M 5.14 Absicherung interner Remote-Zugänge
Verantwortlich für Initiierung: TK-Anlagen-Verantwortlicher, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Die Remote-Zugänge bei TK-Anlagen werden für Fernwartungs-, Fernadministrations- und Netzmanagement-Aufgaben genutzt. Ferner können noch Remote-Zugänge für die Anlagennutzer (Dial-In-Optionen) existieren.
Grundsätzlich lässt sich zwischen
- einem Remote-Zugang im eigenen TK-Anlagenverbund (interner Zugang) und
- einem Remote-Zugang aus anderen Netzen (externer Zugang)
unterscheiden.
Beim internen Remote-Zugang wird die Absicherung einer Fernwartung innerhalb eines TK-Anlagenverbundes betrachtet. Unter Anlagenverbund wird hierbei eine aus mehreren separaten Anlagenteilen bestehende Gesamtanlage verstanden, welche über ein eigenes Leitungsnetz miteinander verbunden ist. Sollte diese Verbindung über öffentliche Vermittlungseinrichtungen geführt sein, so sind zusätzlich die unter M 5.15 Absicherung externer Remote-Zugänge beschriebenen Maßnahmen zu realisieren. Bei Vernetzung über geschlossene Benutzergruppen innerhalb öffentlicher Netze oder über virtuelle private Netze (VPN) sollten die Maßnahmen für interne Remote Zugänge und nach Möglichkeit die mit * gekennzeichneten Punkte aus den Maßnahmen für externe Remote-Zugänge umgesetzt werden.
Der wichtigste Aspekt bei der Absicherung des internen "Remote-Zuganges" ist der, Eindringversuche aus externen Netzen wirksam zu unterbinden und gegebenenfalls auch erkennen zu können. Des weiteren sollen die Zugänge aus dem eigenen Netz auf die berechtigten Stellen und Personen eingeschränkt werden können. Je nach Art der Zugangstechnik existieren hierfür unterschiedliche Methoden.
Absicherung eines internen Remote-Zuganges via Modem
Die nachfolgende Abbildung stellt ein typisches Szenario eines internen Remote-Zugangs zu einem Fernadministrationsport via Modem dar. Die TK-Anlage PBX 1 wird vom Wartungsplatz aus direkt über die V.24-Wartungsschnittstelle administriert. Die TK-Anlage PBX 2 wird vom Wartungsplatz aus über Modem 1 - PBX 1 - PBX 2 - Modem 2 - V.24-Wartungsschnittstelle administiert.

Abbildung: Aufbau einer Fernadministration via Modem
In einem solchem Fall können folgende Maßnahmen zur Abschottung gegenüber Zugängen aus externen Netzen ergriffen werden:
- Keine Amtsberechtigung für den Modem-Anschluss
- Der Modem-Anschluss, über den der Zugang zum Administrationsport der Anlage geführt wird, sollte in jedem Fall nicht-amtsberechtigt sein! Diese Minimalanforderung sollte als erstes überprüft werden. Hiermit wird vermieden, dass das Modem von außerhalb direkt angewählt werden kann.
- Geheimhaltung der Rufnummer des Wartungsports (Modem)
- Um Missbrauch von vornherein zu erschweren, sollte die Rufnummer des Wartungsapparates nicht in Telefonverzeichnissen veröffentlicht werden. Ihre Kenntnis sollte den sie unmittelbar benötigenden Personen vorbehalten bleiben.
- Verwendung von Standleitungen (optional)
- Die Verwendung von eigenen Standleitungen für die Remote-Verbindungen, die nicht über Vermittlungseinrichtungen geführt werden, ist eine der sichersten Methoden, einen externen Zugriff auf die Remote-Zugänge zu unterbinden. Da dieses Verfahren in der Regel sehr teuer ist, wird es nur in Ausnahmefällen Anwendung finden können.
Um sicherzustellen, dass nur die berechtigten Stellen innerhalb des eigenen Netzes auf die Remote-Zugänge zugreifen können, müssen folgende Maßnahmen umgesetzt werden:
- Bildung geschlossener Benutzergruppen (Closed User Group, CUG)
- In einigen TK-Anlagen lassen sich auch anlagenübergreifend CUGs einrichten. Diese geschlossenen Benutzergruppen stellen eine Art Netz im Netz dar. Alle benötigten Remote-Zugänge sollten daher mit den jeweils zugangsberechtigten Stellen in solchen CUGs zusammengefasst werden.
- Automatischer Rückruf (Callback)
- Die Callback-Option der Modems sollte genutzt werden (siehe M 5.30 Aktivierung einer vorhandenen Callback-Option). Wird ein PC-Gateway eingesetzt, so sollte das Callback von dort gestartet werden.
- Beschränkung der Rechte des Remote-Ports (optional)
- Sollte die TK-Anlage eine Rechteverwaltung für verschiedene Ports unterstützen, so kann diese genutzt werden, um sicherheitskritische Aktionen über Remote-Zugänge zu unterbinden und nur vor Ort zuzulassen. Viele TK-Anlagen besitzen diese Option jedoch nicht. In solchen Fällen können durch Zusatzprodukte, z. B. Portcontroller, die über einen Port ausführbaren Transaktionen beschränkt werden.
Um sicherzustellen, dass nur die berechtigten Personen innerhalb des eigenen Netzes auf die Remote-Zugänge zugreifen können, müssen folgende Maßnahmen umgesetzt werden:
- Identifikation und Authentisierung,
- Challenge-Response-Verfahren zur Authentikation (optional).
Absicherung eines internen Remote-Zugriffes via ISDN-Vernetzung
Aus Pratikabilitätsgründen bietet es sich teilweise an, die PCs mit Netzmanagement-Aufgaben mit ISDN-Karten auszurüsten. In einem solchen Fall sollte eine geschlossene Benutzergruppe gebildet werden. Hierzu kann die Rufnummer des rufenden Teilnehmers genutzt werden (Calling Line Identification and Presentation, CLIP). Dies könnte vom Endgerät selbst unter Zuhilfenahme der vom Netz zur Verfügung gestellten Rufnummer des anrufenden Gerätes (CLIP) realisiert werden.
Absicherung direkter Systemzugänge (Direct Inward System Access, DISA)
Direkte Systemzugänge sollten nach Möglichkeit gesperrt werden. Ist dies nicht möglich, so sollten die Berechtigungen so gesetzt werden, dass der direkte Systemzugang nur über einen dedizierten Port erfolgen kann. Auf diese Weise wird es möglich, den DISA-Zugang über ein Gateway zu führen. Ein Beispiel einer solchen Absicherung ist in der folgenden Abbildung dargestellt:

Abbildung: Absicherung eines direkten Systemzuganges
Einrichtung und Unterbringung eines Netzmanagementzentrums
Der Vorteil eines zentralen Netzmanagementes ist, neben einer komfortablen Abwicklungsmöglichkeit der Systemadministration, dass für die alltäglichen Administrationsarbeiten kein physikalischer Zutritt zu den TK-Anlagen mehr notwendig ist.
Sollte die Einrichtung eines zentralen Netzmanagementes erwogen werden, so ist dies in einem gesicherten Bereich unterzubringen. Der Zutritt zu diesem Zentrum ist durch organisatorische Maßnahmen zu regeln. Entsprechende Vorgaben können dem Baustein B 2.4 Serverraum entnommen werden. Die Managementrechner, von welchem die Arbeiten durchgeführt werden können, sollten auch mit geeigneten Maßnahmen abgesichert werden. Beispiele finden sich in B 3.209 Client unter Windows XP und B 3.204 Client unter Unix.
Protokollierung von Wartungsmaßnahmen
Die momentane Anlagenkonfiguration, d. h. vergebene Rufnummern und Berechtigungen, aktivierte und deaktivierte Leistungsmerkmale, eingerichtete Heranholgruppen etc., muss jederzeit nachvollziehbar sein. Hierzu ist es notwendig, vorgenommene Veränderungen zu protokollieren. Eine elegante Methode ist die Zwangsprotokollierung mit Hilfe eines PC-Gateways.
Ergänzende Kontrollfragen:
- Ist die externe Fernwartung unterbunden?
- Ist der Remote-Zugang nicht-amtsberechtigt?
- Wer kann von wo aus den Remote-Zugang anwählen?
- Wer hat Zugang zur Fernwartungszentrale?
- Befindet sich die Fernwartungszentrale in einem gesicherten Bereich?
- Werden alle Fernwartungszugriffe und Eingaben protokolliert?