Bundesamt für Sicherheit in der Informationstechnik

M 2.77 Integration von Servern in das Sicherheitsgateway

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Neben Installation und Betrieb des Sicherheitsgateways müssen oft auch Server sicher angeordnet werden. Dazu gehören z. B. Informationsserver für die Bereitstellung von Informationen an interne oder externe Benutzer, Mailserver und DNS -Server.

Für die Anordnung von Servern ist zu unterscheiden, ob diese im zu schützenden Netz, im Netz zwischen den beiden Paketfiltern (im Folgenden nur noch "Zwischennetz" genannt) oder auf der externen Seite des Sicherheitsgateways angesiedelt werden sollen.

Externe Zugänge

Externe Zugänge zum vertrauenswürdigen Netz, beispielsweise mit SSH über einen Modem-Pool, sollten wie Zugänge aus dem nicht-vertrauenswürdigen Netz behandelt werden. Dies lässt sich erreichen, indem z. B. ein Terminalserver mit angeschlossenen Modems auf die externe Seite des Sicherheitsgateways gestellt wird, so dass ein Zugang von dort nur über SSH zum internen Rechner durchgeführt werden kann.

Es müssen klare Regelungen darüber getroffen werden, dass keine externen Zugänge unter Umgehung des Sicherheitsgateways geschaffen werden dürfen. Diese Regelungen müssen allen Mitarbeitern bekanntgemacht werden. Es muss sichergestellt werden, dass sowohl das Sicherheitsmanagement als auch der Administrator des Sicherheitsgateways rechtzeitig über entsprechende Pläne unterrichtet wird, um eine Einbettung in das Sicherheitskonzept und die Sicherheitsrichtlinie des Sicherheitsgateways zu gewährleisten.

Weitere Informationen zur Behandlung externer Zugänge finden sich auch im Baustein B 4.4 VPN .

Anordnung von Informationsservern

Server, die der Bereitstellung von Informationen für externe Benutzer dienen, sollten generell "möglichst nahe" am nicht-vertrauenswürdigen Netz platziert werden (z. B. hinter dem externen Paketfilter) und wie andere im nicht-vertrauenswürdigen Netz vorhandene Server betrachtet werden. Die Platzierung "möglichst weit außen" erschwert bei einer Kompromittierung des Informationsservers den Zugriff auf das vertrauenswürdige Netz, da der Angreifer noch mehrere Komponenten des Sicherheitsgateways überwinden muss. Ihre Verwaltung sollte entweder nur lokal oder über speziell abgesicherte und gegebenenfalls sogar zeitlich begrenzte Zugänge vom vertrauenswürdigen Netz aus erfolgen.

Da Informationsserver, die Informationen für externe Benutzer anbieten, wie Rechner des nicht vertrauenswürdigen Netzes behandelt werden sollten, sollte durch Filterregeln und gegebenenfalls durch eine entsprechende Konfiguration des Servers sichergestellt werden, dass von einem solchen Server aus keine Verbindungen ins vertrauenswürdige Netz hinein möglich sind, sondern nur vom vertrauenswürdigen Netz aus zum Server.

Beispielsweise sollten für einen Webserver, dessen Administration vom vertrauenswürdigen Netz aus über eine SSH-Verbindung erfolgt, keine SSH-Verbindungen erlaubt werden, die vom Server ausgehen, sondern nur Verbindungen, die vom vertrauenswürdigen Netz zum Server gehen.

Gibt es Daten, die nur für die Benutzer des vertrauenswürdigen Netzes erreichbar sein sollen (etwa einen Intranet-Webserver), so sollten diese möglichst nicht auf einem Server gespeichert werden, der auch Dienste für externe Benutzer anbietet. In diesem Fall wird empfohlen, weitere Informationsserver im Zwischennetz einzusetzen, die von außen nicht erreichbar sind und gegen Angriffe von innen durch den Paketfilter geschützt werden.

Falls die Daten, die nur für interne Benutzer erreichbar sein sollen einen hohen Schutzbedarf bezüglich der Vertraulichkeit haben, so darf der entsprechende Informationsserver nicht im gleichen Zwischennetz angesiedelt werden, wie Informationsserver für externe Benutzer. In diesem Fall muss eine eigene DMZ für die betreffenden Server eingerichtet werden.

Für folgende Informationsserver werden in eigenen Maßnahmen Hinweise zur Integration in ein Sicherheitsgateway gegeben:

Prüffragen:

  • Sind Maßnahmen umgesetzt, sodass keine weiteren externen Verbindungen unter Umgehung des Sicherheitsgateways geschaffen werden?

  • Erfolgt der administrative Zugriff auf Informationsserver für externe Benutzer ausschließlich über vertrauenswürdige Pfade?

  • Wird eine direkte Verbindung der von extern erreichbaren Informationsserver gegenüber dem vertrauenswürdigem Netz verhindert?

  • Besteht eine netzwerktechnische Trennung der Informationsserver für den internen und externen Bereich?

  • Sind Informationsserver mit sensiblen Daten für den internen Bereich in einer eigenen DMZ angesiedelt?

Stand: 13. EL Stand 2013