Bundesamt für Sicherheit in der Informationstechnik

M 5.14 Absicherung interner Remote-Zugänge von TK-Anlagen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, TK-Anlagen-Verantwortlicher

Verantwortlich für Umsetzung: Administrator

TK-Anlagen verfügen oft über Fernwartungszugänge für Managementfunktionen. Diese Zugänge können für Administrations- und Wartungstätigkeiten sowie für sonstige Management-Aufgaben, wie die Alarmsignalisierung und -bearbeitung, genutzt werden. Solche Remote-Zugänge sind besonders bei komplexen TK-Anlagen nützlich und teilweise unverzichtbar.

Oft kann der Remote-Zugang über folgende Techniken genutzt werden:

  • Zugang über ein IP -Netz
  • Direkte Einwahl über Direct Inward System Access (DISA)
  • Zugang über dedizierte Management-Ports per Modem

Die Benutzung von Remote-Zugängen sollte so weit wie möglich eingeschränkt werden. Des Weiterem sollten alle Zugriffe und alle Aktivitäten während einer Administrationssitzung protokolliert werden können.

Grundsätzlich lässt sich zwischen

unterscheiden.

Beim internen Remote-Zugang wird die Absicherung einer Fernwartung innerhalb eines TK-Anlagenverbundes betrachtet. Unter Anlagenverbund wird hierbei eine aus mehreren separaten Anlagenteilen bestehende Gesamtanlage verstanden, die über ein eigenes Leitungsnetz miteinander verbunden ist. Sollte diese Verbindung über öffentliche Vermittlungseinrichtungen geführt sein, so sind zusätzlich die unter M 5.15 Absicherung externer Remote-Zugänge von TK-Anlagen beschriebenen Maßnahmen zu realisieren. Bei Vernetzung über geschlossene Benutzergruppen innerhalb öffentlicher Netze oder über virtuelle private Netze (VPN) sollten die Maßnahmen für interne Remote Zugänge und nach Möglichkeit die mit * gekennzeichneten Punkte aus den Maßnahmen für externe Remote-Zugänge umgesetzt werden.

Der wichtigste Aspekt bei der Absicherung des internen Remote-Zuganges ist der, Eindringversuche aus externen Netzen wirksam zu unterbinden und gegebenenfalls auch erkennen zu können. Des weiteren sollten die Zugänge aus dem eigenen Netz auf die berechtigten Stellen und Personen eingeschränkt werden können. Je nach Art der Zugangstechnik existieren hierfür unterschiedliche Methoden.

Absicherung eines internen Remote-Zugangs über IP-Netze

Wird die TK-Anlagen an ein IP-Netz angeschlossen, zum Beispiel damit sie konfiguriert und überwacht werden kann, gelten für sie ähnliche Empfehlungen wie für klassische IT-Systeme, darunter Server und Clients. Analog zu diesen IT-Systemen ist die Fernwartung zu schützen (siehe M 1.1 Einhaltung einschlägiger Normen und Vorschriften ).

Die TK-Anlage muss so konfiguriert werden, dass sich nur berechtigte Administratoren nach einer geeigneten Authentisierung an der TK-Anlage anmelden können. Hierfür ist ein entsprechendes Authentisierungsverfahren auszuwählen (siehe M 4.133 Geeignete Auswahl von Authentikationsmechanismen ). Wenn möglich, sollte die TK-Anlage so konfiguriert werden, dass nur berechtige IT-Systeme auf sie zugreifen dürfen, beispielsweise durch ein getrenntes Konfigurationsnetz oder Paket-Filter (siehe M 4.98 Kommunikation durch Paketfilter auf Minimum beschränken und M 4.238 Einsatz eines lokalen Paketfilters ).

Damit die übertragenen Informationen zwischen den IT-Systemen der Administratoren und der TK-Anlage nicht abgehört werden können, sollten die übertragenen Informationen verschlüsselt werden (siehe M 5.68 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation ).

Im Weiterem muss geprüft werden, ob die TK-Anlage in das Sicherheitskonzept gegen Schadprogramme aufgenommen werden sollte.

Absicherung eines internen Remote-Zugangs via Modem

Die nachfolgende Abbildung stellt ein typisches Szenario eines internen Remote-Zugangs dar, der über einen Fernadministrationsport via Modem angesprochen wird. Die TK-Anlage PBX 1 wird vom Wartungsplatz aus direkt über die V.24-Wartungsschnittstelle administriert. Die TK-Anlage PBX 2 wird vom Wartungsplatz aus über Modem 1 - PBX 1 - PBX 2 - Modem 2 - V.24-Wartungsschnittstelle administriert.

In einem solchem Fall können folgende Maßnahmen zur Abschottung gegenüber Zugängen aus externen Netzen ergriffen werden:

  • Keine Amtsberechtigung für den Anschluss von Modem 2
    Der Modem-Anschluss, über den der Zugang zum Administrationsport der Anlage geführt wird, sollte in keinem Fall amtsberechtigt sein! Diese Minimalanforderung sollte als erstes überprüft werden. Hiermit wird vermieden, dass das Modem von außerhalb direkt angewählt werden kann.
  • Geheimhaltung der Rufnummer des Wartungsports von Modem 2
    Um Missbrauch von vornherein zu erschweren, sollte die Rufnummer des Wartungsapparates nicht in Telefonverzeichnissen veröffentlicht werden. Ihre Kenntnis sollte den sie unmittelbar benötigenden Personen vorbehalten bleiben.
  • Verwendung von Standleitungen (optional)
    Die Verwendung von eigenen, nicht über Vermittlungseinrichtungen geführten, Standleitungen für die Remote-Verbindungen, ist eine der sichersten Methoden, um den externen Zugriff auf die Remote-Zugänge zu unterbinden. Da dieses Verfahren in der Regel sehr teuer ist, wird es nur in Ausnahmefällen Anwendung finden können.

Um sicherzustellen, dass nur die berechtigten Stellen innerhalb des eigenen Netzes auf die Remote-Zugänge zugreifen können, müssen folgende Maßnahmen umgesetzt werden:

  • Bildung geschlossener Benutzergruppen (Closed User Group, CUG)
    In einigen TK-Anlagen lassen sich CUGs anlagenübergreifend einrichten. Diese geschlossenen Benutzergruppen stellen eine Art Netz im Netz dar. Alle benötigten Remote-Zugänge sollten daher mit den jeweils zugangsberechtigten Stellen in solchen CUGs zusammengefasst werden.
  • Automatischer Rückruf (Callback)
    Die Callback-Option der Modems sollte genutzt werden (siehe M 5.30 Aktivierung einer vorhandenen Callback-Option ). Wird ein PC -Gateway eingesetzt, so sollte das Callback von dort gestartet werden.
  • Beschränkung der Rechte des Remote-Ports (optional)
    Sollte die TK-Anlage eine Rechteverwaltung für verschiedene Ports unterstützen, kann diese genutzt werden, um sicherheitskritische Aktionen über Remote-Zugänge zu unterbinden und nur vor Ort zuzulassen. Viele TK-Anlagen besitzen diese Option jedoch nicht. In solchen Fällen können die über einen Port ausführbaren Transaktionen durch Zusatzprodukte wie Portcontroller beschränkt werden.

Um sicherzustellen, dass nur die berechtigten Personen innerhalb des eigenen Netzes auf die Remote-Zugänge zugreifen können, müssen folgende Maßnahmen umgesetzt werden:

  • Identifikation und Authentisierung,
  • Challenge-Response-Verfahren zur Authentisierung (optional).

Absicherung eines internen Remote-Zugriffes via ISDN-Vernetzung

Der Remote-Zugriff auf eine TK-Anlage kann auch über ISDN erfolgen. Zu diesem Zweck sind die PCs mit Managementaufgaben mit ISDN-Karten auszurüsten. Um den Zugang abzusichern, sollte eine geschlossene Benutzergruppe durch die Auswertung der Rufnummer des Management-PCs gebildet werden (CLIP: Calling Line Identification and Presentation). In vielen TK-Anlagen ist diese Beschränkung des Remote-Zugangs auf eine Telefonnummer eingebaut.

Absicherung direkter Systemzugänge (Direct Inward System Access, DISA)

Direkte Systemzugänge sollten nach Möglichkeit gesperrt werden. Ist dies nicht möglich, so sollten die Berechtigungen so gesetzt werden, dass der direkte Systemzugang nur über einen dedizierten Port erfolgen kann. Auf diese Weise wird es möglich, den DISA-Zugang über ein Gateway zu führen. Ein Beispiel einer solchen Absicherung ist in der folgenden Abbildung dargestellt:

Einrichtung und Unterbringung eines Netzmanagement-Zentrums

Der Vorteil eines zentralen Netzmanagements ist, neben einer komfortablen Abwicklungsmöglichkeit der Systemadministration, dass für die alltäglichen Administrationsarbeiten kein physischer Zutritt zu den TK-Anlagen mehr notwendig ist.

Sollte die Einrichtung eines zentralen Netzmanagements erwogen werden, so ist dies in einem gesicherten Bereich unterzubringen. Der Zutritt zu diesem Zentrum ist durch organisatorische Maßnahmen zu regeln. Entsprechende Vorgaben können dem Baustein B 2.4 Serverraum entnommen werden. Die Managementrechner, von welchem die Arbeiten durchgeführt werden können, sollten auch mit geeigneten Maßnahmen abgesichert werden. Beispiele finden sich in B 3.209 Client unter Windows XP und B 3.204 Client unter Unix .

Prüffragen:

  • Ist die externe Fernwartung der TK -Anlage unterbunden?

  • Sind die Nutzer des Remote-Zugangs der TK -Anlage bekannt?

  • Ist der Zugang zur TK -Fernwartungszentrale auf die notwendigen Personen beschränkt?

  • Ist der Administrationszugang der TK -Anlage vor unberechtigten Zugriff geschützt?

Stand: 12. EL Stand 2011