Bundesamt für Sicherheit in der Informationstechnik

M 2.581 Aufbau eines Administrationsnetzes für das Netzmanagement

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Die Verwaltung und Überwachung von Ressourcen innerhalb eines Netzes, an das hohe Sicherheitsanforderungen gestellt werden, muss angemessen umgesetzt werden. Die Ressourcen innerhalb eines Netzes müssen entsprechend verwaltet und überwacht werden, vor allem die Systeme mit erhöhtem Sicherheitsbedarf wie z. B. aktive Netzkomponenten. Das hierfür eingesetzte Netzmanagement-System muss angemessen geschützt werden.

Der Aufbau eines eigenen LAN s für das Netzmanagement, das ausschließlich administrativen Aufgaben dient, ist oft der übersichtlichste, effektivste und wirtschaftlichste Weg, um diesen Anforderungen zu genügen. In diesem Administrationsnetz werden PC s stationiert, die ausschließlich zur Verwaltung kritischer Komponenten dienen.

Grundsätzlich müssen auch innerhalb dieses Netzes sichere Protokolle ( SSH statt Telnet, HTTPS statt HTTP ) zur Administration genutzt werden. Die zumindest logische, wenn nicht gar physische Trennung dieses Administrationsnetzes von Produktionsnetzen macht jedoch den Einsatz unsicherer Protokolle, insbesondere des in vielen Produktionsumgebungen immer noch fast unvermeidlichen SNMP Version 1, tolerierbar.

Konzeption/Planung

  • Ein sehr einfacher Aufbau eines Administrationsnetzes kann damit starten, dass ein separater Switch in Betrieb genommen wird.
  • Alle Clients der Administratoren werden mit ihrem Netzanschluss an das Administrationsnetz gebunden.
  • Alle Server und Systeme mit erhöhtem Sicherheitsbedarf (aktive Netzkomponenten) erhalten einen zusätzlichen Netzanschluss und werden damit an das Administrationsnetz gebunden.
  • Auf den Servern wird der Administrationszugang der Betriebs- und Anwendungssoftware, wo immer das möglich ist, exklusiv an die Netzadresse im Administrationsnetz gebunden.

Im Administrationsnetz sollten private Adressen benutzt werden, wie in RFC -Standard 1918 beschrieben. Solche Adressen werden in "offiziellen" Netzen nicht geroutet, so dass ein Anschluss an offizielle Netze, wenn er denn nötig werden sollte, stets NAT (Network Address Translation) und weitere Schutzmaßnahmen, die durch eine Firewall realisiert werden, erfordert.

Im Administrationsnetz sollte auf allen IT -Komponenten durch Nutzung oder Einsatz eines NTP -Servers eine einheitliche Uhrzeit sichergestellt werden (siehe M 4.227 Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation ). Damit wird die Auswertung von Protokollen erleichtert und die Bewertung von Vorfällen mit Auswirkungen auf mehreren Komponenten ermöglicht.

Die verfügbaren Ressourcen für den gesamten Aufbau des Administrationsnetzes sind zu ermitteln. Hierzu gehören sowohl Personalressourcen, die erforderlich sind, um ein Konzept zu erstellen und umzusetzen bzw. um das Netz zu betreiben, als auch die hierfür notwendigen finanziellen Ressourcen. Die Ergebnisse sind entsprechend zu dokumentieren.

Es ist zudem zu prüfen, ob im Administrationsnetz zusätzliche Überwachungsmaßnahmen etabliert werden sollten. Zum Beispiel kann durch Einsatz von netzbasierten ID S zusätzlich überwacht werden, ob unzulässige Aktivitäten im Netz zu beobachten sind.

Ebenso könnte in einem Administrationsnetz auch eine zentrale Protokollierung etabliert werden, in der eine zentrale Instanz als Protokollserver die Logdaten aller ans Netz angeschlossenen Komponenten verwaltet. Zunächst ist zu untersuchen, wie ein Produktionsnetz und die darin stationierten Server und sonstigen Geräte ( z. B. aktive Netzkomponenten, Speichersysteme) um ein Administrationsnetz erweitert werden können.

Für den Aufbau eines Administrationsnetzes sind M 2.139 Ist-Aufnahme der aktuellen Netzsituation und M 2.140 Analyse der aktuellen Netzsituation zu bearbeiten. Anschließend sind die Anforderungen an die Netzkommunikation des neu aufzubauenden Administrationsnetzes zu ermitteln sowie eine Schutzbedarfsfeststellung des zukünftigen Netzes durchzuführen.

Umsetzung

Mit Aufnahme des Testbetriebes muss eine Prüfung stattfinden, die die Sicherheitsvorkehrungen testet und zur Grundlage der Betriebsdokumentation dieses Netzes wird. Typische Prüffragen sind:

  • Ist eine durchgängige Trennung des Administrationsnetzes vom Produktionsnetz gegeben?
  • Werden, wo immer möglich, sichere Dienste (secure shell, https) genutzt? Sind die unsicheren Varianten dieser Dienste ( telnet , http) auf den administrierten Geräten deaktiviert?
  • Ist überschaubar und dokumentiert, wo auf den Einsatz unsicherer Dienste nicht verzichtet werden kann?
  • Sind alle Default-Kennungen und -Passwörter auf allen Systemen wie Servern und aktiven Netzkomponenten geändert?

Anschließend kann der produktive Betrieb gestartet werden.

Betrieb

Im laufenden Betrieb des Netzes muss darauf geachtet werden, dass durch Änderungen am Netz, dessen Komponenten oder an den Berechtigungen die Sicherheit des Administrationsnetzes nicht beeinträchtigt wird. Die erfassten Protokolle müssen regelmäßig ausgewertet werden. Darüber hinaus muss auch während des Betriebs regelmäßig die Sicherheit des Administrationsnetzes überprüft werden (siehe M 5.8 Regelmäßiger Sicherheitscheck des Netzes ).

Aussonderung

Wenn Netzkomponenten oder andere Hardware ausgesondert oder auch nur zur Reparatur zeitweise aus dem Administrationsnetz genommen werden, ist sicherzustellen, dass keine internen Informationen (Passwörter, Protokolldateien, Dokumente zu Interna etc. ) darauf gespeichert sind.

Notfallvorsorge

Es muss eine Notfallplanung geben, so dass der Betrieb des produktiven Netzes sichergestellt wird, wenn das Administrationsnetz ausfällt.

Prüffragen:

  • Ist ein abgesichertes Administrationsnetz eingerichtet?

  • Ist für alle Komponenten des Administrationsnetzes eine einheitliche Uhrzeit sichergestellt?

  • Werden während des Testbetriebs des Administrationsnetzes die Sicherheitsvorkehrungen getestet und der Test sowie die Ergebnisse dokumentiert?

  • Gibt es eine Notfallplanung, so dass bei Ausfall des Administrationsnetzes das produktive Netz weiterbetrieben werden kann?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK