Bundesamt für Sicherheit in der Informationstechnik

G 2.123 Fehlende oder unzureichende Planung des Einsatzes von Verzeichnisdiensten

Die Sicherheit eines Gesamtsystems hängt maßgeblich von der Sicherheit jedes einzelnen Teilsystems ab. Somit stützt sich die Sicherheit von Verzeichnisdiensten auf die Sicherheit des Basisbetriebssystems und hierbei vor allem auf die Dateisystemsicherheit.

Verzeichnisdienste lassen sich auf einer Vielzahl von Betriebssystemen installieren und betreiben, wodurch sich eine große Vielfalt der bei den eingesetzten Betriebssystemen jeweils vorzunehmenden Sicherheitseinstellungen ergeben kann. Diese Vielfalt erhöht die Anforderungen an die Planung und setzt entsprechende Kenntnisse sämtlicher als Basis dienender Betriebssysteme voraus. Sollte die Gesamtlösung sehr heterogen sein, besteht daher die Gefahr, dass der Einsatz von Verzeichnisdiensten nicht detailliert und tief genug geplant wird.

Speziell für den Einsatz eines Verzeichnisdienstes im Intranet ist die Planung der Baumstruktur sowie die Abbildung der Organisationsstruktur einer Institution von großer Bedeutung. Wenn die organisatorische Struktur bis ins Kleinste nachgebildet wird, kann dies zu Problemen in der Administration führen. Bei einer fehlerhaften Planung besteht die Gefahr von Inkonsistenzen und übermäßiger Komplexität im Aufbau des Verzeichnisdienstes, woraus Fehlkonfigurationen sowie ein falscher oder unzulänglicher Betrieb des Systems resultieren könnten.

Die globale Baumstruktur eines Verzeichnisdienstes hat weitreichende Auswirkungen auf die Sicherheit einer Installation. Wenn beispielsweise verschiedene Teilbäume unterschiedliche Sicherheitsanforderungen haben oder zu verschiedenen Organisationsbereichen gehören, könnten sich hieraus problematische Aspekte ergeben. Durch die impliziten Vererbungsmechanismen sowie durch die Komplexität der Regeln für die Berechnung der tatsächlich wirksamen, effektiven Rechte einzelner Objekte ergeben sich hohe Anforderungen an die Planung des Systems.

Falls eine Zertifizierungsstelle (englisch: Certificate Authority, CA ) eingesetzt wird, stellt diese einen wesentlichen Sicherheitsbestandteil des Verzeichnisdienstes dar. Auch hierbei kann eine fehlerhafte Planung die Sicherheit des Verzeichnisdienstes erheblich beeinträchtigen.

Da ein Verzeichnisdienst eine rollenbasierte Administration der Verzeichnisdatenbank sowie die Delegation einzelner Administrationsaufgaben erlaubt, besteht bei fehlerhafter Planung der Administrationsaufgaben die Gefahr, dass das System unsicher oder unzulänglich administriert wird.

Ferner könnte der Einsatz eines Administrationstools fehlerhaft geplant sein und dadurch unautorisierten Benutzern den Zugang zu Interna der Verzeichnisdienst-Installation erlauben.

Bei der Synchronisation von Verzeichnisdaten mit weiteren Verzeichnisdiensten beispielsweise mittels DirXML bei eDirectory von Novell können sich weitere Gefahren ergeben. Bei entsprechenden Rechten, die vom jeweils betrachteten Zielsystem abhängen, werden Änderungen infolge der Synchronisation dann auch im Verzeichnisdienst aktiv.

Externe Verzeichnisse könnten sich umgekehrt beim eigenen Verzeichnisdienst einschreiben, um Änderungen des Informationsstandes zu erfahren und ihr Verzeichnis daraufhin abzugleichen. Eine solche Art der Synchronisation bedarf einer detaillierten Planung, da anderenfalls sensitive Daten unter Umständen ungewollt automatisiert nach außen vervielfältigt werden. Umgekehrt könnten beispielsweise ungewollt bestehende Daten auf diesem Weg überschrieben werden. Hierbei könnten Planungsfehler den Verlust von Integrität und Vertraulichkeit von Verzeichnisdaten hervorrufen.

Bei Verwendung von Login-Skripten für Benutzer bzw. Benutzergruppen könnten durch fehlende oder unzulängliche Planung Inkonsistenzen zur festgelegten Sicherheitsrichtlinie auftreten. Ferner können sich bei fehlender oder unzureichender Planung auch zusätzlich noch folgende Probleme ergeben:

  • Sofern Replikation und Backup nicht ausreichend berücksichtigt wurden, könnte es zu Datenverlusten kommen.
  • Der Betrieb der Public-Key-Infrastruktur (PKI) könnte inadäquat sein.
  • Die Systemleistung könnte zu gering sein.

Stand: 10. EL Stand 2008