M 2.186 Geeignete Auswahl eines RAS-Produktes
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
RAS-Produkte unterscheiden sich in ihrem Leistungsumfang, den angebotenen Sicherheitsmechanismen, Bedienkomfort und Wirtschaftlichkeit. Zudem stellen sie unterschiedliche Voraussetzungen an Hard- und Software-Komponenten im Einsatzumfeld.
Bevor ein "RAS-Produkt" beschafft wird, sollte daher eine Anforderungsliste erstellt werden, anhand derer die am Markt erhältlichen Produkte bewertet werden. Aufgrund der Bewertung kann dann eine fundierte Kaufentscheidung erfolgen, die sicherstellt, dass das zu beschaffende Produkt im praktischen Betrieb den Anforderungen genügt.
Ein RAS-System besteht in der Regel aus mehreren Hard- und Software-Komponenten, so dass genau genommen, nicht von "einem RAS-Produkt" gesprochen werden kann: Zunächst kann grob zwischen LAN-seitigen und Client-seitigen Komponenten unterschieden werden. Die konkret zu beschaffenden Komponenten hängen von der gewählten RAS-Systemarchitektur ab. So können im einfachsten Fall z. B. ein Windows-basierter PC und ein Laptop, die jeweils mit einer ISDN-Karte ausgestattet sind (siehe auch M 2.106 Auswahl geeigneter ISDN-Karten in der Beschaffung), als RAS-Server und -Client fungieren und den RAS-Dienst von Windows NT nutzen. Hingegen betreiben große Institutionen oft gleichzeitig viele RAS-Verbindungen für unterschiedliche Einsatzzwecke. Hierfür geeignete Lösungen erfordern in der Regel besondere IT-Systeme (Hardware mit Software), die speziell für den Einsatz als RAS-Server konzipiert sind.
Die folgende Liste gibt einen groben Überblick über mögliche allgemeine Bewertungskriterien, erhebt jedoch keinen Anspruch auf Vollständigkeit und kann um weitere allgemeine Anforderungen erweitert werden. Neben den hier aufgeführten Kriterien müssen im Rahmen der RAS-Anforderungsanalyse (siehe Maßnahme M 2.183 Durchführung einer RAS-Anforderungsanalyse) weitere spezifische Anforderungen erarbeitet werden, die aus den geplanten konkreten Einsatzszenarien resultieren.
- Allgemeine Kriterien
-
Performance und Skalierbarkeit
- Kann das System den Ansprüchen an die Performance gerecht werden?
- Kann für das System ein transparentes Load-balancing oder Datenkompression konfiguriert werden?
- Kann das System so konzipiert werden, dass es einem zukünftigen Wachstumsbedarf gerecht werden kann (z. B. durch modularen Systemaufbau, einfaches Einbinden neuer RAS-Server, keine getrennte Benutzerverwaltung für neue RAS-Zugänge)?
-
Wartbarkeit
- Ist das Produkt einfach wartbar?
- Bietet der Hersteller regelmäßige Software-Updates an?
- Wird für das Produkt die Möglichkeit des Abschlusses von Wartungsverträgen angeboten?
- Können im Rahmen der Wartungsverträge maximale Reaktionszeiten für die Problembehebung festgelegt werden?
- Bietet der Hersteller einen kompetenten technischen Kundendienst (Call-Center, Hotline) an, der in der Lage ist, sofort bei Problemen zu helfen?
-
Zuverlässigkeit/Ausfallsicherheit
- Wie zuverlässig und ausfallsicher ist das Produkt?
- Bietet der Hersteller Hochverfügbarkeitslösungen an?
- Ist das Produkt im Dauerbetrieb einsetzbar?
-
Benutzerfreundlichkeit
- Lässt sich das Produkt einfach installieren, konfigurieren und nutzen?
- Genügt das Produkt den geltenden Ergonomievorschriften?
- Ist insbesondere für den RAS-Client die Benutzerführung so gestaltet, dass auch ungeübte Benutzer damit arbeiten können, ohne Abstriche in der Sicherheit in Kauf nehmen zu müssen (kontextsensitive Hilfen, Online-Dokumentation, schrittweise Anleitung mit verständlichen Erklärungen - "Wizards", detaillierte Fehlermeldungen)?
- Ist die Nutzung des RAS-Clients so konfigurierbar, dass die Benutzer möglichst wenig mit technischen Details belastet werden?
- Ist die Sicherheit dabei trotzdem immer gewährleistet?
- Kosten
- Wie hoch sind die Anschaffungskosten der Hard- und Software?
- Wie hoch sind die voraussichtlichen laufenden Kosten der Hard- und Software (Wartung, Betrieb, Support)?
- Wie hoch sind die voraussichtlichen laufenden Kosten für das Personal (RAS-Administrator/Revisor)?
- Müssen zusätzliche Soft- oder Hardware-Komponenten angeschafft werden (z. B. Einwahl-Server, Server für zusätzliche Authentisierungsdienste)?
- Wie hoch sind die Kosten für die Schulung von Mitarbeitern und Administratoren, die mit dem RAS-Produkt umgehen werden?
- Funktion
-
Installation und Inbetriebnahme
- Garantieren die Default-Einstellungen des RAS-Systems nach der Installation eine sichere RAS-Konfiguration?
- Kann die Installation der RAS-Client-Software automatisiert mit vorgegebenen Konfigurationsparametern erfolgen?
- Ist die Installation der RAS-Client-Software auch für weniger versierte Mitarbeiter durchführbar?
- Können wichtige Konfigurationsparameter vor Veränderungen durch Benutzer geschützt werden?
- Arbeitet das Produkt mit gängiger Hard- und Software zusammen (Betriebssysteme, Einschubkarten, Treiber)? Ist das RAS-System mit gängigen Systemmanagementsystemen kompatibel?
-
Verhalten im Fehlerfall
- Bleibt die Sicherheit des RAS-Zugangs auch nach einem kritischen Fehler gewährleistet (indem z. B. jegliche Verbindungen nach einem Programmabbruch verhindert werden)?
- Kann das Systemverhalten nach einem kritischen Fehler konfiguriert werden?
- Kann z. B. eingestellt werden, dass nach einem kritischen Fehler automatisch ein Neustart durchgeführt oder der Administrator benachrichtigt wird?
-
Administration
- Enthält die mitgelieferte Produktdokumentation eine genaue Darstellung aller technischen und administrativen Details?
- Kann die Administration über eine graphische Benutzerschnittstelle erfolgen, die sich intuitiv bedienen lässt?
- Ist die administrative Schnittstelle so gestaltet, dass auf fehlerhafte, unsichere oder inkonsistente Konfigurationen hingewiesen wird oder diese verhindert werden?
- Wird neben der graphischen administrativen Schnittstelle auch ein kommandozeilenbasiertes Interface angeboten?
- Ist der Zugriff auf die administrative Schnittstelle durch eine adäquate Zugriffskontrolle geschützt, beispielsweise durch Passworteingabe, Umsetzung eines Rollenkonzeptes (Administrator, Revisor), Vier-Augen-Prinzip?
-
Protokollierung
- Bietet das Produkt Protokollierung an?
- Ist der Detailgrad der Protokollierung konfigurierbar?
- Werden durch die Protokollierung alle relevanten Daten erfasst?
- Ist die Protokollierung so möglich, dass die Daten nach unterschiedlichen Kategorien erfasst werden können (z. B. verbindungsorientiert, benutzerorientiert, protokollorientiert, dienstorientiert)?
- Ist der Zugriff auf die Protokolldaten mit einem Zugriffsschutz versehen? Bietet das Produkt die Möglichkeit an, die Protokolldaten nicht nur lokal zu speichern, sondern auch auf entfernten Rechnern (zentrales Protokoll)? Werden für die entfernte Speicherung unterschiedliche Datenübertragungstechniken angeboten, so dass auch Fremdsysteme zur Protokollierung benutzt werden können (z. B. syslog)? Kann die Übertragung der Protokolldaten abgesichert erfolgen?
- Bietet das Produkt eine Komponente zur Auswertung der Protokolldaten an?
- Kann der Protokollmechanismus mit dem eingesetzten Systemmanagementsystem zusammenarbeiten (Übertragungsformat, Übertragungsprotokoll)?
- Bietet das Produkt die Möglichkeit an, beim Auftreten bestimmter Ereignisse (z. B. Zugriffsverweigerung, mehrere fehlgeschlagene Authentisierungsversuche in Folge) den Administrator zu informieren oder auch geeignete Schutzmaßnahmen (Abweisen des RAS-Clients, Sperren von Benutzerkonten) automatisch durchzuführen?
- Kann die Protokollierung so erfolgen, dass die Bestimmungen des Datenschutzes erfüllt werden können?
-
Kommunikation und Datenübertragung
- Unterstützt die Server-Software LAN-seitig alle lokal existierenden Netzwerktechnologien (z. B. Ethernet, Token Ring, ATM)? Unterstützt die Client- und Server-Software WAN-seitig alle geplanten Zugangstechnologien (z. B. ISDN, Mobiltelefon, analoge Telefonleitung, X.25)?
- Erlaubt der RAS-Server die gleichzeitige Einwahl mehrerer RAS-Clients?
- Unterstützt das RAS-Produkt verschiedene Protokolle für den entfernten Zugang über Telekommunikationsnetze (z. B. PPP, SLIP)?
- Unterstützt das RAS-Produkt verschiedene Dienstprotokolle für den entfernten Zugriff (z. B. TCP/IP, NetBEUI, XPC, DECnet)?
- Werden für den Internet-basierten Zugriff Tunnel-Protokolle (z. B. PPTP, L2F, IPSec) unterstützt?
- Erlaubt das RAS-Produkt je nach verwendeter Zugangstechnologie die Nutzung von zusätzlichen, technologieabhängigen Mechanismen (z. B. Kanalbündelung für ISDN, Rückruf des RAS-Clients durch den RAS-Server)?
-
Sicherheit: Kommunikation, Authentisierung und Zugriff
- Gestattet das Produkt eine gesicherte Datenübertragung?
- Erlaubt das Produkt die alternative Nutzung von Sicherungsmechanismen (IPv4-Mechanismen, IPSec)?
- Erfolgt die Absicherung der Kommunikation durch standardisierte Mechanismen? Insbesondere sollten alle verwendeten kryptographischen Algorithmen etabliert sein und dem Stand der Technik entsprechen. Das Produkt sollte konform zu aktuellen Standards sein. Erlaubt die Produktarchitektur die nachträgliche Installation neuer Sicherheitsmechanismen?
- Wird dem entfernten Benutzer nur nach erfolgreicher Authentisierung der Zugang zum lokalen Netz erlaubt?
- Bietet das System die Möglichkeit an, die Authentisierung entfernter Benutzer durch mehrere Authentisierungsmechanismen durchzuführen (z. B. Benutzername und Passwort, Challenge-Response, Calling Line Identification - CLI)?
- Ist die Systemarchitektur so aufgebaut, dass neue Authentisierungsmechanismen nachträglich integriert werden können?
- Erlaubt das RAS-System die Nutzung einer oder mehrerer gängiger externer Authentisierungsdienste (z. B. SecureID, Radius, TACACS+)?
- Ist es möglich, zusätzliche externe Authentisierungsdienste einzubinden?
- Überträgt das RAS-System die zur Zugriffskontrolle für den Zugriff auf Daten im lokalen Netz notwendigen Informationen (Benutzer-Kennung, Sicherheits-ID) an die lokalen Mechanismen zur Zugriffskontrolle?
Sind alle Anforderungen an das zu beschaffende Produkt dokumentiert, so müssen die am Markt erhältlichen Produkte dahin gehend untersucht werden, inwieweit sie diese Anforderungen erfüllen. Es ist zu erwarten, dass nicht jedes Produkt alle Anforderungen gleichzeitig oder gleich gut erfüllt. Daher sollten die einzelnen Anforderungen mit Gewichten versehen werden, die reflektieren, wie wichtig die Erfüllung der jeweiligen Anforderung ist. Analog kann auch der Erfüllungsgrad einer Anforderung durch das einzelne Produkt in mehrere Stufen eingeteilt werden. Aufgrund der durchgeführten Produktbewertung (gemäß dem erstellten Anforderungskatalog) kann dann eine fundierte Kaufentscheidung getroffen werden.