IT-GSHB 2000 - Festlegung einer Sicherheitsstrategie für das

M 2.67 Festlegung einer Sicherheitsstrategie für das Peer-to-Peer-Netz

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement

Bevor mit der eigentlichen Konfiguration und Installation eines Peer-to-Peer-Netzes, bei dem Rechner mit WfW, Windows 95 und/oder Windows NT eingesetzt werden, begonnen werden kann, müssen zuerst zwei grundlegende Überlegungen angestellt werden:

Zunächst muß geklärt werden, welche Dienstleistung das jeweilige Betriebssystem erbringen und in welchem Rahmen es diesbezüglich eingesetzt werden soll. Insbesondere ist zu klären, ob überhaupt Peer-to-Peer-Funktionalitäten, d. h. die Nutzung freigegebener Ressourcen wie Verzeichnisse oder Drucker unter einem der genannten Betriebssysteme, verwendet werden sollen.

Dies soll anhand einiger Beispiele veranschaulicht werden:

Das IT-System wird für eine Arbeitsgruppe von typischerweise drei bis fünf Benutzern eingesetzt, bei denen jeder alle Rechte besitzen sollen. An jedem Arbeitsplatz soll die komplette Peer-to-Peer-Funktionalität unterstützt werden.
Das IT-System wird für eine größere Arbeitsgruppe eingesetzt, in der unterschiedliche Rechte vergeben werden können. Die Peer-to-Peer-Funktionalität soll aufgrund konkreter Anforderungen in eingeschränkter Form realisiert werden.
Das IT-System wird in einem servergestützten PC-Netz eingesetzt, bei dem auf die Peer-to-Peer-Funktionalität zum Austausch von Daten in der Regel verzichtet werden kann. Einzelne Drucker sollen jedoch über Peer-to-Peer-Funktionalität gemeinsam benutzt werden können.
Das IT-System wird in einem servergestützten PC-Netz eingesetzt, in dem keine Peer-to-Peer-Funktionalität vorgesehen ist. Dann sind alle Peer-to-Peer-Funktionalitäten zu deaktivieren. In diesem Fall kann die Betrachtung der folgenden Punkte entfallen, doch sollten dann die Maßnahme M 5.37 Einschränken der Peer-to-Peer-Funktionalitäten bei Nutzung von WfW, Windows 95 oder Windows NT in einem servergestützten Netz beachtet werden.

Hinweis: Servergestützte Netze bieten wesentlich weitgehendere Sicherheitsfunktionalitäten als Peer-to-Peer-Netze. Darüber hinaus entstehen durch die Verwendung von Peer-to-Peer-Funktionalitäten in servergestützten Netzen zusätzliche Sicherheitsprobleme. Deshalb sollte bei servergestützten PC-Netzen auf die Verwendung von Peer-to-Peer-Funktionalitäten verzichtet werden. Peer-to-Peer-Netze, die zur Anbindung von WfW an andere Rechner mit WfW, Windows 95 oder Windows NT dienen, sollten nur als Übergangslösung betrachtet werden, bis entweder WfW durch Windows 95 oder Windows NT abgelöst wird oder ein servergestütztes Netzbetriebssystem installiert wird.

Sofern Peer-to-Peer-Funktionalitäten verwendet werden sollen, müssen anschließend diese Überlegungen in eine Sicherheitsstrategie übersetzt werden.

Dabei zeigt sich, daß je nach bereits vorhandener Systemumgebung und Organisationsstruktur sowie der vorzusehenden Restriktionen an die Peer-to-Peer-Funktionalitäten, ein mehr oder weniger großer Aufwand bei der Entwicklung einer dazu passenden Sicherheitsstrategie notwendig ist.

Es wird nachfolgend eine methodische Vorgehensweise aufgezeigt, mittels derer eine umfassende Sicherheitsstrategie für ein Peer-to-Peer-Netz entwickelt werden kann. Da jedoch ein Peer-to-Peer-Netz in verschiedenen Konfigurationen eingesetzt werden kann, ist für die jeweilige Ausprägung individuell zu entscheiden, welche der beschriebenen Schritte anzuwenden sind.

Festlegung einer Sicherheitsstrategie für ein Peer-to-Peer-Netz

In der Sicherheitsstrategie sollte aufgezeigt werden, wie ein Peer-to-Peer-Netz sicher aufgebaut, administriert und betrieben wird. Nachfolgend werden die einzelnen Entwicklungsschritte einer solchen Strategie vorgestellt:

1. Definition der Peer-to-Peer-Netzstruktur

Eine Peer-to-Peer-Netzstruktur wird definiert durch die Festlegung,

welche Rechner als Fileserver (sie dürfen Verzeichnisse freigeben),
welche Rechner als Druckserver (sie dürfen Drucker freigeben),
welche Rechner als Applikationsserver für bestimmte IT-Anwendungen wie z. B. Mail, Schedule+ , Fax (sie sollten ständig verfügbar sein) und
welche Rechner nur als Clients (sie können sich nur mit anderen Rechnern verbinden)

fungieren sollen. Dabei ist einerseits darauf zu achten, daß die Kapazität der Server den jeweiligen Anforderungen hinsichtlich Geschwindigkeit und Plattenspeicherplatz genügt, andererseits ist aber die Anzahl der Server auf das notwendige Maß zu beschränken. Darüber hinaus sollten keine Applikationen auf Server ausgelagert werden, bei denen ständig große Datenmengen über das Netz übertragen werden müssen, da dies zu Netzüberlastungen führen kann.

2. Regelung der Verantwortlichkeiten

Ein Peer-to-Peer-Netz sollte mittels eines geschulten Administrators nebst Stellvertreter sicher betrieben werden. Diese allein dürfen Sicherheitsparameter im Peer-to-Peer-Netz verändern. Sie sind z. B. dafür zuständig, auf eventuellen Applikations- oder Fileservern den entsprechenden Verantwortlichen Administrationsrechte und werkzeuge zur Verfügung zu stellen, damit diese die Freigabe der von anderen benötigten Verzeichnisse bzw. Anwendungen vornehmen können.

Auch in einem servergestützten PC-Netz, in dem zusätzlich Peer-to-Peer-Funktionalitäten zugelassen werden sollen, müssen explizit Peer-to-Peer-Administratoren ernannt werden, die aber mit den Netz-Administratoren identisch sein dürfen.

Die Verantwortlichkeiten der einzelnen Benutzer im Peer-to-Peer-Netz sind unter Schritt 7 dargestellt.

3. Eingeschränkung der Freigabemöglichkeiten

Windows für Workgroups:

Mit dem Administrationswerkzeug ADMINCFG.EXE für WfW können die folgenden Möglichkeiten für jeden WfW-Rechner einzeln zugelassen oder gesperrt werden:

Freigabe von Verzeichnissen,
Freigabe von Druckern,
Restriktionen für das WfW-Anmeldepaßwort (Ablaufzeit, Mindestlänge etc.),
Freigabe von Netz-DDE (z. B. für den Datenaustausch über die Ablagemappe oder das Telefonieren unter WfW).

Die Datei ADMINCFG.EXE gehört zwar zum Lieferumfang von WfW, wird aber nicht standardmäßig auf den Rechnern installiert. Eine Dokumentation erfolgt nur in den Anleitungen für Systemverwalter (siehe M 4.45 Einrichtung einer sicheren Peer-to-Peer-Umgebung ).

Es ist festzulegen, auf welchen Rechnern dieses Administrationswerkzeug installiert werden soll.

Dieses Programm verfügt über eine Paßwortabfrage, mit der die eingestellte Konfiguration geschützt wird. Jeder, der Zugriff auf dieses Programm hat, kann versuchen, das Paßwort der jeweiligen Konfigurationsdatei herauszufinden und dann die Freigabeoptionen zu ändern.

Sinnvollerweise sollte es daher nur dem Administrator und seinem Stellvertreter zur Verfügung gestellt werden. Darüber hinaus ist es unter WfW möglich, die Konfigurationsdateien zentral auf einem Server abzulegen (entweder für jeden Benutzer einzeln, für Gruppen oder für alle Benutzer gemeinsam; siehe "WfW Resource Kit, Addendum for Operating System Version 3.11"). Dies hat den Vorteil, Änderungen für mehrere WfW-Benutzer gleichzeitig vornehmen zu können, insbesondere wenn das Paßwort der Konfigurationsdatei(en) geändert werden soll.

Hinweis: Eine durch ein Paßwort geschützte Konfiguration bietet nur eingeschränkte Sicherheit, da sie einem vorsätzlichen Angriff kaum standhält. Die Einschränkung der WfW-Funktionalität beugt damit in erster Linie dem unbeabsichtigten Fehlverhalten der Benutzer vor.

Windows 95:

Die Möglichkeit zur Freigabe von Verzeichnissen bzw. Druckern läßt sich unter Windows 95 für einzelne Rechner und/oder Benutzer durch entsprechende Einträge in deren Profile einschränken (siehe auch M 4.58 Freigabe von Verzeichnissen unter Windows 95 ).

Windows NT:

Unter Windows NT ist die Möglichkeit der Freigabe von Verzeichnissen auf Administratoren eingeschränkt, so daß hier einem Mißbrauch durch Endbenutzer vorgebeugt ist. Ob und ggf. welche Ressourcen freigegeben werden sollen, ist bei der Planung des Netzes (siehe M 2.94 Freigabe von Verzeichnissen unter Windows NT ) im Detail festzulegen.

4. Festlegung einer Namenskonvention

Um eine Maskerade unter WfW zu erschweren, sollten eindeutige Namen für die Rechner, Benutzergruppen und die Benutzer verwendet werden. Diese Namen sind allen Benutzern bekanntzugeben. Erfolgt nun eine Anmeldung unter einem Namen, den es nach der Konvention nicht geben kann, z. B. indem er einem bestehenden nur ähnlich ist, wird eine Maskerade offensichtlich. Eine Anmeldung unter einem bereits angemeldeten Rechnernamen wird von WfW abgewiesen, jedoch ist eine Maskerade unter einem zugelassenen Namen dann möglich, wenn der betreffende Anwender nicht angemeldet ist.

Unter Windows 95 ist durch die Systemrichtlinien sicherzustellen, daß die Benutzer weder Rechner- noch Benutzernamen selbstständig ändern können. Dazu sollte für Standardbenutzer der Zugriff auf die Systemsteuerungsoption "Netzwerk" deaktiviert werden (siehe auch M 2.103 Einrichten von Benutzerprofilen unter Windows 95).

Unter Windows NT sind nur die vom Administrator definierten Benutzer zugelassen und es können nur Administratoren den Rechnernamen ändern. Allerdings können Benutzer versuchen, sich über die Option "Verbinden Als" unter "Netzlaufwerk verbinden" unter anderem Benutzernamen anzumelden.

Zusätzlich können Namenskonventionen für die Freigabenamen von Verzeichnissen oder Druckern eingeführt werden. Sollen keine Rückschlüsse auf den Inhalt des Verzeichnisses möglich sein, sind entsprechende Pseudonyme zu verwenden. Soll eine freigegebene Ressource nicht als solche erkennbar sein, ist dem Freigabenamen das Zeichen "$" anzuhängen. Letzteres empfiehlt sich immer dann, wenn Verzeichnisse nur zum bilateralen Austausch von Informationen zwischen zwei Anwendern freigegeben werden.

5. Festlegung freizugebender Verzeichnisse bzw. Drucker und Vergabe der Zugriffsrechte

Für die Applikationsserver ist festzulegen, welche Verzeichnisse (z. B. das Post-Office-Verzeichnis AGPO unter Mail ) für den Betrieb freizugeben sind. Für die Fileserver sind diejenigen Verzeichnisse auszuwählen, die den Benutzern zur Verfügung gestellt werden sollen. Unter WfW und Windows 95 können beliebige Benutzer Ressourcen für den Netzzugriff freigeben; unter Windows NT ist dies nur den Administratoren erlaubt.

Dabei muß zwischen den beiden Zugriffsmodellen der Sicherheit auf Freigabeebene (Share Level Security), bei der die Zugriffe auf freigegebene Ressourcen über Paßwörter kontrolliert werden, und der Sicherheit auf Benutzerebene (User Level Security), bei der die Zugangs- und Zugriffskontrolle eines Server-Betriebssystems genutzt werden, unterschieden werden. WfW unterstützt nur das erste dieser Modelle, Windows NT (als Client) das zweite, während Windows 95 über die Registerkarte " Zugriffssteuerung " der Systemsteuerungsoption " Netzwerk " die Auswahl zwischen beiden Modellen gestattet. Bei Verwendung der Sicherheit auf Freigabeebene sind für die freigegebenen Verzeichnisse Zugriffsrechte (Lese- oder Lese/ Schreibrecht) zu definieren und geeignete Paßwörter auszuwählen.

Durch die gezielte Weitergabe dieser Paßwörter an einzelne Benutzer werden nunmehr die Zugriffsrechte im Peer-to-Peer-Netz vergeben. Diese Paßwörter sind nur soweit erforderlich bekanntzugeben, da die Rücknahme der Freigabe für eine einzelne Person nur durch einen aufwendigen Paßwortwechsel für alle anderen noch berechtigten Benutzer vorgenommen werden kann.

Bei Verwendung der Sicherheit auf Benutzerebene unter Windows NT und Windows 95, die die Einbindung der Clients in eine Arbeitsgruppe bzw. eine Domäne zusammen mit wenigstens einem Windows NT-System voraussetzt, werden die Zugriffsrechte dagegen explizit einzelnen Benutzern und/oder Gruppen zugewiesen, so daß in diesem Fall die Eingabe von Paßwörtern entfällt. Die Verwendung der Sicherheit auf Freigabeebene ist in diesem Fall zu vermeiden, da sie einen wesentlich geringeren Schutz bietet. Anschließend ist zu entscheiden, ob die Verzeichnisse automatisch beim Start des jeweiligen Servers freigegeben und ob sie automatisch beim Start des zugreifenden Rechners verbunden werden sollen.

Das zuvor gesagte gilt analog für die Freigabe von Druckern.

6. Paßwortwechselstrategie

Windows für Workgroups:

Im WfW-Netz werden eine Reihe von Paßwörtern gebraucht: die Anmeldepaßwörter, das Paßwort für den Aufruf von ADMINCFG.EXE und die Paßwörter für die verschiedenen Rechte freigegebener Verzeichnisse, Drucker und Ablagemappen. Die Anmeldepaßwörter und das Paßwort für den Aufruf von ADMINCFG.EXE sollten regelmäßig gewechselt werden (siehe auch M 2.11 Regelung des Paßwortgebrauchs ). Eine maximale Gültigkeitsdauer dieser Paßworte ist daher festzulegen. Damit auch der Wechsel des ADMINCFG.EXE-Paßwortes einfach möglich ist, können die zugehörigen Konfigurationsdateien zentral auf einem Server hinterlegt werden. Da ein Wechsel der Freigabe-Paßwörter mit erheblichem organisatorischen Aufwand (siehe Nr. 5) verbunden sein kann, ist vorab festzulegen, wie oft diese gewechselt und wie die neuen Paßwörter den Betroffenen bekanntgegeben werden sollen.

Windows 95:

Unter Windows 95 hängt die Menge der zu verwendenden Paßwörter davon ab, ob als Zugriffsmodell die Sicherheit auf Benutzerebene oder die Sicherheit auf Freigabeebene verwendet wird. Im ersten Fall werden, analog zur Situation bei Windows NT, nur die Anmeldepaßwörter zu den Rechnern benötigt, die Ressourcen für den Netzzugriff freigegeben haben, während im zweiten Fall, ähnlich wie bei WfW, auch Paßwörter für den Zugriff auf die freigegebenen Ressourcen benötigt werden. Eigene Paßwörter zur Verwaltung der Peer-to-Peer-Funktionalitäten entfallen, da diese hier über Benutzerprofile gesteuert wird.

Zugriffsschutz auf Benutzerebene basiert auf den Benutzerlisten, die auf Windows NT oder Novell Netware Servern geführt werden, und kann daher auch nur in solchen Netzen realisiert werden. Dieses Zugriffsmodell bietet die größere Sicherheit und sollte daher vorzugsweise eingesetzt werden, wenn trotz einer Vernetzung über Windows NT oder Novell Netware Server Peer-to-Peer-Funktionalitäten eingesetzt werden sollen.

Windows NT:

Unter Windows NT erfolgt die Verwaltung der Peer-to-Peer-Funktionalität unter der Kontrolle der allgemeinen Zugangs- und Zugriffskontrolle, so daß hier keine eigenen Paßwörter für diese Verwaltungstätigkeiten erforderlich sind. Zur Verwaltung der Zugangspaßwörter der betreffenden Benutzer sollten die Vorgaben der Maßnahme M 2.11 Regelung des Paßwortgebrauchs berücksichtigt werden.

7. Verantwortlichkeiten für Benutzer im Peer-to-Peer-Netz

Neben der Wahrnehmung der Peer-to-Peer-Managementaufgaben (siehe Nr. 2) müssen weitere Verantwortlichkeiten festgelegt werden. Es ist festzulegen, welche Verantwortung die einzelnen Benutzer im Peer-to-Peer-Netz übernehmen müssen. Dies können zum Beispiel Verantwortlichkeiten sein für

die Auswertung der Protokolldateien auf den einzelnen Servern oder Clients,
die Vergabe von Zugriffsrechten,
das Hinterlegen und den Wechsel von Paßwörtern und
die Durchführung von Datensicherungen.

8. Schulung

Abschließend muß festgelegt werden, welche Peer-to-Peer-Benutzer zu welchen Punkten geschult werden müssen. Erst nach ausreichender Schulung kann der Wirkbetrieb aufgenommen werden.

Die so entwickelte Sicherheitsstrategie ist zu dokumentieren und im erforderlichen Umfang den Benutzern des Peer-to-Peer-Netzes mitzuteilen.

Ergänzende Kontrollfragen:

Wird die Sicherheitsstrategie an Veränderungen im Einsatzumfeld angepaßt?