Bundesamt für Sicherheit in der Informationstechnik

M 4.250 Auswahl eines zentralen, netzbasierten Authentisierungsdienstes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

IT-Systeme aller Art sollten grundsätzlich sicherstellen, dass sich alle Benutzer, die darauf zugreifen möchten, authentisieren müssen. Nur so kann verhindert werden, dass unautorisierte Personen Zugriff auf die Dienste erlangen, die das System anbietet, oder auf die Daten, die auf dem System gespeichert sind. Eine Ausnahme bilden nur solche IT-Systeme, die allgemein zugänglich sein sollen wie öffentliche Informationsdienste (beispielsweise öffentliche Webserver) oder Ähnliches.

Nachdem die Authentisierung erfolgreich abgelaufen ist, muss das System sicher stellen, dass die Benutzer nur auf solche Dienste und Daten Zugriff erhalten, für die sie entsprechende Berechtigungen besitzen.

Oft soll die Authentisierung nicht lediglich für einen einzelnen Dienst oder auf einem einzelnen System erfolgen, sondern es sollen zumindest für verschiedene Dienste und auf unterschiedlichen Systemen dieselben Authentisierungsdaten (etwa Benutzername und Passwort) genutzt werden können. In einem solchen Fall ist ein zentraler, netzbasierter Authentisierungsdienst erforderlich, damit die Authentisierungsdaten nicht auf jedem beteiligten System einzeln verwaltet und aktualisiert werden müssen.

Den Extremfall stellt hier das sogenannte "Single Sign-On" dar, bei dem eine Authentisierung zentral für alle Dienste eines IT -Verbunds erfolgt. Dies hat den Vorteil, dass die Benutzer sich nur einmal anmelden müssen. Die Benutzer benötigen nur jeweils ein Passwort oder Token und müssen sich somit nicht verschiedene Passwörter merken oder eine Vielzahl von Token aufbewahren. Andererseits wird einem Angreifer aber der Zugriff auf alle Dienste des IT-Verbunds ermöglicht, wenn er sich einmal als Benutzer anmelden konnte.

Soll ein zentrales, netzbasiertes Authentisierungssystem eingesetzt werden, so ist eine sorgfältige Planung besonders wichtig, da die Funktion und die Sicherheit eines solchen Systems entscheidende Faktoren für die Sicherheit des gesamten IT-Verbundes sind.

Die zentrale Authentisierung kann durch einen Einsatz eines zentralen Authentisierungssystems wie Kerberos erreicht werden. Kerberos bietet im weiterem den Vorteil, dass neben Unix-Systemen auch unter Windows-Betriebssysteme eine Kerberos-Authentisierung verwendet werden kann.

Auf wichtige Empfehlungen, die für die Auswahl und den Einsatz eines netzbasierten Authentisierungsdienstes berücksichtigt werden müssen, wird im Folgenden tiefer eingegangen:

Verschlüsselung der Netz-Protokolle

Im Gegensatz zu einer lokalen Benutzerverwaltung werden kritische Informationen, die für eine netzbasierte Authentisierung benötigt werden, über ein LAN oder WAN übertragen. Daher ist es zwingend erforderlich, dass diese Informationen nicht mitgelesen oder verändert werden können.

Außerdem muss sichergestellt werden, dass ein Angreifer sich nicht anmelden kann, indem er aufgezeichnete Anmeldeinformationen wieder einspielt. Daher müssen die Anmeldeinformationen, die für die Authentisierung zwischen Server und Client ausgetauscht werden, verschlüsselt und zusätzlich, beispielsweise mit Challenge-Response-Verfahren, dynamisiert werden.

Schutz des Authentisierungsservers

Generell werden alle für eine Authentisierung benötigten Informationen auf einem zentralen Server abgelegt. Daher ist sicherzustellen, dass keine unautorisierten Personen an diese kritischen Informationen gelangen können. Ein Authentisierungsserver muss also auf allen Ebenen sorgfältig geschützt werden (der Schutzbedarf ist vergleichbar mit dem eines Sicherheitsgateways). Hierzu gehört unter anderem:

  • Er sollte in einem separaten Serverraum aufgestellt werden. Hierbei zu realisierende Maßnahmen sind in Baustein B 2.4 Serverraum beschrieben. Wenn kein Serverraum zur Verfügung steht, kann der Authentisierungsserver alternativ in einem Serverschrank aufgestellt werden (siehe Baustein B 2.7 Schutzschränke ).
  • Er darf sich nur innerhalb eines geschützten Netzes befinden.
  • Auf einem Authentisierungsserver sollten nur die dafür erforderlichen Dienste verfügbar sein und möglichst keine weiteren Dienste angeboten werden, zumindest keine mit niedrigerem Schutzbedarf, wie z. B. ein Webserver. Außerdem dürfen nur Programme installiert sein, die für die Funktionsfähigkeit nötig sind.
  • Für die Konzeption und den Betrieb eines Authentisierungsservers muss geeignetes Personal mit ausreichend Ressourcen zur Verfügung stehen. Der zeitliche Aufwand für den Betrieb eines Authentisierungsservers darf nicht unterschätzt werden. Alleine die Auswertung der angefallenen Protokolldaten nimmt oft viel Zeit in Anspruch. Die Administratoren müssen fundierte Kenntnisse der eingesetzten IT-Komponenten besitzen und entsprechend geschult werden.
  • Nur Administratoren dürfen sich auf diesem System anmelden können. Die Vergabe von Administrationsrechte muss sorgfältig dokumentiert sein. Besonders sicherheitskritische Eingriffe sollten möglichst im Vieraugenprinzip erfolgen. Administratoren sollten für die Anmeldung starke Authentisierungsmethoden benutzen.
  • Die Administration des Authentisierungsservers darf nur über einen gesicherten Zugang möglich sein, also z. B. über eine gesicherte Konsole, eine verschlüsselte Verbindung oder ein separates Netz (Administrationsnetz).
  • Die korrekte Konfiguration eines Authentisierungsservers ist wesentlich für dessen sicheren Betrieb. Fehler in der Konfiguration können zu Sicherheitslücken oder Ausfällen führen. Die bestmögliche Konfiguration muss sorgfältig dokumentiert sein.
  • Betriebssystem und Programme eines Authentisierungsservers müssen jederzeit auf einem sicheren Patch-Stand sein.
  • Es müssen in regelmäßigen Abständen Integritätstests der eingesetzten Software durchgeführt werden (siehe auch M 4.93 Regelmäßige Integritätsprüfung ). Im Fehlerfall muss der Authentisierungsserver abgeschaltet werden.
  • Es muss klar dokumentiert sein, welche Ereignisse protokolliert werden müssen (M 5.9 Protokollierung am Server ), wo diese gespeichert werden und wie und in welchen Abständen sie ausgewertet werden.
  • Authentisierungsserver müssen in das organisationsweite Datensicherungskonzept sowie in das Notfallvorsorgekonzept integriert sein. Beim Wiedereinspielen von gesicherten Datenbeständen muss darauf geachtet werden, dass Benutzer- und Rechteverwaltung auf dem aktuellsten Stand sind.
  • Für einen sicheren Betrieb eines Authentisierungsservers sind die umgesetzten Sicherheitsmaßnahmen regelmäßig auf ihre korrekte Einhaltung zu überprüfen. Durch regelmäßige Audits muss der sichere Betrieb überprüft werden.

Weiterhin ist bei einer zentralen Verwaltung ein Ausfall des Servers oder des Netzes zu berücksichtigen, was nach einem Denial-Of-Service-Angriff der Fall sein kann. Wenn alle weiteren Rechner im Netz von dem Server für eine Authentisierung abhängig sind, weitet sich der Denial-Of-Service-Angriff auf alle Systeme im Netz aus. Daher wird der Einsatz eines hochverfügbaren Systems empfohlen, das mit dem Einsatz eines redundanten Servers (siehe M 6.43 Einsatz redundanter Windows-Server ) realisiert werden kann.

Da eine verlässliche Authentikation für die Sicherheit jedes Netzes eine zentrale Rolle spielt, ist der sichere und ordnungsgemäße Betrieb des Authentisierungsservers besonders wichtig. Daher muss das gewählte Vorgehen in die bestehende organisationsweite Sicherheitsleitlinie integriert werden.

Passwörter

Analog zur Maßnahme M 2.11 Regelung des Passwortgebrauchs sind geeignete Vorkehrungen für eine hohe Passwortgüte zu treffen.

Protokollierung

Das Authentisierungssystem muss die aus der Maßnahme M 5.9 Protokollierung am Server bekannten Ereignisse erfassen können.

Alle Logdateien sollten zentral auf dem Server abgelegt werden. Da dies die Erstellung detaillierter Benutzerprofile ermöglicht, muss aus Gründen des Datenschutzes verhindert werden, dass diese Informationen von unautorisierten Personen ausgelesen werden können.

Wird ein zentraler Protokollierungsserver eingesetzt, sollte gewährleistet werden, dass die übertragenen Daten nicht abgehört werden können. Dies kann beispielsweise durch den Einsatz von Übertragungsprotokollen, die die Verschlüsselung der Daten ermöglichen, eine VPN-Verbindung oder durch ein separates Netz zwischen den zentralen Authentisierungsserver und dem Protokollierungsserver erfolgen.

Prüffragen:

  • Wurde bei Einsatz von einem zentralen netzbasierten Authentisierungsdienst der Einsatz sorgfältig geplant?

  • Wurden die für die Auswahl eines zentralen, netzbasierten Authentisierungsdienstes relevanten Sicherheitsanforderungen dokumentiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK