Checkliste Firewall IG KOMSG - Informatik des Kantons St.Gallen
Checkliste Firewall IG KOMSG - Informatik des Kantons St.Gallen
Checkliste Firewall IG KOMSG - Informatik des Kantons St.Gallen
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Checkliste</strong> <strong>Firewall</strong> <strong>IG</strong> <strong>KOMSG</strong><br />
Inhaltsverzeichnis<br />
1 Übersicht ................................ ................................ ................................ .............................. 2<br />
2 <strong>Firewall</strong> System ................................ ................................ ................................ .................... 3<br />
2.1 Policy................................ ................................ ................................ ............................ 3<br />
2.2 Betrieb ................................ ................................ ................................ .......................... 3<br />
2.3 Wartung ................................ ................................ ................................ ........................ 4<br />
2.4 Installation................................ ................................ ................................ ..................... 4<br />
2.5 VPN Zugänge ................................ ................................ ................................ ............... 5<br />
2.6 Plattformen ................................ ................................ ................................ ................... 5<br />
2.7 Datensicherung................................ ................................ ................................ ............. 6<br />
3 Notfallvorsorge ................................ ................................ ................................ ..................... 7<br />
4 Organisation ................................ ................................ ................................ ......................... 7<br />
5 Personal ................................ ................................ ................................ ............................... 8<br />
6 Physisches Umfeld ................................ ................................ ................................ ............... 8<br />
Freigabe<br />
<strong>IG</strong> <strong>KOMSG</strong><br />
<strong>Informatik</strong>handbuch<br />
Dienst für <strong>Informatik</strong>planung<br />
Kanton <strong>St</strong>.<strong>Gallen</strong><br />
36020031 <strong>Checkliste</strong> <strong>Firewall</strong> <strong>IG</strong> <strong>KOMSG</strong> Datum 01.10.2007 Version 3.1<br />
IHB 3-6.1<br />
Seite 1 von 8
<strong>Firewall</strong>-<strong>Checkliste</strong> <strong>IG</strong> <strong>KOMSG</strong><br />
1 Übersicht<br />
Diese <strong>Checkliste</strong> betrifft <strong>Firewall</strong>s, welche LANs von <strong>KOMSG</strong> Kunden mit externen Netzen<br />
verbinden. Im Folgenden werden diese externen Netze (im Sinne eines Beispiels)<br />
mit ‚Internet’ bezeichnet. Grundsätzlich müssen diese <strong>Firewall</strong>s gemäss Bild 1 eingesetzt<br />
werden.<br />
Kundenumgebung<br />
Fremd Router<br />
Kunde<br />
Default Router für<br />
alle <strong>St</strong>ationen am<br />
Kunden LAN<br />
Addressierung frei<br />
Eigenes DNS oder DNS Internet<br />
Router<br />
Provider<br />
LAN Kunde<br />
DMZ<br />
Internet<br />
<strong>KOMSG</strong><br />
CoreSG<br />
Bild 1: Aufbau <strong>Firewall</strong><br />
In einer einfachen Umgebung können Teile der Installation fehlen (z.B. DMZ oder Internet<br />
LAN). Die Funktion <strong>des</strong> Fremd - Routers kann auch in der <strong>Firewall</strong> integriert sein.<br />
Nr Checkpunkt Minimalanforderung Befund<br />
1.1 Topologie und Vernetzung Die Installation erfolgt im wesentlichen<br />
gemäss Bild 1.<br />
1.2 Dokumentation Eine aktuelle Dokumentation <strong>des</strong> <strong>Firewall</strong><br />
Systems muss innerhalb von einer<br />
<strong>St</strong>unde beschafft werden können.<br />
Freigabe<br />
<strong>IG</strong> <strong>KOMSG</strong><br />
<strong>Informatik</strong>handbuch<br />
Dienst für <strong>Informatik</strong>planung<br />
Kanton <strong>St</strong>.<strong>Gallen</strong><br />
36020031 <strong>Checkliste</strong> <strong>Firewall</strong> <strong>IG</strong> <strong>KOMSG</strong> Datum 01.10.2007 Version 3.1<br />
IHB 3-6.1<br />
Seite 2 von 8
<strong>Firewall</strong>-<strong>Checkliste</strong> <strong>IG</strong> <strong>KOMSG</strong><br />
2 <strong>Firewall</strong> System<br />
2.1 Policy<br />
Nr Checkpunkt Minimalanforderung Befund<br />
2.1 Die Ziele (Policy) <strong>des</strong> <strong>Firewall</strong>- Als Minimalanforderung gelten die<br />
Systems müssen dokumentiert<br />
sein<br />
Sicherheitsvorschriften der <strong>IG</strong><br />
<strong>KOMSG</strong>.<br />
2.2 Betrieb<br />
Nr Checkpunkt Minimalanforderung Befund<br />
2.2.1 Sicherheitsprüfung Einmal jährlich wird eine Sicherheitsprüfung<br />
der Anbindung vorgenommen,<br />
welche die untenstehenden<br />
Punkte umfasst<br />
2.2.1.1 ‣ Policy • Vollständigkeit gemäss Abschnitt<br />
2.1<br />
2.2.1.2 ‣ Konfiguration • Korrektheit im Vergleich mit der<br />
Policy<br />
2.2.1.3 ‣ Funktion • Korrektheit im Vergleich mit der<br />
Konfiguration (z.B. mittels Port-<br />
Scan festgestellt)<br />
2.2.2 Initialprüfung Die jährliche Sicherheits-Prüfung wird<br />
erstmals vor der Inbetriebnahme als<br />
Abnahme durchgeführt.<br />
2.2.3 Dokumentation Dokumentationen der Prüfungen sind<br />
vorhanden und sind dem Netzbetreiber<br />
und der <strong>IG</strong> <strong>KOMSG</strong> auf Verlangen<br />
zugänglich.<br />
2.2.4 Protokollierung • Protokollierung <strong>des</strong> Verkehrs der<br />
<strong>Firewall</strong>-System ist aktiviert.<br />
• Log Files enthalten min<strong>des</strong>tens<br />
die abgewiesenen Verbindungsversuche.<br />
2.2.5 Überwachung • Log Files werden regelmässig<br />
kontrolliert.<br />
2.2.6 Reaktion auf unerwartetes<br />
Verhalten<br />
Es existieren Prozeduren für diese<br />
Reaktion, welche die folgenden Punkte<br />
umfassen.<br />
2.2.6.1 ‣ Reaktion • Die dafür zuständigen Personen<br />
sind bekannt.<br />
• Die Personen haben die für die<br />
Reaktion notwendige Kompetenz.<br />
Freigabe<br />
<strong>IG</strong> <strong>KOMSG</strong><br />
<strong>Informatik</strong>handbuch<br />
Dienst für <strong>Informatik</strong>planung<br />
Kanton <strong>St</strong>.<strong>Gallen</strong><br />
36020031 <strong>Checkliste</strong> <strong>Firewall</strong> <strong>IG</strong> <strong>KOMSG</strong> Datum 01.10.2007 Version 3.1<br />
IHB 3-6.1<br />
Seite 3 von 8
<strong>Firewall</strong>-<strong>Checkliste</strong> <strong>IG</strong> <strong>KOMSG</strong><br />
Nr Checkpunkt Minimalanforderung Befund<br />
2.2.6.2 ‣ Protokollierung • Unerwartetes Verhalten wird protokolliert.<br />
2.2.6.3 ‣ Meldung • Unerwartetes Verhalten wird innerhalb<br />
eines Arbeitstages an die<br />
<strong>IG</strong> <strong>KOMSG</strong> gemeldet.<br />
2.3 Wartung<br />
Nr Checkpunkt Minimalanforderung Befund<br />
2.3.1 Release Management Es müssen die folgenden Teile abgedeckt<br />
sein:<br />
• <strong>Firewall</strong> Anwendung<br />
• VPN Anwendung (falls vorhanden)<br />
• Betriebssystem<br />
• Hilfsprogramme<br />
2.3.2 Installation von neuen Service-<br />
Packs<br />
2.3.3 Security-Patches (d.h. alle Patches,<br />
welche vom Hersteller<br />
als sicherheitsrelevant bezeichnet<br />
werden).<br />
Solche müssen innerhalb eines Monats<br />
nach Herausgabe installiert<br />
werden.<br />
Solche müssen innerhalb einer Woche<br />
nach Release installiert werden.<br />
2.4 Installation<br />
Nr Checkpunkt Minimalanforderung Befund<br />
2.4.1 Netzwerkdokumentation Aus der Netzwerkdokumentation<br />
muss die Installation und die Funktionalität<br />
<strong>des</strong> <strong>Firewall</strong> Systems klar<br />
ersichtlich sein (s. dazu auch Abschnitt<br />
1).<br />
2.4.2 Trennung Zwischen dem Kunden LAN und<br />
dem Internet muss eine klare Trennung<br />
bestehen. Die einzige Verbindung<br />
zwischen den beiden Netzen<br />
geschieht über das <strong>Firewall</strong> System.<br />
Freigabe<br />
<strong>IG</strong> <strong>KOMSG</strong><br />
<strong>Informatik</strong>handbuch<br />
Dienst für <strong>Informatik</strong>planung<br />
Kanton <strong>St</strong>.<strong>Gallen</strong><br />
36020031 <strong>Checkliste</strong> <strong>Firewall</strong> <strong>IG</strong> <strong>KOMSG</strong> Datum 01.10.2007 Version 3.1<br />
IHB 3-6.1<br />
Seite 4 von 8
<strong>Firewall</strong>-<strong>Checkliste</strong> <strong>IG</strong> <strong>KOMSG</strong><br />
Nr Checkpunkt Minimalanforderung Befund<br />
2.4.3 Fernzugriffe Fernzugriffe auf das Kunden LAN<br />
(Remote Access, z.B. für Support-<br />
Firmen) werden im Normalfall über<br />
die Einwahlsysteme <strong>des</strong> Netzbetreibers<br />
oder über ein anderes, von der<br />
<strong>IG</strong> <strong>KOMSG</strong> approbiertes Einwahlsystem<br />
abgewickelt. Falls ein eigenes,<br />
VPN basiertes Einwahlsystem verwendet<br />
wird, so ist Abschnitt 2.5 zu<br />
beachten.<br />
2.5 VPN Zugänge<br />
Nr Checkpunkt Minimalanforderung Befund<br />
2.5.1 Produktewahl Es wird ein anerkanntes Produkt mit<br />
aktueller Technologie (IPSec oder<br />
SSL) verwendet.<br />
2.5.2 <strong>St</strong>ationen Es ist gewährleistet, dass alle über<br />
VPN eingebundenen <strong>St</strong>ationen die<br />
Anforderungen der Sicherheitsvorschriften<br />
Kapitel 3 erfüllen.<br />
2.5.3 Schutz gegen Internet Es ist gewährleistet, dass die <strong>St</strong>ationen<br />
bei laufendem VPN gegen<br />
Zugriffe aus dem Internet geschützt<br />
sind.<br />
2.5.4 Authentisierung Die VPNs basieren auf Credentials,<br />
welche die folgenden Anforderungen<br />
erfüllen:<br />
• Sie sind persönlich.<br />
• Sie sind nicht erratbar (für Externe<br />
und für Interne).<br />
• Credentials werden auf den Arbeitsstationen<br />
vor unberechtigtem<br />
Zugriff geschützt.<br />
2.6 Plattformen<br />
Nr Checkpunkt Minimalanforderung Befund<br />
2.6.1 Produktewahl Es dürfen nur erprobte und anerkannte<br />
<strong>Firewall</strong> Produkte eingesetzt werden.<br />
Es wird empfohlen, ICSA geprüfte <strong>Firewall</strong>s<br />
zu verwenden.<br />
Freigabe<br />
<strong>IG</strong> <strong>KOMSG</strong><br />
<strong>Informatik</strong>handbuch<br />
Dienst für <strong>Informatik</strong>planung<br />
Kanton <strong>St</strong>.<strong>Gallen</strong><br />
36020031 <strong>Checkliste</strong> <strong>Firewall</strong> <strong>IG</strong> <strong>KOMSG</strong> Datum 01.10.2007 Version 3.1<br />
IHB 3-6.1<br />
Seite 5 von 8
<strong>Firewall</strong>-<strong>Checkliste</strong> <strong>IG</strong> <strong>KOMSG</strong><br />
Nr Checkpunkt Minimalanforderung Befund<br />
2.6.2 <strong>St</strong>andard-Betriebssystem Falls die <strong>Firewall</strong> auf einem <strong>St</strong>andard-<br />
Betriebssystem basiert, so muss dieses<br />
einem ‚hardening’ unterzogen werden.<br />
Hardening bedeutet unter anderem,<br />
dass nur aktuelle Betriebssystem-<br />
Releases verwendet werden dürfen,<br />
d.h. dass alle relevanten Service-Packs<br />
und Security-Patches für die installierten<br />
Programme up to date sein müssen.<br />
Die Dienste <strong>des</strong> Betriebssystems<br />
müssen gemäss Herstelleranleitungen<br />
funktionell auf das absolut notwendige<br />
Minimum begrenzt werden. Nicht notwendige<br />
Dienste müssen soweit wie<br />
möglich deinstalliert werden.<br />
2.7 Datensicherung<br />
Nr Checkpunkt Minimalanforderung Befund<br />
2.7.1 Sicherung Im Minimum müssen die folgenden Daten<br />
gesichert werden:<br />
• Alle Konfigurationsdateien für die<br />
<strong>Firewall</strong> Anwendung<br />
• Ditto für die VPN Installation (falls<br />
vorhanden)<br />
• Log Files<br />
2.7.2 Aufbewahrung Konfiguration Alte Konfigurationen müssen min<strong>des</strong>tens<br />
1 Jahr aufbewahrt werden.<br />
2.7.3 Aufbewahrung Log Files Log Files werden 3 Monate aufbewahrt.<br />
2.7.4 Schutz der gespeicherten<br />
Daten<br />
Gesicherte Daten müssen vor unberechtigtem<br />
Zugriff und Veränderungen<br />
geschützt werden.<br />
2.7.5 Auslagerung Aus Gründen der Notfallvorsorge empfiehlt<br />
sich eine Auslagerung dieser Daten.<br />
Freigabe<br />
<strong>IG</strong> <strong>KOMSG</strong><br />
<strong>Informatik</strong>handbuch<br />
Dienst für <strong>Informatik</strong>planung<br />
Kanton <strong>St</strong>.<strong>Gallen</strong><br />
36020031 <strong>Checkliste</strong> <strong>Firewall</strong> <strong>IG</strong> <strong>KOMSG</strong> Datum 01.10.2007 Version 3.1<br />
IHB 3-6.1<br />
Seite 6 von 8
<strong>Firewall</strong>-<strong>Checkliste</strong> <strong>IG</strong> <strong>KOMSG</strong><br />
3 Notfallvorsorge<br />
Nr Checkpunkt Minimalanforderung Befund<br />
3 Notfallvorsorge Falls die Verfügbarkeit <strong>des</strong> <strong>Firewall</strong><br />
Systems für einen effektiven Betrieb<br />
der Organisation unabdingbar ist, so<br />
sind geeignete Pläne aufzustellen,<br />
welche einen kontrollierten Ersatz<br />
<strong>des</strong> System nach einem Totalverlust<br />
ermöglichen. Es müssen die untenstehenden<br />
Elemente abgedeckt sein:<br />
3.1 ‣ System-Umfang Alle geschützten Systeme müssen<br />
identifiziert sein. (Beachte, dass die<br />
Fremd Router gemäss Bild 1 auch für<br />
den Verkehr mit <strong>KOMSG</strong> notwendig<br />
sind).<br />
3.2 ‣ Verfügbarkeitsziele Diese müssen für das Gesamtsystem<br />
definiert sein.<br />
3.3 ‣ Zuständigkeiten Hier muss insbesondere die Notfall-<br />
Organisation reflektiert werden.<br />
3.5 ‣ Wiederherstellungsprozesse Es müssen die folgenden Bereiche<br />
abgedeckt werden:<br />
• Plattform (HW und SW)<br />
• <strong>Firewall</strong> Anwendung<br />
• Konfiguration<br />
• Installation<br />
• Netzwerkverbindungen<br />
3.5 ‣ Übergang Insbesondere die Übergänge vom<br />
Normalbetrieb in den Notfall-Betrieb<br />
und zurück müssen definiert sein.<br />
4 Organisation<br />
Nr Checkpunkt Minimalanforderung Befund<br />
4.1 Notwendige <strong>St</strong>ellen Für die folgenden Aufgaben müssen<br />
<strong>St</strong>ellen bezeichnet sein:<br />
• Betrieb <strong>des</strong> <strong>Firewall</strong>s<br />
• Wartung <strong>des</strong> <strong>Firewall</strong>s<br />
• Überwachung <strong>des</strong> Betriebs (inkl.<br />
Gewährleistung <strong>des</strong> sicheren Betriebs)<br />
4.2 Kontaktpersonen Für alle oben erwähnten <strong>St</strong>ellen müssen<br />
Kontaktpersonen identifiziert sein.<br />
Freigabe<br />
<strong>IG</strong> <strong>KOMSG</strong><br />
<strong>Informatik</strong>handbuch<br />
Dienst für <strong>Informatik</strong>planung<br />
Kanton <strong>St</strong>.<strong>Gallen</strong><br />
36020031 <strong>Checkliste</strong> <strong>Firewall</strong> <strong>IG</strong> <strong>KOMSG</strong> Datum 01.10.2007 Version 3.1<br />
IHB 3-6.1<br />
Seite 7 von 8
<strong>Firewall</strong>-<strong>Checkliste</strong> <strong>IG</strong> <strong>KOMSG</strong><br />
5 Personal<br />
Nr Checkpunkt Minimalanforderung Befund<br />
5.1 Prozesse Die folgenden Prozesse müssen geregelt<br />
sein<br />
• Einarbeitung / Einweisung neuer<br />
Mitarbeiter in die für den <strong>Firewall</strong> relevanten<br />
Funktionen (s. oben)<br />
• Verpflichtung der Mitarbeiter auf<br />
Einhaltung einschlägiger Vorschriften<br />
und Regelungen<br />
• Vertretungsregelungen<br />
• Ausscheiden von Mitarbeitern.<br />
5.2 Externe Lieferanten Die obigen Prozesse müssen sinngemäss<br />
auf involvierte externe Mitarbeiter<br />
anwendbar sein.<br />
6 Physisches Umfeld<br />
Nr Checkpunkt Minimalanforderung Befund<br />
6.1 Installation <strong>Firewall</strong>s müssen in abgeschlossenen<br />
Räumen bzw. in abgeschlossenen<br />
Schränken installiert werden.<br />
6.2 Zugang Der Zugang muss durch eine angemessene<br />
Schlüsselverwaltung auf die notwendigen<br />
Personen beschränkt sein.<br />
6.3 Zugang durch Externe Zugang durch Externe (z.B. für Wartung<br />
und Reparatur) darf nur in Begleitung<br />
<strong>des</strong> eigenen Betriebspersonals geschehen.<br />
Vor Ort Arbeiten von Externen am<br />
<strong>Firewall</strong> System müssen überwacht<br />
werden.<br />
6.4 Wartung durch Externe Fernwartung darf nur durch vertraglich<br />
angemessen gebundene und fachlich<br />
genügend qualifizierte Personen vorgenommen<br />
werden<br />
6.5 Protokollierung der Wartung Alle Fernwartungsarbeiten müssen<br />
durch die ausführende Organisation<br />
protokolliert werden.<br />
Freigabe<br />
<strong>IG</strong> <strong>KOMSG</strong><br />
<strong>Informatik</strong>handbuch<br />
Dienst für <strong>Informatik</strong>planung<br />
Kanton <strong>St</strong>.<strong>Gallen</strong><br />
36020031 <strong>Checkliste</strong> <strong>Firewall</strong> <strong>IG</strong> <strong>KOMSG</strong> Datum 01.10.2007 Version 3.1<br />
IHB 3-6.1<br />
Seite 8 von 8