Bundesamt für Sicherheit in der Informationstechnik

M 5.15 Absicherung externer Remote-Zugänge von TK-Anlagen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, TK-Anlagen-Verantwortlicher

Verantwortlich für Umsetzung: Administrator

Als externer Remote-Zugang wird in dieser Maßnahme jeder Zugriff über die Wartungsschnittstelle der TK -Anlage via öffentliche Vermittlungssysteme und Datennetze, wie dem Internet, angesehen. Dies kann entweder dadurch notwendig werden, dass die einzelnen Anlagen des Verbundes nicht oder nicht nur (siehe Anmerkung) über Standleitungen verbunden sind oder dass auf eine schnelle Unterstützung des Herstellers in Notfällen nicht verzichtet werden kann. In diesen Fällen muss der Wartungsport (Modem) die volle Amtsberechtigung besitzen.

Moderne TK-Anlagen können oft über Datennetze konfiguriert werden. Je nach Netzstruktur befindet sich die TK-Anlage in einem LAN oder in einem separaten Management-Netz. Der direkte Zugriff auf die TK-Anlage, die sich in internen Netzen befindet, von öffentlichen Netzen aus muss verhindert werden. Soll dennoch von einem öffentlichen Datennetz auf die TK-Anlage zugegriffen werden, sollte ein Virtuelles Privates Netz ( VPN , siehe B 4.4 VPN ) genutzt werden. Hierbei wird eine geschützte Datenverbindung zu dem VPN-Endpunkt, der sich in der Regel in der demilitarisierte Zone (DMZ) befindet, generiert. Von dort kann eine Verbindung unter Berücksichtigung der Empfehlungen aus M 5.14 Absicherung interner Remote-Zugänge von TK-Anlagen aufgebaut werden.

Die nachfolgende Abbildung stellt ein typisches Szenario eines externen Remote-Zugangs zu einem Fernadministrationsport via Modem dar. Die TK-Anlage wird vom externen Wartungsplatz aus über Modem 1 - öffentliches Netz - PBX - Modem 2 - V.24-Wartungsschnittstelle administriert.

Aus Sicherheitsgründen ist es sinnvoll, auf externe Fernwartung zu verzichten. Ist dies nicht möglich, so sind - neben den Maßnahmen für interne Remote Zugänge - zusätzliche Sicherungsmaßnahmen unumgänglich.

Anmerkung: Einige Anlagen bieten die Möglichkeit, nur die Grundverkehrslast über Standleitungen abzuwickeln und Lastspitzen automatisch über das öffentliche Netz zu routen. Dieser Vorgang wird dem Benutzer nicht signalisiert.

PC-Gateway (siehe Anmerkung)

Zwischen Wartungsport und Modem sollte ein PC -Gateway geschaltet werden. Dieser muss die folgenden Sicherheitsfunktionen realisieren:

  • Identifikation und Authentisierung des Bedieners,
  • Abbruch der Verbindung bei sicherheitskritischen Ereignissen,
  • Automatischer Rückruf (call back) und
  • Protokollierung aller Tätigkeiten.

Darüber hinaus können noch weitere Funktionalitäten implementiert werden:

  • Verhängen einer Zeitsperre bei fehlerhaften Zugangsversuchen,
  • Sperren der Fernwartung im Normalbetrieb und explizite Freigabe für eine genau definierte Zeitspanne; dies ist sinnvoll, um in Notfall dem Hersteller oder einem anderen Wartungsunternehmen einen Eingriff zu ermöglichen,
  • Einschränkung der Rechte des Wartungspersonals; über eine auf dem Wartungs-PC installierte Zusatzsoftware kann der Benutzer in seinem Handlungsspielraum eingeengt werden, um eine abgestufte Rechteverwal­tung zu realisieren,
  • "Zwangslogout" bei Leitungsunterbrechung; wird die Verbindung zwischen Fernwartungsstelle und PC-Gateway auf irgendeine Weise unterbrochen, so muss der Zugriff auf das System durch ein "Zwangslogout" beendet werden.

Physikalische Abschaltung des Fernwartungszuganges

Sollte im Normalfall keine Fernwartung benötigt und nur im Bedarfsfall eine solche ermöglicht werden, so empfiehlt sich die physikalische Abschaltung des Zugangs. Im Bedarfsfall kann dieser, eventuell nach telefonischer Rücksprache mit dem Hersteller oder der Wartungsfirma, kurzfristig aktiviert werden.

Geschlossene Benutzergruppen (Closed User Group, CUG)

In öffentlichen ISDN - und X.25-Netzen wird das Leistungsmerkmal der Bildung von CUG angeboten. Auf diese Weise wird für einen Benutzer vom Netzbetreiber ein virtuelles "Netz-im-Netz" zur Verfügung gestellt. Die geschlossenen Benutzergruppen können beim Netzbetreiber gegen entsprechende Entgelte beantragt werden.

Alternativ kann überlegt werden, die geschlossenen Benutzergruppen durch Nutzung der ISDN -Hilfsdienste Calling Line Identification and Presentation (CLIP) und Connected Line Identification and Presentation (COLP) selbst zu realisieren. Dies kann, wenn möglich, durch entsprechende Konfiguration der eigenen TK-Anlage oder aber durch entsprechende Auslegung eines PC-Gateways geschehen.

Anmerkung: Diese Maßnahme sollte auch bei interner Fernwartung über virtuelle private Netze angewandt werden.

Vermeidung bzw. Kontrolle direkter Einwahlmöglichkeiten (Dial-In)

Eine direkte Einwahlmöglichkeit, z. B. aus anderen Netzen über Nachwahl im Mehrfrequenzwahlverfahren, in die TK -Anlage sollte nach Möglichkeit unterbunden werden. Solche Verfahren werden oft für den Zugang zu Serverdiensten genutzt. Sollte ein Unterbinden aus betrieblichen Gründen nicht vermeidbar sein, so empfiehlt sich das vollständige Aktivieren der möglichen Schutzmechanismen und eine regelmäßige Kontrolle auf möglichen Missbrauch.

Prüffragen:

  • Wird ein Administrationszugang über öffentliche Netze für die TK -Anlage benötigt?

  • Wurde alle nicht benötigten Administrationszugänge deaktiviert?

  • Ist der Administrationszugang von TK -Anlagen vor unberechtigtem Zugriff geschützt?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK