Beruflich Dokumente
Kultur Dokumente
Ausgabe
April 2009
Seiten
BS2000/OSD
SNMP
Inhalt BS2000/OSD-SNMP-Management fr sichere, hochverfgbare Plattformen 1 Vorwort 2 Security-Management ist ein Prozess 2.1 Erarbeiten eines Sicherheitskonzepts 2.2 Eine permanente Anpassung ist erforderlich 2.3 Sicherheit als Prozess 3 Allgemeine Fragen 3.1 Kommunikationspfade 3.2 Schutz durch Firewalls 3.3 Offene Ports 3.4 Allgemeine Systemsicherheit 4 SNMP-Agenten bei BS2000/OSD 4.1 Empfehlungen fr eine sichere Nutzung des SNMP Service 5 SNMP-Manager auerhalb BS2000/OSD 5.1 CA Unicenter 5.2 Standalone-Management-Anwendungen 6 Zugriff auf den SNMP-Agenten ber HTTP 7 Zusammenfassung 8 Glossar 9 Weitere Informationen ber Enterprise-Security 1 2 2 2 2 3 4 4 5 5 5 6 6 7 7 8 8 8 9 9
Seite 2 / 9
1 Vorwort
Security-Management ist, wie das Qualittsmanagement auch, ein fortwhrender Prozess. Dieses White-Paper ist daher kein Leitfaden fr die Sicherheitsanalyse und die Festlegung von Sicherheitsstrategien. Beides sind wichtige Schritte, die wesentlich allgemeiner und umfassender zu betrachten sind, als es im Rahmen dieses Dokumentes mglich ist. Im Rahmen dieses White-Paper gehen wir von der folgenden Situation aus: Sie verfgen bereits ber eine sichere Systemkonfiguration und wollen diese durch SNMP-Management-Komponenten ergnzen. Das vorliegende Dokument enthlt viele Hinweise fr ein sicheres System. Mehr Sicherheit bedeutet selbstverstndlich auch mehr Aufwand, zum Beispiel fr Planung oder Konfiguration. Welche dieser Regeln und Hinweise Sie umsetzen, liegt in Ihrem Ermessen und muss im Kontext Ihrer Gesamtstrategie fr die Sicherheit entschieden werden.
Seite 3 / 9
jede Vernderung
System-Management
Bild 1: Sicherheitsansatz Bild 1 illustriert diesen grundlegenden Ansatz, der aus den beiden Schritten "Sicherheit herstellen" und "Sicherheit aufrechterhalten" besteht. Die Grundannahme fr die vorliegenden berlegungen ist, dass Sie bereits eine sichere Systemkonfiguration erreicht haben und nun die Konfiguration einer SNMP-Management-Komponente hinzufgen bzw. nderungen vornehmen. Dieses Dokument gibt Ihnen Hinweise und Regeln, die Sie beim Schritt "Sicherheit aufrechterhalten" untersttzen: Hinweise und Regeln, wie Sie die Sicherheit des Gesamtsystems aufrecht erhalten. So kann zum Beispiel die Installation eines Web-Servers zu Sicherheitslcken fhren, wenn Sie bestimmte Regeln nicht beachten. Hinweise und Regeln, wie Sie die Sicherheit der SNMP-Management-Operationen verbessern. Zum Beispiel, damit nicht autorisierte Personen keine Management-Aktivitten durchfhren knnen. Die Sicherheitsaspekte und Auswirkungen der Nutzung eines bestimmten Server-Management-Tools mssen im Kontext der vorhandenen IT-Konfiguration, aber auch im Kontext der vorhandenen Sicherheitsstrategie, bewertet werden. Beide sind individuell unterschiedlich. Aus diesem Grund kann dieses Dokument keine Sicherheitslsungen in Bezug auf das ServerManagement bieten, es stellt Ihnen jedoch Informationen und Untersttzung fr die Anpassung Ihrer Sicherheitsstrategie bei der Verwendung der Server-Management-Tools bereit. Wie bereits oben erwhnt wurde, sind Prventionssysteme nie perfekt. Die Anzahl potentieller Lcken ist einfach zu gro, und die Angreifer sind opportunistisch: Sie gehen den einfachsten und bequemsten Weg. Sie nutzen die bekanntesten Fehler mit den effektivsten und verbreitesten Angriffs-Tools. Diese Sicherheitslcken sollten geschlossen werden. Sie sind detailliert unter: http://www.sans.org/top20.htm beschrieben. An verschiedenen Stellen in den folgenden Abschnitten wird ebenfalls darauf Bezug genommen.
Seite 4 / 9
Prventionsmanahmen Zu den Prventionsmanahmen gehrt die korrekte Konfiguration der Sicherheitsparameter gem Sicherheitsvorschriften. Prventionsmanahmen alleine garantieren jedoch keine Sicherheit, da diese Manahmen niemals perfekt sein knnen. Erkennung Zur Erkennung gehren die Protokollierung des Leitungsbetriebs und die regelmige berprfung der Protokolle auf sicherheitsrelevante Vorflle, beispielsweise die wiederholte Verletzung des Zugriffsschutzes (Versuche des Eindringens). Reaktion Zu den Reaktionen gehrt die Prfung: der Angemessenheit und Effizienz der Sicherheitsvorschriften, ob die Prventionsmanahmen neu bewertet werden mssen, ob die Mechanismen fr die Erkennung intensiviert werden mssen.
3 Allgemeine Fragen
3.1 Kommunikationspfade
Bild 2 zeigt alle Kommunikationspfade, die von den unterschiedlichen Komponenten/Tools der SNMP-Management-Produkte genutzt werden. Bei diesen Komponenten handelt es sich um: SNMP-Management-Station Web-Browser berwachtes BS2000/OSD-System mit SNMP-Agent
Web-Browser
1
get / set
SNMP UDP IP
response
HTTP TCP IP
trap
SNMP-Master-Agent SNMP-Master-Agent
Subagent Subagent Subagent Subagent Subagent Subagent ... ...
Bild 2: Kommunikationspfade Die folgende Tabelle beschreibt, welche Kommunikationsprotokolle verwendet werden und welche Standard-Ports jeweils eingesetzt werden. Standardmig werden hauptschlich bekannte Ports (im Bereich von 0 bis 1023) und IANA-registrierte Ports (1024 bis 49151) genutzt. Weitere Informationen finden Sie unter: http://www.iana.org/assignments/port-numbers Es knnen jedoch alle Ports individuell unter anderen Port-Nummern konfiguriert werden.
Seite 5 / 9
Kommunikationspfade Nr. 1 2 Kommunikation Web Browser <-> SNMP-Master-Agent TCP Port 80 wird fr HTTP-basierte Kommunikation genutzt SNMP-Management-Station <-> SNMP-Master-Agent UDP Port 161 wird verwendet fr den Austausch von SNMP-Protokollanforderungen zum Get oder Set eines SNMP-Objekts und der entsprechenden Reaktionen. SNMP-Master-Agent -> SNMP-Management-Station UDP Port 162 wird verwendet zum Versenden von SNMP-Traps an die empfangende ManagementStation. Kommunikationspfad in beide Richtungen Kommunikation in eine Richtung
<->: ->:
Ports und Protokolle Port 161 162 80 Protokoll UDP UDP TCP Zweck SNMP (konfigurierbar) SNMP-Traps (konfigurierbar) Web HTTP (konfigurierbar)
Seite 6 / 9
Seite 7 / 9
4.1.2 Community-Strings und die Zugangssteuerung fr MIB-Objekte Community-Strings knnen die Zugriffsberechtigungen nur Lesen (read-only), Lesen und Schreiben (read-write) usw. zugewiesen werden. In bereinstimmung mit diesen Zugriffsberechtigungen drfen SNMP-Anforderungen, die diesen Community-String enthalten, Objekte lesen, die als read-only definiert sind, und auf Objekte schreiben bzw. diese ndern, die als read-write definiert sind. Falls keine weiteren Vorkehrungen getroffen wurden, knnen alle Objekte, auf die zugegriffen werden kann, gelesen werden oder alle Objekte, die gendert werden knnen, knnen gelesen und/oder gendert werden. Empfehlung 7: Nutzen Sie die Option der Zuweisung selektiver Lese- oder Schreibberechtigungen fr bestimmte Community-Strings fr: MIB Branches Objekte Objektinstanzen (in Tabellen) Empfehlung 8: Falls die Umgebung Ihrer SNMP-Agenten und Management-Plattformen dies zulsst, sollten Sie die benutzerspezifische Autorisierung nutzen, die im Rahmen des SNMPv3-Protokolls zur Verfgung steht. 4.1.3 Community-Strings und Absenderadressen Sie knnen die IP-Adressen der autorisierten Management-Plattformen explizit vorkonfigurieren. So zwingen Sie den SNMPAgenten, keine anderen SNMP-Anforderungen anzunehmen als die SNMP-Anforderungen von diesen Systemen. Zu diesem Zweck mssen die Management-Plattformen feste IP-Adressen haben. Diese knnen nicht mit dem Dynamic Host Configuration Protocol (DHCP) dynamisch zugewiesen werden. Empfehlung 9: Bestimmen Sie die Absenderadressen der Management-Plattformen durch die Konfiguration der entsprechenden IPAdressen im SNMP-Agenten. 4.1.4 Empfngeradressen fr SNMP-Traps Sie knnen die IP-Adressen der autorisierten Management-Plattformen, an die ein SNMP-Agent SNMP-Traps sendet, explizit vordefinieren. Zu diesem Zweck mssen die Management-Plattformen konstante IP-Adressen haben. Diese knnen nicht mit dem Dynamic Host Configuration Protocol (DHCP) dynamisch zugewiesen werden. Empfehlung 10: Definieren Sie die Empfngeradressen der Management-Plattformen, die SNMP-Traps empfangen sollen. Konfigurieren Sie hierzu die IP-Adressen dieser Management-Plattformen im SNMP-Agenten. 4.1.5 Community-String fr SNMP-Traps Sie knnen den Community-String konfigurieren, den ein SNMP-Agent als Bestandteil eines SNMP-Trap an die ManagementPlattform sendet. Die Management-Plattform akzeptiert dann nur SNMP-Traps mit diesem Community-String. Empfehlung 11: Whlen Sie Communities, die fr die Struktur Ihrer Systeme und Aktivitten geeignet sind. ndern Sie den CommunityString gem den Richtlinien in Ihrem Sicherheitshandbuch: Beispielsweise in hnlicher Art und Weise wie dies fr Passwrter gilt. Beachten Sie dabei bitte, dass Sie den Community-String in allen beteiligten Systemen der Community ndern mssen. 4.1.6 4.1.6 Aktivierung von Authentication-Failure-Traps Der SNMP-Agent berprft jede SNMP-Anforderung auf die Einhaltung der konfigurierten Sicherheitsparameter und Optionen (siehe vorangegangene Abschnitte). Wenn die SNMP-Anforderung diesen berprfungen standhlt, wird der Agent sie bearbeiten. Andernfalls verwirft der Agent die SNMP-Anforderung und versendet einen Authentication-Failure-Trap. Standardmig ist das Versenden von Authentication-Failure-Traps deaktiviert. Wenn diese Funktionalitt aktiviert wird, versendet der SNMP-Agent den Trap an alle konfigurierten Empfnger. Empfehlung 12: Konfigurieren Sie den Parameter snmpEnableAuthenTraps, damit das Versenden von Authentication-Failure-Traps aktiviert wird. Konfigurieren Sie auerdem einen geeigneten Empfnger fr solche Traps. Prfen Sie regelmig, ob solche Traps aufgetreten sind, und analysieren Sie alle Events dieser Art.
5.1 CA Unicenter
Die Integration des SNMP-basierten BS2000/OSD-Management in die CA Unicenter Management-Plattform ist ein integraler Bestandteil des Produktangebots. Fr die wichtigste Kommunikation zwischen dem Manager und den Agenten wird das SNMPv1-Protokoll verwendet. Es gelten alle Empfehlungen aus Kapitel 4. Auerdem gelten:
Seite 8 / 9
Empfehlung 13: Ordnen Sie sowohl die CA Unicenter Management-Plattform als auch die BS2000/OSD-Agentensysteme hinter einer Firewall an, um die SNMPv1-Kommunikation zu schtzen. Empfehlung 14: Stellen Sie sicher, dass bei der Management-Plattform und den BS2000/OSD-Agentensystemen konsistent konfigurierte Parameter verwendet werden, insbesondere fr den SNMP-Community-String.
5.2 Standalone-Management-Anwendungen
Die Standalone-Management-Anwendungen wie zum Beispiel Console und Application Monitor lassen die Verwendung aller SNMPv3-Sicherheitsfunktionalitten zu, einschlielich SNMP-Meldungsauthentifizierung und Integritt. Aufgrund des erforderlichen Zugriffs auf Ports mit bestimmten Berechtigungen knnen nur Benutzer mit den entsprechenden Berechtigungen diese Anwendungen ausfhren. Empfehlung 15: Konfigurieren Sie die Standalone-Management-Anwendungen fr eine umfassende Nutzung der SNMPv3Sicherheitsfunktionalitten. Stellen Sie sicher, dass die Ausfhrungsrechte und der Zugriff auf die entsprechenden Konfigurationsdateien autorisierten Benutzern oder Gruppen vorbehalten sind.
7 Zusammenfassung
Sicherheit bekommen Sie nicht umsonst. Wenn Sie einfach alle BS2000/OSD-SNMP-Management-Komponenten mit den Standardwerten installieren, wird wahrscheinlich alles funktionieren. Andererseits haben Sie aber ein sehr schlechtes Sicherheitsniveau. Wenn Sie alle Komponenten individuell konfigurieren, erhalten Sie ein recht gutes Ma an Sicherheit, aber es funktioniert nur alles vernnftig, wenn alle Komponenten konsistent konfiguriert sind. Sie mssen also die Gesamtkonfiguration sorgfltig planen, bevor Sie die Komponenten konfigurieren. Diese Detailplne sind die Basis fr die Konfiguration sowie fr die laufende Wartung. Die folgende Tabelle fasst alle oben diskutierten Empfehlungen zusammen und kategorisiert deren Zweck, ob sie also der Aufrechterhaltung der Gesamtsicherheit oder dem Erreichen sicherer Management-Operationen dienen. Empfehlung Unterbringung aller Komponenten zusammen mit den verwalteten Servern hinter einer Firewall. Minimieren der Anzahl offener Ports fr jedes System. Prfen der Konfigurations- und Programmdateien in regelmigen Abstnden, um angemessene Zugriffsberechtigungen sicherzustellen. Modifizieren der Standardeinstellungen der SNMP-Services. Einschrnkung der Nutzung der gngigen SNMP-Community-Strings public und private. Verwenden benutzerspezifischer Authentifizierung, wenn dies durch die Management-Plattform angeboten wird. Verwenden benutzerspezifischer Autorisierung und Zugriffssteuerung fr MIB-Objekte. Nutzen der Quelladressprfung fr eingehende SNMP-Anforderungen. Aktivieren der SNMP-Authentication-Failure-Traps. Sicherstellen einer konsistenten Konfiguration fr SNMP-Agenten und Management-Station. Aktivieren der SNMPv3-Sicherheitsfunktionalitten wo immer dies mglich ist, z.B. bei den Standalone-Anwendungen. ndern der vorkonfigurierten Passwrter fr den Zugriff ber einen Web-Browser. Einsetzen von Web-Browsern hinter der Firewall. Zweck
Seite 9 / 9
8 Glossar
HTTP IANA OS Sicherheitsmechanismus HyperText Transfer Protocol Internet Assigned Numbers Authority Operating System, Betriebssystem Ein Prozess (oder ein Gert mit einem solchen Prozess), der in einem System dazu verwendet werden kann, einen Sicherheitsservice zu implementieren, der vom System oder innerhalb des Systems bereitgestellt wird. Beispiele: Authentifizierungsaustausch, Prfsummen, digitale Signatur, Verschlsselung usw. Eine Reihe an Regeln und Praktiken, die angeben bzw. regeln, wie ein System oder eine Organisation Sicherheitsservices bereitstellt, damit sensitive und kritische Systemressourcen geschtzt werden. Simple Network Management Protocol Transmission Control Protocol User Datagram Protocol
Sicherheitsstrategie
Alle Rechte vorbehalten, insbesondere gewerbliche Schutzrechte. nderung von technischen Daten sowie Lieferbarkeit vorbehalten. Haftung oder Garantie fr Vollstndigkeit, Aktualitt und Richtigkeit der angegebenen Daten und Abbildungen ausgeschlossen. Wiedergegebene Bezeichnungen knnen Marken und/oder Urheberrechte sein, deren Benutzung durch Dritte fr eigene Zwecke die Rechte der Inhaber verletzen kann. Weitere Einzelheiten unter ts.fujitsu.com/terms_of_use.html Copyright Fujitsu Technology Solutions GmbH 2009
Herausgegeben durch: Erwin Fischer Telefon: ++49 (0)89 3222 2621 Fax: ++49 (0)89 3222 329 2621 erwin.fischer@ts.fujitsu.com de.ts.fujitsu.com/bs2000