Bundesamt für Sicherheit in der Informationstechnik

M 6.94 Notfallvorsorge bei Sicherheitsgateways

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Fehlerbehandlung bei Sicherheitsgateways

Sicherheitsgateways spielen eine zentrale Rolle im Hinblick auf die Verfügbarkeit der Netzanbindung einer Organisation. Fehler oder Ausfälle des Sicherheitsgateways oder einzelner Komponenten (von sporadisch auftretenden Fehlverhalten bis zum klar abzugrenzenden Ausfall eines Geräts und dadurch verursachten Netzausfällen) können unmittelbare und schwerwiegende Auswirkungen haben, wenn keine ausreichende Vorsorge für Notfälle getroffen wurde.

Um in derartigen Situationen effektiv und schnell reagieren zu können, müssen Diagnose und Fehlerbehebung bereits im Vorfeld geplant und vorbereitet werden. Für typische Ausfallszenarien und als Ergebnis von bereits aufgetretenen Störungen sollten Handlungsanweisungen erstellt werden. Kochbuchartige Dokumentationen aller notwendigen Schritte sind in Situationen, die schnelles Handeln erfordern, besonders hilfreich. Hierzu gehören neben Diagnose und Fehlerbehandlung auch die im normalen Betrieb notwendigen Administrationstätigkeiten. Letztere können typischerweise bereits in der vom Hersteller gelieferten Dokumentation enthalten sein. Für die tägliche Praxis ist es allerdings sinnvoll, eine Gesamtdokumentation in Form eines Betriebshandbuchs zu erstellen.

Zu den Voraussetzungen für den Erfolg der Diagnosearbeiten gehört auch eine geeignete Protokollierung während des Betriebs (siehe auch M 4.47 Protokollierung der Sicherheitsgateway-Aktivitäten ). Weiterhin sollten für die Fehlerbehandlung geeignete Werkzeuge genutzt werden.

Die Vorgehensweise bei der Fehlerbehandlung kann in die Bereiche Administration, Performancemessung und Diagnose unterteilt werden. Nachfolgend werden die jeweils zu berücksichtigenden Aspekte dargestellt. Für Router, die als Paketfilter Teil eines Sicherheitsgateway sind, sollte M 6.92 Notfallvorsorge bei Routern und Switches herangezogen werden.

Administration

In einem Betriebshandbuch für die einzelnen Komponenten des Sicherheitsgateways sollten alle notwendigen Kommandos und Arbeitsschritte zu Administration und Konfiguration dokumentiert werden. Aus Gründen der Übersichtlichkeit ist es empfehlenswert, dies für jede Komponente getrennt zu machen und zusätzlich ein Übersichtsdokument zu erstellen.

Folgende Bereiche sind zu berücksichtigen:

  • Konfiguration des Betriebssystems, insbesondere die Konfiguration der Netzschnittstellen
  • Update des Betriebssystems
  • Konfiguration der "Funktionskomponenten" (Paketfilter, Sicherheitsproxies, Virenscanner usw.), insbesondere
    • wichtige Kommandos zum Starten und Beenden der Dienste
    • Speicherort und Format der Konfigurationsdateien oder -datenbanken, gegebenenfalls Benutzung der betreffenden Konfigurationswerkzeuge
    • bei Sicherheitsproxies (beispielsweise HTTP-Proxy, E-Mail-Gateway) auch Lage (Partition / Filesystem) der Datenverzeichnisse
  • Protokollierung

Performance

Folgende Aspekte sollten für Aussagen über die Performance berücksichtigt werden:

  • Eingehender und ausgehender Verkehr über die Paketfilter sowie für jedes der Protokolle, für die ein Sicherheitsproxy eingesetzt wird
  • Statistikinformationen der verwendeten Protokolle

Diagnose

Für die Diagnose sollten alle notwendigen Kommandos und die zu erwartenden Ausgaben zur Anzeige des Betriebszustands aller Komponenten des Sicherheitsgateways und ihrer Konfiguration dokumentiert sein. Unter anderem sind folgende Informationen für die Fehlerdiagnose relevant:

  • Gesamtkonfiguration als Überblick
  • Status und Konfiguration der Netz-Interfaces und der sonstigen Anschlüsse
  • Status der vorhandenen Netzdienste
  • Prozesse
  • Angemeldete Benutzer
  • Protokollierung (Nutzung der Log-Level, Interpretation der Log-Informationen)

Weiterführende Maßnahmen sind in M 2.215 Fehlerbehandlung beschrieben.

Notfallvorsorge zur Steigerung der Verfügbarkeit

Durch eine Planung des Vorgehens bei Störungen kann die Zeit zur Wiederherstellung minimiert und unter Umständen eine Lösung überhaupt erst ermöglicht werden. Die Planungen sind mit der übergreifenden Störungs- und Notfallvorsorge abzustimmen und sollten sich am allgemeinen Notfallvorsorgekonzept orientieren (siehe Baustein B 1.3 Notfallmanagement ). Hier werden generelle Vorgaben für Notfalldokumente im gesamten IT-Betrieb formuliert. Diese legen idealerweise einheitliche und verbindliche Anforderungen bezüglich Aufbau, Inhalt und Form fest.

Folgende Fragestellungen sind für die Konzeption der Notfallvorsorge relevant:

  • Welche Anforderungen bestehen an das Monitoring?
    • Zusammenstellung der Informationen, die von den für den Betrieb der Netzkomponenten verantwortlichen Stellen immer ausgewertet werden (siehe auch Abschnitt Protokollierung)
    • Wie kann eine frühzeitige Störungserkennung sicher gestellt werden? Gibt es eventuell Tools, die eine automatische Alarmierung ermöglichen?
  • Was sind Gründe für mögliche Störungen?
    • Angriffe
    • Hardware-Defekte
    • Zu geringe Dimensionierung (Ausfall bei Steigerung der Last)
  • Welche Vorsorgemaßnahmen können getroffen werden?
    • Erarbeitung von Alternativkonfigurationen und "Fallback-Strategien" für bestimmte Ausfall- oder Angriffsszenarien (beispielsweise geändertes Routing, alternative Paketfilterregeln)
    • Ersatzgeräte-Implementierung von Failover-Lösungen, die im laufenden Betrieb ein Umschalten auf ein Alternativgerät ermöglichen
    • Wartungsverträge
    • Ausbildung der Mitarbeiter
  • Welche Service Level Agreements bestehen oder sollten getroffen werden?
    • Hardware-Lieferanten (beispielsweise Vor-Ort-Austausch mit Zeitgarantie für bestimmte Komponenten, insbesondere bei Appliances)
    • Interne Service Level Anforderungen
  • Wie ist eine Diagnose durchzuführen?
    • Statusabfragen
    • Anzeige der Konfiguration
    • Protokollierung
  • Welche Entstörprozeduren müssen durchgeführt werden?
    • Vorgehen bei Ausfall des Komplettsystems (Wiederherstellen von Betriebssystem und Konfiguration)
    • Vorgehen bei Ausfall von Teilkomponenten (beispielsweise Speicher, Festplatten, Netzkarten)
  • Wer ist im Schadensfall zu benachrichtigen?
    • Server- und Anwendungsadministration
    • Hardware-Lieferant / Ansprechpartner für den Wartungsvertrag
  • Welche Dokumente müssen im Schadensfall verfügbar sein?
    • Konfiguration
    • Paketfilterregeln, Konfiguration für Sicherheitsproxies
    • Passwörter
    Die Dokumentation sollte keinesfalls ausschließlich elektronisch vorliegen. Handlungsanweisungen sollten mindestens auch in Papierform existieren. Gegebenenfalls können Konfigurationsdateien auch auf CD-ROM s oder anderen Datenträgern gesondert hinterlegt werden.
  • Wie verläuft der Wiederanlauf?
    • Abhängigkeiten zu anderen Bereichen des IT-Verbunds
    • Neuinstallation des Betriebssystems und Konfiguration
    • Zurückspielen einer gesicherten Konfiguration
    • Möglichkeiten eines eingeschränkten Betriebs.

Bei der Planung für einen eingeschränkten Betrieb muss berücksichtigt werden, dass ein eingeschränkter Betrieb des Sicherheitsgateways nicht zur Folge haben darf, dass während dieser Zeit keine ausreichende Absicherung des eigenen Netzes gewährleistet ist. Im Zweifelsfall sollte lieber eine längere Ausfallzeit eines Dienstes hingenommen werden als die Gefahr, dass es wegen "eingeschränkter Sicherheit" zu weiteren Problemen kommt.

Die für die Notfallvorsorge notwendigen Vorgehensbeschreibungen sind möglichst sorgfältig zu erstellen und regelmäßig zu erproben. Eventuell müssen unterschiedliche Vorgehensweisen bei unterschiedlichen Geräten und Betriebssystemen berücksichtigt werden.

Bei zentralen Komponenten wie beispielsweise den Paketfiltern des Sicherheitsgateways, der zwischen dem eigenen Netz und dem Internet eingerichtet ist, kann der Ausfall einer Komponente des Sicherheitsgateways den Ausfall der gesamten Internetanbindung nach sich ziehen. Die wahrscheinlich wichtigste Maßnahme zur Steigerung der Verfügbarkeit ist daher die Vorhaltung von Ersatzteilen oder Ersatzgeräten, um bei Hardware-Defekten die Ausfallzeiten zu minimieren. Alternativ oder auch als Ergänzung hierzu können Wartungsverträge mit dem Hersteller abgeschlossen werden, die durch garantierte Reaktions- oder sogar Reparaturzeiten die Verfügbarkeit sicherstellen. Hierdurch lassen sich Kosten für die Lagerhaltung reduzieren oder eine noch höhere Hardwareverfügbarkeit erreichen. Im Rahmen eines solchen Vertrages kann auch die Versorgung mit Software-Updates geregelt werden.

Prüffragen:

  • Existieren für typische Ausfallszenarien und aus Ergebnissen von bereits aufgetretenen Störungen entsprechende Handlungsanweisungen?

  • Werden regelmäßige Performancemessungen für die Sicherheitsgateway-Komponenten durchgeführt?

  • Sind in einem Betriebshandbuch für die einzelnen Komponenten des Sicherheitsgateways alle notwendigen Kommandos und Arbeitsschritte zur Administration und Konfiguration dokumentiert?

  • Sind alle notwendigen Kommandos und die zu erwartenden Ausgaben zur Anzeige des Betriebszustands aller Komponenten des Sicherheitsgateways und ihrer Konfiguration dokumentiert?

  • Sind die Planungen zur Notfallvorsorge des Sicherheitsgateways mit der übergreifenden Störungs- und Notfallvorsorge der Organisation abgestimmt?

  • Liegen die Handlungsanweisungen für die Notfallvorsorge bei Sicherheitsgateways auch in Papierform vor?

  • Ist gewährleistet, dass ein eingeschränkter Betrieb des Sicherheitsgateways zu keiner Beeinträchtigung der Absicherung des eigenen Netzes führt?

  • Werden Notfallübungen für die Notfallvorsorge bei Sicherheitsgateways durchgeführt?

Stand: 13. EL Stand 2013