Bundesamt für Sicherheit in der Informationstechnik

M 4.160 Überwachen von Novell eDirectory

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT, Revisor

Um den Sicherheitszustand eines Systems nachvollziehen zu können, ist es notwendig, dieses kontinuierlich zu überwachen. Ziel einer solchen Überwachung ist es, Verstöße gegen die geltenden Sicherheitsvorschriften zu entdecken, bestehende Sicherheitslücken aufzudecken oder Fehlkonfigurationen, die zu Sicherheitslücken führen können, zu erkennen. Ein entsprechendes Überwachungskonzept ist dabei auch als Teil des Sicherheitskonzeptes anzusehen.

Komplexe Systeme wie eDirectory können dabei in der Regel nicht mehr durch einzelne Administratoren überwacht werden, sondern die Kontrolle muss automatisch durch entsprechende Systemkomponenten oder Produkte von Drittherstellern erfolgen. Dabei ist auch die Konfiguration der Systemüberwachung regelmäßig an das sich verändernde System anzupassen.

eDirectory stellt für die Systemüberwachung das Werkzeug iMonitor zur Verfügung. Dies ist eine Client-Server-Anwendung, bei der auf einigen (oder allen) eDirectory-Servern der iMonitor-Dienst läuft. Die Clients können über einen Browser darauf zugreifen, der hierfür HTML Version 3 unterstützen muss. Der Zugreifende muss sich gegenüber den iMonitor-Services authentisieren und erhält nach erfolgreicher Erkennung Zugriff auf die iMonitor-Daten, wobei die für ihn konfigurierten Rechte gelten.

Die Informationen, die der iMonitor-Dienst über einen eDirectory-Server zur Verfügung stellt, könnten u. U. von Unbefugten dazu genutzt werden, gezielt nach Sicherheitslücken in einer bestehenden eDirectory-Installation zu suchen. Aus diesem Grund wird empfohlen, den Zugriff auf den iMonitor-Dienst nur mit aktivierter SSL-Verschlüsselung zu erlauben, besonders wenn von außerhalb des eigenen Behörden- bzw. Unternehmensnetzes aus zugegriffen werden kann. Dazu muss auf dem Client das entsprechende Server-Zertifikat in den Browser importiert werden.

Es gibt zwei verschiedene Operationsmodi des iMonitor-Zugriffs: den direkten Modus und den Proxymodus. Beim direkten Modus ist der Browser direkt mit dem eDirectory-Server verbunden, dessen Statusdaten abgefragt werden. Auf dem eDirectory-Server müssen dabei die iMonitor-Services aktiviert sein. Beim Proxymodus wird auf einen Server zugegriffen, auf dem die iMonitor-Services zur Verfügung stehen, die eigentliche Information wird aber von einem anderen Server abgefragt.

Der direkte Modus besitzt gegenüber dem Proxymodus u. a. den Vorteil, dass er weniger Bandbreite benötigt und die serverzentrierten Funktionalitäten in vollem Umfang zur Verfügung stehen. Aus Sicht der Informationssicherheit ist jedoch der Proxymodus zu bevorzugen, damit nicht alle eDirectory-Rechner diese direkte Zugriffsmöglichkeit gestatten. Dabei sollte eine feste Einwahladresse verwendet werden, die dann entsprechend kontrolliert und geschützt werden muss.

Das NDS Trace Utility dient der Erfassung eDirectory-spezifischer Ereignisse in eine eigene Protokolldatei. Damit kann eine Protokollierung sämtlicher eDirectory-Ereignisse erreicht werden. Ferner gibt es das Zusatzmodul NAAS (Novell Advanced Auditing Service), womit sich eine automatisierte Auswertung der eDirectory-spezifischen Ereignisse realisieren lässt.

Im Rahmen der Überwachung sind auch folgende Aspekte zu beachten:

  • Der Datenschutzbeauftragte und der Personal- bzw. Betriebsrat sollten frühzeitig in die Planung mit einbezogen werden, da eine Überwachung meist auch personenbezogene Daten erfassen muss, damit im Fall einer Sicherheitsverletzung zuverlässig der Verursacher festgestellt werden kann.
  • Neben den eDirectory-spezifischen Ereignissen müssen auch Ereignisse des Betriebssystems beobachtet und protokolliert werden, um ein vollständigeres Bild über die Systemabläufe zu erhalten. Empfehlungen und Hinweise zur Protokollierung auf Betriebssystem-Ebene finden sich in den jeweiligen Bausteinen.
  • Eine zentrale Sammelstelle für Protokolldateien mit entsprechend automatisierter Auswertung kann durch Produkte von Drittherstellern aufgebaut werden. Wird ein Werkzeug zum Netz- und Systemmanagement eingesetzt (siehe auch Baustein B 4.2 Netz- und Systemmanagement ), so ist es - je nach Produkt - möglich, die eDirectory-Protokolle direkt in dieses Werkzeug zu integrieren.
  • Durch die Überwachung fallen je nach Einstellung große Datenmengen an. Diese müssen nicht nur regelmäßig ausgewertet, sondern aus Platzgründen auch gelöscht oder auf andere Datenträgern ausgelagert werden. Zusätzlich führt eine intensive Überwachung u. U. zu Performanceverlusten. Dadurch kann ein Server unter Umständen so überlastet werden, dass ein geregelter Betrieb nicht mehr möglich ist. Aus diesem Grund müssen die geeigneten Überwachungsparameter im Rahmen eines Testbetriebs überprüft und gegebenenfalls angepasst werden. Es ist zu beachten, dass die Anpassung auch Einfluss auf das gesamte Überwachungskonzept haben kann, da bestimmte Überwachungsaufgaben u. U. nicht mehr durchführbar sind. Dies gilt besonders, wenn zusätzliche Produkte eingesetzt werden, die hohe Voraussetzungen an die protokollierten Ereignisse stellen. Beispiele hierfür sind Programme, die eine automatische Analyse der Protokolldaten auf Verhaltensanomalien, etwa für die Erkennung von Angriffen, durchführen.

Im Rahmen der Überwachung der Systemfunktionen empfiehlt sich außerdem eine regelmäßige Kontrolle der eDirectory-Replikation, durch die Konfigurationsänderungen weitergeleitet werden. Fehler in der Replikation haben meist zur Folge, dass Konfigurationsänderungen nicht überall durchgeführt werden und so z. B. einem Benutzer zu viele Rechte zugestanden werden.

Prüffragen:

  • Ist ein Überwachungskonzept zum eDirectory vorhanden?

  • Wird die Konfiguration der Systemüberwachung zum eDirectory regelmäßig an das sich verändernde System angepasst?

  • Erfolgt, im Rahmen der Überwachung der Systemfunktionen, eine regelmäßige Kontrolle der eDirectory-Replikation?

Stand: 13. EL Stand 2013