Bundesamt für Sicherheit in der Informationstechnik

M 4.97 Ein Dienst pro Server

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Viele Schwachstellen in IT-Systemen sind einzeln nicht für einen potentiellen Angreifer ausnutzbar. Häufig wird erst durch die Kombination von Schwachstellen ein erfolgreiches Eindringen in einen Rechner möglich. Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste kann es deshalb zweckmäßig sein, auf einem Rechner nur einen Dienst zu betreiben. Dies betrifft vor allem Server, die Dienste auch ins Internet oder in andere Fremdnetze anbieten.

Beispielsweise kann das Sicherheitsniveau dadurch gesteigert werden, dass sowohl der Webserver als auch der E-Mailserver jeweils auf eigenständigen, dedizierten Rechnern, die als Minimalsystem ausgelegt sind (siehe auch M 4.95 Minimales Betriebssystem ), betrieben werden.

Außerdem sind einzelne Dienste auch unterschiedlich in ihrer Sicherheitseinstufung. So ist ein erfolgreiches Eindringen in einen Webserver unter Umständen sehr ärgerlich, insbesondere wenn der Angreifer die extern verfügbaren Webseiten abändert. Zugriff auf vertrauliche Informationen ist dem Angreifer hierdurch aber meist nicht möglich. Ist der Webserver aber gleichzeitig der E-Mailserver, so kann der Angreifer unter Umständen den gesamten E-Mail-Verkehr mitlesen, was möglicherweise viel schlimmere Auswirkungen hat.

Die Aufteilung kann sogar noch verstärkt werden, indem für einen einzelnen Dienst verschiedene Aufgaben auf unterschiedliche Rechner verteilt werden. So könnte es beispielsweise einen E-Mailserver A geben, der E-Mails aus dem Internet annimmt und in das interne Netz weiterleitet, und einen anderen E-Mailserver B, der E-Mails aus dem internen Netz an das Internet weiterleitet. Da die Kommunikationsaufnahme aus dem Internet nur mit dem E-Mailserver A möglich ist, kann ein Angreifer auch nur diesen direkt attackieren. Der E-Mailserver A darf selber keine E-Mails in das Internet verschicken, deshalb kann dieser Rechner auch nicht für E-Mail-Spamming missbraucht werden.

Eine Aufteilung verschiedener Dienste auf unterschiedliche Rechner hat unter anderem folgende Vorteile:

  • Leichtere Konfiguration der einzelnen Rechner
  • Einfachere und sicherere Konfiguration eines vorgeschalteten Paketfilters
  • Erhöhte Widerstandsfähigkeit gegenüber Angriffen
  • Erhöhte Ausfallsicherheit

Durch ein geeignetes zentrales Systemmanagement kann der zusätzliche Administrationsaufwand, der durch die höhere Anzahl der Rechner entsteht, begrenzt werden.

Virtualisierung

Im Falle von sicherheitskritischen Diensten sollten auch in virtuellen IT -Systemen jeweils nur ein Dienst betrieben werden, wie dies auch für physische Systeme gilt. Ein virtuelles IT-System selbst ist jedoch in diesem Sinne kein "Dienst" eines Virtualisierungsservers. Daher können auf einem Virtualisierungsserver mehrere virtuelle IT-Systeme betrieben werden. Je nachdem, auf welcher Virtualisierungstechnik (Server- oder Betriebssystemvirtualisierung) der Virtualisierungsserver beruht, kann allerdings die Varianz der durch die virtuellen IT-Systeme bereitgestellten Dienste eingeschränkt sein. Ob das eingesetzte Virtualisierungsprodukt geeignet ist, unterschiedliche Dienste in virtuellen IT-Systemen auf einem Virtualisierungsserver bereitzustellen, muss für das konkrete Produkt geprüft werden. Als Kriterien sind hierfür die Stärke der Isolation und der Kapselung der virtuellen IT-Systeme auf dem Virtualisierungsserver heranzuziehen (siehe M 3.72 Grundbegriffe der Virtualisierungstechnik ). Je stärker die virtuellen IT-Systeme auf dem Virtualisierungsserver isoliert sind, desto eher eignet sich das Virtualisierungsprodukt dazu, unterschiedliche Dienste in den verschiedenen virtuellen IT-Systemen zu betreiben. Die folgenden Grundsätze lassen sich für eine erste Beurteilung heranziehen:

  • Auf Virtualisierungsservern mit einer Betriebssystemvirtualisierungslösung sollten in der Regel nur virtuelle IT-Systeme mit einer Funktion bereitgestellt werden. So sollten auf einem solchen Virtualisierungsserver beispielsweise ausschließlich Webserver oder ausschließlich Mailserver, aber keine Mischung aus diesen Gruppen betrieben werden. Bei einigen Produkten zur Betriebssystemvirtualisierung ist die Isolation der virtuellen IT-Systeme allerdings stark genug, so dass von dieser Vorgabe abgewichen werden kann.
  • Auf Virtualisierungsservern mit einer Servervirtualisierungslösung ist es meist zulässig, virtuelle IT-Systeme mit unterschiedlichen Diensten zu betreiben. Es können also unter Umständen Webserver und Mailserver auf einem Virtualisierungsserver in jeweils getrennten virtuellen IT-Systemen gemeinsam bereitgestellt werden.

Auf einem Virtualisierungsserver selbst sollten allerdings neben der Virtualisierungssoftware und damit direkt verbundener Dienste (Verwaltungsdienst für die Virtualisierung etc. ) keine weiteren Dienste betrieben werden.

Prüffragen:

  • Wird darauf geachtet, nur einen Dienst pro Server anzubieten?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK