unterbinden und gegebenenfalls auch erkennen zu können. Des weiteren sollten die Zugänge aus dem eigenen Netz auf die berechtigten Stellen und Personen eingeschränkt werden können. Je nach Art der Zugangstechnik existieren hierfür unterschiedliche Methoden.

Absicherung eines internen Remote-Zugangs über IP-Netze

Wird die TK-Anlagen an ein IP-Netz angeschlossen, zum Beispiel damit sie konfiguriert und überwacht werden kann, gelten für sie ähnliche Empfehlungen wie für klassische IT-Systeme, darunter Server und Clients. Analog zu diesen IT-Systemen ist die Fernwartung zu schützen (siehe M 1.1 Einhaltung einschlägiger Normen und Vorschriften).

Die TK-Anlage muss so konfiguriert werden, dass sich nur berechtigte Administratoren nach einer geeigneten Authentisierung an der TK-Anlage anmelden können. Hierfür ist ein entsprechendes Authentisierungsverfahren auszuwählen (siehe M 4.133 Geeignete Auswahl von Authentikationsmechanismen). Wenn möglich, sollte die TK-Anlage so konfiguriert werden, dass nur berechtige IT-Systeme auf sie zugreifen dürfen, beispielsweise durch ein getrenntes Konfigurationsnetz oder Paket-Filter (siehe M 4.98 Kommunikation durch Paketfilter auf Minimum beschränken und M 4.238 Einsatz eines lokalen Paketfilters).

Damit die übertragenen Informationen zwischen den IT-Systemen der Administratoren und der TK-Anlage nicht abgehört werden können, sollten die übertragenen Informationen verschlüsselt werden (siehe M 5.68 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation).

Im Weiterem muss geprüft werden, ob die TK-Anlage in das Sicherheitskonzept gegen Schadprogramme aufgenommen werden sollte.

Absicherung eines internen Remote-Zugangs via Modem

Die nachfolgende Abbildung stellt ein typisches Szenario eines internen Remote-Zugangs dar, der über einen Fernadministrationsport via Modem angesprochen wird. Die TK-Anlage PBX 1 wird vom Wartungsplatz aus direkt über die V.24-Wartungsschnittstelle administriert. Die TK-Anlage PBX 2 wird vom Wartungsplatz aus über Modem 1 - PBX 1 - PBX 2 - Modem 2 - V.24-Wartungsschnittstelle administriert.

Abbildung: Aufbau einer Fernadministration via Modem

Abbildung: Aufbau einer Fernadministration via Modem

In einem solchem Fall können folgende Maßnahmen zur Abschottung gegenüber Zugängen aus externen Netzen ergriffen werden:

Um sicherzustellen, dass nur die berechtigten Stellen innerhalb des eigenen Netzes auf die Remote-Zugänge zugreifen können, müssen folgende Maßnahmen umgesetzt werden:

Um sicherzustellen, dass nur die berechtigten Personen innerhalb des eigenen Netzes auf die Remote-Zugänge zugreifen können, müssen folgende Maßnahmen umgesetzt werden:

Absicherung eines internen Remote-Zugriffes via ISDN-Vernetzung

Der Remote-Zugriff auf eine TK-Anlage kann auch über ISDN erfolgen. Zu diesem Zweck sind die PCs mit Managementaufgaben mit ISDN-Karten auszurüsten. Um den Zugang abzusichern, sollte eine geschlossene Benutzergruppe durch die Auswertung der Rufnummer des Management-PCs gebildet werden (CLIP: Calling Line Identification and Presentation). In vielen TK-Anlagen ist diese Beschränkung des Remote-Zugangs auf eine Telefonnummer eingebaut.

Absicherung direkter Systemzugänge (Direct Inward System Access, DISA)

Direkte Systemzugänge sollten nach Möglichkeit gesperrt werden. Ist dies nicht möglich, so sollten die Berechtigungen so gesetzt werden, dass der direkte Systemzugang nur über einen dedizierten Port erfolgen kann. Auf diese Weise wird es möglich, den DISA-Zugang über ein Gateway zu führen. Ein Beispiel einer solchen Absicherung ist in der folgenden Abbildung dargestellt:

Abbildung: Absicherung eines direkten Systemzuganges

Abbildung: Absicherung eines direkten Systemzuganges

Einrichtung und Unterbringung eines Netzmanagement-Zentrums

Der Vorteil eines zentralen Netzmanagements ist, neben einer komfortablen Abwicklungsmöglichkeit der Systemadministration, dass für die alltäglichen Administrationsarbeiten kein physischer Zutritt zu den TK-Anlagen mehr notwendig ist.

Sollte die Einrichtung eines zentralen Netzmanagements erwogen werden, so ist dies in einem gesicherten Bereich unterzubringen. Der Zutritt zu diesem Zentrum ist durch organisatorische Maßnahmen zu regeln. Entsprechende Vorgaben können dem Baustein B 2.4 Serverraum entnommen werden. Die Managementrechner, von welchem die Arbeiten durchgeführt werden können, sollten auch mit geeigneten Maßnahmen abgesichert werden. Beispiele finden sich in B 3.209 Client unter Windows XP und B 3.204 Client unter Unix.

Prüffragen: