Bundesamt für Sicherheit in der Informationstechnik

M 4.82 Sichere Konfiguration der aktiven Netzkomponenten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Neben der Sicherheit von Serversystemen und Endgeräten wird die eigentliche Netzinfrastruktur mit den aktiven Netzkomponenten in vielen Fällen vernachlässigt. Gerade zentrale aktive Netzkomponenten müssen jedoch sorgfältig konfiguriert werden. Denn während durch eine fehlerhafte Konfiguration eines Serversystems nur diejenigen Benutzer betroffen sind, die die entsprechenden Dienste dieses Systems nutzen, können bei einer Fehlkonfiguration eines Routers größere Teilnetze bzw. sogar das gesamte Netz ausfallen oder Daten unbemerkt kompromittiert werden.

Im Rahmen des Netzkonzeptes (siehe M 2.141 Entwicklung eines Netzkonzeptes ) sollte auch die sichere Konfiguration der aktiven Netzkomponenten festgelegt werden. Dabei gilt es insbesondere Folgendes zu beachten:

  • Für Router und Layer-3-Switching muss ausgewählt werden, welche Protokolle weitergeleitet und welche gesperrt werden. Dies kann durch die Implementation geeigneter Filterregeln geschehen.
  • Weiterhin muss festgelegt werden, welche IT-Systeme in welcher Richtung über die Router kommunizieren. Auch dies kann durch Filterregeln realisiert werden.
  • Sofern dies von den aktiven Netzkomponenten unterstützt wird, sollte festgelegt werden, welche IT-Systeme Zugriff auf die Ports der Switches des lokalen Netzes haben. Hierzu wird die MAC -Adresse des zugreifenden IT-Systems ausgewertet und auf ihre Berechtigung hin überprüft.

Für aktive Netzkomponenten mit Routing-Funktionalität ist außerdem ein geeigneter Schutz der Routing-Updates erforderlich. Diese sind zur Aktualisierung der Routing-Tabellen erforderlich, um eine dynamische Anpassung an die aktuellen Gegebenheiten des lokalen Netzes zu erreichen. Dabei sind zwei verschiedene Sicherheitsmechanismen zu unterscheiden:

  • Passwörter
    Die Verwendung von Passwörtern schützt die so konfigurierten Router vor der Annahme von Routing-Updates durch Router, die nicht über das entsprechende Passwort verfügen. Hierdurch können also Router davor geschützt werden, falsche oder ungültige Routing-Updates anzunehmen. Der Vorteil von Passwörtern gegenüber den anderen Schutzmechanismen ist ihr geringer Overhead, der nur wenig Durchsatz und Rechenzeit benötigt.
  • Kryptographische Prüfsummen
    Prüfsummen schützen vor der unbemerkten Veränderung von gültigen Routing-Updates auf dem Weg durch das Netz. Zusammen mit einer
    Sequenznummer oder einem eindeutigen Bezeichner kann eine Prüfsumme auch vor dem Wiedereinspielen alter Routing-Updates schützen.

Die Auswahl eines geeigneten Routing-Protokolls ist die Voraussetzung für einen angemessenen Schutz der Routing-Updates. RIP-2 (Routing Information Protocol Version 2, RFC  2453) und OSPF (Open Shortest Path First, RFC 1583) unterstützen Passwörter in ihrer Basis-Spezifikation und können durch Erweiterungen auch kryptographische Prüfsummen verwenden.

Prüffragen:

  • Wird die sichere Konfiguration der aktiven Netzkomponenten im Rahmen des Netzkonzeptes festgelegt?

  • Sind bei Routern und Layer-3-Switchen die erlaubten Protokolle und Verkehrsflüsse durch geeignete Filterregeln implementiert?

  • Unterstützen die aktiven Netzkomponenten "Port Security" als Sicherheitsfunktion, um den Zugriff auf Ports der Netzkomponenten auf freigegebene MAC -Adressen der IT -Systeme zu beschränken?

  • Entsprechen die Schutzmechanismen der eingesetzten Routing-Protokolle ( z. B. im Rahmen des Routing-Updates) dem Stand der Technik?

Stand: 15. EL Stand 2016