Sie sind auf Seite 1von 9
Ausgabe April 2009 Sicheres SNMP-Management BS2000/OSD Seiten 9
Ausgabe
April 2009
Sicheres SNMP-Management
BS2000/OSD
Seiten
9

BS2000/OSD-SNMP-Management für sichere, hochverfügbare Plattformen

Sicherheit ist geschäftskritisch. Je mehr Unternehmen E-Business- und mobilitätsorientierte Lösungen einsetzen und dadurch ihre Informationssysteme für ihre Kunden, Partner und das Internet öffnen, umso wichtiger wird die IT-Sicherheit, um die zunehmenden Angriffspunkte zu vermeiden. Security-Management ist ein fortlaufender Prozess. Dieses White-Paper beschreibt ein sicheres BS2000/OSD-SNMP-Management im folgenden Modell: Es wird davon ausgegangen, dass Sie bereits über eine sichere Systemkonfiguration ohne SNMP- Management-Tools verfügen. Das vorliegende Dokument enthält viele Hinweise, wie Sie durch die Ergänzung Ihrer Systemkonfiguration mit den BS2000/OSD-SNMP-Management-Komponenten das Ziel eines sicheren Systems erreichen.

Inhalt

BS2000/OSD SNMP
BS2000/OSD
SNMP

BS2000/OSD-SNMP-Management für sichere, hochverfügbare Plattformen

1

1 Vorwort

2

2 “Security-Management ist ein Prozess”

2

2.1 Erarbeiten eines Sicherheitskonzepts

2

2.2 Eine permanente Anpassung ist erforderlich

2

2.3 Sicherheit als Prozess

3

3 Allgemeine Fragen

4

3.1 Kommunikationspfade

4

3.2 Schutz durch Firewalls

5

3.3 Offene Ports

5

3.4 Allgemeine Systemsicherheit

5

4 SNMP-Agenten bei BS2000/OSD

6

4.1

Empfehlungen für eine sichere Nutzung des SNMP Service

6

5 SNMP-Manager außerhalb BS2000/OSD

7

5.1 CA Unicenter

7

5.2 Standalone-Management-Anwendungen

8

6 Zugriff auf den SNMP-Agenten über HTTP

8

7 Zusammenfassung

8

8 Glossar

9

9 Weitere Informationen über Enterprise-Security

9

Stand der Beschreibung: Oktober 2004

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 2 / 9

1 Vorwort

Security-Management ist, wie das Qualitätsmanagement auch, ein fortwährender Prozess. Dieses White-Paper ist daher kein Leitfaden für die Sicherheitsanalyse und die Festlegung von Sicherheitsstrategien. Beides sind wichtige Schritte, die wesentlich allgemeiner und umfassender zu betrachten sind, als es im Rahmen dieses Dokumentes möglich ist. Im Rahmen dieses White-Paper gehen wir von der folgenden Situation aus:

Sie verfügen bereits über eine sichere Systemkonfiguration und wollen diese durch SNMP-Management-Komponenten ergänzen. Das vorliegende Dokument enthält viele Hinweise für ein sicheres System. Mehr Sicherheit bedeutet selbstverständlich auch mehr Aufwand, zum Beispiel für Planung oder Konfiguration. Welche dieser Regeln und Hinweise Sie umsetzen, liegt in Ihrem Ermessen und muss im Kontext Ihrer Gesamtstrategie für die Sicherheit entschieden werden.

2 “Security-Management ist ein Prozess”

Sicherheit kann nicht durch ein Produkt oder eine Lösung bereitgestellt werden. Nur durch einen ständigen Security- Management-Prozess ist es möglich, Sicherheit zu erzielen. Dies ist vergleichbar mit dem ständigen Qualitätsmanage- mentprozess. Ein anderer Punkt ist, dass Sicherheit nicht durch bloße Prävention erreicht werden kann. Präventionssysteme sind nie perfekt. Eine Sicherheitsstrategie muss immer die Prävention, die Erkennung und die Reaktion umfassen. Weitere Informationen finden Sie unter: http://www.politechbot.com/p-02266.html

2.1 Erarbeiten eines Sicherheitskonzepts

Robuste und sensible IT-Systemsicherheit entsteht aus der korrekten Implementierung und Pflege einer klar definierten Sicherheitsstrategie. Eine solche Sicherheitsstrategie muss - neben den technischen Fragen - eine ganze Reihe verschiedener Aspekte, wie zum Beispiel organisatorische Fragen, menschliche Aspekte, Risikowahrscheinlichkeiten und Risikobewertung, in Betracht ziehen. Im Prinzip müssen die folgenden Schritte ausgeführt werden, um zu einer klar definierten Sicherheitsstrategie zu kommen:

Analyse der zu schützenden Vermögenswerte Analyse der Bedrohungen Bewertung der Risiken

Primäre Auswirkungen, wie zum Beispiel Verlust, Zerstörung, finanzielle Auswirkungen

Sekundäre Auswirkungen, wie zum Beispiel Verzögerungen, Geschäftsausfälle

Drittrangige Auswirkungen, wie zum Beispiel Vertrauensverlust, Verlust von Kunden Entscheidung, sich gegen bestimmte Bedrohungen zu schützen Auswahl eines geeigneten Maßnahmenkatalogs Berechnung der Kosten Bewertung der verbleibenden Risiken

Es ist sehr wahrscheinlich, dass einige dieser Schritte mehrfach durchgeführt werden müssen, es wird sich also eher um einen Schleifenverlauf als um eine reine Abfolge von Schritten handeln. Wenn beispielsweise die "Berechnung der Kosten" aufzeigt, dass die Kosten höher wären als der Schaden, muss der Schritt "Auswahl eines geeigneten Maßnahmenkatalogs" wiederholt werden. Weitere Informationen finden Sie unter: http://www.bsi.de/gshb/deutsch/menue.htm

2.2 Eine permanente Anpassung ist erforderlich

Wenn Sie alle diese Schritte durchlaufen haben, haben Sie eine Sicherheitsstrategie für die Situation erstellt, wie sie sich zum Zeitpunkt der Durchführung des ersten Schrittes Analyse der zu schützenden Vermögenswerte darstellte. In extremen Fällen kann die neue Sicherheitsstrategie jetzt schon wieder überholt sein. In der Regel ist dies zwar nicht der Fall, aber es zeigt, dass eine Sicherheitsstrategie periodisch sowie bei größeren Änderungen in Bezug auf die Vermögenswerte, neue potentielle Bedrohungen sowie die Verfügbarkeit neuer Maßnahmen usw. angepasst werden muss. Für die Überlegungen in diesem White-Paper wird davon ausgegangen, dass bereits eine umfassende Sicherheitsstrategie - ein Rahmen an Regeln und deren Implementierung - für das IT-Geschäft entwickelt wurde, um die Sicherheitsziele zu erreichen. Immer wenn neue Komponenten hinzugefügt, Prozesse verändert oder organisatorische Aspekte modifiziert werden, muss auch die Sicherheitsstrategie angepasst werden. Eine solche Anpassung wird auch erforderlich, wenn ein bestimmtes Server- Management-Tool eingeführt wird.

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 3 / 9

Allgemein Schritt 1: Sicherheit herstellen Hinweise und Richtlinien zur Erhaltung der Gesamtsicherheit Schritt 2:
Allgemein
Schritt 1:
Sicherheit
herstellen
Hinweise und
Richtlinien zur
Erhaltung der
Gesamtsicherheit
Schritt 2:
Primergy
Status:
jede
Sicherheit
Management
Verände-
Sicheres
aufrecht-
hinzufügen/
rung
System
ändern
erhalten
Hinweise und
Richtlinien für
Sichere Manage-
ment Operationen
System-Management

Bild 1: Sicherheitsansatz

Bild 1 illustriert diesen grundlegenden Ansatz, der aus den beiden Schritten "Sicherheit herstellen" und "Sicherheit aufrechterhalten" besteht. Die Grundannahme für die vorliegenden Überlegungen ist, dass Sie bereits eine sichere Systemkonfiguration erreicht haben und nun die Konfiguration einer SNMP-Management-Komponente hinzufügen bzw. Änderungen vornehmen. Dieses Dokument gibt Ihnen Hinweise und Regeln, die Sie beim Schritt "Sicherheit aufrechterhalten" unterstützen:

Hinweise und Regeln, wie Sie die Sicherheit des Gesamtsystems aufrecht erhalten. So kann zum Beispiel die Installation eines Web-Servers zu Sicherheitslücken führen, wenn Sie bestimmte Regeln nicht beachten. Hinweise und Regeln, wie Sie die Sicherheit der SNMP-Management-Operationen verbessern. Zum Beispiel, damit nicht autorisierte Personen keine Management-Aktivitäten durchführen können.

Die Sicherheitsaspekte und Auswirkungen der Nutzung eines bestimmten Server-Management-Tools müssen im Kontext der vorhandenen IT-Konfiguration, aber auch im Kontext der vorhandenen Sicherheitsstrategie, bewertet werden. Beide sind individuell unterschiedlich. Aus diesem Grund kann dieses Dokument keine Sicherheitslösungen in Bezug auf das Server- Management bieten, es stellt Ihnen jedoch Informationen und Unterstützung für die Anpassung Ihrer Sicherheitsstrategie bei der Verwendung der Server-Management-Tools bereit. Wie bereits oben erwähnt wurde, sind Präventionssysteme nie perfekt. Die Anzahl potentieller Lücken ist einfach zu groß, und die Angreifer sind opportunistisch: Sie gehen den einfachsten und bequemsten Weg. Sie nutzen die bekanntesten Fehler mit den effektivsten und verbreitesten Angriffs-Tools. Diese Sicherheitslücken sollten geschlossen werden. Sie sind detailliert unter:

http://www.sans.org/top20.htm beschrieben. An verschiedenen Stellen in den folgenden Abschnitten wird ebenfalls darauf Bezug genommen.

2.3 Sicherheit als Prozess

Sicherheit kann nicht allein durch ein Produkt oder eine Lösung hergestellt werden. Sicherheit ist auch ein Prozess, vergleichbar mit den Prozessen beim Qualitätsmanagement. Nur ein ständiges Security-Management kann dauerhafte Sicherheit gewährleisten. Der Prozess “Schutz der Objekte, die des Schutzes wert sind” verfolgt die folgenden Ziele gegenüber unbeabsichtigten oder willkürlichen externen und internen Bedrohungen:

Vertraulichkeit Integrität Verfügbarkeit Verantwortungsbewusste Nutzung

Der Prozess stützt sich sehr stark auf die Richtlinien im Sicherheitshandbuch. Ein umfassendes Sicherheitshandbuch enthält die folgenden Prozessschritte:

Präventionsmaßnahmen Erkennung Reaktion

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 4 / 9

Präventionsmaßnahmen Zu den Präventionsmaßnahmen gehört die korrekte Konfiguration der Sicherheitsparameter gemäß Sicherheitsvorschriften. Präventionsmaßnahmen alleine garantieren jedoch keine Sicherheit, da diese Maßnahmen niemals perfekt sein können.

Erkennung Zur Erkennung gehören die Protokollierung des Leitungsbetriebs und die regelmäßige Überprüfung der Protokolle auf sicherheitsrelevante Vorfälle, beispielsweise die wiederholte Verletzung des Zugriffsschutzes (Versuche des Eindringens).

Reaktion Zu den Reaktionen gehört die Prüfung:

der Angemessenheit und Effizienz der Sicherheitsvorschriften, ob die Präventionsmaßnahmen neu bewertet werden müssen, ob die Mechanismen für die Erkennung intensiviert werden müssen.

3 Allgemeine Fragen

3.1 Kommunikationspfade

Bild 2 zeigt alle Kommunikationspfade, die von den unterschiedlichen Komponenten/Tools der SNMP-Management-Produkte genutzt werden. Bei diesen Komponenten handelt es sich um:

SNMP-Management-Station Web-Browser Überwachtes BS2000/OSD-System mit SNMP-Agent

Web-Browser Überwachtes BS2000/OSD-System mit SNMP-Agent SNMP-Management-Station UDP Port 162 2 3 SNMP UDP IP
SNMP-Management-Station UDP Port 162 2 3 SNMP UDP IP UDP Port 161 get / set
SNMP-Management-Station
UDP Port 162
2
3
SNMP
UDP
IP
UDP Port 161
get / set
response
trap
Web-Browser 1 HTTP TCP IP TCP Port 280
Web-Browser
1
HTTP
TCP
IP
TCP Port 280

SNMP SNMP Message Message Processing Processing

HTTP HTTP Message Message Processing Processing

SNMP-Master-Agent SNMP-Master-Agent

SNMP-Master-Agent SNMP-Master-Agent

Subagent Subagent Subagent Subagent Subagent Subagent
Subagent Subagent
Subagent Subagent
Subagent Subagent

Bild 2: Kommunikationspfade

Die folgende Tabelle beschreibt, welche Kommunikationsprotokolle verwendet werden und welche Standard-Ports jeweils eingesetzt werden. Standardmäßig werden hauptsächlich bekannte Ports (im Bereich von 0 bis 1023) und IANA-registrierte Ports (1024 bis 49151) genutzt. Weitere Informationen finden Sie unter: http://www.iana.org/assignments/port-numbers Es können jedoch alle Ports individuell unter anderen Port-Nummern konfiguriert werden.

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 5 / 9

Kommunikationspfade

Nr.

Kommunikation

1

Web Browser <-> SNMP-Master-Agent TCP Port 80 wird für HTTP-basierte Kommunikation genutzt

2

SNMP-Management-Station <-> SNMP-Master-Agent UDP Port 161 wird verwendet für den Austausch von SNMP-Protokollanforderungen zum Get oder Set eines SNMP-Objekts und der entsprechenden Reaktionen.

3

SNMP-Master-Agent -> SNMP-Management-Station UDP Port 162 wird verwendet zum Versenden von SNMP-Traps an die empfangende Management- Station.

<->:

Kommunikationspfad in beide Richtungen Kommunikation in eine Richtung

->:

Ports und Protokolle

Port

Protokoll

Zweck

161

UDP

SNMP (konfigurierbar)

162

UDP

SNMP-Traps (konfigurierbar)

80

TCP

Web HTTP (konfigurierbar)

3.2 Schutz durch Firewalls

Firewalls werden eingesetzt, um Angriffe aus dem öffentlichen Internet zu verhindern. Falls sich alle Komponenten/Tools der BS2000/OSD-Management-Produkte sowie die verwalteten Systeme (Managed Systems) hinter der Firewall befinden, sind auch alle Kommunikationspfade vor Angriffen aus dem öffentlichen Internet geschützt. Trotzdem kann der Administrator jederzeit und von jedem Ort aus mittels eines Browsers über das Internet auf das Management zugreifen. In dieser idealen Situation müssen also nur die Kommunikationspfade zwischen Browser und SNMP-Master-Agent die Firewall durchqueren.

Empfehlung 1:

Bringen Sie alle Komponenten/Tools der BS2000/OSD-Management-Produkte gemeinsam mit den verwalteten Systemen hinter der Firewall unter. Auf die Web-basierten Tools kann mittels eines Browsers über das Internet zugegriffen werden.

3.3 Offene Ports

Eine der zwanzig häufigsten Sicherheitslücken ist die große Anzahl offener Ports ("Large number of open ports"). Weitere Informationen finden Sie unter: http://www.sans.org/top20.htm, Topic G4 Sowohl berechtigte Benutzer als auch Angreifer stellen die Verbindung zu den Systemen über offene Ports her. Je mehr Ports offen sind, desto mehr Möglichkeiten gibt es, dass jemand eine Verbindung zu Ihrem System herstellen kann. Aus diesem Grund ist es entscheidend, möglichst nur so wenige Ports für ein System offen zu lassen, wie dieses System für ein einwandfreies Funktionieren benötigt. Alle anderen Ports müssen geschlossen werden. Weitere Informationen über das Scannen auf offene Ports und das Schließen von Ports, die nicht benötigt werden, finden Sie in Abschnitt G4 unter http://www.sans.org/top20.htm für Windows NT, Windows 2000 und Unix-basierte Systeme. Bild 2 und die Tabelle oben vermitteln Ihnen die erforderlichen Informationen, anhand derer Sie entscheiden können, welche Ports für das BS2000/OSD-SNMP-Management offen sein müssen. Wie das Bild zeigt, kann dies von System zu System variieren und ist abhängig von der Konfiguration und den im System angesiedelten Komponenten/Tools.

Empfehlung 2:

Minimieren Sie die Anzahl der offenen Ports für jedes System. Das Bild und die Tabelle oben zeigen, welche offenen Ports von den BS2000/OSD-SNMP-Management-Produkten benötigt werden.

3.4 Allgemeine Systemsicherheit

Die im BS2000/OSD-SNMP-Management implementierten Sicherheitsfunktionen stützen sich auf die Tatsache, dass die Konfigurations- und Programmdateien nur privilegierten Benutzern, in der Regel einem Administrator, zugänglich sind. Bei der Installation werden diese Dateien mit den richtigen Berechtigungen erstellt.

Empfehlung 3:

Überprüfen Sie die Konfigurations- und Programmdateien von BS2000/OSD-SNMP-Management regelmäßig darauf, dass nur privilegierte Benutzer auf diese Dateien zugreifen können.

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 6 / 9

4 SNMP-Agenten bei BS2000/OSD

Dieses Kapitel stellt Ihnen Hinweise und Empfehlungen dazu bereit, wie die Nutzung des SNMP-basierten BS2000/OSD- Management-Systems im Hinblick auf die Sicherheit implementiert wird. Diese Beschreibung ist jedoch nicht als Anleitung zur Sicherheitsanalyse oder zur Erstellung von Sicherheitsrichtlinien zu verstehen. Diese beiden wichtigen Themen überschreiten den Rahmen des vorliegenden Dokuments. Die funktionellen Details zur sicherheitsbewussten Einstellung der Konfigurationsparameter des SNMP-Agenten in BS2000/OSD finden Sie im Handbuch SNMP-Management V5.0, Abschnitt 3.3.1, Security-Konfiguration.

4.1 Empfehlungen für eine sichere Nutzung des SNMP Service

Bei einer naiven Nutzung ist SNMP nicht sicher. Die nach der Installation geltende Standardkonfiguration mit einer Minimalkonfiguration stellt einen Kompromiss zwischen Sicherheit und umfassender Interoperabilität im SNMP-Netzwerk dar - mit Tendenz zu den Anforderungen der Interoperabilität. Vermeiden Sie den tatsächlichen Einsatz des BS2000/OSD-Systems mit einer minimalen Konfiguration. Wenn Sie die Konfiguration auf dem verwalteten BS2000/OSD-System ändern, passen Sie bitte auch die entsprechenden Einstellungen auf der Management-Plattform an.

Empfehlung 4:

Ändern Sie die Minimalkonfiguration des SNMP-Agenten und die entsprechenden Einstellungen auf der Management- Plattform gemäß den Richtlinien in Ihrem Sicherheitshandbuch.

Aus Sicherheitsgründen müssen Sie mit den folgenden Konfigurationsparametern besonders vorsichtig sein:

Community-Strings für die Annahme von SNMP-Anforderungen Community-Strings und die Zugangssteuerung für MIB-Objekte Community-Strings und Absenderadressen Empfängeradressen für SNMP-Traps Aktivierung des Versands von Authentication-Failure-Traps

Diese Parameter werden in den weiteren Abschnitten detailliert erläutert.

4.1.1 Community-Strings für die Annahme von SNMP-Anforderungen

In der SNMP-Terminologie bezeichnet eine Community eine Gruppe aus einer oder mehreren Management-Plattformen sowie mehreren SNMP-Agenten, die von diesen Plattformen aus gesteuert werden. Jede Community ist durch einen Community-String gekennzeichnet. Der Community-String ist eine nicht verschlüsselte Komponente jeder SNMP-Anforderung. Er weist den Absender der Anforderung als Mitglied der jeweiligen Community aus. Die Autorisierung für eine lesende oder schreibende Anforderung, die eine Management-Plattform an einen SNMP-Agenten sendet, wird anhand dieses Community-Strings gesteuert. Der Community-String stellt einen einfachen Authentifizierungsmechanismus für SNMP dar. Management-Plattformen und SNMP-Agenten können nur miteinander kommunizieren, wenn sie der gleichen Community angehören: Der SNMP-Agent akzeptiert nur SNMP-Anforderungen von Management-Plattformen, deren Community-Strings bekannt, also vorkonfiguriert, sind. Traditionell verwenden SNMP-Implementierungen den Default-Community-String public für eine "read-only" Community sowie private für eine "read-write" Community. Da der Community-String unverschlüsselt mit der SNMP-Nachricht versandt wird, besteht immer das Risiko einer nicht autorisierten Verwendung. Unter Sicherheitsaspekten kann dies für die Nutzung von SNMP problematisch sein. Andererseits verwenden die meisten Communities den vordefinierten Community-String public.

Empfehlung 5:

Sie sollten sich zumindest der Default-Community-Strings (public und private) bewusst sein. Beschränken Sie die Nutzung von public so weit wie möglich in Übereinstimmung mit den Anforderungen Ihrer Management-Plattform. Wählen Sie je nach der Struktur Ihrer Systeme und Aktivitäten geeignete Communities, und weisen Sie diesen angemessene Community-Strings zu. Ändern Sie den Community-String gemäß den Richtlinien in Ihrem Sicherheitshandbuch: Beispielsweise in ähnlicher Art und Weise wie dies für Passwörter gilt. Beachten Sie dabei bitte, dass Sie den Community-String in allen beteiligten Systemen der Community ändern müssen.

Empfehlung 6:

Wenn es die Umgebung Ihrer SNMP-Agenten und Management-Plattformen zulässt, sollten Sie die benutzerspezifische Authentifizierung nutzen, die im Rahmen des SNMPv3-Protokolls zur Verfügung steht.

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 7 / 9

4.1.2 Community-Strings und die Zugangssteuerung für MIB-Objekte

Community-Strings können die Zugriffsberechtigungen nur Lesen (read-only), Lesen und Schreiben (read-write) usw. zugewiesen werden. In Übereinstimmung mit diesen Zugriffsberechtigungen dürfen SNMP-Anforderungen, die diesen Community-String enthalten, Objekte lesen, die als read-only definiert sind, und auf Objekte schreiben bzw. diese ändern, die als read-write definiert sind. Falls keine weiteren Vorkehrungen getroffen wurden, können alle Objekte, auf die zugegriffen werden kann, gelesen werden oder alle Objekte, die geändert werden können, können gelesen und/oder geändert werden.

Empfehlung 7:

Nutzen Sie die Option der Zuweisung selektiver Lese- oder Schreibberechtigungen für bestimmte Community-Strings für:

MIB Branches

Objekte

Objektinstanzen (in Tabellen)

Empfehlung 8:

Falls die Umgebung Ihrer SNMP-Agenten und Management-Plattformen dies zulässt, sollten Sie die benutzerspezifische Autorisierung nutzen, die im Rahmen des SNMPv3-Protokolls zur Verfügung steht.

4.1.3 Community-Strings und Absenderadressen

Sie können die IP-Adressen der autorisierten Management-Plattformen explizit vorkonfigurieren. So zwingen Sie den SNMP- Agenten, keine anderen SNMP-Anforderungen anzunehmen als die SNMP-Anforderungen von diesen Systemen. Zu diesem Zweck müssen die Management-Plattformen feste IP-Adressen haben. Diese können nicht mit dem Dynamic Host Configuration Protocol (DHCP) dynamisch zugewiesen werden.

Empfehlung 9:

Bestimmen Sie die Absenderadressen der Management-Plattformen durch die Konfiguration der entsprechenden IP- Adressen im SNMP-Agenten.

4.1.4 Empfängeradressen für SNMP-Traps

Sie können die IP-Adressen der autorisierten Management-Plattformen, an die ein SNMP-Agent SNMP-Traps sendet, explizit vordefinieren. Zu diesem Zweck müssen die Management-Plattformen konstante IP-Adressen haben. Diese können nicht mit dem Dynamic Host Configuration Protocol (DHCP) dynamisch zugewiesen werden.

Empfehlung 10:

Definieren Sie die Empfängeradressen der Management-Plattformen, die SNMP-Traps empfangen sollen. Konfigurieren Sie hierzu die IP-Adressen dieser Management-Plattformen im SNMP-Agenten.

4.1.5 Community-String für SNMP-Traps

Sie können den Community-String konfigurieren, den ein SNMP-Agent als Bestandteil eines SNMP-Trap an die Management- Plattform sendet. Die Management-Plattform akzeptiert dann nur SNMP-Traps mit diesem Community-String.

Empfehlung 11:

Wählen Sie Communities, die für die Struktur Ihrer Systeme und Aktivitäten geeignet sind. Ändern Sie den Community- String gemäß den Richtlinien in Ihrem Sicherheitshandbuch: Beispielsweise in ähnlicher Art und Weise wie dies für Passwörter gilt. Beachten Sie dabei bitte, dass Sie den Community-String in allen beteiligten Systemen der Community ändern müssen.

4.1.6 4.1.6

Der SNMP-Agent überprüft jede SNMP-Anforderung auf die Einhaltung der konfigurierten Sicherheitsparameter und Optionen (siehe vorangegangene Abschnitte). Wenn die SNMP-Anforderung diesen Überprüfungen standhält, wird der Agent sie bearbeiten. Andernfalls verwirft der Agent die SNMP-Anforderung und versendet einen Authentication-Failure-Trap. Standardmäßig ist das Versenden von Authentication-Failure-Traps deaktiviert. Wenn diese Funktionalität aktiviert wird, versendet der SNMP-Agent den Trap an alle konfigurierten Empfänger.

Empfehlung 12:

Aktivierung von Authentication-Failure-Traps

Konfigurieren Sie den Parameter snmpEnableAuthenTraps, damit das Versenden von Authentication-Failure-Traps aktiviert wird. Konfigurieren Sie außerdem einen geeigneten Empfänger für solche Traps. Prüfen Sie regelmäßig, ob solche Traps aufgetreten sind, und analysieren Sie alle Events dieser Art.

5 SNMP-Manager außerhalb BS2000/OSD

Das vorliegende Kapitel stellt Ihnen Hinweise und Empfehlungen dazu bereit, wie Sie die Verwendung des SNMP-basierten BS2000/OSD-Management-Systems bei Management-Plattformen integrieren. Die Management-Plattform kann SNMP- Anforderungen absetzen und SNMP-Traps empfangen.

5.1 CA Unicenter

Die Integration des SNMP-basierten BS2000/OSD-Management in die CA Unicenter Management-Plattform ist ein integraler Bestandteil des Produktangebots. Für die wichtigste Kommunikation zwischen dem Manager und den Agenten wird das SNMPv1-Protokoll verwendet. Es gelten alle Empfehlungen aus Kapitel 4. Außerdem gelten:

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 8 / 9

Empfehlung 13:

Ordnen Sie sowohl die CA Unicenter Management-Plattform als auch die BS2000/OSD-Agentensysteme hinter einer Firewall an, um die SNMPv1-Kommunikation zu schützen.

Empfehlung 14:

Stellen Sie sicher, dass bei der Management-Plattform und den BS2000/OSD-Agentensystemen konsistent konfigurierte Parameter verwendet werden, insbesondere für den SNMP-Community-String.

5.2 Standalone-Management-Anwendungen

Die Standalone-Management-Anwendungen wie zum Beispiel Console und Application Monitor lassen die Verwendung aller SNMPv3-Sicherheitsfunktionalitäten zu, einschließlich SNMP-Meldungsauthentifizierung und Integrität. Aufgrund des erforderlichen Zugriffs auf Ports mit bestimmten Berechtigungen können nur Benutzer mit den entsprechenden Berechtigungen diese Anwendungen ausführen.

Empfehlung 15:

Konfigurieren Sie die Standalone-Management-Anwendungen für eine umfassende Nutzung der SNMPv3- Sicherheitsfunktionalitäten. Stellen Sie sicher, dass die Ausführungsrechte und der Zugriff auf die entsprechenden Konfigurationsdateien autorisierten Benutzern oder Gruppen vorbehalten sind.

6 Zugriff auf den SNMP-Agenten über HTTP

BS2000/OSD-Agentensysteme ermöglichen auch den Zugriff über das HTTP-Protokoll von einem allgemeinen Web-Browser. Für einen solchen Zugriff ist eine Authentifizierung erforderlich. Es sind mehrere Benutzernamen mit unterschiedlichen Zugriffsmöglichkeiten auf MIB-Objekte im BS2000/OSD SNMP-Agenten vorkonfiguriert. Alle diese Benutzernamen haben das gleiche vorkonfigurierte Passwort.

Empfehlung 16:

Ändern Sie das vorkonfigurierte Passwort der Benutzernamen für den HTTP-Zugriff auf den BS2000/OSD-SNMP- Agenten gemäß den Richtlinien in Ihrem Sicherheitshandbuch zum Umgang mit Passwörtern.

7 Zusammenfassung

Sicherheit bekommen Sie nicht umsonst. Wenn Sie einfach alle BS2000/OSD-SNMP-Management-Komponenten mit den Standardwerten installieren, wird wahrscheinlich alles funktionieren. Andererseits haben Sie aber ein sehr schlechtes Sicherheitsniveau. Wenn Sie alle Komponenten individuell konfigurieren, erhalten Sie ein recht gutes Maß an Sicherheit, aber es funktioniert nur alles vernünftig, wenn alle Komponenten konsistent konfiguriert sind. Sie müssen also die Gesamtkonfiguration sorgfältig planen, bevor Sie die Komponenten konfigurieren. Diese Detailpläne sind die Basis für die Konfiguration sowie für die laufende Wartung. Die folgende Tabelle fasst alle oben diskutierten Empfehlungen zusammen und kategorisiert deren Zweck, ob sie also der

Aufrechterhaltung der Gesamtsicherheit

oder dem

Erreichen sicherer Management-Operationen

dienen.

Empfehlung

Zweck

Unterbringung aller Komponenten zusammen mit den verwalteten Servern hinter einer Firewall.

 

Minimieren der Anzahl offener Ports für jedes System.

 

Prüfen der Konfigurations- und Programmdateien in regelmäßigen Abständen, um angemessene Zugriffsberechtigungen sicherzustellen.

 

Modifizieren der Standardeinstellungen der SNMP-Services.

 

Einschränkung der Nutzung der gängigen SNMP-Community-Strings public und private.

 

Verwenden benutzerspezifischer Authentifizierung, wenn dies durch die Management-Plattform angeboten wird.

 

Verwenden benutzerspezifischer Autorisierung und Zugriffssteuerung für MIB-Objekte.

 

Nutzen der Quelladressprüfung für eingehende SNMP-Anforderungen.

 

Aktivieren der SNMP-Authentication-Failure-Traps.

 

Sicherstellen einer konsistenten Konfiguration für SNMP-Agenten und Management-Station.

 

Aktivieren der SNMPv3-Sicherheitsfunktionalitäten wo immer dies möglich ist, z.B. bei den Standalone-Anwendungen.

 

Ändern der vorkonfigurierten Passwörter für den Zugriff über einen Web-Browser.

 

Einsetzen von Web-Browsern hinter der Firewall.

 

White Paper Ausgabe: April 2009 Sicheres SNMP-Management BS2000/OSD

Seite 9 / 9

8 Glossar

HTTP

HyperText Transfer Protocol

IANA

Internet Assigned Numbers Authority

OS

Operating System, Betriebssystem

Sicherheits-

Ein Prozess (oder ein Gerät mit einem solchen Prozess), der in einem System dazu verwendet

mechanismus

werden kann, einen Sicherheitsservice zu implementieren, der vom System oder innerhalb des

Sicherheitsstrategie

Systems bereitgestellt wird. Beispiele: Authentifizierungsaustausch, Prüfsummen, digitale Signatur, Verschlüsselung usw. Eine Reihe an Regeln und Praktiken, die angeben bzw. regeln, wie ein System oder eine

SNMP

Organisation Sicherheitsservices bereitstellt, damit sensitive und kritische Systemressourcen geschützt werden. Simple Network Management Protocol

TCP

Transmission Control Protocol

UDP

User Datagram Protocol

9 Weitere Informationen über Enterprise-Security

Fujitsu ist mit führend bei der Entwicklung sicherer Systeme. Aufbauend auf unseren Servern mit hoher Verfügbarkeit arbeiten wir mit den führenden Enterprise-Security-Partnern zusammen, um den Kunden ausgereifte und bewährte Technologie bieten zu können, die jeden Bereich der Enterprise-Security aufgreift. Weitere Informationen über dieses Thema finden Sie unter:

Die folgende Broschüre enthält einen kurzen Überblick über Enterprise-Security-Lösungen von Fujitsu:

Alle Rechte vorbehalten, insbesondere gewerbliche Schutzrechte. Änderung von technischen Daten sowie Lieferbarkeit vorbehalten. Haftung oder Garantie für Vollständigkeit, Aktualität und Richtigkeit der angegebenen Daten und Abbildungen ausgeschlossen. Wiedergegebene Bezeichnungen können Marken und/oder Urheberrechte sein, deren Benutzung durch Dritte für eigene Zwecke die Rechte der Inhaber verletzen kann. Weitere Einzelheiten unter ts.fujitsu.com/terms_of_use.html

Copyright © Fujitsu Technology Solutions GmbH 2009

Herausgegeben durch:

Partner login

partners.ts.fujitsu.com/bs2000

Erwin Fischer

Telefon:

Fax:

erwin.fischer@ts.fujitsu.com

de.ts.fujitsu.com/bs2000

++49 (0)89 3222 2621 ++49 (0)89 3222 329 2621