Bundesamt für Sicherheit in der Informationstechnik

M 2.238 Festlegung einer Sicherheitsrichtlinie für Novell eDirectory

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Als eine der organisatorischen Hauptaufgaben bei der Planung des eDirectory-Einsatzes muss zunächst eine Sicherheitsrichtlinie fixiert werden. Durch die Sicherheitsrichtlinie wird festgelegt, welche Sicherheitsbestimmungen in einem eDirectory-System gelten sollen und wie diese bei der Installation umgesetzt werden müssen.

Durch die eDirectory-Sicherheitsrichtlinie sollten sämtliche sicherheitsbezogenen Themenbereiche eines eDirectory-Verzeichnisdienstes geregelt werden. Die folgende Liste gibt einen groben Überblick über die Bereiche, die durch eine solche Richtlinie geregelt werden sollten. Die Liste muss je nach Einsatzszenarien in der Behörde bzw. im Unternehmen entsprechend angepasst, ausgestaltet und erweitert werden.

Allgemeines:

  • Wie sollen eDirectory-Server physikalisch abgesichert werden?
  • Welche eDirectory-Komponenten, z. B. ConsoleOne und iMonitor, sollen genutzt werden?
  • Welche Baumstruktur soll gewählt werden?
  • Wie wird diese Baumstruktur partitioniert?
  • Werden Schemaänderungen vorgenommen?
  • Welche Objektklassen mit welchen Attributsätzen werden eingesetzt?
  • Welche Repliken welchen Typs sollen angelegt werden?
  • Welche Rechner sind eDirectory-Server und welche Rechner halten eine Replica?

Rechtevergabe:

  • Welcher Benutzer darf welche Rechte ausüben?
  • Welcher Administrator darf welche Rechte ausüben?
  • Welche Authentisierungsverfahren sollen gewählt werden?
  • Wie wird die Vererbung von Rechten innerhalb der Baumstruktur definiert?
  • Welche Sicherheitsäquivalenzen zwischen Objekten oder Objektklassen werden definiert?

Administration:

  • Welche Administratorrollen werden definiert?
  • Wer darf Schemaänderungen vornehmen?
  • Welche Administrationsaufgaben dürfen bzw. sollen delegiert werden?

Datenkommunikation:

  • Welche Datenkommunikation ist abgesichert abzuwickeln?
  • Mit welchen Mechanismen werden ggf. Vertraulichkeit, Integrität und Authentizität der Daten geschützt?

Zertifikatsautorität:

  • Welche Parameter für die CA sind zu verwenden?
  • Wer darf Einstellungen der CA ändern?
  • Welche Objekte sind mit Zertifikaten zu versehen?
  • Welche Zertifikate sind für SSL-Verbindungen einzusetzen?

Dateisystem des unterliegenden Betriebssystems:

  • Welche Berechtigungen auf Systemdateien gelten für die verschiedenen Administratoren und Benutzer?
  • Soll Verschlüsselung auf Dateisystemebene eingesetzt werden?

LDAP:

  • Welche Benutzer dürfen unter welchen Bedingungen über LDAP auf das eDirectory zugreifen?
  • Soll anonymer Login unterstützt werden?
  • Welche Netzapplikationen dürfen via LDAP auf das eDirectory zugreifen?
  • Soll die LDAP-Kommunikation generell über SSL laufen?
  • Dürfen die Benutzerpasswörter im Klartext übertragen werden?

Client-Zugriff auf den eDirectory-Verzeichnisdienst:

  • Welche Authentisierungsverfahren sollen eingesetzt oder erlaubt werden?
  • Auf welchen Verzeichnisbaum darf vom Netz aus zugegriffen werden?
  • Welche Ressourcen sind aus dem Netz von welchen Benutzern zugreifbar?

Verschlüsselung von Attributen

  • Soll der Secret Store Mechanismus (verfügbar über das Zusatzmodul Secure Login) zur Verschlüsselung von Attributen genutzt werden?

Fernzugriff zur Systemüberwachung und Administration:

  • Darf das Tool iMonitor genutzt werden?
  • Wer darf das Tool iMonitor nutzen?
  • Wie wird das Protokoll HTTPS zu diesem Zweck konfiguriert?

Diese komponentenspezifische Auflistung von Themengebieten kann in folgende zeitliche Abfolge gebracht werden:

1. Definition der eDirectory-Baumstruktur

Im ersten Schritt ist die logische Struktur des eDirectory-Baumes, die Aufteilung in Organisation und Organisationseinheiten sowie insbesondere auch die Zuordnung der Server und der zu verwaltenden Netz-Ressourcen festzulegen (siehe M 2.236 Planung des Einsatzes von Novell eDirectory ).

Anschließend muss über die im Verzeichnisdienst gehaltenen Objekte und deren Attribute entschieden werden. Bei Bedarf sind hierzu Schemaänderungen am eDirectory vorzunehmen. Weiterhin sollte an dieser Stelle über die Partitionierung der Verzeichnisdaten und über die Einrichtung von Repliken entschieden werden (siehe M 2.237 Planung der Partitionierung und Replikation im Novell eDirectory ).

2. Regelung der Verantwortlichkeiten

Ein eDirectory-Verzeichnisdienst sollte von geschulten Netzadministratoren sicher betrieben werden. Dabei ist im Rahmen der Notfallvorsorge eine geeignete Stellvertreterregelung zu treffen. Generell sollte ein Konzept zur rollenbasierten Administration erstellt werden. Nur die berechtigten Sicherheits-Administratoren dürfen eDirectory-Sicherheitsparameter verändern.

Die Verantwortlichkeiten der einzelnen Benutzerdes eDirectory-Verzeichnisses sind unter Schritt 10 dargestellt.

3. Festlegung von Namenskonventionen

Um die Verwaltung des eDirectory-Verzeichnisbaums zu erleichtern, sollten eindeutige Namen für die Server, Applikationen, Drucker, Benutzer, Benutzergruppen und die weiteren eDirectory-Objekte verwendet werden.

4. Festlegung der Regeln für Benutzerkonten

Vor der Einrichtung von Benutzerkonten sollten die Restriktionen, die für alle oder nur für bestimmte Konten gelten sollen, festgelegt werden. Dies betrifft insbesondere die Regelungen für Passwörter und für die Reaktion des Systems auf fehlerhafte Login-Vorgänge. Außerdem sollte das Erstellen der Login-Skripts geregelt werden.

5. Einrichtung von Gruppen (Organizational Roles)

Zur Vereinfachung der Administration sollten Benutzer-Objekte, für die die gleichen Anforderungen gelten, zu Gruppen zusammengefasst werden. Die korrespondierenden eDirectory-Objekte heißen Organizational Roles. Benutzerrechte sowie Zugriffsrechte auf Verzeichnisobjekte und gegebenenfalls weitere vordefinierte Funktionen werden dann den Gruppen (Organizational Roles) und nicht einzelnen Benutzer-Objekten zugeordnet. Die Benutzer-Objekte erben die Rechte und Berechtigungen der Gruppen (Organizational Roles), denen sie angehören. So ist es z. B. denkbar, alle Mitarbeiter einer Abteilung in einer Gruppe (Organizational Role) zusammenzufassen. Benutzerberechtigungen sollten nur dann einzelnen Benutzern zugewiesen werden, wenn dies ausnahmsweise unumgänglich ist.

6. Festlegung der Vorgaben für Protokollierung

Hierbei ist festzulegen, welche vom eDirectory generierten Ereignisse zu protokollieren sind und bei welcher Ereigniskombination eine Benachrichtigung an den Sicherheits- bzw. Systemadministrator zu erfolgen hat. Weiterhin muss entschieden werden, wie lange die gesammelten Ereignisdaten aufzubewahren sind.

7. Regelungen zur Datenspeicherung

Es ist festzulegen, wo Benutzerdaten gespeichert werden (siehe M 2.138 Strukturierte Datenhaltung ). Bei eDirectory werden Benutzerdaten nur auf eDirectory-Servern abgelegt. Eine Datenspeicherung auf den lokalen Festplatten der einzelnen Clients findet nicht statt. Die Frage nach der Datenspeicherung ist jedoch auf der Ebene einzelner Partitionen zu klären. Datenbestände sollten in Bezug auf ihren Schutzbedarf klassifiziert werden, und entsprechend sollte die Partitionierung des Verzeichnisses auf vertrauenswürdige und gesicherte Hosts vorgenommen werden. Dabei sind besonders die hochsensiblen Daten des Security-Containers zu berücksichtigen.

8. Einrichtung von Projektverzeichnissen

Um eine saubere Trennung von benutzer- und projektspezifischen Daten (Objekten) untereinander durchzusetzen, sollte eine geeignete Verzeichnisstruktur festgelegt werden, die eine solche Objekthaltung unterstützt.

9. Vergabe der Zugriffsrechte

Für die Objekte des Verzeichnisdienstes ist festzulegen, welche Attribute für den Betrieb freizugeben und welche Zugriffsrechte ihnen zuzuweisen sind.

10. Verantwortlichkeiten der Administratoren und Benutzer im Client-Server-Netz

Neben der Wahrnehmung der Netzmanagement-Aufgaben (siehe Nr. 2) müssen weitere Verantwortlichkeiten festgelegt werden. Es ist festzulegen, welche Verantwortung die einzelnen Administratoren im eDirectory-Verzeichnissystem übernehmen müssen. Dies können zum Beispiel Verantwortlichkeiten sein für

  • die Verwaltung des eDirectory-Baums oder einzelner Partitionen,
  • die Verwaltung der Schemadefinition,
  • die Verwaltung der CA und der Key Management Objekte (KMO),
  • die Auswertung der Protokolldateien auf den einzelnen Servern oder Clients,
  • die Vergabe von Zugriffsrechten,
  • das Hinterlegen und den Wechsel von Passwörtern und die Durchführung von Datensicherungen.

Auch die Benutzer müssen in einem eDirectory-Verzeichnisdienst mit Client-Zugriff bestimmte Verantwortlichkeiten übernehmen, insbesondere wenn ihnen Rechte zur Ausführung administrativer Funktionen gegeben werden.

In der Regel beschränkt sich dies jedoch auf die Vergabe der eigenen Passwörter für das Login.

11. Schulung

Abschließend muss festgelegt werden, welche Benutzer zu welchen Teilaspekten geschult werden müssen. Erst nach ausreichender Schulung kann der Produktivbetrieb aufgenommen werden. Besonders die Administratoren sind hinsichtlich der Verwaltung und der Sicherheit von eDirectory gründlich zu schulen.

Die so entwickelten Sicherheitsrichtlinien sind zu dokumentieren und im erforderlichen Umfang den Benutzern des eDirectory-Verzeichnisdienstes mitzuteilen. Bei der Definition der Sicherheitsrichtlinie für eDirectory ist zu beachten, dass sie sich an den bisher geltenden Sicherheitsrichtlinien der Behörde bzw. des Unternehmens orientieren muss, diesen nicht widersprechen (Konsistenz) und auch nicht im Widerspruch zu geltendem Recht stehen darf. In der Regel wird eine eDirectory-Sicherheitsrichtlinie existierende Regelungen spezifisch anpassen oder aber sinngemäß erweitern, z. B. durch zusätzliche Anforderungen für Komponenten. Dabei sind unter Umständen neue Regelungen für eDirectory-spezifische Funktionalitäten, z. B. iMonitor, zu treffen. Generell gilt, dass sich die Planung des eDirectory-Verzeichnisdienstes an den jeweiligen Sicherheitsrichtlinien orientiert, dabei jedoch auch Einfluss auf die Sicherheitsrichtlinien besitzt (Feedback-Prozess).

Prüffragen:

  • Sind alle für den geplanten Einsatz von eDirectory relevanten Bereiche durch Sicherheitsrichtlinien abgedeckt?

  • Ist die logische Struktur des eDirectory-Baumes festgelegt und dokumentiert worden?

  • Ist eine geeignete Stellvertreterregelung für den eDirectory-Verzeichnisdienst getroffen worden?

  • Werden eindeutige Namen für die Server, Applikationen, Drucker, Benutzer, Benutzergruppen und die weiteren eDirectory-Objekte verwendet?

  • Gibt es Regelungen zur Einrichtung von Benutzern und Gruppen (Organizational Roles) im eDirectory?

  • Ist die Protokollierung der vom eDirectory generierten Ereignisse geregelt?

  • Werden Benutzerdaten entsprechend ihrer Schutzbedarf-Klassifizierung gespeichert?

  • Ermöglicht die eDirectory-Verzeichnisstruktur eine Trennung von benutzer- und projektspezifischen Daten (Objekten)?

  • Ist für die Objekte des eDirectory-Verzeichnisdienstes festgelegt, welche Attribute für den Betrieb freizugeben und welche Zugriffsrechte ihnen zuzuweisen sind?

  • Sind alle Benutzer über die eDirectory-Sicherheitsrichtlinien informiert?

Stand: 13. EL Stand 2013