Bundesamt für Sicherheit in der Informationstechnik

M 2.283 Software-Pflege auf Routern und Switches

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Jeglicher Betrieb von Software macht es notwendig, Betriebssystem und Konfiguration regelmäßig zu überprüfen und zu pflegen. Router und Switches können hiervon nicht ausgenommen werden, um beispielsweise funktionale Erweiterungen zu ermöglichen, Softwarefehler zu beheben und Performance und Sicherheit zu verbessern.

Dabei ist zu beachten, dass in der Praxis zur Pflege des Betriebssystems bei Router und Switches oftmals ein kompletter Austausch der Betriebssystemsoftware erforderlich ist. Das Einspielen von Updates oder Patches ist in vielen Fällen nicht möglich. Wie bei allen Konfigurationsänderungen ist mit angemessener Sorgfalt vorzugehen, da eine unsachgemäße Durchführung Beeinträchtigungen der Funktion und der Sicherheit der Geräte zur Folge haben kann. Insofern gehört zur sorgfältigen Planung einer Änderung immer auch eine Fallback-Strategie.

Einspielen neuer Software

Bei der Vorbereitung von Updates sind folgende Punkte zu beachten:

  • Es muss ein geeignetes Zeitfenster vorgesehen werden. Der benötigte Aufwand sollte nicht unterschätzt werden und vorsichtshalber eine ausreichende Down-Time eingeplant werden.
  • Die vom Hersteller beigefügten Hinweistexte (Release Notes) des neuen Release sind sorgfältig zu lesen.
  • Bei neuen Softwareversionen sind eventuell einzelne Features nicht mehr enthalten oder funktionieren nicht korrekt. Manchmal ändern sich auch Defaulteinstellungen.
  • Neue Versionen eines Programmes und insbesondere eines Betriebssystems müssen vor der Inbetriebnahme sorgfältig getestet werden, um die volle Funktionalität sicher zu stellen.
  • Neue Programme oder Betriebssysteme sind unter Umständen weniger performant, beispielsweise wegen zusätzlicher Features oder höherem Speicherbedarf. Dies kann zu Problemen führen, wenn ein Router oder Switch bereits vor dem Upgrade an der Auslastungsgrenze betrieben wurde.

Viele Hersteller bieten zur Planung der Erweiterung Konfigurationswerkzeuge an. Diese ermöglichen es, ausgehend vom benutzen Gerät eine Konfiguration zu planen und die benötigten Hardwarebestandteile wie Interfaces und Speicher auszuwählen.

Bei der Durchführung von Updates sollten folgende Schritte durchgeführt werden:

Änderung der Konfiguration

Konfigurationsänderungen können sowohl direkt am Gerät an der System-Konsole (online) als auch auf einem eigenen Management-Rechner mit einem entsprechenden Konfigurationsprogramm oder einem Texteditor (offline) vorgenommen werden. Beide Vorgehen haben Vor- und Nachteile, generell ist jedoch die Offline-Konfiguration zu bevorzugen.

Die Online-Konfiguration kann in der Regel nur wenig komfortabel und ohne Zuhilfenahme von Tools erfolgen, beispielsweise ist das Einfügen von Kommentaren nicht immer möglich. Dafür wird die Syntax zeitnah überprüft.

Wenn die Erstellung von Konfigurationsdateien offline durchgeführt wird, stehen in der Regel komfortablere Werkzeuge zur Verfügung und es können Kommentare eingefügt werden. Nachteil bei dieser Vorgehensweise ist, dass oftmals Passworte im Klartext in die Konfigurationsdateien eingetragen werden müssen. Da die Passworte in der Konfigurationsdatei - und damit auch der bei Übertragung über das Netz auf das Gerät, sofern keine verschlüsselte Verbindung verwendet wird - lesbar sind, sollten diese sofort nach dem Einspielen der Konfigurationsdatei geändert werden. Eine andere Möglichkeit besteht darin, Passworte online zu setzen und die Konfiguration anschließend inklusive der verschlüsselten Passworte auszulesen.

Um sicher zu stellen, dass bei einem Boot-Vorgang aus dem Speicher die aktuelle Konfiguration eingelesen wird, muss die geänderte Konfiguration gespeichert werden, nachdem sie in das Gerät geladen wurde.

Bei manchen Geräten können Konfigurationsdateien für eine zentrale Administration auch auf separaten Servern gehalten und von dort geladen werden. Dies kann sowohl manuell als auch automatisiert - beispielsweise beim Bootvorgang - geschehen. Änderungen können somit automatisiert an die Geräte verteilt werden. Das Laden beim Bootvorgang ist jedoch wegen der Möglichkeit zur mutwilligen Störung, seiner Fehleranfälligkeit und der entstehenden Netzlast nicht empfehlenswert und wird nur selten genutzt. Die Sicherung und Verwaltung der Konfigurationsdateien hingegen sollte über einen derartigen zentralen Server erfolgen.

In jedem Fall muss der Administrationsrechner, auf dem die Offline-Konfiguration vorgenommen wird beziehungsweise auf dem die Konfigurationsdaten gehalten werden, vor unbefugtem Zugriff besonders geschützt werden.

Prüffragen:

  • Sind für das Einspielen von Updates auf den Routern und Switches Wartungsfenster festgelegt?

  • Werden die Updates für Router und Switches vor dem produktiven Einsatz getestet?

  • Erfolgt die Beschaffung der Updates ausschließlich aus vertrauenswürdigen Quellen?

  • Werden, sofern vom Hersteller angeboten, die Update-Prüfsummen verglichen bzw. die digitalen Signaturen überprüft?

  • Ist sichergestellt, dass während der Aktualisierung die betroffenen Router und Switches vom produktiven Netz getrennt sind?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK