Inhaltsverzeichnis
Werbung
6 Security Guide
Generell können alle Managementaufgaben über eine gesicherte Verbindung erfolgen. Die bevorzugten Vari-
anten sind über https per Web-Benutzer-Interface oder die RestAPI. Außerdem kann per SSH mit dem Meinberg
Device Manager die Konfiguration vorgenommen werden. Als Alternative kann die Kommandozeile über SSH
genutzt werden. Diese alternative Variante hat jedoch nicht den gleichen Konfigurationsumfang wie der Device
Manager oder das Webimnterface. SNMP kann nur mit lesendem Zugriff konfiguriert werden. Wenn SNMP
sicher genutzt werden soll, ist darauf zu achten, dass SNMP in der Version 3 verwendet wird. Nur in dieser
Version bietet SNMP ausreichenden Schutz.
Die Bereitstellung von gesicherten Zeitinformationen ist nur für NTP verfügbar. Das NTP-Protokoll schützt
die Integrität und Authentizität der Zeitinformationen, der Schutz der Vertraulichkeit wird nicht unterstützt, ist
in den allermeisten Anwendungsfällen von NTP aber auch nicht nötig. In Ausnahmefällen kann durch VPNs
oder eine Segmentierung der Netzwerkarchitektur die Vertraulichkeit bzw. eine Abschottung hergestellt wer-
den. PTP unterstützt derzeit keine IT-Sicherheitsfunktionen. Aus diesem Grund muss auf NTP zurückgegriffen
werden, wenn eine sichere Zeitsynchronisation über unsichere Netzwerke gewährleistet werden soll.
Meinberg empfiehlt, immer die neuesten Browser, Service-Clients sowie den neuesten Device Manager zu
verwenden, um die Auswahl der besten Sicherheitsalgorithmen für die Server- und Client-Kommunikation zu
unterstützen. Durch die zeitnahe Installation von Updates können zudem bekannte Schwachstellen geschlossen
und das Risiko eines erfolgreichen Angriffs minimiert werden.
Die Verantwortlichkeit von Änderungen am System wird durch ein detailliertes Syslog-Logging der von je-
dem Benutzer oder Prozess ausgeführten Aktionen gewährleistet. Die Log-Dateien können jedoch durch root-
bzw. admin-User nachträglich verändert werden. Aus diesem Grund kann die Nichtabstreitbarkeit nicht durch
das System gewährleistet werden.
Die größtmögliche Verfügbarkeit der Dienste wird durch aktuelle Updates und ein sehr reduziertes Betriebssys-
tem unterstützt. Für mehr Schutz gegen DOS/DDOS Angriffe können Web Application Firewalls und herkömm-
liche Firewalls im Netzwerk implementiert werden, die in der Lage sind, solche Angriffe zu erkennen und zu
verhindern. Bei allen Änderungen an der Konfiguration ist zu beachten, dass sie nach einem Neustart verloren
gehen oder von anderen Admin-Benutzern verworfen werden können, wenn sie nicht zuvor in der Startkonfigu-
ration gespeichert wurden.
microSync
Datum: 11. August 2022
51
Werbung
Inhaltsverzeichnis
