Bundesamt für Sicherheit in der Informationstechnik

M 2.315 Planung des Servereinsatzes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Eine grundlegende Voraussetzung dafür, dass ein Server sicher betrieben werden kann ist ein angemessenes Maß an Planung im Vorfeld.

Die Planung für den Einsatz eines Servers kann in mehreren Schritten nach dem Prinzip des Top-Down-Entwurfs erfolgen: Ausgehend von einem Grobkonzept für das Gesamtsystem werden konkrete Planungen für Teilkomponenten in spezifische Teilkonzepten festgelegt. Die Planung betrifft dabei nicht nur Aspekte, die klassischerweise mit dem Begriff Sicherheit verknüpft werden, sondern auch normale betriebliche Aspekte, die Anforderungen im Bereich der Sicherheit nach sich ziehen.

Im Grobkonzept sollten beispielsweise folgende typische Fragestellungen behandelt werden:

  • Welche Aufgaben soll das zu planende System erfüllen? Welche Dienste sollen von dem Server bereitgestellt werden? Gibt es besondere Anforderungen an die Verfügbarkeit des Systems oder an die Vertraulichkeit oder Integrität der gespeicherten oder verarbeiteten Daten?
    Diese Vorgaben kommen aus der übergreifenden Planung und werden von den allgemeinen Zielvorgaben bestimmt. Je genauer die Rahmenbedingungen bekannt und je präziser die Vorgaben formuliert sind, desto einfacher werden die folgenden Planungsschritte.
  • Sollen in dem System bestimmte Hardwarekomponenten eingesetzt werden? Dies kann beispielsweise für die Auswahl des Betriebssystems wichtig sein.
  • Welche Anforderungen an die Hardware (CPU, Arbeitsspeicher, Kapazität der Festplatten, Kapazität des Netzes etc.) ergeben sich aus den allgemeinen Anforderungen?
  • Handelt es sich bei dem eingesetzten Netz um einen homogenen oder heterogenen Rechnerverbund?
  • Ersetzt das System ein altes, vorhandenes? Sollen von dem alten System Datenbestände oder Hardwarekomponenten übernommen werden?
  • Sollen auf dem Rechner weitere Betriebssysteme mittels Multiboot installiert werden?

Die folgenden Teilkonzepte sollten bei der Planung des Servereinsatzes berücksichtigt werden:

  • Authentisierung und Benutzerverwaltung: Welche Arten der Benutzerverwaltung und Benutzerauthentisierung sollen auf dem System genutzt werden? Werden Benutzer nur lokal verwaltet oder soll ein zentrales Verwaltungssystem genutzt werden? Soll das System auf einen zentralen, netzbasierten Authentisierungsdienst zugreifen, oder wird nur eine lokale Authentisierung benötigt? Mehr Informationen dazu finden sich in M 4.133 Geeignete Auswahl von Authentikationsmechanismen .
  • Benutzer- und Gruppenkonzept: Ausgehend vom organisationsweiten Benutzer-, Rechte- und Rollenkonzept müssen entsprechende Regelungen für das System erstellt werden (siehe auch M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile und M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen ).
  • Administration: Wie soll das System administriert werden? Werden alle Einstellungen lokal vorgenommen oder der Server in ein zentrales Administrations- und Konfigurationsmanagement integriert?
  • Partitions- und Dateisystem-Layout: In der Planungsphase sollte eine erste Abschätzung des benötigten Plattenplatzes durchgeführt werden. Zur einfacheren Administration und Wartung ist es empfehlenswert, so weit wie möglich eine Trennung von Betriebssystem (Systemprogramme und -konfiguration), Anwendungsprogrammen und -daten (beispielsweise Datenbank-Server und Daten) und gegebenenfalls Benutzerdaten vorzunehmen. Verschiedene Betriebssysteme bieten hierfür unterschiedliche Mechanismen an (Aufteilung in Laufwerke unter Windows, Filesysteme unter Unix). Oft kann es sinnvoll sein, bestimmte Daten sogar auf einer eigenen Festplatte oder einem eigenen Plattensystem zu speichern. Dies erlaubt es beispielsweise, bei einer Neuinstallation oder einem Update des Systems die Daten auf den anderen Partitionen ohne Umkopieren zu übernehmen.

  • Falls auf dem Server Daten mit hohem Schutzbedarf bezüglich der Vertraulichkeit gespeichert werden, so wird der Einsatz verschlüsselter Dateisysteme dringend empfohlen. Dabei brauchen nicht notwendigerweise alle Dateisysteme verschlüsselt zu werden, sondern es wird oft ausreichend sein, für den Teil des Dateisystems eine Verschlüsselung vorzusehen, auf dem die Daten selbst gespeichert werden. Dies wird durch eine entsprechende Planung des Partitions- und Dateisystemlayouts erleichtert. Bei der Auswahl einer Verschlüsselung von einzelnen Dateien und Verzeichnissen sollte den Anwendern die Auswahl abgenommen werden, ob die Dateien verschlüsselt werden oder unverschlüsselt abgelegt werden.
    In der Planungsphase sollte die vorgesehene Aufteilung der Partitionen und deren Größe dokumentiert werden.

  • Netzdienste und Netzanbindung: In Abhängigkeit von den Anforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit der Daten, die auf dem Server gespeichert oder verarbeitet werden sollen, muss die Netzanbindung des Servers geplant werden.
    Generell wird empfohlen, einen Server nicht direkt im selben IP-Subnetz zu platzieren wie die Clients, die auf den Server zugreifen sollen. Wenn der Server zumindest durch einen Router von den Clients getrennt ist, dann bestehen wesentlich besser Möglichkeiten zur Steuerung des Zugriffs und zur Erkennung von Anomalien im Netzverkehr, die auf mögliche Probleme hindeuten.

  • Ein Server, der Daten mit einem hohen Schutzbedarf bezüglich Vertraulichkeit oder Integrität speichert oder verarbeitet, sollte in einem eigenen IP-Subnetz angesiedelt werden und zumindest durch einen Paketfilter vom Rest des Netzes getrennt werden. Bei einem sehr hohen Schutzbedarf sollte ein Application Level Gateway eingesetzt werden.
    Bei normalem Schutzbedarf kann ein Server, der ausschließlich von Clients aus dem internen Netz genutzt wird, ausnahmsweise auch im selben Teilnetz angesiedelt werden. Es wird jedoch empfohlen, auch in diesem Fall den Server bei anstehenden Umstellungen in der Netzstruktur in ein eigenes Teilnetz zu verlegen.

  • Abhängig vom festgelegten Einsatzzweck des Rechners wird außerdem eventuell der Zugriff auf bestimmte Dienste im Netz (etwa Web-, File-, Datenbank-, Druck-, DNS oder Mailserver) benötigt. Dies muss bereits im Rahmen der Planung berücksichtigt werden, damit nicht zu einem späteren Zeitpunkt Schwierigkeiten beispielsweise durch zu geringe Übertragungskapazitäten oder Probleme mit zwischengeschalteten Sicherheitsgateways entstehen.

  • Neben dem eigentlichen Dienst, für den ein Server aufgesetzt wird, werden oft noch andere Dienste benötigt, um den Server effizient nutzen und administrieren zu können. Beispielsweise wird für eine Administration über das Netz ein sicherer Zugang (beispielsweise SSH, siehe auch M 5.64 Secure Shell ) benötigt, oder die Dateien für ein Webangebot können über das Netz auf den Webserver übertragen werden. Wenn die dadurch entstehende Netzkommunikation über unsichere Netze stattfindet, so müssen geeignete sichere Protokolle benutzt werden. Außerdem dürfen die Dienste nur autorisierten Benutzern und Rechnern zur Verfügung gestellt werden. Dies kann durch eine Passwortvergabe, durch den Einsatz eines Paketfilters (siehe beispielsweise M 4.238 Einsatz eines lokalen Paketfilters oder Baustein B 3.301 Sicherheitsgateway (Firewall) ) oder anderer Mechanismen realisiert werden. Kein Dienst sollte in einem unsicheren Netz wie dem Internet bereitgestellt werden, wenn dies nicht ausdrücklich vorgesehen ist.

  • In der Planungsphase sollte eine Übersicht über die vorgesehenen und benötigten Netzdienste sowie über die in diesem Zusammenhang nötigen Netzverbindungen erstellt werden. Allgemein ist es wichtig, bereits in der Planungsphase zu überlegen, wie groß die Abhängigkeit eines Systems vom Funktionieren der Netzanbindung sein darf.

  • Tunnel oder VPN: Falls bereits in der Planungsphase absehbar ist, dass auf das System über unsichere Netze zugegriffen werden muss, sollten frühzeitig geeignete Lösungen untersucht werden. Beispielsweise kann der Zugriff über ein VPN erfolgen.
  • Monitoring: Um die Verfügbarkeit und Auslastung des Systems und der angebotenen Dienste zu beobachten, kann ein Monitoring-System eingesetzt werden. Dafür wird auf einem weiterem Server ein Monitoring-Daemon installiert, dem ein lokal installierter Agent die zu überwachenden Daten sendet. Im weiterem besteht die Möglichkeit, die Aktivitäten von Netzdiensten, die von externen Systemen angeboten werden, zu überwachen. Bei Problemen kann zum Beispiel automatisch ein Administrator alarmiert werden.
  • Protokollierung: Die Protokollierung von Meldungen des Systems und der eingesetzten Dienste spielt eine wichtige Rolle, beispielsweise bei der Diagnose und Behebung von Störungen oder bei der Erkennung und Aufklärung von Angriffen. In der Planungsphase sollte entschieden werden, welche Informationen mindestens protokolliert werden sollen, und wie lange die Protokolldaten aufbewahrt werden sollen. Außerdem muss festgelegt werden, ob die Protokolldaten lokal auf dem System oder auf einem zentralen Logserver im Netz gespeichert werden sollen.
    Sinnvoller Weise sollte bereits in der Planungsphase festgelegt werden, wie und zu welchen Zeitpunkten Daten ausgewertet werden sollen.
  • Hochverfügbarkeit: Falls an die Verfügbarkeit des Systems und seiner Dienste besondere Anforderungen gestellt werden, so sollte bereits in der Planungsphase überlegt werden, wie diese Anforderungen erfüllt werden können (siehe auch M 6.43 Einsatz redundanter Windows-Server ).

Alle Entscheidungen, die in der Planungsphase getroffen wurden, müssen so dokumentiert werden, dass sie zu einem späteren Zeitpunkt nachvollzogen werden können. Dabei ist zu beachten, dass meist andere Personen neben dem Autor diese Informationen auswerten müssen. Daher ist auf passende Strukturierung und Verständlichkeit zu achten.

Prüffragen:

  • Wird ein Servereinsatz im Vorfeld grundlegend nach dem Prinzip des Top-Down-Entwurfs geplant?

  • Sind in einem Grobkonzept alle Anforderungen an Dienste, IT -Sicherheitsziele, Aufgaben und Funktionalitäten berücksichtigt?

Stand: 13. EL Stand 2013