Absicherung eines Servers (ISi-Server) BSI-Checkliste zur Internet-Sicherheit (ISi-Check)

Transkript

1 Absicherung eines Servers (ISi-Server) BSI-Checkliste zur Internet-Sicherheit (ISi-Check)

2 ISi-Reihe ISi-Server: generische Checkliste Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt sind Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände finden Sie auf den Internet-Seiten des BSI. oder Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach Bonn Tel. +49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

3 ISi-Server: generische Checkliste ISi-Reihe Inhaltsverzeichnis 1 Einleitung Funktion der Checklisten Benutzung der Checklisten Konzeption Planung Komponenten Benutzerrechte, -verwaltung und -authentisierung Aktualisierungen Auswahl sicherer Komponenten Übergreifende Aspekte Auswahl von Betriebssystem und Diensten Benutzerverwaltung Protokollierung Monitoring / Überwachung Netzwerkspeicher Integritätsprüfung Virenschutzprogramm Datensicherung Patch- und Änderungsmanagement [ptional] Virtualisierung [ptional] Verschlüsselung von Festplatten Konfiguration Hardware Firmware Externe Schnittstellen Installation und Konfiguration des Betriebssystems Dienste Benutzerrechte, -verwaltung und -authentisierung Protokollierung Monitoring / Überwachung Integritätsprüfung Datensicherung Patch- und Änderungsmanagement Anbindung des Netzwerkspeichers Virenschutzprogramm...23 Bundesamt für Sicherheit in der Informationstechnik 3

4 ISi-Reihe ISi-Server: generische Checkliste 5 Betrieb rganisatorische Aspekte Hardware und Firmware Betriebssystem und Dienste Benutzerverwaltung Protokollierung Monitoring Integritätsprüfung Datensicherung Virenschutzprogramm Außerbetriebnahme Literaturverzeichnis Bundesamt für Sicherheit in der Informationstechnik

5 ISi-Server: generische Checkliste ISi-Reihe 1 Einleitung Der vorliegende Checklisten-Katalog richtet sich vornehmlich an IT-Fachleute, -Experten, -Berater sowie Administratoren in Behörden und Unternehmen, die mit der Einrichtung, dem Betrieb und der Überprüfung von Servern befasst sind. Diese allgemeine Checkliste dient als Vorlage für weitere produktspezifische Checklisten zu den entsprechenden Betriebssystemen. 1.1 Funktion der Checklisten Die Checklisten fassen die relevanten Empfehlungen der BSI-Studie Absicherung eines Servers (siehe [ISi-Server]) zum Thema Installation, Konfiguration und Betrieb eines Servers in kompakter Form zusammen. Sie dienen als Anwendungshilfe, anhand derer die Umsetzung der in der Studie beschriebenen Sicherheitsmaßnahmen im Detail überprüft werden kann. Die Kontrollfragen beschränken sich auf die Empfehlungen der BSI-Standards zur Absicherung eines Servers (siehe [ISi-Server]). Allgemeine Grundschutzmaßnahmen, die nicht spezifisch für die beschriebene ISi-Server-Architektur und ihre Komponenten sind, werden von den Fragen nicht erfasst. Solche grundlegenden Empfehlungen sind den BSI-Grundschutz-Katalogen (siehe [ITGSK]) zu entnehmen. Sie bilden das notwendige Fundament für ISi-Check. Auch Kontrollfragen, die bereits durch die Checklisten zu der BSI-Studie Sichere Anbindung lokaler Netze an das Internet (siehe [ISi-LANA]) abgedeckt sind, werden hier nicht wiederholt. Ergänzend können hier noch die Studien Sicherer Betrieb von -Servern (siehe [ISi-Mail-Server]) und Sicheres Bereitstellen von Web-Angeboten (siehe [ISi-Web-Server]) erwähnt werden, die weiterführende Checklisten für spezifische Dienste enthalten, die auf Servern betrieben werden können. Des Weiteren ist der Punkt Virtualisierung aus der ISi-Server Studie nicht in der vorliegenden Checkliste enthalten. Virtualisierung wird in getrennten Checklisten behandelt (siehe hierzu [ISi-Server-Chk-VM]). Diese Checklisten können als Ergänzung zu der vorliegenden verwendet werden. Die Checklisten wenden sich vornehmlich an Revisoren und Administratoren. Die Anwendung von ISi-Check setzt vertiefte Kenntnisse auf dem Gebiet der PC-Technik, der Betriebssysteme und der IT-Sicherheit voraus. Die Kontrollfragen ersetzen nicht ein genaues Verständnis der technischen und organisatorischen Zusammenhänge bei der Absicherung und beim Betrieb eines Servers. Nur ein kundiger Anwender ist in der Lage, die Prüfaspekte in ihrem Kontext richtig zu werten und die korrekte und sinnvolle Umsetzung der abgefragten Empfehlungen im Einklang mit den allgemeinen Grundschutzmaßnahmen zu beurteilen. Der Zweck dieser Kontrollfragen besteht darin, den IT-Fachleuten, -Experten, -Beratern sowie Administratoren in Behörden und Unternehmen bei der Konzeption, der Realisierung und dem späteren Betrieb eines Servers die jeweils erforderlichen Maßnahmen und Durchführungen der verfügbaren Umsetzungsvarianten an die Hand zu geben. Die Checklisten sollen gewährleisten, dass alle wichtigen Aspekte berücksichtigt werden. 1.2 Benutzung der Checklisten Der ISi-Reihe liegt ein übergreifender Ablaufplan zugrunde, der im Einführungsdokument [ISi-E] beschrieben ist. Die Checklisten des ISi-Server-Moduls haben darin ihren vorbestimmten Platz. Vor Anwendung der Checklisten muss sich der Anwender mit dem Ablaufplan [ISi-E] und mit den Bundesamt für Sicherheit in der Informationstechnik 5

6 ISi-Reihe ISi-Server: generische Checkliste Inhalten der ISi-Server-Studie vertraut machen. Um die Kontrollfragen zu den verschiedenen Prüfaspekten zu verstehen und zur rechten Zeit anzuwenden, ist die genaue Kenntnis dieser Dokumente erforderlich. Die Checklisten fragen die relevanten Sicherheitsempfehlungen der Studie ISi-Server ab, ohne diese zu begründen oder deren Umsetzung näher zu erläutern. Anwender, die den Sinn einer Kontrollfrage nicht verstehen oder nicht in der Lage sind, eine Kontrollfrage sicher zu beantworten, können vertiefende Informationen in der zugehörigen Studie nachschlagen. IT-Fachleute, die mit der Studie bereits vertraut sind, sollten die Kontrollfragen in der Regel jedoch ohne Rückgriff auf die Studie bearbeiten können. Format der Kontrollfragen Alle Kontrollfragen sind so formuliert, dass die erwartete Antwort ein JA ist. Zusammenhängende Kontrollfragen sind soweit sinnvoll hierarchisch unter einer übergeordneten Frage gruppiert. Die übergeordnete Frage fasst dabei die untergeordneten Kontrollfragen so zusammen, dass ein Bejahen aller untergeordneten Kontrollfragen ein JA bei der übergeordneten Kontrollfrage impliziert. Bei hierarchischen Kontrollfragen ist es dem Anwender freigestellt, nur die übergeordnete Frage zu beantworten, soweit er mit dem genannten Prüfaspekt ausreichend vertraut ist oder die Kontrollfrage im lokalen Kontext nur eine geringe Relevanz hat. Die untergeordneten Fragen dienen nur der genaueren Aufschlüsselung des übergeordneten Prüfkriteriums für den Fall, dass sich der Anwender unschlüssig ist, ob die betreffende Vorgabe in ausreichendem Maße umgesetzt ist. Die hierarchische Struktur der Checklisten soll dazu beitragen, die Kontrollfragen effizient abzuarbeiten und unwichtige oder offensichtliche Prüfaspekte schnell zu übergehen. Iterative Vorgehensweise Die Schachtelung der Kontrollfragen ermöglicht auch eine iterative Vorgehensweise. Dabei beantwortet der Anwender im ersten Schritt nur die übergeordneten Fragen, um sich so einen schnellen Überblick über potenzielle Umsetzungsmängel zu verschaffen. Prüfkomplexe, deren übergeordnete Frage im ersten Schritt nicht eindeutig beantwortet werden konnte oder verneint wurde, werden im zweiten Schritt priorisiert und nach ihrer Dringlichkeit der Reihe nach in voller Tiefe abgearbeitet. Normaler und hoher Schutzbedarf Alle Kontrollfragen, die nicht besonders gekennzeichnet sind, beziehen sich auf obligatorische Anforderungen bei normalem Schutzbedarf. Diese müssen bei hohem Schutzbedarf natürlich auch berücksichtigt werden. Soweit für hohen Schutzbedarf besondere Anforderungen zu erfüllen sind, ist der entsprechenden Kontrollfrage ein [hoher Schutzbedarf] zur Kennzeichnung vorangestellt. Bezieht sich die Frage auf einen bestimmten Sicherheits-Grundwert mit hohem Schutzbedarf, so lautet die Kennzeichnung entsprechend dem Grundwert zum Beispiel [hohe Verfügbarkeit]. Anwender, die nur einen normalen Schutzbedarf haben, können alle so gekennzeichneten Fragen außer Acht lassen. Varianten Mitunter stehen bei der Umsetzung einer Empfehlung verschiedene Realisierungsvarianten zur Wahl. In solchen Fällen leitet eine übergeordnete Frage den Prüfaspekt ein. Darunter ist je eine Kontrollfrage für jede der möglichen Umsetzungsvarianten angegeben. Die Fragen sind durch ein 6 Bundesamt für Sicherheit in der Informationstechnik

7 ISi-Server: generische Checkliste ISi-Reihe oder miteinander verknüpft. Um das übergeordnete Prüfkriterium zu erfüllen, muss also mindestens eine der untergeordneten Kontrollfragen bejaht werden. Befinden sich unter den zur Wahl stehenden Kontrollfragen auch Fragen mit der Kennzeichnung [hoher Schutzbedarf], so muss mindestens eine der so gekennzeichneten Varianten bejaht werden, um das übergeordnete Prüfkriterium auch bei hohem Schutzbedarf zu erfüllen. Bundesamt für Sicherheit in der Informationstechnik 7

8 ISi-Reihe ISi-Server: generische Checkliste 2 Konzeption In der Konzeptionsphase des Ablaufplans gemäß [ISi-E] wird eine sichere Serverarchitektur erstellt. Die Checklisten dieses Abschnitts hinterfragen, ob alle Empfehlungen für eine sichere Grundarchitektur korrekt umgesetzt sind. Für den sicheren Betrieb von Servern wird vorausgesetzt, dass vor der Realisierung der Serverarchitektur die Empfehlungen aus der Studie [ISi-LANA] umgesetzt und die zugehörigen Checklisten angewendet werden. 2.1 Planung Wurde ermittelt, welche Schnittstellen für den Einsatzzweck des Servers benötigt werden? Wurde ermittelt, welche Protokolle für den Einsatzzweck des Servers benötigt werden? Wurde ermittelt, welche Protokolle für die Administration des Servers benötigt werden? Wurde ermittelt, welche Dienste für den Einsatzzweck des Servers benötigt werden? Wurde ermittelt, welche Dienste für die Administration des Servers benötigt werden? Wurde ermittelt, welche Betriebssystemkomponenten benötigt werden? Wurde ermittelt, welches Dateisystem verwendet werden soll? [ptional] Kann der angebotene Dienst auf einer virtualisierten Plattform betrieben werden? Werden ausschließlich Funktionen benötigt, die von einer virtualisierten Umgebung zur Verfügung gestellt werden (z. B. kein Einsatz spezieller Zusatzhardware)? Werden kryptografische Schlüssel verwendet? Gibt es ein Konzept zur Schlüsselverwaltung (Zugriff, Backup, etc.)? 2.2 Komponenten [ptional] Ist der Einsatz eines Virenschutzprogramms vorgesehen? Ist der Einsatz einer Ausführungskontrolle vorgesehen? Ist der Einsatz von Speicherschutzmechanismen vorgesehen? Ist der Einsatz einer Protokollierung vorgesehen? Ist der Einsatz einer Integritätsprüfung vorgesehen? [hohe Vertraulichkeit] Ist eine Festplattenverschlüsselung vorgesehen? Soll die gesamte Festplatte verschlüsselt werden [Variante A]? oder Soll die gesamte Festplatte unter Nutzung des TPMs ohne Passwortschutz verschlüsselt werden [Variante B]? oder Soll die gesamte Festplatte unter Nutzung des TPMs mit Passwortschutz verschlüsselt werden [Variante C]? [hohe Integrität] Ist der Einsatz einer Dateisignatur vorgesehen [Variante D]? 8 Bundesamt für Sicherheit in der Informationstechnik

9 ISi-Server: generische Checkliste ISi-Reihe Soll ein zentraler Massenspeicher (NAS oder SAN) eingesetzt werden? Soll eine Datensicherung eingesetzt werden? [hohe Vertraulichkeit] Soll eine Verschlüsselung der Datensicherung durchgeführt werden [Variante A]? Soll ein Monitoring der eingesetzten Server durchgeführt werden? Soll eine Zeitsynchronisation durchgeführt werden? [hohe Integrität] Soll eine gesicherte Kommunikation mit dem NTP-Server eingesetzt werden [Variante A]? [hohe Verfügbarkeit] Soll die Verfügbarkeit der Server durch Redundanz erhöht werden? Sollen redundante Hardware-Komponenten im Server eingesetzt werden [Variante A]? oder Soll der gesamte Server redundant aufgebaut werden [Variante B]? Soll ein RAID eingesetzt werden? Existiert ein Notfallmanagement für den Ausfall von Komponenten? 2.3 Benutzerrechte, -verwaltung und -authentisierung Soll eine Benutzerverwaltung erfolgen? Soll die Benutzerverwaltung in einem zentralen Verzeichnisdienst erfolgen? oder Soll die Benutzerverwaltung lokal erfolgen [Variante A]? Wird jeder Benutzer ein persönliches, nur ihm zugewiesenes Benutzerkonto erhalten? Ist vorgesehen, dass sich der Benutzer mit Benutzername und Passwort anmeldet? oder [hoher Schutzbedarf] Wird eine Zwei-Faktor-Authentisierung verwendet [Variante A]? 2.4 Aktualisierungen Firmware Gibt es ein Konzept für die Aktualisierung der Firmware? Werden die Aktualisierungen direkt vom Hersteller bezogen [Variante A]? oder Werden die Aktualisierungen von einem autorisierten Fachhändler bezogen? Betriebssystem, Dienste und Anwendungen Gibt es ein Konzept zur Aktualisierung von Betriebssystem, Diensten und Anwendungen? Werden Aktualisierungen über zentrale Mechanismen, wie beispielsweise Update-Server oder Softwareverteilung, verteilt? oder Werden die Aktualisierungen direkt vom Hersteller bezogen [Variante A]? Bundesamt für Sicherheit in der Informationstechnik 9

10 ISi-Reihe ISi-Server: generische Checkliste 3 Auswahl sicherer Komponenten 3.1 Übergreifende Aspekte Wurden Wartungsverträge für die Hardwarekomponenten abgeschlossen? Wurden Wartungsverträge für die Softwarekomponenten abgeschlossen? Ist eine dauerhafte Versionspflege (bzgl. Sicherheitsupdates und Fehlerkorrekturen) der eingesetzten Produkte durch den Hersteller sichergestellt? Wurden Softwarekomponenten von der Herstellerseite heruntergeladen? Wurde die Integrität der Softwarekomponente sichergestellt? Wurde die Prüfsumme der Softwarekomponente mit den Herstellerangaben korrekt verglichen? oder Wurde die Signatur der Softwarekomponente korrekt verifiziert? Wurde die neueste Version der Softwarekomponente beschafft? Müssen zusätzliche Lizenzen für den Betrieb der Komponenten erworben werden? Wurden Lizenzen für die eingesetzte Hard- und Software mit ausreichender Laufzeit angeschafft? Wenn kryptografische Verfahren in den einzusetzenden Produkten verwendet werden, entsprechen die eingesetzten Verfahren und Schlüssellängen den Empfehlungen des BSI? Unterstützt die verwendete Hardware das Bilden einer RAID-Konfiguration? Wurden bei der Auswahl der Hardware die Anforderungen der Softwarehersteller berücksichtigt? Ist die Hardware mit ausreichender CPU-Kapazität ausgestattet? Ist die Hardware mit ausreichender Kapazität an Arbeitsspeicher ausgestattet? Ist die Hardware mit ausreichender Festplattenkapazität ausgestattet? Wurden weiterführende Anforderungen des Herstellers berücksichtigt? [hohe Verfügbarkeit] Wurden die verwendeten Hardwarekomponenten redundant ausgelegt [Variante A]? [hohe Verfügbarkeit] Erfolgt ein redundanter Aufbau der Server [Variante B]? Kann die Hardware später noch durch weitere Komponenten erweitert werden? Ist die Hardware mit einer ausreichenden Anzahl von Netzwerkschnittstellen ausgestattet? Unterstützt der Server zur Administration ut-of-band-management? Kann In-Band-Management deaktiviert werden? Sind bei der Auswahl des Massenspeichers die Anforderungen der zu betreibenden Dienste und Anwendungen berücksichtigt worden? 10 Bundesamt für Sicherheit in der Informationstechnik

11 ISi-Server: generische Checkliste ISi-Reihe 3.2 Auswahl von Betriebssystem und Diensten Ist das ausgewählte Betriebssystem kompatibel mit der Hardware, auf der es installiert werden soll? Ist eine Fernadministration des Betriebssystems möglich? Besteht die Möglichkeit, das Betriebssystem zu minimieren? Bietet das Betriebssystem eine Minimalinstallation? oder Bietet das Betriebssystem eine benutzerdefinierte Installation? oder Können Komponenten oder Dienste nach der Installation entfernt oder deaktiviert werden? Unterstützt das Betriebssystem eine von der CPU zur Verfügung gestellte Speicherschutztechnologie (ESP, NX-Bit, etc.)? Stellt das Betriebssystem Mechanismen zur Speicherrandomisierung (ASLR) zur Verfügung? Sind die zur Verfügung gestellten Dienste kompatibel mit der eingesetzten Version des Betriebssystems? Unterstützen die zur Verfügung gestellten Dienste die Weiterleitung von Protokollmeldungen? Unterstützt das Betriebssystem eine dedizierte Rechtevergabe? Unterstützt die Benutzerverwaltung des Betriebssystems eine Anbindung an eine zentrale Benutzerverwaltung? 3.3 Benutzerverwaltung Wird eine zentrale Benutzerverwaltung eingesetzt? Unterstützt die zentrale Benutzerverwaltung das Anlegen von Benutzerrechten? Unterstützt die zentrale Benutzerverwaltung das Anlegen von Gruppenrechten? Unterstützt die zentrale Benutzerverwaltung das Löschen von Benutzerkonten? Unterstützt die zentrale Benutzerverwaltung die Deaktivierung von Benutzerkonten? Ist die eingesetzte zentrale Benutzerverwaltung kompatibel mit den eingesetzten Betriebssystemen? Können Passwortrichtlinien bei der zentralen Benutzerverwaltung konfiguriert werden? Werden die Passwörter bei der Authentisierung gegenüber der zentralen Benutzerverwaltung verschlüsselt übertragen? Können die gespeicherten Benutzerdaten in der zentralen Benutzerverwaltung mit einem geringen Aufwand angepasst werden (z. B. bei einem Abteilungswechsel)? [ptional] Wird eine lokale Benutzerverwaltung eingesetzt [Variante A]? Unterstützt die lokale Benutzerverwaltung das Anlegen von Benutzerrechten? Unterstützt die lokale Benutzerverwaltung das Anlegen von Gruppenrechten? Unterstützt die lokale Benutzerverwaltung das Löschen von Benutzerkonten? Unterstützt die lokale Benutzerverwaltung die Deaktivierung von Benutzerkonten? Bundesamt für Sicherheit in der Informationstechnik 11

12 ISi-Reihe ISi-Server: generische Checkliste Unterstützt die lokale Benutzerverwaltung die Konfiguration einer Passwortrichtlinie? 3.4 Protokollierung Wird eine zentrale Protokollierung eingesetzt? Unterstützt die zentrale Protokollierung die eingesetzten Betriebssysteme? Werden die Meldungen von Betriebssystem und den darauf betriebenen Diensten an den zentralen Protokollierungsdienst weitergeleitet? Ist der Speicherplatz der zentralen Protokollierung entsprechend dem zu erwartendem Aufkommen der Protokollierungsdaten dimensioniert? Werden rechtliche Rahmenbedingungen bei dem Einsatz der Protokollierung beachtet (z. B. in Absprache mit dem Betriebsrat)? 3.5 Monitoring / Überwachung Wird ein zentrales Management von dem Überwachungsprodukt unterstützt? Werden alle eingesetzten Betriebssysteme von dem Überwachungsprodukt unterstützt? Unterstützt das Überwachungsprodukt die Konfiguration von Schwellwerten? Unterstützt das Überwachungsprodukt die gewünschte Alarmierung? Wird eine Alarmierung per unterstützt? oder Wird eine Alarmierung per Short Message Service (SMS) unterstützt? oder Wird eine Alarmierung per Pager unterstützt? oder Wird eine Alarmierung per Telefon unterstützt? oder Werden von dem Produkt weitere Alarmierungsarten unterstützt? 3.6 Netzwerkspeicher Die folgenden Kontrollfragen sind nur relevant, wenn ein Netzwerkspeicher eingesetzt wird Auswahl der Massenspeichertechnologie Die folgenden Fragestellungen sollen bei der Auswahl der einzusetzenden Massenspeichertechnologie behilflich sein. Soll ein Network Attached Storage (NAS) eingesetzt werden? Erfolgt der Zugriff auf die Daten überwiegend durch Benutzer? oder Sollen Daten gleichzeitig mehreren Benutzern oder Systemen zur Verfügung gestellt werden (z. B. als Fileserver)? Soll ein Storage Area Network (SAN) eingesetzt werden? 12 Bundesamt für Sicherheit in der Informationstechnik

13 ISi-Server: generische Checkliste ISi-Reihe Erfolgt der Zugriff auf die Daten ausschließlich durch Server? oder Soll von mehreren Servern gleichzeitig auf denselben Datenbestand zugegriffen werden? oder Gibt es hohe Anforderungen an die Geschwindigkeit beim Zugriff auf den Netzwerkspeicher? Auswahl des Massenspeicherprotokolls Die folgenden Fragestellungen sollen bei der Auswahl des einzusetzenden Massenspeicherprotokolls und dessen benötigten Komponenten behilflich sein Einsatz eines NAS (Network Attached Storage) Wurde eine Auswahl der zu nutzenden Infrastruktur vorgenommen? Soll eine bisherige IP-basierte Infrastruktur für den Massenspeicher mitbenutzt werden? oder Soll eine neue, dedizierte Infrastruktur für den Massenspeicher angeschafft werden? Verfügt die Server-Hardware über die Möglichkeit auf ein Network Attached Storage (NAS) zuzugreifen? Einsatz eines SAN (Storage Area Network) Wurde eine Auswahl der Übertragungstechnologie getroffen? [iscsi, FCoE] Soll eine bisherige IP-basierte Infrastruktur für den Massenspeicher mitbenutzt werden? oder [FoC, iscsi, FCoE,] Soll eine neue, dedizierte Infrastruktur für den Massenspeicher angeschafft werden? oder [FC] Gibt es bereits eine Fibre-Channel-basierte Infrastruktur, die mitbenutzt werden soll? oder [FC] Gibt es sehr hohe Anforderungen an die Geschwindigkeit beim Zugriff auf den Netzwerkspeicher? oder Einsatz von Fibre Channel Gibt es für das verwendete Betriebssystem eine Treiberunterstützung die eingesetzten Host Bus Adapter (HBA)? Verfügt die Server-Hardware über die Möglichkeit auf ein Storage Area Network (SAN) mittels Fibre Channel (FC) zuzugreifen? Einsatz von FCoE Unterstützen die verwendeten Switche Convergence Enhanced Ethernet (CEE)? Werden dedizierte Converged Network Adapter (CNA) eingesetzt? Bundesamt für Sicherheit in der Informationstechnik 13

14 ISi-Reihe ISi-Server: generische Checkliste Gibt es für das verwendete Betriebssystem eine Treiberunterstützung für die eingesetzten Converged Network Adapter (CNA)? Verfügt die Server-Hardware über die Möglichkeit auf ein Storage Area Network (SAN) mittels Fibre Channel over Ethernet (FCoE) zuzugreifen? [ptional] Unterstützen die verwendeten Netzwerkkomponenten (Switch, Router) Jumbo Frames? Einsatz von iscsi [ptional] Unterstützen die verwendeten Netzwerkkomponenten (Switch, Router) Jumbo Frames? Wurde eine Auswahl des zu verwendenden Host Bus Adapter (HBA) getroffen? Soll ein vom Betriebssystem unterstützter Software HBA (Initiator / Target) verwendet werden? oder Sollen separate Host Bus Adapter (HBA) mit TCP ffload Engine (TE) verwendet werden? Gibt es für das verwendete Betriebssystem eine Treiberunterstützung des eingesetzten Host Bus Adapters (HBA)? Allgemeine Anforderungen Unterstützt das eingesetzte Betriebssystem das ausgewählte Massenspeicherprotokoll? 3.7 Integritätsprüfung Werden die eingesetzten Betriebssysteme von der Integritätsprüfung unterstützt? Wird ein zentrales Management von der Integritätsprüfung unterstützt? Werden die benötigten Methoden zur Überwachung von Betriebssystem-relevanten Daten von der Integritätsprüfung unterstützt? Wird das Erkennen von Änderungen anhand von Prüfsummen unterstützt? Wird das Erkennen von Änderungen der Berechtigungen (Benutzer- und Gruppenrechte) unterstützt? Wird das Erkennen von Änderungen der Dateiattribute unterstützt? Kann die Integritätsprüfung Einträge der Windows Registry überwachen? Erfolgt eine zeitnahe Meldung von Änderungen? Erfolgt eine Alarmierung, wenn eine Verletzung der Systemintegrität erkannt wurde? Werden bei der Aktualisierung von Betriebssystem und den darauf betriebenen Diensten die Referenzwerte neu generiert? Werden Ereignisse, die die Systemintegrität beeinflusst haben, für spätere Analysen protokolliert? [ptional] Soll auf eine Integritätsprüfung verzichtet werden [Variante B]? 14 Bundesamt für Sicherheit in der Informationstechnik

15 ISi-Server: generische Checkliste ISi-Reihe [hohe Integrität] Wurde die Integritätsprüfung daraufhin erweitert, dass dies die Integrität aller Dateien überwacht [Variante C]? 3.8 Virenschutzprogramm Die folgenden Kontrollfragen sind nur relevant, wenn ein Virenschutzprogramm eingesetzt werden soll. Werden die eingesetzten Betriebssysteme von der Virenschutzlösung unterstützt? Unterstützt die Virenschutzlösung die Überprüfung von Dateien bei lesendem und schreibendem Zugriff (n Access Scanning)? Wird bei Verdacht auf einen Virenbefall eine Alarmierung durchgeführt? Unterstützt die Virenschutzlösung eine manuelle oder zeitgesteuerte Überprüfung von Dateien (n Demand Scanning)? Können alle gängigen Archivformate auch verschachtelte entpackt werden, um den Inhalt auf Schadprogramme zu untersuchen? Unterstützt das Virenschutzprogramm gängige Verfahren zur Erkennung von Viren? Verwendet das Virenschutzprogramm Erkennungsmuster (Virensignaturen)? Verwendet das Virenschutzprogramm heuristische Verfahren? Werden infizierte Dateien unschädlich gemacht? Werden infizierte Dateien in Quarantäne verschoben? oder Werden infizierte Dateien bereinigt? Lässt sich das Virenschutzprogramm von einem zentralen Management-Server aus verwalten? Können die Erkennungsmuster über den lokalen Management-Server aktualisiert werden? Unterstützt das zentralen Management auf unterschiedlichen Betriebssystemen laufende Virenschutzprogramme? Werden die vom Hersteller täglich aktualisierten Virensignaturen automatisiert dem Virenschutzprogramm zur Verfügung gestellt? 3.9 Datensicherung Werden die eingesetzten Betriebssysteme von der Datensicherungslösung unterstützt? Lässt sich die Datensicherung von einem zentralen Management-Server aus verwalten? Unterstützt das Produkt zur Datensicherung die Wiederherstellung der gesicherten Daten? Wird die Datensicherung aus einem separatem Netz durchgeführt, um bei zu hoher Auslastung des Produktionsnetzes dieses zu entlasten? 3.10 Patch- und Änderungsmanagement Unterstützt die Softwareverteilung die eingesetzten Betriebssysteme? Bundesamt für Sicherheit in der Informationstechnik 15

16 ISi-Reihe ISi-Server: generische Checkliste Wurde eine Auswahl des Verfahrens zur Softwareaktualisierung getroffen? Können neue Softwarekomponenten und Updates automatisch eingespielt werden? oder Können neue Softwarekomponenten und Updates manuell eingespielt werden? 3.11 [ptional] Virtualisierung Dieser Punkt wird in den Checklisten zur Virtualisierung behandelt (siehe [ISi-Server-Chk-VM]) [ptional] Verschlüsselung von Festplatten Sollen alle Dienste automatisch beim Systemstart gestartet werden (ohne Eingabe eines Passwortes)? Kann die einzusetzende Festplattenverschlüsselung mit Hilfe eines TPMs ohne Passwortschutz genutzt werden? Können die verwendeten Schlüssel für die Festplattenverschlüsselung so hinterlegt werden, dass der Zugriff auf die verschlüsselten Festplatten auch durch den Zugriff anderer Berechtigter möglich ist? 16 Bundesamt für Sicherheit in der Informationstechnik

17 ISi-Server: generische Checkliste ISi-Reihe 4 Konfiguration 4.1 Hardware Befindet sich der Server in einem zutrittsgeschützten Raum? Erfolgte die Konfiguration der Netzwerkmanagementschnittstelle (z. B. über IPMI, il, o. ä.) zur Administration der Hardware? 4.2 Firmware Wurden aktuelle Versionen der Firmware des Servers und aller seiner Komponenten installiert? 4.3 Externe Schnittstellen Wurden die zur Installation erforderlichen Peripheriegeräte (Tastatur, Maus, Monitor) angeschlossen? Wurden die Netzwerkverbindungen hergestellt? Wurde die Netzverbindung zum Produktionsnetz hergestellt? Wurde die Netzverbindung zum Managementnetz hergestellt? [ptional] Wurde die Netzverbindung zu den benötigten Komponenten einer virtualisierten Infrastruktur hergestellt? [ptional] Wurde die Netzverbindung zu Speichernetzen hergestellt? Wurde die RAID-Konfiguration mit dem RAID-Level 1 oder höher durchgeführt? 4.4 Installation und Konfiguration des Betriebssystems Basisinstallation Wurde die Installationsart des Betriebssystems festgelegt? Wurde eine manuelle Installation des Betriebssystems durchgeführt (z. B. bei der Installation einzelner Systeme)? oder Wurde eine automatische Installation des Betriebssystems durchgeführt (z. B. auf Basis von Profilen, wenn mehrere identische Systeme installiert werden sollen)? Wurde eine Minimalinstallation des Betriebssystems durchgeführt? Wurde bei der Installation des Betriebssystems die Funktion Minimalinstallation ausgewählt? oder Wurde bei der Installation des Betriebssystems eine Benutzerdefinierte Installation ausgewählt? Bundesamt für Sicherheit in der Informationstechnik 17

18 ISi-Reihe ISi-Server: generische Checkliste Wurden nicht benötigte Komponenten und Dienste des Betriebssystems während der Installation abgewählt? [ptional] Wurde das Betriebssystem ohne grafische berfläche installiert? Partitionieren der Festplatte [Einsatz von Linux-/Unix-Systemen] Wurden separate Partitionen für die Verzeichnisse Root ( / ), /home, /tmp, /usr, /var, /opt und Swap erstellt? [Bei dem Einsatz von Windows Servern] Wurde eine separate Datenpartition erstellt? Wurden die Partitionen mit ausreichend Speicherplatz angelegt? Wurde ein Journaling Dateisystem für alle Partitionen verwendet? [hohe Vertraulichkeit] Wurde eine Festplattenverschlüsselung eingerichtet [Variante A]? [hohe Vertraulichkeit] Wurde eine Festplattenverschlüsselung mit TPM ohne Passwortschutz eingerichtet [Variante B]? [hohe Vertraulichkeit] Wurde eine Festplattenverschlüsselung mit TPM und Passwortschutz eingerichtet [Variante C]? Netzwerkkonfiguration Wurden die Netzwerkeinstellungen konfiguriert? Erfolgte eine statische Netzwerkkonfiguration? oder Erfolgte eine dynamische Netzwerkkonfiguration (DHCP)? Wurden nicht benötigte Netzprotokolle deaktiviert? Sichere Konfiguration von Betriebssystem und Diensten Wurden nicht benötigte Dienste deaktiviert oder deinstalliert? Wurden Abhängigkeiten zu anderen Diensten analysiert, bevor ein Dienst deaktiviert oder deinstalliert wurde? Wurden nicht benötigte Dienste anhand der Prozessliste identifiziert und deaktiviert oder deinstalliert? Die Prozessliste kann z. B. unter Linux / Unix mit dem Kommando ps angezeigt werden. Unter Windows kann der Task-Manager genutzt werden. oder Wurden nicht benötigte Dienste anhand der offenen Netzwerkports identifiziert und deaktiviert oder deinstalliert? Diese kann unter Linux / Unix und Windows mit dem Kommando netstat erfolgen. oder Wurden nicht benötigte Dienste und Programme anhand des vom Betriebssystem zur Verfügung gestellten Paketmanagers identifiziert, auf Abhängigkeiten zu anderen Programmen analysiert und entfernt? Unter Linux / Unix erfolgt dies z. B. mit dem verwendeten Paketmanager (RPM, DPKG, PKG, etc.) bzw. bei Windows unter Programme und Funktionen. 18 Bundesamt für Sicherheit in der Informationstechnik

19 ISi-Server: generische Checkliste ISi-Reihe Sind Dienste, die weder lokal benötigt werden, noch von dem Server angeboten werden sollen, deaktiviert? Wurden Härtungsrichtlinien des Herstellers zur Konfiguration des Betriebssystems angewandt? Wurden die Speicherschutzmechanismen aktiviert? Wurden Speicherschutzmechanismen (ESP) des Betriebssystems aktiviert? Wurde die Speicherschutztechnologie im BIS aktiviert? Wurden Mechanismen zur Speicherrandomisierung (ASLR) aktiviert? Wurden evtl. vorhandene Standardpasswörter durch sichere Passwörter ersetzt? Wurde das automatische Abspielen von Inhalten oder Starten von Programmen beim Einlegen eines Wechseldatenträgers deaktiviert? Ist die automatische Zeitsynchronisierung mit einer zentralen Zeitsynchronisationsquelle aktiviert? [hohe Integrität] Wurde eine gesicherte Kommunikation mit einem NTP-Server eingerichtet [Variante A]? [hohe Integrität] Wird der Bootvorgang mittels eines TPMs abgesichert [Variante A]? [hohe Integrität] Wurde der Einsatz von Dateisignaturen konfiguriert [Variante D]? 4.5 Dienste Verfügen die installierten Dienste ausschließlich über die Rechte, die für den Betrieb erforderlich sind (restriktive Rechtevergabe)? Werden die installierten Dienste nicht mit Administratorrechten betrieben (sofern möglich)? Ist die Ausgabe von Versionsinformationen der Netzwerkdienste bei Verbindungsaufbau deaktiviert? Sind Konfigurationsdateien mit minimalen Schreib- und Leseberechtigungen ausgestattet? Sind die Passwörter für die installierten Dienste oder Applikationen entsprechend der Passwortrichtlinie erstellt worden? Wurden Dienste, die nur lokal auf dem Server benötigt werden, daraufhin konfiguriert, dass diese nur auf das lokale Netzwerkinterface gebunden sind? 4.6 Benutzerrechte, -verwaltung und -authentisierung Ist das Betriebssystem an die zentrale Benutzerverwaltung angebunden? Erfolgt der Zugang zum Betriebssystem über eine personenbezogene Benutzerkennung? Wird verhindert, dass sich Benutzerkonten ohne Passwort beim Betriebssystem anmelden? Wurden Passwortrichtlinien konfiguriert? Wurde ein regelmäßiger Passwortwechsel konfiguriert? Wurde eine ausreichende Komplexität des Passwortes konfiguriert? Bundesamt für Sicherheit in der Informationstechnik 19

20 ISi-Reihe ISi-Server: generische Checkliste Wurde die Erkennung von Trivialpasswörtern konfiguriert? Wurde die Sperrung des Benutzerkontos nach einer festgelegten Anzahl fehlgeschlagener Anmeldungen konfiguriert? Wird verhindert, dass das Passwort im Klartext abgelegt wird? Werden Benutzern nur die Rechte zugewiesen, die sie für die Ausübung der Aufgaben benötigen? Wurden nicht benötigte Benutzerkonten deaktiviert oder gelöscht? Sind alle aktiven Benutzerkonten mit Passwörtern versehen? Wurden Benutzerrollen bzw. Gruppenrechte eingerichtet? Wurden den Benutzern nur die benötigten Rollen zugeordnet? [hoher Schutzbedarf] Wurde eine Zwei-Faktor-Authentisierung konfiguriert [Variante A]? [ptional] Wurde eine lokale Benutzerverwaltung eingerichtet [Variante A]? 4.7 Protokollierung Wurde die lokale Protokollierung dahingehend konfiguriert, dass alle Protokollmeldungen an den zentralen Protokollierungsserver weitergeleitet werden? Wurden Dienste und das Betriebssystem entsprechend konfiguriert, dass alle relevanten Ereignisse protokolliert werden? Wird eine falsche Passworteingabe für eine Benutzerkennung bis hin zur Sperrung protokolliert? Wird die Benutzerkennung bei Erreichen der Fehlversuchsgrenze protokolliert? Wird der Versuch von unberechtigten Zugriffen protokolliert? Wird ein Stromausfall bzw. ein unerwarteter Neustart des Servers protokolliert? Wird das Starten und Herunterfahren des Servers protokolliert? Enthält die Protokollmeldung mindestens einen Zeitstempel, den Namen des meldenden Servers und den Auslöser des Ereignisses? Erfolgt eine automatisierte Auswertung der Protokolle auf dem zentralen Protokollierungsserver? 4.8 Monitoring / Überwachung Wurde die Schnittstelle zur Überwachung des Servers eingerichtet? Werden die Temperatursensoren überwacht? Wird die Funktionsweise der Hardware überwacht? Wird die Netzwerkauslastung überwacht? Wird die CPU-Auslastung überwacht? Wird die korrekte Funktion der zur Verfügung gestellten Dienste überwacht? 20 Bundesamt für Sicherheit in der Informationstechnik