Bundesamt für Sicherheit in der Informationstechnik

M 4.365 Nutzung eines Terminalservers als grafische Firewall

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Prinzipiell stellen Zugangsmöglichkeiten in ein unsicheres Netz und der Schutz der Grundwerte in einer sicheren IT-Infrastruktur einen Zielkonflikt dar.

Zum einen müssen beispielsweise Internetdienste mit aktiven Inhalten genutzt werden. Zum anderen erfolgt der Zugriff durch Anwendungen, die jeweils auf das unsichere Netz zugreifen müssen. In klassischen Client-Server Netzen werden diese Applikationen geschützt hinter Port,- Paket- oder Applikationsfiltern auf dem Client und im Kontext des Benutzers ausgeführt. Eine Kompromittierung der Client-Software bedroht Sicherheit des Clients, sowie die des internen Netzes. Terminalserver bieten hier, durch die Kapselung der Anwendungen auf einem separaten IT-System, ein zusätzliches Maß an Sicherheit, indem über den Terminalserver auf das unsichere Netz zugegriffen wird. Ein Terminalserver, der anstelle des Clients auf das unsichere Netz zugreift, wird als grafische Firewall bezeichnet.

Viren, Würmer oder andere Schadsoftware können bei konsequenter Planung und Umsetzung einer grafischen Firewall zu keiner Zeit auf dem Client des Benutzers ausgeführt werden, da lediglich Bildinformationen, sowie Ein- und Ausgabedaten zwischen dem Terminalserver und dem Terminal übertragen werden.

Bei der Konzeption einer grafischen Firewall spielen im Wesentlichen zwei, gegebenenfalls ergänzende anzustrebende Zielsetzungen, eine Rolle.

  • Der Schutz der internen IT -Systeme vor dem unsicheren äußeren Netz.
  • Die Verhinderung, dass keine vertraulichen Daten in das externe Netz durch technische Mängel, Schadsoftware oder durch Sabotage entweichen können. Die hierzu erforderliche strikte Unterbindung jeglichen Informationsaustauschs zwischen dem internen und dem externen Netz, etwa über den Dateitransfer oder die Zwischenablage, schränkt jedoch den praktischen Nutzen erheblich ein.

In beiden Fällen ist aber für die Wirksamkeit der Maßnahme wichtig, dass die Kommunikation in das unsichere Netz ausschließlich über die grafische Firewall erfolgt. Zudem sollte der Terminalserver, wie in der obigen Abbildung zu sehen, in einer von schutzbedürftigen Bereichen getrennten Zone (DMZ, demilitarisierte Zone des Sicherheitsgateways) untergebracht werden, um im Falle einer Kompromittierung das interne Netz nicht zu gefährden.

Hierbei ist es sinnvoll, auf der Route zwischen den beiden Netzsegmenten nur das Transportprotokoll und die Ports des Terminalserver-Dienstes zuzulassen, um die Zahl der Angriffsvektoren in das sichere Netz zu minimieren. Eine Auflistung der Standardeinstellungen einiger Terminalserver-Dienste enthält die folgende Tabelle.
Dienst Protokoll Server-Port Server-Zone
Windows Terminalserver RDP 3389 DMZ
Citrix Presentation Server ICA 1494 DMZ
X-Window X11 6000 LAN
X-Window mit SSH X11+SSH 22 DMZ
VNC VNC 5900 DMZ

Tabelle: Protokolle und Portnummern verschiedener Terminalserver-Lösungen

Gegebenenfalls ist es notwendig, weitere Ports zu öffnen, um z. B. den Zugriff auf den Dateiserver oder Druckdienste im LAN zu gewähren. Um dies zu vermeiden, kann bei manchen Lösungen der Datenverkehr für diverse Dienste direkt im Datenstrom des Terminalserver-Protokolls übermittelt werden. Protokolle, die diese Option mittels virtueller Kanäle bieten, sind unter anderem das Protokoll RDP des Windows Terminalserver oder ICA unter Citrix Metaframe, Presentation Server oder XenApp. Darüber hinaus besteht die Möglichkeit, Tunnelverbindungen mittels SSH z. B. für das X-Window System zu nutzen, das dazu von Haus aus nicht in der Lage ist.

Ferner sind bei der Verwendung von X-Window die technischen Besonderheiten des X11 Protokolls zu berücksichtigen. Während sich bei den sonst gängigen Verfahren das Terminal die Ausgabe vom Terminalserver holt, senden bei X-Window die Anwendungen und damit in diesem Fall die grafische Firewall, ihre Bildschirmausgaben aktiv an den X-Server, der auf dem Client des Benutzers ausgeführt wird. Als Konsequenz ist im Router der Port 6000 von der DMZ in das LAN durchzuleiten. Für jeden weiteren Client im LAN, der über den Terminalserver kommuniziert, ist ein weiterer Port oberhalb der Portnummer 6000 zu öffnen. Dies führt in diesem Szenario zu einer großen Anzahl von Zugängen in das interne Netz und sollte vermieden werden. Stattdessen empfiehlt sich der Aufbau der Verbindung über einen SSH -Tunnel oder ein VPN .

Aufgrund der besonderen Gefährdung der grafischen Firewall, ist der Einsatz eines Virenscanners, gemäß M 4.3 Einsatz von Viren-Schutzprogrammen , obligatorisch. Die Maßnahme M 5.163 Restriktive Rechtevergabe auf Terminalservern und M 4.368 Regelmäßige Audits der Terminalserver-Umgebung sorgen dafür, dass das Prinzip der geringsten Berechtigung herrscht.

Prüffragen:

  • Erfolgt die Kommunikation in das unsichere Netz ausschließlich über die grafische Firewall?

  • Ist der Terminalserver, der als grafische Firewall eingesetzt wird, in einer von schutzbedürftigen Bereichen getrennten Zone (DMZ) untergebracht?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK