B 3.305 Terminalserver

Beschreibung
Terminalserver stellen zentral Ressourcen bereit, die mehrere Clients nutzen können. Diese Ressourcen können Bestandteile des Server-Betriebssystems, Standard-Anwendungen oder Kommandozeilen sein. Auf diese Weise können Applikationen bereitgestellt werden, ohne dass sie auf den Clients installiert werden müssen. In der Regel können mehrere Clients über das Netz gleichzeitig auf die vom Terminalserver angebotenen Applikationen zugreifen.
Terminalserver stellen ein besonders zentralisiertes Szenario einer Client-Server Architektur dar. Anwendungen werden auf den leistungsstarken Terminalservern installiert, von den Clients werden diese gestartet, gesteuert und dargestellt. Diese Ein- und Ausgaben können auf verhältnismäßig einfach ausgestatteten Arbeitsplatz-Rechnern (Fat-Clients) mit der entsprechenden Client-Software verarbeitet werden. Zudem existieren Lösungen, die mit dedizierten Terminals (Thin-Clients) funktionieren.
In diesem Baustein wird ein systematischer Weg aufgezeigt, wie ein Konzept zum Einsatz von Terminalservern innerhalb einer Institution erstellt und wie deren Umsetzung und Einbettung sichergestellt werden kann. Er ist auf jeden Terminalserver des betrachteten Informationsverbunds anzuwenden.
Abgrenzung des Bausteins
Bestandteil dieses Bausteins sind lediglich die für Terminalserver spezifischen Gefährdungen und Maßnahmen. Daher muss zusätzlich der Baustein B 3.101 Allgemeiner Server berücksichtigt werden. Wird auf dem Terminalserver-Client ein eigenständiges Betriebssystem ausgeführt und wird dieses nicht von dem Server bezogen, so ist des Weiteren der Baustein B 3.201 Allgemeiner Client zu betrachten. Terminalserver-Dienste existieren für zahlreiche Betriebssysteme z. B. Unix bzw. Linux, Microsoft Windows und z/OS. Die einzelnen Umsetzungen unterscheiden sich in vielen Punkten sehr stark, beispielsweise durch die
- Verwendung des benutzten Übertragungsprotokolls,
- Anforderungen an die Übertragungsraten des Netzes,
- Anforderungen an die Geschwindigkeit des Servers,
- Nutzung von verteilten Ressourcen und Geräten und
- insbesondere durch die unterschiedliche Konfiguration und Administration des unter diesem Dienst operierenden Betriebssystems.
Für die Sicherheit eines Terminalservers ist es daher unabdingbar, zusätzlich die Bausteine anzuwenden, die das konkrete Betriebssystem beschreiben.
Gefährdungslage
Für den IT-Grundschutz eines Terminalservers gestützten Netzes werden die folgenden typischen Gefährdungen angenommen:
Höhere Gewalt
- | G 1.2 | Ausfall von IT-Systemen |
Organisatorische Mängel
- | G 2.7 | Unerlaubte Ausübung von Rechten |
- | G 2.32 | Unzureichende Leitungskapazitäten |
- | G 2.36 | Ungeeignete Einschränkung der Benutzerumgebung |
- | G 2.153 | Ungeeignete Sicherung des Übertragungsweges in einer Terminalserver Umgebung |
- | G 2.154 | Ungeeignete Anwendungen für den Einsatz auf Terminalservern |
Menschliche Fehlhandlungen
- | G 3.9 | Fehlerhafte Administration von IT-Systemen |
- | G 3.16 | Fehlerhafte Administration von Zugangs- und Zugriffsrechten |
- | G 3.38 | Konfigurations- und Bedienungsfehler |
Technisches Versagen
- | G 4.10 | Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen |
- | G 4.12 | Fehlende Authentisierungsmöglichkeit zwischen X-Server und X-Client |
- | G 4.22 | Software-Schwachstellen oder -Fehler |
- | G 4.33 | Schlechte oder fehlende Authentikationsverfahren und -mechanismen |
- | G 4.35 | Unsichere kryptographische Algorithmen |
- | G 4.81 | Erweiterte Rechte durch Programmdialoge auf Terminalservern |
- | G 4.82 | Ausfall und Nichterreichbarkeit von Terminalservern |
Vorsätzliche Handlungen
- | G 5.19 | Missbrauch von Benutzerrechten |
- | G 5.23 | Schadprogramme |
- | G 5.112 | Manipulation von ARP-Tabellen |
- | G 5.161 | Gefälschte Antworten auf XDMCP-Broadcasts bei Terminalservern |
- | G 5.162 | Umleiten von X-Window-Sitzungen |
Maßnahmenempfehlungen
Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Für den erfolgreichen Aufbau eines Terminalservers sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Beschaffung bis zum Betrieb dieses Servers. Die Schritte, die dabei durchlaufen werden, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.
Planung und Konzeption
Bei der Planung eines Terminalservers müssen eine Reihe von Rahmenbedingungen bedacht werden. Im ersten Schritt sollte die allgemeine Sicherheitsrichtlinie um eine detaillierte Richtlinie für Terminalserver ergänzt werden (siehe M 2.464 Erstellung einer Sicherheitsrichtlinie zur Terminalserver-Nutzung). Die hierin schriftlich festgehaltenen Maßgaben sowie Zielsetzungen müssen die individuellen Bedingungen und Anforderungen einer sicheren Terminalserver-Umgebung widerspiegeln. Bei der Migration einer bestehenden Client-Server-Architektur auf eine Terminalserver-gestützte Umgebung muss vor der Umsetzung eingehend überprüft werden, ob die zu migrierenden Anwendungen überhaupt dafür geeignet sind (M 2.466 Migration auf eine Terminalserver-Architektur).
Innerhalb von Mehrbenutzerumgebungen, wie sie Terminalserver-Systeme darstellen, ist die Abschottung der Anwender voneinander sowie gegenüber riskanten Systemfunktionen von erheblicher Bedeutung. Um einen störungsfreien Betrieb zu gewährleisten und die Vertraulichkeit der innerhalb einzelner Benutzersitzungen verarbeiteten Daten zu schützen, müssen die Rechte restriktiv vergeben werden (siehe M 5.163 Restriktive Rechtevergabe auf Terminalservern).
Terminalserver können dazu benutzt werden, dass Clients auf Inhalte in unsicheren Netzen, beispielsweise auf Internetseiten mit aktiven Inhalten, zugreifen können. Anstatt des Clients kommuniziert der Terminalserver über das unsichere Netz, dem Client werden nur die Inhalte übermittelt. Ein Terminalserver, der anstelle des Clients auf das unsichere Netz zugreift, wird als grafische Firewall bezeichnet (siehe Maßnahme M 4.365 Nutzung eines Terminalservers als grafische Firewall).
Beschaffung
Sollen Anwendungen, die bislang in einer Client-Server basierten Netzarchitektur genutzt werden, auf einen Terminalserver zentral bereitgestellt werden, sind lizenzrechtlich relevante Verträge im Vorfeld der Migration zu prüfen und eventuell neue Software zu beschaffen (siehe M 2.468 Lizenzierung von Software in Terminalserver-Umgebungen).
Umsetzung
Die Verwaltung der Terminalserver-Infrastruktur ist für Administratoren sowie für Benutzer ohne Vorerfahrung in einigen Punkten erklärungsbedürftig. Alle Personen, die mit einem Terminalserver-System arbeiten, sollten daher geschult werden (siehe M 3.81 Schulung zum sicheren Terminalserver-Einsatz).
Betrieb
Es muss verhindert werden, dass die Anwender die Benutzerumgebung auf den Terminalservern verändern und nur auf Ressourcen zugreifen können, auf die sie auch zugreifen sollen (siehe M 4.367 Sichere Verwendung von Client-Applikationen für Terminalserver). Läuft die Verbindung zwischen Terminalservern und deren Clients über ein unsicheres Netz, sind Vorkehrungen zu treffen, damit die Kommunikation nicht belauscht, verändert oder gestört werden kann (siehe M 5.164 Sichere Nutzung eines Terminalservers aus einem entfernten Netz).
Aussonderung
Sollen Terminalserver, an Terminalserver angeschlossene Clients oder Infrastruktur-Komponenten einer Terminalserver-Umgebung außer Betrieb genommen werden, sollte die Maßnahme M 2.469 Geregelte Außerbetriebnahme von Komponenten einer Terminalserver-Umgebung berücksichtigt werden.
Notfallvorsorge
Da vom Ausfall einer Terminalserver-Umgebung zumeist eine größere Anzahl Anwender betroffen sein können, sind Maßnahmen zu ergreifen, damit bei einem Ausfall der Schaden verringert wird. Durch Terminalserver-Verbünde können auch hohe Anforderungen an die Verfügbarkeit erfüllt werden (siehe M 6.142 Einsatz von redundanten Terminalservern).
Fällt ein Terminalserver-Client aus, stehen die Anwendungen auf dem Terminalserver dem betroffenen Benutzer nicht mehr zur Verfügung. Daher könnten beim Einsatz von Terminals ohne eigenes Betriebssystem (Thin-Clients) Ersatzmaschinen bereitgehalten werden (M 6.143 Bereitstellung von Terminalserver-Clients aus Depot-Wartung).
Werden vorsorglich die Applikationen sowohl auf dem Terminalserver als auch auf den Client-PCs installiert, kann bei einem Ausfall vorübergehend ein Notfallbetrieb aufrecht erhalten werden (M 6.144 Konfiguration von Terminalserver-Clients für die duale Nutzung als normale Client-PCs).
Nachfolgend wird das Maßnahmenbündel für den Baustein "Terminalserver" vorgestellt.
Planung und Konzeption
- | M 2.464 | (A) | Erstellung einer Sicherheitsrichtlinie zur Terminalserver-Nutzung |
- | M 2.465 | (A) | Analyse der erforderlichen Systemressourcen von Terminalservern |
- | M 2.466 | (A) | Migration auf eine Terminalserver-Architektur |
- | M 2.467 | (C) | Planung von regelmäßigen Neustartzyklen von Terminalservern |
- | M 4.250 | (Z) | Auswahl eines zentralen, netzbasierten Authentisierungsdienstes |
- | M 4.365 | (Z) | Nutzung eines Terminalservers als grafische Firewall |
- | M 5.64 | (Z) | Secure Shell |
- | M 5.162 | (A) | Planung der Leitungskapazitäten beim Einsatz von Terminalservern |
- | M 5.163 | (A) | Restriktive Rechtevergabe auf Terminalservern |
Beschaffung
- | M 2.468 | (Z) | Lizenzierung von Software in Terminalserver-Umgebungen |
Umsetzung
- | M 3.81 | (C) | Schulung zum sicheren Terminalserver-Einsatz |
- | M 4.9 | (A) | Einsatz der Sicherheitsmechanismen von X-Window |
- | M 4.106 | (A) | Aktivieren der Systemprotokollierung |
- | M 4.366 | (B) | Sichere Konfiguration von beweglichen Benutzerprofilen in Terminalserver-Umgebungen |
- | M 5.72 | (A) | Deaktivieren nicht benötigter Netzdienste |
Betrieb
- | M 2.273 | (A) | Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates |
- | M 4.3 | (A) | Einsatz von Viren-Schutzprogrammen |
- | M 4.367 | (B) | Sichere Verwendung von Client-Applikationen für Terminalserver |
- | M 4.368 | (B) | Regelmäßige Audits der Terminalserver-Umgebung |
- | M 5.164 | (B) | Sichere Nutzung eines Terminalservers aus einem entfernten Netz |
Aussonderung
- | M 2.469 | (A) | Geregelte Außerbetriebnahme von Komponenten einer Terminalserver-Umgebung |
Notfallvorsorge
- | M 6.142 | (Z) | Einsatz von redundanten Terminalservern |
- | M 6.143 | (C) | Bereitstellung von Terminalserver-Clients aus Depot-Wartung |
- | M 6.144 | (Z) | Konfiguration von Terminalserver-Clients für die duale Nutzung als normale Client-PCs |