Bundesamt für Sicherheit in der Informationstechnik

M 5.21 Sicherer Einsatz von telnet, ftp, tftp und rexec

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Das Kommando telnet hostname ermöglicht es, sich nach Eingabe eines Benutzernamens und des zugehörigen Passwortes auf dem Rechner hostname einzuloggen. Mit ftp ist es möglich, größere Datenmengen zu kopieren, und rexec erlaubt die Ausführung von Kommandos auf einem anderen Rechner ohne ein vorhergehendes Anmelden. Bei allen drei Programmen werden die eingegebenen Benutzernamen und Passwörter unverschlüsselt über das Netz übertragen, so dass sie nur benutzt werden dürfen, wenn sichergestellt ist, dass das Netz nicht abgehört werden kann (siehe G 5.7 Abhören von Leitungen ). Alle Aufrufe von telnet, ftp und rexec sind zu protokollieren. Insbesondere ist auf fehlgeschlagene Verbindungsversuche von externen IT-Systemen zu achten.

Beim Einsatz des Daemons ftpd muss beachtet werden, dass ähnlich wie bei sendmail (siehe M 5.19 Einsatz der Sicherheitsmechanismen von sendmail ) immer wieder neue schwerwiegende Sicherheitslücken festgestellt werden, die es u. U. ermöglichen, ohne Passwort Administratorrechte zu bekommen (siehe hierzu die CERT -Mitteilung CA-94-08 vom 14.04.1994). Es sollten keine ftp-Versionen eingesetzt werden, die älter sind als die dort beschriebenen.

Weiterhin sollten in die Datei /etc/ftpusers alle Benutzernamen eingetragen werden, für die ein ftp-Zugang nicht erlaubt werden soll. Hierzu gehören z. B. root, uucp und bin. Bei der Einrichtung von neuen Benutzern ist darauf zu achten, diese in /etc/ftpusers einzutragen, wenn sie gemäß ihrem Rechteprofil keinen ftp-Zugang haben dürfen (siehe auch M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen ).

Mit Hilfe von .netrc-Dateien werden automatische FTP-Zugriffe auf entfernten IT-Systemen erlaubt. Damit dies möglich ist, enthalten .netrc-Dateien die benötigten Passwörter. Daher muss sichergestellt werden, dass keine .netrc-Dateien in den Benutzerverzeichnissen vorhanden sind oder dass sie leer sind und der Benutzer keine Zugriffsrechte auf diese hat.

Der Einsatz des Daemons tftpd, rexd und rexecd muss verhindert werden (z. B. durch Entfernen des entsprechenden Eintrags in der Datei /etc/inetd.conf), oder es muss zumindest sichergestellt sein, dass beim Einsatz von tftp den Benutzern aus dem Login-Verzeichnis nur eingeschränkte Dateizugriffe möglich sind (siehe auch M 2.32 Einrichtung einer eingeschränkten Benutzerumgebung ). Dies lässt sich überprüfen, indem man Folgendes eingibt:

tftp hostname
tftp>get /etc/passwd /tmp/txt

Meldet sich der tftp-Daemon nicht mit einer Fehlermeldung, muss seine Benutzung verhindert werden.

Muss für den Startvorgang von aktiven Netzkomponenten oder X-Terminals tftp doch eingesetzt werden, ist dies unbedingt zu dokumentieren und zu begründen. Außerdem ist beim Einsatz von tftp sicherzustellen, dass der tftp-Daemon mit der Option -sverzeichnis gestartet wird. Dabei ist für verzeichnis das ausschließlich für den Daemon sichtbare Verzeichnis einzusetzen.

Als Ersatz für telnet und rexec kann Secure Shell (ssh) genutzt werden, wobei umfangreiche Funktionen zur sicheren Authentisierung und zur Wahrung von Vertraulichkeit und Integrität zum Einsatz kommen (siehe auch M 5.64 Secure Shell ). Durch Tunneling ist es auch möglich, ftp mit sicherer Verschlüsselung zu betreiben. Wenn ssh zum Einsatz kommt, sollten daher nach Möglichkeit diese Dienste abgeschaltet werden, damit die Sicherheitsmaßnahmen nicht umgangen werden können. Dies setzt allerdings voraus, dass alle Kommunikationspartner über geeignete Implementierungen von ssh verfügen.

Prüffragen:

  • Wird auf den Einsatz der Programme TELNET , FTP und REXEC verzichtet beziehungsweise erfolgt deren Einsatz nur, wenn sichergestellt ist, dass das Netz nicht abgehört werden kann?

  • Einsatz von FTP : Wird der FTP -Zugang für alle unberechtigten Benutzer (zum Beispiel in der Datei /etc/ftpusers) unterbunden?

  • Wird die Nutzung der relevanten Dateien ( z. B. .netrc) und Daemons ( z. B. TFTP , rexd und REXEC ) konsequent unterbunden?

Stand: 13. EL Stand 2013