Bundesamt für Sicherheit in der Informationstechnik

M 4.312 Überwachung von Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT, Revisor

Um den Sicherheitszustand eines Systems nachvollziehen zu können, ist es notwendig, dieses kontinuierlich zu überwachen. Dafür sollten unter anderem die Sicherheitseinstellungen und die Protokolldateien eines Servers regelmäßig überprüft werden. Ziel einer solchen Überwachung ist es, Verstöße gegen die geltenden Sicherheitsvorschriften zu entdecken, bestehende Sicherheitslücken aufzudecken oder Fehlkonfigurationen, die zu Sicherheitslücken führen können, zu erkennen. Ein entsprechendes Überwachungskonzept ist dabei auch als Teil des Sicherheitskonzeptes anzusehen.

Komplexe Systeme wie Verzeichnisdienste können dabei in der Regel nicht mehr durch einzelne Administratoren überwacht werden, sondern die Kontrolle muss automatisch durch entsprechende Systemkomponenten oder Produkte von Dritt-Herstellern erfolgen. Dabei ist auch die Konfiguration der Systemüberwachung regelmäßig an das sich verändernde System anzupassen.

Zur Systemüberwachung eines Verzeichnisdienstes sollten geeignete Werkzeuge eingesetzt werden. Wenn es sich um eine Client-Server-Verbindung handelt, müssen für den Zugriff auf die Werkzeuge geeignete Authentisierungsmechanismen vorhanden sein. Der Zugreifende darf nur nach erfolgreicher Authentisierung Zugriff auf die Daten erhalten, wobei die für ihn konfigurierten Rechte gelten. Der Zugriff auf alle Administrationswerkzeuge sollte für normale Benutzer unterbunden werden. Grundsätzlich sollten diese Zugriffe nur mit einer ausreichenden Verschlüsselung der Kommunikationsverbindung betrieben werden.

Je nach Verzeichnisdienst und den zur Verfügung stehenden Werkzeugen können sämtliche Verzeichnisdienst-Ereignisse in einer eigenen Protokolldatei gespeichert werden. Dadurch sind die Ereignisse gezielter zu erkennen und auszuwerten, wie wenn die Verzeichnisdienst-Ereignisse in der globalen Protokolldatei des Betriebssystems gespeichert werden.

Im Rahmen der Überwachung sind folgende Aspekte zu beachten:

  • Der Datenschutzbeauftragte und der Personal- bzw. Betriebsrat sollten frühzeitig in die Planung mit einbezogen werden, da bei einer System-Überwachung meist auch personenbezogene Daten erfasst werden.
  • Neben den Verzeichnisdienst-spezifischen Ereignissen müssen auch Ereignisse des Betriebssystems beobachtet und protokolliert werden, um ein vollständigeres Bild über die Systemabläufe zu erhalten. Empfehlungen und Hinweise zur Protokollierung auf Betriebssystem-Ebene finden sich in den jeweiligen Bausteinen.
  • Eine zentrale Sammelstelle für Protokolldateien mit entsprechend automatisierter Auswertung kann durch Produkte von Dritt-Herstellern aufgebaut werden. Wird ein Werkzeug zum Netz- und Systemmanagement eingesetzt (siehe Baustein B 4.2 Netz- und Systemmanagement ), so können je nach Produkt, die Verzeichnisdienst-Protokolle direkt in dieses Werkzeug integriert werden.
  • Durch die Überwachung fallen je nach Einstellung große Datenmengen an. Diese müssen nicht nur regelmäßig ausgewertet, sondern aus Platzgründen auch gelöscht oder auf andere Datenträgern ausgelagert werden. Zusätzlich kann eine intensive Überwachung zu Performanceverlusten führen. Dadurch kann ein Server unter Umständen so überlastet werden, dass ein geregelter Betrieb nicht mehr möglich ist. Aus diesem Grund müssen die geeigneten Überwachungsparameter im Rahmen eines Testbetriebs überprüft und gegebenenfalls angepasst werden. Anpassungen können auch Einfluss auf das gesamte Überwachungskonzept haben, da bestimmte Überwachungsaufgaben unter Umständen nicht mehr durchführbar sind. Dies gilt besonders, wenn zusätzliche Produkte eingesetzt werden, die hohe Voraussetzungen an die protokollierten Ereignisse stellen. Beispiele hierfür sind Programme, die eine automatische Analyse der Protokolldaten auf Verhaltensanomalien, etwa für die Erkennung von Angriffen, durchführen.

Im Rahmen der Überwachung der Systemfunktionen empfiehlt sich außerdem eine regelmäßige Kontrolle der Verzeichnisdienst-Replikation, durch die Konfigurationsänderungen weitergeleitet werden. Fehler in der Replikation haben meist zur Folge, dass Konfigurationsänderungen nicht überall durchgeführt werden und so z. B. einem Benutzer zu viele Rechte zugestanden werden.

Prüffragen:

  • Wurde ein bedarfsgerechtes Überwachungskonzept zum Verzeichnisdienst entworfen und umgesetzt?

  • Werden wichtige Systemereignisse des Verzeichnisdienstes protokolliert und regelmäßig ausgewertet?

  • Werden die Überwachungsparameter des Verzeichnisdienstes im Rahmen eines Testbetriebs überprüft und gegebenenfalls angepasst?

Stand: 13. EL Stand 2013