Bundesamt für Sicherheit in der Informationstechnik

B 5.9 Novell eDirectory

Logo Novell eDirectory

Beschreibung

Novell eDirectory ist ein komplexes und vielseitiges Produkt, welches

  • einerseits innerhalb eines Behörden- oder Unternehmensnetzes das Management der eingebundenen Ressourcen und deren Benutzer plattformübergreifend übernehmen kann und
  • andererseits auch als Internet-Informationsbasis mit gesicherten und standardisierten Zugriffsmöglichkeiten via geeigneter Clients einsetzbar ist.

Diese beiden Szenarien ergeben völlig unterschiedliche Gefährdungen für den Einsatz und den Betrieb eines solchen Systems. Vor allem eine Kombination dieser Einsatzszenarien stellt vom Standpunkt der Informationssicherheit eine Herausforderung dar.

Entsprechend muss für die Sicherheit der in einem eDirectory-Verzeichnis gespeicherten Daten stets auch die Sicherheit des zugrunde liegenden Betriebssystems mit berücksichtigt werden. Letzteres ist jedoch nicht Bestandteil dieses Bausteins und es wird deshalb auf die entsprechenden Beschreibungen zum sicheren Betrieb des genutzten Betriebssystems in den Bausteinen der Schicht 3 verwiesen. Ebenso muss eine Grundabsicherung des Novell eDirectory als Verzeichnisdienst vorgenommen werden. Hierbei ist in jedem Fall der Baustein B 5.15 Allgemeiner Verzeichnisdienst zusätzlich zu diesem Baustein anzuwenden.

eDirectory ist aus dem Verzeichnisdienst Novell Directory Services (NDS) hervorgegangen, das Bestandteil des Betriebssystems Netware 4 war. Dies war seinerzeit die herausragende Neuerung gegenüber dem Betriebssystem Netware 3. Inzwischen positioniert Novell diese Verzeichnisdienste als eigenständiges Produkt eDirectory vollständig unabhängig vom Netware-Betriebssystem. eDirectory lässt sich dabei auf einer Vielzahl von Betriebssystemen installieren und betreiben. In der Literatur und in den Quellen wird jedoch häufig weiterhin von "den Novell Directory Services" gesprochen und NDS mit eDirectory synonym gesetzt.

In diesem Baustein wird speziell die eDirectory-Version 8.6 betrachtet, und zwar die englische Version. Die Software unterstützt die Plattformen Netware, Windows NT/2000, Linux sowie Sun Solaris.

eDirectory kann mit spezieller Clientsoftware verwendet werden, wie dem Novell Client für die Windows-Betriebssysteme. Diese Clients sind in den Bootvorgang des jeweiligen Rechners integriert und übernehmen die Authentisierung der Benutzer gegen den Verzeichnisdienst eDirectory. Auch für Unix-Betriebssysteme (Linux, Solaris) gibt es eine ähnliche Möglichkeit, die den Mechanismus der Pluggable Authentication Modules (PAM) nutzt. Dabei kommen die Novell Account Management Modules zum Einsatz. Auch hier werden Benutzer beim Login gegen den eDirectory-Verzeichnisdienst authentisiert.

Eine andere Möglichkeit bietet der Zugriff über die LDAP -Schnittstelle. Durch die Verwendung dieser standardisierten Schnittstelle ist die Nutzung des eDirectorys auch mit anderen Applikationen und Systemen möglich. Für den Einsatz im Internet ist generell das LDAP-Protokoll die Zugriffsmethode.

Weiterhin bietet die eDirectory-Software eine Vielzahl von Tools, unter anderem den iMonitor, der Überwachungs- und Diagnosemöglichkeiten über die Server eines Verzeichnisdienstes von einem Web-Browser aus zur Verfügung stellt.

Gefährdungslage

Aufgrund der Vielzahl an Funktionen und der Komplexität der Software ist ein eDirectory-Verzeichnisdienst einer Reihe von Gefährdungen ausgesetzt. Hinzu kommen die Gefährdungen, die das eingesetzte Betriebssystem betreffen, insbesondere den allgemeinen Serverzugriff und das Dateisystem.

Für den IT-Grundschutz eines Novell eDirectory-Systems werden folgende typische Gefährdungen angenommen:

Höhere Gewalt

G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.2 Unzureichende Kenntnis über Regelungen
G 2.7 Unerlaubte Ausübung von Rechten
G 2.69 Fehlende oder unzureichende Planung des Einsatzes von Novell eDirectory
G 2.70 Fehlerhafte oder unzureichende Planung der Partitionierung und Replizierung im Novell eDirectory
G 2.71 Fehlerhafte oder unzureichende Planung des LDAP-Zugriffs auf Novell eDirectory

Menschliche Fehlhandlungen

G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.13 Weitergabe falscher oder interner Informationen
G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
G 3.34 Ungeeignete Konfiguration des Managementsystems
G 3.35 Server im laufenden Betrieb ausschalten
G 3.36 Fehlinterpretation von Ereignissen
G 3.38 Konfigurations- und Bedienungsfehler
G 3.43 Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen
G 3.50 Fehlerhafte Konfiguration von Novell eDirectory
G 3.51 Falsche Vergabe von Zugriffsrechten im Novell eDirectory
G 3.52 Fehlerhafte Konfiguration des Intranet-Clientzugriffs auf Novell eDirectory
G 3.53 Fehlerhafte Konfiguration des LDAP-Zugriffs auf Novell eDirectory

Technisches Versagen

G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
G 4.13 Verlust gespeicherter Daten
G 4.33 Schlechte oder fehlende Authentikationsverfahren und -mechanismen
G 4.34 Ausfall eines Kryptomoduls
G 4.44 Ausfall von Novell eDirectory

Vorsätzliche Handlungen

G 5.16 Gefährdung bei Wartungs-/Administrierungsarbeiten
G 5.18 Systematisches Ausprobieren von Passwörtern
G 5.19 Missbrauch von Benutzerrechten
G 5.20 Missbrauch von Administratorrechten
G 5.65 Verhinderung der Dienste eines Datenbanksystems
G 5.78 DNS-Spoofing
G 5.81 Unautorisierte Benutzung eines Kryptomoduls

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für den Einsatz der eDirectory-Komponenten sollte bereits bei der Planung ein spezifisches Sicherheitskonzept erstellt werden, welches sich konsistent in das bestehende organisationsweite Sicherheitskonzept integrieren lässt. Das eDirectory-System muss so konfiguriert werden, dass bereits bestehende Sicherheitsanforderungen umgesetzt werden, und hat darüber hinaus weitere, eDirectory-spezifische Anforderungen durchzusetzen.

Ein eDirectory-System wird in der Regel im Umfeld mit weiteren Systemen eingesetzt, welche den Zugriff auf das interne Netz von außen kontrollieren. Hierbei sind insbesondere Firewall-Systeme und Systeme zur Fernwartung zu nennen, mit denen eDirectory zusammenarbeiten muss. Aus diesem Grund sind bei der Durchführung der eDirectory-spezifischen Maßnahmen stets auch die entsprechenden Maßnahmen aus den jeweiligen Bausteinen zusätzlich betroffener Systeme mit zu berücksichtigen. Neben den Bausteinen aus der Schicht 3 sind unter anderem auch die folgenden Bausteine zu nennen:

Für die sichere Implementierung eines eDirectory-Systems sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung über die Installation bis hin zum Betrieb. Die einzelnen Schritte sowie die jeweiligen Maßnahmen, die auf diesem Weg zu beachten sind, sind nachstehend zusammengefasst:

Nachfolgend wird das Maßnahmenbündel für den Baustein "Novell eDirectory" vorgestellt:

Planung und Konzeption

M 2.236 (A) Planung des Einsatzes von Novell eDirectory
M 2.237 (B) Planung der Partitionierung und Replikation im Novell eDirectory
M 2.238 (A) Festlegung einer Sicherheitsrichtlinie für Novell eDirectory
M 2.239 (A) Planung des Einsatzes von Novell eDirectory im Intranet
M 2.240 (A) Planung des Einsatzes von Novell eDirectory im Extranet

Umsetzung

M 3.29 (A) Schulung zur Administration von Novell eDirectory
M 3.30 (A) Schulung zum Einsatz von Novell eDirectory Clientsoftware
M 4.153 (A) Sichere Installation von Novell eDirectory
M 4.154 (A) Sichere Installation der Novell eDirectory Clientsoftware
M 4.155 (A) Sichere Konfiguration von Novell eDirectory
M 4.156 (A) Sichere Konfiguration der Novell eDirectory Clientsoftware
M 4.157 (A) Einrichten von Zugriffsberechtigungen auf Novell eDirectory
M 4.158 (B) Einrichten des LDAP-Zugriffs auf Novell eDirectory

Betrieb

M 4.159 (A) Sicherer Betrieb von Novell eDirectory
M 4.160 (B) Überwachen von Novell eDirectory
M 5.97 (B) Absicherung der Kommunikation mit Novell eDirectory

Notfallvorsorge

M 6.81 (A) Erstellen von Datensicherungen für Novell eDirectory

Stand: 11. EL Stand 2009