Bundesamt für Sicherheit in der Informationstechnik

B 4.5 LAN-Anbindung eines IT-Systems über ISDN

Logo LAN-Anbindung eines IT-Systems über ISDN

Beschreibung

ISDN (Integrated Services Digital Network) ist ein digitales Telekommunikationsnetz, über das verschiedene Dienste, wie Telefon und Telefax, genutzt sowie Daten und Bilder übertragen werden können.

In diesem Kapitel wird die Anbindung eines abgesetzten IT-Systems an ein lokales Netz über ein öffentliches ISDN-Netz betrachtet. Hierbei erfolgt die Anbindung auf Seiten des abgesetzten IT-Systems mittels einer ISDN-Adapterkarte mit S0-Schnittstelle. Die Anbindung des LAN wird über einen Router hergestellt, der über eine S2M-Schnittstelle mit einem öffentlichen ISDN-Netz verbunden ist.

Diese Form der Anbindung eines entfernt stehenden IT-Systems kommt typischerweise für die Anbindung von Telearbeitsplätzen in Betracht.

Gefährdungslage

Für den Grundschutz werden die folgenden Gefährdungen als typisch für die LAN-Anbindung eines IT-Systems über ISDN angenommen:

Höhere Gewalt

G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen
G 2.7 Unerlaubte Ausübung von Rechten
G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
G 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung
G 2.24 Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes
G 2.32 Unzureichende Leitungskapazitäten
G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen

Menschliche Fehlhandlungen

G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal
G 3.13 Weitergabe falscher oder interner Informationen
G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten

Technisches Versagen

G 4.25 Nicht getrennte Verbindungen

Vorsätzliche Handlungen

G 5.2 Manipulation an Informationen oder Software
G 5.7 Abhören von Leitungen
G 5.8 Manipulation von Leitungen
G 5.9 Unberechtigte IT-Nutzung
G 5.10 Missbrauch von Fernwartungszugängen
G 5.14 Gebührenbetrug
G 5.16 Gefährdung bei Wartungs-/Administrierungsarbeiten
G 5.18 Systematisches Ausprobieren von Passwörtern
G 5.25 Maskerade
G 5.39 Eindringen in Rechnersysteme über Kommunikationskarten
G 5.48 IP-Spoofing
G 5.61 Missbrauch von Remote-Zugängen für Managementfunktionen von Routern
G 5.63 Manipulationen über den ISDN-D-Kanal

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

In diesem Kapitel steht die Gewährleistung einer sicheren Kommunikation im Vordergrund. Die für die kommunizierenden IT-Systeme weiterhin erforderlichen Maßnahmen sind den jeweiligen Bausteinen zu entnehmen.

Für die LAN-Anbindung eines IT-Systems über ISDN sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung und Konzeption über die Beschaffung bis hin zum laufenden Betrieb. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im folgenden aufgeführt.

Planung und Konzeption

Die sichere Nutzung von Fernzugriff auf IT-Systeme erfordert die Beachtung einer Reihe von Maßnahmen zum Schutz der Kommunikation (siehe Maßnahme M 5.32 Sicherer Einsatz von Kommunikationssoftware ).

Beschaffung

Die Maßnahme M 2.106 Auswahl geeigneter ISDN-Karten in der Beschaffung nennt eine Reihe wichtiger Kriterien, die bei der Auswahl von ISDN-Karten zu beachten sind.

Umsetzung

Bei der Installation des ISDN-Zugangs ist nach der Grundregel zu verfahren, dass alle nicht benötigten Dienste und Funktionalitäten abzuschalten sind, weil sie nur unnötige Risiken mit sich bringen. Die tatsächlich genutzten Funktionen sind durch geeignete Konfiguration so gut wie möglich abzusichern, wozu unbedingt auch die sofortige Änderung eventueller vom Hersteller vorgegebener Passwörter gehört. Die vorgesehene Konfiguration ist zu dokumentieren, und diese Dokumentation ist bei Änderungen zu aktualisieren.

Ein wesentlicher Aspekt bei der Installation eines ISDN-Zugangs ist noch, dass hierdurch die vorhandene Sicherheit eines Rechnernetzes nicht unterlaufen werden darf. Insbesondere darf hierdurch auf keinen Fall eine Verbindung mit externen Netzen entstehen, die ein vorhandenes Firewall-System überbrückt und damit weitestgehend unwirksam macht.

Betrieb

Durch regelmäßige Kontrollen der erzeugten Protokolldateien lässt sich ein eventueller Missbrauch der ISDN-Verbindung leichter aufdecken. Eine gelegentliche Kontrolle programmierter Zieladressen und Protokolle hilft zu vermeiden, dass versehentlich Verbindungen mit einem falschen Kommunikationspartner aufgebaut werden.

Nachfolgend wird das Maßnahmenbündel für den Bereich LAN-Anbindung eines IT-Systems über ISDN vorgestellt.

Planung und Konzeption

M 2.42 (A) Festlegung der möglichen Kommunikationspartner
M 2.108 (Z) Fernwartung der ISDN-Netzkoppelelemente
M 4.34 (Z) Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen
M 4.62 (Z) Einsatz eines D-Kanal-Filters
M 5.32 (A) Sicherer Einsatz von Kommunikationssoftware
M 5.47 (Z) Einrichten einer Closed User Group

Beschaffung

M 2.106 (C) Auswahl geeigneter ISDN-Karten in der Beschaffung

Umsetzung

M 1.43 (A) Gesicherte Aufstellung aktiver Netzkomponenten
M 2.46 (A) Geeignetes Schlüsselmanagement
M 2.107 (A) Dokumentation der ISDN-Karten-Konfiguration
M 2.109 (A) Rechtevergabe für den Fernzugriff
M 2.204 (A) Verhinderung ungesicherter Netzzugänge
M 4.7 (A) Änderung voreingestellter Passwörter
M 4.59 (A) Deaktivieren nicht benötigter ISDN-Karten-Funktionalitäten
M 4.60 (A) Deaktivieren nicht benötigter ISDN-Router-Funktionalitäten
M 4.61 (A) Nutzung vorhandener Sicherheitsmechanismen der ISDN-Komponenten
M 5.48 (A) Authentisierung mittels CLIP/COLP
M 5.49 (A) Callback basierend auf CLIP/COLP
M 5.50 (A) Authentisierung mittels PAP/CHAP

Betrieb

M 5.29 (C) Gelegentliche Kontrolle programmierter Zieladressen und Protokolle

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK