SYS.1.1 Allgemeiner Server: Unterschied zwischen den Versionen
K Textersetzung - „Man-Pages“ durch „Man-Page“ |
|||
(75 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
''' | '''SYS.1.1 Allgemeiner Server''' - Baustein des [[:Kategorie:IT-Grundschutz/Kompendium|IT-Grundschutz/Kompendiums]] | ||
== Beschreibung == | == Beschreibung == | ||
Als „Allgemeiner Server“ werden IT-Systeme mit einem beliebigen Betriebssystem bezeichnet, die Benutzenden und anderen IT-Systemen Dienste bereitstellen. | Als „Allgemeiner Server“ werden IT-Systeme mit einem beliebigen Betriebssystem bezeichnet, die Benutzenden und anderen IT-Systemen Dienste bereitstellen. | ||
Zeile 8: | Zeile 9: | ||
* Ein bekanntes Beispiel sind X-Server unter Unix. | * Ein bekanntes Beispiel sind X-Server unter Unix. | ||
; Zielsetzung | |||
Ziel dieses Bausteins ist der Schutz von Informationen, die auf Servern verarbeitet, angeboten oder darüber übertragen werden, sowie der Schutz der damit zusammenhängenden Dienste. | Ziel dieses Bausteins ist der Schutz von Informationen, die auf Servern verarbeitet, angeboten oder darüber übertragen werden, sowie der Schutz der damit zusammenhängenden Dienste. | ||
== | === Modellierung === | ||
Der Baustein SYS.1.1 Allgemeiner Server ist auf alle Server-IT-Systeme mit beliebigem Betriebssystem anzuwenden. | Der Baustein SYS.1.1 Allgemeiner Server ist auf alle Server-IT-Systeme mit beliebigem Betriebssystem anzuwenden. | ||
In der Regel werden Server unter Betriebssystemen betrieben, bei denen jeweils spezifische Sicherheitsanforderungen zu berücksichtigen sind. | === Abgrenzung === | ||
* Für verbreitete Server-Betriebssysteme sind im IT-Grundschutz | ==== Betriebssystemen ==== | ||
; In der Regel werden Server unter Betriebssystemen betrieben, bei denen jeweils spezifische Sicherheitsanforderungen zu berücksichtigen sind. | |||
* Für verbreitete Server-Betriebssysteme sind im IT-Grundschutz/Kompendium eigene Bausteine vorhanden, die auf dem vorliegenden Baustein aufbauen. | |||
* Der Baustein SYS.1.1 Allgemeiner Server bildet die Grundlage für die Bausteine der konkreten Server-Betriebssysteme. | * Der Baustein SYS.1.1 Allgemeiner Server bildet die Grundlage für die Bausteine der konkreten Server-Betriebssysteme. | ||
* Sofern für ein betrachtetes IT-System ein konkreter Baustein existiert, ist dieser zusätzlich zum Baustein SYS.1.1 Allgemeiner Server anzuwenden. | * Sofern für ein betrachtetes IT-System ein konkreter Baustein existiert, ist dieser zusätzlich zum Baustein SYS.1.1 Allgemeiner Server anzuwenden. | ||
* Falls für eingesetzte Server-Betriebssysteme kein spezifischer Baustein existiert, müssen die Anforderungen des vorliegenden Bausteins geeignet für das Zielobjekt konkretisiert und es muss eine ergänzende Risikobetrachtung durchgeführt werden. | * Falls für eingesetzte Server-Betriebssysteme kein spezifischer Baustein existiert, müssen die Anforderungen des vorliegenden Bausteins geeignet, für das Zielobjekt konkretisiert und es muss eine ergänzende Risikobetrachtung durchgeführt werden. | ||
Die jeweils spezifischen Dienste, die vom Server angeboten werden, sind nicht Bestandteil dieses Bausteins. | ==== Dienste ==== | ||
; Die jeweils spezifischen Dienste, die vom Server angeboten werden, sind nicht Bestandteil dieses Bausteins. | |||
* Für diese Serverdienste müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz. | * Für diese Serverdienste müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz. | ||
* Die Bereitstellung von Benutzendensitzungen durch Terminalserver ist ebenfalls als Dienst zu betrachten. | |||
*: Für Terminalserver ist entsprechend der Baustein SYS.1.9 Terminalserver zu modellieren. | |||
==== Rollen- und Berechtigungskonzept ==== | |||
Grundsätzlich sind die Anforderungen an das Rollen- und Berechtigungskonzept aus dem Baustein ORP.4 Identitäts- und Berechtigungsmanagement zu berücksichtigen. | Grundsätzlich sind die Anforderungen an das Rollen- und Berechtigungskonzept aus dem Baustein ORP.4 Identitäts- und Berechtigungsmanagement zu berücksichtigen. | ||
* Ebenfalls zu berücksichtigen sind Anforderungen aus dem Baustein DER.4 Notfallmanagement. | * Ebenfalls zu berücksichtigen sind Anforderungen aus dem Baustein DER.4 Notfallmanagement. | ||
Server sollten | ==== Schadsoftware ==== | ||
Server sollten prinzipiell beim Konzept zum Schutz vor Schadsoftware berücksichtigt werden. | |||
* Anforderungen dazu finden sich im Baustein OPS.1.1.4 Schutz vor Schadprogrammen. | * Anforderungen dazu finden sich im Baustein OPS.1.1.4 Schutz vor Schadprogrammen. | ||
==== Patches und Änderungen ==== | |||
Bei Servern gibt es besondere Anforderungen an die Administration sowie den Umgang mit Patches und Änderungen. | Bei Servern gibt es besondere Anforderungen an die Administration sowie den Umgang mit Patches und Änderungen. | ||
* Deswegen sind die Anforderungen der Bausteine OPS.1.1.2 Ordnungsgemäße IT-Administration und OPS1.1.3 Patch- und Änderungsmanagement zu beachten. | * Deswegen sind die Anforderungen der Bausteine OPS.1.1.2 Ordnungsgemäße IT-Administration und OPS1.1.3 Patch- und Änderungsmanagement zu beachten. | ||
==== Netzwerksegmentierung ==== | |||
Server bieten häufig Dienste für eine Vielzahl von Clients an, oft auch über das Internet. | Server bieten häufig Dienste für eine Vielzahl von Clients an, oft auch über das Internet. | ||
* | * Daher sind sie besonders vom übrigen Netz der Institution zu trennen. | ||
* Anforderungen dazu gibt es im Baustein NET.1.1 Netzarchitektur und -design. | * Anforderungen dazu gibt es im Baustein NET.1.1 Netzarchitektur und -design. | ||
== Gefährdungslage == | ; Relevante Bausteine | ||
{| class="wikitable sortable options" | |||
|- | |||
! Baustein !! Bezeichnung !! Beschreibung | |||
|- | |||
| [[NET.3 Netzkomponenten | NET.3]] || Netzkomponenten || Betrieb von Netzkomponenten | |||
|- | |||
| [[NET.2 Funknetze | NET.2]] || Funknetze || Wireless LAN (WLAN) | |||
|- | |||
| [[SYS.1.8 Speicherlösungen | SYS.1.8]] || Speicherlösungen || Speichernetze (Storage Area Networks, SAN) | |||
|- | |||
| [[NET.4.2 VoIP | NET.4.2]] || VoIP || Voice over IP | |||
|- | |||
| || Virtual Private Cloud/Hybrid Cloud || Cloud-Computing | |||
|- | |||
|[[NET.1.2 Netzmanagement | NET.1.2]] || Netzmanagement || Netzmanagement | |||
|} | |||
=== Gefährdungslage === | |||
; Typische Szenarien | ; Typische Szenarien | ||
{| class="wikitable sortable options" | {| class="wikitable sortable options" | ||
Zeile 45: | Zeile 70: | ||
! Gefährdung !! Beschreibung | ! Gefährdung !! Beschreibung | ||
|- | |- | ||
| [[# | | [[#Unzureichende Planung|Unzureichende Planung]] || Beschreibung | ||
|- | |||
| [[#Fehlerhafte Administration von Servern|Fehlerhafte Administration]] || Beschreibung | |||
|- | |||
| [[#Unberechtigtes Erlangen oder Missbrauch von Administrationsrechten|Missbrauch von Administrationsrechten]] || Beschreibung | |||
|- | |||
| [[#Datenverlust|Datenverlust]] || Beschreibung | |||
|- | |||
| [[#Denial-of-Service-Angriffe|Denial-of-Service-Angriffe]] || Beschreibung | |||
|- | |- | ||
| [[# | | [[#Unberechtigtes Erlangen oder Missbrauch von Administrationsrechten|Missbrauch von Administrationsrechten]] || Beschreibung | ||
|- | |- | ||
| [[# | | [[#Bereitstellung unnötiger Applikationen und Dienste|Unnötiger Applikationen und Dienste]] || Beschreibung | ||
|- | |||
| [[#Überlastung von Servern|Überlastung]] || Beschreibung | |||
|} | |} | ||
== Zuständigkeiten == | |||
==== Unzureichende Planung ==== | |||
; Server sind komplexe IT-Systeme mit einer großen Anzahl an Funktionen und Konfigurationsoptionen | |||
* Auch wenn moderne Server-Betriebssysteme in vielen Bereichen gute Standardeinstellungen mitbringen, ist die Grundkonfiguration immer noch nicht in jedem Fall die sicherste. | |||
* Dies kann bei unzureichender Planung zu einer Vielzahl von Schwachstellen und Schwächen durch Fehlkonfiguration führen, die von unberechtigten Dritten leicht ausgenutzt werden können. | |||
* Werden außerdem nicht schon vor der Installation zentrale Entscheidungen getroffen, werden Server oft in einem unsicheren und undefinierten Zustand ausgeführt, der sich nachträglich kaum mehr beheben lässt. | |||
==== Fehlerhafte Administration von Servern ==== | |||
; Neue Versionen von Server-Betriebssystemen werden im Vergleich zu den Vorgängerversionen regelmäßig um neue Funktionen erweitert. | |||
* Auch bei bereits vorhandenen Features können sich Teilfunktionen, Parameter oder Standardkonfigurationen in neuen Versionen verändern. | |||
* Ist der IT-Betrieb der Institution nicht ausreichend in den Besonderheiten der Betriebssysteme geschult, drohen Konfigurationsfehler und menschliche Fehlhandlungen, die neben der Funktionalität auch die Sicherheit des IT-Systems beeinträchtigen können. | |||
; Eine besondere Gefahr stellen uneinheitliche Server-Sicherheitseinstellungen dar (z. B. bei SMB, RPC oder LDAP). | |||
* Wenn die Konfiguration nicht systematisch und zentral geplant, dokumentiert, überprüft und nachgehalten wird, droht ein sogenannter Konfigurationsdrift. | |||
* Je mehr sich die konkreten Konfigurationen funktional ähnlicher Systeme unbegründet und undokumentiert auseinander bewegen, desto schwieriger wird es, einen Überblick über den Status quo zu behalten und die Sicherheit ganzheitlich und konsequent aufrechtzuerhalten. | |||
==== Unberechtigtes Erlangen oder Missbrauch von Administrationsrechten ==== | |||
; Die reguläre Arbeit mit Administrationsrechten, wie beispielsweise die Erledigung von Aufgaben und Tätigkeiten, die auf einem Client-System grundsätzlich mit Standardberechtigungen vorgesehen und möglich sind, stellt auf einem Server ein Sicherheitsrisiko dar. | |||
* Sind gesonderte administrative Konten nicht auf die minimal notwendigen Rechte zur Durchführung administrativer Tätigkeiten beschränkt („Least Privilege“-Prinzip), können bei Übernahme solcher Konten weitreichende Rechte auf dem Server oder weiteren IT-Systemen erlangt und hoher Schaden verursacht werden. | |||
* Auch ein Missbrauch von Rechten durch legitime Administrierende ist ein relevantes Schadensszenario. | |||
* Da die Rollen oft sehr mächtig sind, sind hier die Auswirkungen in der Regel beträchtlich, etwa bei den sogenannten Domänenadministratoren. | |||
* Auch ohne Passwörter zu erraten oder zu brechen, können z. B. durch sogenannte Pass-the-Hash-Verfahren geeignete Credentials ausgelesen und missbraucht werden, um sich lateral im Netz weiterzubewegen. | |||
==== Datenverlust ==== | |||
; Der Verlust von Daten kann besonders bei Servern erhebliche Auswirkungen auf Geschäftsprozesse und Fachaufgaben und damit auf die gesamte Institution haben. | |||
* Sehr viele IT-Systeme wie Clients oder andere Server sind in der Regel darauf angewiesen, dass die dort zentral gespeicherten Daten immer verfügbar sind. | |||
; Wenn institutionsrelevante Informationen, egal welcher Art, zerstört oder verfälscht werden, können dadurch Geschäftsprozesse und Fachaufgaben verzögert oder sogar deren Ausführung verhindert werden. | |||
* Insgesamt kann der Verlust gespeicherter Daten, neben dem Ausfall und den Kosten für die Wiederbeschaffung der Daten, vor allem zu langfristigen Konsequenzen wie Vertrauenseinbußen in Geschäftsbeziehungen, zu juristischen Auswirkungen sowie zu einem negativen Eindruck in der Öffentlichkeit führen. | |||
* In vielen Institutionen existieren Regelungen, dass keine Daten auf den lokalen Clients gespeichert werden dürfen, sondern stattdessen zentrale Ablagen auf den Servern dazu genutzt werden müssen. | |||
* Ein Verlust dieser zentral abgelegten Daten hat in einem solchen Fall gravierende Auswirkungen. | |||
* Durch die verursachten direkten und indirekten Schäden können Institutionen sogar in ihrer Existenz bedroht sein. | |||
==== Denial-of-Service-Angriffe ==== | |||
; Ein Angriff auf die Verfügbarkeit von Datenbeständen, der „Denial of Service“ genannt wird, zielt darauf ab, zu verhindern, dass benötigte und normalerweise verfügbare Funktionen oder Geräte verwendet werden können. | |||
* Dieser Angriff steht häufig im Zusammenhang mit verteilten Ressourcen. | |||
* Indem diese Ressourcen bei Angriffen sehr stark in Anspruch genommen werden, kann nicht mehr regulär darauf zugegriffen werden. | |||
* In der Regel sind IT-Systeme auch stark voneinander abhängig. | |||
* Somit sind von der Verknappung der Ressourcen eines Servers schnell weitere Server betroffen. | |||
* Es können zum Beispiel CPU-Zeit, Speicherplatz oder Bandbreite künstlich verknappt werden. | |||
* Dies kann dazu führen, dass Dienste oder Ressourcen überhaupt nicht mehr genutzt werden können. | |||
==== Bereitstellung unnötiger Applikationen und Dienste ==== | |||
; Schon bei der Installation des Server-Betriebssystems ist es möglich, mitgelieferte Applikationen und Dienste zu installieren, von denen einige unter Umständen gar nicht genutzt werden. | |||
* Auch im späteren Betrieb wird oft Software installiert, die kurz getestet, aber danach nicht mehr benötigt wird. | |||
* Oft ist gar nicht bekannt, dass diese nicht genutzten Anwendungen und Dienste vorhanden sind. | |||
* Auf diese Weise befinden sich zahlreiche Applikationen und Dienste auf den Servern, die nicht eingesetzt werden und die ihn so unnötig belasten. | |||
; Außerdem können diese nicht genutzten Anwendungen und Dienste Schwachstellen enthalten, etwa wenn sie nicht mehr aktualisiert werden. | |||
* Sind die installierten Anwendungen und Dienste unbekannt, ist der Institution gar nicht bewusst, dass diese ebenfalls aktualisiert werden müssen. | |||
* Auf diese Weise können sie leicht zum Einfallstor für Angriffe werden. | |||
==== Überlastung von Servern ==== | |||
; Wenn Server nicht ausreichend dimensioniert sind, ist irgendwann der Punkt erreicht, an dem sie den Anforderungen der Institution nicht mehr gerecht werden. | |||
* Je nach Art der betroffenen IT-Systeme kann dies eine Vielzahl von negativen Auswirkungen haben. | |||
* So können die Server oder Dienste beispielsweise vorübergehend nicht verfügbar sein oder es können Datenverluste auftreten. | |||
* Die Überlastung eines einzelnen Servers kann bei komplexen IT-Landschaften außerdem dazu führen, dass bei weiteren Servern Probleme oder Ausfälle auftreten. | |||
; Auslöser für die Überlastung von IT-Systemen kann sein, dass | |||
* installierte Dienste oder Anwendungen falsch konfiguriert sind und so unnötig viel Speicher beanspruchen, | |||
* vorhandene Speicherplatzkapazitäten überschritten werden, | |||
* zahlreiche Anfragen zur gleichen Zeit ein IT-System überbeanspruchen, | |||
* zu viel Rechenleistung von den Diensten beansprucht wird oder | |||
* eine zu große Anzahl an Nachrichten zur gleichen Zeit versendet wird. | |||
=== Zuständigkeiten === | |||
Im Folgenden sind die spezifischen Anforderungen des Bausteins SYS.1.1 Allgemeiner Server aufgeführt. | Im Folgenden sind die spezifischen Anforderungen des Bausteins SYS.1.1 Allgemeiner Server aufgeführt. | ||
* Der oder die Informationssicherheitsbeauftragte (ISB) ist dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden. | * Der oder die Informationssicherheitsbeauftragte (ISB) ist dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden. | ||
* Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen. | * Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen. | ||
Im IT-Grundschutz | Im IT-Grundschutz/Kompendium sind darüber hinaus weitere Rollen definiert. | ||
* Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist. | * Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist. | ||
Zeile 79: | Zeile 179: | ||
== Anforderungen == | == Anforderungen == | ||
{| class="wikitable options" | |||
|- | |||
! Schutzbedarf !! Beschreibung | |||
|- | |||
|| [[#Basis | Basis]] || ''[[Modalverben|MÜSSEN]]'' vorrangig erfüllt werden | |||
|- | |||
|| [[#Standard | Standard]] || ''[[Modalverben|SOLLTEN]]'' grundsätzlich erfüllt werden | |||
|- | |||
|| [[#Erhöht | Erhöht]] || Exemplarische Vorschläge | |||
|} | |||
=== Basis === | === Basis === | ||
Basis-Anforderungen MÜSSEN vorrangig erfüllt werden | |||
{| class="wikitable options" | |||
|- | |||
! Anforderung !! Beschreibung !! Rolle | |||
|- | |||
| A1 || [[#A1 Zugriffsschutz und Nutzung|Zugriffsschutz und Nutzung]] || | |||
|- | |||
| A2 || [[#A2 Authentisierung an Servern|Authentisierung an Servern]] || | |||
|- | |||
| <s>A3</s> || <s>entfallen</s> || | |||
|- | |||
| <s>A4</s> || <s>entfallen</s> || | |||
|- | |||
| A5 || [[#A5 Schutz von Schnittstellen|Schutz von Schnittstellen]] || | |||
|- | |||
| A6 || [[#A6 Deaktivierung nicht benötigter Dienste|Deaktivierung nicht benötigter Dienste]] || | |||
|- | |||
| <s>A7</s> || <s>entfallen</s> || | |||
|- | |||
| <s>A8</s> || <s>entfallen</s> || | |||
|- | |||
| A9 || [[#A9 Einsatz von Virenschutz-Programmen auf Servern|Einsatz von Virenschutz-Programmen auf Servern]] || | |||
|- | |||
| A10 || [[#A10 Protokollierung|Protokollierung]] || | |||
|} | |||
=== | ==== A1 Zugriffsschutz und Nutzung ==== | ||
Physische Server MÜSSEN an Orten betrieben werden, zu denen nur berechtigte Personen Zutritt haben | ; Physische Server MÜSSEN an Orten betrieben werden, zu denen nur berechtigte Personen Zutritt haben | ||
* Physische Server MÜSSEN daher in Rechenzentren, Serverräumen oder abschließbaren Serverschränken aufgestellt beziehungsweise eingebaut werden (siehe hierzu die entsprechenden Bausteine der Schicht INF Infrastruktur). | * Physische Server MÜSSEN daher in Rechenzentren, Serverräumen oder abschließbaren Serverschränken aufgestellt beziehungsweise eingebaut werden (siehe hierzu die entsprechenden Bausteine der Schicht INF Infrastruktur). | ||
* Bei virtualisierten Servern MUSS der Zugriff auf die Ressourcen der Instanz und deren Konfiguration ebenfalls auf die berechtigten Personen begrenzt werden. | * Bei virtualisierten Servern MUSS der Zugriff auf die Ressourcen der Instanz und deren Konfiguration ebenfalls auf die berechtigten Personen begrenzt werden. | ||
Server DÜRFEN NICHT als Arbeitsplatzrechner genutzt werden | ; Server DÜRFEN NICHT als Arbeitsplatzrechner genutzt werden | ||
* Server DÜRFEN NICHT zur Erledigung von Aufgaben und Tätigkeiten verwendet werden, die grundsätzlich auf einem Client-System aus- und durchgeführt werden können. | * Server DÜRFEN NICHT zur Erledigung von Aufgaben und Tätigkeiten verwendet werden, die grundsätzlich auf einem Client-System aus- und durchgeführt werden können. | ||
* Insbesondere DÜRFEN vorhandene Anwendungen, wie Webbrowser, auf dem Server NICHT für das Abrufen von Informationen aus dem Internet oder das Herunterladen von Software, Treibern und Updates verwendet werden. | * Insbesondere DÜRFEN vorhandene Anwendungen, wie Webbrowser, auf dem Server NICHT für das Abrufen von Informationen aus dem Internet oder das Herunterladen von Software, Treibern und Updates verwendet werden. | ||
Als Arbeitsplatz genutzte IT-Systeme DÜRFEN NICHT als Server genutzt werden | ; Als Arbeitsplatz genutzte IT-Systeme DÜRFEN NICHT als Server genutzt werden | ||
=== | ==== A2 Authentisierung an Servern ==== | ||
Für die Anmeldung von Benutzenden und Diensten am Server MÜSSEN Authentisierungsverfahren eingesetzt werden, die dem Schutzbedarf der Server angemessen sind. | ; Für die Anmeldung von Benutzenden und Diensten am Server MÜSSEN Authentisierungsverfahren eingesetzt werden, die dem Schutzbedarf der Server angemessen sind. | ||
* Dies SOLLTE in besonderem Maße für administrative Zugänge berücksichtigt werden. | * Dies SOLLTE in besonderem Maße für administrative Zugänge berücksichtigt werden. | ||
* Soweit möglich, SOLLTE dabei auf zentrale, netzbasierte Authentisierungsdienste zurückgegriffen werden. | * Soweit möglich, SOLLTE dabei auf zentrale, netzbasierte Authentisierungsdienste zurückgegriffen werden. | ||
=== | ==== A5 Schutz von Schnittstellen ==== | ||
; Es MUSS gewährleistet werden, dass nur dafür vorgesehene Wechselspeicher und sonstige Geräte an die Server angeschlossen werden können. | |||
Es MUSS gewährleistet werden, dass nur dafür vorgesehene Wechselspeicher und sonstige Geräte an die Server angeschlossen werden können. | |||
* Alle Schnittstellen, die nicht verwendet werden, MÜSSEN deaktiviert werden. | * Alle Schnittstellen, die nicht verwendet werden, MÜSSEN deaktiviert werden. | ||
=== | ==== A6 Deaktivierung nicht benötigter Dienste==== | ||
Alle nicht benötigten Serverrollen, Features und Funktionen, sonstige Software und Dienste MÜSSEN deaktiviert oder deinstalliert werden, vor allem Netzdienste. | ; Alle nicht benötigten Serverrollen, Features und Funktionen, sonstige Software und Dienste MÜSSEN deaktiviert oder deinstalliert werden, vor allem Netzdienste. | ||
* Auch alle nicht benötigten Funktionen in der Firmware MÜSSEN deaktiviert werden. | * Auch alle nicht benötigten Funktionen in der Firmware MÜSSEN deaktiviert werden. | ||
* Die Empfehlungen des Betriebssystemherstellers SOLLTEN hierbei als Orientierung berücksichtigt werden. | * Die Empfehlungen des Betriebssystemherstellers SOLLTEN hierbei als Orientierung berücksichtigt werden. | ||
Auf Servern SOLLTE der Speicherplatz für die einzelnen Benutzenden, aber auch für Anwendungen, geeignet beschränkt werden. | ; Auf Servern SOLLTE der Speicherplatz für die einzelnen Benutzenden, aber auch für Anwendungen, geeignet beschränkt werden. | ||
Die getroffenen Entscheidungen SOLLTEN so dokumentiert werden, dass nachvollzogen werden kann, welche Konfiguration und Softwareausstattung für die Server gewählt wurden. | Die getroffenen Entscheidungen SOLLTEN so dokumentiert werden, dass nachvollzogen werden kann, welche Konfiguration und Softwareausstattung für die Server gewählt wurden. | ||
=== | ==== A9 Einsatz von Virenschutz-Programmen auf Servern ==== | ||
; Abhängig vom installierten Betriebssystem, den bereitgestellten Diensten und von anderen vorhandenen Schutzmechanismen des Servers MUSS geprüft werden, ob Viren-Schutzprogramme eingesetzt werden sollen und können. | |||
* Soweit vorhanden, MÜSSEN konkrete Aussagen, ob ein Virenschutz notwendig ist, aus den betreffenden Betriebssystem-Bausteinen des IT-Grundschutz/Kompendiums berücksichtigt werden. | |||
=== | ==== A10 Protokollierung ==== | ||
; Generell MÜSSEN alle sicherheitsrelevanten Systemereignisse protokolliert werden, dazu gehören mindestens | |||
* Systemstarts und Reboots | |||
* Erfolgreiche und erfolglose Anmeldungen am IT-System (Betriebssystem und Anwendungssoftware) | |||
* Fehlgeschlagene Berechtigungsprüfungen | |||
* Blockierte Datenströme (Verstöße gegen ACLs oder Firewallregeln) | |||
* Einrichtung oder Änderungen von Benutzenden, Gruppen und Berechtigungen | |||
* Sicherheitsrelevante Fehlermeldungen (z. B. Hardwaredefekte, Überschreitung von Kapazitätsgrenzen) | |||
* Warnmeldungen von Sicherheitssystemen (z. B. Virenschutz) | |||
=== | === Standard === | ||
; Standard-Anforderungen | |||
* | * [[Modalverben|SOLLTEN]] grundsätzlich erfüllt werden | ||
Stand der Technik für Netzarchitektur und -design | |||
* Gemeinsam mit den Basis-Anforderungen | |||
= | ; Anforderungen | ||
{| class="wikitable options" | |||
|- | |||
! Anforderung !! Beschreibung !! Rolle | |||
|- | |||
| A11 || [[#A11 Festlegung einer Sicherheitsrichtlinie für Server|Festlegung einer Sicherheitsrichtlinie für Server]] || | |||
|- | |||
| A12 || [[#A12 Planung des Server-Einsatzes|Planung des Server-Einsatzes]] || | |||
|- | |||
| A13 || [[#A13 Beschaffung von Servern|Beschaffung von Servern]] || | |||
|- | |||
| <s>A14</s> || <s>entfallen</s> || | |||
|- | |||
| A15 || [[#A15 Unterbrechungsfreie und stabile Stromversorgung|Unterbrechungsfreie und stabile Stromversorgung]] || [[IT-GrundschutzKompendium/Rollen#Haustechnik|Haustechnik]] | |||
|- | |||
| A16 || [[#A16 Sichere Installation und Grundkonfiguration von Servern|Sichere Installation und Grundkonfiguration von Servern]] || | |||
|- | |||
| <s>A17</s> || <s>entfallen</s> || | |||
|- | |||
| <s>A18</s> || <s>entfallen</s> || | |||
|- | |||
| A19 || [[#A19 Einrichtung lokaler Paketfilter|Einrichtung lokaler Paketfilter]] || | |||
|- | |||
| <s>A20</s> || <s>entfallen</s> || | |||
|- | |||
| A21 || [[#A21 Betriebsdokumentation für Server|Betriebsdokumentation für Server]] || | |||
|- | |||
| A22 || [[#A22 Einbindung in die Notfallplanung|Einbindung in die Notfallplanung]] || | |||
|- | |||
| A22 || [[#A23 Systemüberwachung und Monitoring von Servern|Systemüberwachung und Monitoring von Servern]] || | |||
|- | |||
| A24 || [[#A24 Sicherheitsprüfungen für Server|Sicherheitsprüfungen für Server]] | |||
|- | |||
| A25 || [[#A25 Geregelte Außerbetriebnahme eines Servers|Geregelte Außerbetriebnahme eines Servers]] || | |||
|- | |||
| A35 || [[#A35 Erstellung und Pflege eines Betriebshandbuchs|Erstellung und Pflege eines Betriebshandbuchs]] || | |||
|- | |||
| A37 || [[#A37 Kapselung von sicherheitskritischen Anwendungen und Betriebssystemkomponenten|Kapselung von sicherheitskritischen Anwendungen und Betriebssystemkomponenten]] || | |||
|- | |||
| A39 || [[#A39 Zentrale Verwaltung der Sicherheitsrichtlinien von Servern|Zentrale Verwaltung der Sicherheitsrichtlinien von Servern]] || | |||
|} | |||
=== | ==== A11 Festlegung einer Sicherheitsrichtlinie für Server ==== | ||
; Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution SOLLTEN die Anforderungen an Server in einer separaten Sicherheitsrichtlinie konkretisiert werden. | |||
Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution SOLLTEN die Anforderungen an Server in einer separaten Sicherheitsrichtlinie konkretisiert werden. | |||
* Diese Richtlinie SOLLTE allen Administrierenden und anderen Personen, die an der Beschaffung und dem Betrieb der Server beteiligt sind, bekannt und Grundlage für deren Arbeit sein. | * Diese Richtlinie SOLLTE allen Administrierenden und anderen Personen, die an der Beschaffung und dem Betrieb der Server beteiligt sind, bekannt und Grundlage für deren Arbeit sein. | ||
* Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE regelmäßig überprüft werden. | * Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE regelmäßig überprüft werden. | ||
* Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden. | * Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden. | ||
=== | ==== A12 Planung des Server-Einsatzes ==== | ||
Jedes Server-System SOLLTE geeignet geplant werden | ; Jedes Server-System SOLLTE geeignet geplant werden | ||
Dabei SOLLTEN mindestens folgende Punkte berücksichtigt werden: | |||
* Auswahl der Plattform (Hardware oder virtualisierte Ressourcen), des Betriebssystems und der Anwendungssoftware | |||
* Dimensionierung der Hardware (Leistung, Speicher, Bandbreite etc.) | |||
* Art und Anzahl der Kommunikationsschnittstellen | |||
* Leistungsaufnahme, Wärmelast, Platzbedarf und Bauform | |||
* administrative Zugänge (siehe SYS.1.1.A5 Schutz von Schnittstellen) | |||
* Zugriffe von Benutzenden | |||
* Protokollierung (siehe SYS.1.1.A10 Protokollierung) | |||
* Aktualisierung von Betriebssystem und Anwendungen | |||
* Einbindung ins System- und Netzmanagement, in die Datensicherung und die Schutzsysteme (Virenschutz, IDS etc.) | |||
Alle Entscheidungen, die in der Planungsphase getroffen wurden, SOLLTEN so dokumentiert werden, dass sie zu einem späteren Zeitpunkt nachvollzogen werden können. | Alle Entscheidungen, die in der Planungsphase getroffen wurden, SOLLTEN so dokumentiert werden, dass sie zu einem späteren Zeitpunkt nachvollzogen werden können. | ||
=== | ==== A13 Beschaffung von Servern ==== | ||
Bevor ein oder mehrere Server beschafft werden, SOLLTE eine Anforderungsliste erstellt werden, anhand derer die am Markt erhältlichen Produkte bewertet werden. | Bevor ein oder mehrere Server beschafft werden, SOLLTE eine Anforderungsliste erstellt werden, anhand derer die am Markt erhältlichen Produkte bewertet werden. | ||
=== | ==== A15 Unterbrechungsfreie und stabile Stromversorgung ==== | ||
Jeder Server SOLLTE an eine unterbrechungsfreie Stromversorgung (USV) angeschlossen werden. | Jeder Server SOLLTE an eine unterbrechungsfreie Stromversorgung (USV) angeschlossen werden. | ||
=== | ==== A16 Sichere Installation und Grundkonfiguration von Servern ==== | ||
Der vollständige Installations- und Konfigurationsvorgang SOLLTE soweit wie möglich innerhalb einer gesonderten und von Produktivsystemen abgetrennten Installationsumgebung vorgenommen werden. | ; Der vollständige Installations- und Konfigurationsvorgang SOLLTE soweit wie möglich innerhalb einer gesonderten und von Produktivsystemen abgetrennten Installationsumgebung vorgenommen werden. | ||
* Die Konfiguration des Betriebssystems SOLLTE vor produktiver Inbetriebnahme des Servers bereits vorgenommen sein. | * Die Konfiguration des Betriebssystems SOLLTE vor produktiver Inbetriebnahme des Servers bereits vorgenommen sein. | ||
Mehrere wesentliche Funktionen und Rollen SOLLTEN NICHT durch einen einzigen Server erfüllt, sondern geeignet aufgeteilt werden. | ; Mehrere wesentliche Funktionen und Rollen SOLLTEN NICHT durch einen einzigen Server erfüllt, sondern geeignet aufgeteilt werden. | ||
Alle sicherheitsrelevanten Einstellungen der aktivierten Dienste und Funktionen (vgl. SYS.1.1.A6 Deaktivierung nicht benötigter Dienste) SOLLTEN entsprechend den Vorgaben der Sicherheitsrichtlinie für Server (siehe SYS.1.1.A11 Festlegung einer Sicherheitsrichtlinie für Server) konfiguriert, getestet und regelmäßig inhaltlich überprüft werden. | ; Alle sicherheitsrelevanten Einstellungen der aktivierten Dienste und Funktionen (vgl. SYS.1.1.A6 Deaktivierung nicht benötigter Dienste) SOLLTEN entsprechend den Vorgaben der Sicherheitsrichtlinie für Server (siehe SYS.1.1.A11 Festlegung einer Sicherheitsrichtlinie für Server) konfiguriert, getestet und regelmäßig inhaltlich überprüft werden. | ||
* Dabei SOLLTE der Server unter Berücksichtigung der Empfehlungen des Betriebssystemherstellers und des voreingestellten Standardverhaltens konfiguriert werden, sofern dies nicht anderen Anforderungen aus dem IT-Grundschutz oder der Organisation widerspricht. | * Dabei SOLLTE der Server unter Berücksichtigung der Empfehlungen des Betriebssystemherstellers und des voreingestellten Standardverhaltens konfiguriert werden, sofern dies nicht anderen Anforderungen aus dem IT-Grundschutz oder der Organisation widerspricht. | ||
* Die Entscheidungen SOLLTEN dokumentiert und begründet werden. | * Die Entscheidungen SOLLTEN dokumentiert und begründet werden. | ||
* Konfigurationsoptionen SOLLTEN in jedem Fall gesetzt werden, auch dann, wenn das voreingestellte Standardverhalten dadurch nicht verändert wird. | * Konfigurationsoptionen SOLLTEN in jedem Fall gesetzt werden, auch dann, wenn das voreingestellte Standardverhalten dadurch nicht verändert wird. | ||
Sofern der Server eine Verbindung in das Internet benötigt oder aus dem Internet erreichbar sein muss, SOLLTE er erst mit dem Internet verbunden werden, nachdem die Installation und die Konfiguration abgeschlossen sind | ; Sofern der Server eine Verbindung in das Internet benötigt oder aus dem Internet erreichbar sein muss, SOLLTE er erst mit dem Internet verbunden werden, nachdem die Installation und die Konfiguration abgeschlossen sind. | ||
=== | ==== A19 Einrichtung lokaler Paketfilter ==== | ||
Vorhandene lokale Paketfilter SOLLTEN über ein Regelwerk so ausgestaltet werden, dass die eingehende und ausgehende Kommunikation auf die erforderlichen Kommunikationspartner, Kommunikationsprotokolle sowie Ports und Schnittstellen beschränkt wird. | Vorhandene lokale Paketfilter SOLLTEN über ein Regelwerk so ausgestaltet werden, dass die eingehende und ausgehende Kommunikation auf die erforderlichen Kommunikationspartner, Kommunikationsprotokolle sowie Ports und Schnittstellen beschränkt wird. | ||
* Die Identität von Remote-Systemen und die Integrität der Verbindungen mit diesen SOLLTE kryptografisch abgesichert sein. | * Die Identität von Remote-Systemen und die Integrität der Verbindungen mit diesen SOLLTE kryptografisch abgesichert sein. | ||
=== | ==== A21 Betriebsdokumentation für Server ==== | ||
; Betriebliche Aufgaben, die an einem Server durchgeführt werden, SOLLTEN nachvollziehbar dokumentiert werden (Wer?, Wann?, Was?). | |||
Betriebliche Aufgaben, die an einem Server durchgeführt werden, SOLLTEN nachvollziehbar dokumentiert werden (Wer?, Wann?, Was?). | |||
* Aus der Dokumentation SOLLTEN insbesondere Konfigurationsänderungen nachvollziehbar sein. | * Aus der Dokumentation SOLLTEN insbesondere Konfigurationsänderungen nachvollziehbar sein. | ||
* Sicherheitsrelevante Aufgaben, z. B. wer befugt ist, neue Festplatten einzubauen, SOLLTEN dokumentiert werden. | * Sicherheitsrelevante Aufgaben, z. B. wer befugt ist, neue Festplatten einzubauen, SOLLTEN dokumentiert werden. | ||
* Alles, was automatisch dokumentiert werden kann, SOLLTE auch automatisch dokumentiert werden. | * Alles, was automatisch dokumentiert werden kann, SOLLTE auch automatisch dokumentiert werden. | ||
* Die Dokumentation SOLLTE gegen unbefugten Zugriff und Verlust geschützt werden. | * Die Dokumentation SOLLTE gegen unbefugten Zugriff und Verlust geschützt werden. | ||
=== | ==== A22 Einbindung in die Notfallplanung ==== | ||
Der Server SOLLTE im Notfallmanagementprozess berücksichtigt werden | ; Der Server SOLLTE im Notfallmanagementprozess berücksichtigt werden | ||
* Dazu SOLLTEN die Notfallanforderungen an den Server ermittelt und geeignete Notfallmaßnahmen umgesetzt werden, z. B. indem Wiederanlaufpläne erstellt oder Passwörter und kryptografische Schlüssel sicher hinterlegt werden. | * Dazu SOLLTEN die Notfallanforderungen an den Server ermittelt und geeignete Notfallmaßnahmen umgesetzt werden, z. B. indem Wiederanlaufpläne erstellt oder Passwörter und kryptografische Schlüssel sicher hinterlegt werden. | ||
=== | ==== A23 Systemüberwachung und Monitoring von Servern ==== | ||
Das Server-System SOLLTE in ein geeignetes Systemüberwachungs- oder Monitoringkonzept eingebunden werden | ; Das Server-System SOLLTE in ein geeignetes Systemüberwachungs- oder Monitoringkonzept eingebunden werden | ||
* Der Systemzustand sowie die Funktionsfähigkeit des Servers und der darauf betriebenen Dienste SOLLTEN laufend überwacht werden. | * Der Systemzustand sowie die Funktionsfähigkeit des Servers und der darauf betriebenen Dienste SOLLTEN laufend überwacht werden. | ||
* Fehlerzustände sowie die Überschreitung definierter Grenzwerte SOLLTEN an das Betriebspersonal gemeldet werden. | * Fehlerzustände sowie die Überschreitung definierter Grenzwerte SOLLTEN an das Betriebspersonal gemeldet werden. | ||
=== | ==== A24 Sicherheitsprüfungen für Server ==== | ||
Server SOLLTEN regelmäßigen Sicherheitstests unterzogen werden, die überprüfen, ob alle Sicherheitsvorgaben eingehalten werden und gegebenenfalls vorhandene Schwachstellen identifizieren. | ; Server SOLLTEN regelmäßigen Sicherheitstests unterzogen werden, die überprüfen, ob alle Sicherheitsvorgaben eingehalten werden und gegebenenfalls vorhandene Schwachstellen identifizieren. | ||
* Diese Sicherheitsprüfungen SOLLTEN insbesondere auf Servern mit externen Schnittstellen durchgeführt werden. | * Diese Sicherheitsprüfungen SOLLTEN insbesondere auf Servern mit externen Schnittstellen durchgeführt werden. | ||
* Um mittelbare Angriffe über infizierte IT-Systeme im eigenen Netz zu vermeiden, SOLLTEN jedoch auch interne Server in festgelegten Zyklen entsprechend überprüft werden. | * Um mittelbare Angriffe über infizierte IT-Systeme im eigenen Netz zu vermeiden, SOLLTEN jedoch auch interne Server in festgelegten Zyklen entsprechend überprüft werden. | ||
* Es SOLLTE geprüft werden, ob die Sicherheitsprüfungen automatisiert, z. B. mittels geeigneter Skripte, realisiert werden können. | * Es SOLLTE geprüft werden, ob die Sicherheitsprüfungen automatisiert, z. B. mittels geeigneter Skripte, realisiert werden können. | ||
=== | ==== A25 Geregelte Außerbetriebnahme eines Servers ==== | ||
Bei der Außerbetriebnahme eines Servers SOLLTE sichergestellt werden, dass keine wichtigen Daten, die eventuell auf den verbauten Datenträgern gespeichert sind, verloren gehen und dass keine schutzbedürftigen Daten zurückbleiben. | ; Bei der Außerbetriebnahme eines Servers SOLLTE sichergestellt werden, dass keine wichtigen Daten, die eventuell auf den verbauten Datenträgern gespeichert sind, verloren gehen und dass keine schutzbedürftigen Daten zurückbleiben. | ||
* Es SOLLTE einen Überblick darüber geben, welche Daten wo auf dem Server gespeichert sind. | * Es SOLLTE einen Überblick darüber geben, welche Daten wo auf dem Server gespeichert sind. | ||
* Es SOLLTE rechtzeitig sichergestellt werden, dass vom Server angebotene Dienste durch einen anderen Server übernommen werden, wenn dies erforderlich ist. | * Es SOLLTE rechtzeitig sichergestellt werden, dass vom Server angebotene Dienste durch einen anderen Server übernommen werden, wenn dies erforderlich ist. | ||
Es SOLLTE eine Checkliste erstellt werden, die bei der Außerbetriebnahme eines Servers abgearbeitet werden kann. | ; Es SOLLTE eine Checkliste erstellt werden, die bei der Außerbetriebnahme eines Servers abgearbeitet werden kann. | ||
* Diese Checkliste SOLLTE mindestens Aspekte zu Datensicherung, Migration von Diensten und dem anschließenden sicheren Löschen aller Daten umfassen. | * Diese Checkliste SOLLTE mindestens Aspekte zu Datensicherung, Migration von Diensten und dem anschließenden sicheren Löschen aller Daten umfassen. | ||
=== | ==== A35 Erstellung und Pflege eines Betriebshandbuchs ==== | ||
Es SOLLTE ein Betriebshandbuch erstellt werden | ; Es SOLLTE ein Betriebshandbuch erstellt werden | ||
* Darin SOLLTEN alle erforderlichen Regelungen, Anforderungen und Einstellungen dokumentiert werden, die erforderlich sind, um Server zu betreiben. | * Darin SOLLTEN alle erforderlichen Regelungen, Anforderungen und Einstellungen dokumentiert werden, die erforderlich sind, um Server zu betreiben. | ||
* Für jede Art von Server SOLLTE es ein spezifisches Betriebshandbuch geben. | * Für jede Art von Server SOLLTE es ein spezifisches Betriebshandbuch geben. | ||
Zeile 238: | Zeile 391: | ||
* Das Betriebshandbuch SOLLTE in Notfällen zur Verfügung stehen. | * Das Betriebshandbuch SOLLTE in Notfällen zur Verfügung stehen. | ||
=== | ==== A37 Kapselung von sicherheitskritischen Anwendungen und Betriebssystemkomponenten ==== | ||
Um sowohl den unberechtigten Zugriff auf das Betriebssystem oder andere Anwendungen bei Angriffen als auch den Zugriff vom Betriebssystem auf besonders schützenswerte Dateien zu verhindern, SOLLTEN Anwendungen und Betriebssystemkomponenten (wie beispielsweise Authentisierung oder Zertifikatsüberprüfung) ihrem Schutzbedarf entsprechend besonders gekapselt oder anderen Anwendungen und Betriebssystemkomponenten gegenüber isoliert werden. | Um sowohl den unberechtigten Zugriff auf das Betriebssystem oder andere Anwendungen bei Angriffen als auch den Zugriff vom Betriebssystem auf besonders schützenswerte Dateien zu verhindern, SOLLTEN Anwendungen und Betriebssystemkomponenten (wie beispielsweise Authentisierung oder Zertifikatsüberprüfung) ihrem Schutzbedarf entsprechend besonders gekapselt oder anderen Anwendungen und Betriebssystemkomponenten gegenüber isoliert werden. | ||
* Dabei SOLLTEN insbesondere sicherheitskritische Anwendungen berücksichtigt werden, die mit Daten aus unsicheren Quellen arbeiten (z. B. Webbrowser und Bürokommunikations-Anwendungen). | * Dabei SOLLTEN insbesondere sicherheitskritische Anwendungen berücksichtigt werden, die mit Daten aus unsicheren Quellen arbeiten (z. B. Webbrowser und Bürokommunikations-Anwendungen). | ||
=== | ==== A39 Zentrale Verwaltung der Sicherheitsrichtlinien von Servern ==== | ||
Alle Einstellungen des Servers SOLLTEN durch Nutzung eines zentralen Managementsystems (siehe auch OPS.1.1.7 Systemmanagement) verwaltet und entsprechend dem ermittelten Schutzbedarf sowie auf den internen Richtlinien basierend konfiguriert sein. | Alle Einstellungen des Servers SOLLTEN durch Nutzung eines zentralen Managementsystems (siehe auch OPS.1.1.7 Systemmanagement) verwaltet und entsprechend dem ermittelten Schutzbedarf sowie auf den internen Richtlinien basierend konfiguriert sein. | ||
* Technisch nicht umsetzbare Konfigurationsparameter SOLLTEN dokumentiert, begründet und mit dem Sicherheitsmanagement abgestimmt werden. | * Technisch nicht umsetzbare Konfigurationsparameter SOLLTEN dokumentiert, begründet und mit dem Sicherheitsmanagement abgestimmt werden. | ||
=== Erhöht === | === Erhöht === | ||
; | ; Exemplarische Vorschläge für erhöhten Schutzbedarf | ||
* Über das den ''Stand der Technik'' entsprechende Schutzniveau hinausgehend | |||
; SOLLTEN bei ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden | |||
* Festlegung im Rahmen einer Risikoanalyse | |||
=== | {| class="wikitable options" | ||
|- | |||
! Anforderung !! Beschreibung !! Rolle | |||
|- | |||
| A26 || entfallen || | |||
|- | |||
| A27 || [[#A27 Hostbasierte Angriffserkennung | Hostbasierte Angriffserkennung]] || | |||
|- | |||
| A28 || [[#A28 Steigerung der Verfügbarkeit durch Redundanz|Steigerung der Verfügbarkeit durch Redundanz]] || | |||
|- | |||
| A29 || entfallen || | |||
|- | |||
| A30 || [[#A30 Ein Dienst pro Server|Ein Dienst pro Server]] || | |||
|- | |||
| A31 || [[#A31 Einsatz von Ausführungskontrolle|Einsatz von Ausführungskontrolle]] || | |||
|- | |||
| A32 || entfallen || | |||
|- | |||
| A33 || [[#A33 Aktive Verwaltung der Wurzelzertifikate|Aktive Verwaltung der Wurzelzertifikate]] || | |||
|- | |||
| A34 || [[#A34 Festplattenverschlüsselung|Festplattenverschlüsselung]] || | |||
|- | |||
| A36 || [[#A36 Absicherung des Bootvorgangs|Absicherung des Bootvorgangs]] || | |||
|- | |||
| A38 || [[#A38 Härtung des Host-Systems mittels Read-Only-Dateisystem|Härtung des Host-Systems mittels Read-Only-Dateisystem]] || | |||
|} | |||
==== A27 Hostbasierte Angriffserkennung ==== | |||
Hostbasierte Angriffserkennungssysteme (Host-based Intrusion Detection Systems, IDS und Intrusion Prevention Systems, IPS) SOLLTEN eingesetzt werden, um das Systemverhalten auf Anomalien und Missbrauch hin zu überwachen. | Hostbasierte Angriffserkennungssysteme (Host-based Intrusion Detection Systems, IDS und Intrusion Prevention Systems, IPS) SOLLTEN eingesetzt werden, um das Systemverhalten auf Anomalien und Missbrauch hin zu überwachen. | ||
* Die eingesetzten IDS/IPS-Mechanismen SOLLTEN geeignet ausgewählt, konfiguriert und ausführlich getestet werden. | * Die eingesetzten IDS/IPS-Mechanismen SOLLTEN geeignet ausgewählt, konfiguriert und ausführlich getestet werden. | ||
Zeile 262: | Zeile 440: | ||
Über Betriebssystem-Mechanismen oder geeignete Zusatzprodukte SOLLTEN Veränderungen an Systemdateien und Konfigurationseinstellungen überprüft, eingeschränkt und gemeldet werden. | Über Betriebssystem-Mechanismen oder geeignete Zusatzprodukte SOLLTEN Veränderungen an Systemdateien und Konfigurationseinstellungen überprüft, eingeschränkt und gemeldet werden. | ||
=== | ==== A28 Steigerung der Verfügbarkeit durch Redundanz ==== | ||
Server mit hohen Verfügbarkeitsanforderungen SOLLTEN gegen Ausfälle in geeigneter Weise geschützt sein. | Server mit hohen Verfügbarkeitsanforderungen SOLLTEN gegen Ausfälle in geeigneter Weise geschützt sein. | ||
* Hierzu SOLLTEN mindestens geeignete Redundanzen verfügbar sein sowie Wartungsverträge mit den Lieferanten abgeschlossen werden. | * Hierzu SOLLTEN mindestens geeignete Redundanzen verfügbar sein sowie Wartungsverträge mit den Lieferanten abgeschlossen werden. | ||
* Es SOLLTE geprüft werden, ob bei sehr hohen Anforderungen Hochverfügbarkeitsarchitekturen mit automatischem Failover, gegebenenfalls über verschiedene Standorte hinweg, erforderlich sind. | * Es SOLLTE geprüft werden, ob bei sehr hohen Anforderungen Hochverfügbarkeitsarchitekturen mit automatischem Failover, gegebenenfalls über verschiedene Standorte hinweg, erforderlich sind. | ||
=== | ==== A30 Ein Dienst pro Server ==== | ||
Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste SOLLTE auf jedem Server jeweils nur ein Dienst betrieben werden. | Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste SOLLTE auf jedem Server jeweils nur ein Dienst betrieben werden. | ||
=== | ==== A31 Einsatz von Ausführungskontrolle ==== | ||
Es SOLLTE über eine Ausführungskontrolle sichergestellt werden, dass nur explizit erlaubte Programme und Skripte ausgeführt werden können. | Es SOLLTE über eine Ausführungskontrolle sichergestellt werden, dass nur explizit erlaubte Programme und Skripte ausgeführt werden können. | ||
* Die Regeln SOLLTEN so eng wie möglich gefasst werden. | * Die Regeln SOLLTEN so eng wie möglich gefasst werden. | ||
* Falls Pfade und Hashes nicht explizit angegeben werden können, SOLLTEN alternativ auch zertifikatsbasierte oder Pfad-Regeln genutzt werden. | * Falls Pfade und Hashes nicht explizit angegeben werden können, SOLLTEN alternativ auch zertifikatsbasierte oder Pfad-Regeln genutzt werden. | ||
=== | ==== A33 Aktive Verwaltung der Wurzelzertifikate ==== | ||
Im Zuge der Beschaffung und Installation des Servers SOLLTE dokumentiert werden, welche Wurzelzertifikate für den Betrieb des Servers notwendig sind. | Im Zuge der Beschaffung und Installation des Servers SOLLTE dokumentiert werden, welche Wurzelzertifikate für den Betrieb des Servers notwendig sind. | ||
* Auf dem Server SOLLTEN lediglich die für den Betrieb notwendigen und vorab dokumentierten Wurzelzertifikate enthalten sein. | * Auf dem Server SOLLTEN lediglich die für den Betrieb notwendigen und vorab dokumentierten Wurzelzertifikate enthalten sein. | ||
Zeile 287: | Zeile 459: | ||
* Es SOLLTEN alle auf dem IT-System vorhandenen Zertifikatsspeicher in die Prüfung einbezogen werden. | * Es SOLLTEN alle auf dem IT-System vorhandenen Zertifikatsspeicher in die Prüfung einbezogen werden. | ||
=== | ==== A34 Festplattenverschlüsselung ==== | ||
Bei erhöhtem Schutzbedarf SOLLTEN die Datenträger des Servers mit einem als sicher geltenden Produkt oder Verfahren verschlüsselt werden. | Bei erhöhtem Schutzbedarf SOLLTEN die Datenträger des Servers mit einem als sicher geltenden Produkt oder Verfahren verschlüsselt werden. | ||
* Dies SOLLTE auch für virtuelle Maschinen mit produktiven Daten gelten. | * Dies SOLLTE auch für virtuelle Maschinen mit produktiven Daten gelten. | ||
* Es SOLLTE nicht nur ein TPM allein als Schlüsselschutz dienen. | * Es SOLLTE nicht nur ein TPM allein als Schlüsselschutz dienen. | ||
* Das Wiederherstellungspasswort SOLLTE an einem geeigneten sicheren Ort gespeichert werden. | * Das Wiederherstellungspasswort SOLLTE an einem geeigneten sicheren Ort gespeichert werden. | ||
* Bei sehr hohen Anforderungen z. B. an die Vertraulichkeit SOLLTE eine Full Volume oder Full Disk Encryption erfolgen. | * Bei sehr hohen Anforderungen z. B. an die Vertraulichkeit SOLLTE eine Full Volume oder Full Disk Encryption erfolgen. | ||
=== | ==== A36 Absicherung des Bootvorgangs ==== | ||
Bootloader und Betriebssystem-Kern SOLLTEN durch | Bootloader und Betriebssystem-Kern SOLLTEN durch selbst kontrolliertes Schlüsselmaterial signiert beim Systemstart in einer vertrauenswürdigen Kette geprüft werden (Secure Boot). | ||
* Nicht benötigtes Schlüsselmaterial SOLLTE entfernt werden. | * Nicht benötigtes Schlüsselmaterial SOLLTE entfernt werden. | ||
=== | ==== A38 Härtung des Host-Systems mittels Read-Only-Dateisystem ==== | ||
Die Integrität des Host-Systems SOLLTE durch ein Read-Only-Dateisystem sichergestellt werden (Immutable OS). | Die Integrität des Host-Systems SOLLTE durch ein Read-Only-Dateisystem sichergestellt werden (Immutable OS). | ||
Zeile 307: | Zeile 479: | ||
==== Dokumentation ==== | ==== Dokumentation ==== | ||
===== RFC ===== | ===== RFC ===== | ||
===== Man- | ===== Man-Page ===== | ||
===== Info-Pages ===== | ===== Info-Pages ===== | ||
==== Links ==== | ==== Links ==== | ||
Zeile 316: | Zeile 488: | ||
# Das National Institute of Standards and Technology (NIST) stellt das Dokument „Guide to General Server Security: NIST Special Publication 800-123“, Juli 2008 zur Verfügung. | # Das National Institute of Standards and Technology (NIST) stellt das Dokument „Guide to General Server Security: NIST Special Publication 800-123“, Juli 2008 zur Verfügung. | ||
[[Kategorie: | [[Kategorie:SYS]] | ||
[[Kategorie:Server/Sicherheit]] | |||
<noinclude> | <noinclude> | ||
Aktuelle Version vom 6. November 2024, 12:52 Uhr
SYS.1.1 Allgemeiner Server - Baustein des IT-Grundschutz/Kompendiums
Beschreibung
Als „Allgemeiner Server“ werden IT-Systeme mit einem beliebigen Betriebssystem bezeichnet, die Benutzenden und anderen IT-Systemen Dienste bereitstellen.
- Diese Dienste können Basisdienste für das lokale oder externe Netz sein, oder auch den E-Mail-Austausch ermöglichen oder Datenbanken und Druckerdienste anbieten.
- Server-IT-Systeme haben eine zentrale Bedeutung für die Informationstechnik und damit für funktionierende Arbeitsabläufe einer Institution.
- Oft erfüllen Server Aufgaben im Hintergrund, ohne dass Benutzende direkt mit ihnen im Austausch stehen.
- Auf der anderen Seite gibt es Serverdienste, die direkt mit den Benutzenden interagieren und nicht auf den ersten Blick als Serverdienst wahrgenommen werden.
- Ein bekanntes Beispiel sind X-Server unter Unix.
- Zielsetzung
Ziel dieses Bausteins ist der Schutz von Informationen, die auf Servern verarbeitet, angeboten oder darüber übertragen werden, sowie der Schutz der damit zusammenhängenden Dienste.
Modellierung
Der Baustein SYS.1.1 Allgemeiner Server ist auf alle Server-IT-Systeme mit beliebigem Betriebssystem anzuwenden.
Abgrenzung
Betriebssystemen
- In der Regel werden Server unter Betriebssystemen betrieben, bei denen jeweils spezifische Sicherheitsanforderungen zu berücksichtigen sind.
- Für verbreitete Server-Betriebssysteme sind im IT-Grundschutz/Kompendium eigene Bausteine vorhanden, die auf dem vorliegenden Baustein aufbauen.
- Der Baustein SYS.1.1 Allgemeiner Server bildet die Grundlage für die Bausteine der konkreten Server-Betriebssysteme.
- Sofern für ein betrachtetes IT-System ein konkreter Baustein existiert, ist dieser zusätzlich zum Baustein SYS.1.1 Allgemeiner Server anzuwenden.
- Falls für eingesetzte Server-Betriebssysteme kein spezifischer Baustein existiert, müssen die Anforderungen des vorliegenden Bausteins geeignet, für das Zielobjekt konkretisiert und es muss eine ergänzende Risikobetrachtung durchgeführt werden.
Dienste
- Die jeweils spezifischen Dienste, die vom Server angeboten werden, sind nicht Bestandteil dieses Bausteins.
- Für diese Serverdienste müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
- Die Bereitstellung von Benutzendensitzungen durch Terminalserver ist ebenfalls als Dienst zu betrachten.
- Für Terminalserver ist entsprechend der Baustein SYS.1.9 Terminalserver zu modellieren.
Rollen- und Berechtigungskonzept
Grundsätzlich sind die Anforderungen an das Rollen- und Berechtigungskonzept aus dem Baustein ORP.4 Identitäts- und Berechtigungsmanagement zu berücksichtigen.
- Ebenfalls zu berücksichtigen sind Anforderungen aus dem Baustein DER.4 Notfallmanagement.
Schadsoftware
Server sollten prinzipiell beim Konzept zum Schutz vor Schadsoftware berücksichtigt werden.
- Anforderungen dazu finden sich im Baustein OPS.1.1.4 Schutz vor Schadprogrammen.
Patches und Änderungen
Bei Servern gibt es besondere Anforderungen an die Administration sowie den Umgang mit Patches und Änderungen.
- Deswegen sind die Anforderungen der Bausteine OPS.1.1.2 Ordnungsgemäße IT-Administration und OPS1.1.3 Patch- und Änderungsmanagement zu beachten.
Netzwerksegmentierung
Server bieten häufig Dienste für eine Vielzahl von Clients an, oft auch über das Internet.
- Daher sind sie besonders vom übrigen Netz der Institution zu trennen.
- Anforderungen dazu gibt es im Baustein NET.1.1 Netzarchitektur und -design.
- Relevante Bausteine
Baustein | Bezeichnung | Beschreibung |
---|---|---|
NET.3 | Netzkomponenten | Betrieb von Netzkomponenten |
NET.2 | Funknetze | Wireless LAN (WLAN) |
SYS.1.8 | Speicherlösungen | Speichernetze (Storage Area Networks, SAN) |
NET.4.2 | VoIP | Voice over IP |
Virtual Private Cloud/Hybrid Cloud | Cloud-Computing | |
NET.1.2 | Netzmanagement | Netzmanagement |
Gefährdungslage
- Typische Szenarien
Gefährdung | Beschreibung |
---|---|
Unzureichende Planung | Beschreibung |
Fehlerhafte Administration | Beschreibung |
Missbrauch von Administrationsrechten | Beschreibung |
Datenverlust | Beschreibung |
Denial-of-Service-Angriffe | Beschreibung |
Missbrauch von Administrationsrechten | Beschreibung |
Unnötiger Applikationen und Dienste | Beschreibung |
Überlastung | Beschreibung |
Unzureichende Planung
- Server sind komplexe IT-Systeme mit einer großen Anzahl an Funktionen und Konfigurationsoptionen
- Auch wenn moderne Server-Betriebssysteme in vielen Bereichen gute Standardeinstellungen mitbringen, ist die Grundkonfiguration immer noch nicht in jedem Fall die sicherste.
- Dies kann bei unzureichender Planung zu einer Vielzahl von Schwachstellen und Schwächen durch Fehlkonfiguration führen, die von unberechtigten Dritten leicht ausgenutzt werden können.
- Werden außerdem nicht schon vor der Installation zentrale Entscheidungen getroffen, werden Server oft in einem unsicheren und undefinierten Zustand ausgeführt, der sich nachträglich kaum mehr beheben lässt.
Fehlerhafte Administration von Servern
- Neue Versionen von Server-Betriebssystemen werden im Vergleich zu den Vorgängerversionen regelmäßig um neue Funktionen erweitert.
- Auch bei bereits vorhandenen Features können sich Teilfunktionen, Parameter oder Standardkonfigurationen in neuen Versionen verändern.
- Ist der IT-Betrieb der Institution nicht ausreichend in den Besonderheiten der Betriebssysteme geschult, drohen Konfigurationsfehler und menschliche Fehlhandlungen, die neben der Funktionalität auch die Sicherheit des IT-Systems beeinträchtigen können.
- Eine besondere Gefahr stellen uneinheitliche Server-Sicherheitseinstellungen dar (z. B. bei SMB, RPC oder LDAP).
- Wenn die Konfiguration nicht systematisch und zentral geplant, dokumentiert, überprüft und nachgehalten wird, droht ein sogenannter Konfigurationsdrift.
- Je mehr sich die konkreten Konfigurationen funktional ähnlicher Systeme unbegründet und undokumentiert auseinander bewegen, desto schwieriger wird es, einen Überblick über den Status quo zu behalten und die Sicherheit ganzheitlich und konsequent aufrechtzuerhalten.
Unberechtigtes Erlangen oder Missbrauch von Administrationsrechten
- Die reguläre Arbeit mit Administrationsrechten, wie beispielsweise die Erledigung von Aufgaben und Tätigkeiten, die auf einem Client-System grundsätzlich mit Standardberechtigungen vorgesehen und möglich sind, stellt auf einem Server ein Sicherheitsrisiko dar.
- Sind gesonderte administrative Konten nicht auf die minimal notwendigen Rechte zur Durchführung administrativer Tätigkeiten beschränkt („Least Privilege“-Prinzip), können bei Übernahme solcher Konten weitreichende Rechte auf dem Server oder weiteren IT-Systemen erlangt und hoher Schaden verursacht werden.
- Auch ein Missbrauch von Rechten durch legitime Administrierende ist ein relevantes Schadensszenario.
- Da die Rollen oft sehr mächtig sind, sind hier die Auswirkungen in der Regel beträchtlich, etwa bei den sogenannten Domänenadministratoren.
- Auch ohne Passwörter zu erraten oder zu brechen, können z. B. durch sogenannte Pass-the-Hash-Verfahren geeignete Credentials ausgelesen und missbraucht werden, um sich lateral im Netz weiterzubewegen.
Datenverlust
- Der Verlust von Daten kann besonders bei Servern erhebliche Auswirkungen auf Geschäftsprozesse und Fachaufgaben und damit auf die gesamte Institution haben.
- Sehr viele IT-Systeme wie Clients oder andere Server sind in der Regel darauf angewiesen, dass die dort zentral gespeicherten Daten immer verfügbar sind.
- Wenn institutionsrelevante Informationen, egal welcher Art, zerstört oder verfälscht werden, können dadurch Geschäftsprozesse und Fachaufgaben verzögert oder sogar deren Ausführung verhindert werden.
- Insgesamt kann der Verlust gespeicherter Daten, neben dem Ausfall und den Kosten für die Wiederbeschaffung der Daten, vor allem zu langfristigen Konsequenzen wie Vertrauenseinbußen in Geschäftsbeziehungen, zu juristischen Auswirkungen sowie zu einem negativen Eindruck in der Öffentlichkeit führen.
- In vielen Institutionen existieren Regelungen, dass keine Daten auf den lokalen Clients gespeichert werden dürfen, sondern stattdessen zentrale Ablagen auf den Servern dazu genutzt werden müssen.
- Ein Verlust dieser zentral abgelegten Daten hat in einem solchen Fall gravierende Auswirkungen.
- Durch die verursachten direkten und indirekten Schäden können Institutionen sogar in ihrer Existenz bedroht sein.
Denial-of-Service-Angriffe
- Ein Angriff auf die Verfügbarkeit von Datenbeständen, der „Denial of Service“ genannt wird, zielt darauf ab, zu verhindern, dass benötigte und normalerweise verfügbare Funktionen oder Geräte verwendet werden können.
- Dieser Angriff steht häufig im Zusammenhang mit verteilten Ressourcen.
- Indem diese Ressourcen bei Angriffen sehr stark in Anspruch genommen werden, kann nicht mehr regulär darauf zugegriffen werden.
- In der Regel sind IT-Systeme auch stark voneinander abhängig.
- Somit sind von der Verknappung der Ressourcen eines Servers schnell weitere Server betroffen.
- Es können zum Beispiel CPU-Zeit, Speicherplatz oder Bandbreite künstlich verknappt werden.
- Dies kann dazu führen, dass Dienste oder Ressourcen überhaupt nicht mehr genutzt werden können.
Bereitstellung unnötiger Applikationen und Dienste
- Schon bei der Installation des Server-Betriebssystems ist es möglich, mitgelieferte Applikationen und Dienste zu installieren, von denen einige unter Umständen gar nicht genutzt werden.
- Auch im späteren Betrieb wird oft Software installiert, die kurz getestet, aber danach nicht mehr benötigt wird.
- Oft ist gar nicht bekannt, dass diese nicht genutzten Anwendungen und Dienste vorhanden sind.
- Auf diese Weise befinden sich zahlreiche Applikationen und Dienste auf den Servern, die nicht eingesetzt werden und die ihn so unnötig belasten.
- Außerdem können diese nicht genutzten Anwendungen und Dienste Schwachstellen enthalten, etwa wenn sie nicht mehr aktualisiert werden.
- Sind die installierten Anwendungen und Dienste unbekannt, ist der Institution gar nicht bewusst, dass diese ebenfalls aktualisiert werden müssen.
- Auf diese Weise können sie leicht zum Einfallstor für Angriffe werden.
Überlastung von Servern
- Wenn Server nicht ausreichend dimensioniert sind, ist irgendwann der Punkt erreicht, an dem sie den Anforderungen der Institution nicht mehr gerecht werden.
- Je nach Art der betroffenen IT-Systeme kann dies eine Vielzahl von negativen Auswirkungen haben.
- So können die Server oder Dienste beispielsweise vorübergehend nicht verfügbar sein oder es können Datenverluste auftreten.
- Die Überlastung eines einzelnen Servers kann bei komplexen IT-Landschaften außerdem dazu führen, dass bei weiteren Servern Probleme oder Ausfälle auftreten.
- Auslöser für die Überlastung von IT-Systemen kann sein, dass
- installierte Dienste oder Anwendungen falsch konfiguriert sind und so unnötig viel Speicher beanspruchen,
- vorhandene Speicherplatzkapazitäten überschritten werden,
- zahlreiche Anfragen zur gleichen Zeit ein IT-System überbeanspruchen,
- zu viel Rechenleistung von den Diensten beansprucht wird oder
- eine zu große Anzahl an Nachrichten zur gleichen Zeit versendet wird.
Zuständigkeiten
Im Folgenden sind die spezifischen Anforderungen des Bausteins SYS.1.1 Allgemeiner Server aufgeführt.
- Der oder die Informationssicherheitsbeauftragte (ISB) ist dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden.
- Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen.
Im IT-Grundschutz/Kompendium sind darüber hinaus weitere Rollen definiert.
- Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist.
Zuständigkeiten | Rollen |
---|---|
Grundsätzlich zuständig | IT-Betrieb |
Weitere Zuständigkeiten | Haustechnik |
Genau eine Rolle sollte Grundsätzlich zuständig sein.
- Darüber hinaus kann es noch Weitere Zuständigkeiten geben.
- Falls eine dieser weiteren Rollen für die Erfüllung einer Anforderung vorrangig zuständig ist, dann wird diese Rolle hinter der Überschrift der Anforderung in eckigen Klammern aufgeführt.
- Die Verwendung des Singulars oder Plurals sagt nichts darüber aus, wie viele Personen diese Rollen ausfüllen sollen.
Anforderungen
Schutzbedarf | Beschreibung |
---|---|
Basis | MÜSSEN vorrangig erfüllt werden |
Standard | SOLLTEN grundsätzlich erfüllt werden |
Erhöht | Exemplarische Vorschläge |
Basis
Basis-Anforderungen MÜSSEN vorrangig erfüllt werden
Anforderung | Beschreibung | Rolle |
---|---|---|
A1 | Zugriffsschutz und Nutzung | |
A2 | Authentisierung an Servern | |
A5 | Schutz von Schnittstellen | |
A6 | Deaktivierung nicht benötigter Dienste | |
A9 | Einsatz von Virenschutz-Programmen auf Servern | |
A10 | Protokollierung |
A1 Zugriffsschutz und Nutzung
- Physische Server MÜSSEN an Orten betrieben werden, zu denen nur berechtigte Personen Zutritt haben
- Physische Server MÜSSEN daher in Rechenzentren, Serverräumen oder abschließbaren Serverschränken aufgestellt beziehungsweise eingebaut werden (siehe hierzu die entsprechenden Bausteine der Schicht INF Infrastruktur).
- Bei virtualisierten Servern MUSS der Zugriff auf die Ressourcen der Instanz und deren Konfiguration ebenfalls auf die berechtigten Personen begrenzt werden.
- Server DÜRFEN NICHT als Arbeitsplatzrechner genutzt werden
- Server DÜRFEN NICHT zur Erledigung von Aufgaben und Tätigkeiten verwendet werden, die grundsätzlich auf einem Client-System aus- und durchgeführt werden können.
- Insbesondere DÜRFEN vorhandene Anwendungen, wie Webbrowser, auf dem Server NICHT für das Abrufen von Informationen aus dem Internet oder das Herunterladen von Software, Treibern und Updates verwendet werden.
- Als Arbeitsplatz genutzte IT-Systeme DÜRFEN NICHT als Server genutzt werden
A2 Authentisierung an Servern
- Für die Anmeldung von Benutzenden und Diensten am Server MÜSSEN Authentisierungsverfahren eingesetzt werden, die dem Schutzbedarf der Server angemessen sind.
- Dies SOLLTE in besonderem Maße für administrative Zugänge berücksichtigt werden.
- Soweit möglich, SOLLTE dabei auf zentrale, netzbasierte Authentisierungsdienste zurückgegriffen werden.
A5 Schutz von Schnittstellen
- Es MUSS gewährleistet werden, dass nur dafür vorgesehene Wechselspeicher und sonstige Geräte an die Server angeschlossen werden können.
- Alle Schnittstellen, die nicht verwendet werden, MÜSSEN deaktiviert werden.
A6 Deaktivierung nicht benötigter Dienste
- Alle nicht benötigten Serverrollen, Features und Funktionen, sonstige Software und Dienste MÜSSEN deaktiviert oder deinstalliert werden, vor allem Netzdienste.
- Auch alle nicht benötigten Funktionen in der Firmware MÜSSEN deaktiviert werden.
- Die Empfehlungen des Betriebssystemherstellers SOLLTEN hierbei als Orientierung berücksichtigt werden.
- Auf Servern SOLLTE der Speicherplatz für die einzelnen Benutzenden, aber auch für Anwendungen, geeignet beschränkt werden.
Die getroffenen Entscheidungen SOLLTEN so dokumentiert werden, dass nachvollzogen werden kann, welche Konfiguration und Softwareausstattung für die Server gewählt wurden.
A9 Einsatz von Virenschutz-Programmen auf Servern
- Abhängig vom installierten Betriebssystem, den bereitgestellten Diensten und von anderen vorhandenen Schutzmechanismen des Servers MUSS geprüft werden, ob Viren-Schutzprogramme eingesetzt werden sollen und können.
- Soweit vorhanden, MÜSSEN konkrete Aussagen, ob ein Virenschutz notwendig ist, aus den betreffenden Betriebssystem-Bausteinen des IT-Grundschutz/Kompendiums berücksichtigt werden.
A10 Protokollierung
- Generell MÜSSEN alle sicherheitsrelevanten Systemereignisse protokolliert werden, dazu gehören mindestens
- Systemstarts und Reboots
- Erfolgreiche und erfolglose Anmeldungen am IT-System (Betriebssystem und Anwendungssoftware)
- Fehlgeschlagene Berechtigungsprüfungen
- Blockierte Datenströme (Verstöße gegen ACLs oder Firewallregeln)
- Einrichtung oder Änderungen von Benutzenden, Gruppen und Berechtigungen
- Sicherheitsrelevante Fehlermeldungen (z. B. Hardwaredefekte, Überschreitung von Kapazitätsgrenzen)
- Warnmeldungen von Sicherheitssystemen (z. B. Virenschutz)
Standard
- Standard-Anforderungen
- SOLLTEN grundsätzlich erfüllt werden
Stand der Technik für Netzarchitektur und -design
- Gemeinsam mit den Basis-Anforderungen
- Anforderungen
Anforderung | Beschreibung | Rolle |
---|---|---|
A11 | Festlegung einer Sicherheitsrichtlinie für Server | |
A12 | Planung des Server-Einsatzes | |
A13 | Beschaffung von Servern | |
A15 | Unterbrechungsfreie und stabile Stromversorgung | Haustechnik |
A16 | Sichere Installation und Grundkonfiguration von Servern | |
A19 | Einrichtung lokaler Paketfilter | |
A21 | Betriebsdokumentation für Server | |
A22 | Einbindung in die Notfallplanung | |
A22 | Systemüberwachung und Monitoring von Servern | |
A24 | Sicherheitsprüfungen für Server | |
A25 | Geregelte Außerbetriebnahme eines Servers | |
A35 | Erstellung und Pflege eines Betriebshandbuchs | |
A37 | Kapselung von sicherheitskritischen Anwendungen und Betriebssystemkomponenten | |
A39 | Zentrale Verwaltung der Sicherheitsrichtlinien von Servern |
A11 Festlegung einer Sicherheitsrichtlinie für Server
- Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution SOLLTEN die Anforderungen an Server in einer separaten Sicherheitsrichtlinie konkretisiert werden.
- Diese Richtlinie SOLLTE allen Administrierenden und anderen Personen, die an der Beschaffung und dem Betrieb der Server beteiligt sind, bekannt und Grundlage für deren Arbeit sein.
- Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE regelmäßig überprüft werden.
- Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden.
A12 Planung des Server-Einsatzes
- Jedes Server-System SOLLTE geeignet geplant werden
Dabei SOLLTEN mindestens folgende Punkte berücksichtigt werden:
- Auswahl der Plattform (Hardware oder virtualisierte Ressourcen), des Betriebssystems und der Anwendungssoftware
- Dimensionierung der Hardware (Leistung, Speicher, Bandbreite etc.)
- Art und Anzahl der Kommunikationsschnittstellen
- Leistungsaufnahme, Wärmelast, Platzbedarf und Bauform
- administrative Zugänge (siehe SYS.1.1.A5 Schutz von Schnittstellen)
- Zugriffe von Benutzenden
- Protokollierung (siehe SYS.1.1.A10 Protokollierung)
- Aktualisierung von Betriebssystem und Anwendungen
- Einbindung ins System- und Netzmanagement, in die Datensicherung und die Schutzsysteme (Virenschutz, IDS etc.)
Alle Entscheidungen, die in der Planungsphase getroffen wurden, SOLLTEN so dokumentiert werden, dass sie zu einem späteren Zeitpunkt nachvollzogen werden können.
A13 Beschaffung von Servern
Bevor ein oder mehrere Server beschafft werden, SOLLTE eine Anforderungsliste erstellt werden, anhand derer die am Markt erhältlichen Produkte bewertet werden.
A15 Unterbrechungsfreie und stabile Stromversorgung
Jeder Server SOLLTE an eine unterbrechungsfreie Stromversorgung (USV) angeschlossen werden.
A16 Sichere Installation und Grundkonfiguration von Servern
- Der vollständige Installations- und Konfigurationsvorgang SOLLTE soweit wie möglich innerhalb einer gesonderten und von Produktivsystemen abgetrennten Installationsumgebung vorgenommen werden.
- Die Konfiguration des Betriebssystems SOLLTE vor produktiver Inbetriebnahme des Servers bereits vorgenommen sein.
- Mehrere wesentliche Funktionen und Rollen SOLLTEN NICHT durch einen einzigen Server erfüllt, sondern geeignet aufgeteilt werden.
- Alle sicherheitsrelevanten Einstellungen der aktivierten Dienste und Funktionen (vgl. SYS.1.1.A6 Deaktivierung nicht benötigter Dienste) SOLLTEN entsprechend den Vorgaben der Sicherheitsrichtlinie für Server (siehe SYS.1.1.A11 Festlegung einer Sicherheitsrichtlinie für Server) konfiguriert, getestet und regelmäßig inhaltlich überprüft werden.
- Dabei SOLLTE der Server unter Berücksichtigung der Empfehlungen des Betriebssystemherstellers und des voreingestellten Standardverhaltens konfiguriert werden, sofern dies nicht anderen Anforderungen aus dem IT-Grundschutz oder der Organisation widerspricht.
- Die Entscheidungen SOLLTEN dokumentiert und begründet werden.
- Konfigurationsoptionen SOLLTEN in jedem Fall gesetzt werden, auch dann, wenn das voreingestellte Standardverhalten dadurch nicht verändert wird.
- Sofern der Server eine Verbindung in das Internet benötigt oder aus dem Internet erreichbar sein muss, SOLLTE er erst mit dem Internet verbunden werden, nachdem die Installation und die Konfiguration abgeschlossen sind.
A19 Einrichtung lokaler Paketfilter
Vorhandene lokale Paketfilter SOLLTEN über ein Regelwerk so ausgestaltet werden, dass die eingehende und ausgehende Kommunikation auf die erforderlichen Kommunikationspartner, Kommunikationsprotokolle sowie Ports und Schnittstellen beschränkt wird.
- Die Identität von Remote-Systemen und die Integrität der Verbindungen mit diesen SOLLTE kryptografisch abgesichert sein.
A21 Betriebsdokumentation für Server
- Betriebliche Aufgaben, die an einem Server durchgeführt werden, SOLLTEN nachvollziehbar dokumentiert werden (Wer?, Wann?, Was?).
- Aus der Dokumentation SOLLTEN insbesondere Konfigurationsänderungen nachvollziehbar sein.
- Sicherheitsrelevante Aufgaben, z. B. wer befugt ist, neue Festplatten einzubauen, SOLLTEN dokumentiert werden.
- Alles, was automatisch dokumentiert werden kann, SOLLTE auch automatisch dokumentiert werden.
- Die Dokumentation SOLLTE gegen unbefugten Zugriff und Verlust geschützt werden.
A22 Einbindung in die Notfallplanung
- Der Server SOLLTE im Notfallmanagementprozess berücksichtigt werden
- Dazu SOLLTEN die Notfallanforderungen an den Server ermittelt und geeignete Notfallmaßnahmen umgesetzt werden, z. B. indem Wiederanlaufpläne erstellt oder Passwörter und kryptografische Schlüssel sicher hinterlegt werden.
A23 Systemüberwachung und Monitoring von Servern
- Das Server-System SOLLTE in ein geeignetes Systemüberwachungs- oder Monitoringkonzept eingebunden werden
- Der Systemzustand sowie die Funktionsfähigkeit des Servers und der darauf betriebenen Dienste SOLLTEN laufend überwacht werden.
- Fehlerzustände sowie die Überschreitung definierter Grenzwerte SOLLTEN an das Betriebspersonal gemeldet werden.
A24 Sicherheitsprüfungen für Server
- Server SOLLTEN regelmäßigen Sicherheitstests unterzogen werden, die überprüfen, ob alle Sicherheitsvorgaben eingehalten werden und gegebenenfalls vorhandene Schwachstellen identifizieren.
- Diese Sicherheitsprüfungen SOLLTEN insbesondere auf Servern mit externen Schnittstellen durchgeführt werden.
- Um mittelbare Angriffe über infizierte IT-Systeme im eigenen Netz zu vermeiden, SOLLTEN jedoch auch interne Server in festgelegten Zyklen entsprechend überprüft werden.
- Es SOLLTE geprüft werden, ob die Sicherheitsprüfungen automatisiert, z. B. mittels geeigneter Skripte, realisiert werden können.
A25 Geregelte Außerbetriebnahme eines Servers
- Bei der Außerbetriebnahme eines Servers SOLLTE sichergestellt werden, dass keine wichtigen Daten, die eventuell auf den verbauten Datenträgern gespeichert sind, verloren gehen und dass keine schutzbedürftigen Daten zurückbleiben.
- Es SOLLTE einen Überblick darüber geben, welche Daten wo auf dem Server gespeichert sind.
- Es SOLLTE rechtzeitig sichergestellt werden, dass vom Server angebotene Dienste durch einen anderen Server übernommen werden, wenn dies erforderlich ist.
- Es SOLLTE eine Checkliste erstellt werden, die bei der Außerbetriebnahme eines Servers abgearbeitet werden kann.
- Diese Checkliste SOLLTE mindestens Aspekte zu Datensicherung, Migration von Diensten und dem anschließenden sicheren Löschen aller Daten umfassen.
A35 Erstellung und Pflege eines Betriebshandbuchs
- Es SOLLTE ein Betriebshandbuch erstellt werden
- Darin SOLLTEN alle erforderlichen Regelungen, Anforderungen und Einstellungen dokumentiert werden, die erforderlich sind, um Server zu betreiben.
- Für jede Art von Server SOLLTE es ein spezifisches Betriebshandbuch geben.
- Das Betriebshandbuch SOLLTE regelmäßig aktualisiert werden.
- Das Betriebshandbuch SOLLTE vor unberechtigtem Zugriff geschützt werden.
- Das Betriebshandbuch SOLLTE in Notfällen zur Verfügung stehen.
A37 Kapselung von sicherheitskritischen Anwendungen und Betriebssystemkomponenten
Um sowohl den unberechtigten Zugriff auf das Betriebssystem oder andere Anwendungen bei Angriffen als auch den Zugriff vom Betriebssystem auf besonders schützenswerte Dateien zu verhindern, SOLLTEN Anwendungen und Betriebssystemkomponenten (wie beispielsweise Authentisierung oder Zertifikatsüberprüfung) ihrem Schutzbedarf entsprechend besonders gekapselt oder anderen Anwendungen und Betriebssystemkomponenten gegenüber isoliert werden.
- Dabei SOLLTEN insbesondere sicherheitskritische Anwendungen berücksichtigt werden, die mit Daten aus unsicheren Quellen arbeiten (z. B. Webbrowser und Bürokommunikations-Anwendungen).
A39 Zentrale Verwaltung der Sicherheitsrichtlinien von Servern
Alle Einstellungen des Servers SOLLTEN durch Nutzung eines zentralen Managementsystems (siehe auch OPS.1.1.7 Systemmanagement) verwaltet und entsprechend dem ermittelten Schutzbedarf sowie auf den internen Richtlinien basierend konfiguriert sein.
- Technisch nicht umsetzbare Konfigurationsparameter SOLLTEN dokumentiert, begründet und mit dem Sicherheitsmanagement abgestimmt werden.
Erhöht
- Exemplarische Vorschläge für erhöhten Schutzbedarf
- Über das den Stand der Technik entsprechende Schutzniveau hinausgehend
- SOLLTEN bei ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden
- Festlegung im Rahmen einer Risikoanalyse
Anforderung | Beschreibung | Rolle |
---|---|---|
A26 | entfallen | |
A27 | Hostbasierte Angriffserkennung | |
A28 | Steigerung der Verfügbarkeit durch Redundanz | |
A29 | entfallen | |
A30 | Ein Dienst pro Server | |
A31 | Einsatz von Ausführungskontrolle | |
A32 | entfallen | |
A33 | Aktive Verwaltung der Wurzelzertifikate | |
A34 | Festplattenverschlüsselung | |
A36 | Absicherung des Bootvorgangs | |
A38 | Härtung des Host-Systems mittels Read-Only-Dateisystem |
A27 Hostbasierte Angriffserkennung
Hostbasierte Angriffserkennungssysteme (Host-based Intrusion Detection Systems, IDS und Intrusion Prevention Systems, IPS) SOLLTEN eingesetzt werden, um das Systemverhalten auf Anomalien und Missbrauch hin zu überwachen.
- Die eingesetzten IDS/IPS-Mechanismen SOLLTEN geeignet ausgewählt, konfiguriert und ausführlich getestet werden.
- Bei einer Angriffserkennung SOLLTE das Betriebspersonal in geeigneter Weise alarmiert werden.
Über Betriebssystem-Mechanismen oder geeignete Zusatzprodukte SOLLTEN Veränderungen an Systemdateien und Konfigurationseinstellungen überprüft, eingeschränkt und gemeldet werden.
A28 Steigerung der Verfügbarkeit durch Redundanz
Server mit hohen Verfügbarkeitsanforderungen SOLLTEN gegen Ausfälle in geeigneter Weise geschützt sein.
- Hierzu SOLLTEN mindestens geeignete Redundanzen verfügbar sein sowie Wartungsverträge mit den Lieferanten abgeschlossen werden.
- Es SOLLTE geprüft werden, ob bei sehr hohen Anforderungen Hochverfügbarkeitsarchitekturen mit automatischem Failover, gegebenenfalls über verschiedene Standorte hinweg, erforderlich sind.
A30 Ein Dienst pro Server
Abhängig von der Bedrohungslage und dem Schutzbedarf der Dienste SOLLTE auf jedem Server jeweils nur ein Dienst betrieben werden.
A31 Einsatz von Ausführungskontrolle
Es SOLLTE über eine Ausführungskontrolle sichergestellt werden, dass nur explizit erlaubte Programme und Skripte ausgeführt werden können.
- Die Regeln SOLLTEN so eng wie möglich gefasst werden.
- Falls Pfade und Hashes nicht explizit angegeben werden können, SOLLTEN alternativ auch zertifikatsbasierte oder Pfad-Regeln genutzt werden.
A33 Aktive Verwaltung der Wurzelzertifikate
Im Zuge der Beschaffung und Installation des Servers SOLLTE dokumentiert werden, welche Wurzelzertifikate für den Betrieb des Servers notwendig sind.
- Auf dem Server SOLLTEN lediglich die für den Betrieb notwendigen und vorab dokumentierten Wurzelzertifikate enthalten sein.
- Es SOLLTE regelmäßig überprüft werden, ob die vorhandenen Wurzelzertifikate noch den Vorgaben der Institution entsprechen.
- Es SOLLTEN alle auf dem IT-System vorhandenen Zertifikatsspeicher in die Prüfung einbezogen werden.
A34 Festplattenverschlüsselung
Bei erhöhtem Schutzbedarf SOLLTEN die Datenträger des Servers mit einem als sicher geltenden Produkt oder Verfahren verschlüsselt werden.
- Dies SOLLTE auch für virtuelle Maschinen mit produktiven Daten gelten.
- Es SOLLTE nicht nur ein TPM allein als Schlüsselschutz dienen.
- Das Wiederherstellungspasswort SOLLTE an einem geeigneten sicheren Ort gespeichert werden.
- Bei sehr hohen Anforderungen z. B. an die Vertraulichkeit SOLLTE eine Full Volume oder Full Disk Encryption erfolgen.
A36 Absicherung des Bootvorgangs
Bootloader und Betriebssystem-Kern SOLLTEN durch selbst kontrolliertes Schlüsselmaterial signiert beim Systemstart in einer vertrauenswürdigen Kette geprüft werden (Secure Boot).
- Nicht benötigtes Schlüsselmaterial SOLLTE entfernt werden.
A38 Härtung des Host-Systems mittels Read-Only-Dateisystem
Die Integrität des Host-Systems SOLLTE durch ein Read-Only-Dateisystem sichergestellt werden (Immutable OS).
Anhang
Siehe auch
Sicherheit
Dokumentation
RFC
Man-Page
Info-Pages
Links
Einzelnachweise
Projekt
Weblinks
- Das National Institute of Standards and Technology (NIST) stellt das Dokument „Guide to General Server Security: NIST Special Publication 800-123“, Juli 2008 zur Verfügung.