M 4.112 Sicherer Betrieb des RAS-Systems
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Voraussetzung für den sicheren Betrieb eines RAS-Systems ist die sichere Installation und Konfiguration der beteiligten Hard- und Software-Komponenten. Die Maßnahmen M 4.110 Sichere Installation des RAS-Systems und M 4.111 Sichere Konfiguration des RAS-Systems müssen daher vor Inbetriebnahme durchgeführt worden sein. Zusätzlich müssen alle organisatorischen Abläufe definiert und umgesetzt worden sein (z. B. Meldewege und Zuständigkeiten). Weiterhin ist zu beachten, dass die angestrebte Systemsicherheit nur gewährleistet werden kann, wenn auch die physikalische Sicherheit der beteiligten Hardware-Komponenten sichergestellt ist (siehe auch M 4.110 Sichere Installation des RAS-Systems).
Die Sicherheit eines RAS-Systems lässt sich grob in drei Bereiche aufteilen:
- die Sicherheit des RAS-Servers,
- die Sicherheit der RAS-Clients und
- die Sicherheit der Datenübertragung.
Kann die gewünschte Sicherheit des RAS-Servers noch durch die Durchsetzung einer lokalen Sicherheitsrichtlinie gesteuert werden, so unterliegt der RAS-Client typischerweise nicht mehr der vollen Kontrolle des für das LAN verantwortlichen IT-Personals. Die Sicherheit der Datenübertragungsmedien entzieht sich in der Regel vollständig der Kontrolle. Aus diesem Grund muss die Absicherung der Kommunikation zwischen Client und Server mit zusätzlichen Mitteln erfolgen.
Im Umfeld des RAS-Servers sind folgende Empfehlungen für den sicheren Betrieb zu berücksichtigen:
- Der RAS-Zugang sollte durch den Einsatz von Protokollierungs- und Management-Werkzeugen einer ständigen Überwachung unterliegen.
- Die im Rahmen der Überwachung gesammelten Informationen sollten regelmäßig durch einen geschulten Administrator kontrolliert werden. Er sollte dabei nach Möglichkeit durch eine Software zur Auswertung von Protokollierungsdaten unterstützt werden. Die Bestimmungen des Datenschutzes sind zu beachten (siehe auch M 2.110 Datenschutzaspekte bei der Protokollierung).
- Werden Sicherheitsvorfälle festgestellt, so sind sofort die vorher festgelegten Maßnahmen zu ergreifen. Die festgestellten Sicherheitsvorfälle sollten in einem Vorfall-Report dokumentiert werden (siehe dazu auch Baustein B 1.8 Behandlung von Sicherheitsvorfällen).
- Damit eine geregelte Benutzer-Authentisierung (z. B. RAS unter Windows NT, RADIUS, TACACS, TACACS+, SECURE-ID) beim RAS-Zugriff möglich ist, muss die Konsistenz der Authentisierungsdaten sichergestellt sein. Dies kann durch zentrale Verwaltung der Daten (Authentisierungsserver) oder durch periodischen Abgleich geschehen.
- Für jede Verbindungsaufnahme ist immer die Benutzer-Authentisierung über den gewählten Mechanismus durchzuführen. Insbesondere ist die alleinige Nutzung des CLIP-Mechanismus (Rufnummernübertragung) zur Authentisierung nicht ausreichend.
- Für jede Verbindung sollte die Absicherung der Kommunikation durch eines der im RAS-Sicherheitskonzept erlaubten Verfahren erzwungen werden, damit die übertragenen Daten geschützt sind.
- Die durch die Zugangstechnik zur Verfügung gestellten zusätzlichen Sicherheitsmechanismen (Nutzung der Rufnummernübertragung, Rückruf einer voreingestellten Telefonnummer für nicht mobile oder über Mobiltelefon angebundene RAS-Clients) sollten genutzt werden.
- Das RAS-System sollte in regelmäßigen Abständen einer Revision unterzogen werden. Die Rollen Administrator und Revisor dürfen nicht der gleichen Person zugeordnet werden.
- Die Anbindung eines tragbaren IT-Systems an ein LAN kann über GSM realisiert werden (siehe auch M 5.81 Sichere Datenübertragung über Mobiltelefone). Bei der Nutzung von RAS über Mobiltelefon-Netze ist zu beachten, dass sich der CLIP-Mechanismus (Rufnummernübertragung) in der Regel nur als zusätzliches Authentisierungsmerkmal eignet, da das über die Rufnummer identifizierte Mobiltelefon sehr leicht entwendet werden kann.
Da RAS-Clients in der Regel in nicht vollständig kontrollierten Umgebungen betrieben werden, müssen für diesen Fall spezielle Mechanismen, Verfahren und Maßnahmen zum Einsatz kommen, die den Schutz des Clients gewährleisten können. Insbesondere mobile RAS-Clients sind hier einer besonderen Gefahr ausgesetzt, da diese physikalisch besonders leicht anzugreifen sind (Diebstahl, Vandalismus). Ist ein RAS-Client kompromittiert, so besteht die Gefahr, dass dadurch auch die Sicherheit des LANs beeinträchtigt wird.
Für den sicheren Betrieb von RAS-Clients sind daher folgende Aspekte zu berücksichtigen:
- Die Grundsicherheit des IT-Systems muss gewährleistet werden (siehe auch Bausteine B 3.203 Laptop, B 4.3 Modem, B 3.404 Mobiltelefon und B 5.8 Telearbeit).
- Da mobile RAS-Clients größeren Risiken ausgesetzt sind als stationäre, sollten diese durch zusätzliche Maßnahmen gesichert werden. Hierzu bietet sich eine Festplattenverschlüsselung an, um sicherzustellen, dass von abhanden gekommenen Geräten weder Daten ausgelesen noch unbefugt eine RAS-Verbindung aufgebaut werden kann.
- Insbesondere beim RAS-Zugriff über Internetverbindungen ist die Installation von Computer-Viren-Schutzprogrammen auf allen RAS-Clients notwendig (siehe auch Baustein B 1.6 Computer-Viren-Schutzkonzept).
- Es sollte überlegt werden, auf den RAS-Clients so genannte PC-Firewalls einzusetzen und so vor unberechtigten Zugriffen aus dem Internet durch Dritte zu schützen. Ähnlich wie herkömmliche Firewalls (siehe Baustein B 3.301 Sicherheitsgateway (Firewall)) filtern PC-Firewalls die Pakete der Netzkommunikationsprotokolle. Die Filterregeln können jedoch meist dynamisch durch den Benutzer erzeugt werden. Hierzu wird bei jedem Zugriff, für den noch keine Regel vorliegt, eine Auswahl an möglichen Reaktionen (z. B. erlauben, ablehnen, bedingte Verarbeitung) angeboten, um eine neue Regel zu definieren. Da es für den Benutzer jedoch in vielen Fällen schwierig ist, zwischen erlaubten und unberechtigten Zugriffen zu unterscheiden, sollte der Regelsatz durch einen Administrator vorinstalliert werden.
- Auch RAS-Clients sollten in das Systemmanagement einbezogen werden, soweit dies möglich ist. Dies erlaubt einerseits die Überwachung der Clients im Rahmen der Aufrechterhaltung des laufenden Betriebes. Andererseits können so einfach Software-Updates (Viren-Datenbanken, Anwendungsprogramme) auf geregeltem Weg eingespielt werden. Entfernte Rechner stellen jedoch erhöhte Anforderungen an das Systemmanagement, da diese nicht permanent mit dem Netz verbunden sind, so dass die Rechner regelmäßig auf (unzulässige) Konfigurationsveränderungen untersucht werden müssen. Hier kann - je nach Managementprodukt - die "Discovery"-Funktion genutzt werden, um den aktuellen Zustand des Rechners zu erfassen. Es ist dabei zu beachten, dass diese Erfassung der Informationen den RAS-Client belastet und die Daten über die RAS-Verbindung übertragen werden müssen. Bei RAS-Verbindungen mit geringer Bandbreite (z. B. über Mobiltelefon) kann dies zu nicht akzeptablen Antwortzeiten für den Benutzer führen.
- Falls TCP/IP als Protokoll verwendet wird, sollte überlegt werden, für RAS-Clients feste IP-Adressen zu benutzen und diese nicht dynamisch zu vergeben. Dieses Vorgehen bedeutet zwar einen höheren administrativen Aufwand (Wartung der Zuordnungstabellen), erlaubt jedoch eine eindeutige Zuordnung von Netzadresse und Rechner. Der Nachteil bei einer dynamischen Vergabe der Netzadressen besteht darin, dass protokolliert werden muss, welchem RAS-Client zu welchem Zeitpunkte eine bestimmte Netzadresse zugewiesen wurde. Anderenfalls ist es meist nicht möglich festzustellen, welcher RAS-Client eine bestimmte Aktion ausgeführt hat.
Die Kommunikationsverbindung zwischen RAS-Client und RAS-Server wird in der Regel über Netze von Dritten aufgebaut. Die dabei benutzten Netzkomponenten unterliegen meist nicht der Kontrolle durch den Betreiber des LANs, mit dem die Verbindung aufgebaut werden soll. Es muss weiter davon ausgegangen werden, dass die Daten nicht nur über das Telekommunikationsnetz eines Anbieters übertragen werden, sondern dass auch die Netze von Kooperationspartnern des Telekommunikationsanbieters benutzt werden. Dies gilt insbesondere beim Zugriff auf ein LAN aus dem Ausland. Um dem Schutzbedarf der so übertragenen Daten gerecht zu werden, müssen Sicherheitsmaßnahmen getroffen werden, die z. B. die Vertraulichkeit der Daten sicherstellen. Daher gilt für die Datenübertragung:
- Die Nutzung der Datenverschlüsselung für alle übertragenen Daten ist für den sicheren Betrieb zwingend erforderlich.
- Es sollten Signaturmechanismen eingesetzt werden, um die Authentizität und Integrität der Daten sicherzustellen.
Um diesen Anforderungen an den Schutz der Daten gerecht zu werden, können verschiedene Sicherungsmechanismen für RAS-Verbindungen benutzt werden. Relevant sind hier unter anderem:
- Die Kommunikation kann auf niedriger Protokollebene verschlüsselt werden (so genanntes Tunneling, siehe M 5.76 Einsatz geeigneter Tunnel-Protokolle für die RAS-Kommunikation). Dazu muss ein geeignetes Verfahren ausgewählt werden. Die herkömmlichen RAS-Systeme stellen solche Verfahren standardmäßig, jedoch in unterschiedlicher Zahl und Ausprägung zur Verfügung.
- Zur Verschlüsselung kann auch SSL eingesetzt werden, wenn von der Verschlüsselung auf niedriger Protokollebene aus bestimmten Gründen kein Gebrauch gemacht werden kann. Dies gilt besonders für Zugriffe auf WWW-Server oder E-Mail-Server über WWW-Browser, die standardmäßig SSL-gesicherte Kommunikation unterstützen. Dazu sollte auch M 5.66 Verwendung von SSL beachtet werden.
- Neben der Absicherung der Kommunikation durch Software kann auch der Einsatz von verschlüsselnden Netzkoppelelementen (Router, Modems) erwogen werden. Diese sind besonders für den stationären Einsatz und zur Anbindung mehrerer Rechner sinnvoll, da die Verschlüsselung transparent erfolgt und die Clients und Server nicht belastet werden. Zu beachten ist jedoch, dass die Geräte sorgfältig konfiguriert und gewartet werden müssen.
- Für den Austausch von E-Mails über unsichere Kanäle kann die Nutzung von E-Mail-Verschlüsselung sinnvoll sein (siehe auch M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen).
Die Sicherheit beim entfernten Zugriff über eine RAS-Verbindung kann nur dann gewährleistet werden, wenn alle Komponenten des RAS-Systems korrekt und konsistent konfiguriert sind. Zu beachten ist jedoch, dass je nach Zugriffsverfahren ein Grossteil der benutzten Komponenten nicht der direkten Kontrolle der lokalen RAS-Administration untersteht. Daher ist der RAS-Zugang zu einem LAN mit besonderer Sorgfalt und Aufmerksamkeit zu überwachen.
Beispiel:
Da Windows NT standardmäßig mit RAS-Unterstützung ausgeliefert wird, soll der RAS-Dienst von Windows NT als Beispiel dienen. Die angebotene Funktionalität sowie die verfügbaren Sicherheitsmechanismen sind jedoch in der Regel nur für eine geringe Anzahl an RAS-Benutzern und Daten mit geringem Schutzbedarf geeignet. Bei großen Benutzermengen und erhöhtem Schutzbedarf sollten auch zusätzliche RAS-Produkte in Betracht gezogen werden.
Für RAS-Clients unter Windows NT gilt:
- Für RAS-Clients sollte das Speichern von Benutzernamen und Passwort zum automatischen Verbindungsaufbau abgeschaltet sein. Dazu muss die Option "Kennwort speichern" im Verbindungsdialog des DFÜ-Netzwerks deaktiviert werden. Wurde das Passwort aus Versehen gespeichert, so kann es wieder gelöscht werden, indem in den Verbindungseigenschaften auf der Karte "Sicherheit" der Knopf "Unsicheres Kennwort" gedrückt wird.
- Der automatische Aufbau einer DFÜ-Verbindung sollte nur nach Bestätigung durch den Benutzer erfolgen. Dies geschieht über die Option "Automatisches Wählen immer bestätigen" auf der Karte "Einstellungen" in den "Benutzereigenschaften" einer DFÜ-Verbindung. Vorzugsweise ist das automatische Wählen jedoch komplett abzuschalten. Hierzu ist die Option "Auto-Wahl nach Standorten aktivieren" für alle Standorte auf der Karte "Wählen" in den "Benutzereigenschaften" einer DFÜ-Verbindung zu deaktivieren.
- Es ist darauf zu achten, dass keine eingehenden Verbindungen erlaubt werden. Für die Einstellung "Anschlussverwendung" unter Systemsteuerung, Netzwerk, Dienste, RAS-Dienst, Gerät, Konfigurieren ist hierzu die Option "Nur ausgehende Anrufe" zu aktivieren.
- Damit die Kommunikationsabsicherung (MPPE-Verschlüsselung) benutzt wird, muss für die DFÜ-Verbindung unter der Karte "Sicherheit" die Option "Nur Microsoft-verschlüsselte Echtheitsbestätigungen annehmen" und "Datenverschlüsselung erforderlich" aktiviert werden. Zu beachten ist, dass dazu auch der RAS-Server entsprechend konfiguriert sein muss.
- Es sollte überlegt werden, jedem RAS-Client eine feste IP-Adresse zuzuordnen. Dadurch wird die Nachvollziehbarkeit von Aktivitäten, die über die RAS-Verbindung getätigt werden, erhöht. Die IP-Adresse kann in den TCP/IP-Eigenschaften der DFÜ-Verbindung unter Telefonbuch, Server, TCP/IP-Einstellungen, im Feld "IP-Adresse angeben" eingetragen werden.
Für RAS-Server unter Windows NT gilt:
- Die RAS-Einwahl sollte nur den berechtigten Benutzern gestattet werden. Für alle anderen Benutzer ist die Option "Dem Benutzer Einwählrechte erteilen" zu deaktivieren. Dies kann entweder über den Benutzermanager oder über den RAS-Manager erfolgen.
- Die Möglichkeit des Rückrufes durch den RAS-Server ist nur für diejenigen Benutzer zu aktivieren, für die dies explizit vorgesehen ist. Wenn möglich, sollte eine feste Rückrufnummer Verwendung finden.
- Damit RAS-Clients eine feste IP-Adresse anfordern können, ist die Option "Remote Clients erlauben, eine vorbestimmte IP-Adresse anzufordern" unter Systemsteuerung, Netzwerk, Dienste, RAS-Dienst, Gerät, Netzwerk, TCP/IP-Konfigurieren zu aktivieren.
- Soll von der MPPE-Verschlüsselung Gebrauch gemacht werden, so ist dies entsprechend zu aktivieren. Dies erfolgt über das Dialogfeld Systemsteuerung, Netzwerk, Dienste, RAS-Dienst, Gerät, Netzwerk, Verschlüsselung.
- Für einen RAS-Server unter Windows NT kann eingestellt werden, ob RAS-Clients nur auf die Ressourcen des RAS-Servers oder auch auf das Netz zugreifen können, an das der RAS-Server angeschlossen ist. Je nach Verwendungszweck (z. B. Export lokaler Ressourcen, RAS-Zugangsserver für ein Netz) sollte die entsprechende Zugriffsbeschränkung eingestellt werden. Dies geschieht über die Option "TCP/IP-Clients dürfen zugreifen auf" unter Systemsteuerung, Netzwerk, Dienste, RAS-Dienst, Gerät, Netzwerk, TCP/IP-Konfigurieren.
Ergänzende Kontrollfragen:
- Werden alle festgestellten Sicherheitsverletzungen dokumentiert?
- Wird für jede Verbindungsaufnahme immer die Benutzer-Authentisierung über den festgelegten Mechanismus durchgeführt?
- Wird für jede Verbindung die Absicherung der Kommunikation durch eines der im RAS-Sicherheitskonzept erlaubten Verfahren erzwungen?
- Können mobile RAS-Clients durch zusätzliche Maßnahmen gesichert werden (z. B. Festplattenverschlüsselung)?