Bundesamt für Sicherheit in der Informationstechnik

M 4.80 Sichere Zugriffsmechanismen bei Fernadministration

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Viele aktive Netzkomponenten können über einen Netzzugriff fernadministriert oder überwacht werden. Der Zugriff erfolgt entweder über verbindungsorientierte oder verbindungslose Protokolle. Hierzu gehören:

Für eine sichere Fernadministration von Netzkomponenten ist Folgendes zu beachten:

  • Zur interaktiven Kommunikation dürfen nur sichere Protokolle, wie zum Beispiel SSH oder HTTP s eingesetzt werden. Unsichere Protokolle, wie beispielsweise Telnet oder HTTP dürfen entweder nicht verwendet werden oder nur in einem eigens dafür vorgesehenen Administrationsnetz (Out-of-Band-Management).
  • Für interaktive Kommunikationsprotokolle sollte die Auto-Logout-Option der Netzkomponente aktiviert werden, um Verbindungen nach einem definierten Zeitraum ohne Nutzeraktivität zu sperren oder zu beenden.
  • Auch zur Datenübertragung (Backup von Firmware-Versionen oder Konfigurationsdateien) dürfen nur sichere Protokolle, wie zum Beispiel SCP eingesetzt werden. Unsichere Protokolle, wie zum Beispiel TFTP , FTP oder RC P dürfen nur in einem isolierten Administrationsnetz genutzt werden.
  • SNMP sollte nur ab der Version 3 ( SNMPv3 ) eingesetzt werden, da erst ab dieser stärkere Authentisierung und Verschlüsselung unterstützt werden. Wird SNMP in einer unsicheren Version (SNMPv1 oder SNMPv2) eingesetzt, dann nur in Verbindung mit Out-of-Band-Management. SNMPv1 und SMMPv2 dürfen keinesfalls außerhalb isolierter Administrationsnetze verwendet werden, weil sie keine ausreichenden Möglichkeiten zur Absicherung der Kommunikation bieten.
  • Alle Standardpasswörter bzw. Community-Namen der Netzkomponenten müssen gegen sichere Passwörter bzw. Community-Namen ausgetauscht werden (siehe M 4.82 Sichere Konfiguration der aktiven Netzkomponenten ). Die Kopplung von Community-Namen und Passwort betrifft bei vielen aktiven Netzkomponenten die Protokolle FTP , Telnet und SNMP .
  • Viele Komponenten bieten auch die Möglichkeit, den Zugriff auf die Administrationszugänge (Management-Interface) auf der Basis von MAC - oder IP -Adressen einzuschränken. Soweit möglich, sollte diese Option genutzt werden, um den Zugriff nur von dedizierten Managementstationen aus zu gestatten.

Bei den meisten der genannten Protokolle ist zu beachten, dass die Übertragung der Passwörter bzw. Community-Namen im Klartext erfolgt, also prinzipiell abgehört werden kann (siehe hierzu M 5.61 Geeignete physische Segmentierung und M 5.62 Geeignete logische Segmentierung ).

Prüffragen:

  • Werden zur interaktiven Kommunikation und zur Datenübertragung nur sichere Protokolle eingesetzt?

  • Ist für interaktive Kommunikationsprotokolle die Auto-Logout-Option der Netzkomponenten aktiviert?

  • Sofern SNMP eingesetzt wird: Wird mindestens SNMPv3 eingesetzt?

  • Sofern unsichere Protokolle eingesetzt werden: Werden diese nur in einem eigens dafür vorgesehenen Administrationsnetz (Out-of-Band-Management) verwendet?

  • Werden Standardpasswörter bzw. Community-Namen vor Inbetriebnahme der aktiven Netzkomponenten geändert?

  • Bei Verwendung von Komponenten, bei denen der Zugriff auf MAC - oder IP -Adressen beschränkt werden kann: Wird der Zugriff nur von dedizierten Managementstationen gestattet?

Stand: 15. EL Stand 2016