Bundesamt für Sicherheit in der Informationstechnik

M 2.281 Dokumentation der Systemkonfiguration von Routern und Switches

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Die Konfiguration von Routern und Switches wird meist mittels Konfigurationsdateien vorgenommen, die auf dem Gerät gespeichert sind. Router und Switches besitzen eine Reihe von Konfigurationsoptionen, die für den sicheren Betrieb wichtig sind. Bei der Erstinstallation beziehungsweise im Auslieferungszustand sind diese Einstellungen mit Default-Werten belegt.

Die Konfiguration, die bei der Inbetriebnahme des Geräts vorgenommen wird, muss so dokumentiert werden, dass sie jederzeit vom Administrator oder seinem Vertreter nachvollzogen werden kann. Insbesondere dann, wenn eine Konfiguration von einem Default-Wert abweicht, sollte in einem Kommentar in der Konfigurationsdatei festgehalten werden, warum die Einstellung so gewählt wurde.

Jede Änderung der Konfiguration sollte vom Administrator nachvollzogen werden können. Es wird empfohlen, mindestens folgende Punkte zu dokumentieren:

  • Welche Änderung wurde durchgeführt?
  • Warum wurde die Änderung durchgeführt (Anlass)?
  • Wann wurde diese Änderung durchgeführt (Uhrzeit, Datum)?
  • Wer hat die Änderung durchgeführt?

Die Dokumentation der Änderungen kann ebenfalls durch Kommentare in der Konfigurationsdatei erfolgen. Dabei ist es jedoch in der Regel sinnvoll, zu jeder Option nur die jeweils letzte Änderung in der Datei selbst zu speichern.

Zusätzlich dazu sollten zumindest alle sicherheitsrelevanten Konfigurationsänderungen in einem Protokoll gespeichert werden, anhand dessen sich jederzeit nachvollziehen lässt, wie das Gerät zu einem bestimmten Zeitpunkt konfiguriert war. Dieses Protokoll sollte nicht auf dem Gerät selbst gespeichert werden.

Zur Erleichterung der Dokumentation und Protokollierung kann ein Revisions- und Versionskontrollsystem wie beispielsweise CVS eingesetzt werden. Ein solches System bietet den zusätzlichen Vorteil, dass notfalls eine frühere Konfiguration einfach wieder hergestellt werden kann. Netzmanagement-Systeme zur zentralen Administration bieten in der Regel ebenfalls eine integrierte Dokumentations- und Protokollfunktion.

Es ist empfehlenswert, die Dokumentation so zu gestalten, dass sie auch von einem Fachmann, der mit den konkreten Gegebenheiten der Systemlandschaft nicht vertraut ist, nachvollzogen werden kann.

Die Konfigurationsdateien sollten zur Notfallvorsorge zusätzlich zentral auf einem dafür vorgesehenen Server gespeichert werden. Für die zentrale Verwaltung von Konfigurationsdateien werden oft TFTP -Server verwendet. TFTP-Server sollten jedoch nur in einem abgesicherten Administrationsnetz betrieben werden, weil der Dienst TFTP eine Reihe von Schwachstellen beinhaltet (siehe auch G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen ). Eine Alternative dazu ist die Übertragung per SCP (siehe auch M 5.64 Secure Shell ).

Prüffragen:

  • Werden Konfigurationsänderungen an Routern und Switches nachvollziehbar dokumentiert?

  • Werden alle sicherheitsrelevanten Konfigurationen in einem gesonderten Protokoll gespeichert, welches sich nicht auf dem betroffenen Gerät befindet?

  • Werden die Konfigurationsdateien zur Notfallvorsorge zusätzlich zentral auf einem dafür vorgesehenen Server gespeichert?

Stand: 13. EL Stand 2013