Bundesamt für Sicherheit in der Informationstechnik

M 5.122 Sicherer Anschluss von Laptops an lokale Netze

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Benutzer

Laptops haben als mobile IT-Geräte ein höheres Gefährdungspotential als stationäre IT-Systeme, die ausschließlich in einer kontrollierten Umgebung betrieben werden. Daher ist es wichtig, festzulegen, welche Regelungen beim Anschluss von Laptops an LANs zu beachten sind, um zu vermeiden, dass dadurch der sichere Betrieb des LANs und anderer damit gekoppelter IT-Systeme beeinträchtigt wird, z. B. durch Schadsoftware.

Wenn ein Laptop nach einem externen Einsatz wieder an das Unternehmens- bzw. Behördennetz angeschlossen werden soll, so ist zunächst durch eine gründliche Überprüfung mit aktuellen Virensignaturen sicherzustellen, dass dieser Laptop nicht infiziert ist.

Sofern Laptops bei mobiler Nutzung direkt an das Internet angeschlossen werden, ist es unabdingbar, sie durch eine restriktiv konfigurierte Personal Firewall gegen Angriffe aus dem Netz zu schützen. Der Virenschutz reicht alleine nicht aus, um alle zu erwartenden Angriffe abzuwehren. Ebenso ist es unbedingt erforderlich, die Software des Laptops auf aktuellem Stand zu halten und notwendige Sicherheitspatches zeitnah einzuspielen. Es ist sinnvoll, vor einem Zugriff auf das Produktivnetz zu überprüfen, ob Personal Firewall, andere Sicherheitsprogramme und Sicherheitspatches auf dem Laptop auf dem aktuellsten Stand sind. Empfehlenswert ist es, über entsprechende Tools diese Prüfungen automatisiert durchzuführen, so dass bei Sicherheitsmängeln der Zugriff auf das interne Netz abgewiesen werden kann.

Die auf dem Laptop installierten Internet-Anwendungsprogramme, vor allem Browser und E-Mail-Client, sollten mit sicheren Einstellungen betrieben werden (siehe hierzu M 5.45 Sichere Nutzung von Browsern und M 5.57 Sichere Konfiguration der Groupware-/Mail-Clients ). Die Änderung der voreingestellten Optionen durch den Benutzer sollte administrativ unterbunden werden. Zusätzlich könnten Tools eingesetzt werden, die die Funktionalität des Browsers einschränken, so dass dieser in einer Sandbox-ähnlichen Umgebung ausgeführt wird.

Zertifikate/MAC-Adressen

Es muss sichergestellt sein, dass nicht jeder beliebige Laptop sich an ein LAN anmelden kann. Bevor einem Laptop ein Zugriff auf ein LAN gestattet wird, muss dieser sich erfolgreich gegenüber einem Authentikationsserver authentisiert haben.

Um zu überprüfen, welche Geräte grundsätzlich zum Netzzugriff berechtigt sind, können beispielsweise Geräte-Zertifikate oder MAC-Adressen benutzt werden. Zu beachten ist hierbei allerdings, dass MAC-Adressen gefälscht werden können und deshalb nicht als alleiniges Authentisierungskriterium herangezogen werden sollten.

Zugriffsbeschränkungen

Es muss sichergestellt werden, dass ein VPN-Nutzer ausschließlich auf die zur Aufgabenerledigung notwendigen Dienste auf den Servern im LAN zugreifen kann. Dies könnte beispielsweise sichergestellt werden durch eine benutzerbezogene Authentisierung auf Anwendungsebene und die Kontrolle des Verkehrs mit Hilfe von Paketfiltern (Paketfilter alleine sind aufgrund der Fälschbarkeit der IP-Adressen nicht ausreichend).

VPN

Zugriffe von einem Laptop von außerhalb auf das interne Netz sollten ausschließlich über VPN gesichert erfolgen. Ermöglicht die Institution einen Abruf von dienstlichen E-Mails über das Internet mittels einer Web-Mail-Lösung, so ist sicherzustellen, dass die E-Mails ausschließlich verschlüsselt vom Server auf das Laptop übertragen werden (z. B. mittels SSL). Allerdings muss hierbei nicht nur der Transportkanal, sondern auch das Endsystem selbst besonders abgesichert werden. Ein Laptop kann kompromittiert werden, wenn neben der VPN-Nutzung gleichzeitig auch noch Standardprotokolle wie z. B. HTTP oder SMTP im Internet genutzt werden. Daher sollten Laptops möglichst so abgesichert werden, dass bei bestehender VPN-Verbindung in das interne Netz keine anderen Verbindungen möglich sind (Split-Tunneling). Dabei muss gewährleistet sein, dass alle abgehenden Datenpakete des Clients in den Tunnel gehen und ausschließlich Datenpakete aus dem Tunnel akzeptiert werden.

Es sollte in diesem Zusammenhang auch darauf geachtet werden, dass neben dem VPN-gesicherten Laptop-Zugriff auf das interne Netz nicht gleichzeitig andere Netzzugriffe möglich sind. Insbesondere darf während der VPN-Zugriffe kein WLAN oder Bluetooth auf dem Laptop aktiv sein. Weitere Hinweise zur Übertragungssicherheit finden sich in M 5.76 Einsatz geeigneter Tunnel-Protokolle für die VPN-Kommunikation .

Ein mobiles IT-System kann leicht in falsche Hände geraten. Die Verbindung in das interne Netz (der Tunnelaufbau) sollte daher nicht automatisiert, sondern erst nach einer Authentisierung erfolgen. Weitere Empfehlungen des BSI zum sicheren Aufbau und Betrieb von VPNs finden sich auf der Webseite www.bsi.bund.de, Stichwort Internet-Sicherheit.

DHCP

Über das Dynamic Host Configuration Protocol ( DHCP ) werden in IP-basierten Netzen den angeschlossenen Clients automatisch temporäre IP-Adressen sowie Routing- und DNS -Server-Informationen zugewiesen, so dass der Laptop zum Internet-Zugriff nicht mehr vom Benutzer konfiguriert werden muss.

Wenn DHCP aktiviert ist, wird einem IT-System automatisch eine gültige IP-Adresse für das lokale Netz zugewiesen und kann somit auf alle freigegebenen Ordner und Laufwerke zugreifen. Als Abhilfe sollte zum einen DHCP auf dem Laptop deaktiviert werden, wenn es nicht benötigt wird (dann müssen allerdings die IP-Adressen manuell verteilt werden). Zum anderen sollte bei der IP-Adressvergabe zusätzlich über die MAC-Adresse überprüft werden, ob der Client zum Netz zugelassen werden sollte.

Internet-Zugriffe

Es muss geregelt werden, ob Laptops direkt auf das Internet zugreifen dürfen. Der kritische Punkt hierbei ist, dass dabei die institutionseigenen Sicherheitsgateways und Sicherheitsmechanismen umgangen werden, dies also potentiell Sicherheitsprobleme nach sich ziehen kann. Es gibt verschiedene Lösungsmöglichkeiten, die je nach Sicherheitsanforderungen und Einsatzumgebung ausgewählt werden müssen:

  • Verbot direkter Internet-Zugriffe: Diese Lösung hat natürlich den Vorteil, dass sie am einfachsten umzusetzen ist. Sie ist allerdings auch die einschränkenste Möglichkeit und wird daher nicht einfach durchzusetzen sein.
  • Nutzung verschiedener Benutzerkennungen: Auf Betriebssystem-Ebene sollten in diesem Fall zwei verschiedene Benutzerkennungen genutzt werden, einmal für die allgemeine geschäftliche Nutzung und einmal für Internet-Zugriff. Hierbei sollte die Internet-Kennung nur über minimale Rechte verfügen.
  • Nutzung verschiedener Partitionen/Betriebssysteminstallationen: Bei dieser Lösung werden verschiedene Partitionen genutzt, die möglichst stark getrennt sind, beispielsweise durch unterschiedliche Betriebs- und Dateisysteme. Je stärker die Trennung ist, desto höher sind die Hürden, um die Beeinträchtigung der Produktiv-Umgebung durch Schadsoftware aus dem Internet oder ähnliches zu verhindern.
  • Virtuelle Maschinen: Hierbei erfolgt die direkte Nutzung des Internets ausschließlich über ein Betriebssystem, das in einer virtuellen Maschine (z. B. User Mode Linux, UML) betrieben wird. Durch die virtuelle Maschine wird der benutzte Browser stärker vom eigentlichen Host-Betriebssystem getrennt, als dies bei einer Nutzung ohne virtuelle Maschine der Fall ist. Allerdings besteht bei dieser Variante das Restrisiko, dass Schadprogramme - z. B. mit JavaScript erzeugt - mittels Copy&Paste zwischen dem Host-Betriebssystem und dem virtuellen Betriebssystem hin- und herkopiert werden können. Das Host-Betriebssystem könnte sich in diesem Fall bei der nächsten VPN-Einwahl in einem unsicheren Zustand befinden.
  • Verwendung von Boot- CD s: Hierbei wird für die Internet-Nutzung von einem schreibgeschützten Medium wie einer CD-ROM eine internetfähige Betriebsumgebung hergestellt, wobei die Nutzbarkeit dadurch eingeschränkt wird, dass notwendige IP-Informationen evtl. von Hand eingetragen werden müssen. Hierzu kann beispielsweise Knoppix verwendet werden, eine komplett von CD lauffähige Zusammenstellung von GNU/Linux-Software (siehe www.knoppix.org).
  • Internet-Zugriff nur über VPN (über Intranet über institutionseigenen Sicherheitsgateway ins Intranet). Dies hat den Vorteil, dass gefährliche Inhalte aussortiert werden.

Authentisierung der VPN-Nutzung

Bevor ein VPN aufgebaut wird, sollte die Authentizität des Benutzers mit starken Authentisierungsverfahren sichergestellt werden.

Starke Authentisierungsverfahren sind beispielsweise Einmal-Passwort- oder Challenge-Response-Verfahren.

Protokollierung

Die Nutzung der Server-Dienste sollte durch Protokollierung der Zugriffe nachvollziehbar sein. Dabei sollte auch erkennbar sein, ob der Laptop-Zugriff aus dem Unternehmen bzw. der Behörde oder von extern erfolgte.

Temporäre Daten

Es sollte sichergestellt werden, dass alle zwischengespeicherten Authentisierungsinformationen, die den Aufbau eines VPNs ermöglichen, nach dem Ende der VPN-Nutzung automatisch gelöscht werden. Dies gilt sowohl für absichtlich als auch unabsichtlich beendete VPN-Verbindungen. Zusätzlich sollte beispielsweise bei Browser-basierten SSL-VPNs darauf geachtet werden, dass sämtliche Zwischenspeicher deaktiviert werden, damit Authentisierungsinformationen erst gar nicht temporär gespeichert werden und einem Angreifer die Wiederherstellung der VPN-Verbindung erleichtern.

Prüffragen:

  • Ist der sichere Anschluss von Laptops an LAN s geregelt?

  • Sind alle Laptops wirksam vor schädlichem Code und vor Angriffen aus Fremdnetzen geschützt?

  • Wird das Betriebssystem und die installierte Software von Laptops auf dem aktuellen Stand gehalten?

  • Ist der sichere Zugriff von Laptops auf das Internet geregelt?

  • Ist sichergestellt, dass nur zugelassene Laptops sich am LAN anmelden können?

  • Werden alle Laptop-Zugriffe von außerhalb auf das interne Netz über VPN abgesichert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK