Bundesamt für Sicherheit in der Informationstechnik

M 5.147 Absicherung der Kommunikation mit Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Der Datenaustausch zwischen Client und Verzeichnisdienst-Server erfolgt über Netzverbindungen. Je nach Verzeichnisdienst-System und Netzstruktur werden die Kommunikationspakete, die neben Verzeichnisinhalten unter Umständen auch Authentisierungsinformationen enthalten können, ungeschützt übertragen.

Dabei können abhängig vom installiertem Betriebssystem unterschiedliche Netzprotokolle zum Einsatz kommen. In aller Regel erfolgt der Zugriff auf Verzeichnisdienste über das standardisierte Protokoll LDAP , kann aber auch über proprietäre Protokolle geschehen. Der Transport der Daten erfolgt dabei für LDAP ausschließlich über IP -Netze.

Die Benutzer-Authentisierung kann dabei nach Verfahren erfolgen, die keine Authentisierungsdaten direkt über das Netz transportieren. Die Kommunikation zwischen Client und Server wird jedoch nicht grundsätzlich verschlüsselt. Es ist auch die Angelegenheit des eingesetzten Clients, die Verschlüsselung der Kommunikation sicherzustellen.

Soll von außen auf einen Verzeichnisdienst-Server zugegriffen werden, so ist eine entsprechende Absicherung der Kommunikationsverbindung zwischen Client und Server zu realisieren, die die Vertraulichkeit der übertragenen Daten hinreichend schützt. Dies kann z. B. durch Verwendung eines Virtuellen Privaten Netzes ( VPN ) erreicht werden.

Im Falle einer serviceorientierten Architektur ( SOA ) sind zum Schutz von Service-Einträgen in einer Service-Registry sämtliche Anfragen an die Registratur auf Gültigkeit des Nutzers (Consumers) zu überprüfen:

  • Nutzt der jeweilige Consumer ein gültiges Zertifikat?
  • Stimmen die erforderlichen Zugriffsattribute mit der lokalen WS-Policy überein?
  • Ist die Anfrage des Consumers in der übermittelten SOAP -Nachricht signiert?

Erst wenn diese Anforderungen erfüllt sind, darf die Service-Registry die Anfrage des Consumers beantworten.

Administratoren haben oft die Möglichkeit, über einen Fernzugang auf das Verzeichnisdienst-System zuzugreifen. Beispiele sind Terminalservices oder Web-basierte Dienste, mit denen über einen Browser auf Daten des Systems zugegriffen werden kann.

Da die im Fernzugriff verfügbaren Daten wesentliche Einblicke in den Aufbau und die Konfiguration einer Verzeichnisdienst-Installation geben, muss auch dieser indirekte Zugang zum Verzeichnisdienst abgesichert werden. Protokolle, die keine ausreichenden Sicherheitseigenschaften mitbringen, sollten - wenn überhaupt - nur innerhalb gesicherter Netze verwendet werden. Wenn auf den Verzeichnisdienst per HTTP zugegriffen werden kann, muss eine Authentisierung von allen Benutzern erzwungen werden, anonyme Zugriffe dürfen über diesen Weg nicht erlaubt werden. Die Übertragung der Authentisierungsdaten sollte außerdem durch TLS / SSL geschützt werden (siehe M 4.310 Einrichtung des LDAP-Zugriffs auf Verzeichnisdienste ).

Prüffragen:

  • Werden Zugriffe auf Daten des Verzeichnisdienstes über Außenverbindungen angemessen abgesichert?

  • Wurde definiert, auf welche Systemdaten von welchen Netzen und mit welchen Werkzeugen zugegriffen werden darf?

  • Im Falle einer SOA: Ist ein Zugriffsschutz auf Service-Registries realisiert?

Stand: 15. EL Stand 2016