Sicheres SNMP-Management BS2000/OSD

Ausgabe

April 2009

Seiten

BS2000/OSD-SNMP-Management fr sichere, hochverfgbare Plattformen

Sicherheit ist geschftskritisch. Je mehr Unternehmen E-Business- und mobilittsorientierte Lsungen einsetzen und dadurch ihre Informationssysteme fr ihre Kunden, Partner und das Internet ffnen, umso wichtiger wird die IT-Sicherheit, um die zunehmenden Angriffspunkte zu vermeiden. Security-Management ist ein fortlaufender Prozess. Dieses White-Paper beschreibt ein sicheres BS2000/OSD-SNMP-Management im folgenden Modell: Es wird davon ausgegangen, dass Sie bereits ber eine sichere Systemkonfiguration ohne SNMPManagement-Tools verfgen. Das vorliegende Dokument enthlt viele Hinweise, wie Sie durch die Ergnzung Ihrer Systemkonfiguration mit den BS2000/OSD-SNMP-Management-Komponenten das Ziel eines sicheren Systems erreichen.

BS2000/OSD

SNMP

Inhalt BS2000/OSD-SNMP-Management fr sichere, hochverfgbare Plattformen 1 Vorwort 2 Security-Management ist ein Prozess 2.1 Erarbeiten eines Sicherheitskonzepts 2.2 Eine permanente Anpassung ist erforderlich 2.3 Sicherheit als Prozess 3 Allgemeine Fragen 3.1 Kommunikationspfade 3.2 Schutz durch Firewalls 3.3 Offene Ports 3.4 Allgemeine Systemsicherheit 4 SNMP-Agenten bei BS2000/OSD 4.1 Empfehlungen fr eine sichere Nutzung des SNMP Service 5 SNMP-Manager auerhalb BS2000/OSD 5.1 CA Unicenter 5.2 Standalone-Management-Anwendungen 6 Zugriff auf den SNMP-Agenten ber HTTP 7 Zusammenfassung 8 Glossar 9 Weitere Informationen ber Enterprise-Security 1 2 2 2 2 3 4 4 5 5 5 6 6 7 7 8 8 8 9 9

Stand der Beschreibung: Oktober 2004

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 2 / 9

1 Vorwort
Security-Management ist, wie das Qualittsmanagement auch, ein fortwhrender Prozess. Dieses White-Paper ist daher kein Leitfaden fr die Sicherheitsanalyse und die Festlegung von Sicherheitsstrategien. Beides sind wichtige Schritte, die wesentlich allgemeiner und umfassender zu betrachten sind, als es im Rahmen dieses Dokumentes mglich ist. Im Rahmen dieses White-Paper gehen wir von der folgenden Situation aus: Sie verfgen bereits ber eine sichere Systemkonfiguration und wollen diese durch SNMP-Management-Komponenten ergnzen. Das vorliegende Dokument enthlt viele Hinweise fr ein sicheres System. Mehr Sicherheit bedeutet selbstverstndlich auch mehr Aufwand, zum Beispiel fr Planung oder Konfiguration. Welche dieser Regeln und Hinweise Sie umsetzen, liegt in Ihrem Ermessen und muss im Kontext Ihrer Gesamtstrategie fr die Sicherheit entschieden werden.

2 Security-Management ist ein Prozess

Sicherheit kann nicht durch ein Produkt oder eine Lsung bereitgestellt werden. Nur durch einen stndigen SecurityManagement-Prozess ist es mglich, Sicherheit zu erzielen. Dies ist vergleichbar mit dem stndigen Qualittsmanagementprozess. Ein anderer Punkt ist, dass Sicherheit nicht durch bloe Prvention erreicht werden kann. Prventionssysteme sind nie perfekt. Eine Sicherheitsstrategie muss immer die Prvention, die Erkennung und die Reaktion umfassen. Weitere Informationen finden Sie unter: http://www.politechbot.com/p-02266.html

2.1 Erarbeiten eines Sicherheitskonzepts

Robuste und sensible IT-Systemsicherheit entsteht aus der korrekten Implementierung und Pflege einer klar definierten Sicherheitsstrategie. Eine solche Sicherheitsstrategie muss - neben den technischen Fragen - eine ganze Reihe verschiedener Aspekte, wie zum Beispiel organisatorische Fragen, menschliche Aspekte, Risikowahrscheinlichkeiten und Risikobewertung, in Betracht ziehen. Im Prinzip mssen die folgenden Schritte ausgefhrt werden, um zu einer klar definierten Sicherheitsstrategie zu kommen: Analyse der zu schtzenden Vermgenswerte Analyse der Bedrohungen Bewertung der Risiken Primre Auswirkungen, wie zum Beispiel Verlust, Zerstrung, finanzielle Auswirkungen Sekundre Auswirkungen, wie zum Beispiel Verzgerungen, Geschftsausflle Drittrangige Auswirkungen, wie zum Beispiel Vertrauensverlust, Verlust von Kunden Entscheidung, sich gegen bestimmte Bedrohungen zu schtzen Auswahl eines geeigneten Manahmenkatalogs Berechnung der Kosten Bewertung der verbleibenden Risiken Es ist sehr wahrscheinlich, dass einige dieser Schritte mehrfach durchgefhrt werden mssen, es wird sich also eher um einen Schleifenverlauf als um eine reine Abfolge von Schritten handeln. Wenn beispielsweise die "Berechnung der Kosten" aufzeigt, dass die Kosten hher wren als der Schaden, muss der Schritt "Auswahl eines geeigneten Manahmenkatalogs" wiederholt werden. Weitere Informationen finden Sie unter: http://www.bsi.de/gshb/deutsch/menue.htm

2.2 Eine permanente Anpassung ist erforderlich

Wenn Sie alle diese Schritte durchlaufen haben, haben Sie eine Sicherheitsstrategie fr die Situation erstellt, wie sie sich zum Zeitpunkt der Durchfhrung des ersten Schrittes Analyse der zu schtzenden Vermgenswerte darstellte. In extremen Fllen kann die neue Sicherheitsstrategie jetzt schon wieder berholt sein. In der Regel ist dies zwar nicht der Fall, aber es zeigt, dass eine Sicherheitsstrategie periodisch sowie bei greren nderungen in Bezug auf die Vermgenswerte, neue potentielle Bedrohungen sowie die Verfgbarkeit neuer Manahmen usw. angepasst werden muss. Fr die berlegungen in diesem White-Paper wird davon ausgegangen, dass bereits eine umfassende Sicherheitsstrategie - ein Rahmen an Regeln und deren Implementierung - fr das IT-Geschft entwickelt wurde, um die Sicherheitsziele zu erreichen. Immer wenn neue Komponenten hinzugefgt, Prozesse verndert oder organisatorische Aspekte modifiziert werden, muss auch die Sicherheitsstrategie angepasst werden. Eine solche Anpassung wird auch erforderlich, wenn ein bestimmtes ServerManagement-Tool eingefhrt wird.

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 3 / 9

Allgemein Schritt 1: Sicherheit herstellen

Hinweise und Richtlinien zur Erhaltung der Gesamtsicherheit

Schritt 2: Sicherheit aufrechterhalten

jede Vernderung

Status: Sicheres System

Primergy Management hinzufgen/ ndern

Hinweise und Richtlinien fr Sichere Management Operationen

System-Management
Bild 1: Sicherheitsansatz Bild 1 illustriert diesen grundlegenden Ansatz, der aus den beiden Schritten "Sicherheit herstellen" und "Sicherheit aufrechterhalten" besteht. Die Grundannahme fr die vorliegenden berlegungen ist, dass Sie bereits eine sichere Systemkonfiguration erreicht haben und nun die Konfiguration einer SNMP-Management-Komponente hinzufgen bzw. nderungen vornehmen. Dieses Dokument gibt Ihnen Hinweise und Regeln, die Sie beim Schritt "Sicherheit aufrechterhalten" untersttzen: Hinweise und Regeln, wie Sie die Sicherheit des Gesamtsystems aufrecht erhalten. So kann zum Beispiel die Installation eines Web-Servers zu Sicherheitslcken fhren, wenn Sie bestimmte Regeln nicht beachten. Hinweise und Regeln, wie Sie die Sicherheit der SNMP-Management-Operationen verbessern. Zum Beispiel, damit nicht autorisierte Personen keine Management-Aktivitten durchfhren knnen. Die Sicherheitsaspekte und Auswirkungen der Nutzung eines bestimmten Server-Management-Tools mssen im Kontext der vorhandenen IT-Konfiguration, aber auch im Kontext der vorhandenen Sicherheitsstrategie, bewertet werden. Beide sind individuell unterschiedlich. Aus diesem Grund kann dieses Dokument keine Sicherheitslsungen in Bezug auf das ServerManagement bieten, es stellt Ihnen jedoch Informationen und Untersttzung fr die Anpassung Ihrer Sicherheitsstrategie bei der Verwendung der Server-Management-Tools bereit. Wie bereits oben erwhnt wurde, sind Prventionssysteme nie perfekt. Die Anzahl potentieller Lcken ist einfach zu gro, und die Angreifer sind opportunistisch: Sie gehen den einfachsten und bequemsten Weg. Sie nutzen die bekanntesten Fehler mit den effektivsten und verbreitesten Angriffs-Tools. Diese Sicherheitslcken sollten geschlossen werden. Sie sind detailliert unter: http://www.sans.org/top20.htm beschrieben. An verschiedenen Stellen in den folgenden Abschnitten wird ebenfalls darauf Bezug genommen.

2.3 Sicherheit als Prozess

Sicherheit kann nicht allein durch ein Produkt oder eine Lsung hergestellt werden. Sicherheit ist auch ein Prozess, vergleichbar mit den Prozessen beim Qualittsmanagement. Nur ein stndiges Security-Management kann dauerhafte Sicherheit gewhrleisten. Der Prozess Schutz der Objekte, die des Schutzes wert sind verfolgt die folgenden Ziele gegenber unbeabsichtigten oder willkrlichen externen und internen Bedrohungen: Vertraulichkeit Integritt Verfgbarkeit Verantwortungsbewusste Nutzung Der Prozess sttzt sich sehr stark auf die Richtlinien im Sicherheitshandbuch. Ein umfassendes Sicherheitshandbuch enthlt die folgenden Prozessschritte: Prventionsmanahmen Erkennung Reaktion

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 4 / 9

Prventionsmanahmen Zu den Prventionsmanahmen gehrt die korrekte Konfiguration der Sicherheitsparameter gem Sicherheitsvorschriften. Prventionsmanahmen alleine garantieren jedoch keine Sicherheit, da diese Manahmen niemals perfekt sein knnen. Erkennung Zur Erkennung gehren die Protokollierung des Leitungsbetriebs und die regelmige berprfung der Protokolle auf sicherheitsrelevante Vorflle, beispielsweise die wiederholte Verletzung des Zugriffsschutzes (Versuche des Eindringens). Reaktion Zu den Reaktionen gehrt die Prfung: der Angemessenheit und Effizienz der Sicherheitsvorschriften, ob die Prventionsmanahmen neu bewertet werden mssen, ob die Mechanismen fr die Erkennung intensiviert werden mssen.

3 Allgemeine Fragen
3.1 Kommunikationspfade
Bild 2 zeigt alle Kommunikationspfade, die von den unterschiedlichen Komponenten/Tools der SNMP-Management-Produkte genutzt werden. Bei diesen Komponenten handelt es sich um: SNMP-Management-Station Web-Browser berwachtes BS2000/OSD-System mit SNMP-Agent

SNMP-Management-Station UDP Port 162

2 3

Web-Browser
1

get / set

SNMP UDP IP

response

HTTP TCP IP

UDP Port 161

trap

TCP Port 280

SNMP Message Processing SNMP Message Processing

HTTP Message Processing HTTP Message Processing

SNMP-Master-Agent SNMP-Master-Agent
Subagent Subagent Subagent Subagent Subagent Subagent ... ...

Bild 2: Kommunikationspfade Die folgende Tabelle beschreibt, welche Kommunikationsprotokolle verwendet werden und welche Standard-Ports jeweils eingesetzt werden. Standardmig werden hauptschlich bekannte Ports (im Bereich von 0 bis 1023) und IANA-registrierte Ports (1024 bis 49151) genutzt. Weitere Informationen finden Sie unter: http://www.iana.org/assignments/port-numbers Es knnen jedoch alle Ports individuell unter anderen Port-Nummern konfiguriert werden.

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 5 / 9

Kommunikationspfade Nr. 1 2 Kommunikation Web Browser <-> SNMP-Master-Agent TCP Port 80 wird fr HTTP-basierte Kommunikation genutzt SNMP-Management-Station <-> SNMP-Master-Agent UDP Port 161 wird verwendet fr den Austausch von SNMP-Protokollanforderungen zum Get oder Set eines SNMP-Objekts und der entsprechenden Reaktionen. SNMP-Master-Agent -> SNMP-Management-Station UDP Port 162 wird verwendet zum Versenden von SNMP-Traps an die empfangende ManagementStation. Kommunikationspfad in beide Richtungen Kommunikation in eine Richtung

<->: ->:

Ports und Protokolle Port 161 162 80 Protokoll UDP UDP TCP Zweck SNMP (konfigurierbar) SNMP-Traps (konfigurierbar) Web HTTP (konfigurierbar)

3.2 Schutz durch Firewalls

Firewalls werden eingesetzt, um Angriffe aus dem ffentlichen Internet zu verhindern. Falls sich alle Komponenten/Tools der BS2000/OSD-Management-Produkte sowie die verwalteten Systeme (Managed Systems) hinter der Firewall befinden, sind auch alle Kommunikationspfade vor Angriffen aus dem ffentlichen Internet geschtzt. Trotzdem kann der Administrator jederzeit und von jedem Ort aus mittels eines Browsers ber das Internet auf das Management zugreifen. In dieser idealen Situation mssen also nur die Kommunikationspfade zwischen Browser und SNMP-Master-Agent die Firewall durchqueren. Empfehlung 1: Bringen Sie alle Komponenten/Tools der BS2000/OSD-Management-Produkte gemeinsam mit den verwalteten Systemen hinter der Firewall unter. Auf die Web-basierten Tools kann mittels eines Browsers ber das Internet zugegriffen werden.

3.3 Offene Ports

Eine der zwanzig hufigsten Sicherheitslcken ist die groe Anzahl offener Ports ("Large number of open ports"). Weitere Informationen finden Sie unter: http://www.sans.org/top20.htm, Topic G4 Sowohl berechtigte Benutzer als auch Angreifer stellen die Verbindung zu den Systemen ber offene Ports her. Je mehr Ports offen sind, desto mehr Mglichkeiten gibt es, dass jemand eine Verbindung zu Ihrem System herstellen kann. Aus diesem Grund ist es entscheidend, mglichst nur so wenige Ports fr ein System offen zu lassen, wie dieses System fr ein einwandfreies Funktionieren bentigt. Alle anderen Ports mssen geschlossen werden. Weitere Informationen ber das Scannen auf offene Ports und das Schlieen von Ports, die nicht bentigt werden, finden Sie in Abschnitt G4 unter http://www.sans.org/top20.htm fr Windows NT, Windows 2000 und Unix-basierte Systeme. Bild 2 und die Tabelle oben vermitteln Ihnen die erforderlichen Informationen, anhand derer Sie entscheiden knnen, welche Ports fr das BS2000/OSD-SNMP-Management offen sein mssen. Wie das Bild zeigt, kann dies von System zu System variieren und ist abhngig von der Konfiguration und den im System angesiedelten Komponenten/Tools. Empfehlung 2: Minimieren Sie die Anzahl der offenen Ports fr jedes System. Das Bild und die Tabelle oben zeigen, welche offenen Ports von den BS2000/OSD-SNMP-Management-Produkten bentigt werden.

3.4 Allgemeine Systemsicherheit

Die im BS2000/OSD-SNMP-Management implementierten Sicherheitsfunktionen sttzen sich auf die Tatsache, dass die Konfigurations- und Programmdateien nur privilegierten Benutzern, in der Regel einem Administrator, zugnglich sind. Bei der Installation werden diese Dateien mit den richtigen Berechtigungen erstellt. Empfehlung 3: berprfen Sie die Konfigurations- und Programmdateien von BS2000/OSD-SNMP-Management regelmig darauf, dass nur privilegierte Benutzer auf diese Dateien zugreifen knnen.

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 6 / 9

4 SNMP-Agenten bei BS2000/OSD

Dieses Kapitel stellt Ihnen Hinweise und Empfehlungen dazu bereit, wie die Nutzung des SNMP-basierten BS2000/OSDManagement-Systems im Hinblick auf die Sicherheit implementiert wird. Diese Beschreibung ist jedoch nicht als Anleitung zur Sicherheitsanalyse oder zur Erstellung von Sicherheitsrichtlinien zu verstehen. Diese beiden wichtigen Themen berschreiten den Rahmen des vorliegenden Dokuments. Die funktionellen Details zur sicherheitsbewussten Einstellung der Konfigurationsparameter des SNMP-Agenten in BS2000/OSD finden Sie im Handbuch SNMP-Management V5.0, Abschnitt 3.3.1, Security-Konfiguration.

4.1 Empfehlungen fr eine sichere Nutzung des SNMP Service

Bei einer naiven Nutzung ist SNMP nicht sicher. Die nach der Installation geltende Standardkonfiguration mit einer Minimalkonfiguration stellt einen Kompromiss zwischen Sicherheit und umfassender Interoperabilitt im SNMP-Netzwerk dar mit Tendenz zu den Anforderungen der Interoperabilitt. Vermeiden Sie den tatschlichen Einsatz des BS2000/OSD-Systems mit einer minimalen Konfiguration. Wenn Sie die Konfiguration auf dem verwalteten BS2000/OSD-System ndern, passen Sie bitte auch die entsprechenden Einstellungen auf der Management-Plattform an. Empfehlung 4: ndern Sie die Minimalkonfiguration des SNMP-Agenten und die entsprechenden Einstellungen auf der ManagementPlattform gem den Richtlinien in Ihrem Sicherheitshandbuch. Aus Sicherheitsgrnden mssen Sie mit den folgenden Konfigurationsparametern besonders vorsichtig sein: Community-Strings fr die Annahme von SNMP-Anforderungen Community-Strings und die Zugangssteuerung fr MIB-Objekte Community-Strings und Absenderadressen Empfngeradressen fr SNMP-Traps Aktivierung des Versands von Authentication-Failure-Traps Diese Parameter werden in den weiteren Abschnitten detailliert erlutert. 4.1.1 Community-Strings fr die Annahme von SNMP-Anforderungen In der SNMP-Terminologie bezeichnet eine Community eine Gruppe aus einer oder mehreren Management-Plattformen sowie mehreren SNMP-Agenten, die von diesen Plattformen aus gesteuert werden. Jede Community ist durch einen Community-String gekennzeichnet. Der Community-String ist eine nicht verschlsselte Komponente jeder SNMP-Anforderung. Er weist den Absender der Anforderung als Mitglied der jeweiligen Community aus. Die Autorisierung fr eine lesende oder schreibende Anforderung, die eine Management-Plattform an einen SNMP-Agenten sendet, wird anhand dieses Community-Strings gesteuert. Der Community-String stellt einen einfachen Authentifizierungsmechanismus fr SNMP dar. Management-Plattformen und SNMP-Agenten knnen nur miteinander kommunizieren, wenn sie der gleichen Community angehren: Der SNMP-Agent akzeptiert nur SNMP-Anforderungen von Management-Plattformen, deren Community-Strings bekannt, also vorkonfiguriert, sind. Traditionell verwenden SNMP-Implementierungen den Default-Community-String public fr eine "read-only" Community sowie private fr eine "read-write" Community. Da der Community-String unverschlsselt mit der SNMP-Nachricht versandt wird, besteht immer das Risiko einer nicht autorisierten Verwendung. Unter Sicherheitsaspekten kann dies fr die Nutzung von SNMP problematisch sein. Andererseits verwenden die meisten Communities den vordefinierten Community-String public. Empfehlung 5: Sie sollten sich zumindest der Default-Community-Strings (public und private) bewusst sein. Beschrnken Sie die Nutzung von public so weit wie mglich in bereinstimmung mit den Anforderungen Ihrer Management-Plattform. Whlen Sie je nach der Struktur Ihrer Systeme und Aktivitten geeignete Communities, und weisen Sie diesen angemessene Community-Strings zu. ndern Sie den Community-String gem den Richtlinien in Ihrem Sicherheitshandbuch: Beispielsweise in hnlicher Art und Weise wie dies fr Passwrter gilt. Beachten Sie dabei bitte, dass Sie den Community-String in allen beteiligten Systemen der Community ndern mssen. Empfehlung 6: Wenn es die Umgebung Ihrer SNMP-Agenten und Management-Plattformen zulsst, sollten Sie die benutzerspezifische Authentifizierung nutzen, die im Rahmen des SNMPv3-Protokolls zur Verfgung steht.

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 7 / 9

4.1.2 Community-Strings und die Zugangssteuerung fr MIB-Objekte Community-Strings knnen die Zugriffsberechtigungen nur Lesen (read-only), Lesen und Schreiben (read-write) usw. zugewiesen werden. In bereinstimmung mit diesen Zugriffsberechtigungen drfen SNMP-Anforderungen, die diesen Community-String enthalten, Objekte lesen, die als read-only definiert sind, und auf Objekte schreiben bzw. diese ndern, die als read-write definiert sind. Falls keine weiteren Vorkehrungen getroffen wurden, knnen alle Objekte, auf die zugegriffen werden kann, gelesen werden oder alle Objekte, die gendert werden knnen, knnen gelesen und/oder gendert werden. Empfehlung 7: Nutzen Sie die Option der Zuweisung selektiver Lese- oder Schreibberechtigungen fr bestimmte Community-Strings fr: MIB Branches Objekte Objektinstanzen (in Tabellen) Empfehlung 8: Falls die Umgebung Ihrer SNMP-Agenten und Management-Plattformen dies zulsst, sollten Sie die benutzerspezifische Autorisierung nutzen, die im Rahmen des SNMPv3-Protokolls zur Verfgung steht. 4.1.3 Community-Strings und Absenderadressen Sie knnen die IP-Adressen der autorisierten Management-Plattformen explizit vorkonfigurieren. So zwingen Sie den SNMPAgenten, keine anderen SNMP-Anforderungen anzunehmen als die SNMP-Anforderungen von diesen Systemen. Zu diesem Zweck mssen die Management-Plattformen feste IP-Adressen haben. Diese knnen nicht mit dem Dynamic Host Configuration Protocol (DHCP) dynamisch zugewiesen werden. Empfehlung 9: Bestimmen Sie die Absenderadressen der Management-Plattformen durch die Konfiguration der entsprechenden IPAdressen im SNMP-Agenten. 4.1.4 Empfngeradressen fr SNMP-Traps Sie knnen die IP-Adressen der autorisierten Management-Plattformen, an die ein SNMP-Agent SNMP-Traps sendet, explizit vordefinieren. Zu diesem Zweck mssen die Management-Plattformen konstante IP-Adressen haben. Diese knnen nicht mit dem Dynamic Host Configuration Protocol (DHCP) dynamisch zugewiesen werden. Empfehlung 10: Definieren Sie die Empfngeradressen der Management-Plattformen, die SNMP-Traps empfangen sollen. Konfigurieren Sie hierzu die IP-Adressen dieser Management-Plattformen im SNMP-Agenten. 4.1.5 Community-String fr SNMP-Traps Sie knnen den Community-String konfigurieren, den ein SNMP-Agent als Bestandteil eines SNMP-Trap an die ManagementPlattform sendet. Die Management-Plattform akzeptiert dann nur SNMP-Traps mit diesem Community-String. Empfehlung 11: Whlen Sie Communities, die fr die Struktur Ihrer Systeme und Aktivitten geeignet sind. ndern Sie den CommunityString gem den Richtlinien in Ihrem Sicherheitshandbuch: Beispielsweise in hnlicher Art und Weise wie dies fr Passwrter gilt. Beachten Sie dabei bitte, dass Sie den Community-String in allen beteiligten Systemen der Community ndern mssen. 4.1.6 4.1.6 Aktivierung von Authentication-Failure-Traps Der SNMP-Agent berprft jede SNMP-Anforderung auf die Einhaltung der konfigurierten Sicherheitsparameter und Optionen (siehe vorangegangene Abschnitte). Wenn die SNMP-Anforderung diesen berprfungen standhlt, wird der Agent sie bearbeiten. Andernfalls verwirft der Agent die SNMP-Anforderung und versendet einen Authentication-Failure-Trap. Standardmig ist das Versenden von Authentication-Failure-Traps deaktiviert. Wenn diese Funktionalitt aktiviert wird, versendet der SNMP-Agent den Trap an alle konfigurierten Empfnger. Empfehlung 12: Konfigurieren Sie den Parameter snmpEnableAuthenTraps, damit das Versenden von Authentication-Failure-Traps aktiviert wird. Konfigurieren Sie auerdem einen geeigneten Empfnger fr solche Traps. Prfen Sie regelmig, ob solche Traps aufgetreten sind, und analysieren Sie alle Events dieser Art.

5 SNMP-Manager auerhalb BS2000/OSD

Das vorliegende Kapitel stellt Ihnen Hinweise und Empfehlungen dazu bereit, wie Sie die Verwendung des SNMP-basierten BS2000/OSD-Management-Systems bei Management-Plattformen integrieren. Die Management-Plattform kann SNMPAnforderungen absetzen und SNMP-Traps empfangen.

5.1 CA Unicenter
Die Integration des SNMP-basierten BS2000/OSD-Management in die CA Unicenter Management-Plattform ist ein integraler Bestandteil des Produktangebots. Fr die wichtigste Kommunikation zwischen dem Manager und den Agenten wird das SNMPv1-Protokoll verwendet. Es gelten alle Empfehlungen aus Kapitel 4. Auerdem gelten:

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 8 / 9

Empfehlung 13: Ordnen Sie sowohl die CA Unicenter Management-Plattform als auch die BS2000/OSD-Agentensysteme hinter einer Firewall an, um die SNMPv1-Kommunikation zu schtzen. Empfehlung 14: Stellen Sie sicher, dass bei der Management-Plattform und den BS2000/OSD-Agentensystemen konsistent konfigurierte Parameter verwendet werden, insbesondere fr den SNMP-Community-String.

5.2 Standalone-Management-Anwendungen
Die Standalone-Management-Anwendungen wie zum Beispiel Console und Application Monitor lassen die Verwendung aller SNMPv3-Sicherheitsfunktionalitten zu, einschlielich SNMP-Meldungsauthentifizierung und Integritt. Aufgrund des erforderlichen Zugriffs auf Ports mit bestimmten Berechtigungen knnen nur Benutzer mit den entsprechenden Berechtigungen diese Anwendungen ausfhren. Empfehlung 15: Konfigurieren Sie die Standalone-Management-Anwendungen fr eine umfassende Nutzung der SNMPv3Sicherheitsfunktionalitten. Stellen Sie sicher, dass die Ausfhrungsrechte und der Zugriff auf die entsprechenden Konfigurationsdateien autorisierten Benutzern oder Gruppen vorbehalten sind.

6 Zugriff auf den SNMP-Agenten ber HTTP

BS2000/OSD-Agentensysteme ermglichen auch den Zugriff ber das HTTP-Protokoll von einem allgemeinen Web-Browser. Fr einen solchen Zugriff ist eine Authentifizierung erforderlich. Es sind mehrere Benutzernamen mit unterschiedlichen Zugriffsmglichkeiten auf MIB-Objekte im BS2000/OSD SNMP-Agenten vorkonfiguriert. Alle diese Benutzernamen haben das gleiche vorkonfigurierte Passwort. Empfehlung 16: ndern Sie das vorkonfigurierte Passwort der Benutzernamen fr den HTTP-Zugriff auf den BS2000/OSD-SNMPAgenten gem den Richtlinien in Ihrem Sicherheitshandbuch zum Umgang mit Passwrtern.

7 Zusammenfassung
Sicherheit bekommen Sie nicht umsonst. Wenn Sie einfach alle BS2000/OSD-SNMP-Management-Komponenten mit den Standardwerten installieren, wird wahrscheinlich alles funktionieren. Andererseits haben Sie aber ein sehr schlechtes Sicherheitsniveau. Wenn Sie alle Komponenten individuell konfigurieren, erhalten Sie ein recht gutes Ma an Sicherheit, aber es funktioniert nur alles vernnftig, wenn alle Komponenten konsistent konfiguriert sind. Sie mssen also die Gesamtkonfiguration sorgfltig planen, bevor Sie die Komponenten konfigurieren. Diese Detailplne sind die Basis fr die Konfiguration sowie fr die laufende Wartung. Die folgende Tabelle fasst alle oben diskutierten Empfehlungen zusammen und kategorisiert deren Zweck, ob sie also der Aufrechterhaltung der Gesamtsicherheit oder dem Erreichen sicherer Management-Operationen dienen. Empfehlung Unterbringung aller Komponenten zusammen mit den verwalteten Servern hinter einer Firewall. Minimieren der Anzahl offener Ports fr jedes System. Prfen der Konfigurations- und Programmdateien in regelmigen Abstnden, um angemessene Zugriffsberechtigungen sicherzustellen. Modifizieren der Standardeinstellungen der SNMP-Services. Einschrnkung der Nutzung der gngigen SNMP-Community-Strings public und private. Verwenden benutzerspezifischer Authentifizierung, wenn dies durch die Management-Plattform angeboten wird. Verwenden benutzerspezifischer Autorisierung und Zugriffssteuerung fr MIB-Objekte. Nutzen der Quelladressprfung fr eingehende SNMP-Anforderungen. Aktivieren der SNMP-Authentication-Failure-Traps. Sicherstellen einer konsistenten Konfiguration fr SNMP-Agenten und Management-Station. Aktivieren der SNMPv3-Sicherheitsfunktionalitten wo immer dies mglich ist, z.B. bei den Standalone-Anwendungen. ndern der vorkonfigurierten Passwrter fr den Zugriff ber einen Web-Browser. Einsetzen von Web-Browsern hinter der Firewall. Zweck

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 9 / 9

8 Glossar
HTTP IANA OS Sicherheitsmechanismus HyperText Transfer Protocol Internet Assigned Numbers Authority Operating System, Betriebssystem Ein Prozess (oder ein Gert mit einem solchen Prozess), der in einem System dazu verwendet werden kann, einen Sicherheitsservice zu implementieren, der vom System oder innerhalb des Systems bereitgestellt wird. Beispiele: Authentifizierungsaustausch, Prfsummen, digitale Signatur, Verschlsselung usw. Eine Reihe an Regeln und Praktiken, die angeben bzw. regeln, wie ein System oder eine Organisation Sicherheitsservices bereitstellt, damit sensitive und kritische Systemressourcen geschtzt werden. Simple Network Management Protocol Transmission Control Protocol User Datagram Protocol

Sicherheitsstrategie

SNMP TCP UDP

9 Weitere Informationen ber Enterprise-Security

Fujitsu ist mit fhrend bei der Entwicklung sicherer Systeme. Aufbauend auf unseren Servern mit hoher Verfgbarkeit arbeiten wir mit den fhrenden Enterprise-Security-Partnern zusammen, um den Kunden ausgereifte und bewhrte Technologie bieten zu knnen, die jeden Bereich der Enterprise-Security aufgreift. Weitere Informationen ber dieses Thema finden Sie unter: http://de.ts.fujitsu.com/security Die folgende Broschre enthlt einen kurzen berblick ber Enterprise-Security-Lsungen von Fujitsu: SECOS - Sicherheit im E-Business mit BS2000/OSD .

Alle Rechte vorbehalten, insbesondere gewerbliche Schutzrechte. nderung von technischen Daten sowie Lieferbarkeit vorbehalten. Haftung oder Garantie fr Vollstndigkeit, Aktualitt und Richtigkeit der angegebenen Daten und Abbildungen ausgeschlossen. Wiedergegebene Bezeichnungen knnen Marken und/oder Urheberrechte sein, deren Benutzung durch Dritte fr eigene Zwecke die Rechte der Inhaber verletzen kann. Weitere Einzelheiten unter ts.fujitsu.com/terms_of_use.html Copyright Fujitsu Technology Solutions GmbH 2009

Herausgegeben durch: Erwin Fischer Telefon: ++49 (0)89 3222 2621 Fax: ++49 (0)89 3222 329 2621 erwin.fischer@ts.fujitsu.com de.ts.fujitsu.com/bs2000

Partner login partners.ts.fujitsu.com/bs2000