G 3.50 Fehlerhafte Konfiguration von Novell eDirectory
Fehlkonfiguration von Software ist eine der häufigsten Ursachen für erfolgreiche Angriffe. Durch die hohe Komplexität und die große Zahl der verfügbaren Parameter bei eDirectory können durch unbeachtete Seiteneffekte auch zusätzliche Sicherheitsprobleme eintreten.
Mögliche Fehlkonfigurationen betreffen unter anderem
- die Erstellung und Definition der Baumstruktur an sich,
- die Konfiguration des Zertifikatsservers,
- die Einrichtung der abzubildenden Objekte,
- die Konfiguration der Zugriffsmechanismen,
- die Vergabe der Zugriffsrechte (siehe G 3.51 Falsche Vergabe von Zugriffsrechten im Novell eDirectory),
- die Konfiguration des Intranet-Clientzugriffs auf den Verzeichnisdienst (siehe G 3.29 Fehlende oder ungeeignete Segmentierung),
- den LDAP-Zugriff auf eDirectory (siehe G 3.53 Fehlerhafte Konfiguration des LDAP-Zugriffs auf Novell eDirectory),
- die Konfiguration der Partitionierung der Verzeichnisdatenbank,
- die Konfiguration der Replikation des eDirectory,
- die Konfiguration der aufzuzeichnenden eDirectory-Events,
- die Konfiguration des Real-time Alert-Mechanismus,
- die Konfiguration des iMonitor-Tools zur Web-basierten Fernüberwachung sowie
- die Konfiguration eines automatisierten Backup-Mechanismus.
Grundsätzlich muss die Konfiguration des Systems an der Sicherheitsrichtlinie ausgerichtet werden. Bei Fehlkonfiguration besteht die Gefahr, dass diese Richtlinie inkonsistent umgesetzt wird und damit die Zielsetzungen der Sicherheitsvorgaben nicht erreicht werden.
eDirectory ermöglicht die Konfiguration einer rollenbasierten Administration des Verzeichnissystems sowie die Delegation von Administrationsrechten. Bei einer Fehlkonfiguration dieser Funktionalitäten ergeben sich u. U. erhebliche Probleme durch unautorisierte Systemzugriffe. Weiterhin besteht bei fehlerhafter Konfiguration die Gefahr, dass eine geregelte Administration nicht mehr möglich ist.
Folgende Liste gibt einen Überblick über die sicherheitsrelevanten möglichen Konsequenzen einer Fehlkonfiguration des Novell eDirectory:
- Auswahl zu schwacher Authentisierungsmechanismen,
- Falsche Rechtevergabe für den Zugriff auf die Objekte des Verzeichnisdienstes,
- unautorisierte Systemzugriffe über die Administrationsschnittstelle,
- unzureichender Schutz vor Systemangriffen,
- Blockade der Administrationsmöglichkeit des Systems,
- fehlerhafte oder langsame Replikation der Daten zwischen den Verzeichnisdatenbanken sowie
- Inkonsistenzen in der Umsetzung der Sicherheitsrichtlinie.