Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Neben der Sicherheit von Serversystemen und Endgeräten wird die eigentliche Netzinfrastruktur mit den aktiven Netzkomponenten in vielen Fällen vernachlässigt. Gerade zentrale aktive Netzkomponenten müssen jedoch sorgfältig konfiguriert werden. Denn während durch eine fehlerhafte Konfiguration eines Serversystems nur diejenigen Benutzer betroffen sind, die die entsprechenden Dienste dieses Systems nutzen, können bei einer Fehlkonfiguration eines Routers größere Teilnetze bzw. sogar das gesamte Netz ausfallen oder Daten unbemerkt kompromittiert werden.
Im Rahmen des Netzkonzeptes (siehe M 2.141 Entwicklung eines Netzkonzeptes) sollte auch die sichere Konfiguration der aktiven Netzkomponenten festgelegt werden. Dabei gilt es insbesondere folgendes zu beachten:
Für aktive Netzkomponenten mit Routing-Funktionalität ist außerdem ein geeigneter Schutz der Routing-Updates erforderlich. Diese sind zur Aktualisierung der Routing-Tabellen erforderlich, um eine dynamische Anpassung an die aktuellen Gegebenheiten des lokalen Netzes zu erreichen. Dabei kann man zwei verschiedene Sicherheitsmechanismen unterscheiden:
Die Verwendung von Paßwörtern schützt die so konfigurierten Router vor der Annahme von Routing-Updates durch Router, die nicht über das entsprechende Paßwort verfügen. Hierdurch können also Router davor geschützt werden, falsche oder ungültige Routing-Updates anzunehmen.Der Vorteil von Paßwörtern gegenüber den anderen Schutzmechanismen ist ihr geringer Overhead, der nur wenig Bandbreite und Rechenzeit benötigt.
Prüfsummen schützen vor der unbemerkten Veränderung von gültigen Routing-Updates auf dem Weg durch das Netz. Zusammen mit einer Sequenznummer oder einem eindeutigen Bezeichner kann eine Prüfsumme auch vor dem Wiedereinspielen alter Routing-Updates schützen.
Die Auswahl eines geeigneten Routing-Protokolls ist die Voraussetzung für einen angemessenen Schutz der Routing-Updates. RIP-2 (Routing Information Protocol Version 2, RFC 1723) und OSPF (Open Shortest Path First, RFC 1583) unterstützen Paßwörter in ihrer Basis-Spezifikation und können durch Erweiterungen auch kryptographische Prüfsummen nach dem MD5 (Message Digest 5) Verfahren verwenden.
Ergänzende Kontrollfragen:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000