B 5.9 Novell eDirectory

Beschreibung
Novell eDirectory ist ein komplexes und vielseitiges Produkt, welches
- einerseits innerhalb eines Behörden- oder Unternehmensnetzes das Management der eingebundenen Ressourcen und deren Benutzer plattformübergreifend übernehmen kann und
- andererseits auch als Internet-Informationsbasis mit gesicherten und standardisierten Zugriffsmöglichkeiten via geeigneter Clients einsetzbar ist.
Diese beiden Szenarien ergeben völlig unterschiedliche Gefährdungen für den Einsatz und den Betrieb eines solchen Systems. Vor allem eine Kombination dieser Einsatzszenarien stellt vom Standpunkt der Informationssicherheit eine Herausforderung dar.
Entsprechend muss für die Sicherheit der in einem eDirectory-Verzeichnis gespeicherten Daten stets auch die Sicherheit des zugrunde liegenden Betriebssystems mit berücksichtigt werden. Letzteres ist jedoch nicht Bestandteil dieses Bausteins und es wird deshalb auf die entsprechenden Beschreibungen zum sicheren Betrieb des genutzten Betriebssystems in den Bausteinen der Schicht 3 verwiesen. Ebenso muss eine Grundabsicherung des Novell eDirectory als Verzeichnisdienst vorgenommen werden. Hierbei ist in jedem Fall der Baustein B 5.15 Allgemeiner Verzeichnisdienst zusätzlich zu diesem Baustein anzuwenden.
eDirectory ist aus dem Verzeichnisdienst Novell Directory Services (NDS) hervorgegangen, das Bestandteil des Betriebssystems Netware 4 war. Dies war seinerzeit die herausragende Neuerung gegenüber dem Betriebssystem Netware 3. Inzwischen positioniert Novell diese Verzeichnisdienste als eigenständiges Produkt eDirectory vollständig unabhängig vom Netware-Betriebssystem. eDirectory lässt sich dabei auf einer Vielzahl von Betriebssystemen installieren und betreiben. In der Literatur und in den Quellen wird jedoch häufig weiterhin von "den Novell Directory Services" gesprochen und NDS mit eDirectory synonym gesetzt.
In diesem Baustein wird speziell die eDirectory-Version 8.6 betrachtet, und zwar die englische Version. Die Software unterstützt die Plattformen Netware, Windows NT/2000, Linux sowie Sun Solaris.
eDirectory kann mit spezieller Clientsoftware verwendet werden, wie dem Novell Client für die Windows-Betriebssysteme. Diese Clients sind in den Bootvorgang des jeweiligen Rechners integriert und übernehmen die Authentisierung der Benutzer gegen den Verzeichnisdienst eDirectory. Auch für Unix-Betriebssysteme (Linux, Solaris) gibt es eine ähnliche Möglichkeit, die den Mechanismus der Pluggable Authentication Modules (PAM) nutzt. Dabei kommen die Novell Account Management Modules zum Einsatz. Auch hier werden Benutzer beim Login gegen den eDirectory-Verzeichnisdienst authentisiert.
Eine andere Möglichkeit bietet der Zugriff über die LDAP-Schnittstelle. Durch die Verwendung dieser standardisierten Schnittstelle ist die Nutzung des eDirectorys auch mit anderen Applikationen und Systemen möglich. Für den Einsatz im Internet ist generell das LDAP-Protokoll die Zugriffsmethode.

Abbildung: Architekturskizze
Weiterhin bietet die eDirectory-Software eine Vielzahl von Tools, unter anderem den iMonitor, der Überwachungs- und Diagnosemöglichkeiten über die Server eines Verzeichnisdienstes von einem Web-Browser aus zur Verfügung stellt.
Gefährdungslage
Aufgrund der Vielzahl an Funktionen und der Komplexität der Software ist ein eDirectory-Verzeichnisdienst einer Reihe von Gefährdungen ausgesetzt. Hinzu kommen die Gefährdungen, die das eingesetzte Betriebssystem betreffen, insbesondere den allgemeinen Serverzugriff und das Dateisystem.
Für den IT-Grundschutz eines Novell eDirectory-Systems werden folgende typische Gefährdungen angenommen:
Höhere Gewalt
- | G 1.2 | Ausfall von IT-Systemen |
Organisatorische Mängel
- | G 2.1 | Fehlende oder unzureichende Regelungen |
- | G 2.2 | Unzureichende Kenntnis über Regelungen |
- | G 2.7 | Unerlaubte Ausübung von Rechten |
- | G 2.69 | Fehlende oder unzureichende Planung des Einsatzes von Novell eDirectory |
- | G 2.70 | Fehlerhafte oder unzureichende Planung der Partitionierung und Replizierung im Novell eDirectory |
- | G 2.71 | Fehlerhafte oder unzureichende Planung des LDAP-Zugriffs auf Novell eDirectory |
Menschliche Fehlhandlungen
- | G 3.9 | Fehlerhafte Administration von IT-Systemen |
- | G 3.13 | Weitergabe falscher oder interner Informationen |
- | G 3.16 | Fehlerhafte Administration von Zugangs- und Zugriffsrechten |
- | G 3.34 | Ungeeignete Konfiguration des Managementsystems |
- | G 3.35 | Server im laufenden Betrieb ausschalten |
- | G 3.36 | Fehlinterpretation von Ereignissen |
- | G 3.38 | Konfigurations- und Bedienungsfehler |
- | G 3.43 | Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen |
- | G 3.50 | Fehlerhafte Konfiguration von Novell eDirectory |
- | G 3.51 | Falsche Vergabe von Zugriffsrechten im Novell eDirectory |
- | G 3.52 | Fehlerhafte Konfiguration des Intranet-Clientzugriffs auf Novell eDirectory |
- | G 3.53 | Fehlerhafte Konfiguration des LDAP-Zugriffs auf Novell eDirectory |
Technisches Versagen
- | G 4.10 | Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen |
- | G 4.13 | Verlust gespeicherter Daten |
- | G 4.33 | Schlechte oder fehlende Authentikationsverfahren und -mechanismen |
- | G 4.34 | Ausfall eines Kryptomoduls |
- | G 4.44 | Ausfall von Novell eDirectory |
Vorsätzliche Handlungen
- | G 5.16 | Gefährdung bei Wartungs-/Administrierungsarbeiten |
- | G 5.18 | Systematisches Ausprobieren von Passwörtern |
- | G 5.19 | Missbrauch von Benutzerrechten |
- | G 5.20 | Missbrauch von Administratorrechten |
- | G 5.65 | Verhinderung der Dienste eines Datenbanksystems |
- | G 5.78 | DNS-Spoofing |
- | G 5.81 | Unautorisierte Benutzung eines Kryptomoduls |
Maßnahmenempfehlungen
Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Für den Einsatz der eDirectory-Komponenten sollte bereits bei der Planung ein spezifisches Sicherheitskonzept erstellt werden, welches sich konsistent in das bestehende organisationsweite Sicherheitskonzept integrieren lässt. Das eDirectory-System muss so konfiguriert werden, dass bereits bestehende Sicherheitsanforderungen umgesetzt werden, und hat darüber hinaus weitere, eDirectory-spezifische Anforderungen durchzusetzen.
Ein eDirectory-System wird in der Regel im Umfeld mit weiteren Systemen eingesetzt, welche den Zugriff auf das interne Netz von außen kontrollieren. Hierbei sind insbesondere Firewall-Systeme und Systeme zur Fernwartung zu nennen, mit denen eDirectory zusammenarbeiten muss. Aus diesem Grund sind bei der Durchführung der eDirectory-spezifischen Maßnahmen stets auch die entsprechenden Maßnahmen aus den jeweiligen Bausteinen zusätzlich betroffener Systeme mit zu berücksichtigen. Neben den Bausteinen aus der Schicht 3 sind unter anderem auch die folgenden Bausteine zu nennen:
- B 3.301 Sicherheitsgateway (Firewall), sofern eDirectory-Systeme in einer Firewall-Umgebung eingesetzt werden
- B 4.4 VPN, wenn der Zugriff auf das eDirectory-System über ein VPN erfolgt
- B 5.7 Datenbanken, allgemein
Für die sichere Implementierung eines eDirectory-Systems sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung über die Installation bis hin zum Betrieb. Die einzelnen Schritte sowie die jeweiligen Maßnahmen, die auf diesem Weg zu beachten sind, sind nachstehend zusammengefasst:
- Nach der Entscheidung, eDirectory als Verzeichnissystem einzusetzen, muss Software und eventuell zusätzlich benötigte Hardware beschafft werden. Da eDirectory verschiedene Einsatzmöglichkeiten zulässt (siehe oben), hängt die gegebenenfalls zu beschaffende Hardware von den geplanten Einsatzszenarien ab. Daher sind folgende Maßnahmen zu ergreifen:
- Zunächst muss der Einsatz des eDirectory-Systems geplant werden (siehe Maßnahmen M 2.236 Planung des Einsatzes von Novell eDirectory und M 2.237 Planung der Partitionierung und Replikation im Novell eDirectory).
- Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe Maßnahme M 2.238 Festlegung einer Sicherheitsrichtlinie für Novell eDirectory), die einerseits bereits bestehende Sicherheitsrichtlinien im Kontext von eDirectory umsetzt und gleichzeitig eDirectory-spezifische Ergänzungen konsistent definiert.
- Vor der tatsächlichen Verwendung des eDirectory-Systems im Regelbetrieb müssen die Benutzer und Administratoren auf den Umgang mit dem Produkt geschult werden. Insbesondere für Administratoren empfiehlt sich eine intensive Beschäftigung mit der Materie, die auf einen umfassenden Kenntnisstand bezüglich der Sicherheit der eingesetzten Betriebssysteme aufsetzen sollte (siehe M 3.29 Schulung zur Administration von Novell eDirectory). Benutzern sollten die verfügbaren Sicherheitsmechanismen der eingesetzten Clients detailliert vermittelt werden (siehe M 3.30 Schulung zum Einsatz von Novell eDirectory Clientsoftware).
- Nachdem die organisatorischen und planerischen Vorbereitungen durchgeführt wurden, kann die Installation des eDirectory-Systems erfolgen. Folgende Maßnahmen sind dabei zu ergreifen:
- Die Installation kann erst dann als abgeschlossen angesehen werden, wenn die eDirectory-Systeme in einen sicheren Zustand überführt wurden (siehe M 4.153 Sichere Installation von Novell eDirectory und M 4.154 Sichere Installation der Novell eDirectory Clientsoftware). Dadurch wird sichergestellt, dass in der anschließenden Konfigurationsphase nur berechtigte Administratoren auf das eDirectory-System zugreifen können.
- Nach der "Rohinstallation" erfolgt eine erstmalige Konfiguration des eDirectory-Systems, siehe M 4.155 Sichere Konfiguration von Novell eDirectory, M 4.156 Sichere Konfiguration der Novell eDirectory Clientsoftware, M 4.157 Einrichten von Zugriffsberechtigungen auf Novell eDirectory, sowie M 4.158 Einrichten des LDAP-Zugriffs auf Novell eDirectory.
- Nach der Konfiguration und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Dabei sind unter Sicherheitsgesichtspunkten folgende Aspekte zu beachten:
- Ein eDirectory-System ist in der Regel kontinuierlichen Veränderungen unterworfen. Entsprechend müssen die sicherheitsrelevanten Konfigurationsparameter ständig angepasst werden. Weiterhin hängt die Sicherheit bei einer verteilten Softwarearchitektur von der Sicherheit sämtlicher Teilsysteme ab. Dies gilt insbesondere für die eDirectory-Clientsoftware. Die für den sicheren Betrieb relevanten Maßnahmen sind in M 4.159 Sicherer Betrieb von Novell eDirectory und M 4.160 Überwachen von Novell eDirectory, sowie der Maßnahme zur Kommunikationssicherung (siehe M 5.97 Absicherung der Kommunikation mit Novell eDirectory) zusammengefasst.
- Neben den Maßnahmen zur Absicherung des laufenden Betriebs sind auch die Maßnahmen zur Notfallvorsorge von zentraler Bedeutung. Hinweise zu diesem Thema finden sich in M 6.81 Erstellen von Datensicherungen für Novell eDirectory.
Nachfolgend wird das Maßnahmenbündel für den Baustein "Novell eDirectory" vorgestellt:
Planung und Konzeption
- | M 2.236 | (A) | Planung des Einsatzes von Novell eDirectory |
- | M 2.237 | (B) | Planung der Partitionierung und Replikation im Novell eDirectory |
- | M 2.238 | (A) | Festlegung einer Sicherheitsrichtlinie für Novell eDirectory |
- | M 2.239 | (A) | Planung des Einsatzes von Novell eDirectory im Intranet |
- | M 2.240 | (A) | Planung des Einsatzes von Novell eDirectory im Extranet |
Umsetzung
- | M 3.29 | (A) | Schulung zur Administration von Novell eDirectory |
- | M 3.30 | (A) | Schulung zum Einsatz von Novell eDirectory Clientsoftware |
- | M 4.153 | (A) | Sichere Installation von Novell eDirectory |
- | M 4.154 | (A) | Sichere Installation der Novell eDirectory Clientsoftware |
- | M 4.155 | (A) | Sichere Konfiguration von Novell eDirectory |
- | M 4.156 | (A) | Sichere Konfiguration der Novell eDirectory Clientsoftware |
- | M 4.157 | (A) | Einrichten von Zugriffsberechtigungen auf Novell eDirectory |
- | M 4.158 | (B) | Einrichten des LDAP-Zugriffs auf Novell eDirectory |
Betrieb
- | M 4.159 | (A) | Sicherer Betrieb von Novell eDirectory |
- | M 4.160 | (B) | Überwachen von Novell eDirectory |
- | M 5.97 | (B) | Absicherung der Kommunikation mit Novell eDirectory |
Notfallvorsorge
- | M 6.81 | (A) | Erstellen von Datensicherungen für Novell eDirectory |