Bundesamt für Sicherheit in der Informationstechnik

M 5.97 Absicherung der Kommunikation mit Novell eDirectory

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Der Datenaustausch zwischen eDirectory-Client und -Server erfolgt über Netzverbindungen. Je nach eDirectory-System und Netzstruktur werden die Kommunikationspakete, die neben Verzeichnisinhalten unter Umständen auch Authentisierungsinformationen enthalten können, ungeschützt übertragen.

Dabei können abhängig vom installiertem Betriebssystem unterschiedliche Netzprotokolle zum Einsatz kommen. So kann ein Zugriff auf eDirectory sowohl über das Novell-eigene NDAP erfolgen, das auf dem Netware Core Protocol (NCP) aufsetzt, als auch über das standardisierte Protokoll LDAP . Der Transport der Daten erfolgt dabei für NDAP über IP- oder IPX-Netze und für LDAP ausschließlich über IP-Netze.

Die Benutzer-Authentisierung beim Zugriff über NDAP erfolgt nach einem proprietären Verfahren, das keine Authentisierungsdaten direkt über das Netz transportiert. Die Kommunikation zwischen Client und Server wird jedoch bei Verwendung von NDAP nicht grundsätzlich verschlüsselt, es ist die Angelegenheit des eingesetzten (NDAP-Clients, die Verschlüsselung der Kommunikation zu sicherzustellen. Daher sollte der Zugriff auf eDirectory über dieses Protokoll nur innerhalb des Intranets möglich sein.

Soll von außen über NDAP auf einen eDirectory-Server zugegriffen werden, so ist eine entsprechende Absicherung der Kommunikationsverbindung zwischen Client und Server zu realisieren, die die Vertraulichkeit der übertragenen Daten hinreichend schützt. Dies kann z. B. durch Verwendung eines Virtuellen Privaten Netzes (VPN) erreicht werden.

Der Zugriff auf eDirectory über LDAP bietet spezielle Möglichkeiten zur Verschlüsselung (Einsatz von SSL) aber auch spezielle Risiken (Einrichtung des anonymen Zugriffs). Auf diese Sicherheitsaspekte wird in Maßnahme M 4.158 Einrichten des LDAP-Zugriffs auf Novell eDirectory eingegangen.

Weiterhin können Administratoren über einen Fernzugang auf das System zugreifen. Ein Beispiel hierfür ist das Novell-eigene Werkzeug iMonitor, mit dem über einen Browser auf Daten des Systemmonitors zugegriffen werden kann (siehe M 4.160 Überwachen von Novell eDirectory ).

Da die im iMonitor verfügbaren Daten wesentliche Einblicke in den Aufbau und die Konfiguration einer eDirectory-Installation geben, muss auch dieser indirekte Zugang zum eDirectory abgesichert werden. Es sollte deshalb nur autorisierten Benutzern möglich sein, über HTTP auf den iMonitor zuzugreifen. Die Übertragung sollte außerdem durch TLS/SSL geschützt werden (siehe M 5.66 Clientseitige Verwendung von SSL/TLS ).

Beispiel: Steht ein eDirectory-Server für den LDAP-Zugriff von außen innerhalb des Screened-Subnet eines Firewall-Systems, so sollte auf diesen Server kein HTTP-Zugriff möglich sein.

Prüffragen:

  • Zugriff von außen über NDAP auf einen eDirectory-Verzeichnisdienst: Ist eine Absicherung der Kommunikationsverbindung zwischen Client und Server realisiert?

  • Ist es nur autorisierten Benutzern möglich, über HTTP auf den iMonitor von eDirectory zuzugreifen?

Stand: 13. EL Stand 2013