Bundesamt für Sicherheit in der Informationstechnik

M 4.274 Sichere Grundkonfiguration von Speichersystemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Sämtliche Konfigurationsarbeiten an Speichersystemen müssen entsprechend der erstellten Sicherheitsrichtlinie (siehe M 2.525 Erstellung einer Sicherheitsrichtlinie für Speicherlösungen ) durchgeführt werden und wie in M 2.358 Dokumentation der Systemeinstellungen von Speichersystemen beschrieben dokumentiert und kommentiert werden.

Betriebssystem

Speichersysteme, die als NAS-Systeme betrieben werden können, sind spezialisierte Server, die intern von einem Betriebssystem verwaltet werden. Dieses Betriebssystem ist üblicherweise eine eingeschränkte und leistungsgesteigerte Version eines Standard-Betriebssystems.

Auch bei SAN-Systemen, die aus einer Vielzahl von Einzelkomponenten bestehen können, werden gegebenenfalls einzelne Komponenten durch Standard-nahe Systeme verwaltet.

Vor allem bei diesen Betriebssystemen aber auch bei herstellerspezifischen "unbekannten" Systemen muss vor Inbetriebnahme sichergestellt sein, dass ein aktueller Stand aller Software- und Firmwarekomponenten hergestellt wird, um bestmögliche Stabilität des Systems und auch Schutz gegen Angriffe wie z. B. durch Schadprogramme sicherzustellen.

Grundkonfiguration

Bevor ein Speichersystem in die IT-Produktion integriert wird, muss eine sichere Grundkonfiguration hergestellt werden. Viele Geräte werden vom Hersteller mit einer Default-Konfiguration ausgeliefert, die vor allem auf eine schnelle Inbetriebnahme mit möglichst umfassender Funktionalität ausgerichtet ist und in der so gut wie keine Sicherheitsmechanismen aktiv sind. Daher muss die Überprüfung der Default-Einstellungen und die Grundkonfiguration offline, in einem eigens dafür eingerichteten und besonders gesicherten Testnetz oder über das Administrationsnetz, erfolgen.

Bei der Konfiguration muss beachtet werden, dass unter Umständen nicht jedes Administrations- oder Konfigurationswerkzeug (Konsole, Webschnittstelle, externes Konfigurationsprogramm) alle relevanten Informationen anzeigt.

Daher ist es wichtig, anhand der vorhandenen Dokumentation nachzuvollziehen, dass auch alle relevanten Einstellungen vorgenommen wurden. Es ist wünschenswert, wenn Konfigurationswerkzeuge alle Konfigurationsschritte am Speichergerät mindestens in lokalen Logdateien, besser noch auf einem zentralen Logging-System auswertbar dokumentieren.

Es bietet sich an, die Grundkonfiguration in folgende Schritte zu unterteilen:

  • Lokale Konfiguration: Überprüfung und Anpassung der Konfigurationsparameter, die sich auf das Gerät selbst beziehen (beispielsweise Einstellung von RAID-Levels, Zuordnung von Festplatten zu Volumes, Zuordnung von Backup-Geräten zu Speichergeräten), Einstellungen zur Protokollierung, Einstellungen für Konsolenzugang etc.
  • Netzkonfiguration: Überprüfung und Anpassung der Konfigurationsparameter, die sich auf die Einbindung des Geräts in das lokale Netz, das Administrationsnetz und das Speichernetz beziehen. Dienste zur Administration wie telnet, tftp, oder http, bei denen Anmeldung und alle Informationen im Klartext ausgetauscht werden, sollten durch die verschlüsselten Äquivalente ssh, sftp und https ersetzt werden.
  • Bei SAN-Systemen muss die interne Segmentierung des Netzes durch Zoning und Port-Binding vorgenommen werden. Den angeschlossenen Servern sollten nur die tatsächlich benötigten Ressourcen des SAN zugeordnet werden.
  • Die Administration der Speichersysteme sollte in die zentrale Rechteverwaltung eingebunden werden (z. B. Active Directory, LDAP , Radius,...).

Benutzerkonten und Passwörter

Die Möglichkeiten für die Einrichtung von Benutzern und Rollen und das Zuweisen von Berechtigungen unterscheiden sich von Hersteller zu Hersteller teilweise erheblich. Daher ist es empfehlenswert, entsprechend dem vorgegebenen Rechte- und Rollenkonzept für die Administration der Speichergeräte ein detailliertes Konzept für die jeweiligen Geräte zu erstellen.

Oft sind ein oder mehrere Administrationszugänge mit allgemein bekannten Standardnamen und Passwort oder sogar ohne Passwort vorkonfiguriert. Auf einschlägigen Internet-Seiten können Listen mit herstellerspezifischen Standard-Accounts und Passwörtern heruntergeladen werden.

Bei der Inbetriebnahme des Geräts müssen diese Standard-Benutzerkonten, falls möglich, geändert werden. In jedem Fall müssen aber die Passwörter der Standard-Accounts geändert werden. Nicht benutzte Benutzerkonten müssen deaktiviert werden.

Entsprechend dem Rechte- und Rollenkonzept müssen anschließend die vorgesehenen Benutzerkonten und -rollen eingerichtet werden.

Konfigurationsdateien müssen vor unbefugtem Zugriff besonders geschützt werden. Auch wenn z. B. eine verschlüsselte Speicherung von Passwörtern sichergestellt ist, müssen solche Dateien vor unberechtigtem Lesen geschützt werden, da sie geschäftskritische Informationen enthalten und auch verschlüsselte Passwörter häufig in recht kurzer Zeit durch passende Programme entschlüsselt werden könnten.

Passwortrichtlinien der Institution bezüglich Länge, Stärke und Änderungshäufigkeit sind also unbedingt zu beachten.

Login-Banner

Jenseits des Administrationsnetzes sollten keinesfalls Login-Nachrichten eines Speichersystems sichtbar werden. In diesen Login-Nachrichten sind oft Informationen (beispielsweise Modell- oder Versionsnummer, Software-

Release-Stand oder Patchlevel) enthalten, die einem potentiellen Angreifer von Nutzen sein können.

Sollte es sich nicht vermeiden lassen, dass auch im Intranet der Institution ein Login möglich ist, sollte die Standard-Loginnachricht durch eine angepasste Version ersetzt werden, die keine internen Informationen enthält. Die Modell- und Versionsnummer des Geräts und die Version des Betriebssystems darf unter keinen Umständen vom Login-Banner verraten werden. Stattdessen sollten folgende Informationen bei einer Anmeldung am Gerät angezeigt werden:

  • Jeglicher Zugriff darf nur durch autorisiertes Personal erfolgen.
  • Alle Arbeiten sind entsprechend der Sicherheitsrichtlinie durchzuführen.
  • Das Gerät ist in zentrale Kontrollmechanismen, wie beispielsweise in ein Netzmanagementsystem (NMS) zur Protokollierung und Erkennung von Verstößen gegen die Sicherheitsrichtlinie eingebunden.
  • Verstöße gegen die Sicherheitsrichtlinie werden disziplinarisch / strafrechtlich verfolgt.

Protokollierung

Die interne Protokollierung auf dem Speichersystem muss so konfiguriert werden, dass vor allem Informationen, die zur Früherkennung von Problemen benötigt werden, leicht sichtbar werden.

Das Speichersystem und die zur Administration und Protokollierung genutzten Rechner sollten durch Nutzung eines NTP-Servers zeitlich synchronisiert werden.

Es ist generell ratsam, alle IT-Systeme der Institution per NTP auf eine einheitliche Zeit zu synchronisieren.

Schnittstellen

Nicht genutzte Schnittstellen auf Speichersystemen sind zu deaktivieren. Das bedeutet, dass nicht genutzte Anschlüsse (z. B. eine serielle Schnittstelle zum Anschluss eines Terminals) nicht verkabelt und Dienste, die nicht genutzt werden sollen, explizit deaktiviert werden sollten.

Test der Konfiguration

Zum Abschluss des Testbetriebes sollten Standardsysteme und auch die Absicherung des Administrationsnetzes durch einen Sicherheitscheck geprüft werden.

Backup der Konfiguration

Die Konfigurationsdateien der Grundkonfiguration bilden die Basis für die weitere Konfiguration. Es müssen sowohl von der mit dem Gerät ausgelieferten Default-Konfiguration als auch von den Daten, die das Ergebnis der Grundkonfiguration darstellen, Sicherungskopien hergestellt und geschützt aufbewahrt werden.

Diese bilden die Grundlage für einen Wiederanlauf nach gravierenden Störungen (siehe M 6.98 Notfallvorsorge und Notfallreaktion für Speicherlösungen ).

Prüffragen:

  • Wurden alle Konfigurationsarbeiten gem. der Sicherheitsrichtlinie für das Speichersystem ausgeführt?

  • Ist anhand der vorhandenen Dokumentation nachvollziehbar ob alle relevanten Einstellungen vorgenommen werden?

  • Werden bei der Inbetriebnahme von Speichersystemen nicht benötigte Benutzerkonten deaktiviert, Standard-Passwörter im Einklang mit der Passwortrichtlinie geändert bzw. neue Accounts angelegt?

  • Werden die vorgegebenen Benutzerkonten- bzw. -rollen entsprechend des Rechte- und Rollenkonzepts eingerichtet?

  • Ist die interne Protokollierung des Speichernetzes so konfiguriert, dass Informationen, die der Früherkennung von Problemen dienen, schnell erkannt werden?

  • Sind nicht genutzte Schnittstellen des Speichersystems deaktiviert?

  • Speichersystem-Hardware: Werden die Default-Konfiguration, die ermittelte Grundkonfiguration und die aktuelle Konfiguration redundant und geschützt aufbewahrt?

Stand: 13. EL Stand 2013