Home

Customized Baustein CB 4.90 Loadbalancer

Contents

1. In der Einf hrungsphase werden Protokolle genutzt um unter anderem die Performance des Loadbalancers in der Produktivumgebung zu optimieren oder um die Wirksamkeit des Sicherheitskonzepts erstmals in der Praxis zu berpr fen In der Produktivphase werden Protokolle haupts chlich auf die Sicherstellung des ordnungsgem en Betriebs bezogen Protokolldaten dienen dann dem Zweck nachtr glich feststellen zu k nnen ob Sicherheitsverletzungen im IT System stattgefunden haben oder ob ein Angriffsversuch unternommen wurde Protokolldaten werden f r die Fehleranalyse im Schadensfall und zur Ursachenermittlung bzw zur Integrit tspr fung genutzt Die Protokollierung kann auch der T terermittlung und damit auch der Abschreckung von potenziellen T tern dienen Durch regelm ige Auswertung der Protokolldaten k nnen vors tzliche Angriffe auf ein IT System unter Umst nden fr hzeitig erkannt werden Findet die Auswertung der Protokolldaten nicht oder nur unzureichend statt k nnen diese nicht f r PraventivmaBnahmen genutzt werden Beispiel Ein nicht autorisierter Benutzer versucht Zugriff auf einen Loadbalancer zu erlangen indem er zu bekannten Benutzernamen die entsprechenden Pass worter rat Die erfolglosen Authentisierungsversuche werden im System pro tokolliert Aufgrund fehlender Auswertung der Protokolldateien werden die Angriffsversuche nicht erkannt Der unautorisierte Benutzer kann unerkannt den Angriffsversuch gegebenenfall
2. die bei der Inbetriebnahme des Ger ts vorgenommen wird muss so dokumentiert werden dass sie jederzeit vom Administrator oder seinem Vertreter nachvollzogen werden kann Insbesondere dann wenn eine Konfiguration von einem Default Wert abweicht sollte in einem Kommentar in der Konfigurationsdatei festgehalten werden warum die Einstellung so gew hlt wurde Jede nderung der Konfiguration sollte vom Administrator 40 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer nachvollzogen werden k nnen Es wird empfohlen mindestens folgende Punkte zu dokumentieren Welche nderung wurde durchgef hrt Warum wurde die nderung durchgef hrt Anlass Wann wurde diese nderung durchgef hrt Uhrzeit Datum Wer hat die nderung durchgef hrt Die Dokumentation der nderungen kann ebenfalls durch Kommentare in der Konfigurationsdatei erfolgen Dabei ist es jedoch in der Regel sinnvoll zu jeder Option nur die jeweils letzte nderung in der Datei selbst zu speichern Zus tzlich dazu sollten zumindest alle sicherheitsrelevanten Konfigurations nderungen in einem Protokoll gespeichert werden anhand dessen sich jederzeit nachvollziehen l sst wie das Ger t zu einem bestimmten Zeitpunkt konfiguriert war Dieses Protokoll sollte nicht auf dem Ger t selbst gespeichert werden Die Konfigurationsdateien sollten zur Notfallvorsorge zus tzlich zentral auf einem daf r vorgesehenen Server gespeichert werden F
3. sselung von Passw rtern ist insbesondere dann wichtig wenn Konfigurationsdateien ber das Netz bertragen oder in zentra len Servern gespeichert werden Wenn das Ger t die Passwortverschl sselung unterst tzt sollte diese Funktion unbedingt genutzt werden Dabei sollte das Verschl sse lungsverfahren ber cksichtigt werden da einige Ger te unterschiedli che Verfahren unterst tzen Insbesondere bei lteren Betriebssystemen werden noch schwache Verschl sselungsverfahren angewendet die eventuell aus Gr nden der Kompatibilit t auch in neueren Versionen noch unterst tzt werden Hier sollte bei einer Mig ration auf ein neues Ger t oder eine neue Betriebssystemversion gepr ft werden ob die neuere Version st rkere Verschl sselungsver fahren unterst tzt Zudem bestehen f r alle Ger te Prozeduren die es zwar nicht erm g lichen verschl sselte Passworte wieder lesbar zu machen die aber das R cksetzen von Passw rtern durchf hren Einige Dienste k nnen nicht durch eine Passwort Verschl sselung abgesichert werden Hierzu geh ren SNMPv1 und SNMPv2 RADIUS und TACACS Die Passw rter der letztgenannten Dienste sollten somit immer einmalig sein f r keinen weiteren Dienst verwendet und regelm ig ge ndert werden SNMPv1 und SNMPVv2 sollten allenfalls in Verbindung mit Out of Band Management siehe oben Administra tionsnetz genutzt werden und m glichst durch SNMPv3 ersetzt wer den Session Timeouts S mtlich
4. 1 2 59 Baustein CB 4 90 Loadbalancer ELSTER Ela eignet da dabei lediglich die Dateisystemstruktur neu angelegt wird F r Festplatten konnte fr her durch den Anwender eine sogenannte Low Level Formatierung durchgef hrt werden bei der die magneti schen Grundstrukturen neu geschrieben wurden Bei modernen Fest platten kann dies in der Regel nur der Hersteller vornehmen Stattdessen stellen einige Festplatten Hersteller Tools zur Verf gung mit denen auch eine vollst ndige L schung der Festplatte vorge nommen werden kann sogenannter Zero Fill ber die Zuverl ssigkeit der L schung durch Low Level Formatierungen oder Zero Fills kann jedoch keine Aussage getroffen werden Von der Nutzung eines dieser Mechanismen als L schver fahren wird deshalb abgeraten Wenn dennoch eine Low Level Formatierung oder ein Zero Fill durchgef hrt werden soll sollte vorher gekl rt werden ob dadurch die Garantie f r die Festplatte verloren geht F r wiederbeschreibbare CD ROMs CD RW Disketten oder hnli che Datentr ger muss beachtet werden dass eine schnelle Formatie rung die Daten nicht l scht Eine komplette L schung ist daher notwendig Weitere Hinweise hierzu finden sich im Abschnitt Vernich tung von Datentr gern e L schger te f r magnetische Datentr ger L schger te dienen dazu schutzbed rftige Daten die auf magneti schen Datentr gern gespeichert sind so zu vernichten dass die Da tentr ger anschlie end w
5. Controllern schon integriert war dazu benutzt werden konn te um sogenannte Sitzungstabellen zu generieren und zu halten Diese stellen die Basis f r das Loadbalancing dar Deshalb waren fr he Modelle der Loadbalancer Chassis basierte Ger te mit mehreren GigabitEthernet Interfacekarten und einen zus tzlichen Controllermo dul das f r die Konfiguration und Administration benutzt wurde Dieser Ansatz ist heute noch im Linux Umfeld anzutreffen wo entsprechende Projekte existieren die oft von einer Ap pliance mit mehreren NIC s als Grundlage ausgehen In einen anderen Entwicklungszweig haben sich die so genannten Hardware Loadbalancer etabliert die auf hochintegrierten Asics beruhen und h ufig Multiprozessorsysteme mit ei nem speziellen Echtzeit Betriebssystem darstellen Sie k nnen neben dem normalen Layer 2 Switching auch meist mit VLAN Informationen umgehen IEEE 802 1q und beherrschen sowohl Routing statisches und oder dynamisches als auch IP Adressumsetzung NAT Hinzu kommt noch die Filterfunktionalit t die bis Layer 4 Information verarbeiten und diverse Aktionen beinhalten kann secunet Version 1 2 5 Baustein CB 4 90 Loadbalancer ELSTER Ela Ein Loadbalancer kann an den unterschiedlichsten Stellen im Kommunikationsweg imple mentiert werden Dies erm glicht z B die folgenden Einsatzszenarien e Der Loadbalancer wird im Internet platziert um z B als Bestandteil einer hochverf gbaren Firewall als Teil der red
6. Erkennen von Problemen wie beispielsweise Konfigurations fehlern oder Angriffsversuchen im Netz sind ACLs immer derart zu konfigurieren dass abgewiesene Zugriffsversuche protokolliert werden Hierzu ist jedem Eintrag in der ACL das entsprechende Protokoll Kommando anzuf gen Die Protokolldateien werden so zu einer wertvollen Datenquelle im Umgang mit Problemen und Angriffen im Netz Die Erstellung einer ACL muss entsprechend den Vorgaben der Sicherheitsrichtlinie erfolgen Nach M glichkeit sollten Vorlagen Templates erstellt werden die immer wieder verwendet werden k nnen und nur gegebenenfalls geringf gig modifiziert werden m ssen 2 3 4 Betrieb M 2 35 B Informationsbeschaffung ber Sicherheitsl cken des Systems Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung IT Sicherheitsmanagement Administrator Gegen bekannt gewordene und durch Ver ffentlichungen zug nglich gemachte Sicherheitsl cken m ssen die erforderlichen organisatorischen und administrativen Ma nahmen ergriffen werden Sicherheitsrelevante Updates oder Patches f r die eingesetzte Hard und Software m ssen gegebenenfalls installiert werden siehe auch M 2 273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates Sind keine entsprechenden Updates oder Patches verf gbar so muss eventuell zus tzliche Sicherheitshardware bzw Sicherheitssoftware eingesetzt werden Es ist daher sehr
7. LANs VLANs werden zur logischen Strukturierung von Netzen ver wendet Dabei wird innerhalb eines physikalischen Netzes eine logische Netzstruktur abgebildet indem funktionell zusammengeh rende Arbeitsstati onen und Server zu einem virtuellen Netz verbunden werden Ein VLAN bildet gleichzeitig eine separate Broadcast Dom ne Das bedeutet dass Broad casts nur innerhalb des VLANs verteilt werden Ein VLAN kann sich hierbei ber ein ganzes geswitchtes Netz hinziehen und braucht nicht nur auf einen einzelnen Switch beschr nkt zu bleiben VLANs ber mehrere Switches auszudehnen wird durch unterschiedliche sogenannte Trunking Protokolle realisiert Hierbei wird pro Switch ein physi scher Port f r die Inter Switch Kommunikation reserviert die logische Verbin dung zwischen den Switches wird als Trunk bezeichnet Ein Ethernet Rahmen wird beim Informationsaustausch zwischen den Switches in das Trunking Protokoll gekapselt Dadurch ist der Ziel Switch in der Lage die Information dem entsprechenden VLAN zuzuordnen Als Standards werden IEEE 802 1q und die propriet ren Protokolle ISL Inter Switch Link und VTP Vlan Trunking Protocol verwendet Wenn sich ein Angreifer der an einem Switch angeschlossen ist beispiels weise durch die Verwendung der Trunking Protokolle ISL oder IEEE 802 1q als Switch ausgibt ist es m glich dadurch auf alle konfigurierten VLANs Zugriff zu erhalten und so Daten mitzulesen die zu einem VLAN geh ren auf das de
8. RFC 1918 Address Allocation for Private Internets Diese Adressen wer den im allgemeinen Internet nicht geroutet und m ssen da her am Gateway zum Internet in eine offiziell zugeteilte IP Adresse umgesetzt werden e Gelegentlich wurden beim Aufbau eines internen Netzes ein fach beliebige IP Adressen verwendet Beim Anschluss eines solchen Netzes an das Internet k nnen diese bisher verwen deten IP Adressen dann oft nicht benutzt werden da der betreffende Adressbereich an andere Institutionen vergeben wurde Um nicht alle Rechner neu konfigurieren zu m ssen kann eine Adressumsetzung von den internen zu den offiziell registrierten externen Adressen sinnvoll sein Allerdings wer den in diesem Fall oft Probleme bei der Namensaufl sung ein treten und die Rechner denen die intern verwendeten Adressen im Internet zugeordnet sind werden aus dem inter nen Netz nicht erreichbar sein Auch bei einem Wechsel des Internet Providers kann dieser Fall eintreten e Beim Zusammenschluss zweier Netze bei denen IP Adressen aus den Bereichen des RFC 1918 gew hlt wurden kann e benfalls eine Adressumsetzung notwendig werden wenn in beiden Netzen dieselben Adressen verwendet wurden Eine Umsetzung der internen in eine oder mehrere offiziell registrierte IP Adressen und umgekehrt erfolgt ber eine Adressumsetzungs komponente Auch Proxies verf gen ber eine implizite Adressum setzung da der Proxy extern nur seine offizielle Adresse verwend
9. Servern sind vor unberechtigtem Zugang zu sch tzen Dies gilt insbesondere dann wenn in den Konfi gurationsdateien Passw rter im Klartext gespeichert sind Falls zur Sicherung der Konfigurationsdateien ein TFTP Server ein gesetzt wird so darf dieser nur im Administrationsnetz erreichbar sein Alternativ kann bei einigen Systemen eine Datensicherung auch ber die Verwendung von PCMCIA Speichereinschiben erfolgen Um auf die Nutzung der Datensicherung vorbereitet zu sein m ssen regelm ig Recovery bungen zum Wiederherstellen der Sicherung durchgef hrt werden siehe hierzu auch M 6 41 bungen zur Daten rekonstruktion Weiterf hrende Ma nahmen secunet Version 1 2 63 Baustein CB 4 90 Loadbalancer ELSTER Eh M6 92 C M 6 36 Festlegung des Minimaldatensicherungskonzeptes M 6 37 Dokumentation der Datensicherung M 6 35 Festlegung der Verfahrensweise f r die Datensiche rung M 6 41 bungen zur Datenrekonstruktion Notfallvorsorge bei Loadbalancer Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung Administrator Fehlerbehandlung bei Loadbalancer In jedem IT Betrieb treten St rungen auf die von sporadisch auftre tenden Fehlverhalten von Komponenten bis zum klar abzugrenzen den Ausfall eines Ger ts und dadurch verursachten Netzausf llen reichen k nnen Grundlage eines sicheren Betriebs ist die Vorberei tung auf St rungssituatione
10. Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung Administrator Network Address Translation NAT ist ein Mechanismus bei dem eine aktive Netzkomponente in der Regel ein Router oder Loadba lancer bei der Weiterleitung eines Paketes die IP Adresse des Pake tes ver ndert Der Loadbalancer speichert in einer Tabelle die Zuordnung der internen Adresse und des internen Quell Ports zur externen Adresse Zielport und dem Port den der Loadbalancer selbst f r das ver nderte Paket gew hlt hat und setzt die Antwortpa kete entsprechend um NAT kann zu verschiedenen Zwecken verwendet werden e NAT kann verhindern dass anhand der IP Adressen im loka len Netz auf dessen Struktur r ckgeschlossen wird denn vom externen Netz aus ist nur die IP Adresse des NAT Gateways sichtbar Dies verhindert gleichzeitig dass Angreifer von au Ben direkt einzelne Rechner im internen Netz attackieren k n nen Im lokalen Netz werden oft mehr IP Adressen ben tigt als of fiziell registriert sind Bei Verwendung eines NAT Gateways wird f r jedes Netz nur eine einzige offizielle IP Adresse zwin gend ben tigt die internen Adressen k nnen beliebig gew hlt werden Beim Aufbau eines internen Netzes sollten interne Adressen unbedingt nur aus den Bereichen gew hlt werden die offiziell secunet Version 1 2 55 Baustein CB 4 90 Loadbalancer ELSTER Eh f r solche Zwecke vorgesehen sind siehe
11. alle Arten von Datentr gern e Vorgehensweisen und Methoden Damit gespeicherte Daten nicht in falsche H nde geraten k nnen ist eine geregelte Vorgehensweise erforderlich um Daten und Datentr ger zu l schen oder zu vernichten Bevor Datentr ger wieder verwen det werden m ssen die gespeicherten Daten vollst ndig gel scht werden z B durch vollst ndiges berschreiben Dies ist insbesonde re wichtig wenn Datentr ger an Dritte weitergegeben werden sollen Auch der Empf nger eines Datentr gers muss nach dem Empfang pr fen ob der Schutzwert der Daten ein sofortiges L schen des Da tentr gers erfordert nachdem die Daten auf ein anderes IT System bertragen wurden Es gibt verschiedene Methoden um Informationen auf Datentr gern zu l schen Welche Methode gew hlt werden sollte h ngt hierbei wesentlich vom Schutzbedarf der zu l schenden Daten ab aber na t rlich auch von der Art der Datentr ger Im Folgenden sind Hinweise und Empfehlungen f r die wichtigsten Methoden zum L schen und Vernichten von Datentr gern aufgef hrt e L schkommandos L schkommandos sind vom Betriebssystem zur Verf gung gestellte Befehle und Funktionen um Dateien oder Verzeichnisse zu l schen Bei der Benutzung von L6schkommandos ist zu beachten dass dabei in der Regel nicht tats chlich die Datei Informationen gel scht wer den sondern nur der Verweis auf diese Informationen im Inhaltsver zeichnis des Datentr gers Die Datei ist we
12. dem st ndigen Wandel der Technik unterworfen 62 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer Daher werden sie h ufiger ausgetauscht als viele andere Arbeitsma terialien Da sich auf IT Systemen aber schutzbed rftige Daten und Anwendungen befinden k nnen ist die Weitergabe oder Aussonde rung von IT Systemen zu regeln Unabh ngig davon ob ausrangierte IT Systeme an andere Abteilun gen weitergegeben werden an Mitarbeiter verschenkt verkauft oder verschrottet werden muss sichergestellt sein dass alle Daten und Anwendungen vorher sorgf ltig gel scht wurden siehe auch M 2 167 Sicheres L schen von Datentr gern Vorher ist zu berpr fen ob die Daten gesichert wurden soweit sie noch ben tigt werden Es empfiehlt sich dass beide Schritte vom jeweils Zust ndigen schriftlich best tigt werden 2 3 6 Notfallvorsorge Datensicherung und Recovery bei Loadbalancer Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung Administrator Auch Loadbalancer sollten in das bergeordnete Datensicherungs konzept einbezogen werden Dabei kommt insbesondere der Siche rung der Konfigurationsdateien eine hohe Bedeutung zu Da im Rahmen einer zentralen Administration Konfigurationsdateien oftmals auf separaten Servern gehalten und auch von dort geladen werden kann auch die Sicherung ber diese Server erfolgen Die Konfigurationsdateien auf diesen
13. nutzendes Passwort abzusichern F r lokale Zug nge die nicht eigens f r den Fall eingerichtet wurden dass der Authentisierungsserver nicht zur Verf gung steht sollten der Authentisierungsserver nach M glichkeit genutzt werden da ansons ten die Benutzer die sich lokal anmelden die zentrale Autorisierung und berwachung umgehen Berechtigungsverwaltung f r Benutzerkonten und Systemkommandos Die Berechtigungsverwaltung kann je nach Hersteller auf unterschied lichen Ebenen und mit unterschiedlichen Graden der Granularit t er folgen Bei der Berechtigungsverwaltung von Systemkommandos k nnen Kommandos die nur bestimmten Nutzern oder Gruppen zu g nglich sein sollen in einer Berechtigungsstufe zusammengefasst bzw dieser zugeordnet werden Zuordnung von Systemkommandos zu Berechtigungsstufen Der Zugriff auf eine Berechtigungsstufe wird durch ein Passwort ab gesichert Ein Nutzer muss f r den Zugriff auf ein entsprechend ab gesichertes Systemkommando zun chst in die Berechtigungsstufe wechseln und das zugeh rige Passwort eingeben Dann ist er in der Lage alle dieser Stufe zugeordneten Kommandos auszuf hren Die Berechtigungsvergabe f r Benutzerkonten erfolgt indem der Nutzer einer Berechtigungsstufe zugeordnet wird Generell sollte gelten dass jedem Nutzer nur die minimal notwendigen Berechtigungen zu geteilt werden Somit lassen sich analog der folgenden Beispiele un terschiedliche Rollen definieren 50 Ver
14. t verifiziert wurde Sicherheitsupdates oder Patches d rfen jedoch nicht voreilig eingespielt werden sondern m ssen vor dem Einspielen getestet werden Vor der Installation eines Updates oder Patches sollte stets eine Datensicherung des Systems erstellt werden das es erm glicht den Originalzustand wieder herzustellen falls Probleme auftreten Dies gilt insbesondere dann wenn ausf hrliche Tests aus Zeitgr nden oder mangels eines geeigneten Testsystems nicht durchgef hrt werden k nnen In jedem Fall muss dokumentiert werden wann von wem und aus welchem Anlass Patches und Updates eingespielt wurden siehe auch M 2 34 Dokumentation der Ver nderungen an einem bestehenden System Aus der Dokumentation muss sich der aktuelle Patchlevel des Systems jederzeit schnell ermitteln lassen um beim Bekanntwerden von Schwachstellen schnell Klarheit dar ber zu erhalten ob das System dadurch gef hrdet ist Dokumentation der Systemkonfiguration von Loadbalancer Verantwortlich f r Initiierung IT Sicherheitsmanagement Verantwortlich f r Umsetzung Administrator Die Konfiguration von Loadbalancer Loadbalancer wird meist mittels Konfigurationsdateien vorgenommen die auf dem Ger t gespeichert sind Loadbalancer besitzen eine Reihe von Konfigurationsoptionen die f r den sicheren Betrieb wichtig sind Bei der Erstinstallation beziehungsweise im Auslieferungszustand sind diese Einstellungen mit Default Werten belegt Die Konfiguration
15. Benutzerinformationen erfolgen kann Wie bei der Nutzung des Dienstes Telnet werden auch beim HTTP der Benut zername und das Passwort im Klartext bertragen Zudem ist eine Reihe von Exploits bekannt die Schwachstellen der HTTP Server unterschiedlicher Her steller ausnutzen SNMP Die Authentisierung erfolgt bei SNMPv1 und SNMPv2 lediglich mittels eines unverschl sselten Community Strings Als Standardeinstellung bei nahezu allen Herstellern ist der read Community String auf den Wert public eingestellt w hrend der write Community String auf den Wert private gesetzt ist Die SNMP Community Strings werden im Klartext ber das Netz bertragen Oft wird SNMP ber nicht abgesicherte Netze genutzt so dass ein Angreifer in der Lage ist durch Mitlesen der Datenpakete Sniffen SNMP Community Strings zu erraten Nach Kenntnisnahme der Community Strings kann ein Angreifer die Kontrolle ber den Loadbalancer bernehmen Protokollierung H ufig werden sicherheitsrelevante Ereignisse auf Loadbalancer nur unzurei chend protokolliert weil bei der Einrichtung des Loadbalancers die Auditfunktio nalit t nicht aktiviert wurde Zudem kann sich eine fehlende Alarmierungs Komponente negativ auf die Verf gbarkeit Vertraulichkeit und Integrit t der Systeme auswirken Fehlendes Backup und Dokumentation Werden Konfigurations nderungen auf Loadbalancern nicht gesichert und nicht dokumentiert so stehen beim Ausfall der Komponenten die
16. Datenrettungsfirmen und entsprechend ausgestatteten Organisatio nen erfolgreich wiederherstellen Defekte Festplatten k nnen unter Umst nden durch den Austausch von Bauteilen wieder funktionst ch tig gemacht oder durch spezielle Ger te ausgelesen werden Auch etliche Hausmittel zum L schen von magnetischen Datentr gern wie die Behandlung mit Mikrowellen oder mit sehr starken Mag neten die nicht f r diesen speziellen Einsatzzweck vorgesehen sind sind ungeeignet Um Informationen auf Datentr gern sicher zu l schen m ssen des halb einige Hinweise beachtet und ein Verfahren gew hlt werden das secunet Version 1 2 57 Baustein CB 4 90 Loadbalancer ELSTER Ela f r das jeweilige Medium f r den Schutzbedarf der Informationen und f r den konkreten Anwendungsfall geeignet ist e Arten von Speichermedien und Datentr gern Speichermedien und Datentr ger lassen sich zun chst in analoge Speichermedien wie Papier oder Mikrofilm einerseits und digitale Speichermedien andererseits unterscheiden Letztere lassen sich im Wesentlichen einteilen in magnetische Speichermedien wie Festplatten Disketten Wech selplatten Zip Disketten Magnetb nder optische Speichermedien z B CD DVD elektronische Speichermedien z B Flash Speicher oder Flash Karten wie USB bzw Memory Sticks oder andere elektronische Speicherkarten Soweit nicht weiter unterschieden wird gelten die folgenden Empfeh lungen f r
17. ELSTER Customized Baustein CB 4 90 Loadbalancer Version 1 2 27 03 2009 secunet secunet Security Networks AG ELSTER Elam Einleitung Inhaltsverzeichnis Iakaltsverzeichnis see een eine 2 Dokumentenhistorie esse 3 I JENES ee nenne anna 4 2 Baustein CB 4 90 Loadbalancer nannsnsreninene ee 5 2 1 BESChebuNdge near ee 5 22 BGelahrdungsiate cuisesiikaiseuuibk en 6 22 1 HOnsteSeWall cnsssenesrien een 6 2 2 2 Organisatorische M ngel uunssssssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nennen 7 2 2 3 Menschliche Fehlhandlungen 4 s444444 42 nnnnnnnnnnnnnnnnennnnnnnnnnnn 11 224 Technisches Versagen 13 2 2 5 Worsatzliche Handlungen 15 2 3 MaBnahmenempfehlungen uuussm44nnnnnnnnnnnnnnnnannnnnnnnnnnannnnnannnnnnnnnnnannnnn 19 2 3 1 Planung und Kanzeplion e 242er ueber 19 2 3 2 Beschaffung ee ee ee 24 233 UMSetZUNg aenema P EEE E ANEO RNE 26 232 Betrieb asien 38 2 3 5 Aussonderung Senne en einenneneeinee 57 2 3 6 Notfallvorsorge os ccascierencivecrecersrctencictenenerdratecerotidenermsdinmttncecemratentneiets 63 3 Kreuzrafgrenztabellen eeennnieieee Haasdesdascszeniweaedss 69 2 Version 1 2 secunet ELSTER Einleitung Dokumentenhistorie Version nderung Datum Autor 0 1 Initiale Erstellung 24 05 2007 U Kersten 0 2 Diverse Korrekturen 06 06 2007 U Kersten 0 5 Review und berarbeitung 19 06 2007 R Lipowsky 1 0 Rev
18. ELSTER Baustein CB 4 90 Loadbalancer gezielte Auswahl bekannter Exploits verwendet werden und erleichtern An greifern so die Durchf hrung von Angriffen 2 2 5 Vors tzliche Handlungen Diebstahl Durch den Diebstahl von IT Ger ten Zubeh r Software oder Daten entste hen einerseits Kosten f r die Wiederbeschaffung sowie f r die Wiederherstel lung eines arbeitsf higen Zustandes andererseits Verluste aufgrund mangelnder Verf gbarkeit Dar ber hinaus k nnen Sch den durch einen Ver traulichkeitsverlust und daraus resultierenden Konsequenzen entstehen Verhinderung von Diensten Ein solcher Angriff auch Denial of Service genannt zielt darauf ab die IT Benutzer daran zu hindern Funktionen oder Ger te zu benutzen die ihnen normalerweise zur Verf gung stehen Es k nnen z B die folgenden Ressourcen k nstlich verknappt werden Pro zesse CPU Zeit Dies kann z B geschehen durch e die gezielte berlastung des Netzes Syn Flood Smurf Angriff e das Kappen von Netzverbindungen Manipulation von ARP Tabellen Im Gegensatz zu einem Hub kann bei einem Switch grunds tzlich die Kom munikation zwischen zwei Stationen von keiner der anderen Stationen abge h rt werden Zu diesem Zweck pflegt der Switch eine Tabelle die die MAC Adressen der beteiligten Stationen den verschiedenen Ports zuordnet Da tenpakete beziehungsweise Ethernet Frames die an eine bestimmte MAC Adresse adressiert sind werden nur an den Po
19. Fall der Kompromittierung eines dieser Server h tte ein potentieller Angreifer eine gute Chance auch auf die anderen Server und Systeme zu zugreifen Durch die Anwendung der ACLs kann diese Kommunikati on auf bestimmte Dienste beschr nkt oder generell unterbunden werden Spanning Tree Das Spanning Tree Protocol STP IEEE 802 1d wird von Switches und Bridges verwendet um Schleifenbildungen innerhalb des Netzes auf der OSI Schicht 2 zu vermeiden Es werden BPDUs Bridge Pro tocol Data Units ausgesendet um die Root Bridge basierend auf MAC Adresse und Priorit t zum Systemstart und bei Topographie nderungen zu bestimmen Dieses Protokoll bietet keine Authentisie rung Deshalb sollte STP zumindest auf allen Endger te Ports deakti viert werden In der Konfiguration muss eine eindeutige Root Bridge festgelegt werden VLANs und Trunking Trunking erm glicht es VLANs ber mehrere Switches auszudehnen Die Steuerung von Trunking wird durch den Standard IEEE 802 1q oder durch unterschiedliche proprietare Trunking Protokolle realisiert Dabei wird pro Switch ein physischer Port Trunk Port f r die Inter Switch Kommunikation reserviert Diese logische Verbindung zwi 34 Version 1 2 secunet Baustein CB 4 90 Loadbalancer schen den Switches wird als Trunk bezeichnet Trunk Ports k nnen auf alle VLANs zugreifen Das hei t dass der Zugang zu einem Trunk Port den Zugriff auf alle VLANs dieses Trunks erm glicht
20. Interface von der Management Station aus mit definierten Protokollen erlaubt ist Alle nicht ben tigten Dienste sind f r das Management Interface zu deaktivieren Weitere Schritte zur Einrichtung eines Administrationsnetzes Out of Band Management sind in M 4 204 Sichere Administration von Lo adbalancern beschrieben Deaktivierung unn tiger Netzdienste Hersteller aktiver Netzkomponenten legen oft in erster Linie Wert auf eine m glichst einfache Inbetriebnahme und Konfiguration der Kom ponenten Daher ist in der Default Konfiguration meist eine Vielzahl von Diensten aktiviert Es sollten nur Dienste aktiviert sein die f r den Betrieb notwendig sind Nicht ben tigte Dienste auf den Loadbalan cern m ssen deaktiviert werden weil sie ein erh htes Risiko darstel len Generell d rfen diese Dienste nicht aus unsicheren Netzen erreichbar sein Dies ist durch entsprechende Access Control Lists sicherzustellen Anti Spoofing Border Router stellen den bergang von internen Netzen zu externen Netzen dar Auf Border Routern sollten Sicherheitsma nahmen ergrif fen werden die IP Spoofing siehe auch G 5 48 verhindern Dies kann beispielsweise durch die Einrichtung entsprechender ACLs er reicht werden Eine m gliche Variante ist folgender Ansatz e An den externen Schnittstellen werden solche Pakete blo ckiert deren Absender IP Adresse im internen Netz liegt e Anden internen Schnittstellen werden solche Pakete blockiert dere
21. Manche Ger te bieten allerdings auch die M g lichkeit den Zugriff eines Trunk Ports auf bestimmte VLANs zu be schr nken VLAN Pruning Sofern ein Switch eine solche M glichkeit bietet ist es empfehlenswert dies zu nutzen Auf Endge r te Ports sollte Trunking m glichst deaktiviert werden Das Default VLAN darf nicht f r ein produktives VLAN verwendet Nach M glichkeit sollten nicht genutzte Ports allerdings ganz deakti viert werden da die VLAN Port Zuweisung in ein Unassigned VLAN nur wenig zus tzliche Sicherheit bietet Konfigurations Checkliste f r Loadbalancer Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung Administrator Zusammenfassend k nnen anhand der folgenden Konfigurations Checkliste die wichtigsten sicherheitsrelevanten Einstellungen auf Loadbalancern gepr ft werden Es muss jedoch festgehalten werden dass die sichere Konfiguration von Loadbalancern stark vom Einsatzzweck abh ngt Beispielsweise muss auf Loadbalancern mit Border Router Funktion die Einrichtung von ACLs Anti Spoofing Konfiguration etc ber cksichtigt werden Deshalb sollte die folgende Tabelle lediglich als allgemeine Anleitung verwendet werden Konfigurations Checkliste f r Loadbalancer Erstellung einer Sicherheitsrichtlinie f r Loadbalancer Pr fung und gegebenenfalls Update des Betriebssystems Die Loadbalancerkonfiguration offline speichern sichern und gegen unbefugten Zugang sc
22. ancern IT Sicherheitskonzept IT Grundschutz Kataloge Ergebnisse von durchgef hrten Scans berpr fung der Konfiguration Bei der Einrichtung der Loadbalancer sind alle Default Einstellungen zu pr fen und falls notwendig zu modifizieren Hierbei werden beispielsweise nicht ben tigte Dienste deaktiviert und Voreinstellungen den betrieblichen und sicherheitstechnischen Anforderungen angepasst Eine Erl uterung der hierf r notwendigen Schritte findet sich in M 4 201 Sichere lokale Grundkonfiguration von Loadbalancern und M 4 202 Sichere Netz Grundkonfiguration von Laodbalancern Die Umsetzung der Vorgaben zum Umgang mit Default Einstellungen ist im Rahmen von regelm igen Audits zu berpr fen Hierdurch k nnen versehentliche oder vors tzliche Ver nderungen festgestellt und die Umsetzung von aktuellen Empfehlungen der Hersteller verifiziert werden Dies kann ausgehend von der f r jeden Ger tetyp beziehungsweise f r jede Betriebssystemversion zu erstellenden Installationsanleitung erfolgen und sollte am jeweiligen Ger t verifiziert werden Hierbei ist jedoch zu beachten dass Betriebssystem Kommandos bei manchen Herstellern nicht alle Default Einstellungen anzeigen Aus diesem Grund empfiehlt es sich separate Software Tools einzusetzen um eine vollst ndige Analyse durchzuf hren Software Pflege auf Loadbalancern Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung Admin
23. atibilit tsprobleme dieser Art k nnen entstehen wenn bestehende Netze um aktive Netzkomponenten anderer Hersteller erg nzt werden oder wenn Netze mit Netzkomponenten unterschiedlicher Hersteller aufgebaut werden Werden aktive Netzkomponenten mit unterschiedlichen Implementierungen des gleichen Kommunikationsverfahrens gemeinsam in einem Netz betrie ben kann es zu einem Verlust der Verf gbarkeit des gesamten Netzes von einzelnen Teilbereichen oder bestimmter Dienste kommen IEEE 802 1q vs ISL Aber auch die Kombination von inkompatiblen passiven Netzkomponenten kann die Verf gbarkeit eines Netzes gef hrden So existieren f r Twisted Pair Kabel Ausf hrungen in 100 und 150 Ohm die nicht ohne einen entspre chenden Umsetzer zusammen verwendet werden d rfen Beispiel Loadbalancer sind in der Regel mit Ports ausgestattet die sich nur mit einer strukturierten Verkabelung nach EN 50173 betreiben lassen Der Anschluss von Endger ten ber 50 Ohm Koaxialkabel ist nicht m glich Vertraulichkeitsverlust durch Restinformationen Bei elektronischer Daten bermittlung oder Datentr gerweitergabe passiert es immer wieder dass dabei auch Informationen weitergegeben werden die die Institution nicht verlassen sollten Als m gliche Ursachen f r die unbeabsich tigte Weitergabe von Informationen lassen sich folgende Beispiele anf hren e Restinformationen auf Datentr gern Bei den meisten Dateisystemen werden Dateien die vom Benutze
24. ault Einstellungen Einrichtung eines geeigneten Login Banners Deaktivierung von Trunk Negotiation auf Endger te Ports Das Default VLAN darf nicht genutzt werden Einrichtung eines eigenen VLANs f r alle Trunk Ports Einrichtung eines Unassigned VLANs f r alle unbenutzten Ports Deaktivierung von STP Spanning Tree auf Enger te Ports Festlegung einer Root Bridge 36 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer M5 111 c Erstellung einer Kommunikationsmatrix des netz bergreifenden Datenverkehrs Begrenzen des netz bergreifenden Datenverkehrs in Abgleich mit Kommunikationsmatrix durch Zugriffslisten Blockieren von unbekannten Adressen durch Zugriffslisten ACLs Konfiguration statischer Routen im DMZ Bereich Konfiguration von Integrit tsmechanismen der verwendeten Routing Protokolle Einrichtung von Access Control Lists auf Loadbalancer Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung Administrator Die vielf ltigen Zugriffsm glichkeiten f r die Nutzung und die Administration von Loadbalancer k nnen mit Hilfe von Access Control Lists ACLs kontrolliert werden Der Zugriff kann f r einzelne Rechner oder Netze und f r die jeweilige Zugriffsmethode festgelegt werden Mittels der ACL erfolgt die Festlegung welche Rechner oder Netze auf den Loadbalancer ber Dienste wie bspw TELNET SNMP HTTP etc zugreifen k nnen Die F
25. bgewiesener Zugriffsversuche und nderungen der Konfiguration Da Protokolldateien in den meisten F llen personenbezogene Daten beinhalten ist sicherzustellen dass diese Daten nur zum Zweck der Datenschutzkontrolle der Datensicherung oder zur Sicherstellung eines ordnungsgem en Betriebes verwendet werden M 2 110 Da tenschutzaspekte bei der Protokollierung Der Umfang der Protokol lierung und die Kriterien f r deren Auswertung sollte dokumentiert und innerhalb der Organisation abgestimmt werden Gegebenenfalls soll ten fr hzeitig die jeweiligen Mitbestimmungsgremien beteiligt werden Folgende Informationen sollten nach M glichkeit protokolliert werden Konfigurations nderungen Reboots Systemfehler Status nderungen pro Interface System und Netzsegment Login Fehler zumindest dann wenn sie wiederholt auftreten Verst e gegen ACL Regeln abgewiesene Zugriffsversuche Insbesondere der letzte Punkt sollte f r jede ACL aktiviert werden um alle fehlgeschlagenen Versuche zu erfassen und falsch oder nicht korrekt konfigurierte Regeln erkennen zu k nnen secunet Version 1 2 53 Baustein CB 4 90 Loadbalancer ELSTER Ela Neben einer geeigneten Speicherung der Informationen kommt der m glichst zeitnahen Auswertung besondere Bedeutung zu Hierf r existieren unterschiedliche Ausgabem glichkeiten die abgestimmt auf die individuellen Bed rfnisse auch in Kombination miteinander angewendet werden k nnen SNMP Her
26. dbalancer die an fremde Netze angeschlossen sind spielt die Absicherung des Ger tes eine besonders wichtige Rolle da sie Angriffen von au en direkt ausgesetzt sind Loadbalancer als Paketfilter Loadbalancer werden oft als Bestandteil von Sicherheits Gateways zum Anschluss an ffentliche Netze beispielsweise das Internet verwendet Im folgenden Beispiel besteht der Sicherheits Gateway aus einem internen Pakeifilter einem externen Paketfilter und einem Applikations Gateway Die festgelegten Filterregeln werden sowohl auf dem zentralen System als auch auf den Loadbalancer intern und extern konfiguriert Auf den Loadbalancer wird das Regelwerk durch die Einrichtung von Access Control Lists ACLs etabliert Erstellung einer Sicherheitsrichtlinie f r Loadbalancer Verantwortlich f r Initiierung Beh rden Unternehmensleitung IT Sicherheitsmanagement Verantwortlich f r Umsetzung IT Sicherheitsmanagement Da Loadbalancer zentrale Elemente eines Netzes sind ist der sichere und ordnungsgem e Betrieb besonders wichtig Dieser kann nur sichergestellt werden wenn das Vorgehen in die bestehenden si cherheitstechnischen Vorgaben integriert ist Die zentralen sicherheitstechnischen Anforderungen das zu errei chende Sicherheitsniveau ergeben sich aus der organisationsweiten Sicherheitsleitlinie und sollten in einer spezifischen Sicherheitsrichtli nie f r Loadbalancer formuliert werden um die bergeordnet und allgemein form
27. dem Ger t zu konfigurierender Zugriffs und Rech tekontrolle kann dies auch ber einen zentralen Server erfolgen Bei gro en Umgebungen mit einer hohen Anzahl von aktiven Netzkom ponenten ist die lokale Konfiguration nur bedingt praktikabel Der secunet Version 1 2 49 Baustein CB 4 90 Loadbalancer ELSTER Ela Aufwand f r die Administration und f r viele parallel zu pflegende Be rechtigungen ist dann sehr hoch Auf dem zentralen Server werden dabei einheitlich alle Zugriffe und Berechtigungen verwaltet Die sensitiven Daten sind nicht mehr auf den Ger ten selbst gespeichert und m ssen nicht einzeln gepflegt werden Stattdessen sind alle Informationen verschl sselt in einer Datenbank abgelegt und lassen sich bersichtlich verwalten Ein sol cher Server bietet zudem erweiterte M glichkeiten zur Protokollie rung beispielsweise k nnen Anzahl und Zeitpunkt von Einwahl oder Zugriffsvorg ngen und bertragene Datenmengen dokumentiert wer den Beispiele hierf r sind RADIUS und TACACS Terminal Access Controller Access Control System Die Authentisierung sollte in kom plexen Netzen mit einer Vielzahl von aktiven Netzkomponenten durch einen zentralen Authentisierungsserver abgesichert werden F r den Fall dass kein Authentisierungsserver genutzt werden kann beispielsweise beim Ausfall des Servers oder bei Netzproblemen sollte trotzdem ein lokaler Zugriff konfiguriert sein Dieser ist durch ein nur f r diesen Zweck zu
28. den und sollten vernichtet werden e Uberschreiben mit VS Clean Um funktionst chtige Festplatten bis zum Geheimhaltungsgrad VS VERTRAULICH physikalisch zu l schen stellt das BSI f r die deut sche Bundesverwaltung die Software VS Clean zur Verf gung Da tentr ger mit einem h heren Geheimhaltungsgrad als VS VERTRAULICH m ssen zus tzlich sofern sie nicht geeignet ver schl sselt sind immer physisch vernichtet werden Informationen ber VS Clean sind auf der Webseite des BSI unter Produkte und Tools zu finden e L schen von elektronischen Speichermedien RAM Speicher SRAM und DRAM sind fl chtige Speicher bei denen durch eine Trennung von der Stromversorgung der Speicherinhalt gel scht wird Eine Pufferbatterie falls vorhanden muss f r die L schung entfernt werden Im Gegensatz dazu muss bei den nicht fl chtigen Speichern EEPROM und Flash Memory zum L schen des Speicherinhalts eine Spannung angelegt werden Die korrekte Vorge hensweise ist den Datenbl ttern der Hersteller zu entnehmen In beiden F llen kann jedoch nicht ausgeschlossen werden dass nach dem L schen ber Spuren in den Speicherzellen ein R ck schluss auf die vorher gespeicherten Daten m glich ist Es wird des halb empfohlen den kompletten Speicher vor dem L schen einmal mit Zufallszeichen vollst ndig zu berschreiben e Vernichtung von Datentr gern Magnetische Datentr ger wie Festplatten die nicht mehr weiter ver wendet werden soll
29. e Abbild desselben Nur durch eine spezielle Konfiguration l sst sich dieser Mechanismus umgehen so dass ein Angriff von innen auf die Server direkt erschwert ist Bei diesem Einsatzszenario h ngen die Sicherheitsanforderungen an den Loadbalancer stark vom Schutzbedarf der Teilnetze ab die ber den Loadbalancer verbunden sind Loadbalancer in der DMZ Bei diesem Einsatzszenario bestehen dieselben funktionalen Zusammenh nge wie bei dem Einsatz im Intranet Die Adressumsetzung NAT hat in diesem halb ffentlichen Bereich jedoch neben dem praktischen Aspekt der Einsparung offizieller IP Adressen auch den Sicherheitsaspekt dass von au en nur auf die virtuelle Adresse mit genau dem vorgegebenen Dienst zugegriffen werden kann secunet Version 1 2 19 Baustein CB 4 90 Loadbalancer ELSTER Ela Zu den Sicherheitsanforderungen an den Loadbalancer die fur den Einsatz im Intranet relevant sind kommen hier der verst rkte Schutz der Management IP Adresse des Loadbalancers und der Schutz vor Denial of Service Angriffen hinzu Loadbalancer zur Anbindung an externe Netze Wird ein Loadbalancer zur Anbindung des eigenen Netzes einer Organisation an externe Netze mehrerer ISP s eingesetzt so spricht man von einem WAN Link Loadbalancer mit der Funktion eines Border Routers Oft sind Border Router auch in ein Sicherheits Gateway integriert und bernehmen in diesem die Funktion des externen Paketfilters siehe unten Bei Loa
30. e Hostnamen verraten oft den Hersteller der Ger te Dienste Werkseitig werden Ger te mit Standardkonfigurationen ausgeliefert auf de nen eine Vielzahl von Diensten aktiviert sind Beispielsweise k nnen dies HTTP Telnet FINGER oder sonstige Dienste sein Benutzerkonten und Passworte Werksm ig eingerichtete Benutzerkonten haben dokumentierte und damit allgemein bekannte Standardnamen und Passworte Auf einschl gigen In ternet Seiten stehen Listen mit herstellerspezifischen Standard Accounts und Passworten zum Download bereit Unsichere SNMP Versionen Die Authentisierung erfolgt bei SNMPv1 und SNMPV2 lediglich mittels eines unverschl sselten sogenannten Community Strings Als Standardeinstellung bei nahezu allen Herstellern ist der Read Community String auf den Wert public eingestellt w hrend der Write Community String auf den Wert priva te gesetzt ist Wenn die unsicheren SNMP Versionen genutzt werden und f r die Administration kein eigenes Administrationsnetz eingerichtet wurde kann ein Angreifer leicht die Kontrolle ber Netzkomponenten erlangen wenn die se Default Einstellungen beibehalten werden Routing Protokolle Auf Loadbalancer verschiedener Hersteller sind standardm ig Routing Protokolle aktiviert Login Banner Werksm ig verraten Login Banner unterschiedlicher Ger te beispielsweise die Modell und Versionsnummer des Ger tes Diese Angaben k nnen f r die 14 Version 1 2 secunet E Y
31. e Zugriffsarten k nnen durch die Vergabe von Passw rtern gesch tzt werden Diese Absicherung kann jedoch wirkungslos wer den wenn Sessions unbeaufsichtigt sind beispielsweise wenn ein angemeldeter Administrator seinen Rechner verl sst und dabei ver gisst die Session zu beenden oder die Bildschirmsperre zu aktivie ren Aus diesem Grund ist es empfehlenswert Time outs einzu 52 Version 1 2 secunet Ela ELSTER Baustein CB 4 90 Loadbalancer richten um Verbindungen nach einem definierten Zeitraum ohne Nut zeraktivit t zu beenden oder zu sperren Dabei sollte eine Timeout Zeit von 10 Minuten nicht berschritten werden Protokollierung bei Loadbalancer Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung Administrator Loadbalancer bieten in der Regel M glichkeiten zur Protokollierung Die Auswertung dieser Informationen erm glicht die Beurteilung der korrekten Funktion des Ger ts und das Erkennen von Angriffsversu chen Mit Hilfe der Protokollierungsinformationen kann oft auch die Art eines Angriffsversuches nachvollzogen und die Konfiguration ent sprechend angepasst werden Daher sollte die Protokollierung immer genutzt und sorgf ltig einge richtet werden Die sorgf ltige Konfiguration ist besonders wichtig da nur bei einer sinnvollen Filterung aus der Vielzahl von Informationen die relevanten Daten extrahiert werden k nnen Hierzu geh ren vor allem das Erkennen a
32. eist automatisiert die Funktion der Ger te mit Hilfe eines NMS Systems Die Systemdokumentation ist vom Administrator laufend aktuell zu halten Der Stand der Datensicherung die Integrit t der Konfigurationsdateien und weitere Daten zur Konfiguration sollten vom Administrator regelm ig w chentlich gepr ft werden Scans mit der Hilfe von Sicherheits Tools sollten nach Installation regelm ig monatlich durch den Administrator vorgenommen werden Die Ergebnisse sind zu pr fen und zu archivieren Die Pr fung der Einhaltung von Sicherheitsrichtlinien muss regelm ig erfolgen z B j hrlich im Rahmen von Sicherheits oder Grundschutzaudits Wer testet e Der Administrator sollte laufend Pr fungen durchf hren Funktion der Komponenten Stand der Datensicherung Integrit t der Konfigurationsdateien Scans etc Die Einhaltung von Sicherheitsrichtlinien bzw von Sicherheitsma nahmen im Rahmen von Sicherheits bzw Grundschutzaudits darf nicht durch den Administrator gepr ft werden sondern hat abh ngig vom etablierten Sicherheitsmanagementprozess durch einen Auditor IT Sicherheitsbeauftragten oder Revisor zu erfolgen secunet Version 1 2 43 Baustein CB 4 90 Loadbalancer ELSTER Ela Welche Informationen bilden die Grundlage der Kontrolle Sicherheitsrichtlinie f r Loadbalancer Protokolldateien von Loadbalancer Systemdokumentation siehe M 2 281 Dokumentation der Systemkonfiguration von Loadbal
33. eiten von Lo adbalancern bertragen 4 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer 2 Baustein CB 4 90 Loadbalancer 2 1 Beschreibung Ein Loadbalancer ist ein Ger t das in der Lage ist eine gro e Anzahl von Zugriffen ber dedizierte TCP oder UDP Ports bzw IP Protokolle auf zwei oder mehrere Server zu vertei len Dadurch werden folgende Effekte erzielt e Der Ausfall eines Servers durch Wartungsarbeiten oder technisches Versagen f hrt nicht zum Gesamtausfall des angebotenen Dienstes e Das zeitliche Antwortverhalten f r die angebotenen Dienste verbessert sich e Die Dimensionierung der Serversysteme kann so gew hlt werden dass an Stelle eines gro en teuren Systems mehrere kleine und damit kosteng nstigere Server eingesetzt werden k nnen Au erdem wird eine bessere Skalierbarkeit des Gesamtsystems erreicht e Es k nnen f r den Fall dass das Maximum an zul ssigen Verbindungen f r einen Server berschritten wird so genannt Overflow Server definiert werden welche dann die zus tzlichen Verbindungen f r diesen Service annehmen e Es k nnen auch Informationen aus der Anwendungs Schicht des OSI Modells bzw der Datenteil der IP Pakete ausgewertet werden die f r eine weitergehende Art der Lastverteilung herangezogen werden z B die Art des angeforderten Contents Loadbalancer wurden urspr nglich aus der Erkenntnis heraus entwickelt dass die Intelli genz die in den GigabitEthernet
34. eiterer L4 Parameter Jede einzelne dieser Techniken bietet ein unterschiedliches Niveau an Verf gbarkeit und ist in der Regel mit unterschiedlichen Kosten verbunden M 4 204 C Sichere Administration von Loadbalancer Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung Administrator Es gibt unterschiedliche Zugriffsm glichkeiten um Loadbalancer zu administrieren Abh ngig von der genutzten Zugriffsart m ssen eine Reihe von Sicherheitsvorkehrungen getroffen werden Bei gr eren Netzen ist es empfehlenswert Loadbalancer in ein zentrales Netzma nagement System einzubinden da sonst eine sichere und effiziente Administration praktisch nicht gew hrleistet werden kann Die zur Administration verwendeten Methoden sollten in der Sicher heitsrichtlinie festgelegt werden und die Administration darf nur ent sprechend der Sicherheitsrichtlinie durchgef hrt werden Alle nicht verwendeten Administrationsschnittstellen sollten deaktiviert werden Im Folgenden werden einige Punkte beschrieben die bei der Admi nistration beachtet werden sollten secunet Version 1 2 47 Baustein CB 4 90 Loadbalancer ELSTER Ela Zus tzlich sollte wenn m glich der Administrationszugriff durch die Einrichtung von Access Control Lists ACLs eingeschrankt werden siehe auch M 5 111 Einrichtung von Access Control Lists auf Load balancer Remote Administration Eine Vielzahl v
35. en k nnen mit geeigneten Ger ten vernichtet secunet Version 1 2 61 Baustein CB 4 90 Loadbalancer ELSTER Ela werden Bei defekten Festplatten die nicht mehr Uberschrieben wer den k nnen bleibt als L schverfahren nur das Vernichten der Fest platten Die Vernichtung kann durch Shreddern erfolgen aber auch thermische Verfahren wie Verbrennen oder Einschmelzen sind geeig net Magnetbandkassetten k nnen wie Festplattenlaufwerke mecha nisch oder thermisch vernichtet werden Das BSI hat f r die Vernichtung von magnetischen Datentr gern mit Daten von hohem Schutzbedarf Partikelgr en festgelegt F r die Festplattenvernichtung wird eine Partikelgr e von maximal 300 Quadratmillimetern gefordert F r die thermische Vernichtung wird eine Temperatur von circa 600 C bei einer Verweilzeit von mindes tens 15 Minuten empfohlen Aufgrund der Gr e entsprechender Vernichtungsger te ist die Ver nichtung bei Dienstleistungsfirmen in r umlicher N he sinnvoller als eine eigene Anschaffung der Ger te Das Vernichtungsverfahren kann in Anlehnung an die Schrift BSI 7251 Empfehlungen f r die Vernichtung von Schl sselger ten erfolgen die im Bedarfsfall vom BSI zur Verf gung gestellt wird Dienstleistungsfirmen die eine Fest plattenvernichtung anbieten sind in der Produktliste BSI 7500 aufge f hrt Optische Datentr ger die nicht wiederbeschreibbar sind k nnen nicht gel scht werden und m ssen stattd
36. en oder vorhandenen Ger te nur unsichere Protokolle wie SNMPv1 SNMPv2 oder Telnet unterst tzen so ist die Einrichtung eines Administrations netzes unbedingt erforderlich Eine Nichtbeachtung dieser Fakten in der Planungsphase resultiert in Schwierigkeiten bei der Einrichtung des Administrationsnetzes sofern der notwendige Anschluss nicht schon als separater Port vorhanden ist Fehlende oder mangelhafte Information und Dokumentation Gelegentlich sind in der Planungsphase notwendige Informationen nicht vor handen da entweder keine entsprechende Dokumentation vom Anbieter zur Verf gung gestellt wurde oder die betreffenden Dokumente nicht ber cksich tigt werden Fehlentscheidungen die auf Grund mangelhafter Dokumentation gemacht wurden sind oft nur schwer zu korrigieren wenn sich beispielsweise sp ter herausstellt dass ein Ger t bestimmte Funktionen nicht oder nur un zureichend unterst tzt Als Beispiele k nnen die Unterst tzung von SSH oder Radius zu Authentifizierung des Administrators dienen 2 2 3 Menschliche Fehlhandlungen G 3 64 Fehlerhafte Konfiguration von Loadbalancern Die Konfiguration aktiver Netzkomponenten h ngt stark vom Einsatzzweck der Ger te ab Wenn der Betrieb von Loadbalancern nicht in das unternehmenswei te Sicherheitskonzept eingebunden wird kann der sichere Einsatz dieser Kom ponenten nicht sichergestellt werden Nachfolgend sind einige Beispiele aufgef hrt die den sicheren Einsa
37. endet speichert der Switch diese MAC Adressen in seiner Switching Tabelle So bald der Speicherplatz f r die Switching Tabelle gef llt ist sendet ein Switch s mtliche Pakete an alle Switch Ports Durch dieses Fluten der Switching Tabelle mit sinnlosen MAC Adressen kann ein Switch nicht mehr feststellen an welche Ports tats chliche Ziel MAC Adressen angeschlossen sind Diese Angriffsmethode wird verwendet um das Mitlesen von Paketen in geswitch ten Netzen zu erm glichen Es sind frei verf gbare Tools auf einschl gigen Seiten im Internet verf gbar die auf einem Switch ber 155 000 MAC Adress Eintr ge innerhalb einer Minute erzeugen k nnen MAC Spoofing Die MAC Adresse media access control eines Ger ts ist eine vom Herstel ler vorgegebene Adresse mit der Ger te auf der OSI Schicht 2 adressiert werden Verschiedene Sicherungsmechanismen auf der Netzebene beispielsweise Port Security bei Switches beruhen darauf dass eine Verbindung nur von einem Ger t mit einer bestimmten MAC Adresse aufgebaut werden darf Mit Hilfe entsprechender Programme kann ein Angreifer die MAC Adresse seines Ger tes ndern und Ethernet Frames mit einer fremden Kennung in das Netzsegment schicken Auf diese Weise k nnen Sicherungsmechanis men umgangen werden die allein auf der Verwendung einer MAC Adresse beruhen Der Angreifer muss sich dabei allerdings im selben Netzsegment befinden oder sogar Zugang zu demselben Switchport haben wie das Ge
38. essen mit geeigneten Ger ten vernichtet werden um die darauf gespeicherten Informationen sicher zu l schen Wiederbeschreibbare Datentr ger beispielsweise CD RWs k nnen grunds tzlich durch vollst ndiges Uberschreiben gel scht werden Es ist jedoch nicht bekannt ob Spuren der alten Informationen verblei ben und rekonstruiert werden k nnen Bei erh htem Schutzbedarf m ssen deshalb auch wiederbeschreibbare Datentr ger mit geeigne ten Ger ten vernichtet werden um die darauf gespeicherten Informa tionen sicher zu l schen F r die Vernichtung von optischen Datentr gern wie CDs oder DVDs wird eine Partikelgr e von maximal 10 Quadratmillimetern bei ho hem oder sehr hohem Schutzbedarf und von maximal 200 Quadrat millimetern bei normalem Schutzbedarf gefordert In der Produktliste BSI 7500 sind geeignete Vernichtungsger te aufgef hrt Alternativ k nnen auch thermische Vernichtungsverfahren z B Einschmelzen angewandt werden Die BSI Publikation 7500 listet zwar Vernichtungsger te f r Disketten und CDs auf Ger te f r die schreibtischnahe Vernichtung von Mag netbandkassetten sind derzeit jedoch nicht bekannt Magnetbandkas setten k nnen deshalb nur in Gro ger ten z B Schneidm hlen oder thermisch Verbrennen Einschmelzen vernichtet werden Aussondern von IT Systemen Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung Administrator Benutzer IT Systeme sind
39. estlegung der ACLs muss entsprechend den Vorgaben der Sicherheitsrichtlinie erfolgen Insbesondere sollte ein generelles Vorgehen f r den Fall festgelegt werden dass keine spezifischen Regeln existieren In diesem Zusammenhang gibt es grunds tzlich die beiden Ans tze Was nicht verboten ist ist erlaubt Blacklist und Was nicht erlaubt ist ist verboten Whitelist Bei der Konfiguration sollte generell der restriktivere Whitelist Ansatz bevorzugt werden da beim reinen Blacklist Ansatz nahezu zwangsl ufig L cken bestehen bleiben Mit Hilfe von ACLs kann nicht nur der Zugriff auf den Loadbalancer selbst sondern auch der Datenverkehr ber den Loadbalancer kontrolliert werden da sie den Zugriff der angeschlossenen Endsysteme untereinander einschr nken Loadbalancer k nnen auch als sehr komplexe schnelle Paketfilter je nach Modell in Wirespeed in lokalen Netzen eingesetzt Der Loadbalancer kontrolliert in diesem Fall den Datenverkehr pro Interface und Richtung inbound und outbound zwischen den angeschlossenen Endger ten und Subnetzen secunet Version 1 2 37 Baustein CB 4 90 Loadbalancer ELSTER Ela In der Regel werden innerhalb einer ACL mindestens folgende Kriterien ausgewertet e Quelladresse IP Adresse im IP Header des Pakets e Zieladresse IP Adresse im IP Header des Pakets e _ _Verwendetes Protokoll und gegebenenfalls Portnummer z B Port 80 TCP f r HTTP oder 25 TCP f r SMTP Zum
40. et und die Datenpakete an die jeweiligen internen Rechner weiterleitet Zugriff von au en bei NAT F r einen Verbindungsaufbau von au en z B bei Anfragen an einen Web Server werden am NAT Gateway alle Pakete die an einen be stimmten Port gerichtet sind umgesetzt und an einen entsprechen den Port des Servers weitergeleitet Dieser Mechanismus wird auch als Destination NAT oder Port Forwarding bezeichnet Mit den Antwortpaketen des Servers verf hrt das NAT Gateway analog NAT in Verbindung Loadbalacing Bei einer Verbindungsanfrage von au en z B Anfragen an einen Web oder LDAP Server an ein lastverteiltes Serversystem gerichtet ist kann sich der Client nur die sogenannte virtuelle IP Adresse des Zielsystems bzw den ihm zugeordneten Namen wenden Der Load balancer nimmt diese Anfrage entgegen und vermerkt in seiner Sit zungstabelle die Quell IP Adresse und den Quell Port sowie die Ziel IP Adresse Virtuelle IP Adresse und den Ziel Port resp Dienst An 56 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer schlieBend weist der Loadbalancer diese Anfrage nach den vorgege benen Loadbalancing Parametern einem konkreten Server zu und ersetzt die Ziel IP Adresse Virtuelle IP durch die IP Adresse des realen Servers Dabei spielt es keine Rolle ob sich die realen Server mit ihrer IP Adresse im gleichen Subnetz befinden oder nicht Der Austausch der Ziel IP Adresse wir ebenfalls i
41. f gbarkeitseinbu e nach sich ziehen oder auch den totalen Ausfall der last verteilten Anwendung 18 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer 2 3 Ma nahmenempfehlungen F r die sichere Implementierung eines Loadbalancer ist eine Reihe von MaBnahmen umzu setzen beginnend mit der Planung ber die Installation bis hin zum Betrieb Nachfolgend wird das MaBnahmenbindel f r den Baustein Loadbalancer vorgestellt 2 3 1 Planung und Konzeption M 2 278 Z Typische Einsatzszenarien von Loadbalancer Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung Leiter IT Administrator Der Einsatzzweck von Loadbalancer bestimmt ma geblich die Konfiguration der Systeme Zudem bestimmt die Verwendung auch die zus tzlichen Funktionen die von einem Loadbalancer bereit gestellt werden m ssen Loadbalancer im internen Netz Loadbalancer k nnen im internen Netz zum Einsatz gelangen um Dienste und Anwendungen im Intranet hochverf gbar zu gestalten und gleichzeitig das Antwortverhalten zu verbessern In dieser Funktion bernehmen sie h ufig auch die Aufgabe eines LAN to LAN Routers da sich die Server nicht selten in einem separaten Subnetz befinden Durch zu prinzipbedingte Anwendung von NAT Network Address Translation bei der Lastverteilung kann der Anwender nicht mehr auf die Server selbst zugreifen sondern nur noch auf das virtuell
42. f hrt werden ist sie geeignet solche Ausf lle herbei zuf hren 6 Version 1 2 secunet Ela ELSTER Baustein CB 4 90 Loadbalancer 2 2 2 Organisatorische M ngel Fehlende oder unzureichende Regelungen bergreifende und organisatorische Regelungen und Vorgaben spielen eine wichtige Rolle auch f r Loadbalancer Die Regelungen umfassen z B die Festlegung der Zust ndigkeiten f r die Administration und Konfiguration des Loadbalancers Zugriffsregeln auf den Loadbalancer usw Fehlende oder unzureichende Regelungen k nnen gro e Auswirkungen auf die Verf gbarkeit sowie die Sicherheit des Loadbalancer nach sich ziehen Aber nicht nur fehlende oder unzureichende Regelungen haben negative Auswirkung auf den IT Betrieb sondern auch nicht angepasste Regelungen Oft werden nach Ver nderungen technischer organisatorischer oder perso neller Art die wesentlichen Einfluss auf die IT Sicherheit haben bestehende Regelungen nicht angepasst Veraltete Regelungen k nnen dem st rungs freien IT Betrieb entgegen stehen Fehlende ungeeignete inkompatible Betriebsmittel Eine nicht ausreichende Bereitstellung von Betriebsmitteln kann einen IT Betrieb erheblich beeintr chtigen St rungen k nnen sich ergeben weil be n tigte Betriebsmittel nicht in ausreichender Menge vorhanden sind oder nicht termingerecht bereit gestellt wurden Zum Beispiel kann die nicht termingerechte Bereitstellung eines Lizenz Schl ssels der f r d
43. fahren und integriert werden Hot Standby Bei einem Hot Standby steht ebenfalls ein Ersatzsystem meist mit der gleichen Konfiguration wie das im Regelbetrieb befindliche Sys 46 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer tem bereit Dieses l uft aber st ndig parallel mit wobei eine Kompo nente die andere berwacht Bei einer Fehlfunktion kann dann das Ersatzsystem unmittelbar die Funktion des Wirksystems bernehmen Dies kann automatisiert erfolgen oder auch nach Benutzerinteraktion Eine Benutzerinteraktion kann verhindern dass eine Umschaltung auf das Hot Standby System die zus tzliche Komplikationen mit sich bringen kann bei extrem kurzen Ausf llen erfolgt Verwendung von Layer 3 Redundanzprotokollen Da Loadbalancer in typischen Einsatzszenarien Routingfunktionen bernehmen und somit Gateway f r die konfigurierten Subnetze dar stellen kann beim Einsatz von 2 Loadbalancern unter Verwendung der Protokolls VRRP Virtual Router Redundanc Protokoll ein Single Point of Failure vermieden werden Je nach Implementierung dieses Protokolls k nnen Active Standby oder Active Active Konfigurationen realisiert werden Dabei erfolgt die Auswahl des VRRP Masters anhand der aktuellen Priorit t f r ein bestimmtes Interface Weitergehende herstellerspezifische Implementierungen erlauben u a die dynamische Ver nderung der Priorit ten anhand der Anzahl der aktiven Interfaces aktiven Ports oder w
44. fugtem Ausschalten des Ger ts vorgebeugt werden 26 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer Administratorenschulung f r Loadbalancer Loadbalancer Verantwortlich f r Initiierung Beh rden Unternehmensleitung IT Sicherheitsmanagement Verantwortlich f r Umsetzung Leiter IT IT Sicherheitsmanagement F r den sicheren Betrieb von Loadbalancer ist es wichtig dass alle Arbeiten durch Personal durchgef hrt werden das in der Lage ist alle gebotenen Funktionen und Sicherheitsmerkmale optimal zu nutzen Daher ist es unerl sslich dass die Administratoren entsprechend ge schult werden In den Schulungen sollten ausreichende Kenntnisse zu den f r die Einrichtung und den Betrieb von Loadbalancern notwendigen Vorge hensweisen Werkzeugen und Techniken vermittelt werden Dies gilt auch f r herstellerspezifische Aspekte zum gew hlten Produkt In dieser Ma nahme werden Anforderungen an Schulungen beschrie ben die Administratoren in die Lage versetzen Loadbalancer in einer typischen Umgebung installieren und betreiben zu k nnen In den Schulungen sollten die Grundlagen Konzepte und Kenntnisse der Kommandos zu Einrichtung Betrieb Wartung und Fehlersuche vermittelt werden Eine Schulung sollte eine ausgewogene Mischung aus Theorie und Praxis darstellen Grundlagen ISO OSI Schichten Modell Netztopographien topologien und Ubertragungstechniken Verkabelung Aktive Netzk
45. g Die Bedienungsanleitung der L schger te ist in jedem Fall zu beachten In der BSI Publikation 60 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer 7500 zu Produkten f r die materielle Sicherheit sind geeignete L schger te aufgef hrt Ein L schen von wiederbeschreibbaren CD RWs die nach dem magnetooptischen Verfahren arbeiten ist mit den L schger ten nicht m glich weil die Koerzitivfeldst rke dieser Datentr ger zu gro ist Ein alternatives Verfahren ist das Vernichten der Datentr ger siehe unten Bei normalen Sicherheitsanforderungen sind beide Verfahren als gleichwertig anzusehen e Komplettes berschreiben Eine f r den normalen Schutzbedarf ausreichende physikalische L schung kann erreicht werden indem der komplette Datentr ger ber schrieben wird Die Uberschreibprozedur sollte aus mindestens zwei besser drei Durchlaufen bestehen Beim zweiten Durchlauf sollte das zum ersten Durchlauf komplementare Datenmuster Bit Folge verwendet wer den F r den dritten Durchlauf werden Zufallsdaten empfohlen Da durch wird eine verbesserte Schutzwirkung erzielt Informationen in nicht unmittelbar zugreifbaren besch digten Sekto ren bad sectors lassen sich nicht unmittelbar berschreiben und k nnen unter Umst nden wieder rekonstruiert werden Schreibgesch tzte oder nicht mehrfach beschreibbare Datentr ger wie CD ROMs oder CD Rs k nnen selbstverst ndlich auch nicht ge l scht wer
46. g der Konfiguration Konfigurations nderungen k nnen sowohl direkt am Ger t an der System Konsole online als auch auf einem eigenen Management Rechner mit einem entsprechenden Konfigurationsprogramm oder einem Texteditor offline vorgenommen werden Beide Vorgehen haben Vor und Nachteile generell ist jedoch die Offline Konfiguration zu bevorzugen da die Syntax zeitnah berpr ft werden kann In jedem Fall muss der Administrationsrechner auf dem die Offline Konfiguration vorgenommen wird beziehungsweise auf dem die Konfigurationsdaten gehalten werden vor unbefugtem Zugriff beson ders gesch tzt werden Loadbalancer und Hochverf gbarkeit Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung Administrator Ein Loadbalancer stellt eine Schnittstelle zwischen den Client Anfragen f r die konfigurierten Dienste und den bereitstellenden Ser vern dar Somit stellt der Loadbalancer eine m gliche Bruchstelle f r alle lastverteilten Dienste einer Organisation dar Daher werden an die Verf gbarkeit von Loadbalancern h ufig hohe Anforderungen ge stellt Es gibt verschiedene M glichkeiten die Verf gbarkeit von Komponenten eines Loadbalancers zu steigern Cold Standby Beim Cold Standby wird neben dem eigentlichen Produktivsystem ein zweites baugleiches Ersatzsystem bereitgehalten das aber nicht in Betrieb ist Wenn das erste System ausf llt kann das Ersatzsystem manuell hochge
47. glichen zudem einen Debug Modus zu Ausgabe secunet Version 1 2 65 Baustein CB 4 90 Loadbalancer ELSTER Ela umfangreicher Statusinformationen Unter anderem sind folgende Informationen fur die Fehlerdiagnose relevant e Status der Netz Interfaces und der sonstigen Anschl sse e Status der TCP und UDP Netzdienste e Gesamtkonfiguration als berblick e Prozesse e Sitzungstabelle e Statusabfrage der konfigurierten Virtuellen und Realen Server Interpretation des Healthchecks e Routing Tabelle und genutzte Routing Protokolle e ARP Tabelle e Protokollierung Interpretation der Log Informationen Als weiterf hrende Ma nahmen sollte M 2 215 Fehlerbehandlung betrachet werden Notfallvorsorge zur Steigerung der Verf gbarkeit Durch eine Planung des Vorgehens bei St rungen kann die Zeit zur Wiederherstellung minimiert und unter Umst nden eine L sung ber haupt erst erm glicht werden Die Planungen sind mit der bergrei fenden St rungs und Notfallvorsorge abzustimmen und sollten sich am allgemeinen Notfallvorsorgekonzept orientieren siehe Baustein B 1 3 Notfallvorsorge Konzept Hier werden generelle Vorgaben f r Notfalldokumente im gesamten IT Betrieb formuliert Diese legen ide alerweise einheitliche und verbindliche Anforderungen bez Aufbau Inhalt und Form fest Folgende Fragestellungen sind f r die Notfallvorsorge relevant e Welche Anforderungen bestehen an das Monitoring e Zusammenstel
48. h tzen Nutzung eines TFTP Servers nur in Verbindung mit Out of Band Management eigenes Administrationsnetz Dokumentation und Kommentierung der Konfiguration Konfiguration von Passwortschutz f r alle Zug nge Konsole VTY etc Einrichtung eines Session Timeouts secunet Version 1 2 35 Baustein CB 4 90 Loadbalancer ELSTER Elm Keine Trivial Passworte verwenden Verschl sselte Speicherung der Passworte Einrichtung eines physischen Zugangsschutzes f r den Konsolenanschluss F r Administrationszwecke soweit m glich TELNET durch SSH ersetzen M glichst RADIUS oder TACACS zur Authentisierung verwenden Einschr nkung der Administrationszug nge z B SSH SNMP TELNET durch ACLs Nutzung von SNMP und TELNET nur in Verbindung mit Out of Band Management eigenes Administrationsnetz bei SNMP Anderung der Community Strings Deaktivieren unn tiger Netzdienste nicht ben tigte Ports in Unassigned VLAN verschieben oder ebenfalls deaktivieren Kritische Schnittstellendienste und Protokolle sperren Protokollierung einschalten Genaue Uhrzeit auf den Ger ten einstellen interner NTP Server Einbinden der Zeitinformation bei der Protokollierung Auswerten berpr fen und Archivieren der Protokolldateien entsprechend der Sicherheitsrichtlinie SNMP m glichst deaktivieren Nutzung nur in Verbindung mit Out of Band Management Administrationsnetz oder Verwendung von SNMPv3 berpr fung der Def
49. hes Niveau an Verf gbarkeit und ist in der Regel mit unterschiedlichen Kosten verbunden 2 3 2 Beschaffung Kriterien f r die Beschaffung und geeignete Auswahl von Load balancer Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung Administrator Aktive Netzkomponenten unterscheiden sich in ihrem Leistungsum fang den angebotenen Sicherheitsmechanismen Bedienkomfort und Wirtschaftlichkeit Werden bei der Beschaffung Fehler gemacht so kann dies schwerwiegende Folgen auf den sicheren Betrieb eines Netzes haben da mit ungeeigneten Ger ten das angestrebte Sicher heitsniveau unter Umst nden nur schwer erreichbar ist Bevor Loadbalancer beschafft werden muss daher eine Anforde rungsliste erstellt werden anhand derer die am Markt erh ltlichen Produkte bewertet werden Aufgrund der Bewertung kann dann eine 24 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer fundierte Kaufentscheidung erfolgen die sicherstellt dass das zu beschaffende Produkt im praktischen Betrieb den Anforderungen ge n gt Aus dem Blickwinkel der IT Sicherheit sind zentrale Anforderungen an aktive Netzkomponenten dass diese die Administration Uber sichere Protokolle erlauben und dass die Benutzerverwaltung des Ger ts es erlaubt das organisationsweite Rollenkonzept entsprechend umzu setzen Die Anforderung dass Passw rter nur verschl sselt im Ger
50. hteil dass sowohl Benutzername und Passwort als auch die Nutzdaten im Klartext ber das Netz bertragen werden siehe auch G 2 87 Ver wendung unsicherer Protokolle in ffentlichen Netzen Daher ist f r die Administration entweder ein eigenes Administrati onsnetz Out of Band Management einzurichten oder es d rfen nur Protokolle benutzt werden beispielsweise ssh2 die eine gesicherte Authentisierung und verschl sselte bertragung unterst tzen Soll SNMP au erhalb eines eigenen Administrationsnetzes eingesetzt werden so darf nur SNMPv3 benutzt werden Authentisierungsserver 32 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer In gro en Netzen sollten Loadbalancer m glichst f r die Nutzung von Authentisierungsservern unter Verwendung von Einmal Passw rtern konfiguriert werden Beispiele hierf r sind RADIUS oder TACACS Weitergehende Aspekte sind in M 4 204 Sichere Administration von Loadbalancer beschrieben Management Interface und Administrationsnetz Einige Ger te bieten die M glichkeit ein eigenes logisches Interface zur Administration Management Interface zu konfigurieren Bei Lo adbalancern sollte dieses Interface einem eigenen VLAN zugeordnet werden das ausschlie lich f r administrative Zwecke verwendet wird Out of Band Management und dem ausschlie lich Management Interfaces angeh ren Au erdem sollten ACLs so konfiguriert werden dass der Zugriff auf das Management
51. ie Freischaltung einer speziellen Funktion gesondert be stellt und auf dem Loadbalancer eingespielt werden muss die Realisierung einer IT Ma nahme verz gern und so den Betrieb beeintr chtigen Unzureichende Kontrolle der IT Sicherheitsma nahmen Nach der Einf hrung von Ma nahmen die der Sicherheit der IT dienen m s sen diese auch konsequent umgesetzt werden Finden keine oder nur unzu reichende Kontrollen der Sicherheitsma nahmen statt wird weder deren Missachtung noch ihre effektive Wirksamkeit festgestellt Eine rechtzeitige und der jeweiligen Situation angemessene Reaktion wird dadurch verhindert Dar ber hinaus gibt es Sicherheitsma nahmen die nur mit der Durchf hrung entsprechender Kontrollen ihre Wirkung entfalten Hierzu z hlen beispiels weise Protokollierungsfunktionen deren Sicherheitseigenschaften erst mit der Auswertung der Protokolldaten zum Tragen kommen secunet Version 1 2 7 Baustein CB 4 90 Loadbalancer ELSTER Eh Fehlende Auswertung von Protokolldaten Die meisten Loadbalancer bieten Funktionalit ten an um die Nutzung der Operationen ihre Reihenfolge und ihre Auswirkungen zu protokollieren Im Lebenszyklus eines Loadbalancers kommen verschiedene Protokollierungskonzepte zum Einsatz W hrend der Einrichtungsphase werden ausf hrliche Protokolle genutzt um im Fehlerfall die Protokolldaten f r eine detaillierte Problemanalyse heranziehen zu k nnen und die Fehlerbehebung zu erleichtern
52. iederverwendet werden k nnen L schger te Degausser f r magnetische Datentr ger verf gen ber einen starken Gleichfeld oder Wechselfeldmagneten Beim L schen mit einem L schger t werden die Datentr ger vom Magnetfeld des Ger tes durchflutet Durchflutungsl schen Da es sich beim L schen mit L schger ten ausschlie lich um eine magnetische Einwirkung handelt k nnen L schger te auch nur bei magnetischen Datentr gern wie Magnetb ndern Disketten und Fest platten verwendet werden Durch das Magnetfeld eines L schger tes werden die aufgezeichne ten magnetischen Dom nen auf den Datentr gern zerst rt Bei Ver wendung eines geeigneten L schger tes ist nach dem L schen auf dem Datentr ger keine Information mehr vorhanden Der Vorteil beim L schen mit einem L schger t besteht darin dass mit geringem Zeitaufwand der gesamte Datentr ger sicher gel scht werden kann Allerdings ist zu beachten dass Festplatten und ver schiedene Magnetb nder nach dem L schen nicht mehr verwendet werden k nnen weil mit den aufgezeichneten Daten auch die Ser vospur mit der der Schreib Lesekopf gesteuert wird gel scht wird Das magnetische L schen ist bei Verwendung geeigneter L schger te sehr sicher dennoch m ssen Anwender bei der Bedienung Sorg falt walten lassen wenn das gew nschte L schergebnis erzielt werden soll Das gilt z B f r die richtige Positionierung der Datentr ger oder die Zeitdauer der Feldeinwirkun
53. iew und Freigabe durch PL 19 12 2007 R Lipowsky 1 1 berarbeitung Korrektur von In 18 01 2008 R Lipowsky konsistenzen 1 2 Erg nzungen der Gef hrdungen 28 03 2008 M Gebauer G 2 54 G 5 112 G 5 113 It Au ditbericht Plan42 v 14 03 2008 secunet Version 1 2 3 Einleitung ELSTER Ea 1 Einleitung Ein vorgefertigter Baustein f r Loadbalancer existiert nicht im Rahmen des GSHB des BSI ist aber oft zur vollst ndigen Modellierung vieler IT Verb nde notwendig Das GSHB erlaubt bzw fordert f r Nicht Standard Anwendungen und Systeme die Erstellung eines angepass ten oder neuen Bausteins mit den relevanten Gef hrdungen und den daraus resultierenden Sicherungsma nahmen Dieser Baustein f r Loadbalancer wurde auf Basis des Bausteines B 3 302 Router und Swit ches B 3 101 Allgemeine Server und B 3 301 Sicherheitsgateway unter Zuhilfenahme der Standardma nahmen des GSHB erstellt Dabei wurden die Original Gef hrdungen des GSHB an die Bedingungen von Loadbalancer angepasst ihre Nummerierung jedoch nicht ver ndert Um die Ver nderung zu kennzeich nen wurden ihre Bezeichner mit einem Stern versehen Angepasste Ma nahmen in denen der urspr ngliche Wortlaut der im GSHB enthaltenen Ma nahmen ver ndert wurde erhielten ebenfalls einen mit einem Stern gekennzeichneten Bezeichner Da die Inhalte der jeweiligen Ma nahmen meist generisch aufgebaut sind wur den sie wenn immer m glich sinngem bernommen und auf die Gegebenh
54. istrator Jeglicher Betrieb von Software macht es notwendig Betriebssystem und Konfiguration regelm ig zu berpr fen und zu pflegen Loadba lancer k nnen hiervon nicht ausgenommen werden um beispielswei se funktionale Erweiterungen zu erm glichen Softwarefehler zu 44 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer beheben und Performance und Sicherheit zu verbessern Dabei ist zu beachten dass in der Praxis zur Pflege des Betriebssys tems bei Loadbalancern ein kompletter Austausch der Betriebssys temsoftware erforderlich ist Das Einspielen von Updates oder Patches ist in vielen F llen nicht m glich Wie bei allen Konfigurati ons nderungen ist mit angemessener Sorgfalt vorzugehen da eine unsachgem e Durchf hrung Beeintr chtigungen der Funktion und der Sicherheit der Ger te zur Folge haben kann Insofern geh rt zur sorgf ltigen Planung einer nderung immer auch eine Fallback Strategie Einspielen neuer Software Bei der Vorbereitung von Updates sind folgende Punkte zu beachten e Es muss ein geeignetes Zeitfenster vorgesehen werden Der ben tigte Aufwand sollte nicht untersch tzt werden und vor sichtshalber eine ausreichende Down Time eingeplant wer den e Die vom Hersteller beigef gten Hinweistexte Release Notes des neuen Release sind sorgf ltig zu lesen e Bei neuen Softwareversionen sind eventuell einzelne Features nicht mehr enthalten oder funktionieren
55. iten mit Hilfe des Dienstes HTTP ber ein Browser Interface durchzuf hren Auf dem Loadbalancer ist in diesem Fall ein HTTP Server gestartet der Zugriff erfolgt von beliebigen Clients ber Web Browser Die Standardeinstellungen f r den Zugriff auf das Web Interface sind nicht bei allen Herstellern einheitlich Idealerweise sollte der Zugriff in der Grundeinstellung deaktiviert sein es ist aber auch m glich dass dieser Dienst ungesch tzt ohne Eingabe von Benutzerinformationen verwendet werden kann Dies ist bei der Inbetriebnahme der Ger te zu pr fen gegebenenfalls muss die Konfiguration entsprechend ge ndert werden Wie bei der Nutzung des Dienstes TELNET wird auch beim HTTP der 48 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer Benutzername und das Passwort im Klartext bertragen Zudem ist eine Reihe von Exploits bekannt die Schwachstellen der HTTP Server der unterschiedlichen Hersteller ausnutzen Daher wird von der Nutzung des HTTP Dienstes f r Administrationszwecke dringend abgeraten Der HTTP Server sollte nach M glichkeit bei der Erstkon figuration des Systems deaktiviert werden sofern der Zugriff nicht ber ein gesondertes Management Netz erfolgt Manche Ger te bieten zus tzlich zum Zugriff ber HTTP auch die M glichkeit ber HTTPS auf das Web Interface zuzugreifen Sofern diese M glichkeit besteht sollte HTTPS in jedem Fall der Vorzug vor HTTP gegeben werden Bei der Nu
56. iterhin vorhanden Es gibt Methoden und Programme mit denen die gel scht geglaubten Infor mationen wiederhergestellt werden k nnen Von dieser Methode ist daher abzuraten wenn sichergestellt sein muss dass die Daten nicht rekonstruiert werden k nnen e Uberschreiben einzelner Dateien 58 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer Neben den im Umfang der gebr uchlichen Betriebssysteme vorhan denen L schkommandos gibt es auch zus tzliche Werkzeuge um einzelne Dateien zu berschreiben Mit diesen so genannten Wipe Tools lassen sich einzelne Dateien durch vollst ndiges berschreiben mit geeigneten Datenmustern vollst ndig l schen Dabei ist allerdings darauf zu achten dass Informationen aus Dateien h ufig teilweise oder sogar vollst ndig rekonstruierbar sind obwohl die Dateien mit Wipe Tools gel scht wurden Haupts chlich liegt das daran dass Kopien dieser Daten w hrend der Verarbeitung tempor r auf Datentr gern abgelegt werden Restinformationen k nnen beispielsweise aus folgenden Quellen ge wonnen werden vom Betriebssystem bzw Anwendungsprogramm erstellte und wieder gel schte Zwischendateien Cache Dateien oder tempor re Dateien automatisch von einem Programm angelegte Sicherungskopien wie diese beispielsweise von Office Programmen h ufig angelegt werden Auslagerungsdateien Daten Fragmente die unter Windows Betriebssystemen in der Registry oder in Index Da
57. le von Komponenten Als Basis f r ein Audit dient die erstellte Sicherheitsrichtlinie f r Loadbalancer Wichtiger Bestandteil einer solchen Untersuchung ist die Aktualit t der Systemdokumentation Stand der Datensicherung Passwortwechsel etc Unter Zuhilfenahme der Checkliste aus M 4 203 Konfigurations Checkliste f r Loadbalancer kann ein Gro teil der sicherheitsrelevanten Einstellungen abgefragt werden Es existiert eine Reihe frei verf gbarer Sicherheits Tools z B 42 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer Nessus welche die Sicherheitseinstellungen auf Loadbalancern pr fen k nnen Solche Tools k nnen auf einem Rechner im Netz installiert sein Es sollte nach M glichkeit die aktuellste Version verwendet werden Als Betriebssystem ist oft Unix bzw Linux notwendig Von diesem System aus kann der Administrator die Loadbalancer scannen um somit eine Vielzahl von Einstellungen dieser Ger te zu pr fen Kommerzielle Tools bieten teilweise recht komfortable Auswertungen und M glichkeiten zur Historienverfolgung der durchgef hrten Scans Eine Vielzahl von Sicherheitsunternehmen bieten regelm ige berpr fungen von IT Systemen an im Rahmen derer auch die Loadbalancer getestet werden sollten Durch turnusm ige Berichte und Auswertungen erh lt der Betreiber einen berblick ber den Zustand der Komponenten Wann wird getestet e _ Der Administrator pr ft laufend und m
58. letzten Anderungen beim Wiederanlauf des Ersatzsystems nicht zu Verf gung Technisches Versagen Software Schwachstellen oder Fehler Wie f r jede Software gilt auch f r Loadbalancersoftware je komplexer sie ist desto h ufiger treten Programmierfehler auf Es ist zu beobachten dass hohe Erwartungen der Anwender und zeitlich zu knapp bemessene Erscheinungs termine auch dazu f hren k nnen dass die Hersteller ihre Produkte nicht fehlerfrei anbieten Werden diese Softwarefehler nicht erkannt k nnen die bei der Anwendung entstehenden Fehler zu weitreichenden Folgen f hren Beispiel Das bertragen einer gro en Konfigurationsdatei per Kopieren und Einf gen innerhalb einer Telnet Sitzung ber einen Managementport f hrte bei einem secunet Version 1 2 13 Baustein CB 4 90 Loadbalancer ELSTER Ela Loadbalancer zu einem Systemabsturz Die betroffene Firmwareversion musste von Hersteller modifiziert werden Unsichere Default Einstellung auf Loadbalancer Aktive Netzkomponenten werden von Herstellern oft mit unsicheren Default Konfigurationen ausgeliefert die den sicheren Einsatz gefahrden Bei einigen Geraten zeigen auBerdem die Systembefehle zur Anzeige einer Konfiguration nicht alle Parameter an Folgende Aspekte sind haufig problematisch Betriebssystem Aktive Netzkomponenten werden oft mit einem veralteten Versionsstand des Betriebssystems ausgeliefert Hostname WerkmaBig eingestellt
59. lle notwendigen Aspekte ber ck sichtigt werden F r jede im zweiten Schritt verworfene oder abge schw chte Vorgabe sollte der Grund f r die Nicht Ber cksichtigung dokumentiert werden M 2 314 Z Verwendung von hochverf gbaren Architekturen Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung IT Sicherheitsmanagement Administ rator Die Verf gbarkeit von Anwendungen und Diensten h ngt von der Funktion des Loadbalancers ab Je mehr Anwendungen aber ber einem Loadbalancer laufen desto ausfallsicherer muss dieser sein Ein Loadbalancer enth lt in der Regel verschiedene potentielle Feh lerquellen Single Points of Failure also Komponenten deren Aus fall den Ausfall des Gesamtsystems ausl sen kann CPU Festplatten Stromversorgung L fter Backplane etc Die Wiederherstellung des Gesamtsystems kann in diesem Fall erhebliche Zeit in Anspruch nehmen Neben der Vorhaltung von Ersatzteilen k nnen zus tzlich folgende M glichkeiten zur Steigerung der Verf gbarkeit eingesetzt werden Cold Standby Beim Cold Standby wird neben dem eigentlichen Produktivsystem ein zweites baugleiches Ersatzsystem bereitgehalten das aber nicht aktiv ist Wenn das erste System ausf llt kann das Ersatzssystem manuell hochgefahren und ins Netz integriert werden Nach der Vorhaltung von einzelnen Ersatzteilen ist dies die einfachste Redundanz L sung Hot Standby Bei einem Hot Standby steh
60. lung der Informationen die von den f r den Be trieb der Netzkomponenten verantwortlichen Stellen immer ausgewertet werden siehe auch Abschnitt Protokollierung o Wie kann eine fr hzeitige St rungserkennung sicher gestellt werden e Was sind Gr nde f r m gliche St rungen o Hardware Defekte o Zu geringe Dimensionierung Ausfall bei Steigerung der Last 66 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer e Welche VorsorgemaBnahmen k nnen getroffen werden o Ersatzger te o Ersatzteile o Implementierung von Failover L sungen die im lau fenden Betrieb ein o Umschalten auf ein Alternativger t erm glichen o Wartungsvertr ge o Ausbildung der Mitarbeiter e Welche Service Level Agreements bestehen oder sollten ge troffen werden o Hardware Lieferanten beispielsweise Vor Ort Austausch mit Zeitgarantie f r bestimmte Komponen ten o Interne Service Level Anforderungen e Wie ist eine Diagnose durchzuf hren o Statusabfragen o Anzeige der Konfiguration o Prozesse o Routing o Angemeldete Nutzer o Protokollierung e Welche Entst rprozeduren m ssen durchgef hrt werden o Vorgehen bei Ausfall des Komplettsystems Wieder herstellen von o Betriebssystem und Konfiguration o Vorgehen bei Ausfall von Teilkomponenten bspw Speicher e Wer ist im Schadensfall zu benachrichtigen o Server und Anwendungsadministration o Hardware Lieferant Ansprechpartner f r den Wa
61. m Klartext in den Konfigurationsdateien gespeichert Insbesondere falls dies der Fall ist m ssen Konfigurationsdateien vor unbefugtem Zugriff besonders gesch tzt werden Wo immer es m glich ist eine ver schl sselte Speicherung von Passw rtern zu konfigurieren sollte von dieser M glichkeit Gebrauch gemacht werden Weitergehende Aspek te sind in M 1 43 Gesicherte Aufstellung aktiver Netzkomponenten M 4 204 Sichere Administration von Loadbalancern und M 6 91 Daten sicherung und Recovery bei Loadbalancern beschrieben Login Banner Beim Login wird auf den Ger ten meist eine relativ ausf hrliche Log in Nachricht angezeigt In dieser Login Nachricht sind oft Informatio nen beispielsweise Modell oder Versionsnummer Software Release Stand oder Patchlevel enthalten die einem potentiellen An greifer von Nutzen sein k nnen Sofern das Ger t es zul sst sollte die Standard Loginnachricht durch eine angepasste Version ersetzt werden die diese Informationen nicht mehr enth lt Die Modell und Versionsnummer des Ger ts und die Version des Betriebssystems darf unter keinen Umst nden vom Login Banner verraten werden Stattdessen sollten folgende Informa tionen bei einer Anmeldung am Ger t angezeigt werden Jeglicher Zugriff darf nur durch autorisiertes Personal erfolgen Alle Arbeiten sind entsprechend der Sicherheitsrichtlinie durchzuf hren Das Ger t ist in zentrale Kontrollmechanismen wie beispiels weise in ein Netz
62. managementsystem NMS zur Protokollie secunet Version 1 2 31 Baustein CB 4 90 Loadbalancer ELSTER Ela rung und Erkennung von Verst en gegen die Sicherheits richtlinie eingebunden Verst e gegen die Sicherheitsrichtlinie werden disziplinarisch strafrechtlich verfolgt Protokollierung SicherheitsmaBnahmen in Bezug auf die Protokollierung auf Netz komponenten und der Einbindung von Zeitinformationen mit Hilfe von NTP sind in M 4 205 Protokollierung bei Loadbalancern beschrieben Schnittstellen Auf Loadbalancern sollten alle nicht genutzten Ports entweder deakti viert oder einem eigens daf r eingerichteten Unassigned VLAN zu geordnet werden Backup der Konfiguration Die Konfigurationsdateien der Grundkonfiguration bilden die Basis f r die weitere Konfiguration Es wird empfohlen sowohl von den mit dem Ger t ausgelieferten Default Konfigurationsdateien als auch von den Dateien die das Ergebnis der Grundkonfiguration darstellen Si cherungskopien zu erstellen Sichere Netz Grundkonfiguration von Loadbalancer Verantwortlich f r Initiierung IT Sicherheitsmanagement Leiter IT Verantwortlich f r Umsetzung Administrator Remote Zugriff F r die Administration aktiver Netzkomponenten ber das Netz wird oft noch Telnet als Standardm glichkeit angeboten Oft gibt es auch eine Administrationsm glichkeit ber SNMP oder den Zugriff ber eine HTTP Schnittstelle Alle diese Protokolle haben den Nac
63. n Hierzu geh ren Ausf lle oder Beein tr chtigungen von Hardware und Software beispielsweise auf Grund von Defekten oder Kompromittierungen Um in derartigen Situationen effektiv und schnell reagieren zu k n nen m ssen Diagnose und Fehlerbehebung bereits im Vorfeld ge plant und vorbereitet werden F r typische Ausfallszenarien und als Ergebnis von bereits aufgetretenen St rungen sollten Handlungsan weisungen erstellt werden Kochbuchartige Dokumentationen aller notwendigen Kommandos ihrer Anwendung mit den zu erwartenden Ausgaben sind in Situationen die schnelles Handeln erfordern be sonders hilfreich Hierzu geh ren neben Diagnose und Fehlerbehand lung auch die im normalen Betrieb notwendigen Administrationst tigkeiten Letztere k nnen typischerweise bereits in der vom Hersteller gelieferten Dokumentation enthalten sein F r die t gliche Praxis ist es allerdings sinnvoll eine Gesamtdokumentation in Form eines Betriebshandbuchs zu erstellen Zu den Voraussetzungen f r den Erfolg der Diagnosearbeiten geh rt auch eine geeignete Protokollierung w hrend des Betriebs siehe auch M 4 205 Protokollierung bei Loadbalancern Weiterhin sollten f r die Fehlerbehandlung geeignete Werkzeuge genutzt werden Da zu existieren sowohl frei verf gbare als auch kommerzielle Program me oft auch vom Hersteller der Ger te Die Verwendung geeigneter Werkzeuge ist umso wichtiger da mit den Systemkommandos nicht immer alle Konfigurationsein
64. n Absender IP Adresse nicht im internen Netz liegt Zumindest bei Paketen die auf Grund der zweiten Regel blockiert werden sind eine entsprechende Protokollierung und gegebenenfalls eine Alarmierung der zust ndigen Administratoren empfehlenswert secunet Version 1 2 33 Baustein CB 4 90 Loadbalancer ELSTER Ela Die Tatsache dass eine Station innerhalb des eigenen Netzes offen sichtlich gefalschte Pakete verschickt ist namlich ein klares Indiz da f r dass entweder eine falsche Konfiguration oder gar ein Sicherheitsproblem vorliegt Routing Protokolle Es sollten nur Routing Protokolle verwendet werden die eine ver schl sselte Authentisierung unterst tzen In demilitarisierten Zonen d rfen keine dynamischen Routing Protokolle eingesetzt werden stattdessen m ssen statische Routen eingetragen werden Die Ver wendung von Routing Protokollen sollte zus tzlich durch die Einrich tung von ACLs abgesichert sein Mehr Informationen finden sich in M 5 112 Sicherheitsaspekte von Routing Protokollen Access Control Lists Die Verwendung von Access Control Lists ACLs zur Einschr nkung des Zugriffes auf Loadbalancer und zur netz bergreifenden Pakeffilte rung ist in M 5 112 Sicherheitsaspekte von Routing Protokollen be schrieben Ein weiterer Grund f r die Verwendung von Access Control Lists ist die Tatsache dass ber den Loadbalancer eine Kommunikation aller angeschlossenen Server untereinander m glich w re Im
65. n Informationen aus dem internen Netz die Vertraulichkeit der im internen Netz vorhande nen Informationen gef hrdet werden Daher sollte berlegt werden die bertragung ber ein eigenes Netz Administrationsnetz abzuwi ckeln NTP Alle Protokollierungsinformationen sollten mit einem korrekten Zeit stempel versehen sein Nur so ist eine effektive Auswertung dieser Daten insbesondere bei der Analyse von versuchten oder erfolgten 54 Version 1 2 secunet Baustein CB 4 90 Loadbalancer Angriffen sichergestellt Aus diesem Grunde sollten im internen Netz entsprechende Server eingerichtet werden die allen Systemen die korrekte Zeit bereitstellen Dies kann beispielsweise auf Basis des NTP Dienstes geschehen Dazu sollte in Erw gung gezogen werden im internen Netz einen eigenen Zeit Server einzurichten der bei spielsweise auf einem eigenen Rechner angesiedelt ist der mit einer Funkuhr verbunden ist Alternativ kann ein geeigneter Rechner als NTP Proxy dienen und die Zeitinformation seinerseits per NTP von einem Zeit Server im Internet beispielsweise von der Physikalisch Technischen Bundesanstalt PTB bezieht Im Zweifelsfall sollte die erste L sung interner Zeitserver mit Funkuhr bevorzugt werden insbesondere in Netzen mit hohem Schutzbedarf Keinesfalls sollten alle Ger te individuell per NTP direkt Anfragen an Zeitserver im Inter net stellen Adressumsetzung NAT Network Address Translation
66. n der Sitzungstabelle vermerkt und Grundlage f r die Zuordnung des Antwortpaketes des Servers welches er an den Loadbalancer zur cksendet Dieser tauscht in der Antwort an den Client die reale IP Adresse des Servers wieder gegen die Virtuelle IP Adresse aus Da ein Loadbalancer bei der Lastverteilung von Anwendungen immer auch ein NAT durchf hrt k nnen die realen Server auch mit RFC 1918 Adressen im Internet Dienste zur Verf gung stellen solange die Virtuelle IP eine registrierte Adresse ist Dabei kann auf die Server selbst vom Internet aus nicht zugegriffen werden 2 3 5 Aussonderung M 2 167 B Sicheres L schen von Datentr gern Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung Fachverantwortliche Administrator Benutzer e H ufige Fehleinsch tzungen Nahezu jeder wird schon erlebt haben wie schnell ein Datenverlust eintreten kann beispielsweise durch falsche Lagerung eines Daten tr gers Schon bei einer Festplatte die nur feucht geworden ist oder einer CD ROM die nur zu warm wurde weil sie zu lange am Fenster lag ist h ufig kein Datenzugriff mehr m glich Daher sind viele Anwender der Meinung dass Informationen auf Datentr gern die durch Feuer Hitze Einwirkung oder Wasserschaden besch digt wurden restlos vernichtet sind Diese Informationen lassen sich aller dings stark abh ngig vom Grad der Besch digung teilweise von
67. n sehr neues Release insbesondere mit v llig neuen Funktionen noch Unzul nglichkeiten oder neue Fehler enthalten Im Zweifelsfall ist es meist besser eine ltere Version einzusetzen falls diese den funktionalen Anforderungen noch gen gt Allerdings m ssen f r diese unbedingt die aktuellen Sicherheitspatches einge spielt werden siehe auch M 2 273 Zeitnahes Einspielen sicherheits relevanter Patches und Updates Versionen f r die vom Hersteller keine Sicherheitspatches mehr zur Verf gung gestellt werden sollten nicht mehr eingesetzt werden Offline Grundkonfiguration Bevor ein Loadbalancer an das Produktions Netz angeschlossen wird muss eine sichere Grundkonfiguration hergestellt werden H u fig werden Ger te vom Hersteller mit einer Default Konfiguration aus secunet Version 1 2 29 Baustein CB 4 90 Loadbalancer ELSTER Ela geliefert die vor allem auf eine schnelle Inbetriebnahme mit m glichst umfassender Funktionalit t ausgerichtet ist und in der so gut wie kei ne Sicherheitsmechanismen aktiv sind Daher m ssen die berpr fung der Default Einstellungen und die Grundkonfiguration offline oder nur in einem eigens daf r eingerichteten und besonders gesicherten Testnetz erfolgen Oft ist es m glich die Konfiguration mit entsprechenden Programmen auf einem Management Rechner zu erstellen und beispielsweise mit einer Speicherkarte auf das neue Ger t zu bertragen Ist nur eine be
68. nicht korrekt Manch mal ndern sich auch Defaulteinstellungen e Neue Versionen einer Firmware oder eines Betriebssystems m ssen vor der Inbetriebnahme sorgf ltig getestet werden um die volle Funktionalit t sicher zu stellen Neue Firmware oder Betriebssysteme sind unter Umst nden weniger performant beispielsweise wegen zus tzlicher Features oder h he rem Speicherbedarf Dies kann zu Problemen f hren wenn ein Load balancer bereits vor dem Upgrade an der Auslastungsgrenze betrieben wurde Bei der Durchf hrung von Updates sollten folgende Schritte durchge f hrt werden e Beschaffung des Updates aus vertrauensw rdiger Quelle Normalerweise sollten Updates nur vom Hersteller bezogen werden Falls der Hersteller f r die Updates Pr fsummen zur Verf gung stellt oder die Update Pakete digital signiert so sollten die Pr fsummen oder Signaturen berpr ft werden siehe auch M 2 273 Zeitnahes Einspielen sicherheitsrelevan ter Patches und Updates und M 4 177 Sicherstellung der In tegrit t und Authentizit t von Softwarepaketen e berpr fung der Integrit t und Funktion des Updates secunet Version 1 2 45 Baustein CB 4 90 Loadbalancer ELSTER Ela Trennung des Gerates vom produktiven Netz oder Deaktivie rung aller Schnittstellen Nach M glichkeit Sicherung der bestehenden Konfiguration und des Betriebssystems Einspielen des Updates Test Re Aktivierung des Ger tes im Netz nderun
69. omponenten Grundlagen von IP und der damit zusammenh ngenden Pro tokolle IP Adressierung Subnetting IP ICMP TCP UDP berblick ber Hersteller und Produkte Switching Funktionsweise eines Switches Transparent Bridging Funktion IEEE 802 1d Spanning Tree Algorithmus IEEE 802 1d VLAN VLAN Typen Tagging IEEE 802 1q secunet Version 1 2 27 Baustein CB 4 90 Loadbalancer ELSTER Ela Routing e Funktionsweise eines Routers e Statisches und dynamisches Routing e Dynamische Routing Protokolle RIPv1 RIPv2 OSPFv2 BGPv4 Loadbalancing Lastverteilun Funktionsweise des Basis Serverloadbalancings Health Checks fur Anwendungsresourcen Server Kriterien f r das Loadbalancing Round Robin Antwortzeiten Bandbreite Verbindungsanzahl etc Steuerungsm glichkeiten Gewichtung max Verbindungsan zahl der Server Backup berlaufserver Inhalte basierendes Loadbalancing Umleiten von Diensteanforderungen Filtern und NAT Einrichtung e Einrichtung und Konfiguration von Loadbalancer Betrieb Management der Ger te Werkzeuge Integration in Netzmanagementsysteme NMS Protokollierung syslog Sicherung und Verwaltung von Konfigurationsdateien Fehlerbehebung Fehlerquellen und Ursachen Mess und Analysewerkzeuge Teststrategien zur Fehlersuche Anforderungen an sichere Netzinstallationen IT Sicherheit e Grundlagen der IT Sicherheit sowie f r Loadbalancer relevan te IT Sicherheitsaspekte e A
70. on aktiven Netzkomponenten bietet die M glichkeit der Remote Administration mit Hilfe des Dienstes Telnet Die Nutzung von Telnet birgt allerdings die Gefahr des Aussp hens von Authenti sierungsdaten da s mtliche Daten im Klartext bertragen werden und somit der Datenverkehr inklusive des Benutzernamens und Passwor tes mitgelesen werden kann siehe auch G 2 87 Verwendung unsi cherer Protokolle in ffentlichen Netzen Oft wird zur Remote Administration auch SNMP verwendet Die Varianten SNMPv1 und SNMPv2 bieten ebenfalls keine ausreichenden M glichkeiten zur Ab sicherung der Kommunikation Erst SNMPv3 bietet Sicherheitsme chanismen die einen Einsatz auch au erhalb abgeschotteter Administrationsnetze erlauben Bei Remote Zugriff auf Loadbalancer muss in jedem Fall eine Absi cherung der Kommunikation erfolgen Dies kann beispielsweise durch die Nutzung des Dienstes SSH anstatt Telnet siehe M 5 64 Secure Shell oder durch die Schaffung eigener LAN Segmente die aus schlie lich f r Administrationszwecke genutzt werden erreicht wer den siehe Abschnitt Administrationsnetz Eine ungesicherte Remote Administration ber externe unsichere Netze hinweg darf in keinem Fall erfolgen Dies muss bereits bei der Festlegung der Sicherheitsrichtlinie ber cksichtigt werden Auch im internen Netz sollten soweit m glich keine unsicheren Protokolle ver wendet werden Webserver Viele Ger te bieten die M glichkeit Administrationsarbe
71. r ber einen L schbefehl gel scht werden nicht wirklich in dem Sinn gel scht dass die Information an secunet Version 1 2 9 Baustein CB 4 90 Loadbalancer ELSTER Ela schlieBend nicht mehr vorhanden ist Normalerweise werden lediglich die Verweise auf die Datei aus den Verwaltungsinformationen des Da teisystems etwa aus der Dateizuordnungstabelle File Allocation Table beim FAT Dateisystem gel scht und die zu der Datei geh renden Bl cke als frei markiert Der tats chliche Inhalt der Bl cke auf dem Datentr ger bleibt jedoch erhalten und kann mit entspre chenden Werkzeugen rekonstruiert werden Wenn Datentr ger an Dritte weitergegeben werden beispielsweise wenn ein Loadbalancer ausinventarisiert wurde und verkauft wird wenn ein defektes Ger t zur Reparatur gegeben oder im Rahmen der Garantie ausgetauscht wird oder wenn ein Datentr ger im Rahmen des Datentr geraustauschs an einen Gesch ftspartner weitergegeben wird k nnen auf diese Weise sensitive Informationen nach drau en gelan gen G 2 98 Fehlerhafte Planung und Konzeption des Einsatzes von Loadbalancern Bei der Planung des Einsatzes aktiver Netzkomponenten stehen meistens die Aspekte Funktionalit t und Leistungsf higkeit im Vordergrund Wenn der Be trieb von Loadbalancer als ein zentrales Element im Netz nicht in das unter nehmensweite Sicherheitskonzept eingebunden wird kann der sichere Einsatz dieser Komponente nicht siche
72. r tungsvertrag e Welche Dokumente m ssen im Schadensfall verf gbar sein o Konfiguration secunet Version 1 2 67 Baustein CB 4 90 Loadbalancer ELSTER Ela o ACLs Regelwerk o Eingerichtete Nutzer und Berechtigungen o Passw rter Die Dokumentation sollte keinesfalls ausschlie lich elektronisch vor liegen Handlungsanweisungen sollten mindestens auch in Papier form existieren Gegebenenfalls k nnen Konfigurationsdateien auch auf CD ROMs oder anderen Datentr gern gesondert hinterlegt wer den e Wie verl uft der Wiederanlauf o Abh ngigkeiten zu anderen Netzkomponenten bzw Bereichen des IT Verbunds o Neuinstallation des Betriebssystems und Konfiguration o Zur ckspielen einer gesicherten Konfiguration o M glichkeiten eines eingeschr nkten Betriebs Die f r die Notfallvorsorge notwendigen Vorgehensbeschreibungen sind m glichst sorgf ltig zu erstellen und regelm ig zu erproben Eventuell m ssen variierende Vorgehensweisen bei unterschiedlichen Ger tetypen und Betriebssystemen ber cksichtigt werden Die wahrscheinlich wichtigste Ma nahme zur Steigerung der Verf g barkeit ist die Vorhaltung von Ersatzteilen um bei Hardware Defekten die Ausfallzeiten zu minimieren Alternativ oder auch als Erg nzung hierzu k nnen Wartungsvertr ge mit dem Hersteller abgeschlossen werden die durch garantierte Reaktions oder sogar Reparaturzeiten die Verf gbarkeit sicherstellen Hierdurch lassen sich Ko
73. r t als das er sich mittels MAC Spoofing ausgibt Eine Gef hrdung durch MAC Spoofing besteht auch bei drahtlosen Netzen WLAN bei denen am Access Point eine entsprechende Zugangskontrolle konfiguriert wurde Missbrauch von Spanning Tree Das Spanning Tree Protokoll ist in IEEE 802 1d spezifiziert Spanning Tree wird verwendet um Schleifenbildungen innerhalb eines Netzes mit mehreren Switches zu vermeiden Bei diesem Verfahren werden redundante Netzstrukturen ermittelt und in eine zyklenfreie Struktur abgebildet Diese Ma nahme reduziert die aktiven Verbindungswege einer beliebig vermaschten Netzstruktur auf eine Baumstruktur 16 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer Da Spanning Tree keine Authentisierung beim Austausch von Bridge Protocol Data Units BPDUs bietet kann dies in geswitchten Netzen durch Angreifer ausgenutzt werden Wenn ein Angreifer von einer am Switch ange schlossenen Station in der Lage ist BPDUs auszusenden wird mit Hilfe des Spanning Tree Algorithmus die Topologie neu berechnet Die Konvergenz zur Berechnung der Topologie nderung kann beim Spanning Tree 30 Sekunden betragen Da f r Loadbalancer in einer Hochverf gbarkeitsarchitektur Spanning Tree mit Ausnahme der Hot Standby Konfiguration praktisch immer zum Einsatz kommt kann durch die Aussendung von BPDUs die Verf gbarkeit des Netzes empfindlich gest rt werden berwindung der Grenzen zwischen VLANs Virtual
74. r Angreifer normalerweise keinen Zugriff hat Da Loadbalancer in der Regel nur ber eine begrenzte Anzahl von physi schen Ports verf gen ist das Trunking Protokoll IEEE 802 1q sehr h ufig implementiert wodurch die Ger te f r diese Angriffe anf llig werden G 9 10 Manipulation der Health Ceck Verfahren Der Health Check Verf gbarkeitstest ist ein grundlegender Bestandteil der Loadbalancer Software ber den sichergestellt werden soll dass die Res secunet Version 1 2 17 Baustein CB 4 90 Loadbalancer ELSTER Ela sourcen f r die Lastverteilten Anwendungen auch tats chlich noch verf gbar sind Diese Verf gbarkeitstests reichen von einem Test der Links der ange schlossenen Ger te IDS Systeme ber simple Tests der Erreichbarkeit der Plattform ICMP Echo TCP Connect und anwendungsspezifische Tests z B http get zum Abfragen einer Webserver Startseite bis zur Ausf hrung komplexer Scripte die die gleichzeitige Erf llung mehrerer Kriterien erfordern damit eine Ressource f r die Lastverteilung als verf gbar gekennzeichnet wird Gelingt es einem potentiellen Angreifer ein solches Script derart zu manipu lieren dass eine Verf gbarkeit berpr fung auch nur f r ein Kriterium fehl schl gt werden die betroffenen Ressourcen als nicht mehr verf gbar gekennzeichnet und f r die Lastverteilung der entsprechende Anwendung nicht mehr ber cksichtigt Dies kann eine deutliche Leisungs und oder Ver
75. r Erstinstallation berpr fung der Default Einstellungen hinsichtlich Sicher heitsgef hrdungen Regelungen zur physikalischen Zugriffskontrolle Verwendung und Konfiguration von Konsole und sonstigen Zugriffsarten Regelungen zur Benutzer und Rollenverwaltung Berechti gungsstrukturen Ablauf und Methoden der Authentisierung und Autorisierung Berechtigung zu Installation Update Kon figurations nderungen etc Nach M glichkeit sollte ein Rol lenkonzept f r die Administration erarbeitet werden Regelungen zur Einrichtung und Nutzung von VLANs bei spielsweise keine VLANs mit unterschiedlichem Schutzbedarf auf einem Switch Regelungen zu Erstellung und Pflege von Dokumentation Form der Dokumentation Verfahrensanweisungen Betriebs secunet Version 1 2 21 Baustein CB 4 90 Loadbalancer ELSTER Ela handb cher e Falls allgemeine Vorgaben existieren Zugelassene und nicht zugelassene Dienste Protokolle und Netze Vorgaben f r den sicheren Betrieb e Absicherung der Administration beispielsweise Zugriff nur ber abgesicherte Verbindungen e Einsatz von Verschl sselung Standards Schl sselst rken Einsatzbereiche e Vorgaben zu Passwortnutzung Passwortregeln durch Pass w rter zu sch tzende Bereiche Regeln und Situationen f r Passwort nderungen gegebenenfalls Hinterlegung von Passw rtern e Werkzeuge f r Betrieb und Wartung Integration in ein beste hendes Netzmanagement e Berechtig
76. r die zentrale Verwaltung von Konfigurationsdateien werden oft TFTP Server verwendet TFTP Server sollten jedoch nur in einem abgesicherten Administrationsnetz betrieben werden weil der Dienst TFTP eine Reihe von Schwachstellen beinhaltet siehe auch G 2 87 Verwendung unsicherer Protokolle in ffentlichen Netzen Eine Alternative dazu ist die Ubertragung per SCP siehe auch M 5 64 Secure Shell M 2 282 A RegelmaBige Kontrolle von Loadbalancer Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung Administrator Zur Sicherstellung des ordnungsgem en Betriebs der aktiven Netzkomponenten und der Korrektheit aller Konfigurationsparameter ist ein regelm iger m glichst automatisierter Kontrollprozess zu etablieren Hierzu geh ren beispielsweiseregelm ige Funktionstests Veranlassen von nderungen und Pr fung der Umsetzung sowie die berpr fung der Logfiles und Alarme Um die im laufenden Betrieb entstehende gro e Menge an relevanten Daten effektiv verarbeiten zu k nnen ist meist der Einsatz geeigneter Werkzeuge f r eine m glichst weit automatisierte Kontrolle erforderlich Dies kann beispielsweise durch die Einbindung in ein Netzmanagementsystem NMS geschehen secunet Version 1 2 41 Baustein CB 4 90 Loadbalancer ELSTER Ell Checkliste f r die Kontrolle F r die Kontrolle kann die Checkliste in M 4 203 Konfigurations Checkliste f r Rou
77. rgestellt werden Die Fehler bei der Planung des Einsatzes von Loadbalancern fallen meist in eine der folgenden Kategorien Unzureichende Ber cksichtigung des Einsatzzwecks der Ger te e Oft wird der Einsatzzweck der Komponenten bei der Planung nicht ausreichend ber cksichtigt Als Beispiel soll hier der Einsatz von VLANs genannt werden Diese bieten keine Sicherheit bei der Tren nung von Netzen die eine Vielzahl von Angriffspunkten bieten so dass insbesondere f r die Trennung von schutzbed rftigen Netzen immer zus tzliche Ma nahmen umzusetzen sind e Auch bei der Planung des Einsatzes von Routing Protokollen k nnen Fehler gemacht werden Wenn Loadbalancer im Bereich von demilita risierten Zonen DMZs eingesetzt werden kann die Verwendung von dynamischen Routing Protokollen die Verf gbarkeit Vertraulichkeit und die Integrit t des zu sch tzenden Netzes gef hrden Unzureichende Ber cksichtigung von Sicherheitsmechanismen e Es k nnen beispielsweise zus tzliche Ma nahmen erforderlich wer den falls ein Ger t bestimmte Sicherheitsmechanismen nicht unter st tzt Wenn dies nicht bereits in der Planungsphase ber cksichtigt wird kann es sp ter zu Problemen f hren wenn die Notwendigkeit 10 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer erkannt wird e Als Beispiel soll die Einrichtung eines gesonderten Administrations netzes Out of Band Management dienen Falls die gew hlt
78. rt weitergeleitet an dem der betreffende Rechner angeschlossen ist Doch nicht nur der Switch pflegt eine Tabelle mit MAC Adressen sondern auch die beteiligten Rechner Mit ARP Anfragen k nnen diese ARP Tabellen am beteiligten Rechner gef llt werden Ziel des ARP Spoofings ist es die ARP Tabellen zu manipulieren ARP Cache Poisoning Dazu schickt ein Angreifer eine ARP Antwort an das Opfer in der er seine eigene MAC Adresse als die des Routers ausgibt der f r das betreffende Subnetz als Standard Gateway fungiert Sendet das Opfer anschlie end ein Paket zum eingetragenen Standard Gateway landet dieses Paket in Wirklichkeit beim Angreifer Auf dieselbe Weise wird der ARP Cache des Routers so manipu liert dass Ethernet Frames die eigentlich an das Opfer adressiert wurden in secunet Version 1 2 15 Baustein CB 4 90 Loadbalancer ELSTER Ela Wirklichkeit beim Angreifer landen Auf einschlagigen Internet Seiten sind eine Reihe von Tools verf gbar die diese Angriffsmethode erm glichen MAC Flooding ist eine Angriffsmethode die die Funktionsweise eines Swit ches beeinflusst Switches erlernen angeschlossene MAC Adressen dyna misch Die MAC Adressen werden in der Switching Tabelle gespeichert Der Switch wei dadurch an welchen Ports die entsprechenden MAC Adressen angeschlossen sind Wenn nun eine angeschlossene Station mit Hilfe eines geeigneten Tools eine Vielzahl von Paketen mit unterschiedlichen Quell MAC Adressen s
79. rtragung ber das Netz m glich so darf dies nur im Testnetz oder im Administrationsnetz geschehen Bei der Konfiguration muss beachtet werden dass unter Umst nden nicht jedes Administrations oder Konfigurationswerkzeug Konsole Webschnittstelle externes Konfigurationsprogramm alle relevanten Informationen anzeigt So kann es beispielsweise vorkommen dass die Systembefehle zur Anzeige einer Konfiguration auf Loadbalancern nicht alle Parameter anzeigen Daher ist es wichtig anhand der vor handenen Dokumentation nachzuvollziehen dass auch alle relevan ten Einstellungen vorgenommen wurden Es bietet sich an die Grundkonfiguration in zwei Schritte zu untertei len e Lokale Konfiguration berpr fung und Anpassung der Konfi gurationsparameter die sich auf das Ger t selbst beziehen beispielsweise Benutzerkonten oder rollen Passw rter Pro tokolldateien Einstellungen f r Konsolenzugang und serielle Schnittstelle etc Die entsprechenden Schritte sind im An schluss beschrieben Netzkonfiguration berpr fung und Anpassung der Konfigura tionsparameter die sich auf die Funktion des Ger tes im Netz beziehen beispielsweise Dienste und Protokolle Einrichtung von Access Control Listen ACLs VLANs etc Die entspre chenden Schritte sind in M 4 202 Sichere Netz Grundkonfiguration von Loadbalancern beschrieben Benutzerkonten und Passworte Die M glichkeiten f r die Einrichtung von Benutzern und Rollen und das Zu
80. s bis zum Erfolg fortsetzen Fehlende oder unzureichende Dokumentation Verschiedene Formen der Dokumentation k nnen betrachtet werden die Produktbeschreibung die Administrator und Benutzerdokumentation zur Anwendung des Produktes und die Systemdokumentation Eine fehlende oder unzureichende Dokumentation der eingesetzten Loadba lancer kann sowohl im Auswahl und Entscheidungsprozess f r ein Produkt als auch bei einem Schadensfall im Wirkbetrieb erhebliche Auswirkungen haben Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer Bei einer unzureichenden Dokumentation kann sich im Schadensfall bei spielsweise durch den Ausfall von Hardware bzw deren Fehlfunktion die Fehlerdiagnose und behebung erheblich verz gern oder v llig undurchf hr bar sein Dies gilt auch f r die Dokumentation des Aufbaus und der Verkabelung von IT Systemen deren Funktion wesentlich von der korrekten Beschaltung des Laodbalancers abh ngig ist Client Prozessing Server Prozessing Inkompatible aktive und passive Netzkomponenten Durch inkompatible aktive Netzkomponenten k nnen Probleme verursacht werden die im Umfeld nicht oder noch nicht vollst ndig standardisierter Kommunikationsverfahren auftreten Um das betreffende Kommunikations verfahren nutzen zu k nnen sind die Hersteller aufgrund der fehlenden oder nur teilweise vorhandenen Standards gezwungen propriet re Implementie rungen einzusetzen Inkomp
81. sion 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer Ein Benutzer Account dient dazu die Statusinformationen und Statistiken des Ger ts einzusehen nderungen der Konfigu ration sind nicht m glich Der Server Loadbalancer Operator Account erlaubt das Ma nagement der Content Server sowie deren Auslastung Ne ben der Berechtigung alle Ger teinformationen und Statistiken einzusehen darf er auch die Server welche an dem Loadbalancing teilnehmen aktivieren oder auch deakti vieren Der Layer 4 Operator Account erlaubt neben den Rechten des SLB Operators auch Trafficmanagement auf den Verbindun gen die zu gemeinsam genutzten Internetdiensten f hren Der Operator Account erlaubt das Managen aller Funktionen des Loadbalancers In Erweiterung der Rechte des SLB Operators darf er einzelne Ports oder auch den gesamten Lo adbalancer zur cksetzen Der Server Loadbalancer Administrator Account erlaubt die Konfiguration und das Management der Content Server sowie deren Auslastung Zus tzlich zu den SLB Operator Funktio nen kann er Parameter f r das Loadbalancing ndern Er darf jedoch keine Filter konfigurieren Der Layer 4 Administrator Account erlaubt die Konfiguration und das Management der auf den Verbindungen die zu ge meinsam genutzten Internetdiensten f hren Zus tzlich zu den SLB Administrator Funktionen kann er alle Parameter f r das Loadbalancing ndern und auch Filter konfigurieren Der Adminis
82. ss der Zugang zu einem Trunk Port den Zugriff auf alle VLANs erm glicht H ufig sind auf Switches die Trunking Protokolle auf den Endger te Ports nicht deaktiviert Siehe auch G 5 114 berwindung der Grenzen zwischen VLANs Routing Protokolle Bei der Verwendung eines Loadbalancers als schneller Router ist die Auswahl des geeigneten Routing Prokolls sehr wichtig Routing Protokolle ohne Authentisierungsverfahren k nnen die Vertraulichkeit Verf gbarkeit und Integrit t komplexer Netze bedrohen Fehlerhafte Administration von Loadbalancern Eine fehlerhafte Administration von Loadbalancern kann die Verf gbarkeit Ver traulichkeit und Integrit t von Netzen bedrohen Es gibt unterschiedliche Zugriffsm glichkeiten um Loadbalancer zu administrieren die bei falscher An wendung ein Sicherheitsrisiko darstellen k nnen Remote Administration Die Remote Administration mit Hilfe des Dienstes Telnet dessen Nutzung die Gefahr der unbefugte Erlangung von Zugriffsrechten birgt da der Datenverkehr inklusive des Benutzernamens und Passwortes im Klartext mitgelesen werden kann Die Remote Administration mit Hilfe des Dienstes HTTP beruht darauf dass auf dem Loadbalancer ein HTTP Server gestartet ist der Zugriff von beliebigen Clients ber Web Browser erm glicht Eine Gef hrdung besteht dann wenn die 12 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer Nutzung dieser Dienst ungesch tzt ohne Eingabe von
83. steht ein Serverschrank siehe Baustein 4 4 Schutzschr nke Unbefugte Personen d rfen zum Aufstellungsort der Ger te keinen unbeaufsichtigten Zugang erhalten Dabei sollte beachtet werden dass Hersteller von Schutzschr nken oft Standardschl sser einsetzen so dass mit einem beliebigen Schl ssel des Schrankherstellers alle Schr nke ge ffnet werden k nnen Daher muss gegebenenfalls das serienm ige Schloss eines Schutzschranks gegen ein individuelles Schloss ausgetauscht werden Au erdem sollten die Ger te so aufgestellt werden dass sie vor elektromagnetischen oder magnetischen Feldern gesch tzt sind Zus tzlich sollten sie mit Kontrollmechanismen ausgestattet sein die eine berschreitung der zul ssigen Toleranzen bei Feuchtigkeit und Temperatur signalisieren Der Schutz von Loadbalancer vor unbefugtem Zugriff ist auch deswegen sehr wichtig weil f r viele Ger te Passwort Recovery Prozeduren f r das R cksetzen von Passw rtern bekannt sind die zumeist den physikalischen Zugang zu den Ger ten Konsolenanschluss voraussetzen Das serielle Konsolen Interface RS 232 Port erm glicht den Anschluss eines PC oder Terminals um Administrations oder Konfigurationsarbeiten durchzuf hren Das Passwort f r den Zugriff auf die Konsole muss schriftlich an einem sicheren Ort hinterlegt sein siehe dazu auch unter M 2 22 Hinterlegen des Passwortes im GSHB Zus tzlich muss den Gefahren durch Diebstahl Vandalismus und unbe
84. stellerabh ngig lassen sich auf Loadbalancern f r eine Vielzahl von Ereignissen SNMP Nachrichten generieren die von einem be stehenden Netzmanagementsystem erkannt angezeigt und verarbei tet werden k nnen Dies erm glicht eine automatisierte Auswertung Ausgabe an der Konsole Die Ausgabe der Protokollierung an der Konsole erlaubt keine dauer hafte Speicherung kann daher lediglich eine Erg nzung zu anderen Methoden darstellen Zentraler Authentisierungsserver Bei der Nutzung eines zentralen Authentisierungsservers zum Bei spiel mittels TACACS oder RADIUS kann die dort implementierte Protokollierung Accounting genutzt werden um Nutzeraktivit ten zu dokumentieren Syslog Die Protokollierungsinformationen k nnen Uber das Netz auf einen eigenen syslog Server Ubertragen werden Dies dient der zentralen Sammlung und Archivierung der Protokollierungsinformationen da auf den Netzkomponenten oft keine ausreichenden Betriebsmittel daf r vorhanden sind Dadurch k nnen an einer zentralen Stelle rele vante Informationen erfasst und ausgewertet werden Au erdem bie tet dies den Vorteil dass bei einer Kompromittierung eines Ger tes die bereits bertragenen Protokollierungsinformationen vom Angreifer nicht ver ndert oder gel scht werden k nnen Die bertragung zum syslog Server erfolgt meist unverschl sselt ber TCP oder UDP so dass ein Mith ren auf dem bertragungsweg m glich ist Somit kann durch das Versenden vo
85. stellungen angezeigt werden Teilweise werden lediglich die von den Standardeinstellungen abweichenden 64 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer Daten erfasst Die Vorgehensweise bei der Fehlerbehandlung l sst sich in die Berei che Administration Performancemessung und Diagnose unterteilen Nachfolgend werden die jeweils zu ber cksichtigenden Aspekte dar gestellt Administration In einem Betriebshandbuch sollten alle notwendigen Kommandos zu Administration und Konfiguration dokumentiert werden Folgende Bereiche sind zu ber cksichtigen e Einrichten von Accounts e Update des Betriebssystems e Konfiguration o Interface o Line Ports o Reale und Virtuelle Server o Lastverteilte Dienste und deren Parameter o Access Control Lists o Routing e Protokollierung Performance Folgende Aspekte sollten fur Aussagen Uber die Performance be r cksichtigt werden e Eingehender und ausgehender Verkehr pro Interface oder Port e Durchsatz oder Verkehr pro Interface e Statistikinformationen pro Virtuellem Server e Statistikinformationen pro Realem Server e Statistikinformationen der verwendeten Protokolle e Statistikinformationen der lastverteilten Dienste Diagnose F r die Diagnose sollten alle notwendigen Kommandos und die zu erwartenden Ausgaben zur Anzeige der Zust nde des Gesamtsys tems der Interfaces und ihrer Konfiguration dokumentiert sein Viele Kommandos erm
86. sten f r die Lagerhaltung reduzieren oder eine noch h here Hardwareverf gbar keit erreichen Im Rahmen eines solchen Vertrages kann auch die Versorgung mit Software Updates geregelt werden 68 Version 1 2 secunet v ELSTER Kreuzreferenztabellen 3 Kreuzreferenztabellen Nachfolgende Tabelle listet die im Baustein Loadbalancer enthaltenen Sicherheitsma nahmen auf und stellt diese denjenigen Gef hrdungen gegen ber gegen welche die einzel nen Ma nahmen wirken B B A Z A C A A B Z Z B A A A C C B A C C C secunet Version 1 2 69
87. t gespeichert werden d rfen sollte eigentlich eine Selbstverst ndlich keit sein jedoch gibt es immer noch Ger te bei denen Passw rter im Klartext in Konfigurationsdateien gespeichert werden m ssen Bei Neubeschaffungen sollten keine Ger te mehr ber cksichtigt werden die keine sichere Administrationsm glichkeit bieten und bei denen es nicht m glich ist Passw rter verschl sselt abzuspeichern Nachfolgend werden einige grunds tzliche Anforderungen bei der Beschaffung von Loadbalancern aufgelistet Allgemeine Kriterien f r Loadbalancer e Grundlegende funktionale Anforderungen Serverloadbalan cing Layer 4 7 Network Address Translation NAT Routing etc e Sicherheit e Wartbarkeit e Zuverlassigkeit Ausfallsicherheit e Benutzerfreundlichkeit e Kosten e Funktionalit t e Protokollierung e Infrastruktur secunet Version 1 2 25 Baustein CB 4 90 Loadbalancer ELSTER Ela 2 3 3 Umsetzung M 1 43 A Gesicherte Aufstellung aktiver Netzkomponenten Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Planer Verantwortlich f r Umsetzung Leiter Haustechnik Administrator Um den manipulationssicheren Betrieb eines Netzes sicherzustellen ist es erforderlich aktive Netzkomponenten wie z B Loadbalancer in einer gesicherten Umgebung zu betreiben Dies kann entweder ein Serverraum sein siehe Baustein B 2 4 Serverraum oder wenn kein separater Serverraum zur Verf gung
88. t ebenfalls ein Ersatzsystem bereit das aber neben dem Produktivsystem parallel in Betrieb gehalten wird Die Funktion des Produktivsystems wird berwacht bei Ausfall wird das Ersatzsystem aktiv Der Wechsel kann automatisch erfolgen oder secunet Version 1 2 23 Baustein CB 4 90 Loadbalancer ELSTER Ela auch manuell Fur den automatischen Wechsel sind zusatzliche Funk tionalitaten im Gesamtsystem erforderlich z B die automatische Er kennung von Ausf llen ber eine dedizierte Um die Ausfallzeiten m glichst gering zu halten muss der Zustand des Ersatzsystems kontinuierlich berpr ft werden Verwendung von Layer 3 Redundanzprotokollen Da Loadbalancer in typischen Einsatzszenarien Routingfunktionen bernehmen und somit Gateway f r die konfigurierten Subnetze dar stellen kann beim Einsatz von 2 Loadbalancern unter Verwendung der Protokolls VRRP Virtual Router Redundanc Protokoll ein Single Point of Failure vermieden werden Je nach Implementierung dieses Protokolls k nnen Active Standby oder Active Active Konfigurationen realisiert werden Dabei erfolgt die Auswahl des VRRP Masters anhand der aktuellen Priorit t f r ein bestimmtes Interface Weitergehende herstellerspezifische Implementierungen erlauben u a die dynamische Ver nderung der Priorit ten anhand der Anzahl der aktiven Interfaces aktiven Ports oder weiterer L4 Parameter Jede einzelne dieser Techniken bietet ein unterschiedlic
89. tenbanken vorhanden sein k nnen File Slack File Slack oder Datenversatz bezeichnet das bei einigen Betriebssystemen bliche Abspeichern von Auff lldaten in unallo zierte Bereiche von Datentr gern bzw Cluster Tip Areas Auf die Verarbeitung dieser Daten durch das Betriebssystem oder An wendungsprogramm haben Administratoren oder Benutzer oft nur sehr geringen Einfluss Auch Programme die Wipe Techniken ver wenden haben keine volle Kontrolle ber alle diese Datenspuren Daher muss der komplette Datentr ger gel scht oder ein anderes sicheres L schverfahren gew hlt werden um sicherzustellen dass sich keine weiteren Kopien der Informationen auf dem Datentr ger befinden siehe auch M 4 64 Verifizieren der zu bertragenden Daten vor Weitergabe Beseitigung von Restinformationen An dieser Stelle wird noch einmal darauf hingewiesen dass bei den normalen L schkommandos des Betriebssystems in der Regel keine Wipe Techniken zum Einsatz kommen Weitere Hinweise hierzu fin den sich im Abschnitt L schkommandos e Formatieren Elektronische Datentr ger k nnen durch Formatieren zur Aufnahme von Daten vorbereitet werden Bei Festplatten wird zwischen Low Level Formatierung bei der Spu ren und Sektoren auf der Platte neu erzeugt werden und der logi schen oder High Level Formatierung die durch das Betriebssystem erfolgt unterschieden Eine High Level Formatierung ist als sicheres L schverfahren unge secunet Version
90. ter und Switches verwendet werden Als Basis sollte die erstellte Sicherheitsrichtlinie f r Router und Switches dienen siehe M 2 279 Erstellung einer Sicherheitsrichtlinie f r Router und Switches Zus tzlich sollten folgende Punkte im Rahmen des Kontrollprozesses ber cksichtigt werden Was wird getestet bzw kontrolliert Die generelle Funktionsf higkeit von Ger ten wird im Normalfall regelm ig durch den Administrator im laufenden Betrieb gepr ft Die Integrit t von Konfigurationsdateien sollte in regelm igen Abst nden gepr ft werden Die Sicherheitsrichtlinie f r Router und Switches sollte eine regelm ige berpr fung mit Festlegung von Verantwortlichkeiten vorschreiben Der Stand der Datensicherung zentral gespeicherte Konfigurationsdateien sollte regelm ig vom Administrator gepr ft werden Die Systemdokumentation sollte laufend vom Administrator aktualisiert werden Die Aktualit t kann im Rahmen von Audits gepr ft werden Hierzu sind auch M 2 31 Dokumentation der zugelassenen Benutzer und Rechteprofile und M 2 64 Kontrolle der Protokolldateien zu ber cksichtigen Wie wird getestet Durch die Einbindung der Komponenten in ein Netzmanagement System kann eine regelm ige Kontrolle sichergestellt werden Sicherheitsverletzungen Ausf lle und Fehlfunktionen k nnen mit Hilfe von Alarmierungsfunktionen des NMS zeitnah erkannt werden Im Rahmen von Audits erfolgt meist eine stichprobenartige Kontrol
91. trator Account ist f r die umfassende Kontrolle inklusive Sicherheitseinstellungen Zugriffspassworte und Web basierte Managementzugriffe vorgesehen Ein Benutzer ist somit nach seiner Anmeldung am Ger t automatisch einer Berechtigungsstufe zugeordnet alternativ muss er nach der Anmeldung dediziert die zu nutzende Berechtigungsstufe und das zugeh rige Passwort eingeben F r sicherheitskritische Rollen sollte stets eine Absicherung des Zugriffs ber einen zentralen Authentisie rungsserver eingerichtet werden Bei der Erstellung des Rechte und Rollenkonzepts f r die Administra tion der aktiven Netzkomponenten m ssen die M glichkeiten der ein zelnen Systeme in Betracht gezogen werden Wie fein die Berechtigungsstufen im Einzelfall unterschieden werden sollte unter Ber cksichtigung von Einsatzzweck und Schutzbedarf festgelegt wer secunet Version 1 2 51 Baustein CB 4 90 Loadbalancer ELSTER Ela den Als Faustregel kann dabei gelten So fein wie n tig so einfach wie m glich Zu grobe Unterteilungen bieten keine angemessene Sicherheit andererseits k nnen zu feine Unterteilungen die Effizienz der Arbeit beeintr chtigen und bringen die Gefahr von Fehlern mit sich Passwortverschl sselung Loadbalancer sollten die M glichkeit unterst tzen Passw rter ver schl sselt in Konfigurationsdateien abzulegen siehe auch M 2 280 Kriterien f r die Beschaffung und geeignete Auswahl von Loadbalan cern Die Verschl
92. tz der Ge r te bedrohen k nnen Betriebssystem Oft werden mit Loadbalancern veraltete oder unsichere Versionen von Betriebs systemen Firmware ausgeliefert und dann verwendet F r eine Vielzahl von Versionsst nden f r Betriebssysteme unterschiedlicher Ger te und Hersteller stehen auf einschl gigen Seiten im Internet Exploits zum Angriff auf diese Ger te zum Download bereit Passwortschutz Der Zugriff auf aktive Netzkomponenten wird oft nur unzureichend durch Pass w rter gesch tzt bzw es werden die vom Hersteller voreingestellten Logindaten weiterverwendet Dies gilt auch f r den Zugriff ber den Konsolen Port secunet Version 1 2 11 Baustein CB 4 90 Loadbalancer ELSTER Eh Administrationszug nge Administrationszug nge sind in der Praxis oft frei zug nglich Es sind beispiels weise keine Access Control Lists ACL eingerichtet um den Kreis der m gli chen Administratoren einzuschr nken Remote Zugriff Aktive Netzkomponenten bieten in der Regel die M glichkeit mit Hilfe von TELNET remote zuzugreifen Bei der Nutzung von TELNET werden Benuizer name und Passwort im Klartext bertragen Login Banner Login Banner von aktiven Netzkomponenten verraten h ufig die Modell und Versionsnummer des Ger ts Schnittstellen Nicht genutzte Ports auf den aktiven Netzkomponenten sind h ufig nicht deakti viert VLAN Trunk Ports k nnen auf alle konfigurierten VLANs zugreifen Das hei t da
93. tzung des Web Interfaces muss au erdem beachtet wer den dass oft nicht alle Konfigurationseinstellungen auf diesem Weg zug nglich sind Administrationsnetz Out of Band Management Um den Risiken bei der Remote Administration entgegen zu wirken bieten einige Ger te die M glichkeit einen eigenen logischen Port Management Interface zur Administration zu konfigurieren Dieser Port sollte einem VLAN bzw Subnetz zugeordnet werden welches ausschlie lich f r administrative Zwecke verwendet wird Out of Band Management und dem ausschlie lich Management Interfaces angeh ren Das Management Netz sollte komplett von anderen Tei len des Netzes getrennt werden Dadurch werden Schwachstellen wie unverschl sselt bertragene Anmeldeinformationen bei den f r admi nistrative Aufgaben zur Anwendung kommenden Protokollen wie TELNET oder die veralteten SNMP Varianten kompensiert Access Control Lists ACLs sind so zu konfigurieren dass der Zugriff auf das Management Interface nur der Management Station erlaubt ist Alle nicht ben tigten Dienste sind f r das Management Interface zu deaktivieren Netzmanagement Systeme Aktive Netzkomponenten werden normalerweise in ein zentrales Netzmanagement System eingebunden Zus tzlich zum vorigen Ab schnitt m ssen in diesem Fall die SicherheitsmaBnahmen die im Baustein B 4 2 Netz und Systemmanagement beschrieben sind be achtet werden Zentraler Authentisierungsserver An Stelle lokal auf
94. ulierte Sicherheitsleitlinie im gegebenen Kontext zu konkretisieren und umzusetzen Die Sicherheitsrichtlinie muss allen Personen und Gruppen die an 20 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer der Beschaffung und dem Betrieb von Loadbalancern beteiligt sind bekannt sein und Grundlage f r deren Arbeit sein Wie bei allen Richt linien sind ihre Inhalte und ihre Umsetzung im Rahmen einer berge ordneten Revision regelm ig zu pr fen Die Sicherheitsrichtlinie sollte zun chst das generell zu erreichende Sicherheitsniveau spezifizieren und grundlegende Aussagen zum Betrieb von Loadbalancern treffen Nachfolgend sind einige Punkte aufgef hrt die ber cksichtigt werden sollten Allgemeine Konfigurationsstrategie Liberal oder Restriktiv Regelungen f r die Arbeit der Administratoren und Revisoren e Uber welche Zugangswege d rfen Administratoren und Revi soren auf die Systeme zugreifen beispielsweise nur lokal an der Konsole ber ein eigenes Administrationsnetz oder ber verschl sselte Verbindungen Welche Vorg nge werden m ssen dokumentiert werden In welcher Form wird die Dokumentation erstellt und gepflegt Gilt f r bestimmte nderungen ein Vieraugenprinzip Nach welchem Schema werden Administrationsrechte verge ben Vorgaben f r Beschaffung von Ger ten anhand eines Anforderungs profils Vorgaben f r die Installation und Konfiguration Vorgehen bei de
95. undanten Anbindung eines Unternehmens ber mehrere ISP s oder als Bestandteil einer globalen Internetpr senz zu dienen e Der Loadbalancer wird in der DMZ platziert um z B als Bestandteil eines hochverf gbaren Web oder FTP Serversystems oder e commerce Plattform zu dienen Die Benutzer greifen ber das Internet und durch eine Firewall abgesichert auf die angebotenen Dienste zu Die Administration erfolgt oft durch eine weitere Firewall abgesichert vom Intranet aus oder ber ein separates Managemeninetz e Der Loadbalancer wird im Intranet platziert um z B als Bestandteil einer hochver f gbaren Datenbankplattform zu dienen Die Benutzer greifen ber das Internet und durch eine Firewall abgesichert auf die angebotenen Dienste zu Aus diesen Szenarien ergeben sich unterschiedliche Gef hrdungen f r den Einsatz und den Betrieb eines Loadbalancers welche bei der Planung und Umsetzung von entsprechenden Ma nahmen ber cksichtigt werden m ssen 2 2 Gefahrdungslage Aufgrund der Vielzahl an Funktionen und der Komplexit t der Einsatzszenarien sind Loadba lancer einer Reihe von Gef hrdungen ausgesetzt F r den IT Grundschutz von Loadbalancer werden folgende typische Gef hrdungen ange nommen 2 2 1 H here Gewalt G 1 2 Ausfall des Loadbalancers Der Ausfall des Loadbalancer kann zum Ausfall des gesamten IT Betriebs f hren Als zentrale Komponente eines IT Systems Uber welche die lastver teilten Anwendungen ge
96. ungen und Vorgehensweisen bei Softwareupdates und Konfigurations nderungen Protokollierung e Welche Ereignisse werden protokolliert e Wo werden die Protokolldateien gespeichert e Wie und in welchen Abst nden werden die Protokolle ausge wertet Datensicherung und Recovery siehe auch M 6 91 Datensicherun und Recovery bei Loadbalancern e Einbindung in das organisationsweite Datensicherungskon zept St rungs und Fehlerbehandlung Incident Handling e Regelungen f r die Reaktion auf Betriebsst rungen und tech nische Fehler lokaler Support Fernwartung e Regelungen f r Sicherheitsvorf lle Notfallvorsorge siehe auch M 6 92 Notfallvorsorge bei Loadbalan cern e Einbindung in das organisationsweite Notfallvorsorgekonzept Revision und Audit Verantwortlichkeiten Vorgehen Integration in ein bergreifendes Revisionskonzept Die Verantwortung f r die Sicherheitsrichtlinie liegt beim IT 22 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer Sicherheitsmanagement nderungen und Abweichungen hiervon d rfen nur in Abstimmung mit dem IT Sicherheitsmanagement erfol gen Bei der Erstellung einer Sicherheitsrichtlinie ist es empfehlenswert so vorzugehen dass zun chst ein Maximum an Forderungen und Vor gaben f r die Sicherheit der Systeme aufgestellt wird Diese k nnen anschlie end den tats chlichen Gegebenheiten angepasst werden Idealerweise wird so erreicht dass a
97. uthentisierung Autorisierung 28 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer M4 201 A Kryptoverfahren und Anwendungen Angriffsszenarien Denial of Service Attacken ARP Spoofing IP Spoofing und geeignete Schutzma nahmen Gefahrenquelle Default Einstellungen Vorsorgema nahmen Reaktion und Analyse Incident Handling Sichere lokale Grundkonfiguration von Loadbalancer Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung Administrator S mtliche Konfigurationsarbeiten an Loadbalancer m ssen entspre chend der erstellten Sicherheitsrichtlinie siehe M 2 279 Erstellung einer Sicherheitsrichtlinie f r Loadbalancer durchgef hrt werden und wie in M 2 281 Dokumentation der Systemkonfiguration von Loadba lancer beschrieben dokumentiert und kommentiert werden Betriebssystem Da Loadbalancer durch ihren Einsatz im Netz eine besonders gro e Anzahl von Kommunikationspartnern und damit potentiellen Angrei fern haben ist bei der Auswahl und Pflege des Betriebssystems be sondere Sorgfalt notwendig Zun chst ist es wichtig sich einen berblick ber die ben tigten und angebotenen Funktionen zu verschaffen Das Ziel bei der Auswahl sollte sein eine m glichst stabile Version zu betreiben Hierbei ist zu beachten dass mit dem Alter eines Release in der Regel auch die Zahl der Angriffsm glichkeiten Exploits zunimmt Andererseits kann ei
98. wachstellen m ssen so schnell wie m glich behoben werden damit sie nicht durch interne oder externe Angreifer ausgenutzt werden k nnen Dies ist ganz besonders wichtig wenn die betreffenden Systeme mit dem Internet verbunden sind Die Hersteller von Betriebssystem oder Software Komponenten ver ffentlichen in der Regel Patches oder Updates die auf dem jeweiligen IT System installiert werden m ssen um den oder die Fehler zu beheben Die Systemadministratoren sollten sich daher regelm ig ber bekannt gewordene Software Schwachstellen informieren siehe auch M 2 35 Informationsbeschaffung ber Sicherheitsl cken des Systems Wichtig ist dass Patches und Updates wie jede andere Software nur aus vertrauensw rdigen Quellen bezogen werden d rfen F r jedes eingesetzte System oder Softwareprodukt muss bekannt sein wo Sicherheitsupdates und Patches erh ltlich sind Au erdem ist es wichtig dass Integrit t und Authentizit t der bereits installierten secunet Version 1 2 39 Baustein CB 4 90 Loadbalancer ELSTER Eh Produkte oder der einzuspielenden Sicherheitsupdates und Patches berpr ft werden siehe M 4 177 Sicherstellung der Integrit t und Authentizit t von Softwarepaketen bevor ein Update oder Patch installiert wird Vor der Installation sollten sie au erdem mit Hilfe eines Computer Virenschutzprogramms gepr ft werden Dies sollte auch bei solchen Paketen gemacht werden deren Integrit t und Authentizit
99. weisen von Berechtigungen unterscheiden sich von Hersteller zu Hersteller gelegentlich auch zwischen einzelnen Ger ten oder Software Releases teilweise erheblich Daher ist es empfehlenswert entsprechend dem vorgegebenen Rechte und Rollenkonzept f r die Administration der aktiven Netzkomponenten ein detailliertes Konzept f r die jeweiligen Ger te zu erstellen 30 Version 1 2 secunet ELSTER Baustein CB 4 90 Loadbalancer Auf Loadbalancern einiger Hersteller sind werksmaBig mehrere Be nutzerkonten Accounts mit abgestuften Berechtigungen f r die Ad ministration vorhanden Andere Ger te sind werksm ig nur mit einem Benutzerkonto f r Administrationszwecke voreingestellt Vor eingestellte Benutzerkonten haben allgemein bekannte Standardna men und Passw rter gelegentlich sind Administrations Accounts sogar ganz ohne Passwort vorkonfiguriert Auf einschl gigen Internet Seiten k nnen Listen mit herstellerspezifischen Standard Accounts und Passw rtern heruntergeladen werden Bei der Inbetriebnahme des Ger ts m ssen diese Standard Benutzerkonten falls m glich ge ndert werden In jedem Fall m s sen aber die Passw rter der Standard Accounts ge ndert werden Nicht benutzte Benutzerkonten m ssen deaktiviert werden Entsprechend dem Rechte und Rollenkonzept m ssen anschlie end die vorgesehenen Benutzerkonten und rollen eingerichtet werden Leider werden bei vielen aktiven Netzkomponenten Passw rter i
100. wichtig dass sich die Systemadministratoren regelm ig ber neu bekannt gewordene Schwachstellen informieren 38 Version 1 2 secunet Baustein CB 4 90 Loadbalancer Idealerweise sollten sich die Administratoren und der IT Sicherheitsbeauftragte bei mindestens zwei verschiedenen Stellen ber Sicherheitsl cken informieren Dabei ist es empfehlenswert neben den Informationen des Herstellers auch eine unabh ngige Informationsquelle zu benutzen Die Administratoren sollten jedoch in jedem Fall auch produktspezifische Informationsquellen des Herstellers nutzen um beispielsweise dar ber Bescheid zu wissen ob f r ein bestimmtes Produkt beim Bekanntwerden von Sicherheitsl cken berhaupt Patches oder Updates bereitgestellt werden Bei Produkten f r die der Hersteller keine Sicherheitspatches mehr zur Verf gung stellt muss rechtzeitig gepr ft werden ob ein Einsatz unter diesen Umst nden noch zu verantworten ist und durch welche zus tzlichen Ma nahmen ein Schutz der betroffenen Systeme trotzdem gew hrleistet werden kann Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates Verantwortlich f r Initiierung Leiter IT IT Sicherheitsmanagement Verantwortlich f r Umsetzung IT Sicherheitsmanagement Administrator H ufig werden Fehler in Software Produkten bekannt die dazu f hren k nnen dass die Sicherheit der IT Systeme auf denen diese Produkte installiert sind beeintr chtigt wird Diese Sch

Download Pdf Manuals

Related Search

Related Contents

Owner's manual Bedienungsanleitung Manuale dell  Télécharger la notice du produit  HQ W7-51552/ N  Télécharger ce document en format PDF  data sheet - ABACOM Technologies  Impressora a Jacto de Tinta a Cores HP Deskjet 3845  Convertidores con las Control Units CU230P-2  ISTRUZIONI PER L`USO  water wizard  ® Kontron User's Guide ® coolMonster/PM  

Copyright © All rights reserved. Failed to retrieve file