Regel 60: Dokumentation der Kommunikationsbeziehungen
Zielgruppe : Systembetriebsverantwortliche, IT-Sicherheitsbeauftragte
Verbindliche Anforderungen
Aus der bei den grundlegenden Maßnahmen geforderten Schutzbedarfsfeststellung ergeben sich IT-Systeme, die unter Sicherheitsklasse A (hohe Risiken) fallen. Um Rechnernetze zu sichern, die derartige Systeme beheimaten, sind Zugriffskontrolllisten vorgesehen, die in Form von Paketfiltern auf den Subinterfaces der Router implementiert werden, über die der Datenverkehr von und zu den jeweiligen Subnetzen geleitet wird:
In dem Paketfilter werden, vergleichbar mit Paketfiltern auf Linux-Firewalls, einzelne
Kommunikationsverbindungen von und zu den Subnetzen zugelassen oder verboten. Hinsichtlich des
Netzverkehrs, der in Richtung des Subnetzes fließt, werden eingehende Verbindungen grundsätzlich
unterbunden. Ausnahmen gelten z.B. für Datenverkehr, der von innen angefordert wurde.
Um die Kommunikationsbedürfnisse einer Einrichtung möglichst genau abbilden zu können ist eine Dokumentation der Kommunikationsbeziehungen notwendig. Dies betrifft primär die Kommunikation, die von außen in das jeweilige Subnetz notwendig ist. Eine Beschränkung des Datenverkehrs von innen nach außen ist prinzipiell auch möglich, bringt aber einen geringeren Zuwachs an Sicherheit; bei unterschiedlicher Behandlung einzelner Rechnergruppen ist zudem bei der Wahl der IP-Adressen für diese Bereiche zu beachten, dass diese sich an Subnetzgrenzen orientieren.
Dokumentation der Kommunikationsbeziehungen
Aus der Dokumentation muss insbesondere hervorgehen:
- die Richtung des Datenverkehrs
- das Ebene 4 - Protokoll (tcp/udp)
- die Quelle und das Ziel (IP-Adresse und Rechnername)
- den Quell- und Zieldienst mit Bezeichnung
Beispiel:
| Richtung | Dienst | Quelladresse | Quellport | Zieladresse | Zielport | Bemerkung |
|---|---|---|---|---|---|---|
| in | tcp | 123.321.123.55 demo.example.org |
? | 131.188.256.45 intern.lxy.uni-erlangen.de |
22 ssh |
|
| in | tcp | 131.188.3.2 ns.uni-erlangen.de |
53 | 131.188.265.0 | ? | DNS |
Weiteres Vorgehen:
Bitte setzen Sie sich mit dem Sicherheitskoordinator in Verbindung, sobald die
Dokumentationen vollständig sind. In einem ersten Gespächstermin werden dann die
Unterlagen durchgesprochen.
Anschliessend werden die Paketfilter vom RRZE vorbereitet. Die Aktivierung erfolgt
in Absprache mit dem dezentralen Sicherheitsbeauftragten, dessen Anwesenheit ist
bei der Aktivierung unbedingt erforderlich, da ggfs. noch bislang nicht beachtete
Kommunikationsbeziehungen in den Paketfilter aufgenommen werden müssen.
Alle erfassten Informationen müssen vertraulich behandelt werden!
zum Seitenanfang
Navigation ausblenden
