Bundesamt für Sicherheit in der Informationstechnik

G 2.69 Fehlende oder unzureichende Planung des Einsatzes von Novell eDirectory

Als Werkzeug für das Ressourcenmanagement in Netzen ist eDirectory für den Einsatz in einer heterogenen IT-Umgebung unter einer Vielzahl unterstützter Betriebssysteme ausgelegt. Die Sicherheit des Gesamtsystems ist naturgemäß abhängig von der Sicherheit jedes Teilsystems. Die Betriebssystemsicherheit und speziell die Sicherheit des Dateisystems sind die Basis, auf die sich die Sicherheit von eDirectory stützt.

Da sich eDirectory sowie die einsetzbare Clientsoftware auf einer Vielzahl von Betriebssystemen installieren und betreiben lassen, kann sich daraus eine hohe Vielfalt der bei den eingesetzten Betriebssystemen jeweils vorzunehmenden Sicherheitseinstellungen ergeben. Dies erhöht die Anforderungen an die Planung und setzt entsprechende Kenntnisse sämtlicher involvierter Betriebssysteme voraus. Es besteht deshalb die Gefahr, dass der Einsatz von eDirectory nicht detailliert und tief genug geplant wird, wenn die Gesamtlösung sehr heterogen ist.

Für den Einsatz im Intranet ist speziell die Planung der Baumstruktur und die Abbildung der Unternehmensinfrastruktur darin von großer Bedeutung. Bei fehlerhafter Planung besteht die Gefahr von Inkonsistenzen und übermäßiger Komplexität im Aufbau des Verzeichnisdienstes. Daraus können in der Folge Fehlkonfigurationen und falscher oder unzulänglicher Betrieb des Systems resultieren.

Die globale Baumstruktur des eDirectory-Verzeichnisdienstes hat weitreichende Auswirkungen auf die Sicherheit einer eDirectory-Installation. Problematische Aspekte ergeben sich hier besonders dann, wenn die verschiedenen Teilbäume unterschiedliche Sicherheitsanforderungen haben oder zu verschiedenen Organisationsbereichen gehören. Durch die impliziten Vererbungsmechanismen und die Komplexität der Regeln für die Berechnung der tatsächlich wirksamen, effektiven Rechte einzelner Objekte stellt dies hohe Anforderungen an die Planung des Systems.

Die implizit eingesetzte CA (Zertifizierungsstelle) ist wesentlicher Bestandteil der Sicherheit von eDirectory. Auch hier kann eine fehlerhafte Planung die Sicherheit des Verzeichnisdienstes beeinträchtigen.

Die Planung der Zugriffsmöglichkeiten auf den Verzeichnisdienst ist ein Kernthema für die Systemsicherheit. Dies gilt sowohl für den Einsatz im Intranet als auch besonders für den Einsatz von eDirectory als LDAP -Server im Internet.

Weiterhin ist die Planung der Administration des Verzeichnisdienstes ein wichtiges Thema. eDirectory erlaubt die Umsetzung eines Rollen-basierten Administrationskonzeptes sowie die Delegation von Administrationsaufgaben. Dies ist speziell unter dem Aspekt der Sicherheitsadministration wichtig. Die Planung der Administration erfordert äußerste Sorgfalt und Umsicht, anderenfalls besteht die Gefahr, dass unautorisierte Systemnutzer ungewollte Zugriffsmöglichkeiten erhalten.

Darüber hinaus bietet die eDirectory-Software das iMonitor-Tool, welches einen Web-basierten Monitorzugriff auf die eDirectory-Server und das Verzeichnissystem gestattet. Eine fehlerhafte Planung des Einsatzes dieser Funktionalität erlaubt unter Umständen unautorisierten Benutzern den Zugang zu Interna der eDirectory-Installation.

Ein wichtiger Punkt im Betrieb von eDirectory ist auch die Partitionierung des Verzeichnisdienstes und dessen Replikation. Hier kann eine unzulängliche Planung mangelhafte Performance, Inkonsistenzen in der Datenhaltung bis hin zu Datenverlusten zur Folge haben.

Der eDirectory-Verzeichnisdienst erlaubt eine rollenbasierte Administration der Verzeichnisdatenbank sowie die Delegation einzelner Administrationsaufgaben. Die Planung der Administrationsrollen und der Delegationsmöglichkeiten hat dabei in Übereinstimmung mit der festzulegenden Sicherheitsrichtlinie (siehe M 2.238 Festlegung einer Sicherheitsrichtlinie für Novell eDirectory ) zu erfolgen. Bei fehlender oder fehlerhafter Planung der Administrationsaufgaben besteht die Gefahr, dass das System unsicher oder unzulänglich administriert wird.

eDirectory erlaubt die Synchronisation von Verzeichnisdaten mit weiteren Verzeichnisdiensten via DirXML. DirXML besteht aus einem Kern (engine) und spezialisierten Treibern (z. B. für Windows 2000 Active Directory, Lotus Notes, SAP R/3, Netscape, etc.) für den Austausch von Verzeichnisinformationen im XML-Format. Dabei können die fremden Verzeichnisdienste über einen so genannten Publisher Channel dem eDirectory Änderungen mitteilen. Bei entsprechenden Rechten, die vom jeweils betrachteten Zielsystem abhängen, werden diese Änderungen dann auch im eDirectory aktiv. Die externen Verzeichnisse können sich umgekehrt beim eDirectory einschreiben, um Änderungen des eDirectory-Informationsstandes über diesen Kanal (subscriber channel) zu erfahren und ihr Verzeichnis daraufhin abzugleichen. Diese Synchronisation bedarf einer detaillierten Planung, da anderenfalls sensitive Daten unter Umständen ungewollt automatisiert nach außen vervielfältigt werden. Umgekehrt können unter Umständen ungewollt bestehende Daten auf diesem Weg überschrieben werden. Um die Daten beim Transport zu schützen, kann SSL eingesetzt werden. Hierbei können Fehler in der Planung den Verlust von Integrität und Vertraulichkeit von Verzeichnisdaten nach sich ziehen.

Nicht zuletzt ist die Verwendung von Login-Skripts für Benutzer und Benutzergruppen zu planen. Bei fehlender oder unzulänglicher Planung können hierbei Inkonsistenzen zur festgelegten Sicherheitsrichtlinie auftreten.

Darüber hinaus können sich bei fehlender oder unzureichender Planung auch folgende Probleme ergeben:

  • Der Administrationszugriff auf das System kann unzureichend gesichert sein,
  • der Betrieb der Public-Key-Infrastruktur kann unzulänglich sein,
  • die Systemperformance zu gering sein und
  • es kann zu Datenverlusten kommen, sofern Replikation und Backup nicht ausreichend berücksichtigt wurden.

Stand: Stand 2005