Plattform und Infrastruktur
Kapitel 3: Probleme und Anforderungen
Veröffentlicht: 11. Mai 2004 | Aktualisiert: 26. Jun 2006
Soll in Ihrer Organisation eine effektive Identitäts- und Zugriffsverwaltungsinfrastruktur implementiert werden, sind beim Auswählen einer Technologieplattform die Anforderungen Ihrer Organisation und die Technologiefunktionen kritisch zu analysieren. Durch diese funktionelle Analyse wird gewährleistet, dass die Lösung Ihren Geschäftszielen gerecht wird, die Plattform jedoch gleichzeitig sicher und leicht verwaltbar ist.
In diesem Artikel wird zum Veranschaulichen dieser Themen ein fiktives Unternehmen verwendet, das den Namen Contoso Pharmaceuticals trägt. Anhand des Contoso Pharmaceuticals-Szenarios soll aufgezeigt werden, welche Probleme in einer typischen Organisation beim Lösen gewöhnlicher Identitäts- und Zugriffsverwaltungsfragen auftreten können.
Auf dieser Seite
Contoso Pharmaceuticals
Geschäftliche und technologische Aspekte
Bedrohungen und Gegenmaßnahmen
Plattformanforderungen
Contoso Pharmaceuticals
Bei Contoso Pharmaceuticals handelt es sich um ein fiktives Unternehmen aus den Vereinigten Staaten von Amerika. Sein Hauptsitz und seine wichtigste Produktionsstätte befinden sich in Orlando, Florida. Contoso verfügt derzeit über 5.300 Mitarbeiter und erwirtschaftet ein Jahreseinkommen von etwa 3,8 Milliarden €.
Der Erfolg des Unternehmens ist größtenteils auf eine Unternehmenskultur zurückzuführen, die darauf abzielt, bei Forschung und Entwicklung Pionierarbeit zu leisten. Contoso Pharmaceuticals ist dafür bekannt, großen Wert auf Kundendienst zu legen und kostengünstige Produktionsstätten zu betreiben. Während der vergangenen beiden Jahre hat Contoso ein starkes Wachstum erlebt, was teilweise auf den Erwerb eines kleineren Pharmazulieferunternehmens, Fabrikam Ltd. (ebenfalls ein fiktives Unternehmen) mit Sitz im Vereinigten Königreich, zurückzuführen ist. Zum Stärken der Marktposition des Stammhauses sind weitere Akquisitionen geplant.
Abteilung für Informationstechnologie
In der IT-Abteilung von Contoso werden mehrere Hundert Techniker und Manager beschäftigt. Von den 22 Vollzeit beschäftigten Systemadministratoren werden mehr als 500 Server aller Art einschließlich Computern mit Microsoft® Windows®-basierten Serverbetriebssystemen, Sun ONE Directory Server 5.1 (früher als iPlanet Directory Server bekannt) sowie Mainframes mit Drittanbieteranwendungen und benutzerdefinierten Anwendungen verwaltet. Die Administratoren verwalten auch die Microsoft Exchange Server-Infrastruktur des Unternehmens und eine interne Contoso-Portalsite für Mitarbeiter. Die verbleibenden Server werden für Datei- und Druckdienste sowie für Datenbankfunktionen verwendet.
Das Verwalten der Microsoft Windows Server™ 2003-Domänencontroller und des Microsoft Active Directory®-Verzeichnisdienstes des Unternehmens ist ein wichtiger Bestandteil der täglichen Geschäftsabläufe. Eine der zahlreichen Aufgaben von Domänenadministratoren ist das Bereitstellen von Konten in Active Directory.
Contoso verfügt über einen großen Helpdesk mit gut ausgebildetem Personal, der rund um die Uhr kontaktiert werden kann. Das Helpdesk-Personal hilft bei Problemen beispielsweise mit E-Mail-, Textverarbeitungs- und Unternehmensanwendungen sowie beim Zurücksetzen von Kennwörtern, wenn Mitarbeiter nicht mehr auf Unternehmenssysteme zugreifen können. Außerdem sind bei Contoso mehrere Infrastruktur- und Sicherheitsarchitekten beschäftigt, die die IT-Anforderungen auf Unternehmens- und Abteilungsebene untersuchen, um Vorschläge für IT-Strategien, -Investitionen und -Standards einzureichen.
Betriebssysteme
Die IT-Infrastruktur von Contoso Pharmaceuticals setzt sich aus den unterschiedlichsten Systemplattformen und Anwendungen zusammen. Obwohl es sich bei den Systemen überwiegend um Windows-basierte Server und Clients handelt, werden bei Contoso auch geschäftskritische Systeme eingesetzt, einschließlich Server unter Sun ONE Directory Server 5.1 und Arbeitsstationen unter Sun Solaris 9. Die Systeme unter Sun Solaris 9 werden derzeit mit dem Netzwerkinformationssystem (Network Information System, NIS) verwaltet.
Der Intranet-Active Directory-Entwurf von Contoso weist eine einzige Gesamtstruktur mit einer leeren Stammdomäne und einer einzigen Unterdomäne auf. Alle ursprünglichen Benutzer-, Dienst- und Computerkonten von Contoso wurden von Microsoft Windows NT® 4.0-Domänen auf Active Directory migriert. Im Unternehmen werden auch die externen DNS-Server (Domain Name System) für die Internetdomäne „Contoso.com“ betrieben. Diese DNS-Server werden getrennt von den internen Servern betrieben, die für die Intranet-Active Directory-Gesamtstruktur eingesetzt werden.
Zusätzliche Identitätsspeicher
Im Rahmen der kürzlich vollzogenen Übernahme von Fabrikam Ltd. hat Contoso auch mehrere Infrastrukturprodukte erworben. Dazu zählen Lotus Notes 6.5.4 für Messaging und ein Server, auf dem Sun ONE Directory Server 5.1 ausgeführt wird und der die Authentifizierungs- und Verzeichnisdienste für eine individuell entwickelte Webanwendung bereitstellt. Von diesen Systemen müssen kurzfristig gesehen die Geschäftsaktivitäten der früheren Fabrikam-Mitarbeiter weiterhin unterstützt werden. Langfristig gesehen ist jedoch geplant, die Fabrikam-Infrastruktur auf die bisherige Contoso-Umgebung zu migrieren.
Geschäftliche und technologische Aspekte
Contoso ist in einem Marktsektor tätig, in dem reger Wettbewerb herrscht und die Produkteinführungszeit besonders wichtig ist. In klinische Studien werden hohe Summen investiert, und wenn Ergebnisse mit nur einem Tag Verspätung abgegeben werden oder ein Produkt mit nur einem Tag Verspätung bei der US-amerikanischen Arzneimittelzulassungsbehörde (Food and Drug Administration, FDA) zur Genehmigung eingereicht wird, kann dies das Unternehmen nahezu eine Million Dollar kosten. Aus diesem Grund ist die Interaktion zwischen Benutzern und Partnern ein wichtiger Bestandteil der Geschäftstätigkeit eines Unternehmens. Vorschriften sind ein weiterer wichtiger Aspekt, da für die Nichteinhaltung Geldstrafen von sieben- bis achtstelligen Summen verhängt werden können.
Eine wichtige geschäftliche Herausforderung besteht für Contoso darin, sowohl die Qualität als auch die Quantität der Interaktion der Organisation mit Kunden, Partnern und remote arbeitenden Mitarbeitern zu verbessern. Neue Methoden des Interagierens mit Kunden, um deren Feedback zu erhalten und die Vorteile der Unternehmensprodukte zu kommunizieren, haben bereits zu zahlreichen Verbesserungen geführt. Zu diesen Verbesserungen zählt die Produktentwicklung, damit Produkte hergestellt werden, die den Anforderungen von Kunden besser gerecht werden, wodurch sich der Marktanteil des Unternehmens ausbauen lässt. In der Vergangenheit war dieser Vorgang jedoch aus administrativen Gründen kostspielig und schwer aufrechtzuerhalten.
Contoso ist sich bewusst, dass der Einsatz besserer Technologielösungen für die Zusammenarbeit mit Partnern bei der Produktentwicklung zu mehr Effizienz führt. Andererseits sind Mitarbeiter immer mobiler und müssen leichter über das Unternehmensnetzwerk oder Internet auf Daten zugreifen können, die für ihre Arbeit wichtig sind.
Contoso geht davon aus, dass sich die Infrastruktur durch eine Identitäts- und Zugriffsverwaltungsplattform leichter verwalten lässt und sicherer wird. Dies gilt besonders für die Bereiche der digitalen Identitätsverwaltung. Langfristig gesehen möchte das Unternehmen die doppelten Identitätsspeicher für unterschiedliche Anwendungen in einem zentralisierten Identitätsspeicher konsolidieren, was zu höherer administrativer Effizienz, niedrigeren Gesamtbetriebskosten (Total Cost of Ownership, TCO), weniger administrativen Fehlern sowie mehr Sicherheit führen soll.
Die Contoso-Architekten und -Administratoren sind sich jedoch bewusst, dass sie sich vor dem Erreichen dieser Ziele um kurz- bis mittelfristige Angelegenheiten kümmern müssen. Dies gilt besonders für Sicherheitsaspekte. Diese Sicherheitsprobleme und Gegenmaßnahmen, durch die diese Bedrohungen minimiert oder neutralisiert werden können, werden in diesem Artikel an späterer Stelle (im Abschnitt „Bedrohungen und Gegenmaßnahmen“) behandelt.
Im 2-Jahres-Plan zur Verbesserung der Identitäts- und Zugriffsverwaltung hat man bei Contoso Pharmaceuticals die folgenden wichtigen Anforderungen identifiziert:
Bereitstellen der bestmöglichen Technologieinfrastruktur zum schnellen Entwickeln und Bewerten sowie für das Marketing der Unternehmensprodukte
Steigern der Effizienz und des Sicherheitsniveaus der IT-Infrastruktur des Unternehmens; besonders das Verwalten digitaler Identitäten zum Erzielen zusätzlichen Wachstums ohne zusätzlicher Verwaltungsgemeinkosten und IT-Komplexität
Konsolidieren der Sicherheits- und Datenschutzmechanismen sowie zugehöriger Technologien zur Erfüllung der durch den Staat erlassenen gesetzlichen Anforderungen, wie z. B. FDA 21 CFR Teil 11 (Code of Federal Regulations) und HIPAA (Health Insurance Portability and Accountability Act) von 1996
Um diesen Anforderungen gerecht zu werden, hat man bei Contoso die wichtigsten Anwendungen und Verfahrensweisen genau untersucht. Diese Bestände werden im nächsten Abschnitt im Einzelnen behandelt.
Wichtige IT-Bestände
Contoso Pharmaceuticals hat einige IT-Tools identifiziert, die für das Unternehmen äußerst wichtig sind. Durch folgende Bestände stehen für entscheidende geschäftliche und technische Aspekte wichtige Funktionen zur Verfügung:
Anwendung Sales and Contracts (Zugriff über das Extranet) und die Benutzerkonten des Verkaufspersonals
Anwendung Partner Research (Zugriff über das Extranet) und der Extranetidentitätsspeicher für Partner
Feedbackanwendung Customer Trial (Zugriff über das Extranet) und der Extranetidentitätsspeicher für Kunden
SAP-Anwendungsdaten und SAP-Benutzerkonten
E-Mail-Infrastruktur und Konten von Microsoft Exchange
E-Mail-Infrastruktur und Konten von Lotus Notes
Anwendungen, von denen die Sun ONE Directory Server 5.1- und UNIX-Benutzerkonten verwendet werden
Im folgenden Diagramm werden diese wichtigen Tools zusammengefasst.
.gif "Abbildung 3.1. Wichtige IT-Bestände von Contoso")
Abbildung 3.1. Wichtige IT-Bestände von Contoso
Anwendung Sales and Contacts mit Zugriff über das Extranet
Das Verkaufspersonal von Contoso verbringt relativ viel Zeit außerhalb des Büros, um Kunden zu besuchen und neue Geschäftsbeziehungen aufzubauen. Die Mitarbeiter müssen ihre Verkaufsabschlüsse und -verträge abrufen. Dies erfolgt über eine Webanwendung und eine Datenbank, die sich im Umkreisnetzwerk von Contoso befinden, das auch als entmilitarisierte Zone (Demilitarized Zone, DMZ) bezeichnet wird. Die in dieser Anwendung gespeicherten Informationen müssen nicht als höchst vertraulich behandelt werden. Andererseits könnte die Bekanntgabe dieser Informationen für Contoso und seine Geschäftspartner Probleme bereiten und würde sich negativ auf die öffentliche Meinung in Bezug auf die Vertrauenswürdigkeit von Contoso auswirken.
Das größte Problem würde dann entstehen, wenn die Anwendung nicht zur Verfügung steht, da dies die Effektivität des Verkaufspersonals stark beeinträchtigen würde.
Benutzerkonten des Verkaufspersonals
Von einzelnen Benutzerkonten des Verkaufspersonals aus kann auf vertrauliches Material innerhalb eines bestimmten Bereichs über das Extranet zugegriffen werden. Diese Konten könnten aber auch missbräuchlich verwendet werden, um einen Angriff auf die Contoso-Organisation an sich und ihre IT-Ressourcen zu tätigen.
Anwendung Partner Research mit Zugriff über das Extranet
Die Zusammenarbeit mit Forschungspartnern ist für das Entwickeln neuer Produkte von größter Wichtigkeit, und Contoso kann in Zukunft nur durch neue Produkte Wachstumszahlen verzeichnen. Diese Zusammenarbeit findet überwiegend über eine einzige Anwendung statt, die sich im Umkreisnetzwerk von Contoso befindet. Obwohl die in der Anwendung gespeicherten Daten häufig gesichert werden, könnten durch einen erfolgreichen Angriff auf die Anwendung für Contoso ernsthafte Probleme entstehen. Von der Bekanntgabe von Forschungsdaten könnten Mitbewerber profitieren, und darüber hinaus sind rechtliche Folgen denkbar.
Extranetspeicher für Partnerkonten
Über Partnerkonten hat man einen geringeren Zugriff auf die IT-Ressourcen von Contoso als über Mitarbeiterkonten. Partnerkonten haben lediglich Zugriffsrechte für die Anwendung Partner Research. Doch die Gefährdung eines einzigen Kontos oder des gesamten Kontenspeichers würde wahrscheinlich zu einer Gefährdung mindestens eines Teils der Anwendung führen. Auch dies könnte Mitbewerbern Vorteile verschaffen und ggf. rechtliche Folgen haben.
Anwendung Customer Trial mit Zugriff über das Extranet
Der Erfolg der Contoso-Produkte hängt davon ab, dass während der Produktentwicklung frühzeitig Kundenfeedback erteilt wird. Contoso setzt Technologie beispielsweise dadurch zu seinem Vorteil ein, dass Kunden über eine Webanwendung problemlos Feedback über Produkte in der Erprobungsphase geben können.
Fast 50 Prozent des Kundenfeedbacks wird bei Contoso über die Feedbackanwendung Customer Trial erfasst. Stünde diese Anwendung eine Zeit lang nicht zur Verfügung, würde dies die Fähigkeit des Unternehmens, Studien durchzuführen und die Ergebnisse an die FDA zu übermitteln, stark beeinträchtigen, was rechtliche Folgen haben könnte, wenn die FDA Grund zur Annahme hätte, dass die Anwendungssicherheit gefährdet war.
Extranetspeicher für Kundenkonten
Über Kundenkonten hat man einen geringeren Zugriff auf die IT-Ressourcen von Contoso als über Mitarbeiterkonten. Über Kundenkonten kann man lediglich auf die Feedbackanwendung Customer Trial zugreifen. Doch die Gefährdung eines einzigen Kontos oder des gesamten Kontenspeichers würde wahrscheinlich zu einer Gefährdung mindestens eines Teils der Anwendung führen. Außerdem würden sich durch den Eindruck, dass bei Contoso aufgrund von unzuverlässigen Sicherheitspraktiken vertrauliche Kundeninformationen nach außen gelangen könnten, die Kundenbeziehungen verschlechtern. Dies wiederum könnte für das Unternehmen rechtliche Folgen haben.
SAP-Anwendungsdaten und SAP-Benutzerkonten
Contoso hat mehrere auf SAP basierende Anwendungen für die Unternehmensressourcenplanung (Enterprise Resource Planning, ERP) implementiert. Einige dieser Anwendungen dienen wichtigen Geschäftsfunktionen und werden zum Verteilen vertraulicher Daten an Benutzer eingesetzt. Werden diese Daten gefährdet, könnte sich dies auf die Fähigkeit des Unternehmens auswirken, auf dem Markt konkurrieren zu können, oder zu beträchtlichen Geldstrafen wegen Nichteinhaltung rechtlicher Anforderungen führen.
Über einzelne Benutzerkonten kann innerhalb des Bereichs der SAP-Anwendung auf vertrauliches Material zugegriffen werden. Dies könnte dazu führen, dass Investoren Zugriff auf Finanzinformationen erlangen und Contoso dadurch schaden.
Microsoft Exchange-E-Mail
Bei Contoso werden Microsoft Exchange Server und Microsoft Outlook® als interne und externe E-Mail verwendet. Durch die Gefährdung dieser Daten könnten Mitbewerber Zugriff auf kommerziell vertrauliche Informationen gelangen, was außerdem rechtliche Folgen haben könnte.
Lotus Notes-E-Mail
Bei Fabrikam Ltd. wurde Lotus Notes als interne und externe E-Mail verwendet, aber diese Umgebung wurde im Rahmen der Fusion mit Contoso migriert. Durch die Gefährdung dieser Daten könnten Mitbewerber Zugriff auf kommerziell vertrauliche Informationen gelangen, was außerdem rechtliche Folgen haben könnte.
Sun ONE Directory Server 5.1- und UNIX-Benutzerkonten
Sun ONE Directory Server 5.1 bietet für eine benutzerdefinierte Webanwendung, die bei Fabrikam zum Einsatz kommt, Verzeichnisdienste und Authentifizierungsunterstützung. Die Gefährdung dieser Anwendung und der entsprechenden Daten könnte für Mitbewerber zu Vorteilen führen sowie rechtliche Folgen haben.
Über einzelne UNIX-Benutzerkonten kann innerhalb eines bestimmten Bereichs von Contoso auf vertrauliches Material zugegriffen werden. Diese Konten könnten aber auch missbräuchlich verwendet werden, um einen Angriff auf die Contoso-Organisation an sich und ihre IT-Ressourcen zu tätigen.
Abschließen der Analyse
Nach Abschluss der Analyse der IT-Bestände hat Contoso hinsichtlich der derzeitigen Identitäts- und Zugriffsverwaltungsplattform folgende Schwachstellen identifiziert:
Es ist keine klare Strategie zur Kostensenkung und Komplexität der Verwaltung digitaler Identitäten in der Contoso-Umgebung vorhanden.
Das Vergeben und Entziehen von Benutzerkonten für Kundenanwendungen ist nicht standardisiert.
Anwendungen, die gerade erst entwickelt werden, belasten die IT-Infrastruktur, wenn weitere Identitätsspeicher hinzugefügt werden.
Authentifizierungsmechanismen werden häufig für jede einzelne Anwendung individuell entwickelt, oder es handelt sich um veraltete Mechanismen, die standardmäßig auf älteren Systemen verwendet werden. In beiden Fällen ist das Implementieren dieser Mechanismen teuer, und sie sind häufig für die zahlreichen Bedrohungen der heutigen Computerumgebung nicht sicher genug.
Die Anwendungsautorisierung ist ein wichtiger Aspekt, da Anwendungsentwickler häufig benutzerdefinierte Mechanismen implementieren, wodurch für die Entwicklung und Wartung mehr Zeit und finanzielle Mittel benötigt werden.
Bedrohungen und Gegenmaßnahmen
Bei zahlreichen Sicherheitsproblemen hinsichtlich der Identitäts- und Zugriffsverwaltung handelt es sich im Grunde genommen um Sicherheitsschwachstellen. Eine Schwachstelle ist eine Lücke in einem Informationssystem oder in einer seiner Komponenten, die als Sicherheitslücke genutzt werden könnte. Schwachstellen können auf Probleme mit Personen, Prozessen oder Technologie zurückzuführen sein. Beispiele dafür wären Systemsicherheitsverfahren, Hardwareentwurf oder interne Steuerelemente. Schwachstellen können in Bezug auf Sicherheitsmaßnahmen an jeder beliebigen Stelle eines Netzwerks auftreten, und die Bewertung ist gewöhnlich Teil einer allgemeinen Sicherheitsüberprüfung.
Derzeitige Bedrohungen
Das Unternehmen Contoso Pharmaceuticals hat jetzt eine umfangreiche Sicherheitsüberprüfung seines Netzwerks abgeschlossen. Ein Teil der Überprüfung bestand darin, Netzwerkbedrohungen zu kategorisieren. Beim Abstecken des Rahmens für das Identitäts- und Zugriffsverwaltungsprojekt hat Contoso entschieden, sich überwiegend auf potenzielle Angriffe von innen und außen zu konzentrieren. Bei internen Bedrohungen geht es um Bedrohungen für das Intranet, bei externen Bedrohungen um die für das Extranet.
Sicherheitsprobleme und Schwachstellen
In der Contoso-Umgebung sind einige Schwachstellen vorhanden, die in Zusammenhang mit den in diesem Kapitel bereits besprochenen geschäftlichen und technologischen Aspekten stehen. In Bezug auf Sicherheit muss die bei Contoso eingesetzte Identitäts- und Zugriffsverwaltungslösung folgenden Anliegen gerecht werden:
Contoso muss mehr geschäftliche Informationen über Anwendungen, auf die über das Internet zugegriffen werden kann, zur Verfügung stellen. Die für das interne Netzwerk geltenden Sicherheitsmechanismen sind jedoch weder streng noch konsistent genug, damit ein breiter Zugang zu diesem Netzwerk genehmigt werden könnte.
Sicherheitsverletzungen lassen sich bei Contoso nur schwer untersuchen, da die in Sicherheitsüberwachungsprotokollen enthaltenen forensischen Informationen unvollständig, zusammenhangslos und verteilt sind.
Die vorhandenen Anwendungsidentitätsspeicher sind nicht sicher, und ein Angriff auf die durch sie gesteuerten Benutzerkonten ist nicht nur möglich, sondern sogar wahrscheinlich.
Die vorhandenen Anwendungsauthentifizierungsmechanismen sind nicht sicher, und ein Angriff auf die Authentifizierungsmechanismen ist nicht nur möglich, sondern sogar wahrscheinlich.
Die vorhandenen Anwendungsautorisierungsmechanismen sind schlecht konzipiert, und ein Angriff auf diese Mechanismen ist nicht nur möglich, sondern sogar wahrscheinlich.
Durch die erste Schwachstelle wird auf die ständige Herausforderung hingewiesen, die im Rahmen der Identitäts- und Zugriffsverwaltung vorhanden ist: Systeme, die als Schnittstelle zu Kunden, Partnern oder Mitarbeitern dienen, sind für diese Personen nur dann sinnvoll, wenn sie auch auf sie zugreifen können. Doch schon allein durch das Gewähren von Zugriffsrechten nimmt das Sicherheitsrisiko zu.
Durch das weitere Aufteilen dieser Kategorien wurden bei der Sicherheitsüberprüfung von Contoso folgende Prozess- und Kontenschwachstellen aufgedeckt, die intern und extern genutzt werden können:
Bereitstellen von Konten
Deaktivieren von Konten
Konten von UNIX-Arbeitsstationen
SAP-Authentifizierung
SAP-Anwendungsdatenschutz
Mitarbeiterkonten
Partnerkonten
Kundenkonten
Die Schwachstellen in Bezug auf Mitarbeiter-, Partner- und Kundenkonten sind vergleichbar, die Schwachstelle für Mitarbeiterkonten hat jedoch schwerwiegendere Auswirkungen.
Bereitstellen von Konten
Die ineffiziente oder unvollständige Vergabe stellt keine direkte Sicherheitsbedrohung dar, da dadurch lediglich die Grundvoraussetzung dafür gelegt wird, dass auf Anwendungs- und Netzwerkressourcen nicht zugegriffen werden kann. Ungeeignete Kontenvergabemechanismen können jedoch zu anderen Praktiken führen, die eine direkte Sicherheitsbedrohung darstellen. Dies ist beispielsweise beim gemeinsamen Verwenden von Konten oder beim Genehmigen des anonymen Zugriffs auf wertvolle Ressourcen der Fall.
Beim gemeinsamen Verwenden von Konten handelt es sich im Hinblick auf Schwachstellen beim Vergeben von Konten um das schwerwiegendste Risiko. Aus einem kürzlich veröffentlichten Helpdeskbericht von Contoso geht hervor, dass diese gängige Vorgehensweise zu zahlreichen Supportvorfällen führt, da Konten aufgrund von fehlgeschlagenen Anmeldeversuchen gesperrt werden. Auch kommt es vor, dass mehrere Benutzer gleichzeitig unter Verwendung derselben Identität auf Ressourcen zugreifen.
Durch eine anonym durchgeführte Folgeumfrage der IT-Abteilung von Contoso wurde bekannt, dass Benutzer Konten hauptsächlich deshalb gemeinsam verwenden, weil neuen Mitarbeitern nicht schnell genug Zugriff auf Anwendungs- und Netzwerkressourcen erteilt wird. Besonders bei Mitarbeitern mit Zeitvertrag ist es üblich, dass Identitäten gemeinsam verwendet werden. Oft sind sie bereits monatelang beschäftigt, bevor ihnen die für ihre Arbeit erforderlichen Zugriffsrechte erteilt werden.
Vorgesetzte geben deshalb Aushilfskräften Benutzernamen und Kennwörter, die für andere Benutzer eingerichtet wurden, die mitunter noch bei Contoso beschäftigt sind. Aufgrund dieser nicht dem Standard entsprechenden Vorgehensweise können Anwendungs- oder Netzwerkadministratoren nicht überwachen, von wem Netzwerkressourcen genutzt werden oder auf Anwendungsdaten zugegriffen wird. Einige Vorgesetzte haben sogar zugegeben, dass sie ihren Teammitgliedern ihre eigenen Konten- und Kennwortinformationen geben und Mitarbeiter dadurch auf Ressourcen und Daten zugreifen können, die für eine höhere Zugriffsebene vorgesehen sind.
Deaktivieren von Konten
Beim Deaktivieren von Konten entsteht jedoch eine Schwachstelle, die noch kritischer ist. Frühere Mitarbeiter oder externe Hacker könnten alte Konten, die noch in Anwendungsidentitätsspeichern oder -verzeichnissen vorhanden sind, dazu nutzen, nicht autorisierten Zugriff auf vertrauliche und wertvolle Daten zu erlangen oder diese Daten zu beschädigen.
Das Hauptrisiko besteht in diesem Sicherheitsbereich in nicht mehr genutzten Konten. Bei einer kürzlich durchgeführten Überwachung eines anwendungsbasierten Identitätsspeichers wurde festgestellt, dass noch immer Konten von Mitarbeitern aktiv waren, die das Unternehmen bereits vor mehr als drei Jahren verlassen hatten. Nicht mehr genutzte Konten stellen eine Hintertür dar, die von einem früheren Mitarbeiter oder einem Angreifer zum Zugreifen auf Anwendungsdaten genutzt werden kann.
Die Gefahr, die entsteht, wenn frühere Benutzer eines Kontos Zugang erhalten, ist offensichtlich. Es muss aber auch betont werden, dass das Kennwort für dieses seit drei Jahren nicht mehr genutzte Konto während dieser Zeit nicht geändert wurde. Durch nicht mehr genutzte Konten können Angreifer leichter erfolgreiche Brute-Force-Angriffe auf diese statischen Kennwörter durchführen. Dies gilt besonders dann, wenn keine Richtlinie für Kennwortänderungen und Kontensperrungen vorhanden ist. Diese Konten können dann zum Gefährden oder Beschädigen von Anwendungsdaten genutzt werden, die für die Geschäftsprozesse von Contoso von erheblicher Bedeutung sind.
Konten von UNIX-Arbeitsstationen
Contoso verfügt über 40 Arbeitsstationen mit Sun Solaris 9, die vom Personal der Buchhaltungsabteilung zum Ausführen ihrer täglichen Aufgaben verwendet werden. Die Solaris-Arbeitsstationen werden durch eine einzige Netzwerkinformationsdienst-Domäne (Network Information Service, NIS) verwaltet.
Sun Microsystems hat NIS zum Zentralisieren der Verwaltung von UNIX-Systemen verwendet. Die allgemeine NIS-Funktionalität ist analog zu Windows NT 4.0-Domänen. NIS ist äußerst beliebt, da es für sachkundige UNIX-Administratoren einfach einzurichten und zu verwalten ist, sich verhältnismäßig gut skalieren lässt und von fast allen Arten von UNIX unterstützt wird. Leider weist NIS keine guten Sicherheitsmerkmale auf.
Eines der größten Sicherheitsprobleme mit NIS besteht darin, dass keine Funktion zum Erzwingen des Kennwortablaufs oder der Kennwortkomplexität vorhanden ist. Darüber hinaus erhalten alle Mitgliedserver in einer NIS-Domäne eine Kopie der Kennwortdatei, in der das verschlüsselte Kennwort aller Benutzer der Domäne vorhanden ist.
Schwache oder alte UNIX-Kennwörter sind für die Sicherheit des Netzwerks eine Bedrohung, da Angreifer durch sie schnell eine Kombination aus Benutzerkonto und Kennwort ermitteln können. Sobald Benutzerkonten gefährdet sind, können sie zum Eskalieren eines Angriffs auf Systeme verwendet werden, die unter Umständen nur gegen anonyme Angriffe geschützt sind. Im Internet stehen zahlreiche Tools zur Verfügung, mit denen auf Kennwortdateien Brute-Force- und Wörterbuchangriffe ausgeübt werden können. Kennwortrichtlinien werden für UNIX-Benutzerkonten bei Contoso nicht erzwungen, und die NIS-Kennwortrichtliniendatei ist weit verbreitet.
SAP-Authentifizierung
SAP ist ein allgemein bekannter und häufig verwendeter ERP-Anwendungsserver, und bei Contoso wurden mehrere solcher Anwendungen implementiert. Einige dieser Anwendungen dienen wichtigen Geschäftsfunktionen und werden zum Verteilen vertraulicher Daten an Benutzer eingesetzt. Diese Daten sind daher für die Geschäftstätigkeit im Unternehmen äußerst wichtig. Unterbrochene Anwendungsverfügbarkeit, Datenbeschädigung oder Verlust bzw. Bekanntgabe von Daten könnte Contoso Beträge in Millionenhöhe kosten.
Mit veralteten Authentifizierungsmechanismen und von SAP bereitgestellten Datenzugriffsprotokollen können Authentifizierungsgeheimnisse (Kennwörter) nicht geschützt werden, wenn sie für den Zugriff auf die Anwendung verwendet werden. SAP-Benutzerkennwörter können von allen Personen abgefangen werden, die Zugriff auf das Netzwerksegment eines Benutzers haben.
SAP-Anwendungsdatenschutz
Standardmäßig sind Client/Server-SAP-Anwendungsdaten, die über das Netzwerk geschickt werden, nicht geschützt. Jeder Angreifer, der den Datenverkehr auf dem Netzwerksegment eines SAP-Benutzers einsehen kann, kann SAP-Anwendungsdaten gefährden, indem er sie stiehlt oder falsche Daten einfügt, was die Konsistenz der im SAP-System verwalteten Daten potenziell stark beeinträchtigt.
Die zwischen Benutzern und dem SAP-Anwendungsserver ausgetauschten Daten sind für die Geschäftstätigkeit im Unternehmen äußerst wichtig. Auch in diesem Fall könnte unterbrochene Anwendungsverfügbarkeit, Datenbeschädigung oder Verlust bzw. Bekanntgabe von Daten Contoso Beträge in Millionenhöhe kosten.
Mitarbeiterkonten
Die Schwachstellen in Bezug auf Mitarbeiterkonten sind auf zwei Hauptrisiken zurückzuführen: das Authentifizieren mit Nur-Text-Kennwörtern und das Speichern von Nur-Text-Kennwörtern auf Servern, die nicht sicher sind. Diese Schwachstellen können sowohl auf internen als auch auf externen Netzwerken auftreten.
Wenn sich Mitarbeiter der Verkaufsabteilung von Contoso bei der externen Anwendung Sales and Contacts authentifizieren, geschieht dies oft unter Verwendung der Anmeldeinformationen ihres jeweiligen Unternehmenskontos. Dadurch können diese Anmeldeinformationen externen Bedrohungen ausgesetzt werden, wenn der Webserver, der sich im Umkreisnetzwerk befindet, gefährdet ist oder Anwendungsadministratoren zuständig sind, denen derartige Informationen nicht anvertraut werden können.
Authentifizieren mit Nur-Text-Kennwörtern
Aus einer Analyse der Kennwortnutzung im Contoso-Szenario geht hervor, dass Mitarbeiter der Verkaufsabteilung von Contoso das Kennwort ihres Unternehmenskontos für den Zugriff auf die Webanwendung, die auf Servern im Umkreisnetzwerk gehostet wird, genutzt haben. Von der Verkaufsanwendung wird zum Gewähren des Zugriffs auf die Anwendung die grundlegende Authentifizierung über SSL (Secure Sockets Layer) verwendet. Obwohl sich SSL zum Schutz von Benutzerkennwörtern auf dem Netzwerk gut eignet, befinden sich Nur-Text-Kennwörter auf dem Webanwendungsserver. Sollte der Webanwendungsserver gefährdet sein, könnte man auf die Nur-Text-Benutzerkennwörter zugreifen.
Darüber hinaus war keine offizielle Unternehmens- oder Abteilungsrichtlinie vorhanden, durch die bestimmt wird, ob für diese Anwendung dasselbe Kennwort verwendet werden sollte wie für das Unternehmenskonto des Benutzers oder ein anderes. Aus diesem Grund verwenden viele Mitarbeiter einfach dasselbe Kennwort, da es komplizierter ist, sich ein weiteres Kennwort merken zu müssen.
Mit gültigen Kennwörtern für Konten kann sich ein Angreifer auf nicht autorisierte Weise Zugriff auf Dateien und Dienste verschaffen. Dies wäre ansonsten nicht möglich. Stimmt das Benutzerkennwort für das Extranetkonto mit dem Kennwort für das Unternehmenskonto überein, kann auf noch mehr Informationen zugegriffen werden.
Speichern von Nur-Text-Kennwörtern auf unsicheren Servern
Zum Authentifizieren von Benutzern der Anwendung Sales and Contact wird von dieser Anwendung das durch die grundlegende Authentifizierung erlangte Nur-Text-Kennwort mit einem Kennwortwert einer Microsoft SQL Server-Datenbank verglichen, die sich im Umkreisnetzwerk befindet. Mit gültigen Kennwörtern für Konten kann sich ein Angreifer auf nicht autorisierte Weise Zugriff auf Dateien und Dienste verschaffen. Dies wäre ansonsten nicht möglich.
Die Computer, auf denen SQL Server ausgeführt wird, werden über das Internet durch eine IPSec-Richtlinie (IP Security Protocol) und den physischen Netzwerkentwurf vor direktem Zugriff geschützt. Bei einem externen Angriff auf einen Computer mit SQL Server müsste es sich um einen Angriff handeln, der auf verschiedenen Ebenen durch die nach außen gerichteten Webserver stattfindet. Da jedoch weder eine Richtlinie noch Technologie verwendet wird, durch die vermieden wird, dass Anwendungsadministratoren auf die Kennwörter von Mitarbeitern zugreifen können, ist es wesentlich einfacher, einen internen Angriff zu tätigen. Dabei muss ein Anwendungsadministrator lediglich die gewünschten Informationen abrufen, während die Anwendung ausgeführt wird.
Partnerkonten
Bei Contoso wird für Forschungspartner eine Anwendung verwendet, deren Authentifizierungsmethode auf Kennwörtern basiert. Die Anwendung hat einen lokalen Identitätsspeicher für Benutzernamen und Kennwörter, der sich in einer Datenbank befindet, die auf einem anderen Computer und somit getrennt von den Webservern gehostet wird, auf denen sich die Anwendung befindet. Dieser Entwurf weist nicht nur einige Probleme bei der Identitätsverwaltung auf, sondern auch Sicherheitsschwachstellen.
Die wichtigste dieser Sicherheitsschwachstellen ist die der Kontendatenbank. In der Kontendatenbank werden die Kennwörter für alle Konten, von denen die Anwendung genutzt wird, an einem einzigen Ort im Nur-Text-Format gespeichert. Wenn nicht autorisierte Benutzer auf die Datenbank Zugriff erlangen, könnten all diese Konten gefährdet sein. Außerdem wird während der Authentifizierung von jedem Webserver eine nicht authentifizierte Anforderung zum Extrahieren des Benutzerkennworts an die Datenbank geschickt, damit dieses Kennwort mit den vom Benutzer eingegebenen Anmeldedaten verglichen werden kann. Dies bedeutet, dass das Nur-Text-Kennwort im physischen Umkreisnetzwerk sichtbar ist, was ein beträchtliches Risiko darstellt.
Kundenkonten
Außerdem wird bei Contoso für Kunden eine Anwendung verwendet, deren Authentifizierungsmethode auf Kennwörtern basiert. Die Aspekte, die hinsichtlich dieser Schwachstelle zu berücksichtigen sind, sowie die mit ihr verbundenen Risiken sind mit den Aspekten und Risiken der Schwachstellen für Partnerkonten vergleichbar.
Gegenmaßnahmen bei Sicherheitsproblemen
Wenn Sie die Ursachen der in Ihrer Organisation vorhandenen Schwachstellen im Detail verstehen, können Sie sich für Gegenmaßnahmen entscheiden, durch die sich diese Probleme bekämpfen lassen. Welche Gegenmaßnahmen bei Sicherheitsproblemen auszuwählen sind, hängt von den zu bekämpfenden Schwachstellen sowie von der Dringlichkeit und der Wahrscheinlichkeit, mit der sie ausgenutzt werden, ab.
Es ist besonders wichtig, dass geeignete Gegenmaßnahmen ausgewählt werden, da durch jede Gegenmaßnahme mehrere Schwachstellen behoben werden können. Das Implementieren einer Gegenmaßnahme kann sich auch positiv auf das Beseitigen anderer weniger wichtiger Schwachstellen auswirken, die im Rahmen der ursprünglichen Bedrohungsbewertung nicht behandelt wurden. Durch diese Gegenmaßnahmen wird bestimmt, welche Anforderungen bei der Plattformauswahl gelten und wie diese Plattform eingesetzt wird.
Aus Sicherheitsgründen sind beim Aktionsplan von Contoso Pharmaceuticals folgende Aspekte zu berücksichtigen:
Automatisches Vergeben und Entziehen von Benutzerkonten
Kerberos 5-Authentifizierungsprotokoll
GSS-API (Generic Security Services Application Programming Interface) und Kerberos-Protokollintegration
Clientzertifikatsauthentifizierung mit Verschlüsselung
Kennwortauthentifizierung via Active Directory
Microsoft Passport-Authentifizierung via Active Directory
Am Ende jedes Gegenmaßnahmenabschnitts werden die Schwachstellen aufgeführt, die bekämpft werden sollen.
Neben dem Implementieren dieser Gegenmaßnahmen für die Identitäts- und Zugriffsverwaltung hat man bei Contoso noch weitere Schritte unternommen:
Implementieren umfangreicher Schutzmaßnahmen gegen Virenbedrohungen wie das Blockieren von Listen, das Filtern von Anlagen sowie das Scannen von Servern und Arbeitsstationen auf Viren
Bessere Verfahrensweisen und Schulungsrichtlinien, die zum Senken des Risikos der versehentlichen missbräuchlichen Nutzung von Systemen entworfen wurden
Besserer Entwurf des physischen Netzwerks und der Dienste zum Senken von Risiken mechanischer Natur wie Stromausfall, Hardwarefehler und Netzwerkprobleme
Klar definierte Notfallpläne für Naturkatastrophen wie Feuer, Überflutung und Erdbeben
Automatisches Bereitstellen und Deaktivieren
Durch das automatische Bereitstellen und Deaktivieren von Konten erzielt man nicht nur eine beträchtliche Produktivitätssteigerung, sondern es werden auch einige Sicherheitsschwachstellen geschlossen. Die größte Gefahr besteht darin, dass das Konto nicht deaktiviert wird, wenn der jeweilige Mitarbeiter das Unternehmen verlässt.
Die Kontendeaktivierung kann automatisiert werden, wenn eine maßgebliche Quelle für den Mitarbeiterstatus und ein bekannter Satz an Anwendungsidentitätsspeichern vorhanden sind, die von Administratoren zentral verwaltet werden können. Sie können beispielsweise ein Skript für eine HR-Anwendung (Human Resources) erstellen, um täglich eine Mitarbeiterstatustabelle anzufertigen. Anschließend können Sie dann durch Verwendung eines Identitätsintegrationsprodukts den Mitarbeiterstatus der HR-Anwendung mit digitalen Identitätsstatusangaben in Speichern wie Verzeichnissen und Anwendungen konsolidieren.
Aspekte beim Bereitstellen
Identitätsintegrationsprodukte verfügen gewöhnlich über einige Connectors bzw. Verwaltungsagenten, die als Kommunikationskanal zum Synchronisieren von Identitätsinformationen dienen. Darüber hinaus benötigen Sie mindestens eine autorisierende Quelle für digitale Identitäten. Bei den Quellen kann es sich beispielsweise um einzelne HR-Systeme bzw. Lieferantendatenbanken oder um eine Kombination verschiedener Systeme handeln. Das jeweilige Szenario kann jedoch von Organisation zu Organisation unterschiedlich sein.
Contoso-Szenario
Bei Contoso hat man die HR-Anwendung als autorisierende Informationsquelle für den Identitätsstatus identifiziert. Im Unternehmen hat man sich dafür entschieden, zum Verwalten der Identitätsdaten in unterschiedlichen Speichern wie Active Directory, Lotus Notes Release 6.5.4 und Sun ONE Directory Server 5.1 ein Produkt zur Integration und Bereitstellung von Identitäten zu verwenden.
Wenn die HR-Anwendung die Bereitstellung für einen neuen Mitarbeiter vorsieht, wird in den anderen Systemen das passende Konto vom System hinzugefügt oder aktiviert. Wenn von der HR-Anwendung berichtet wird, dass der Status eines Mitarbeiters auf beendet gesetzt ist, wird das entsprechende Konto aus den anderen Systemen entfernt oder in diesen Systemen deaktiviert.
Gelöste Sicherheitsprobleme
Durch das Implementieren eines Identitätsintegrationsprodukts können Sicherheitsprobleme, die in Zusammenhang mit dem Bereitstellen und dem Deaktivieren von Konten auftreten können, gelöst werden.
Im Artikel „Identitätszusammenfassung und -synchronisierung“, der Bestandteil dieser Serie ist, wird die Integration von Microsoft Identity Integration Server 2003 Enterprise Edition mit Service Pack 1 (MIIS 2003 mit SP1) beschrieben. Bei dieser Software handelt es sich um ein Identitätsintegrationsprodukt, mit dem Mitarbeiterkonten automatisch bereitgestellt und deaktiviert werden können.
Verwenden des Kerberos 5-Authentifizierungsprotokolls
Das Kerberos 5-Authentifizierungsprotokoll, das für Microsoft-Plattformen in Microsoft Windows 2000 eingeführt wurde, verfügt über zahlreiche Sicherheitsmerkmale, die für ein Netzwerkauthentifizierungsprotokoll wünschenswert sind. Das Kerberos 5-Protokoll ist äußerst sicher, da für dieses Protokoll die neuesten Kryptografietechnologien und der neueste Protokollentwurf verwendet werden. Das Kerberos-Protokoll sorgt auch für bessere Leistung, da für seinen Entwurf eine Funktion für die zentrale Authentifizierung genutzt wird: das Schlüsselverteilungscenter (Key Distribution Center, KDC) des Kerberos-Protokolls. Gleichzeitig wird die Arbeit des KDC durch die Verwendung von Tickets mit relativ langer Lebensdauer übertragen.
Aspekte beim Bereitstellen
Im Contoso-Szenario befindet sich das KDC auf jedem Domänencontroller, auf dem die Verzeichnis- und Sicherheitsdienste von Windows Server 2003 ausgeführt werden. Durch die Kerberos-Interoperabilität hat man zusätzlich den Vorteil der einfachen Anmeldung (Single Sign-on, SSO) für auf Windows basierende Betriebssysteme und möglicherweise sogar für UNIX-Clients.
Contoso-Szenario
Die Contoso-Administratoren haben vor, UNIX-Arbeitsstationen so zu konfigurieren, dass das Kerberos 5-Protokoll zum Authentifizieren via Active Directory-Domänencontrollern verwendet wird. Außerdem soll SAP R/3 so konfiguriert werden, dass neben der SNC-Authentifizierung (Secure Network Communications) das Kerberos 5-Protokoll erforderlich ist.
Gelöste Sicherheitsprobleme
Durch das Implementieren des Kerberos 5-Authentifizierungsprotokolls können in folgenden Bereichen auftretende Sicherheitsprobleme leichter gelöst werden:
Konten von UNIX-Arbeitsstationen
SAP-Authentifizierung
SAP-Anwendungsdatenschutz
Im Artikel „Intranet-Zugriffsverwaltung“, der Bestandteil dieser Serie ist, wird erläutert, wie das Kerberos 5-Protokoll implementiert sowie die SNC-Authentifizierung auf SAP R/3 und UNIX-Arbeitsstationen zum Authentifizieren unter Verwendung von Kerberos und Active Directory konfiguriert werden.
Verwenden von GSS-API und Kerberos-Integration mit SAP
SAP R/3 4.0 unterstützt SNC. Durch einen Modus von SNC ist die Integration mit GSS-API möglich, und durch GSS-API können Sie das Kerberos 5-Protokoll verwenden.
Durch einen Modus von SNC ist die Integration mit GSS-API möglich (wie in IETF RFC-2078 beschrieben). Durch GSS-API wird sowohl für Datenschutz als auch für Datenintegrität gesorgt, wenn die Schnittstelle mit einem Sicherheitsprotokoll verwendet wird, von dem diese Funktionen unterstützt werden. Bei Kerberos 5 handelt es sich um ein solches Protokoll. Wenn der SAP-Anwendungsserver und der SAP-GUI-Client (Graphical User Interface) sowohl für die Nutzung von SAP-SNC als auch des Kerberos 5-Protokolls konfiguriert sind, werden die SAP-Anwendungsdaten vollständig davor geschützt, abgefangen zu werden.
Aspekte beim Bereitstellen
Von SAP R/3 wird das KDC nicht implementiert, sondern stattdessen das bereits in der Netzwerkumgebung installierte KDC verwendet. Im Contoso-Szenario befindet sich das KDC auf jedem Domänencontroller, auf dem Windows 2000 Server oder Windows Server 2003 mit Active Directory ausgeführt wird. SAP ist so zu konfigurieren, dass das Kerberos 5-Authentifizierungsprotokoll verwendet wird. Nachdem diese Konfiguration vorgenommen wurde, wird durch die Kerberos-Interoperabilität jedoch zusätzlich dafür gesorgt, dass auf Clientbetriebssystemen, die auf Windows oder UNIX basieren, die Grundlage für SSO geschaffen ist.
Contoso-Szenario
Im Contoso-Szenario haben die Administratoren SAP R/3 so konfiguriert, dass die SNC-Authentifizierung verwendet wird, und haben GSS-API mit dem Kerberos 5-Protokoll für Windows-basierte Clientarbeitsstationen implementiert, damit nahtlose Anwendungsdatensicherheit gewährleistet wird.
Gelöste Sicherheitsprobleme
Durch das Implementieren von GSS-API und des Kerberos 5-Protokolls können in folgenden Bereichen auftretende Sicherheitsprobleme leichter gelöst werden:
SAP-Authentifizierung
SAP-Anwendungsdatenschutz
Im Artikel „Intranet-Zugriffsverwaltung“, der Bestandteil dieser Serie ist, wird erläutert, wie der SAP R/3-Client konfiguriert wird, damit SNC für die Integration mit GSS-API und dem Kerberos-Protokoll verwendet wird.
Verwenden der Clientzertifikatsauthentifizierung mit Verschlüsselung
TLS (Transport Layer Security) ist die IETF-Standardversion (Internet Engineering Task Force) von SSL (Secure Sockets Layer) und wurde von Netscape Communications entwickelt. TLS wird in IETF RFC-2246 beschrieben und kann die auf öffentlichen Schlüsseln basierende Clientauthentifizierung mithilfe eines digitalen Zertifikats durchführen. Dabei handelt es sich um eine äußerst leistungsstarke Funktion, da Sie durch das Konfigurieren eines PKI-Vertrauensverhältnisses (Public Key Infrastructure) ein digitales X.509-Zertifikat und den entsprechenden privaten Schlüssel anstatt von relativ schwachen Kennwörtern zum Authentifizieren verwenden können.
Erstellen Sie zum Aktivieren dieser Lösung ein Schattenkonto, in dem der Benutzer im externen Active Directory, das auf den Computern des Umkreisnetzwerks gehostet wird, dargestellt wird. Da für dieses Konto zum Authentifizieren niemals das Kennwort verwendet wird, können Sie ein äußerst starkes Kennwort festlegen. Dies könnte beispielsweise ein Zufallswert sein, der aus 24 Zeichen besteht und kryptografisch erstellt wird.
Aspekte beim Bereitstellen
Da auf das externe Konto nur über ein gültiges X.509-Zertifikat zugegriffen werden kann, ist es möglich, dass Mitarbeiter eine wichtige Geschäftsanwendung nicht verwenden können, wenn sie keinen Zugriff auf das digitale X.509-Zertifikat und den entsprechenden privaten Schlüssel haben. Tritt dieser Fall ein, sollte man sich in der Organisation darüber Gedanken machen, ob auf die Extranetanwendung ein temporärer Zugriff gewährt werden könnte, indem das Kennwort für das Konto zurückgesetzt und dem Mitarbeiter mitgeteilt wird, oder ob ein Mechanismus zum Ausstellen neuer Zertifikate über das Extranet bzw. eine VPN-Verbindung (Virtual Private Network) zum internen Netzwerk erstellt wird.
Da durch Clientzertifikate keine Kennwörter mehr erforderlich sind, muss durch Sicherheitsrichtlinien für Arbeitsstationen dafür gesorgt werden, dass diese Zertifikate sicher sind.
Contoso-Szenario
Die Contoso-Architekten haben die Anwendung Sales and Contact so konfiguriert, dass TLS und die Clientzertifikatsauthentifizierung erforderlich sind. Dafür sind eine Zertifizierungsstelle (Certification Authority, CA) einzurichten und den Mitarbeitern der Verkaufsabteilung Zertifikate zuzuweisen.
Gelöste Sicherheitsprobleme
Durch das Implementieren der Clientzertifikatsauthentifizierung mit Verschlüsselung können in folgenden Bereichen auftretende Sicherheitsprobleme leichter gelöst werden:
Authentifizieren mit Nur-Text-Kennwörtern
Speichern von Nur-Text-Kennwörtern auf unsicheren Servern
Im Artikel „Extranet-Zugriffsverwaltung“, der Bestandteil dieser Serie ist, wird erläutert, wie die Clientzertifikatsauthentifizierung mit Verschlüsselung konfiguriert wird.
Kennwortauthentifizierung via Active Directory
Active Directory ist so konzipiert, dass höchst vertrauliche Informationen wie Kennwörter für Konten sicher gespeichert werden. Meistens werden Kennwörter nicht einmal so gespeichert, dass das ursprüngliche Kennwort erkenntlich ist. Von Active Directory werden kryptografische Hashwerte (einseitige Verschlüsselung) des Kennworts verwendet, was für die Authentifizierung mithilfe der von Windows Server 2003 zur Verfügung gestellten Protokolle genügt. Die krytografischen Hashwerte selbst werden durch Verschlüsselungsschlüssel geschützt, auf die nur das Betriebssystem zugreifen kann. Dies trägt zum Schutz höchst vertraulicher Kennwörter bei.
Außerdem bietet Active Directory Mechanismen, die ein sicheres, auf Kennwörtern basierendes Authentifizieren gewährleisten. Anders ausgedrückt: Es müssen keine Nur-Text-Kennwortinformationen zwischen dem Anwendungsserver und dem Identitätsspeicher über das Netzwerk ausgetauscht werden. Ein Beispiel für einen sicheren Authentifizierungsmechanismus wäre LDAPS (Lightweight Directory Access Protocol über SSL oder TLS), bei dem die Authentifizierungsdaten verschlüsselt werden.
Aspekte beim Bereitstellen
Soll zum Authentifizieren ein anderer Kontenspeicher verwendet werden, muss in der Anwendung gewöhnlich der Code geändert werden. Anwendungen, von denen eine Datenbanktabelle zum Authentifizieren verwendet wird, müssen aktualisiert werden, wenn Active Directory zum Einsatz kommen soll.
Contoso-Szenario
Bei Contoso hat man die Anwendung Partner Research für Partner aktualisiert, damit Active Directory als Identitätsspeicher für Partnerkonten und der Mechanismus für die Zugriffsverwaltung genutzt werden kann.
Gelöste Sicherheitsprobleme
Durch das Implementieren der Kennwortauthentifizierung via Active Directory können in folgenden Bereichen auftretende Sicherheitsprobleme leichter gelöst werden:
Authentifizieren mit Nur-Text-Kennwörtern
Speichern von Nur-Text-Kennwörtern auf unsicheren Servern
Im Artikel „Entwickeln identitätsbewusster ASP.NET-Anwendungen“, der Bestandteil dieser Serie ist, wird beschrieben, wie von Anwendungen mit Active Directory Authentifizierungs- und Autorisierungsvorgänge ausgeführt werden können.
Microsoft Passport-Authentifizierung via Active Directory
Einer separaten Nutzbarkeitsstudie konnten Contoso-Architekten entnehmen, dass es Kunden schwierig finden, Benutzernamen und Kennwörter für unterschiedliche Websites zu verwalten. Umfragen haben ergeben, dass sich Kunden, die die Contoso-Website besuchen, durch einen so genannten Identitätsmakler wie Microsoft Passport authentifizieren können, ohne eine weitere Identität annehmen zu müssen.
Dadurch wird auch den Sicherheitsanforderungen der Contoso-Feedbackanwendung Customer Trial entsprochen, weil für Kundenkonten überhaupt keine Kennwörter mehr erforderlich sind. Benutzer werden daher durch das Überprüfen eines Kennworts und das anschließende Zuordnen der PUID (Passport Unique ID) zu einem Konto im externen Active Directory bei der Contoso-Website authentifiziert.
Aspekte beim Bereitstellen
Soll ein Dienst wie Microsoft Passport zum Authentifizieren verwendet werden, muss in der Anwendung gewöhnlich der Code geändert werden. Für die Unterstützung spezifischer Autorisierung sind darüber hinaus zahlreiche Passport zugeordnete Konten in Active Directory auf automatisierte Weise sowie durch skalierbare und verwaltbare Mechanismen bereitzustellen.
Contoso-Szenario
In Contoso hat man die Anwendung für Kunden neu geschrieben, damit Microsoft Passport und Active Directory als Authentifizierungsmechanismen sowie der Identitätsspeicher für Kundenkonten verwendet werden können.
Gelöste Sicherheitsprobleme
Durch das Implementieren der Microsoft Passport-Authentifizierung via Active Directory werden folgende Probleme gelöst:
Authentifizieren mit Nur-Text-Kennwörtern
Speichern von Nur-Text-Kennwörtern auf unsicheren Servern
Im Artikel „Extranet-Zugriffsverwaltung“, der Bestandteil dieser Serie ist, wird beschrieben, wie die Microsoft Passport-Authentifizierung via Active Directory konfiguriert wird.
Plattformanforderungen
Im Rahmen der Analyse der Geschäfts- und Sicherheitsanforderungen von Contoso wurde ermittelt, welche Anforderungen von der Identitäts- und Zugriffsverwaltungsplattform zu erfüllen sind. Die wichtigsten Bereiche werden in den folgenden Abschnitten beschrieben.
Zugriffsverwaltung
Zu den Zugriffsverwaltungsdiensten der ausgewählten Plattform müssen Authentifizierungs-, Autorisierungs- und Vertrauensdienste zählen, die folgenden Anforderungen gerecht werden:
Die Client- und Serverbetriebssysteme für Client/Serveranwendungen und die Datei- und Druckdienste müssen zusammen eingesetzt werden können, damit eine nahtlose Authentifizierung und SSO gewährleistet werden.
Globale Autorisierungsrechte müssen von globalen Identitätsinformationen abgeleitet werden, obwohl derartige Informationen unter Umständen nur innerhalb bestimmter Bereiche wie dem Intranet oder Umkreisnetzwerk als global gelten.
Von der Infrastruktur müssen stabile, verwaltbare Autorisierungsmechanismen implementiert werden.
Die Plattform muss innerhalb der Organisation und extern flexible Mechanismen für Vertrauensverhältnisse aufweisen. Bei solchen Vertrauensverhältnissen kann es sich um explizite Vertrauensverhältnisse über eine PKI-Konfiguration (Public Key Infrastructure) oder um implizite Vertrauensverhältnisse über Betriebssystemmechanismen handeln.
Von der Infrastruktur müssen verwaltbare, sichere Vertrauenskonfigurationsmechanismen implementiert werden, damit bei künftigen Akquisitionen mehrere Identitätsspeicher integriert werden können.
Verzeichnis- und Sicherheitsdienste
Von den Verzeichnis- und Sicherheitsdiensten der ausgewählten Plattform sind folgende Technologien zu unterstützen:
Sicherer Speicher für Identitätsinformationen, der mit sicheren, auf Standards basierenden Authentifizierungsmechanismen eingesetzt werden kann
LDAP mit bestimmten Anwendungen und Diensten zusammen einsetzbar
Starke Verschlüsselung von Benutzeranmeldeinformationen sowie Dienste, von denen Anmeldeinformationen nicht extern verbreitet werden (nicht einmal verschlüsselt)
Verschiedene Arten von Anmeldeinformationen, die die Anforderungen zahlreicher Authentifizierungsprotokolle (z. B. Kerberos 5-Protokoll, Biometrik, SSL oder TLS) erfüllen
2-Faktor-Authentifizierungsmechanismen einschließlich PKI und Smartcards (für die künftige Bereitstellung)
Nahtlose Interoperabilität zwischen Client-/Serverbetriebssystemen über einen bekannten Satz an Anwendungs- und Sicherheitsprotokollen
Verwalten des Identitätslebenszyklus
Von den Diensten der ausgewählten Plattform zum Verwalten des Identitätslebenszyklus sollten folgende Anforderungen erfüllt werden:
Von der Infrastruktur zur Identitäts- und Zugriffsverwaltung sollte ein allgemeiner Satz an auf Standards basierenden Protokollen zum Verwalten der Identitätsspeicher des Unternehmens verwendet werden.
Ein einziges Verzeichnis sollte als zentraler Intranetidentitätsspeicher verwendet werden können. Für den Fall des Hardware- oder Netzwerkversagens müssen redundante Dienste vorhanden sein.
Benutzerkonten für Kunden und Partner werden in einem Extranetverzeichnis gespeichert, das auf dem Umkreisnetzwerk isoliert ist.
Anwendungsplattform
Von der ausgewählten Plattform müssen für Contoso folgende Anwendungsanforderungen erfüllt werden:
Von bereits vorhandenen und künftig eingesetzten Anwendungen ist die Infrastruktur für digitale Identitäten zu verwenden, deren Zugriff durch allgemeine, auf Standards basierende Protokolle zu erfolgen hat.
Der Anwendungsserver muss integrierte Unterstützung für starke Authentifizierungsprotokolle wie das Kerberos 5-Protokoll und über Unterstützung für Clientzertifikatsauthentifizierung mit SSL und TLS aufweisen.
Mit dem Anwendungsserver muss es möglich sein, herkömmliche ACL-Autorisierung (Access Control List) und rollenbasierte Zugriffssteuerung zu implementieren.
Sicherheitsüberwachung
Von der ausgewählten Plattform müssen die Sicherheitsüberwachungsanforderungen von Contoso erfüllt werden:
Die Plattform muss über genaue Überwachungsfunktionen für sämtliche Authentifizierungs-, Vertrauens-, Autorisierungs- und Konfigurationsvorgänge verfügen.
Die Plattform muss verwaltbare, aber dennoch spezifische Überwachungsdienste für sämtliche Aspekte der Server- und Anwendungsinfrastruktur aufweisen.
In diesem Beitrag
- Kapitel 1: Einführung
- Kapitel 2: Vorgehensweisen beim Auswählen einer Plattform
- Kapitel 3: Probleme und Anforderungen
- Kapitel 4: Entwerfen der Infrastruktur
- Kapitel 5: Implementieren der Infrastruktur
- Kapitel 6: Betreiben der Infrastruktur
- Anhang A: Konfigurationseinstellungen
- Links
- Danksagung
Download
Laden Sie die vollständige Serie in englischer Sprache herunter.
Update Notifications
Feedback
Senden Sie uns Ihre Kommentare oder Vorschläge (in englischer Sprache).
.gif "Dd443699.pageLeft(de-de,TechNet.10).gif") 3 von 9.gif "Dd443699.pageRight(de-de,TechNet.10).gif") |