Bundesamt für Sicherheit in der Informationstechnik

M 4.311 Sicherer Betrieb von Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Die Sicherheit eines komplexen Systems muss im Betrieb permanent aufrecht erhalten werden, da sich im laufenden Betrieb notwendige Veränderungen ergeben. Es genügt daher nicht, eine sichere Anfangskonfiguration einzustellen (siehe M 4.308 Sichere Installation von Verzeichnisdiensten und M 4.307 Sichere Konfiguration von Verzeichnisdiensten ).

Nach der Installation und erstmaligen Konfiguration gemäß den im Vorfeld festgelegten Verzeichnisdienst-Konzepten und Sicherheitsrichtlinien erfolgt der Betrieb von Verzeichnisdienst-Servern in der Regel im Netzverbund. Die Sicherheit eines solchen Netzes hängt dabei einerseits von der anfangs eingestellten Konfiguration ab. Sie wird jedoch auch maßgeblich durch die Art und Weise der Konfigurationsänderungen bestimmt, die im laufenden Betrieb erfolgen müssen. Dabei sind insbesondere auch Seiteneffekte zu berücksichtigen, die unter Umständen unbeabsichtigt zu Sicherheitslücken führen können.

Folgende Aspekte sind im laufenden Betrieb für ein Verzeichnisdienst-System aus Sicht der Informationssicherheit zu beachten:

  • Ein wichtiger Aspekt der Systemsicherheit eines Verzeichnisdienst-Systems ist die konsistente Verwaltung von Benutzern und Berechtigungen. Das administrative Konzept hat dabei Auswirkungen auf die Komplexität der durchzuführenden Aufgaben. Da es bei komplexen Abläufen leicht zu Fehlern kommen kann, sollten die administrativen Aufgaben möglichst einfach gestaltet werden. Ein gruppenbasiertes Zugriffskonzept trägt zur Aufrechterhaltung eines sicheren Systemzustands bei. Die Verwaltung von Zugriffsrechten auf Datenbanken wird wesentlich vereinfacht und ist insgesamt weniger fehleranfällig. Insbesondere ist darauf zu achten, dass für normale Benutzer der Zugriff auf alle Administrationswerkzeuge unterbunden wird.
  • Veränderungen in einem Verzeichnissystem ergeben sich insbesondere dann, wenn fremde LDAP -Verzeichnisse in einen bestehenden Verzeichnisdienst-Baum importiert werden. Diese neu importierten Verzeichnisse sind in der Regel noch nicht in die bestehenden Sicherheitsstrukturen eingebunden. Damit die definierte Sicherheitsrichtlinie auch weiterhin konsistent umgesetzt ist, muss die Konfiguration der Sicherheitseinstellungen umgehend nachgeholt werden. Die Berechtigungen zum Import neuer Verzeichnisse und zum Erzeugen von Verzeichnis-Replikationen müssen restriktiv vergeben werden.
  • Kryptographische Zertifikate können eine wesentliche Rolle für die Zugriffskontrollmechanismen des Verzeichnisdienstes spielen. Wenn eine Zertifizierungsstelle auf einem Verzeichnisdienst-Server installiert ist, kann für jedes neue Objekt automatisch ein eigenes Schlüsselpaar generiert und im Verzeichnisdienst abgelegt werden. Der sichere Betrieb dieses Verzeichnisdienst-Server im Baum ist deshalb besonders wichtig. Zu schützen sind nicht nur die Daten, die sich auf diesem befinden, sondern vor allem auch dessen Verfügbarkeit, beispielsweise durch geeignete Replizierung.
  • In Bezug auf den Virenschutz verlangt ein Verzeichnisdienst besondere Strategien, damit Replikationen nicht aufgrund von Zugriffen durch den Virenscanner Änderungen registrieren und so zu unnötigem Datentransfer führen. Im schlimmsten Fall kann der Datenbestand im Verzeichnis dadurch inkonsistent werden und letztlich den Verzeichnisdienst unbrauchbar machen.
  • Die Sicherheit eines IT-Systems basiert immer auch auf der physikalischen Sicherheit in der Umgebung der Server und Netzkomponenten. Daher muss ein Verzeichnisdienst-Server in einer sicheren Umgebung aufgestellt werden, siehe z. B. den Baustein B 2.4 Serverraum .
  • Um den Sicherheitszustand eines Systems nachvollziehen zu können, ist es notwendig, dieses zu überwachen. Die Sicherheitseinstellungen und die Protokolldateien eines Servers sollten regelmäßig überprüft werden. Ziel einer solchen Überwachung ist es, Verstöße gegen die geltenden Sicherheitsvorschriften zu entdecken, bestehende Sicherheitslücken aufzudecken oder Fehlkonfigurationen, die potentiell zu Sicherheitslücken führen können, zu erkennen. Ein entsprechendes Überwachungskonzept ist dabei auch als Teil des Sicherheitskonzeptes anzusehen. Komplexe Systeme wie Verzeichnisdienste können in der Regel nicht mehr durch einzelne Administratoren überwacht werden, sondern die Überwachung muss automatisch durch entsprechende Systemkomponenten oder Produkte von Drittherstellern erfolgen. Dabei ist auch die Konfiguration der Systemüberwachung regelmäßig an das sich verändernde System anzupassen. Die Überprüfung von Protokolldateien und Sicherheitseinstellungen kann manuell oder werkzeuggestützt erfolgen. Die Empfehlungen zur Überwachung sind in M 4.312 Überwachung von Verzeichnisdiensten zusammengefasst.

Auch unter Sicherheitsgesichtspunkten ist es wichtig, dass alle den Betrieb eines Verzeichnisdienst-Systems betreffenden Richtlinien, Regelungen und Prozesse dokumentiert werden. Dazu sollten Betriebshandbücher erstellt und bei Systemänderungen aktualisiert werden. Da die Betriebshandbücher sicherheitsrelevante Informationen enthalten, sind sie so aufzubewahren, dass Unbefugte keinen Zugriff auf sie erlangen können. Befugte Administratoren sollten die Handbücher jedoch leicht einsehen können.

Die aufgeführten Empfehlungen können an dieser Stelle nur allgemeinen Charakter haben, da die Aufrechterhaltung der Systemsicherheit auch von lokalen Gegebenheiten abhängt. Daher müssen schon in der Planungsphase eines Verzeichnisbaums entsprechende Richtlinien zum sicheren Betrieb erstellt werden, die die lokalen Anforderungen berücksichtigen. Unter Umständen kann es auch vorkommen, dass bestimmte Mechanismen nicht optimal sicher konfiguriert werden können. Dies ist z. B. der Fall, wenn "alte" Applikationen weiter betrieben werden müssen, die nur auf schwache oder keine Authentisierung ausgelegt sind. Hier muss dann durch alternative Gegenmaßnahmen an anderer Stelle, z. B. auf organisatorischer Ebene, eine angemessene Sicherheit erreicht werden.

Potentielle Sicherheitslücken können nur von kompetenten Administratoren entdeckt bzw. vermieden werden. Daher ist die Schulung und Fortbildung der Systemverwalter eine wichtige Schutzmaßnahme (siehe auch M 3.62 Schulung zur Administration von Verzeichnisdiensten ).

Daneben müssen auch die normalen Benutzer in Sicherheitsaspekten geschult werden (siehe auch M 3.63 Schulung der Benutzer zur Authentisierung mit Hilfe von Verzeichnisdiensten ), damit potentielle Gefahren bekannt sind und die zur Verfügung stehenden Sicherheitsmechanismen richtig eingesetzt werden können.

Prüffragen:

  • Sind alle Betriebsabläufe des Verzeichnisdienstes dokumentiert?

  • Ist der Zugriff auf alle Administrationswerkzeuge für normale Benutzer unterbunden worden?

Stand: 13. EL Stand 2013