Home
Sicherheitsvorgaben (Security Target)
Contents
1. Standard Server Clientprozess 7 2 Vermittlungs l Kommunikations service service Signalisier Ernaren ung ern Applikation ggf Signalisierung ae a eee Ii HttpsRpc PPT Prasentation ggi HttpsRpc PPT HTTPS Sitzung ggf SSL HTTP TCP Transport ggf TCP TCP IP DNS Netzwerk IP DNS IP DNS Sicherung Physisch TE a Clients N Router Frowa SSLswitch Server N kd Cu C booo o d Abbildung 5 Protokollstapel bei Netviewer one2one Auf Applikationsebene oberhalb der gestrichelten Linie befinden sich Signalisierung und PingPong In der Abbildung ist zu sehen dass PingPong im Server nicht vorhanden ist da dieses Protokoll ausschlie lich zwischen Beraterprogramm und Teilnehmerprogramm zum Einsatz kommt um den Sitzungsdatenstrom auszutauschen PingPong PDUs Protocol Data Unit werden zwischen den Clients ber das PingPongTransport Protokoll PPT ber den Kommunikationsservice ausgetauscht Das HTTP Protokoll ist im Server selbst implementiert clientseitig wird dies von einer Windows Bibliothek bernommen PingPongTransport kann sowohl auf TCP als auch auf HTTP aufsetzen Signalisierung wird ausschlie lich ber das HttpRpc Protokoll abgewickelt welches auf HTTPS aufsetzt Bei HttpsRpc sind Integrit t Vertraulichkeit und Authentizit t der aus
2. Die Signalisierungsdaten werden als ein zu sch tzendes Objekt definiert Steuerungsdaten Teil des Sitzungsdatenstroms Beinhalten Steuerinformationen um die Modi des Sitzungsdatenaustauschs auszuhandeln z B Initiierung eines Blickrichtungswechsels Sitzungsdatenstrom Besteht aus Sitzungsdaten und Steuerungsdaten Gesamtheit der Daten die zwischen den Clientkomponenten des EVG optional ber den Kommunikationsservice ausgetauscht werden Beraterkontendaten Die Daten zu den Beraterkonten werden in der Benutzerdatei NVServer_users txt bei der Server Komponente gespeichert Der Inhalt dieser Datei wird von dem Servermodul Benutzermanager gepflegt Verbindungsdaten Log Dateien Protokolle Tabelle 4 Definition der Objekte In der nachfolgenden Tabelle 4 werden Bezeichnungen f r Subjekte definiert Subjekte sind Personen aber auch Programme Subjekt Rolle Beschreibung Autorisierter Berater Der Berater verf gt ber das Netviewer one2one Beraterprogramm und g ltige Zugangsdaten Das Beraterprogramm bef higt den Berater eine one2one Sitzung zu initiieren Der Berater hat Zugriff auf die Funktionen des Netviewer Programms zur Kommunikation ST_Netviewer_one2oneTS_v1 8 pdf Seite 43 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 Subjekt Rolle Beschreibung und zum Datenaustausch mit dem Teilnehmer Weiterhin stellt das Beraterprogramm dem Berater einen
3. Angreifer k nnen sein Unautorisierte Personen die versuchen die Verf gbarkeit des EVGs oder die Vertraulichkeit Integritat und Authentizitat der Daten des EVGs zu ST_Netviewer_one2oneTS_v1 8 pdf netviewer Seite 44 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Subjekt Rolle Beschreibung kompromittieren Autorisierte Benutzer die Zugriff auf nicht f r sie freigegebene Daten erlangen m chten Angreifer werden als Verursacher von Bedrohungen definiert Server Administrator Der Administrator installiert und wartet den Rechner das Betriebssystem den Standard Server den SSLswitch und das SSL Serverzertifikat Server Komponenten Teil des EVGs wird durch die beiden Rollen Vermittlungsservice und Kommunikationsservice repr sentiert Vermittlungsservice Rolle auf der Server Komponente des EVG Kommunikationsservice Rolle auf der Server Komponente des EVG der Kommunikationsservice wird optional eingesetzt wenn kein Austausch des Datenstroms ber eine Peer to Peer Verbindung zwischen den Clientkomponenten m glich ist Berater Administrator Der Berater Administrator kann Beraterkonten anlegen und zur cksetzen Dazu benutzt er das Modul Benutzermanager der Serverkomponente von one2one Tabelle 5 Definition der Subjekte Der EVG ist f r Daten mit niedrigem Schutzbedarf geeignet Es wird daher davon ausgegangen dass der Angreifer ber ei
4. FCS_COP 1 ComMac Cryptographic operation iteration mac communication FCS_COP 1 1 The TSF shall perform MAC generation and verification in accordance with a specified cryptographic algorithm HMAC SHA 1 96 and specified cryptographic key sizes 160 bit that meet the following RFC2104 and RFC2404 15 assignment list of cryptographic operations 16 assignment cryptographic algorithm 17 assignment cryptographic key sizes 18 assignment list of standards 1 assignment list of cryptographic operations 0 assignment cryptographic algorithm 1 assignment cryptographic key sizes 2 assignment list of standards 23 assignment list of cryptographic operations 24 assignment cryptographic algorithm 2 assignment cryptographic key sizes 26 assignment list of standards ST_Netviewer_one2oneTS_v1 8 pdf Seite 70 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Application Notes Der hier aufgef hrte Algorithmus kommt im Rahmen Datenstromaustauschs zwischen Berater und Teilnehmer zur Anwendung FDP_ACC 1 SessData Subset access control iteration Session Data FDP_ACC 1 1 The TSF shall enforce the ACCESS Session Data on subjects Einr umender Sitzungspartner Berechtigter Sitzungspartner object Session Data and operation read data and write data FDP_ACC 1 CfgData Subset access control iteration Secure Config Data FDP_ACC 1 1 The TSF shall enforce the ACCESS Secure Config Data on s
5. Name OE 5 Ziel Die Administration der Serverkomponente des EVG und der zugrunde liegende Systemumgebung wird durch mindestens eine kompetente und vertrauensw rdige Person durchgef hrt Systemadministratoren nehmen ihre Aufgaben gewissenhaft umsichtig und verantwortungsbewusst wahr Durch die Administration ist insbesondere sicher gestellt eine gesicherte Konfiguration der PCs und der Netzinfrastruktur ausgegangen Dazu z hlen der Einsatz von aktuellen Virenscannern sowie die sichere Konfiguration von Firewalls auf den PCs bzw innerhalb der jeweiligen Netzinfrastruktur eine regelm ige Aktualisierung der eingesetzten Software und des Betriebssystems zur Behebung von Sicherheitsl cken eine regelm ige Sicherung der Konfigurations Daten der EVG Komponente Standard Server ber diese Sicherungen k nnen die Daten wieder hergestellt werden ST_Netviewer_one2oneTS_v1 8 pdf Seite 63 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Name OE 6 Ziel Nur autorisierte Personen erhalten ein Authentisierungsmerkmal Sitzungsnummern stellen ein Authentisierungsmerkmal dar Sitzungsnummern werden sicher ausgetauscht Der Berater ist verantwortlich die Identitat des Sitzungsteilnehmers der die Sitzungsnummer erhalt festzustellen Berater erhalten Benutzername und lInitialpasswort als Authentisierungsmerkmal von dem Berater Administrator des EVG auf gesichertem Wege Berater geben ihren Be
6. 4 1 6 2 6 7 5 7 7 FMT_SMR 1 FPT_ITT 1 Tabelle 16 Zuordnung der funktionalen Sicherheitsanforderungen zu den Sicherheitsfunktionen 7 HE HE ee Oo HE S C GEN EEE a O FIAUAU4 o d INNE es HERE FIA_UAU 7 Berater HE S EEE BEE EEE EEE DEE HE HE SEEN SEE E l er BE C FREE HEN a ae EEE o EEE S o HE HE HE je SE 2 8 3 2 Notwendigkeit der Sicherheitsanforderung Aus der Tabelle 16 ist ersichtlich dass jede der identifizierten Sicherheitsfunktionen von mindestens einer funktionalen Sicherheitsanforderung zumindest teilweise abgedeckt wird Nachweis f r jede Sicherheitsfunktion im Einzelnen SF DP FCS_CKM 1 Com behandelt die kryptographische Schl sselgenerierung Der Vermittlungsservice erzeugt im Rahmen der Signalisierung einen symmetrischen Schl ssel Der Schl ssel wird in der weiteren Kommunikation zur Verschl sselung des Sitzungsdatenstroms in der Kommunikationsphase zwischen den Sitzungspartner verwendet Die funktionalen Sicherheitsanforderungen unterst tzen daher die Sicherheitsfunktion SF DP 1 ST_Netviewer_one2oneTS_v1 8 pdf Seite 120 von 132 U Sicherheitsvorgaben zum EVG 14 09 2009 netviewer FCS_CKM 2 Com fordert f r den symmetrischen Schl ssel dass dieser mittels HttpsRpc zwischen den EVG Komponenten ausgehandelt werden Die funktionale Sicherheitsanforderung unterst tzt daher die Sicherheitsfunktion SF DP 2 und SF D
7. Benutzeroberfl che folgende Funktionen e Konfiguration der Client und Server Software z B Einstellungen der Client Oberfl che und technische Einstellungen zur Client Server Kommunikation e Sichere Generierung der Programmschl ssel die w hrend des Erstellungsprozesses in die Client und Server Software integriert werden e Kompilierung der Client und Server Software e Shrinken der Client und Server Software e Signieren der Client und Server Software mit einem von der unabh ngigen Zertifizierungsstelle VeriSign ausgegebenen Zertifikat e Sichere Ablage der erstellten Software ST_Netviewer_one2oneTS_v1 8 pdf Seite 35 von 132 aan netviewer Sicherheitsvorgaben zum EVG Dieser Vorgang wird hier grafisch dargestellt Berechtigter Benutzer Delivery Mitarbeiter Netviewer Konfigurator atior rte und variable tell Netviewer DB f YO grammschl ssel Kompilierung EVG Shrinker TO T TEATE Signierung m r Ab age Standard Server Berater S jreift zu auf programm y erstellt Conns 3 Comm Subversion Repository Teilnehmer LJ programm er kamen Konfig SSLswitch Monfig Datei Dateien Vorlagen Abbildung 10 Erstellung des EVG mittels des Netviewer Konfigurators Der f r die Auslieferung verantwortliche Netviewer Mitarbeiter verwendet den Netviewer Konfigurator zur Konfiguration und Erstellung der Software Der Konfigurator greift auf das Codev
8. FIA_UID 1 Erf llt in 27 None Tabelle 12 Abh ngigkeiten der ausgew hlten funktionalen Komponenten nach cc ST_Netviewer_one2oneTS_v1 8 pdf Seite 112 von 132 U Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Die Tabelle 12 zeigt dass die von den CC als abh ngig bezeichneten Komponenten ausgew hlt wurden oder die Abh ngigkeit nicht erf llt wurde Nachfolgend wird f r jede nicht erf llte Abh ngigkeit aufgef hrt warum diese nicht erf llt wird Nicht erf llte Abh ngigkeiten zur laufenden Nummer 1 der Tabelle 12 Die Abh ngigkeiten der funktionalen Sicherheitsanforderung FCS_CKM 1 zu FCS_CKM 4 und zu FMT_MSA 2 werden nicht erf llt FCS_CKM 1 Com behandelt die Erzeugung des symmetrischen Schl ssels der beim Austausch des Datenstroms verwendet wird FCS_CKM 4 die Zerst rung des Schl ssels und FMT_MSA 2 beinhaltet Anforderungen an sichere Sicherheitsattribute Der Austausch der symmetrischen Schl ssel wird mittels des propriet ren Protokolls HttpsRpc ausgehandelt der Schl ssel wird jeweils nur tempor r f r eine Session verwendet Nach Beendigung der Session ist der symmetrische Schl ssel nicht mehr g ltig Da der Schl ssel nur tempor r verwendet wird ist eine Zerst rung des Schl ssels wie sie bei der funktionalen Sicherheitsanforderung FCS_CKM 4 gefordert wird nicht notwendig Da der Schl ssel nur tempor r verwendet wird sind Anforderungen an den sicheren Zustand des Schl ssels nicht
9. Spezielle Funktionen des Beraterprogramms Das Beraterprogramm kann nur genutzt werden wenn eine g ltige Kombination aus Benutzername und Passwort eingegeben wird Das Beraterprogramm verf gt ber administrative Funktionalit ten die ihn bereits vor dem Starten einer one2one Sitzung bei der Organisation und der Durchf hrung von Sitzungen unterst tzen e Sitzungsplaner one2one Sitzungen mit Thema Datum Profil etc planen und vor Sitzungsbeginn ber den Standard E Mail Client z B Microsoft Outlook Einladungen versenden Im Sitzungsplaner kann der Berater weiterhin ein Sitzungspasswort definieren welches der Teilnehmer beim Eintritt in die Sitzung zus tzlich zur Sitzungsnummer eingeben muss Das Sitzungspasswort stellt keine Sicherheitsfunktion dar da es nur bei geplanten one2one Sitzungen angewandt werden kann e Profilmanager Sitzungsprofile anlegen um das one2one Berater und Teilnehmerprogramm auf individuelle Bed rfnisse anzupassen Spezielle Funktionen des Teilnehmerprogramms Das Teilnehmerprogramm kann an beliebig viele Anwender verteilt werden z B indem es auf einer Webseite zum Download angeboten oder den Anwendern per E Mail zugesandt wird Beim Starten des Teilnehmerprogramms ist keine Authentifizierung mit Benutzername und Passwort notwendig Der Anwender des Teilnehmerprogramms authentifiziert sich durch die Eingabe der Sitzungsnummer und ggf des Sitzungspassworts die er vom Berater e
10. autorisierte Benutzer verwaltbar Daher gibt es keine Initialisierung mit Standardwerten Nicht erf llte Abh ngigkeiten zur laufenden Nummer 10 der Tabelle 12 Die Abh ngigkeit der funktionalen Sicherheitsanforderung FDP_ACF 1 CfgData zu FMT_MSA 3 wird nicht erf llt FMT_MSA 3 fordert dass die Initialisierung mit Standardwerten von Sicherheitsattributen sicherstellt dass diese angemessen einschr nkend oder zulassend sind Die in FDP_ACF 1 CfgData genannten Sicherheitsattribute sind aber nicht durch autorisierte Benutzer verwaltbar Daher gibt es keine Initialisierung mit Standardwerten Nicht erf llte Abh ngigkeiten zur laufenden Nummer 11 der Tabelle 12 Die Abh ngigkeit der funktionalen Sicherheitsanforderung FDP_ACF 1 UserData zu FMT_MSA 3 wird nicht erf llt FMT_MSA 3 fordert dass die Initialisierung mit Standardwerten von Sicherheitsattributen sicherstellt dass diese angemessen einschr nkend oder zulassend sind Bezogen auf die Benutzerdatei gibt es keinen Standardwert der sich verwalten l sst Die initiale Benutzerdatei geh rt zum Lieferumfang und muss vom Berater Administrator bei Inbetriebnahme ge ndert werden Bezogen auf den Inhalt der Benutzerdatei stellt der EVG sicher dass sichere Passw rter verwendet werden Initiale Passw rter sind keine Standardwerte sondern werden jeweils neu generiert daher braucht die Abh ngigkeit zu FMT_MSA 3 nicht erf llt zu werden 8 2 2 Erkl rung der Anforderu
11. die aus den folgenden drei Teilen bestehen e CC_P1 Common Criteria for Information Technology Security Evaluation Part 1 Introduction and general model Version 2 3 August 2005 e L CC_P2 Common Criteria for Information Technology Security Evaluation Part 2 Security functional requirements Version 2 3 August 2005 e CC_P3 Common Criteria for Information Technology Security Evaluation Part 3 Security assurance requirements Version 2 3 August 2005 1 2 ST Ubersicht Dieses Dokument beschreibt die Sicherheitsvorgaben Security Target ST des Evaluationsgegenstands EVG das Produkt Netviewer one2one Version 5 1 der Netviewer AG Die ST sind die Grundlage fiir die Ubereinstimmung aller beteiligten Seiten hinsichtlich der von einem EVG gebotenen Sicherheit sowie ihrer Pr fung und Bewertung Dieses Dokument besteht aus acht Kapiteln und vier Anh ngen Es ist inhaltlich nach den Vorgaben des Anhang B von Teil 1 der Common Criteria CC_P1 aufgebaut ST_Netviewer_one2oneTS_v1 8 pdf Seite 5 von 132 U netviewer Sicherheitsvorgaben zum EVG 14 09 2009 Kapitel 1 enth lt die ST Einf hrung Kapitel 2 die EVG Beschreibung Kapitel 3 beschreibt die EVG Sicherheitsumgebung Kapitel 4 identifiziert die Sicherheitsziele Kapitel 5 spezifiziert die IT Sicherheitsanforderungen Kapitel 6 enth lt die EVG bersichtsspezifikation Kapitel 7 enth lt die relevanten PP Postulate und Kapitel 8 enth lt die notwendigen Erkl rung
12. llt Tabelle 14 Abh ngigkeiten der ausgew hlten funktionalen Komponenten nach CC Die Tabelle 14 zeigt dass alle von den CC als abh ngig bezeichneten Komponenten ausgew hlt wurden 8 2 5 Erkl rung der Sicherheitsanforderungen an die Nicht IT Umgebung 8 2 5 1 Zuordnung der Sicherheitsanforderungen an die Nicht IT Umgebung zu den Sicherheitszielen In der folgenden Tabelle 15 wird f r jede im Kapitel 5 4 identifizierte Sicherheitsanforderung an die Nicht IT Umgebung aufgezeigt zu welchen Sicherheitszielen sie beitr gt Sicherheitsanforder Sicherheitsziel ung an die Nicht IT Umgebung ANF1 Erreichung von OE 1 ANF2 Erreichung von OE 2 ANF3 Erreichung von OE 3 ANF4 Erreichung von OE 4 ANF5 Erreichung von OE 5 ANF6 Erreichung von OE 6 ANF7 Erreichung von OE 7 ANF8 Erreichung von OE 8 ANF9 Erreichung von OE 9 ANF10 Erreichung von OE 10 ANF11 Erreichung von OE 11 ANF12 Erreichung von OE 12 ANF13 Erreichung von OE 13 ST_Netviewer_one2oneTS_v1 8 pdf Seite 118 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer ANF14 Erreichung von OE 14 ANF15 Erreichung von OE 15 ANF16 Erreichung von OE 16 ANF17 Erreichung von OE 17 ANF18 Erreichung von OE 18 ANF19 Erreichung von OE 19 ANF2O Erreichung von OE 20 ANF21 Erreichung von OE 21 Tabelle 15 Zuordnung der Sicherheitsanforderungen an die Nicht IT Umgebung zu den Sicherhe
13. Benutzer daf r verantwortlich das die Applikationsauswahl auf das Notwendigste beschr nkt ist Bildschirmbereiche die f r den Fernsteuernden frei gegeben werden ANF8 Die mit dem EVG zu verarbeitenden Daten besitzen einen niedrigen Schutzbedarf ANF9 Die Aufzeichnungen auf der _ Berater Clientkomponente des EVG Verbindungsdaten sind integer und vertraulich ANF10 Die Aufzeichnungen auf der Server Komponente des EVG Verbindungsdaten sind integer und vertraulich ANF11 Die Komponenten des EVG Client und Serverkomponente sind integer und k nnen nicht ausgetauscht werden ANF12 Die Konfigurationsdaten Verbindungsdaten und die Login und Passwortparameter der Berater werden auf der Serverkomponente des EVG vertraulich und integer verwaltet ANF13 Alle vier Programme des EVGs m ssen in einem TCP IP Netz betrieben werden Dessen Endsysteme sowie die dazwischen liegenden Transitsysteme und ggf vorhandene Gateways m ssen derart konfiguriert sein dass es den Clientprogrammen m glich ist eine TCP Verbindung zu dem Rechner aufzubauen auf dem die Serverkomponenten betrieben werden aufzubauen Als Mindestvoraussetzung muss es den Clientprogrammen m glich sein http und https Requests an den Standard Server abzusetzen ANF14 Die Serverkomponente des EVG wird auf einer Plattform mit den nachfolgenden Anforderungen betrieben Betriebssystem Microsoft Windows Server 2000 oder Wi
14. Clients ihren Sitzungsdatenstrom auszutauschen Peer to peer Bezieht sich bei Netviewer one2one nur auf den Sitzungsdatenstrom und meint dass zu dessen Austausch kein Kommunikationsservice ben tigt wird da die Netzwerktopologie eine direkte Verbindung zwischen Beraterprogramm und Teilnehmerprogramm erm glicht Schl ssel Symmetrischer Asymmetrischer Zeichenkette mit der Nachrichten anhand eines bestimmten Algorithmus so umkodiert werden dass sich die Originalnachricht nur mit Hilfe eines Schl ssels wiedergewinnen l sst Sind die Schl ssel zur Kodierung und zur Dekodierung dieselben spricht man von Symmetrischer Verschl sselung Bei Asymmetrischer Verschl sselung kommen unterschiedliche Schl ssel zum Einsatz Serverrechner Auf dem Serverrechner ist die Serversoftware Netviewer Standard Server eingerichtet Show Modus Modus w hrend einer Netviewer Sitzung in dem der Anwender von Netviewer one2one seinen Bildschirminhalt an den Sitzungspartner bertr gt Prozess Programm das gerade ausgef hrt wird ST_Netviewer_one2oneTS_v1 8 pdf Seite 125 von 132 U Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Signalisierung Signalisierung ist die Ubermittlung von Information zu Steuerungszwecken Hauptzweck beim Austausch von Signalisierungsinformationen bei Netviewer ist es die Verbindung zwischen den Clients herzustellen aufrecht zu halten und schlieBlich wieder abzubauen Sitzung Eine Sitzung bezeic
15. Die Daten die Beraterprogramm und Teilnehmerprogramm mit dem Standard Server austauschen werden ebenfalls mit Keyed Message Authentication Codes versehen Mit dieser Ma nahme ist die Integrit t Integrity der Daten gew hrleistet Die Sitzungspartner und die Clientkomponenten des EVGs authentifizieren sich gegen ber dem Vermittlungsservice Der Berater authentifiziert sich gegen ber dem Vermittlungsservice mit einem Benutzernamen und einem Passwort Der Teilnehmer authentifiziert sich mit der vom Berater erhaltenen Sitzungsnummer gegen ber dem Server Der Berater Administrator authentifiziert sich gegen ber dem Vermittlungsservice mit einem Benutzernamen und einem Passwort Identification amp Authentification Durch eine implementierte Zugriffsmethodik wird sichergestellt dass nur Rechte f r die Applikationen gew hrt werden die der einr umende Sitzungspartner in der Applikationsauswahl definiert hat Auf alle anderen Daten hat der berechtigte Sitzungspartner keinen Zugriff die nderung der Blickrichtung nur mit ausdr cklicher Zustimmung des einr umenden Sitzungspartners erfolgt durch die Fernsteuerungsrechte keine weiteren Rechte erworben werden k nnen w hrend einer Sitzung die Fernsteuerung nur mit ausdr cklicher Zustimmung des einr umenden Sitzungspartners erfolgen kann die Fernsteuerung einem Sitzungspartner nur einger umt werden kann wenn dieser sich im Watch Modus befindet Die Fernsteuerung kann n
16. Die Vertrauensw rdigkeitsstufe EAL2 bietet entsprechend Sicherheitsziel OE 9 f r diesen Schutzbedarf ein angemessenes Ma von Vertrauensw rdigkeit 8 2 4 Erkl rung der Sicherheitsanforderungen an die IT Umgebung 8 2 4 1 Zuordnung der Sicherheitsanforderungen an die IT Umgebung zu den Sicherheitszielen In der folgenden Tabelle 13 wird f r jede identifizierte Sicherheitsanforderung an die IT Umgebung aufgezeigt zu welchen Sicherheitszielen sie beitr gt Sicherheitsanforder Sicherheitsziel ung an die IT Umgebung FCS_CKM 1 Env Erreichung von OE IT 1 OE IT 2 FPT_ITT 1 Erreichung von OE IT 1 OE IT 3 FCS_COP 1 PRNG Erreichung von OE IT 2 Tabelle 13 Zuordnung der Sicherheitsanforderungen an die IT Umgebung zu den Sicherheitszielen ST_Netviewer_one2oneTS_v1 8 pdf Seite 116 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Die Ziele OE IT 1 und OE IT 2 werden durch die Anforderung FCS_CKM 1 Env erreicht weil dieses die Generierung kryptographisch sicherer Zufallszahlen OE IT 2 und zwar gem SSL und RFC2246 fordert OE IT 1 Die Ziele OE IT 1 und OE IT 3 werden durch die Anforderung FPT_ITT 1 erreicht weil das in SSL und RFC2246 spezifizierte Verfahren die Integrit t Authentizit t und Vertraulichkeit der transportierten durch Verschl sselung Daten sicherstellt Das Ziel OE IT 2 wird durch die Anforderung FCS_COP 1 PRNG erreicht diese die Erzeugung kryptographisc
17. EVG e TN VS Anmeldung des Teilnehmers e BeraterAdmin Benutzermanager Anmeldung des Berater Administrators FCS_CKM 1 Com Cryptographic key generation symmetric key communication FCS_CKM 1 1 The TSF shall generate cryptographic keys in accordance with a specified cryptographic key generation algorithm AES or blowfish and specified cryptographic key sizes of at least 128 bit that meet the following AES or BLOWFISH Application Notes Es wird der symmetrische Schl ssel betrachtet der beim Datenstromaustausch zwischen Berater und Teilnehmer verwendet wird Der Schl ssel wird vom Vermittlungsservice generiert und w hrend der Signalisierung an die Clients bermittelt Die verwendeten Algorithmen mit der dazugeh rigen Schl ssell nge sind in den Konfigurationsdateien der Serverkomponente ServerData dat und ContractData dat definiert FCS_CKM 2 Com Cryptographic key distribution iteration symmetric key communication FCS_CKM 2 1 The TSF shall distribute cryptographic keys in accordance with a specified cryptographic key distribution method negotiate the symmetric key that meets the following uses httpsRpc and ssl Application Notes Der symmetrische Schl ssel f r den Datenaustausch zwischen Berater und Teilnehmer wird w hrend der Signalisierung von dem Vermittlungsservice an den Berater und den Teilnehmer im Rahmen des propriet ren httpsRpc Protokolls integer durch httpsRpc und vertraulich durch SSL
18. EVG 14 09 2009 netviewer Initial NVServer_users txt 7 Textdatei SSLswitch Konfigurationsdatei individuell Ja Vorlage SSLswitch xml 8 Textdatei Allgemeine Konfiguration f r Standard Server individuell Ja Vorlage ServerSettings ini 9 Bin rdatei Kundenspezifische Konfiguration f r Standard Server individuell Ja ServerData dat 10 Bin rdatei Kundenspezifische Konfiguration der Clientprogramme individuell Ja ContractData dat 11 PDF Netviewer one2one gt Benutzerhandbuch 1 4 Ja Dokument 12 PDF Netviewer Standard Server Administratorhandbuch 1 4 Ja Dokument Tabelle 1 Auslieferungsbestandteile des EVG Mit dem EVG wird die Anwendung Netviewer NetPlayer ausgeliefert die das Abspielen von Sitzungsaufzeichnungen erlaubt Der Netviewer NetPlayer stellt keine Sicherheitsfunktion des EVG dar ST_Netviewer_one2oneTS_v1 8 pdf Seite 8 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 2 3 Anordnung und Benennung der Teile des EVG Die folgende Grafik zeigt die Anordnung der Programme des EVG im Wirkbetrieb Insbesondere sind die in diesem Dokument verwendeten Bezeichnungen den EVG Programmen und Komponenten zugeordnet SSLswitch exe NVStandardServer exe Internet NV_020_Berater_DE exe L NV_o20_Teilnehmer_DE exe i Abbildung 1 Bezeichnungen der Komponenten des EVGs Netvie
19. Einarbeitung der Reviewbemerkungen Netviewer Einarbeitung der nderungen gem Herstellerdokumentation berarbeitung der Sicherheitsfunktionen 0 6 1 2007 06 01 IS Einarbeitung von Korrekturen von mtG und Netviewer intern 0 7 2007 07 11 IS Einarbeitung verschiedener Korrekturen finaler Stand f r Evaluierungsphase 0 7 1a 2007 07 13 SF Einarbeitung der Ergebnisse aus dem Gespr ch mit Herrn Dr Sch ller BSI vom ST_Netviewer_one2oneTS_v1 8 pdf Seite 130 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 12 07 2007 In der vorliegenden Version handelt es sich um einen Vorschlag wie der Konfigurator Teil des Auslieferungsverfahrens betrachtet wird Der Konfigurator findet daher in diesem Dokument keine weitergehende Ber cksichtigung 0 7 28 IS berarbeitung und Vorlage BSI zur Abnahme 0 7 3 2007 10 22 SF berarbeitung der ST gem Anforderungen des BSI 0 8 2008 02 29 SF berarbeitung gem dem von Netviewer beim BSI vorgelegtem Konzeptpapier vom 01 02 2008 0 8 1 2008 03 03 SF Einpflegen der von Netviewer AG bereit gestellten berarbeiteten EVG Beschreibung und weitere berarbietung gem dem Konzeptpapier 0 9 2008 03 03 IS Korrektur der von mtG gelieferten berarbeitung des ST Version wird beim BSI zur Vorpr fung eingereicht 0 9 1 0 2008 03 17 IS berarbeitung hinsichtlich der vom BSI am 18 01 2008 geliefe
20. Integrity 2 Die Sicherheitsziele O Auth 2 OE 11 und OE 19 sind damit geeignet der Bedrohung f r T Integrity 2 zu entgegnen Die Bedrohung T Integrity 3 behandelt Angriffe bei denen ein Angreifer unbemerkt Signalisierungsdaten manipuliert die zwischen den EVG Clientkomponenten und der Serverkomponente ausgetauscht werden In dem Sicherheitsziel O Integrity 2 ist definiert dass die zwischen den EVG Komponenten bermittelten Signalisierungsdaten integer sind Dieses Sicherheitsziel ist also hinreichend f r T Integrity 3 Die Bedrohung T Integrity 4 behandelt Angriffe bei denen ein Angreifer unautorisiert den Benutzermanager bedient um die Benutzerdatei zu editieren ST_Netviewer_one2oneTS_v1 8 pdf Seite 98 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer In dem Sicherheitsziel O AUTH 3 ist definiert dass ausschlieBlich authentifizierte Berater Administratoren mit Hilfe des Benutzermanagers die Benutzerdatei verwalten k nnen Dieses Sicherheitsziel ist also hinreichend f r T Integrity 4 Die Bedrohung T Client Rights 1 behandelt Angriffe in denen der autorisierte Benutzer Rechte erlangt die der einr umende Sitzungspartner nicht in diesem Umfang definiert hat oder ohne dass der einr umende Sitzungspartner Wissen hiervon erlangt hat In dem Sicherheitsziel O Rights 1 wird definiert dass die nderung der Blickrichtung w hrend einer Sitzung nur mit ausdr cklicher Zustimmung des einr umenden Sitzungspartne
21. Rahmen der Blickrichtungs nderung ber die Applikationswahl definiert wurden Die Fernsteuerungsrechte k nnen jederzeit durch Bet tigen einer Taste von dem einr umenden Sitzungspartner entzogen werden F11 Taste W hrend einer Sitzung kann die Funktion Dateitransfer per Drag amp Drop nur mit ausdr cklicher Zustimmung des Sitzungspartners benutzt werden kann der die Funktion nicht initiiert hat Die einger umten Fernsteuerungsrechte beziehen sich nur auf Fenster von Applikationen die der Einr umende Sitzungspartner in der Applikationswahl Schublade freigegeben hat Der EVG bietet dem Benutzer folgende Funktionalit t an Die Fernsteuerungsrechte k nnen vom Sitzungspartner im Watch Modus angefordert werden Der einr umende Sitzungspartner muss die Fernsteuerungsrechte darauf hin explizit erteilen Zustimmungsdialog Fordert der Berater eine Systemdiagnose des Systems des Teilnehmers durchzuf hren so geschieht dies nur mit Zustimmung seines Sitzungspartners FDP_ACC 1 SessData und FDP_ACF 1 SessData setzen die Zugriffspolitiken ACCESS Session Data durch Diese Zugriffspolitiken setzen das zuvor aufgef hrte Sicherheitsziel um Das Sicherheitsziel O Server Cfg 1 definiert dass die Konfigurationsdateien auf der Serverkomponente nur dann eingelesen werden wenn sie integer sind FDP_ACC 1 CfgData und FDP_ACF 1 CfgData in der Iteration f r die Konfigurationsdateien ServerData dat und ContractData dat
22. Signalisierung erfolgt unterst tzt ber die IT Umgebung Uber SSL FPT_ITT 1 FPT_ITT 1 1 FCS_COP 1 PRNG FCS_COP 1 1 Basic internal TSF data transfer protection The IT environment shall protect TSF data from disclosure modification when it is transmitted between separate parts of the TOE Cryptographic operation pseudo number generation The IT environment shall perform random number generation in accordance with a specified cryptographic algorithm given in DSS appendix 3 1 with SHA 1 as function G and cryptographic key sizes 160 bit that meet the following requirements given in DSSJ Application Notes Der EVG nutzt eine von dem Betriebssystem des Servers zur Verf gung gestellte Funktionalit t zur Erzeugung von Zufallszahlen 5 5 Sicherheitsanforderungen an die Nicht IT Umgebung Es werden die folgenden Sicherheitsanforderungen an die Nicht IT Umgebung formuliert ANF1 Die Serverkomponente des EVG wird in einem Serverraum einer Beh rde oder eines Unternehmens betrieben Durch geeignete technische und organisatorische MaBnahmen ist sichergestellt dass nur Administratoren der Serverkomponente kontrollierten Zugang zum Buro bzw Arbeitsplatz haben dass nur Administratoren der Serverkomponente Zugriff auf andere 4 Verfeinerung TSF gt IT environment 88 selection disclosure modification gt disclosure modification 33 Verfeinerung TSF gt IT environment as
23. Tunnel ausgeliefert assignment cryptographic key generation algorithm 10 assignment cryptographic key size 11 assignment list of standards 12 Die Konfigurationsdateien der Serverkomponente liegen in Bin rformat vor und k nnen von den Anwendern nicht ge ndert werden Die Integrit t der Konfigurationsdateien wird durch HMAC Sicherung sicher gestellt 13 assignment cryptographic key generation method 14 assignment list of standards ST_Netviewer_one2oneTS_v1 8 pdf Seite 69 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer FCS_COP 1 Com Cryptographic operation iteration symmetric key communication FCS_COP 1 1 The TSF shall perform encrypt user data in accordance with a specified cryptographic algorithm AES or blowfish and specified cryptographic key sizes at least 128 bit that meet the following standards AES or BLOWFISH Application Notes Der symmetrische Schl ssel wird f r den vertraulichen Datenaustausch zwischen Berater und Teilnehmer verwendet FCS_COP 1 SigMac Cryptographic operation iteration mac signalization FCS_COP 1 1 The TSF shall perform MAC generation and verification in accordance with a specified cryptographic algorithm HMAC SHA 1 967 and specified cryptographic key sizes 160 bit that meet the following RFC2104 and RFC2404 Application Notes Der hier aufgef hrte Algorithmus kommt im Rahmen des propriet ren Protokolls httpsRpc zur Anwendung
24. diese ausgehandelt werden gem HttpsRpc FCS_COP 1 Com behandelt die kryptographische Operation des symmetrischen Verschl sselns beim Austausch des Sitzungsdatenstroms FDP_ITT 1 fordert dass die Vertraulichkeit der Benutzerdaten bei der bermittlung zwischen den verschiedenen Komponenten erhalten bleibt Das Sicherheitsziel O Privacy 2 definiert dass die Anzahl der Sitzungspartner auf zwei beschr nkt ist FDP_ACC 1 SessData legt die Zugriffsrechte der Subjekte Einr umender Sitzungspartner und Berechtigter Sitzungspartner fest Dies sind genau zwei Sitzungspartner ST_Netviewer_one2oneTS_v1 8 pdf Seite 108 von 132 U Sicherheitsvorgaben zum EVG 14 09 2009 netviewer FDP_ACF 1 SessData legt die Zugriffsrechte der Subjekte Einr umender Sitzungspartner und Berechtigter Sitzungspartner fest Dies sind genau zwei Sitzungspartner Das Sicherheitsziel O Integrity 1 definiert dass der zwischen den Sitzungspartnern ausgetauschte Sitzungsdatenstrom integer ist unabh ngig davon ob zum Austausch ein Kommunikationsservice benutzt wird oder nicht FCS_COP 1 ComMac behandelt die kryptographische Operation der Hashwertberechnung beim Austausch des Sitzungsdatenstroms FDP_ITT 1 fordert dass die Integrit t der Benutzerdaten bei der bermittlung zwischen den verschiedenen Komponenten erhalten bleibt Das Sicherheitsziel O Integrity 2 definiert dass der zwischen den EVG Komponenten bermittelte Signalisierungsdaten int
25. im Folgenden n her erl utert werden e Die Clientprogramme des EVG m ssen nicht installiert werden sie bestehen aus einer direkt ausf hrbaren exe Datei welche sofort einsatzbereit ist und keine Installation erfordert Die Serverkomponenten m ssen vom Betreiber installiert und konfiguriert werden e Der EVG wird vor der Auslieferung individuell f r jeden einzelnen Kunden von der Netviewer AG konfiguriert und kompiliert Die einzelnen Instanzen des EVG weisen daher in begrenztem Umfang unterschiedliche Eigenschaften auf Diese variablen Eigenschaften der Software beeinflussen nicht die Sicherheitsfunktionen des EVG Ebenso bleiben die EVG Identifikationsmerkmale von der kundenindividuellen Konfiguration unber hrt Die Versionsnummer der Hersteller Netviewer AG sowie der Signaturgeber Netviewer AG der digitalen Signaturen der ausf hrbaren Dateien sind bei allen ausgelieferten EVG Instanzen dieselben Genauer Beschreibungen dazu finden sich in Tabelle 3 in Kapitel 2 13 und dem Benutzerhandbuch welches auch vor Sitzungsaufbau aus dem Startdialog der Clientprogramme zug nglich ist Weitere Informationen zur Konfiguration von Netviewer one2one enth lt das Kapitel 2 13 e Die Basis aus der jede individuelle Instanz des EVG erstellt wird ist stets dieselbe e Es k nnen jeweils nur eine bestimmte Instanz der Clientsoftware und eine bestimmte Instanz der Serversoftware miteinander kommunizieren Clientprogramme eines Kunden k nnen
26. im Protokoll PingPong Zeile 3 in Tabelle 2 in Kapitel 2 9 2 statt Dabei kommt entweder das Blowfish Verschl sselungsverfahren BLOWFISH oder das AES Verschl sselungsverfahren AES zum Einsatz 4 Der Austausch des Sitzungsdatenstroms kann optional ber den Kommunikationsservice erfolgen ST_Netviewer_one2oneTS_v1 8 pdf Seite 86 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer SF DP 2 Der Schliissel sym_communication wird vom Vermittlungsservice fiir jede Sitzung neu generiert und vertraulich und integer an die Clientprogramme der berechtigten Sitzungspartner bermittelt Dies gilt auch f r alle anderen Signalisierungsdaten SF DP 3 Der Austausch des Sitzungsdatenstromes zwischen Berater und Teilnehmer erfolgt optional ber einen Kommunikationsservice Der Kommunikationsservice leitet den Sitzungsdatenstrom ausschlie lich weiter und hat keinen Zugriff auf die zur Sicherung eingesetzten Schl ssel Daher kann er die Inhalte der Kommunikation nicht lesen und nicht ver ndern Die Sicherheitsfunktion SF DP erf llt die folgenden funktionalen Sicherheitsanforderungen FCS_CKM 1 Com FDP _ITT 1 SEDP OPT EEE 6 1 2 SF I amp A Identification amp Authentification SF I amp A 1 Der Berater authentifiziert sich mit Benutzername Passwort bei dem Vermittlungsservice Die Eingabe des Passwortes erfolgt maskiert in dem Eingabefeld werden Sternchen anstatt des Passwortes angezeigt Wird das Beraterpasswort
27. integer gespeichert wird Im Sicherheitsziel OE IT 1 ist definiert dass die SSL Implementierung des Betriebssystems auf dem die Serverkomponenten und die Clientprogramme ausgef hrt werden spezifikationsgem TLS 1 0 RFC2246 oder SSL 3 0 SSL3 arbeitet Die Sicherheitsziele OE 20 und OE IT 1 sind damit geeignet der Bedrohung f r T Server Cfg 2 zu entgegnen 8 1 4 Erf llung der Sicherheitspolitiken Aus der Tabelle 10 ist ersichtlich dass jede Sicherheitspolitik von mindestens einem Sicherheitsziel adressiert wird Die Gesamtheit der Sicherheitspolitiken ist also vollst ndig abgedeckt Nachweis f r jede Sicherheitspolitik im Einzelnen Die Politik P Datenschutz Einhaltung der datenschutzrechtlichen Bestimmungen legt fest dass auf dem Server datenschutzrechtliche Bestimmungen eingehalten werden Dies entspricht dem Sicherheitsziel OE 2 Dieses Sicherheitsziel ist also hinreichend f r P Datenschutz 8 1 5 Ber cksichtigung der Annahmen Aus der Tabelle 10 ist ersichtlich dass jede Annahme von mindestens einem Sicherheitsziel adressiert wird Die Gesamtheit der Annahmen ist also vollst ndig abgedeckt ST_Netviewer_one2oneTS_v1 8 pdf Seite 100 von 132 U Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Nachweis f r jede Annahme im Einzelnen Die Annahme A USE 1 behandelt eine Vorgabe bei der zugrunde gelegt wird dass die mit dem EVG zu verarbeitenden Daten einen niedrigen Schutzbedarf besitzen D
28. muss der Berater Administrator nun dem Benutzer vertraulich zukommen lassen Geeignet ist hier eine pers nliche bermittlung per verschl sselter E Mail oder per Post Der Berater Administrator wird im Netviewer Standard Server Administratorhandbuch auf diese Notwendigkeit hingewiesen Wenn sich der Berater mit seinem Benutzernamen und seinem initialen Passwort zum ersten Mal beim Beraterprogramm anmeldet muss er das neu erstellte Konto zun chst aktivieren Dazu muss er im Beraterprogramm das initiale Passwort durch ein pers nliches Passwort ersetzen Das Beraterprogramm pr ft das gew hlte Passwort auf ausreichende Qualit t Das Passwort muss eine Mindestl nge von acht Zeichen haben jeweils mindestens einen Gro buchstaben einen Kleinbuchstaben und eine Ziffer enthalten und unterschiedlich vom vorherigen Passwort sein Erst nach der Aktivierung erh lt der Berater Zugriff auf das Beraterprogramm Eine unzul ssige Nutzung eines Kontos mittels des initialen Passwortes ist damit ausgeschlossen Der Berater kann sein Passwort jederzeit ndern wenn er ber das aktuelle Passwort verf gt Auch bei einer sp teren nderung wird das Passwort auf die oben genannten Qualit tskriterien hin berpr ft Der Berater Administrator kann das personalisierte Passwort eines Beraters jederzeit auf ein neu generiertes initiales Passwort zur cksetzen wodurch der Berater wieder ST_Netviewer_one2oneTS_v1 8 pdf Seite 34 von 132 Sicherheit
29. ngigkeiten zur laufenden Nummer 5 der Tabelle 12 Die Abh ngigkeit der funktionalen Sicherheitsanforderung FCS_COP 1 FCS_COP 1 ComMac behandelt den kryptographischen Betrieb f r die Berechnung des HMAC keyed hash message authentication code zur Integrit tssicherung des Datenstromsaustauschs zwischen Berater und Teilnehmer HMAC ist eine Hashfunktion die den Hashwert mit Hilfe eines Schl ssels berechnet Der Schl ssel wird im Rahmen der Signalisierung ausgehandelt Nach Beendigung der Session ist der Schl ssel nicht mehr g ltig eine Zerst rung des Schl ssels wie sie bei der funktionalen Sicherheitsanforderung FCS_CKM 4 gefordert wird ist nicht notwendig Da der Schl ssel nur tempor r verwendet wird sind Anforderungen an den sicheren Zustand des Schl ssels nicht notwendig Nach ST_Netviewer_one2oneTS_v1 8 pdf Seite 114 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Beendigung der Session ist der symmetrische Schl ssel nicht mehr g ltig ein Management des Schl ssels ist nicht notwendig Nicht erf llte Abh ngigkeiten zur laufenden Nummer 9 der Tabelle 12 Die Abh ngigkeit der funktionalen Sicherheitsanforderung FDP_ACF 1 SessData zu FMT_MSA 3 wird nicht erf llt FMT_MSA 3 fordert dass die Initialisierung mit Standardwerten von Sicherheitsattributen sicherstellt dass diese angemessen einschr nkend oder zulassend sind Die in FDP_ACF 1 SessData genannten Sicherheitsattribute sind aber nicht durch
30. nicht mit Clientprogrammen oder Serverkomponenten eines anderen Kunden zusammenarbeiten 2 6 Clientprogramme von Netviewer one2one Bei den Clientprogrammen von Netviewer one2one wird unterschieden zwischen dem Beraterprogramm welches das Initiieren einer one2one Sitzung erm glicht und dem Teilnehmerprogramm welches den Eintritt in eine initiierte Sitzung erm glicht Die Clientprogramme bestehen auf Berater und Teilnehmerseite aus einer ausf hrbaren exe Datei 2 6 1 Wichtige Einsatzszenarien Netviewer one2oneTS Die wichtigsten Einsatzszenarien Netviewer one2one sind Support und Fernwartung sowie der Vertrieb Support und Fernwartung Die St rken des Produkts Netviewer one2one iegen in den Anwendungsbereichen Support und Fernwartung Die Bandbreite reicht vom Anwenderfehler ber Hilfe beim Ausf llen von Formularen bis hin zur Neuinstallation eines bestimmten Programms ST_Netviewer_one2oneTS_v1 8 pdf Seite 11 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Hilfe per Fernsteuerung Gerade kleine versteckte Fehler erfordern viele R ckfragen und Beschreibungen zwsichen Hifesuchendem und dem Supportmitarbeiter Netviewer one2one erlaubt dem Supportmitarbeiter den direkten Blick auf den Bildschirm des Hilfesuchenden so dass der Supportmitarbeiter der Berater schnell erkennt was das Problem ist und kann seinen internen oder externen Kunden zur richtigen L sung lotsen oder per Fernsteuerung selbs
31. the Berater Administrator has to change the password Management of security attributes The TSF shall enforce the ACCESS Config User Data to restrict the ability to modify delete the security attributes login and password Berater to Berater Administrator Specification of Management Functions The TSF shall be capable of performing the following security management functions Bearbeiten der Benutzerdatei Security roles Berater Administrator The TSF shall maintain the roles Berater Administrator The TSF shall be able to associate users with roles 73 Tassignment list of user security attributes 74 assignment rules for the initial association of attributes 75 assignment rules for the changing of attributes 76 assignment access control SFP information flow control SFP 77 selection change_default query modify delete assignment other operations gt modify delete 78 assignment list of security attributes 7 assignment the authorised identified roles 8 assignment list of security management functions to be provided by the TSF 81 assignment the authorised identified roles ST_Netviewer_one2oneTS_v1 8 pdf Seite 80 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer FPT_ITT 1 Basic internal TSF data transfer protection FPT_ITT 1 1 The TSF shall protect TSF data from modification when it is transmitted between separate parts of the TOE 5 2 Anforderu
32. und RFC2404 zur Integrit tssicherung ausgestattet Diese Integrit tspr fung findet im Protokolle HttpsRpc Zeile 2 in Tabelle 2 in Kapitel 2 9 2 statt Das zur Integrit tspr fung verwendete Shared Secret wird integer und vertraulich ber das Protokoll HttpsRpc ber SSL Zeile 2 und Zeile 5 in Tabelle 2 in Kapitel 2 9 2 ausgehandelt ST_Netviewer_one2oneTS_v1 8 pdf Seite 90 von 132 netviewer Sicherheitsvorgaben zum EVG 14 09 2009 Die Sicherheitsfunktion SF I erf llt die folgenden funktionalen Sicherheitsanforderungen ee ee FCS COP 1 SigMac FCS _COP 1 ComMac FDP _ITT 1 PTa l a 6 2 Sicherheitsfunktionen die auf Wahrscheinlichkeits oder Permutationsverfahren beruhen Die folgende Tabelle f hrt die Sicherheitsfunktionen auf welche auf Wahrscheinlichkeits oder Permutationsverfahren beruhen Sicherheitsfunktionen Verfahren Algorithmus St rke SF DP 1 Blockchiffre CBC AES AES 128 bis 256 Bit siehe AES Algorithmus Blockchiffre CBC Blowfish 128 bis 256 Bit BLOWFISH SF CD 1 SF I 1 SF I 2 HMAC HMAC SHA1 96 Bit 96 RFC2104 RFC2404 siehe HMAC Verfahren Kryptographischer SHA 1 160 Bit plash RFC3174 SF I amp A 5 Kryptographischer RipeMD 256 256 Bit Mann RIPEMD SF I amp A 1 SF I amp A 2 Shared Secret Beraterpasswort SF I amp A 3 47 Bit In 62 8 In2 Sitzungsnummer 30 Bit In 10 9 In2 Programm schl ssel 128 Bit
33. und dem Kommunikationsservice oder direkt zwischen Beraterprogramm und Teilnehmerprogramm Peer to peer Modus Im ersten Fall werden vom Kommunikationsservice genau zwei PPT Verbindungen miteinander verbunden im Peer To Peer Modus existiert genau eine PPT Verbindung In beiden F llen existiert genau eine PingPong Verbindung ST_Netviewer_one2oneTS_v1 8 pdf Seite 26 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 2 11 1 Kommunikation ber den Kommunikationsservice Die Ubermittlung des Sitzungsdatenstroms erfolgt Uber den Kommunikationsservice falls ein direkter TCP Verbindungsaufbau zwischen Berater und das Teilnehmerprogramm Peer to peer nicht m glich ist Dies kann z B folgende Gr nde haben e Die Client Komponenten befinden sich nicht im selben Intranet und k nnen daher nur ber das Internet eine Verbindung aufbauen e Die Client Komponenten befinden sich im selben Intranet die ben tigten Ports f r die direkte Verbindung sind jedoch gesperrt Das Teilnehmerprogramm sendet verschl sselt das erste PPT Datenpaket an den Kommunikationsservice der dieses an das Beraterprogramm weiterleitet Die verschl sselte Verbindung zwischen Berater und Teilnehmer ist daraufhin aufgebaut Daten k nnen nun in beide Richtungen verschl sselt ber den Kommunikationsservice ausgetauscht werden Das Berater und das Teilnehmerprogramm senden die auszutauschenden Daten als Anfrage an den Kommunikationsservice Als Antwort gi
34. verify that secrets meet Passwort Policy FIA_SOS 1 Berater Administrator Passwort Verification of secrets iteration Berater Administrator Passwort FIA_SOS 1 1 The TSF shall provide a mechanism to verify that secrets meet Passwort Policy FIA_UAU 1 Berater VS Timing of authentication Berater VS FIA_UAU 1 1 The TSF shall allow to negotiate the authentification method on behalf of the user to be performed before the user is authenticated FIA_UAU 1 2 The TSF shall require each user to be successfully authenticated before allowing any other TSF mediated actions on behalf of that user Application Notes Der Berater Benutzer authentifiziert sich mittels Login und Passwort mit Hilfe des Beraterprogramms Subjekt bei dem Vermittlungsservice Die Benutzer Subjekt Bindung und damit mittelbar die Authentisierung der Clientkomponente wird mit FIA_USB 1 formuliert Die Eingabe des Passwortes erfolgt maskiert mit Sternen dies ist mit FIA_UAU 7 formuliert FIA_UAU 1 TN VS Timing of authentication iteration TN VS FIA_UAU 1 1 The TSF shall allow to negotiate the authentification method on behalf of the user to be performed before the user is authenticated FIA_UAU 1 2 The TSF shall require each user to be successfully authenticated before allowing any other TSF mediated actions on behalf of that user assignment a defined quality metric gt assignment a defined quality metric 8 assignment list of
35. vollstandig abgedeckt Nachweis fiir jede Bedrohung im Einzelnen Die Bedrohung T Cient Auth 1 behandelt Angriffe bei denen unautorisierte Personen in eine Sitzung eintreten und so unberechtigten Zugriff auf Daten der Sitzungspartner haben In dem Sicherheitsziel O Auth 1 wird definiert dass nur autorisierte Benutzer als Teilnehmer in eine Sitzung eintreten Dieses Sicherheitsziel ist also hinreichend f r T Client Auth 1 ST_Netviewer_one2oneTS_v1 8 pdf Seite 96 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Die Bedrohung T Cient Auth 2 behandelt Szenarien in denen unautorisierte Personen die Sitzung als Berater er ffnet und so unberechtigten Zugriff auf Daten des Sitzungspartners erlangt In dem Sicherheitsziel O Auth 1 wird definiert dass nur autorisierte Benutzer als Teilnehmer in eine Sitzung eintreten Dieses Sicherheitsziel ist also hinreichend f r T Client Auth 2 Die Bedrohung T Berater Log 1 behandelt Angriffe bei denen ein Angreifer unberechtigt Verbindungsdaten bei der Clientkomponente des EVG liest oder manipuliert In dem Sicherheitsziel OE 9 wird definiert dass die Verbindungsdaten der Clientkomponente des EVG integer und vertraulich sind Dieses Sicherheitsziel ist also hinreichend f r T Berater Log 1 Die Bedrohung T Server Log 1 behandelt Angriffe bei denen ein Angreifer unberechtigt Verbindungsdaten bei der Serverkomponente des EVG liest oder manipuliert In dem Sicherheitsziel OE 10 wi
36. A_UAU 4 fordert dass der Autorisierungsmechanismus nur einmal erbracht wird Die ist bei der Authentifizierung des Teilnehmers gegen ber dem Vermittlungsservice der Fall Jede Sitzungsnummer wird nur einmal verwendet SF I amp A 2 FIA_UAU 7 Berater und FIA_UAU 7 BeraterAdmin fordern dass eine gesch tzte Authentisierungsr ckmeldung bereitgestellt wird Diese funktionale Sicherheitsanforderung unterst tzt die Sicherheitsfunktion SF I amp A 1 und SF I amp A 7 FIA_UID 1 Berater VS FIA_UID 1 TN VS und FIA_UID 1 BeraterAdmin Benutzermanager fordern dass vor der Identifizierung keine Aktion m glich ist Diese funktionalen Sicherheitsanforderungen unterst tzen daher die Sicherheitsfunktion SF I amp A 4 FMT_MSA 1 fordert die geregelte Verwaltung von Sicherheitsattributen Sicherheitsattribut ist in diesem Fall der Login und das Passwort des Beraters das in der Benutzerdatei verwaltet wird Durch die Verwaltung der Login Daten wird die Sicherheitsfunktion SF I amp A insbesondere SF I amp A 5 und SF I amp A 7 unterst tzt ST_Netviewer_one2oneTS_v1 8 pdf Seite 121 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer FMT_SMF 1 fordert das Management von Benutzername und Passwort des Beraters durch Bearbeiten der Benutzerdatei Dies entspricht der Sicherheitsfunktion Identification amp Authentification SF I amp A 7 FMT_SMR 1 fordert die Rolle Berater Administrator Diese ist in der Sicherheitsfunktion Identificati
37. Benutzer oder einer anderen vertrauensw rdigen Person Administrator der Clientumgebung gewissenhaft umsichtig und verantwortungsbewusst durchgef hrt wird und damit den sicheren Betrieb des EVG gew hrleistet Durch die Administration ist insbesondere sicher gestellt eine gesicherte Konfiguration der PCs und der Netzinfrastruktur ausgegangen Dazu z hlen der Einsatz von aktuellen Virenscannern sowie die sichere Konfiguration von Firewalls auf den PCs bzw innerhalb der jeweiligen Netzinfrastruktur ST_Netviewer_one2oneTS_v1 8 pdf Seite 101 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Dies entspricht exakt dem Ziel OE 4 Die Annahme A PER 2 behandelt eine Vorgabe bei der zugrunde gelegt wird dass die Administration der Serverkomponente des EVG und der zugrunde liegende Systemumgebung durch mindestens eine kompetente und vertrauensw rdige Person durchgef hrt wird Systemadministratoren nehmen ihre Aufgaben gewissenhaft umsichtig und verantwortungsbewusst wahr Durch die Administration ist insbesondere sicher gestellt eine gesicherte Konfiguration der PCs und der Netzinfrastruktur ausgegangen Dazu z hlen der Einsatz von aktuellen Virenscannern sowie die sichere Konfiguration von Firewalls auf den PCs bzw innerhalb der jeweiligen Netzinfrastruktur eine regelm ige Aktualisierung der eingesetzten Software und des Betriebssystems zur Behebung von Sicherheitsl cken eine regelm ige Sicherung d
38. Erstellung fallen die Konfigurationsparameter hinsichtlich der nderbarkeit in drei verschieden Kategorien e Anderbar Die Konfigurationsdateien serversettings ini und SSLswitch xml sind vom Server Administrator nderbar und werden beim Programmstart eingelesen e Austauschbar Die Konfigurationsdateien ContractData dat und ServerData dat k nnen durch vom Konfigurator neu erstellte Dateien ausgetauscht werden e Unver nderlich Die Konfigurationsparameter die in den signierten ausf hrbaren Dateien des EVGs Beraterprogramm Teilnehmerprogramm Standard Server enthalten sind sind nur durch Austausch der umschlie enden ausf hrbaren ST_Netviewer_one2oneTS_v1 8 pdf Seite 37 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Dateien ver nderbar Bezogen auf ein bestimmtes Exemplar einer ausf hrbaren Datei sind diese Konfigurationsparameter also unver nderlich 2 13 3 Auslieferung Auslieferung des Gesamtsystems an den Kunden Die Auslieferung des kompletten EVGs s Kapitel 2 durch die Netviewer AG an den Kunden der das Produkt bestellt und erworben hat erfolgt per Postsendung Der Delivery Mitarbeiter der f r die Auslieferung zust ndig ist pr ft dabei ob die f r einen bestimmten Kunden erstellten Programme auch an den entsprechenden Kunden gesendet werden Die Postsendung wird direkt an den vom Kunden zuvor namentlich genannten Netviewer Server Administrator gesendet S mtliche Komponenten exe Text Bi
39. P 3 FCS_COP 1 Com behandelt den kryptographischen Betrieb Der kryptographische Betrieb realisiert die Verschl sselung und damit unterst tzt FCS_COP 1 die Sicherheitsfunktion SF DP 1 FDP_ITT 1 fordert dass die Vertraulichkeit der Benutzerdaten bei der bermittlung zwischen den verschiedenen Komponenten erhalten bleibt Benutzerdaten ist der Sitzungsdatenstrom der in der Kommunikationsphase zwischen den Benutzern ausgetauscht wird Die Sicherheitsanforderung unterst tzt daher die Sicherheitsfunktion SF DP 1 SF I amp A FDP_ACC 1 UserData und FDP_ACF 1 UserData fordert den geregelten Zugriff auf die Daten in der Benutzerdatei gem der Zugriffspolitik ACCESS Config User Data In der Benutzerdatei werden Login und Passwort des Beraters verwaltet daher unterst tzen diese Sicherheitsanforderungen die Sicherheitsfunktion SF I amp A insbesondere SF I amp A 1 SF I amp A 4 SF I amp A 5 und SF I amp A 7 FIA_AFL 1 fordert dass nach dreimaliger falscher Eingabe des Beraterpasswortes oder der Sitzungsnummer der Rechner auf dem die Eingabe gemacht wurde f r 10 Minuten gesperrt wird FIA_AFL 1 unterst tzt daher SF I amp A 1 und SF I amp A 2 FIA_UAU 1 Berater VS FIA_UAU 1 TN VS und FIA_UAU 1 BeraterAdmin Benutzermanager fordern dass vor der Authentifizierung nur das Aushandeln der Authentifizierungsart m glich ist Diese funktionalen Sicherheitsanforderungen unterst tzen daher die Sicherheitsfunktion SF I amp A 4 FI
40. SF shall allow to negotiate the identification method on behalf of the user to be performed before the user is identified The TSF shall require each user to be successfully identified before allowing any other TSF mediated actions on behalf of that user 63 assignment list of feedback 64 assignment list of TSF mediated actions 65 assignment list of TSF mediated actions 66 assignment list of TSF mediated actions ST_Netviewer_one2oneTS_v1 8 pdf Seite 78 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer FIA_USB 1 Berater User subject binding iteration Beraterkomponente FIA_USB 1 1 The TSF shall associate the following user security attributes with subjects acting on the behalf of that user Beraterpasswort FIA_USB 1 2 The TSF shall enforce the following rules on the initial association of user security attributes with subjects acting on the behalf of users the Berater Administrator defines the initial password FIA_USB 1 3 The TSF shall enforce the following rules governing changes to the user security attributes associated with subjects acting on the behalf of users first time of use the Berater has to change the password FIA_USB 1 TN User subject binding iteration Teilnehmerkomponente FIA_USB 1 1 The TSF shall associate the following user security attributes with subjects acting on the behalf of that user Sitzungsnummer FIA_USB 1 2 The TSF shall enforce the following rules o
41. SITZUNGSDATENSTROMS usasunnnnennnnnunnnnnnnnnnnn 26 2 11 1 Kommunikation ber den Kommunikationsservice aunssenssonsnonnnonennnenen 27 2 11 2 Kommunikation ber eine Peer to peer Verbindung 2 424 s4Han nr 28 2 11 3 Sicherung des Sitzungsdatenstromes 24 urnranennan en nannnnannnnan nennen nenn 29 2 11 4 Zusammenspiel der EVG Komponenten unusnnsnnennennnnnnnnnnnnnnnnnnnennennennn 29 2 12 BENUTZERVERWALTUNG un cede cede sede sedve EENEN EUREEN ceca edvieeveeede sere dev ees 32 2 12 1 Initialer Berater ACMiniStratOr ccccecccanccncccanecunecunecnenanecenecanseanenanees 33 ST_Netviewer_one2oneTS_v1 8 pdf Seite 2 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 2 12 2 Funktionen f r den Berater Administrator ccccccccccccccccceeeccecccveneneseneungs 34 2 13 KONFIGURATION UND AUSLIEFERUNG VON NETVIEWER ONE2ONE cceceececececeeeeceees 35 241314 Konfiguration s seizes ereda ize csvvena inida NEETER EDT a aree 35 2 13 2 Konfigurationsdaten nach der Erstellung 424 44R4 n ran n nenn namen 37 2 13 3 Auslieferung aussah 38 2 13 4 Identifizierung einer Instanz von Netviewer one2one uunneeeneasseeeenenenn 39 2 14 BERSICHT UBER DIE SICHERHEITSFUNKTIONALIT T DES EVG ccccececececeeeecececeseaeas 40 3 EVG SICHERHEITSUMGEBUNG uuuunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 42 3 1 DEFINITION VON OBJEKTEN SUBJEKTEN UND ZUGRIFFSPOLITIKEN znnnnnnnnennnnnn
42. ST_Netviewer_one2oneTS_v1 8 pdf Seite 91 von 132 netviewer Sicherheitsvorgaben zum EVG 14 09 2009 SF I 2 KDF PKCS 12 gt 128 Bit PKCS12 SF DP 2 SF I 2 HttpsRpc SSL SSL3 gt 128 Bit Tabelle 9 Gegen berstellung der von den Sicherheitsfunktionen verwendeten Verfahren Algorithmen sowie der effektiven Starke ST_Netviewer_one2oneTS_v1 8 pdf Seite 92 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 6 3 Ma nahmen zur Vertrauensw rdigkeit Im Folgenden wird aufgezeigt welche Ma nahmen zur Sicherung der Vertrauensw rdigkeit in der Entwicklung getroffen wurden um die in den Common Criteria CC EAL2 spezifizierten Anforderungen an die Vertrauensw rdigkeit zu erf llen KOMPONENTEN BEZEICHNUNGEN Vertrauensw rdigkeitsklasse Konfigurationsmanagement ACM_CAP 2 Konfigurationsteile Vertrauensw rdigkeitsklasse Auslieferung und Betrieb ADO_DEL 1 Auslieferungsprozeduren ADO_IGS 1 Installations Generierungs und Anlaufprozeduren Vertrauensw rdigkeitsklasse Entwicklung ADV_FSP 1 Informelle funktionale Spezifikation ADV_HLD 1 Beschreibender Entwurf auf hoher Ebene ADV_RCR 1 Informeller Nachweis der bereinstimmung Vertrauensw rdigkeitsklasse Handb cher AGD_ADM 1 Administratorhandbuch AGD_USR 1 Benutzerhandbuch Vertrauensw rdigkeitsklasse Testen ATE_COV 1 Nachweis der Testabdeckung ATE_FUN 1 Funktionales Testen A
43. Setzt die Zugriffspolitik ACCESS Secure Config Data durch 8 2 1 2 Notwendigkeit der funktionalen Sicherheitsanforderungen Aus der Tabelle 8 ist ersichtlich dass jede funktionale Sicherheitsanforderung Komponente mindestens ein Sicherheitsziel adressiert Es gibt also zu einer Komponente keine leere Zeile 8 2 1 3 Ber cksichtigung der Sicherheitsziele Aus der Tabelle 8 ist ersichtlich dass jedes der identifizierten Sicherheitsziele von mindestens einer funktionalen Sicherheitsanforderung Komponente zumindest teilweise abgedeckt wird ST_Netviewer_one2oneTS_v1 8 pdf Seite 110 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 8 2 1 4 Erf llung der Abh ngigkeiten netviewer In der folgenden Tabelle 12 werden alle in den CC aufgef hrten Abh ngigkeiten zwischen den ausgew hlten funktionalen Sicherheitsanforderungen Komponenten und anderen funktionalen Komponenten aufgef hrt SFR Abh ngigkeit Kommentar 1 FCS_CKM 2 or FCS_COP 1 Erf llt in 2 FCS_CKM 4 Nicht erf llt FMT_MSA 2 Nicht erf llt 2 FCS_CKM 2 Com FDP_ITC 1 or FDP_ITC 2 or Erf llt in 1 FCS_CKM 4 Nicht erf llt FMT_MSA 2 Nicht erf llt 3 FCS_COP 1 Com FDP_ITC 1 or FDP_ITC 2 or Erf llt in 1 FCS_CKM 1 FMT _MSA 2 Nicht erf llt 4 FCS_COP 1 SigMac FDP_ITC 1 or FDP_ITC 2 or Nicht erf llt FCS_CKM 1 FCS_CKM 4 Nicht erf llt FMT_MSA 2 Nicht erf llt 5 FCS_COP 1 FDP_ITC 1 or FDP_ITC 2 or Nicht erf llt ComMac FCS_CKM 1 FCS_CKM 4 Nich
44. Sitzung in dem der Anwender von Netviewer one2one den Bildschirminhalt des Sitzungspartners betrachtet ST_Netviewer_one2oneTS_v1 8 pdf Seite 127 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Anhang B Abk rzungen Die folgenden Abk rzungen werden in diesem Dokument benutzt CC EAL ECC EVG HMAC IT PP SOF SFR ST TOE TSF Common Criteria for Information Technology Security Evaluation Gemeinsame Kriterien f r die Pr fung und Bewertung der Sicherheit von Informationstechnik Evaluation Assurance Level Vertrauensw rdigkeitsstufe elliptic curve cryptosystem asymmetrisches Verschl sselungsverfahren Evaluationsgegenstand Target Of Evaluation TOE keyed hash message authentication code Der HMAC wird aus der Nachricht und einem geheimen Schl ssel mittels einer Hash Funktion berechnet Informationstechnik Protection Profile Schutzprofil Strength Of Function St rke der Funktionen Security Functional Requirements Security Target Sicherheitsvorgaben Target Of Evaluation Evaluationsgegenstand EVG TOE Security Functions EVG Sicherheitsfunktionen ST_Netviewer_one2oneTS_v1 8 pdf Seite 128 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Anhang C Referenzen Die folgenden Dokumente enthalten weitere Informationen AES BLOWFISH CC CC_P1 CC_P2 CC_P3 DSS PKCS12 RFC2246 RIPEMD RFC2104 RFC2404 RFC3174 SSL3 U S Go
45. TE_IND 2 Unabh ngiges Testen Stichprobenartig Vertrauensw rdigkeitsklasse Schwachstellenbewertung AVA_SOF 1 Starke der EVG Sicherheitsfunktionen AVA_VLA 1 Schwachstellenanalyse des Entwicklers ST_Netviewer_one2oneTS_v1 8 pdf Seite 93 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 7 PP Postulate Der EVG st tzt sich nicht auf ein Schutzprofil Protection Profile PP Daher wird f r den EVG kein PP Postulat abgegeben 7 1 PP Verweis Nicht zutreffend 7 2 PP Anpassung Nicht zutreffend 7 3 PP Erganzungen Nicht zutreffend ST_Netviewer_one2oneTS_v1 8 pdf Seite 94 von 132 ere netviewer Sicherheitsvorgaben zum EVG 8 Erklarung Dieses Kapitel Erkl rung ist unterteilt in die Unterkapitel e Erkl rung der Sicherheitsziele aus Kapitel 4 e Erkl rung der Sicherheitsanforderungen aus Kapitel 5 e Erkl rung der EVG bersichtsspezifikation aus Kapitel 6 e Erkl rung der PP Postulate aus Kapitel 7 8 1 Erkl rung der Sicherheitsziele 8 1 1 Zuordnung der Sicherheitsziele zur EVG Sicherheitsumgebung In der folgenden Tabelle wird f r jedes Sicherheitsziel f r den EVG und f r jedes Sicherheitsziel f r die Umgebung angegeben welche Bedrohungen abgewehrt werden sollen welche Sicherheitspolitiken erf llt werden sollen und welche Annahmen ber cksichtigt werden sollen Sicherheitsziel Bedrohung OSP Annahme kan O Auth 1 T Client Auth 2 O Auth 2 T Integrity 2 O A
46. TRAUENSWURDIGKEIT DES EVG ccscseseeeeeeeeeueeeueueueueueees 81 5 4 SICHERHEITSANFORDERUNGEN AN DIE IT UMGEBUNG ccccceceeeeueeeeeeeeueeeueueueeueeeeesnses 81 5 5 SICHERHEITSANFORDERUNGEN AN DIE NICHT IT UMGEBUNG ccceeseeeseeeeeueeeeeeeeeeeneees 82 6 EVG UBERSICHTSSPEZIFIKATION cccescecescecesceccececcececceceeceeeecueeeceeeseeeeeseeess 86 6 1 EVG SICHERHEITSFUNKTIONEN snnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nun 86 6 1 1 SF DP DataProtection nennsen ana anna 86 6 1 2 SF I amp A Identification amp Authentification uu2sssneen nennen nn nun nennen nennen 87 6 1 3 SF CD Config Data Protection una nun namen 89 6 1 4 SFSAC ACCESS Control ss cee turnirni nine REE namen nnd en nu en ee Eee 89 6 1 5 SFT INtegHity an anasanen heran 90 6 2 SICHERHEITSFUNKTIONEN DIE AUF WAHRSCHEINLICHKEITS ODER PERMUTATIONSVERFAHREN BERUHEN wistvacevactvasevan atccsvduutenetiu a A a Le a ae ee 91 6 3 MABNAHMEN ZUR VERTRAUENSWURDIGKEIT snnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nun 93 7 PP POSTULATE 0 0 4 00 0000 Hanna n an nn ann m an nn an an an na an an nn nam nn anna anna nn nn nn nnannnnn ann 94 Fil PP WERWEIS AS ee Dee ne ee 94 1 2 PPSANPASSUNG i ni ee 94 ST_Netviewer_one2oneTS_v1 8 pdf Seite 3 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 7 3 PP ERGANZUNGEN 0cvsecssescencntevaeestssdeaneetedeeettsct erensa sientbsavueaentaebeneseabeenesssdeers 94 8 ERKL RUNG sc sec
47. TSF mediated actions assignment list of TSF mediated actions ST_Netviewer_one2oneTS_v1 8 pdf Seite 76 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Application Notes Der Teilnehmer Benutzer authentifiziert sich mittels der Sitzungsnummer mit Hilfe des Teilnehmerprogramms Subjekt bei dem Vermittlungsservice Die Benutzer Subjekt Bindung und damit mittelbar die Authentisierung der Clientkomponente wird mit FIA_USB 1 formuliert F r jede Sitzung wird eine neue Sitzungsnummer verwendet dies wird mit FIA_UAU 4 formuliert FIA_UAU 1 BeraterAdmin Benutzermanager Timing of authentication iteration BeraterAdmin Benutzermanager FIA_UAU 1 1 The TSF shall allow to negotiate the authentification method on behalf of the user to be performed before the user is authenticated FIA_UAU 1 2 The TSF shall require each user to be successfully authenticated before allowing any other TSF mediated actions on behalf of that user Application Notes Der Berater Administrotor Benutzer authentifiziert sich mittels Login und Passwort mit Hilfe des Benutzermanagers Subjekt bei dem Vermittlungsservice Die Eingabe des Passwortes erfolgt maskiert mit Sternen dies ist mit FIA_UAU 7 formuliert FIA_UAU 4 Single use authentication mechanisms TN VS FIA_UAU 4 1 The TSF shall prevent reuse of authentication data related to authentificate Teilnehmer with Sitzungsnummer FIA_UAU 7 Berater Protected authentication feedbac
48. Umgebung e Sicherheitsanforderungen an die Nicht IT Umgebung 5 1 Funktionale Sicherheitsanforderungen an den EVG Editorale Bemerkung In der Ausf hrung der Operationen in den funktionalen Sicherheitsanforderungen werden die deutschen Bezeichnungen f r Objekte etc verwendet Dies erfolgt aus Gr nden der Zuordnung zu den Bezeichnungen im restlichen Dokument Auch in der Ausf hrung der Operation in der Komponente FDP_ACF 1 2 in der Iteration f r Session Data wurde sich entschlossen diese in der deutschen Sprache zu verfassen Bemerkung zur Notation Die im folgenden benutzten CC Komponenten aus CC sind wie folgt benannt Es wird an vielen Stellen der in CC_P2 angegebene Name um einen Iterationsbezeichner erweitert der in Klammern angegeben ist Die Bedeutung der Iterationsbezeichner ist e COM Sitzungsdatenstrom e SigMac Message Authentication Code bei der Signalisierung e ComMac Message Authentication Code beim Sitzungsdatenstrom e SessData Inhalt des Sitzungsdatenstroms e CfgData serverseitige Konfigurationsdaten e UserData Daten auf dem Rechner eines Benutzers e Berater Berater e Teilnehmer Teilnehmer e TN Teilnehmer e BaraterAdmin Berater Administrator e Berater Passwort Berater Passwort e Berater Administrator Passwort Berater Administrator Passwort e Berater VS Anmeldung des Beraters ST_Netviewer_one2oneTS_v1 8 pdf Seite 68 von 132 Pe netviewer Sicherheitsvorgaben zum
49. Vermittlungsservice per SSL Serverauthentifizierung gepr ft F r die SSL Serverauthentifizierung ist ein geeignetes X 509 Zertifkat notwendig Dieses kann nicht von der Netviewer AG ausgestellt oder beschafft werden Der Kunde muss es selbst beschaffen installieren und warten Die Beantragung eines SSL Zertifikates erfolgt ber eine unternehmenseigene Zertifizierungsstelle beim Kunden oder ber eine Stammzertifizierungsstelle eines Anbieters welche von einer unabh ngigen und vertrauensw rdigen dritten Partei der Certification Authority CA unterzeichnet wird Die CA verb rgt sich mit ihrer Unterschrift f r die Richtigkeit der im Zertifikat enthaltenen Daten Domain Name Kontaktdaten usw Das SSL Zertifikat wird im Zertifikatsspeicher der Windows Instanz installiert auf dem die Serverkomponenten laufen Der Wert des Common Name des Eintrags Subject im SSL Serverzertifikat muss mit dem DNS Namen des Serverrechners auf dem die Serverkomponenten betrieben werden bereinstimmen Weitere Informationen zur Beschaffung Installation und Wartung des SSL Server Zertifikats ist f r den Server Administrator im Netviewer Standard Server Administratorhandbuch verf gbar 2 9 bersicht ber die verwendeten Netzwerkprotokolle Da es sich bei Netviewer one2one um eine Client Server Applikation handelt verf gt der EVG ber verschiedene Schnittstellen Wie bei Netzwerkprotokollstapeln blich ist die real genu
50. _one2oneTS_v1 8 pdf Seite 17 von 132 U Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 2 6 5 Beenden der Sitzung Eine one2one Sitzung kann zu jedem Zeitpunkt w hrend der Sitzung durch den Berater oder den Teilnehmer beendet werden Wird eine Sitzung beendet senden Berater und Teilnehmerprogramm Sitzungsdaten z B Sitzungsdauer bertragene Bytes zur Protokollierung an den Vermittlungsservice Ein Dialog signalisiert auf Berater und auf Teilnehmerseite das Ende der Sitzung 2 6 6 Informationsbereitstellung f r die Anwender der Clientprogramme Die Netviewer AG stellt auf ihrer Webseite eine Informationsseite mit zentralen und aktuellen Informationen zu Netviewer one2one zur Verf gung Der Hyperlink auf die Informationsseite ist im Netviewer one2one Benutzerhandbuch und in den Clientprogrammen einfach zug nglich angegeben Die Webseite dient der Information der Anwender der Netviewer one2one Clientprogramme und dem Administrator von Netviewer Standard Server s Die Informationsseite enth lt unter anderem folgende Informationen e Netviewer one2one Benutzerhandbuch e Aktuelle Informationen ber eventuell aufgetretene Sicherheitsl cken 2 7 Serverkomponente Standard Server Die Serversoftware Netviewer Standard Server unterst tzt den Verbindungsaufbau zwischen dem Netviewer Berater und Teilnehmerprogramm und die Kommunikation w hrend der Sitzung Netviewer Standard Server wird als Bestandt
51. andardServer_ lt Datum gt _logfile txt Logging des Kommunikationsservice Nicht sicherheitsrelevant e NVStandardServer_ lt Datum gt _auditlog txt Audit Log der sicherheitsrelevanten Aktionen betreffend Benutzermanager und Sitzungen ST_Netviewer_one2oneTS_v1 8 pdf Seite 19 von 132 U Sicherheitsvorgaben zum EVG 14 09 2009 netviewer e NVStandardServer_ lt Datum gt _SessionLog csv Sitzungsprotokolle zur statistischen Auswertung Nicht sicherheitsrelevant e NVStandardServer_ lt Datum gt _VMServerLog csv Logging des Vermittlungsservice Nicht sicherheitsrelevant e ContractData dat Vom Konfigurator siehe Kapitel 2 13 erzeugte Datei mit clientseitigen Einstellungen Integrit t gesichert mit TSF HMAC e ServerData dat Vom Konfigurator siehe Kapitel 2 13 erzeugte Datei mit serverseitigen Einstellungen Integrit t gesichert mit TSF HMAC e NVServer_users txt Benutzerdaten von Beratern Benutzername Passwort Profile Wird vom Benutzermanager gepflegt Vertraulichkeit der Passw rter ist per TSF gew hrleistet 2 8 Serverkomponente SSLswitch 2 8 1 Funktionsweise des SSLswitches Serverseitig kommt die EVG Komponente SSLswitch zum Einsatz um HTTPS zwischen den Clientprogrammen und dem Vermittlungsservice zu erm glichen Der SSLswitch l uft auf demselben Rechner wie Netviewer Standard Server Wenn ein Clientprogramm per SSL Daten an den Server sendet wickelt der SSLswitch das SSL Handshake ab und leitet entschl
52. ass alle Dateien die personenbezogene Daten enthalten gem den Vorgaben des Bundesdatenschutzgesetzes gesch tzt werden Personenbezogene Daten fallen bei den Serverkomponenten des one2one Systems u a in Form von Nutzungsprotokollen Benutzerkennungen IP Adressen an und sind in den Dateien NVStandardServer_ lt Datum gt _logfile txt NVStandardServer_ lt Datum gt _auditlog txt NVStandardServer_ lt Datum gt _VMServerLog csv NVServer_users txt enthalten gt Abh ngig von der Organisation in der der EVG zum Einsatz kommt k nnen weitere Gesetze Verordnungen und Weisungen greifen z B das jeweilige Landesdatenschutzgesetz ST_Netviewer_one2oneTS_v1 8 pdf Seite 58 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 4 Sicherheitsziele Dieses Kapitel Sicherheitsziele ist unterteilt in die Unterkapitel e Sicherheitsziele f r den EVG e Sicherheitsziele f r die Umgebung 4 1 Sicherheitsziele f r den EVG Name O Auth 1 Ziel Nur autorisierte Benutzer k nnen eine Sitzung er ffnen bzw in eine Sitzung eintreten Name O Auth 2 Ziel Ausschlie lich authentifizierte Clientprogramme k nnen die Serverkomponenten benutzen Name O Auth 3 Ziel Ausschlie lich authentifizierte Berater Administratoren k nnen mit Hilfe des Benutzermanagers Berater verwalten Name O Privacy 1 Ziel Der zwischen den Sitzungspartnern bermittelte Sitzungsdatenst
53. beachtet Lange mindestens 8 Zeichen Es m ssen mindestens ein Kleinbuchstabe mindestens ein Gro buchstabe und mindestens eine Ziffer enthalten sein 3 2 Annahmen 3 2 1 Annahmen ber die Verwendung F r die Verwendung des EVG werden folgende Annahmen getroffen A USE 1 Die mit dem EVG zu verarbeitenden Daten besitzen einen niedrigen Schutzbedarf 3 2 2 Materielle Annahmen F r den Betrieb des EVG wird folgende materielle Annahme getroffen A PHY Server 1 Die Serverkomponente des EVG wird in einem Serverraum einer Beh rde oder eines Unternehmens betrieben Dabei wird davon ausgegangen dass es durch geeignete technische und organisatorische Ma nahmen sichergestellt ist dass nur Administratoren der Serverkomponente des EVG kontrollierten Zugang zum Serverraum haben dass nur Administratoren der Serverkomponente Zugriff auf andere Repr sentationen der Daten z B Backup des EVG erhalten dass die verwendeten Hardwarekomponenten durch geeignete bauliche oder andere physische Sicherungsma nahmen vor Entwendung gesch tzt sind A PHY Client 1 Die Clientkomponente des EVG wird in einer normalen B roumgebung einer Beh rde oder eines Unternehmens betrieben Dabei wird davon ausgegangen dass es durch geeignete technische und organisatorische Ma nahmen sichergestellt ist dass unautorisierte Personen keinen Zugang zum B ro bzw Arbeitsplatz haben ST_Netviewer_one2on
54. bt der Server die Daten mit die der jeweils andere Client in seiner Anfrage geschickt hat Auf diese Weise gelingt ein indirekter Datenaustausch Der Kommunikationsservice leitet die Datenpakete zwischen dem Berater und Teilnehmerprogramm ausschlie lich weiter Aufgrund der Ende zu Ende Verschl sselung ist der Kommunikationsservice nicht in der Lage die verschl sselten Datenpakete zu lesen da er nicht ber den notwendigen Schl ssel verf gt ST_Netviewer_one2oneTS_v1 8 pdf Seite 27 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer R Teilnehmer ii gt Firewall o 2 o 3 2 2 e z Signalisierungs und Sitzungsdaten Signalisierungs und Sitzungsdaten Netviewer StandardServer Abbildung 7 Kommunikation zwischen den EVG Komponenten ber den Kommunikationsservice in der Abbildung Netviewer Server 2 11 2 Kommunikation ber eine Peer to peer Verbindung Voraussetzung f r eine Peer to peer Verbindung ist dass das Berater und das Teilnehmerprogramm innerhalb des gleichen Intranets betrieben werden Auf dem System auf dem das Beraterprogramm verwendet wird k nnen weiterhin die ben tigten Ports ge ffnet werden In diesem Fall kann der Austausch des Sitzungsdatenstroms ber eine direkte Peer to peer Verbindung erfolgen Nach der Vermittlung der Verbindung zwischen Berater und Teilnehmerprogramm versucht das Teilnehmerprogramm eine TCP Verbindung zum Beraterprogramm aufzubauen Falls dies ne
55. chtig und verantwortungsbewusst durchgef hrt und damit den sicheren Betrieb des EVG gew hrleistet Durch die Administration ist insbesondere sicher gestellt ST_Netviewer_one2oneTS_v1 8 pdf Seite 49 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer eine gesicherte Konfiguration der PCs und der Netzinfrastruktur Dazu z hlen der Einsatz von aktuellen Virenscannern sowie die sichere Konfiguration von Firewalls auf den PCs bzw innerhalb der jeweiligen Netzinfrastruktur A PER 2 Die Administration der Serverkomponente des EVG und der zugrunde liegende Systemumgebung wird durch mindestens eine kompetente und vertrauensw rdige Person durchgef hrt Systemadministratoren nehmen ihre Aufgaben gewissenhaft umsichtig und verantwortungsbewusst wahr Durch die Administration ist insbesondere sicher gestellt eine gesicherte Konfiguration der PCs und der Netzinfrastruktur Dazu z hlen der Einsatz von aktuellen Virenscannern sowie die sichere Konfiguration von Firewalls auf den PCs bzw innerhalb der jeweiligen Netzinfrastruktur eine regelm ige Aktualisierung der eingesetzten Software und des Betriebssystems zur Behebung von Sicherheitsl cken eine regelm ige Sicherung der Daten der EVG Komponente Standard Server ber diese Sicherungen k nnen die Daten wieder hergestellt werden A PER 3 Die Sitzungsnummer wird von dem Berater sicher an den Teilnehmer weiter gegeben da sie ein Authentisi
56. defined number of unsuccessful authentication attempts has been met or surpassed the TSF shall deactivate the machine from which the attempts originate for ten minutes FIA_ATD 1 Berater User attribute definition iteration Berater FIA_ATD 1 1 The TSF shall maintain the following list of security attributes belonging to individual users Beraterpasswort FIA_ATD 1 Teilnehmer User attribute definition iteration Teilnehmer FIA_ATD 1 1 The TSF shall maintain the following list of security attributes belonging to individual users Sitzungsnummer FIA_ATD 1 BeraterAdmin User attribute definition iteration Berater Administrator FIA_ATD 1 1 The TSF shall maintain the following list of security attributes belonging to individual users Passwort des Berater Administrator FIA_SOS 1 Berater Passwort selection assignment positive integer number an administrator configurable positive integer within assignment range of acceptable values gt assignment positive integer number gt 1 assignment list of authentication events gt 2 assignment list of actions gt assignment list of security attributes gt 4 assignment list of security attributes assignment list of security attributes ST_Netviewer_one2oneTS_v1 8 pdf Seite 75 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Verification of secrets iteration Berater Passwort FIA_SOS 1 1 The TSF shall provide a mechanism to
57. der SSlswitch ausgef hrt wird ist so konfiguriert dass ausschlie lich Kombinationen von Verschl sselungsverfahren und Schl ssell ngen verwendet werden die eine St rke von mindestens 128 Bit aufweisen ST_Netviewer_one2oneTS_v1 8 pdf Seite 85 von 132 ere netviewer Sicherheitsvorgaben zum EVG 6 EVG Ubersichtsspezifikation Dieses Kapitel EVG Ubersichtsspezifikation ist unterteilt in die Unterkapitel e EVG Sicherheitsfunktionen e Sicherheitsfunktionen die auf Wahrscheinlichkeits oder Permutationsverfahren beruhen und e Ma nahmen zur Vertrauensw rdigkeit 6 1 EVG Sicherheitsfunktionen zu Netviewer one2one Version 5 1 der Netviewer AG bietet dem Betreiber die Sicherheitsfunktionen e Data Protection SF DP e Identification amp Authentification SF I amp A e Config Data Protection SF CD e Access Control SF AC e Integrity SF I Die Realisierung der einzelnen Sicherheitsfunktionen wird in den folgenden Unterkapiteln beschrieben F r alle Sicherheitsfunktionen f r die eine Betrachtung der St rke der Mechanismen relevant ist wird in Einklang mit den Sicherheitsanforderungen siehe Kapitel 5 2 eine St rke von SOF Basic erreicht 6 1 1 SF DP DataProtection SF DP 1 Die Daten die zwischen Beraterprogramm und Teilnehmerprogramm und umgekehrt ausgetauscht werden Sitzungsdatenstrom sind mit einem symmetrischen Schl ssel sym_communication verschl sselt Die Verschl sselung findet
58. e wird der Teilnehmer auch darauf hingewiesen dass er pr fen sollte ob er das Teilnehmerprogramm von dem Unternehmen erhalten hat das in den Eigenschaften der exe Datei bzw im Splashscreen Anzeige beim Starten des Programms angegeben ist 2 13 4 Identifizierung einer Instanz von Netviewer one2one Alle ausf hrbaren Dateien des EVG verf gen ber die folgenden Identifikationsinformationen Diese umfassen e den Herstellernamen e den Produktnamen e die Versionsnummer e die Buildnummer und e den Kundennamen ST_Netviewer_one2oneTS_v1 8 pdf Seite 39 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Bei den Clientprogrammen finden sich die Identifikationsinformationen im Splashscreen der beim Programmstart erscheint und in der About Schublade Beim Serverprogramm finden sich die Identifikationsinformationen im Serverfenster Weiterhin sind folgende Identifikationsinformationen bei allen Programmen als Eigenschaften der EXE Dateien abrufbar Dateiversion 5 1 0 1208 Firma Netviewer AG Interner Name lt Kundenname f r den die exe Datei durch die Netviewer AG erstellt wurde gt Originaldateiname lt Dateiname z B NV_o20_Teilnehmer_DE exe gt Produktname lt Produktname z B Netviewer one2one Teilnehmerprogramm gt Produktversion 5 1 0 1208 Sprache Deutsch Tabelle 3 Angaben in den Dateieigenschaften der exe Dateien Dar ber hinaus k nnen der Berater und der Teilnehmer v
59. eTS_v1 8 pdf Seite 48 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer dass unautorisierte Personen keinen Zugriff auf andere Repr sentationen der Daten des EVG erhalten A Plattform Server Die Serverkomponente des EVG wird auf einer Plattform mit den nachfolgenden Anforderungen betrieben Betriebssystem Microsoft Windows Server 2000 oder Windows Server 2003 Intel Pentium Prozessor mit mindestens 2 GHz oder vergleichbar mindestens 1 GB RAM mindestens 2 GB freien Festplattenplatz mindestens 100 MBit Netzwerkkarte sowie Internet oder Intranetanbindung Microsoft NET Framework 2 0 A Plattform Client Die Clientkomponenten des EVG werden auf einer Plattform mit den nachfolgenden Anforderungen betrieben PC mit Microsoft Windows 2000 oder Windows XP Internet Intranetzugang mit beliebigem Browser Prozessor mit mind 300 MHz mind 64 MB RAM A PRNG Server Der Pseudozufallszahlengenerator PRNG des Betriebssystems auf dem die Serverkomponenten und die Clientprogramme ausgef hrt werden liefert kryptographisch sichere Zufallszahlen 3 2 3 Personelle Annahmen F r den Betrieb des EVG werden folgende personelle Annahmen getroffen A PER 1 Die Administration der Clientkomponente des EVG und der zugrunde liegende Systemumgebung wird durch den autorisierten Benutzer oder einer anderen vertrauensw rdigen Person Administrator der Clientumgebung gewissenhaft umsi
60. eger ist Signalisierungsdaten werden zwischen einem Clientprogramm und einem Serverprogramm ausgetauscht FCS_COP 1 SigMac behandelt die kryptographische Operation der Hashwertberechnung im Rahmen des propriet ren Protokolls httpsRpc das zum Austausch der Signalisierungsdaten zur Anwendung kommt FPT_ITT 1 fordert die Integrit t von TSF Daten bei der bermittlung Die Sicherheitsziele O Rights 1 bis O Rights 5 definieren dass die Rechte auf dem Rechner des Kommunikationspartners genau in dem Umfang ausgef hrt werden die der einr umende Sitzungspartner definiert hat Dies bedeutet insbesondere Es werden nur Rechte f r die Applikationen gew hrt die der einr umende Sitzungspartner in der Applikationsauswahl definiert hat Auf alle anderen Daten hat der berechtigte Sitzungspartner keinen Zugriff Die nderung der Blickrichtung erfolgt nur mit ausdr cklicher Zustimmung des einr umenden Sitzungspartners Durch die Fernsteuerungsrechte k nnen keine weiteren Rechte erworben werden W hrend einer Sitzung kann die Fernsteuerung nur mit ausdr cklicher Zustimmung des einr umenden Sitzungspartners erfolgen ST_Netviewer_one2oneTS_v1 8 pdf Seite 109 von 132 U Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Die Fernsteuerung kann nur einger umt werden wenn zuvor die Blickrichtung entsprechend der einr umenden Fernsteuerungsrechte ge ndert wurde Die Fernsteuerung kann nur auf Applikationen erfolgen die im
61. eiber zugeordnet ist Name OE 18 Ziel Die Zertifizierungsstelle die das SSL Serverzertifikat und das Exe Signatur Zertifikat ausgestellt hat ist bei Clients vertrauensw rdig eingestuft Name OE 19 Ziel Die Clientprogramme und der Standard Server sind integer Name OE 20 Ziel Das SSL Serverzertifikat wird vertraulich und integer gespeichert Name OE 21 Ziel In der SSL Implementierung der Windows Instanz auf der der SSLswitch ausgef hrt wird werden ausschlie lich Kombinationen ST_Netviewer_one2oneTS_v1 8 pdf Seite 66 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer von Verschl sselungsverfahren und Schl ssell ngen verwendet die eine kryptographische St rke von mindestens 128 Bit aufweisen 8 Bei symmetrischen Verfahren entspricht die Schl ssell nge i d R der kryptographischen St rke Bei assymetrischen Verfahren m ssen deutlich l ngere Schl ssel eingesetzt werden um eine quivalente St rke zu erreichen ST_Netviewer_one2oneTS_v1 8 pdf Seite 67 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 5 IT Sicherheitsanforderungen Dieses Kapitel IT Sicherheitsanforderungen ist unterteilt in die Unterkapitel e Funktionale Sicherheitsanforderungen an den EVG e Anforderungen an die Mindestst rke der EVG Sicherheitsfunktionen e Anforderungen an die Vertrauensw rdigkeit des EVG e Sicherheitsanforderungen an die IT
62. eide Richtungen m glich entweder der Berater zeigt seinen Bildschirm oder der Teilnehmer zeigt seinen Bildschirm und kann w hrend der Sitzung ge ndert werden Client Sammelbegriff f r das Netviewer one2one Berater und oder Teilnehmerprogramm Client Konfiguration Eine Menge von Parametern Schl ssel Wert Paare welche das Verhalten eines Client Programms und damit auch dessen Leistungsumfang vorgeben Die Konfiguration erfolgt vor der Auslieferung der Clients an den Kunden durch die Netviewer GmbH Desktop Sharing bertragung des Bildschirminhalts eines Rechners auf den Bildschirm eines entfernten Rechners mit der M glichkeit der Fernsteuerung Bei Netviewer one2one ist die bertragung beschr nkt auf freigegebene Applikationen und Bildschirmelemente Ferngesteuerter Sitzungspartner im Show Modus der seinem Sitzungspartner die Fernsteuerung f r den eigenen Bildschirm erteilt hat Fernsteuernder ST_Netviewer_one2oneTS_v1 8 pdf Seite 124 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Sitzungspartner im Watch Modus der den Bildschirm des Sitzungspartners mithilfe der Fernsteuerung bedienen kann Fernsteuerung Bedienung eines entfernten Rechners mithilfe von Tastatureingaben und Mausbefehlen vom lokalen Rechner aus Bei Netviewer one2one ist die Fernsteuerung beschrankt auf freigegebenen Applikationen und Bildschirmelemente Kommunikationsservice Der Kommunikationsservice erm glicht es den
63. eien ServerData dat und ContractData dat unterliegen folgender Zugriffspolitik ACCESS Secure Config Data die der EVG durchzusetzen hat Rolle Zugriffsrecht Vermittlungsservice Der Vermittlungsservice liest die Konfigurationsdateien ServerData dat und ContractData dat nur ein wenn sie nicht ver ndert wurden Er hat keine Schreibrechte Tabelle 7 ACCESS Secure Config Data Die bei den Serverkomponenten lokalisierte sicherheitsrelevante Konfigurationsdatei NVServer_users txt auch als Benutzerdatei bezeichnet unterliegt folgender Zugriffspolitik ACCESS Config User Data die der EVG durchzusetzen hat Rolle Zugriffsrecht Vermittlungsservice Benutzerdatei bei der Serverkomponente des EVG Vermittlungsservice Read Berater Administrator Benutzermanager Read teilweise write Mittels des Moduls benutzermanager der Serverkomponente kann der Berater Administrator die Beraterkontendatei lesen und ver ndern Tabelle 8 ACCESS Config User Data Der Berater Administrator kann die individualisierten Passw rter der Berater nicht lesen oder ver ndern diese werden gehasht in der Benutzerdatei abgelegt Er kann Passw rter auf einen Initialwert zur cksetzen ST_Netviewer_one2oneTS_v1 8 pdf Seite 47 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Bei der Definition von Passw rtern des Beraters und des Berater Administrators werden folgende Regeln Passwort Policy
64. eil des EVG auf einem physikalischen Serverrechner betrieben der ber das Internet oder Intranet f r die Clientprogramme erreichbar ist Netviewer Standard Server umfasst die Komponenten Vermittlungsservice und Kommunikationsservice 2 7 1 Vermittlungsservice Der Vermittlungsservice bernimmt den sicheren Verbindungsaufbau zwischen Berater und Teilnehmerprogramm auf zwei entfernten Rechnern Die dazu ben tigten Signalisierungsinformationen z B zur Authentifizierung zum Schl sselaustausch und zur Schl sselaushandlung werden zwischen den Clients und dem Vermittlungsservice ber sichere Kan le bertragen und vom Vermittlungsservice verarbeitet Der Vermittlungsservice bergibt weiterhin die Adresse des Kommunikationsservices f r die Sitzung an das Berater sowie das Teilnehmerprogramm ST_Netviewer_one2oneTS_v1 8 pdf Seite 18 von 132 U Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 2 7 2 Kommunikationsservice Der Kommunikationsservice transportiert den Ende zu Ende verschl sselten Datenstrom zwischen Berater und Teilnehmerprogramm w hrend einer laufenden Sitzung Sitzungsdatenstrom Der Sitzungsdatenstrom umfasst die Daten die w hrend einer bestehenden Sitzung ausgetauscht werden z B Bildschirmdaten Daten von Eingabeger ten Video und Audiodaten Die beiden Clients bauen jeweils aktiv eine Verbindung zum Kommunikationsservice auf Der Vermittlungsservice ist weder am Aufbau der Client Verbindungen zum Kommuni
65. einem HMAC gesichert um Integrit t und Authentizit t zu gew hrleisten 2 10 2 Ablauf der Signalisierung Signalisierung wird mittels Remote Procedure Calls durchgef hrt welche per HttpsRpc transportiert werden Signalisierung findet ausschlie lich zwischen einem Clientprogramm und dem Vermittlungsservice statt Die Argumente und R ckgabewerte werden serialisiert und per HTTPS zum Vermittlungsservice gesendet bzw von diesem empfangen Die folgende Grafik zeigt den Ablauf des Sitzungsaufbaus einschlie lich der Signalisierung Die Asymmetrie ist darin begr ndet dass auf Clientseite nicht die M glichkeit besteht ein SSL Zertifikat zur Clientauthentifizierung zu installieren ST_Netviewer_one2oneTS_v1 8 pdf Seite 24 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Standard Server Verm Sve Fall 4 P Komm GE 3 A i Sve ais LS _ ee Ej 2 amp N x Sl eae ry feo ee SE 2 ER lt i Q Abbildung 6 Signalisierung zwischen Clientprogrammen und Serverkompo nenten beim Sitzungsaufbau In obiger Abbildung sind die Schritte zur Signalisierung rot hervorgehoben Nach dem Aufbau des sicheren Kanals durch HttpsRpc bermittelt das Beraterprogramm die vom Berater eingegebenen Login Daten an den Vermittlungsservice Der Vermittlungsservice generiert nach erfolgreicher Pr fung der Login Daten die neunstellige Sitzungsnummer einen symmetrischen Schl ssel zur V
66. en Als Anh nge sind ein Glossar ein Verzeichnis der Abk rzungen ein Verzeichnis der Referenzen und Versionsinformationen ber dieses Dokument angef gt 1 3 Postulat der bereinstimmung mit den CC Der EVG ist konform zu den Common Criteria CC Version 2 3 Der EVG ist konform zu Teil 2 der Common Criteria CC_P2 Der EVG ist konform zu Teil 3 der Common Criteria CC_P3 und erf llt die Anforderungen des Vertrauensw rdigkeitspaketes EAL2 Die St rke der verwendeten Mechanismen ist SoF Basic ST_Netviewer_one2oneTS_v1 8 pdf Seite 6 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 2 EVG Beschreibung Der Evaluierungsgegenstand EVG ist ein auf einer Client Server Architektur basierendes Softwaresystem und umfasst die Anwendersoftware Netviewer one2one Clientprogramme in Kombination mit den Serverkomponenten Netviewer Standard Server und SSLswitch 2 1 Ubersicht iiber den EVG Netviewer one2one ist ein Client Server basiertes System zum Desktop Sharing f r zwei Anwender die sich an entfernten Computern befinden Im Rahmen einer one2one Sitzung k nnen die Sitzungspartner sich gegenseitig ihren Bildschirm zeigen sich gegenseitig Fernsteuerungsrechte einr umen und weitere Netviewer Funktionen zur Kommunikation und Zusammenarbeit nutzen Der EVG umfasst die Netviewer one2one Clients die den Anwendern ber eine grafische Benutzeroberfl che die Funktionalit ten von Netviewer one2one zur V
67. er Konfigurations Daten der EVG Komponente Standard Server ber diese Sicherungen k nnen die Daten wieder hergestellt werden Dies entspricht exakt dem Ziel OE 5 Die Annahme A PER 3 behandelt eine Vorgabe bei der zugrunde gelegt wird dass die Sitzungsnummern von dem Berater sicher an den Teilnehmer weiter gegeben werden Der Berater ist verantwortlich die Identit t des Sitzungsteilnehmers der die Sitzungsnummer erh lt festzustellen Dies entspricht dem Ziel OE 6 Die Annahme A PER 4 behandelt eine Vorgabe bei der zugrunde gelegt wird dass der Benutzer mit dem Produkt gewissenhaft umgeht insbesondere ist der Benutzer daf r verantwortlich dass die Applikationsauswahl auf das Notwendigste beschr nkt ist Bildschirmbereiche die f r den Fernsteuernden frei gegeben werden Dies entspricht exakt dem Ziel OE 7 Die Annahme A PER 5 behandelt eine Vorgabe bei der zugrunde gelegt wird dass der Berater Administrator den EVG im Rahmen ihrer Aufgabenerf llung nutzt Er gibt die Beraterkontendaten Benutzername und Passwort sicher an due autorisierten Berater weiter Dies entspricht dem Ziel OE 6 Die Annahme A NET 1 behandelt eine Vorgabe wonach alle vier Komponenten des EVGs in einem TCP IP Netz betrieben werden m ssen Dessen Endsysteme sowie die ST_Netviewer_one2oneTS_v1 8 pdf Seite 102 von 132 U Sicherheitsvorgaben zum EVG 14 09 2009 netviewer dazwischen liegenden Transitsysteme und ggf vorhandene Gateways
68. er Sitzung kann der einr umende Sitzungspartner seinem Kommunikationspartner die Fernsteuerungsrechte jederzeit durch Bet tigen der Sicherheitstaste Taste Fil entziehen Werden vom Berater im Watch Modus die Fernsteuerungsrechte angefordert muss der einr umende Sitzungspartner Teilnehmer 7 Der Austausch des Sitzungsdatenstroms kann optional ber den Kommunikationsserver erfolgen ST_Netviewer_one2oneTS_v1 8 pdf Seite 60 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer die Fernsteuerungsrechte im Rahmen eines Zustimmungsdialoges explizit erteilen Fordert der Berater eine Systemdiagnose des Systems des Teilnehmers durchzuf hren so geschieht dies nur mit Zustimmung seines Sitzungspartners Name O Rights 4 Ziel W hrend einer Sitzung kann sich der Kommunikationspartner des einr umenden Sitzungspartners mittels der Fernsteuerungsrechte keine weitere Rechte selbst einr umen Name O Rights 5 Ziel W hrend einer Sitzung kann die Funktion Dateitransfer per Drag amp Drop nur mit ausdr cklicher Zustimmung des Sitzungspartners benutzt werden kann der die Funktion nicht initiiert hat Name O Server Cfg 1 Ziel Die Konfigurationsdateien auf der Serverkomponente werden nur dann eingelesen wenn sie integer sind 4 2 Sicherheitsziele f r die Umgebung 4 2 1 Sicherheitsziele f r die IT Umgebung Name OE IT 1 Ziel Die SSL Implementier
69. erf gung stellen sowie die Serversoftware Netviewer Standard Server welche die Kommunikation der beiden entfernten Computer ber das Internet oder ein Intranet erm glicht Die Clientkomponenten von Netviewer one2one sind f r Anwender ohne besondere Sachkenntnis im Bereich EDV konzipiert und f r den Einsatz in normaler B roumgebung geeignet Netviewer one2one ist f r Einsatzbereiche mit niedrigem Schutzbedarf konzipiert Der EVG bietet Schutz gegen Angreifer mit einem niedrigen Angriffspotential Die Sicherheitsfunktionen des EVG verhindern dass der Angreifer mit Lesen Umleiten und Manipulieren der ber das Netzwerk ausgetauschten Nachrichten die Sicherheit des Systems kompromittieren kann Der Angreifer kann in Besitz der Clientprogrammen kommen und nicht ausf hrbare Teile davon mit einem Bin reditor manipulieren ohne dass dadurch die Sicherheit des one2one Systems gef hrdet w re 2 2 Lieferumfang Zum Lieferumfang bei Auslieferung des EVG geh ren Lfd Typ Bezeichnung Version EVG Teil Nr 1 Programm Netviewer one2one Beraterprogramm 5 1 Ja 2 Programm Netviewer one2one Teilnehmerprogramm 5 1 Ja 3 Programm Netviewer one2one Standard Server 5 1 Ja 4 Programm Netviewer SSLswitch 1 3 0 5 Ja 5 Programm Netviewer Netplayer offen Nein 6 Textdatei Benutzerdatei individuell Ja ST_Netviewer_one2oneTS_v1 8 pdf Seite 7 von 132 Sicherheitsvorgaben zum
70. erschl sselung des Sitzungsdatenstroms und einen Schl ssel zur Integrit tssicherung des Sitzungsdatenstroms Der Vermittlungsservice bermittelt die Sitzungsnummer die Schl ssel zur sp teren Sicherung des Sitzungsdatenstromes und die Adresse des Kommunikationsservices DNS Name Port zur ck an das Beraterprogramm Die Sitzungsnummer und das Sitzungspasswort falls dieses im Sitzungsplaner definiert wurde wird dem Berater in der grafischen Benutzeroberfl che angezeigt Das Beraterprogramm wartet nun darauf dass das Teilnehmerprogramm in die Sitzung eintritt und die Ende zu Ende verschl sselte Verbindung f r den Sitzungsdatenstrom zum Teilnehmerprogramm aufgebaut werden kann Verbindung im PingPong Protokoll Der Teilnehmer gibt die Sitzungsnummer und ggf das Sitzungspasswort im gestarteten Teilnehmerprogramm ein Das Teilnehmerprogramm bermittelt die Sitzungsnummer ST_Netviewer_one2oneTS_v1 8 pdf Seite 25 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer und ggf das Sitzungspasswort innerhalb einer Signalisierungsanfrage an den Vermittlungsservice und f hrt damit die Authentifizierung des Teilnehmers durch Anhand der Ubermittelten Sitzungsnummer identifiziert der Vermittlungsservice das zu der entsprechenden Sitzung wartende Beraterprogramm Der Vermittlungsservice bermittelt dem Teilnehmerprogramm nun ber den sicheren HttpsRpc Kanal die Adresse des Kommunikationsservices an dem das Beraterprogramm angeme
71. erungsmerkmal darstellt Der Berater ist verantwortlich die Identit t des Sitzungsteilnehmers der die Sitzungsnummer erh lt festzustellen A PER 4 Der autorisierte Benutzer geht mit dem Produkt gewissenhaft um insbesondere ist der Benutzer daf r verantwortlich das die Applikationsauswahl auf das Notwendigste beschr nkt ist Bildschirmbereiche die f r den Fernsteuernden frei gegeben werden A PER 5 Die Beraterkontendaten Benutzername und Initialpasswort werden von dem Berater Administrator sicher an die autorisierten Berater weiter gegeben ST_Netviewer_one2oneTS_v1 8 pdf Seite 50 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 3 2 4 Annahmen ber die Vernetzung F r den Betrieb des EVG werden die folgenden Annahmen ber die Vernetzung getroffen A NET 1 Alle vier Komponenten des EVGs m ssen in einem TCP IP Netz betrieben werden Dessen Endsysteme sowie die dazwischen liegenden Transitsysteme und ggf vorhandene Gateways m ssen derart konfiguriert sein dass es den Clientprogrammen m glich ist eine TCP Verbindung zum Standard Server aufzubauen Als Mindestvoraussetzung muss es den Clientprogrammen m glich sein http und https Requests an den Standard Server abzusetzen A NET 2 Das SSL Server Zertifikat ist im Zertifikatsspeicher der Windows Instanz auf dem die Server Komponenten laufen installiert Das SSL Server Zertifikat ist auf einen Domainnamen ausgestellt der nachvoll
72. erwaltungssystem Subversion zu und auf die Netviewer Datenbank in der kundenspezifische Daten verwaltet werden Der Netviewer Konfigurator erstellt die kundenindividuellen Clientprogramme und Serverkomponenten kopiert die nicht kundenindividuellen Serverkomponenten sowie die Vorlagen f r die adminstrierbaren Konfigurationsdateien und legt alle EVG Komponenten im Auslieferungsverzeichnis ab Von dort liefert der Netviewer Mitarbeiter den EVG aus In der folgenden Grafik ist zu sehen wie der unver nderliche Code Stand aus dem Subversion Repository mit ber den Konfigurator festgelegten Einstellungen zum EVG zusammengebunden wird ST_Netviewer_one2oneTS_v1 8 pdf Seite 36 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Quellcode Netviewer Konfigurator Include File Kundenspezifische d Sonztantun Einstellungen Netviewagii rstellt Quellcode Klassen Satan Funktionen A Che Svn Tag Subversion Repository Compiler _ Signierte Exe Exe Kundenspezifische Daten Kundenspezifische Daten signcode u ausf hrbarer Bin rcode ausf hrbarer Bin rcode Signatur Abbildung 11 Kompilieren von statischem Code und kundenspezifischen Konstanten und anschlie ende Signierung Nach dem Compilieren und Signieren sind die Konfigurationsparameter ein unver nderlicher Bestandteil des jeweiligen Programms 2 13 2 Konfigurationsdaten nach der Erstellung Nach der
73. et sich ein Anwender im Watch Modus und betrachtet den Bildschirm des Sitzungspartners kann der Sitzungspartner ihm die Fernsteuerung erteilen Der Berater ist au erdem imstande beim Teilnehmer die Fernsteuerung anzufordern Mithilfe der Fernsteuerung kann der Anwender Maus und Tastatur des Sitzungspartners steuern Fernsteuernder und Ferngesteuerter haben gleichberechtigten Zugriff auf die Eingabeger te Die Bedienlogik von Netviewer one2one gew hrleistet dass der Anwender im Watch Modus sich nicht eigenm chtig das Fernsteuerungsrecht erteilen kann sondern dies nur mit Zustimmung des Ferngesteuerten geschehen kann Beim Anfordern der Fernsteuerung durch den Berater erscheint beim Teilnehmer ein Abfragedialog bevor die Fernsteuerung freigegeben wird Der Entzug des Fernsteuerungsrechts ist jederzeit durch den Ferngesteuerten m glich durch Dr cken der Taste F11 Applikationsauswahl Die Bildschirm bertragung und die Fernsteuerung sind beschr nkt auf Anwendungen und Bildschirmelemente die der Anwender im Show Modus f r diesen Zweck freigegeben hat Nicht bertragene Anwendungen sind beim Sitzungspartner geschw rzt und per Fernsteuerung nicht bedienbar Weitere Funktionen Die folgenden Funktionen stehen nur dem Berater zur Verf gung e Systemdiagnose Mit Zustimmung des Teilnehmers kann der Berater Informationen ber das System des Teilnehmers anfordern und einsehen Die folgenden Funktionen stehen beiden Sitzungspartnern
74. funktionen Die Tabelle 9 in der EVG bersichtsspezifikation in Kapitel 6 2 f hrt die Sicherheitsfunktionen auf welche auf Wahrscheinlichkeits oder Permutationsverfahren beruhen In der Tabelle sind die effektiven Mindeststarken der jeweiligen Sicherheitsfunktionen angegeben Diese entsprechen Mindestst rken alle mindestens der in Kapitel 5 2 geforderten St rke SoF Basic gem CC 8 3 4 Nachweis der Ma nahmen zur Vertrauensw rdigkeit des EVG Der Nachweis der Wirksamkeit der Ma nahmen zur Vertrauensw rdigkeit wird durch eine Evaluierung des EVGs mitsamt der Dokumentation gem der Stufe EAL2 in CC_P3 erbracht Die dabei zu erf llenden Anforderungen an die Vertrauensw rdigkeit sind in Kapitel 5 3 gegeben Die Erkl rung der getroffenen Ma nahmen bei der Entwicklung des EVGs sind in Kapitel 6 3 gegeben 8 4 Erkl rung der PP Postulate Es wurden keine PP Postulate abgegeben ST_Netviewer_one2oneTS_v1 8 pdf Seite 123 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Anhang A Glossar Berater Anwender des Netviewer one2one Beraterprogramms Beraterprogramm Das Netviewer one2one Beraterprogramm mit dem ein Anwender eine Netviewer Sitzung initiieren kann Das Beraterprogramm verf gt im Vergleich zum Teilnehmerprogramm ber zus tzliche administrative Funktionen Blickrichtung Richtung der Bildschirm bertragung Desktop Sharing w hrend einer Netviewer Sitzung Die Bildschirm bertragung ist in b
75. gen s Kapitel 2 12 2 Der Server Administrator hat weiterhin daf r Sorge zu tragen dass der Berater Zugriff auf das Netviewer one2one Benutzerhandbuch erh lt Zus tzlich ist das Benutzerhandbuch auch auf einer von der Netviewer AG gehosteten Webseite zu Netviewer one2one verf gbar Ein Link auf die Informationsseite ist im Login Dialog des Beraterprogramms zu finden Weitere Informationen zum Inhalt der Informationsseite bietet Kapitel 2 6 6 Auslieferung an den Teilnehmer Die Auslieferung des Netviewer one2one Teilnehmerprogramms an den Teilnehmer mit dem der Berater eine Sitzung durchf hren m chte kann ber verschiedene Wege erfolgen Der Besitz des Teilnehmerprogramms allein ohne im Besitz einer g ltigen Sitzungsnummer zu sein stellt keine Bedrohung da Im Netviewer one2one Benutzerhandbuch werden folgende Auslieferungsmethoden f r das Teilnehmerprogramm empfohlen e Per E Mail e Per Download von der Webseite des Kunden e Per Ablage auf einem Netzlaufwerk bei interner Nutzung Das Benutzerhandbuch ist f r den Teilnehmer auf der von der Netviewer AG gehosteten Informationsseite s Kapitel 2 6 6 zu Netviewer one2one verf gbar Ein Link auf die Informationsseite ist im Eingabedialog f r die Sitzungsnummer im Teilnehmerprogramm zu finden Das Netviewer one2one Benutzerhandbuch informiert den Berater ber die Notwendigkeit den Teilnehmer auf diese Webseite hinzuweisen Auf der Informationsseit
76. getauschten PDUs ST_Netviewer_one2oneTS_v1 8 pdf Seite 22 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer sichergestellt durch SSL Ebenso sind bei PingPong Integritat Vertraulichkeit und Authentizitat der ausgetauschten PDUs sichergestellt durch Sicherheitsfunktionen in der PPT Implementierung Die dazu ben tigten symmetrischen Schl ssel werden per Signalisierung vertraulich integer und authentisch ausgetauscht 2 9 2 Sicherungsmechanismen der Netzwerkprotokolle bersicht der Sicherungsmechanismen f r die einzelnen Protokolle Protokoll Integrit t Vertraulichkeit Authentizit t TSF Signalisierung 5 z Passw rter ja HttpsRpc HMAC SHA1 96 SSL HMAC SHA1 96 SSL ja SSL PingPong HMAC SHA1 96 Blowfish CBC oder HMAC SHA1 96 ja AES CBC PingPong Transport HMAC SHA1 96 HMAC SHA1 96 ja SSL verschiedene verschiedene verschiedene teilweise konfigurierbar konfigurierbar konfigurierbar http nein TCP nein Tabelle 2 Sicherungsmechanismen der verwendeten Netzwerkprotokolle Die Protokolle und Protokollimplementierungen SSL HTTP und TCP sind keine Bestandteile des EVG 2 10 Client Server Kommunikation beim Verbindungsaufbau Vermittlungsservice und Kommunikationsservice setzen aufgrund ihrer unterschiedlichen Aufgaben verschiedene Protokolle ein 2 10 1 Das Protokoll HttpsRpc Zur Kommunikation zwischen den Clientprogrammen und dem Vermittlungsse
77. greifer Unautorisierte Person Name T Berater Log 1 Angriff Ein Angreifer liest oder manipuliert unberechtigterweise Aufzeichnungen von Sitzungen beim Beraterprogramm Erl uterung Folgende Szenarien kommen in Betracht Ein Angreifer kann versuchen dass Auditaufzeichnungen verloren gehen oder dass zuk nftige Auditaufzeichnungen umgangen werden da die Audit Speicherkapazit t berschritten wird Ein Angreifer manipuliert Sitzungsaufzeichnungen Einem autorisierten Berater wird vorgeworfen in einer vergangenen Sitzung unerw nschte Aktionen durchgef hrt zu haben Eine Sitzung sollte durch den Berater stets nachzuvollziehen sein Wert Verbindungsdaten Angreifer Angreifer ST_Netviewer_one2oneTS_v1 8 pdf Seite 52 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 Name T Server Log 1 Angriff Ein Angreifer liest oder manipuliert unberechtigterweise Aufzeichnungen von Sitzungen bei der Serverkomponente des EVG Erl uterung Folgende Szenarien kommen in Betracht Die Aufzeichnung der Sitzungsprotokolle bei der Server Komponente des EVGs werden gest rt oder manipuliert Ein Angreifer kann versuchen dass Auditaufzeichnungen verloren gehen oder dass zuk nftige Auditaufzeichnungen umgangen werden da die Audit Speicherkapazit t berschritten wird Bei der Serverkomponente des EVG erfolgt unerkannter Verlust der Integrit t der Protokolldaten und Zugangsdaten Als Ursache kommen auch unbeabsichti
78. gte u ere Einfl sse z B Hardwarefehler in Betracht Wert Verbindungsdaten Angreifer Angreifer Name T Privacy 1 Angriff Eine unautorisierte Person erh lt unberechtigterweise Kenntnis von Daten der Sitzungspartner Erl uterung Folgende Szenarien kommen in Betracht Der Angreifer belauscht eine Sitzung Umgehung der Zugriffspolitik ACCESS Session Data Wert Sitzungsdatenstrom Angreifer Unautorisierte Person Name T Client Privacy 2 Angriff Eine unautorisierte Person ger t in den Besitz eines symmetrischen Schl ssels und kann damit kodierte Nachrichten entschl sseln Erl uterung Folgende Szenarien kommen in Betracht Z B kann eine unautorisierte Person versuchen den Schl ssel bei ST_Netviewer_one2oneTS_v1 8 pdf netviewer Seite 53 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 der Ubermittlung an die Clients zu belauschen Umgehung der Zugriffspolitik ACCESS Secure Config Data Wert Daten Angreifer Unautorisierte Person Name T Privacy 3 Angriff Ein Angreifer erhalt unberechtigterweise Kenntnis von Daten die die Sitzungspartner ber die Clientkomponenten mit der Vermittlungsservice Rolle austauschen Signalisierungsdaten Erlauterung Folgende Szenarien kommen in Betracht Der Angreifer belauscht die Signalisierung und erh lt vertrauliche Daten wie z B das Beraterpasswort We
79. h sicherer Zufallszahlen nach DSS fordert 8 2 4 2 Notwendigkeit der Sicherheitsanforderung an die IT Umgebung Aus der Tabelle 13 ist ersichtlich dass jede Sicherheitsanforderungen an die Nicht IT Umgebung mindestens ein Sicherheitsziel adressiert Es gibt also zu einer Sicherheitsanforderung keine leere Zeile 8 2 4 3 Ber cksichtigung der Sicherheitsziele Aus der Tabelle 13 ist ersichtlich dass jedes der identifizierten Sicherheitsziele von mindestens einer Sicherheitsanforderung an die IT Umgebung zumindest teilweise abgedeckt wird 8 2 4 4 Erf llung der Abh ngigkeiten In der folgenden Tabelle 14 werden alle in den CC aufgef hrten Abh ngigkeiten zwischen den ausgew hlten funktionalen Sicherheitsanforderungen Komponenten und anderen funktionalen Komponenten aufgef hrt Sicherheitsanfor derung an die Abschnitt die IT in Teil 2 Umgebung CC Abhangigkeit Erf llung FCS_CKM 1 1 FCS_CKM 2 oder FCS_CKM 2 erf llt in SSL ENV FCS_COP 1 FCS CKM 4 FCS_CKM 4 erf llt in SSL FMT_MSA 2 FCS_MSA 2 erf llt in SSL FCS_COP 1 1 10 2 FDP_ITC 1 oder FCS_CKM 1 erf llt in SSL PRNG FDP_ITC 2 oder FCS_CKM 1 FCS_CKM 4 erf llt in SSL FMT_MSA 2 erf llt in SSL ST_Netviewer_one2oneTS_v1 8 pdf Seite 117 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Sicherheitsanfor derung an die Abschnitt die IT in Teil 2 Umgebun Cc Abh ngigkeit Erf llun FPT_ITT 1 1 15 6 keine erf
80. hnet die bestehende visuelle Verbindung Desktop Sharing zwischen dem Netviewer one2one Berater und Teilnehmerprogramm Sitzungsdatenstrom Daten die zwischen den Clients ausgetauscht werden Dies sind e visualisierbare Daten z B Bildschirminhalte und Videodaten e Daten von Eingabeger ten z B Maus und Tastatur e Steuerungsdaten z B Initiierung eines Blickrichtungswechsels Sitzungsnummer Zuf llig generierte neunstellige Nummer die eine Netviewer Sitzung bis zum Sitzungsende eindeutig identifiziert Die Sitzungsnummer wird insbesondere zur korrekten Vermittlung der beiden Sitzungspartner verwendet Sitzungspartner Sammelbegriff f r Berater und oder Teilnehmer Teilnehmer Anwender des Netviewer one2one Teilnehmerprogramms Teilnehmerprogramm Das Netviewer one2one Teilnehmerprogramm mit dem ein Anwender in eine gestartete Netviewer Sitzung eintreten kann ST_Netviewer_one2oneTS_v1 8 pdf Seite 126 von 132 U ere netviewer Sicherheitsvorgaben zum EVG Vermittlungsservice Die Hauptaufgabe des Vermittlungsservices ist es Berater und Teilnehmer zusammenzuf hren so dass diese eine Sitzung durchf hren k nnen Des Weiteren f hrt der Vermittlungsservice Authentifizierung Autorisierung Lizenzpr fung Protokollierung u a durch Zur Kommunikation zwischen Clients und dem Vermittlungsservice wird das Netviewer eigene Protokoll HttpsRpc Protokoll eingesetzt Watch Modus Modus w hrend einer Netviewer
81. iches zu ersetzen Der Standard Server pr ft das vom Berater Administrator selbst gew hlte Passwort auf hinreichende Qualit t Das Passwort muss eine Mindestl nge von acht Zeichen haben jeweils mindestens einen Gro buchstaben einen Kleinbuchstaben und eine Ziffer enthalten und unterschiedlich vom vorherigen Passwort sein Erst wenn der Berater Administrator das Passwort ge ndert hat erh lt er Zugriff auf die Funktionen des Benutzermanagers Beim n chsten Starten des Benutzermanagers kann sich der Berater Administrator nur noch mit den ge nderten Zugangsdaten anmelden Alle Operationen die der EVG zu oben genannten Administrator Aktionen durchf hrt werden im Audit Protokoll der Serverkomponente festgehalten 2 12 2 Funktionen f r den Berater Administrator Der Berater Administrator kann im Benutzermanager neue Benutzer anlegen Dazu muss er lediglich den Benutzernamen des Beraters definieren Benutzernamen m ssen eindeutig sein d h das Anlegen von Benutzern mit gleichem Benutzernamen ist unzul ssig Das zu dem Benutzernamen geh rige initiale Passwort wird vom System generiert Das generierte Passwort ist achtstellig und eine zuf llige Kombination aus Gro buchstaben Kleinbuchstaben und Ziffern wobei jeweils mindestens ein Gro buchstabe ein Kleinbuchstabe und eine Ziffer enthalten sein muss Das Passwort wird dem Berater Administrator im Benutzermanager angezeigt Die Authentifizierungsmerkmale Benutzername und Passwort
82. ie die sichere Konfiguration von Firewalls auf den PCs bzw innerhalb der jeweiligen Netzinfrastruktur ANF5 Die Administration der Serverkomponente des EVG und der zugrunde liegende Systemumgebung wird durch mindestens eine kompetente und vertrauensw rdige Person durchgef hrt Systemadministratoren nehmen ihre Aufgaben gewissenhaft umsichtig und verantwortungsbewusst wahr Durch die Administration ist insbesondere sicher gestellt eine gesicherte Konfiguration der PCs und der Netzinfrastruktur Dazu z hlen der Einsatz von aktuellen Virenscannern sowie die sichere Konfiguration von Firewalls auf den PCs bzw innerhalb der jeweiligen Netzinfrastruktur eine regelm ige Aktualisierung der eingesetzten Software und des Betriebssystems zur Behebung von Sicherheitsl cken eine regelm ige Sicherung der Konfigurations Daten der EVG Komponente Standard Server ber diese Sicherungen k nnen die Daten wieder hergestellt werden ANF6 Nur autorisierte Personen erhalten ein Authentisierungsmerkmal ST_Netviewer_one2oneTS_v1 8 pdf Seite 83 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Sitzungsnummern werden sicher ausgetauscht Der Berater ist verantwortlich die Identit t des Sitzungsteilnehmers der die Sitzungsnummer erh lt festzustellen Berater erhalten Login und Passwort als Authentisierungsmerkmal ANF7 Der Benutzer geht mit dem Produkt gewissenhaft um insbesondere ist der
83. ier P Karlton and P Kocher The SSL 3 0 Protocol Netscape Communications Corp Nov 18 1996 Internet Draft lt draft freier ssl version3 02 txt gt ST_Netviewer_one2oneTS_v1 8 pdf Seite 129 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Anhang D Versionsinformationen Version Datum Autor Korrektor Bemerkungen Autor Korrektor 0 1 2006 08 17 IS Grundlage Dokument CC NETV 102 in Version RS 1 2 Kapitel 1 2 berarbeitet und erg nzt Gesamtes Dokument auf Netviewer CI angepasst Bedrohungen sortiert EVG Beschreibung berarbeitet Glossar eingef gt 0 1 1 2006 08 29 SF berarbeitung EVG Beschreibung Bedrohungen Sicherheitsziele Kapitel 1 2 Sicherheitsfunktionalit t 0 1 2 2006 09 10 SF Erarbeitung Sicherheitsfunktionen Teile der Erkl rung 0 1 3 2006 09 13 SF GG Einarbeitung Reviewbemerkungen berarbeitung der Sicherheitsfunktionen und der EVG Umgebung 0 2 2006 09 18 SF Vorlage Netviewer zur Feinabstimmung der Sicherheitsfunktionen 0 3 2006 10 04 SF GG Vollst ndige Fassung zur Vorlage Netviewer 0 3 1 2006 10 26 SF Vorlage zum internen Review 0 3 2 2006 11 02 SF Einarbeitung Reviewbemerkung Netviewer 0 4 2006 11 07 IS Einarbeitung Reviewbemerkungen mtG in Kapitel 1 2 0 4 1 2006 11 13 IS CL RS Einarbeitung Korrekturen aus internem Review 0 5 2006 11 16 IS Vorlage zum abschlie enden Review bei mtG 0 6 2007 05 08 SF
84. ies entspricht exakt dem Ziel OE 8 Die Annahme A PHY Server 1 behandelt eine Vorgabe bei der zugrunde gelegt wird dass die Serverkomponente des EVG in einem Serverraum einer Beh rde oder eines Unternehmens betrieben wird Dabei wird davon ausgegangen dass es durch geeignete technische und organisatorische Ma nahmen sichergestellt ist dass unautorisierte Personen keinen unkontrollierten Zugang zum Serverraum haben dass unautorisierte Personen keinen Zugriff auf andere Repr sentationen der Daten des EVG erhalten dass die verwendeten Hardwarekomponenten durch geeignete bauliche oder andere physische Sicherungsma nahmen vor Entwendung gesch tzt sind Dies entspricht exakt dem Ziel OE 1 Die Annahme A PHY Client 1 behandelt eine Vorgabe bei der zugrunde gelegt wird dass die Clientkomponente des EVG in einer normalen B roumgebung einer Beh rde oder eines Unternehmens betrieben wird Dabei wird davon ausgegangen dass es durch geeignete technische und organisatorische Ma nahmen sichergestellt ist dass unautorisierte Personen keinen unkontrollierten Zugang zum B ro bzw Arbeitsplatz haben dass unautorisierte Personen keinen Zugriff auf andere Repr sentationen der Daten des EVG erhalten Dies entspricht exakt dem Ziel OE 3 Die Annahme A PER 1 behandelt eine Vorgabe bei der zugrunde gelegt wird dass die Administration der Clientkomponente des EVG und der zugrunde liegende Systemumgebung durch den autorisierten
85. iese Aufrufe mit einer Wiederholungsbitte beantwortet 3 10 Der Berater bermittelt die Sitzungsnummer auf einem sicheren externen Kanal an den Teilnehmer Der Teilnehmer startet das Teilnehmerprogramm Der Teilnehmer gibt im Teilnehmerprogramm die Sitzungsnummer ein 4 Das Teilnehmerprogramm sendet die Sitzungsnummer ber HttpsRpc an den Vermittlungsservice 4 11 wie 1 1 4 12 wie 1 2 4 13 wie 1 3 4 14 wie 1 4 4 15 wie 1 5 5 Der Vermittlungsservice pr ft die Sitzungsnummer Existenz Sperre und liefert bei Erfolg in seiner Antwort die selben Daten wie sie das Beraterprogramm in Schritt 2 erhalten hat Sitzungsnummer Adresse des Kommunikationsservice symmetrische Schl ssel zur Verschl sselung und Integrit tssicherung des ST_Netviewer_one2oneTS_v1 8 pdf Seite 31 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Sitzungsdatenstroms und die PPT Paarungsnummer Der Vermittlungsservice zerst rt seine Kopie der Schl ssel und sperrt die Sitzung snummer 6 Das Teilnehmerprogramm sendet ber das PPT Protokoll 6a einen Aufruf an den Kommunikationsservice und gleichzeitig direkt an das Beraterprogramm 6b 7 Etablieren der PingPong Verbindung 7 16 Kann eine direkte Peer to peer Verbindung zwischen Berater und Teilnehmerprogramm aufgebaut werden wird diese zur bermittlung der Sitzungsdaten ber das PingPong Protokoll verwendet 7 17 Ist dies aufgrund der Netzwerkumgebung nicht m glich ver
86. im Vergleich zum Teilnehmerprogramm erweiterten Funktionsumfang zur Organisation und Leitung der one2one Sitzung zur Verf gung Der autorisierte Berater hat sich mittels Eingabe der Zugangsdaten autorisiert Autorisierter Teilnehmer Der Teilnehmer muss Zugriff auf das Netviewer one2one Teilnehmerprogramm erhalten Das Teilnehmerprogramm bef higt den Teilnehmer durch die Eingabe eines Identifikationsmerkmales in eine durch den Berater initiierte Sitzung einzutreten Der Teilnehmer hat Zugriff auf die Funktionen des Netviewer Programms zur Kommunikation und zum Datenaustausch mit dem Berater Ein autorisierter Teilnehmer ist zur Nutzung des Teilnehmerprogramms durch die Eingabe einer g ltigen Sitzungsnummer die der autorisierte Berater ihm mitgeteilt hat autorisiert Autorisierter Benutzer oder Sitzungspartner Autorisierter Teilnehmer oder autorisierter Berater die den EVG nutzen Es wird unterschieden zwischen einr umenden Sitzungspartner und berechtigtem Sitzungspartner Einr umender Sitzungspartner Einr umender Sitzungspartner raumt seinem Sitzungspartner gegen ber Rechte ein Rechte k nnen sein Show Modus Leserechte Freigabe der Fernsteuerung Lese und Schreibrechte Berechtigter Sitzungspartner Besitzt Rechte definiert hat die der einr umende Sitzungspartner Unautorisierte Person Person die kein autorisierter Benutzer ist Angreifer
87. it t an In der Applikationsauswahl kann der einr umende Sitzungspartner definieren welche Applikationen dem Sitzungspartner angezeigt werden SF AC 2 Der EVG bietet dem Benutzer folgende Funktionalit t an Die nderung der Blickrichtung erfolgt nur mit ausdr cklicher Zustimmung des einr umenden Sitzungspartners Hierzu wird dem Benutzer ein Pop Up Fenster angezeigt welches er entsprechend best tigen muss SF AC 3 Der EVG bietet dem Benutzer folgende Funktionalit t an Die einger umten Fernsteuerungsrechte k nnen jederzeit durch Bet tigen der Sicherheitstaste F11 Taste oder der Schaltfl che off in der Benutzeroberflache von dem einr umenden Sitzungspartner beendet werden SF AC 4 Der EVG gew hrleistet dass durch die Fernsteuerungsrechte keine weiteren Rechte erworben werden k nnen SF AC 5 Die Anzahl der Sitzungspartner wird auf zwei beschr nkt In einer Sitzung befinden sich maximal ein Berater und ein Teilnehmer ST_Netviewer_one2oneTS_v1 8 pdf Seite 89 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer SF AC 6 Der Berater initiiert die Sitzung Der EVG startet im Show Modus fiir den Berater SF AC 7 Der EVG bietet dem Benutzer folgende Funktionalit t an Die bertragung einer Datei von oder zu dem Sitzungspartner im Show Modus erfolgt zum fernsteuernden Sitzungspartner nur mit ausdr cklicher Zustimmung des einr umenden Sitzungspartners Hierzu wird dem Benutzer ein Pop Up Fenster angezeigt welche
88. itszielen 8 2 5 2 Notwendigkeit der Sicherheitsanforderungen an die Nicht IT Umgebung Aus der Tabelle 15 ist ersichtlich dass jede Sicherheitsanforderungen an die Nicht IT Umgebung mindestens ein Sicherheitsziel adressiert Es gibt also zu einer Sicherheitsanforderung keine leere Zeile 8 2 5 3 Ber cksichtigung der Sicherheitsziele der Nicht IT Umgebung Aus der Tabelle 10 ist ersichtlich dass jedes der identifizierten Sicherheitsziele von mindestens einer Sicherheitsanforderung an die Nicht IT Umgebung zumindest teilweise abgedeckt wird 8 3 Erkl rung der EVG bersichtsspezifikation 8 3 1 Zuordnung der funktionalen Sicherheitsanforderungen zu den Sicherheitsfunktionen In der folgenden Tabelle 16 wird f r jede im Kapitel 6 identifizierte funktionale Sicherheitsanforderung aufgezeigt von welchen Sicherheitsfunktionen sie erf llt wird Tos Gen PSEA SED ISAC BEL FCS _CKM 1 Com Tt J res era dm Ts 4 414 FCS_COP 1 Com Tt FCS COP 1 SigMac FoP ACF Sessa ST_Netviewer_one2oneTS_v1 8 pdf Seite 119 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer SF I amp A SF CD_ SF AC_ SF1 y Be ee ee ee ees 2 asr HE ee p12 N Pie N 26 FDP_ACF 1 CfgData FIA_SOS 1 Berater Passwort FDP_ACF 1 UserData FIA_SOS 1 Berater Administrator Passwort FIA_UAU 1 Berater VS FIA_UAU 1 TN VS 4 Benutzermanager FIA_USB 1 Berater FMT _MSA 1 FMT_SMF 1 7 4
89. jects using controlled operations on controlled objects ST_Netviewer_one2oneTS_v1 8 pdf Seite 72 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Sitzungspartner muss die Fernsteuerungsrechte darauf hin explizit erteilen Zustimmungsdialog 8 Fordert der Berater eine Systemdiagnose des Systems des Teilnehmers durchzuftihren so geschieht dies nur mit Zustimmung seines Sitzungspartners FDP_ACF 1 3 The TSF shall explicitly authorise access of subjects to objects based on the following additional rules none FDP_ACF 1 4 The TSF shall explicitly deny access of subjects to objects based on the none FDP_ACF 1 CfgData Security attribute based access control iteration Secure Config Data FDP_ACF 1 1 The TSF shall enforce ACCESS Secure Config Data to objects based on the following subjects Vermittlungsservice objects files ServerData dat and ContractData dat SFP relevant security attrinbutes none 39 FDP_ACF 1 2 The TSF shall enforce the following rules to determine if an operation among controlled subjects and controlled objects is allowed Eigene sicherheitsrelevanten Konfigurationsdaten Read FDP_ACF 1 3 The TSF shall explicitly authorise access of subjects to objects based on the following additional rules none 3 assignment rules based on security attributes that explicitly authorise access of subjects to objects 37 assignment rules based on security attributes that explicitl
90. k Berater VS FIA_UAU 7 1 The TSF shall provide only obscured feedback to the user while the authentication is in progress FIA_UAU 7 BeraterAdmin 6 assignment list of TSF mediated actions 61 assignment identified authentication mechanism s 62 assignment list of feedback ST_Netviewer_one2oneTS_v1 8 pdf Seite 77 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer FIA_UAU 7 1 FIA_UID 1 Berater VS FIA_UID 1 1 FIA_UID 1 2 FIA_UID 1 TN VS FIA_UID 1 1 FIA_UID 1 2 Protected authentication feedback BeraterAdministrator Benutzermanager The TSF shall provide only obscured feedback to the user while the authentication is in progress Timing of identification iteration Berater VS The TSF shall allow to negotiate the identification method on behalf of the user to be performed before the user is identified The TSF shall require each user to be successfully identified before allowing any other TSF mediated actions on behalf of that user Timing of identification iteration TN VS The TSF shall allow to negotiate the identification method on behalf of the user to be performed before the user is identified The TSF shall require each user to be successfully identified before allowing any other TSF mediated actions on behalf of that user FIA_UID 1 BeraterAdmin Benutzermanager FIA_UID 1 1 FIA_UID 1 2 Timing of identification iteration BeraterAdmin Benutzermanager The T
91. kationsservice noch am darauf folgenden Austausch des Sitzungsdatenstromes beteiligt Vermittlungsservice und Kommunikationsservice sind logisch voneinander getrennt so dass kein Datenaustausch zwischen den beiden Services erfolgt Der Kommunikationsservice verf gt somit auch nicht ber den Schl ssel mit dem die ausgetauschten Sitzungsdaten verschl sselt sind Die Verwendung des Kommunikationsservices erm glicht es Netviewer one2one auch in Systemumgebungen mit Firewalls welche blicherweise die direkte Kommunikation zwischen Berater und Teilnehmerprogramm verhindern zu nutzen Wird der EVG in einem Intranet betrieben ist der Aufbau einer Peer to peer Verbindung zwischen den beiden Clientprogrammen m glich Nach dem Verbindungsaufbau ber den Vermittlungsservice erfolgt dann die Kommunikation w hrend der Sitzung ausschlie lich direkt zwischen den Clients s Abschnitt 2 11 2 2 7 3 Benutzermanager Der Netviewer Benutzermanager ist eine Komponente von Netviewer Standard Server und erm glicht das Anlegen Verwalten und Entfernen von Benutzern die berechtigt zur Nutzung der Netviewer one2one Clientprogramme sind Ausf hrliche Informationen zur Benutzerverwaltung sind im Kapitel 2 12 enthalten 2 7 4 Hilfsdateien des Standard Servers Der Standard Server enth lt die Module Vermittlungsservice Benutzermanager und Kommunikationsservice welche Dateien im Dateisystem zum Betrieb ben tigen Diese Dateien sind e NVSt
92. ldet ist und das Schl sselmaterial zur Sicherung des Sitzungsdatenstroms Das Teilnehmerprogramm meldet sich nun beim Kommunikationsservice an welcher Berater und Teilnehmerprogramm den Datenaustausch erm glicht 2 11 Kommunikation zum Austausch des Sitzungsdatenstroms Die Kommunikation zwischen Beraterprogramm und Teilnehmerprogramm w hrend einer laufenden Sitzung Sitzungsdatenstrom kann ber zwei Modi erfolgen e Indirekte Kommunikation zwischen Berater und Teilnehmerprogramm ber den Kommunikationsservice e Direkte Peer to peer Kommunikation zwischen Berater und Teilnehmerprogramm ohne zwischengeschalteten Server Entscheidend f r die Auswahl der Variante ist die Netzwerktopologie innerhalb derer das Berater und das Teilnehmerprogramm betrieben werden F r die Anwender des Berater und des Teilnehmerprogramms erfolgt die Auswahl des Modus unbemerkt Die folgenden beiden Unterkapitel erl utern die beiden unterschiedlichen Kommunikationsmodi Zur Kommunikation zwischen Beraterprogramm und Teilnehmerprogramm w hrend einer laufenden Sitzung Sitzungsdatenstrom kommen zwei verschiedene Protokolle zum Einsatz Das PPT Protokoll und das darauf aufsetzende setzt das PingPong Protokoll siehe Abbildung Protokollstapel in Kapitel 2 9 1 Der wesentliche Unterschied ist PingPong transportiert den Sitzungsdatenstrom zwischen Beraterprogramm und Teilnehmerprogramm PPT transportiert PingPong entweder zwischen einem Clientprogramm
93. le 2 in Kapitel 2 9 2 Dieser Programmschl ssel ist Teil der in die Clientprogramme fest eingebundenen sicherheitsrelevanten Konfigurationsdaten SF I amp A 7 Der Berater Administrator authentifiziert sich mit Benutzername Passwort bei dem Vermittlungsservice bevor er das Modul Benutzermanager verwenden kann Die Eingabe des Passwortes erfolgt maskiert in dem Eingabefeld werden Sternchen anstatt des Passwortes angezeigt SF I amp A 8 W hlen Berater oder Berater Administrator neue Passworte so werden diese auf ihre G te verifiziert Die Sicherheitsfunktion SF I amp A erf llt die folgenden funktionalen Sicherheitsanforderungen I FIA_SOS 1 Berater Administrator Passwort FIA_UAU 1 Berater VS FIA_UAU 1 TN VS FIA_UAU 1 BeraterAdmin ERAUR E FIA UID 1 BeraterAdmin Benutzermanager ST_Netviewer_one2oneTS_v1 8 pdf Seite 88 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer FIA_USB 1 Berater FIA_USB 1 TN FIA_USB 1 BeraterAdmin FMT_SMF 1 1 6 6 1 3 SF CD Config Data Protection SF CD 1 Der Vermittlungsservice liest die Konfigurationsdateien ServerData dat und ContractData dat nur dann ein wenn sie nicht ver ndert wurden Die Sicherheitsfunktion SF CD erf llt die folgenden funktionalen Sicherheitsanforderungen Ee FCS _COP 1 ComMac FDP_ACC 1 CfgData FDP_ACF 1 CfgData 6 1 4 SF AC Access Control SF AC 1 Der EVG bietet dem Benutzer folgende Funktional
94. logfile txt NVStandardServer_ lt Datum gt _auditlog txt NVStandardServer_ lt Datum gt _VMServerLog csv NVServer_users txt personenbeziehbare Angaben wie z B Kennungen und IP Adressen enthalten fallen sie unter das Bundesdatenschutzgesetz und sind demnach besonders zu Sch tzen Name OE 3 Ziel Die Clientkomponente des EVG wird in einer normalen B roumgebung einer Beh rde oder eines Unternehmens ST_Netviewer_one2oneTS_v1 8 pdf Seite 62 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer betrieben Durch geeignete technische und organisatorische Ma nahmen ist sichergestellt dass unautorisierte Personen keinen Zugang zum B ro bzw Arbeitsplatz haben dass unautorisierte Personen keinen Zugriff auf andere Repr sentationen der Daten des EVG erhalten Name OE 4 Ziel Die Administration der Clientkomponente des EVG und der zugrunde liegende Systemumgebung wird durch den autorisierten Benutzer oder einer anderen vertrauensw rdigen Person Administrator der Clientumgebung gewissenhaft umsichtig und verantwortungsbewusst durchgef hrt und damit den sicheren Betrieb des EVG gew hrleistet Durch die Administration ist insbesondere sicher gestellt eine gesicherte Konfiguration der PCs und der Netzinfrastruktur ausgegangen Dazu z hlen der Einsatz von aktuellen Virenscannern sowie die sichere Konfiguration von Firewalls auf den PCs bzw innerhalb der jeweiligen Netzinfrastruktur
95. m ssen derart konfiguriert sein dass es den Clientprogrammen m glich ist eine TCP Verbindung zum Standard Server aufzubauen Als Mindestvoraussetzung muss es den Clientprogrammen m glich sein http und https Requests an den Standard Server abzusetzen Dies entspricht exakt dem Ziel OE 13 Die Annahme A NET 2 behandelt die Vorgabe dass das SSL Server Zertifikat im Zertifikatsspeicher der Windows Instanz auf dem die Server Komponenten laufen installiert ist Das SSL Server Zertifikat ist auf einen Domainnamen ausgestellt der nachvollziehbar dem Betreiber zugeordnet ist Dies entspricht exakt dem Ziel OE 17 Die Annahme A NET 3 behandelt die Vorgabe dass die Zertifizierungsstelle die das SSL Serverzertifikat und das Exe Signatur Zertifikat ausgestellt hat bei Clients vertrauensw rdig eingestuft ist Dies entspricht exakt dem Ziel OE 18 Die Annahme A NET 4 behandelt die Vorgabe dass die SSL Zertifikatsspeicher der Windows Instanzen auf dem die Clientprogramme bzw der Standard Server ausgef hrt werden ausschlie lich Zertifikate von vertrauensw rdigen Zertifizierungsstellen enthalten Dies entspricht exakt dem Ziel OE 16 Die Annahme A NET 5 behandelt die Vorgabe dass die SSL Implementierung der Windows Instanz auf dem der SSlswitch ausgef hrt wird so konfiguriert ist dass ausschlie lich Kombinationen von Verschl sselungsverfahren und Schl ssell ngen verwendet werden die eine St rke von mindestens 128 Bit aufwei
96. mer in der Lage die Serverkomponente zu nutzen Das Sicherheitsziel O Auth 3 definiert dass nur authentifizierte Berater Administratoren mit Hilfe des Benutzermanagers Berater verwalten k nnen Die Authentifizierung des Berater Administrators unterst tzen folgende funktionale Sicherheitsanforderungen FIA_UAU 1 BeraterAdmin Benutzermanager fordert dass vor der Authentifizierung keine Methode m glich ist FIA_UAU 7 BeraterAdmin fordert dass die Eingabe des Passwortes verdeckt erfolgt maskiert mit Sternen Dies ist bei der Authentifizierung des Berater Administrators gegen ber dem Vermittlungsservice der Fall FIA_UID 1 BeraterAdmin Benutzermanager fordert dass vor der Identifizierung keine Methode m glich ist FIA_SOS 1 Berater Administrator Passwort fordert dass das Berater Administrator Passwort einer bestimmten Policy folgt FMT_SMF 1 spezifiziert die Management Funktionen der Benutzerdatei durch den Benutzermanager FMT_SMR 1 spezifiziert die Rolle Berater Administrator der Serverkomponente ST_Netviewer_one2oneTS_v1 8 pdf Seite 107 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Die Authentifizierung des Benutzerverwalters unterst tzen folgende funktionale Sicherheitsanforderungen FIA_USB 1 BeraterAdmin fordert dass mit dem Sicherheitsattribut Berater Administrator Passwort der Benutzer Berater Administrator assoziiert wird Der authentifizierte Nutzer Berater Administrator aktivier
97. mittelt der Kommunikationsservice die Daten der beiden PPT Verbindungen anhand der PPT Paarungsnummer 7 18 Damit ist die PingPong Verbindung zwischen Beraterprogramm und Teilnehmerprogramm etabliert Diese wird mit den Schl sseln aus Schritt 2 bzw 5 gesichert bzgl Vertraulichkeit Integrit t und Authentizit t 2 12 Benutzerverwaltung Der Benutzermanager ist eine Komponente des Netviewer Standard Server und erm glicht dem Berater Administrator das Anlegen Verwalten und Entfernen von Benutzern die zur Benutzung des Netviewer one2one Beraterprogramms berechtigt sind Den Benutzern k nnen verschiedene Rechte in Netviewer one2one zugewiesen werden Der Benutzermanager kann nur auf dem Serverrechner auf dem der Standard Server l uft verwendet werden Beim Starten des Benutzermanagers muss sich der Berater Administrator mit seinem Benutzernamen und seinem Passwort authentifizieren Die Informationen die im Benutzermanager bearbeitet werden k nnen werden vom Standard Server in der Benutzerdatei NVServer_users txt gespeichert Passw rter werden nicht im Klartext in der Benutzerdatei abgelegt sondern nur deren Hashwert RIPEMD_256 So k nnen die Passw rter vom Vermittlungsservice auf G ltigkeit gepr ft werden ohne im Klartext lesbar zu sein vom Server Administrator oder einem Einbrecher ST_Netviewer_one2oneTS_v1 8 pdf Seite 32 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer a netviewer Be
98. mme die Serverkomponenten benutzen k nnen ST_Netviewer_one2oneTS_v1 8 pdf Seite 106 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer FIA_ATD 1 Berater fordert dass ein Beraterpasswort zu einem individuellen Nutzer n mlich einem Berater zuzuordnen ist Jeder Berater erh lt eine ihm eindeutig zuzuordnendes Beraterpasswort FIA_ATD 1 Teilnehmer fordert dass eine Sitzungsnummer zu einem Teilnehmer zuzuordnen ist Durch die Umgebung wird sicher gestellt dass der Berater nur dem Teilnehmer die Sitzungsnummer mitteilt mit dem er die Sitzung f hren m chte Jede Sitzungsnummer ist daher genau einem Teilnehmer zuzuordnen FIA_USB 1 Berater fordert dass mit dem Sicherheitsattribut Beraterpasswort der Benutzer Berater assoziiert wird Der Berater muss sich mittels des Beraterprogramms an der Serverkomponente authentifizieren bevor er das System benutzen kann Vor erfolgreicher Authentifizierung ist keine Nutzung m glich Somit sind ausschlie lich Beraterprogramme von authentifizierten Beratern in der Lage die Serverkomponente zu nutzen FIA_USB 1 TN fordert dass mit dem Sicherheitsattribut Sitzungsnummer mit der Benutzer Teilnehmer assoziiert wird Der Teilnehmer muss sich mittels des Teilnehmerprogramms an der Serverkomponente authentifizieren bevor er das System benutzen kann Vor erfolgreicher Authentifizierung ist keine Nutzung m glich Somit sind ausschlie lich Teilnehmerprogramme von authentifizierten Teilneh
99. n r und PDF Dateien werden auf einer CD ROM ausgeliefert die der Delivery Mitarbeiter im Anschluss an die Erstellung des EVGs erzeugt hat Eine Ausnahme bilden die initialen Authentifizierungsdaten Benutzername und Passwort f r den Berater Administrator Diese werden in einer separaten Postsendung direkt an den vom Kunden benannten Berater Administrator verschickt Anhand der mit ausgelieferten Dokumentation sind der Server und der Berater Administrator imstande das Netviewer one2one System eigenst ndig aufzusetzen und in Betrieb zu nehmen Der Prozess einer Nach oder Neuauslieferung entspricht dem oben beschriebenen Prozess da immer eine Komplettauslieferung des EVGs notwendig ist Auslieferung an den Berater Die Auslieferung des Netviewer one2one Beraterprogramms an die berechtigten Berater kann ber verschiedene Wege erfolgen Der Besitz des Beraterprogramms allein ohne im Besitz einer g ltigen Benutzername Passwort Kombination zu sein stellt keine Bedrohung da Im Netviewer Standard Server Administratorhandbuch werden folgende Auslieferungsmethoden f r das Beraterprogramm empfohlen e Per E Mail e Per automatischer Software Verteilung e Per Ablage auf einem Netzlaufwerk ST_Netviewer_one2oneTS_v1 8 pdf Seite 38 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Die Verteilung der Benutzerdaten Benutzername und Passwort muss vertraulich durch den Berater Administrator an den Empf nger erfol
100. n Sitzungspartnern e Dateitransfer Austausch von Dateien zwischen den Sitzungspartnern Netviewer bietet zwei verschiedene Verfahren o Dateien k nnen ber eine Container Funktion im Netviewer Control Panel von beiden Seiten hoch und heruntergeladen werden o Dateien k nnen vom Anwender im Watch Modus bei aktivierter Fernsteuerung per Drag amp Drop aus dem Netviewer Fenster heraus und ins Netviewer Fenster hineingezogen werden Der Anwender im Show Modus muss der bertragung von Dateien auf seinen Computer und von seinem Computer weg explizit zustimmen e Whiteboard Der Anwender im Show Modus kann die Whiteboard Funktion aktivieren welche einen Screenshot des derzeitigen Bildschirms erstellt in welchem beide Sitzungspartner zeichnen k nnen e Favoriten Favoriten im Netviewer Control Panel sind Verkn pfungen zu Dateien um auf diese w hrend einer Sitzung schnell zugreifen zu k nnen Die erstellten Verkn pfungen sind nur f r den lokalen Anwender und nicht f r den Sitzungspartner zug nglich e Notizen In einem Bereich des Netviewer Control Panels k nnen Notizen festgehalten werden e Zoom Autoscroll Vollbild Verschiedene Einstellungen zum Anpassen der Darstellung des bertragenen Bildschirms im Netviewer Fenster e Aufzeichnungsfunktion Zusatzfunktionalitat die Sitzungen als Mitschnitt im Dateiformat nvl aufzeichnet Die Sitzungsmitschnitte k nnen mit dem Netviewer NetPlayer abgespielt werden ST_Netviewer
101. n niedriges Angriffspotenzial verf gt Es wird davon ausgegangen dass ein Angreifer begrenzte technische und zeitliche M glichkeiten besitzt und ber allgemein verf gbare Kenntnisse der Informationstechnik des Betriebssystems und des EVG verf gt Der Sitzungsdatenstrom unterliegt folgender Zugriffspolitik ACCESS Session Data die der EVG durchzusetzen hat Rolle Zugriffsrecht Einr umender Sitzungsdaten im Showmodus Read Write Sitzungspartner Zur Fernsteuerung freigegebene Sitzungsdaten Read Write ST_Netviewer_one2oneTS_v1 8 pdf Seite 45 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Berechtigter Sitzungsdaten im Watchmodus Read Sitzungspartner Freigegebene Sitzungsdaten Read Zur Fernsteuerung freigegebene Sitzungsdaten Read Write Es gelten hierbei folgende Bedingungen Es werden nur Rechte f r die Applikationen gew hrt die der einr umende Sitzungspartner in der Applikationsauswahl definiert hat Auf alle anderen Daten hat der berechtigte Sitzungspartner keinen Zugriff Die nderung der Blickrichtung erfolgte nur mit ausdr cklicher Zustimmung des einr umenden Sitzungspartners Durch die Fernsteuerungsrechte k nnen keine weiteren Rechte erworben werden W hrend einer Sitzung kann die Fernsteuerung nur mit ausdr cklicher Zustimmung des einr umenden Sitzungspartners erfolgen Die Fernsteuerung kann nur einger umt werden wenn zuvor die Blick
102. n the initial association of user security attributes with subjects acting on the behalf of users none FIA_USB 1 3 The TSF shall enforce the following rules governing changes to the user security attributes associated with subjects acting on the behalf of users none FIA_USB 1 BeraterAdmin User subject binding iteration Benutzermanager 67 Tassignment list of user security attributes 68 assignment rules for the initial association of attributes 62 assignment rules for the changing of attributes 7 Tassignment list of user security attributes 71 assignment rules for the initial association of attributes 72 assignment rules for the changing of attributes ST_Netviewer_one2oneTS_v1 8 pdf Seite 79 von 132 U Sicherheitsvorgaben zum EVG 14 09 2009 netviewer FIA_USB 1 1 FIA_USB 1 2 FIA_USB 1 3 FMT_MSA 1 FMT_MSA 1 1 FMT_SMF 1 FMT_SMF 1 1 FMT_SMR 1 FMT_SMR 1 1 FMT_SMR 1 2 The TSF shall associate the following user security attributes with subjects acting on the behalf of that user Passwort des Berater Administrators The TSF shall enforce the following rules on the initial association of user security attributes with subjects acting on the behalf of users during the delivery procedure the initial password is defined The TSF shall enforce the following rules governing changes to the user security attributes associated with subjects acting on the behalf of users first time of use
103. ndows Server 2003 Intel Pentium Prozessor mit mindestens 2 GHz oder vergleichbar mindestens 1 GB RAM mindestens 2 GB freien Festplattenplatz Microsoft NET Framework 2 0 mindestens 100 Mbit Netzwerkkarte sowie Internet oder ST_Netviewer_one2oneTS_v1 8 pdf Seite 84 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Intranetanbindung ANF15 Die Clientprogramme des EVG werden auf einer Plattform mit den nachfolgenden Anforderungen betrieben PC mit Microsoft Windows 2000 oder Windows XP Internet Intranetzugang mit beliebigem Browser Prozessor mit mind 300 MHz mind 64 MB RAM ANF16 Die SSL Zertifikatsspeicher der Windows Instanzen auf dem die Clientprogramme bzw der Standard Server ausgef hrt werden enthalten ausschlie lich Zertifikate von vertrauensw rdigen Zertifizierungsstellen ANF17 Das SSL Server Zertifikat ist im Zertifikatsspeicher der Windows Instanz auf dem die Server Komponenten laufen installiert Das SSL Server Zertifikat ist auf einen Domainnamen ausgestellt der nachvollziehbar dem Betreiber zugeordnet ist ANF18 Die Zertifizierungsstelle die das SSL Serverzertifikat und das Exe Signatur Zertifikat ausgestellt hat ist bei Clients vertrauensw rdig eingestuft ANF19 Die Clientprogramme und der Standard Server sind integer ANF2O Das SSL Serverzertifikat wird vertraulich und integer gespeichert ANF21 Die SSL Implementierung der Windows Instanz auf dem
104. ne2oneTS_v1 8 pdf Seite 29 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Netviewer Standard Server s ServerSettings ini ContractData dat ServerDate dat gt NVServer_users txt i SSLswitch xml Windows Tor Netviewer one2one s Netviewer one2one m Windows er ha Beraterprogramm Teilnehmerprogramm eier NV_o2o0_Berater_DE exe Abbildung 8 Zusammenspiel der EVG Komponenten Die in der Grafik nummerierten Schritte werden im folgenden erl utert und untergliedert 1 Das Beraterprogramm sendet die Sitzungsanforderung und die Authentifizierungsdaten des Beraters an den Vermittlungsservice 1 1 Das Clientprogramm initiert eine HttpsRpc Anfrage an die fest eingebundene Vermittlungsservice URL des Netviewer Servers 1 2 Die HttpsRpc Client Implementierung kodiert die Anfrage und initiert eine HTTPS Anfrage ber WinInet DLL 1 3 Der SSLswitch nimmt die SSL Verbindung entgegen und f hrt das SSL Handshake durch Um sich zu authentifizieren entnimmt der SSLswitch dem Windows Zertifikatsspeicher des Rechners auf dem der Standard Server l uft das SSL Serverzertifikat Die WinInet DLL des Clientprogramms pr ft die G ltigkeit des Zertifikats 1 4 Bei Erfolg nimmt der SSLswitch die HttpsRpc Anfrage entgegen und leitet sie unverschl sselt an den Vermittlungsservice ST_Netviewer_one2oneTS_v1 8 pdf Seite 30 von 132 Sicherheit
105. nenten des EVG sind auf dem Betriebssystem Microsoft Windows lauff hig Die Clientprogramme k nnen unter Microsoft Windows 2000 und Windows XP und die Serverkomponente unter Microsoft Windows Server 2000 und Server 2003 verwendet werden F r den erfolgreichen Betrieb des EVG ist auf allen beteiligten Systemen Beraterrechner Teilnehmerrechner und Serverrechner eine geeignet schnelle Internetverbindung erforderlich Weiterhin m ssen das Berater und das Teilnehmerprogramm eine TCP Verbindung zum Netviewer Server aufbauen k nnen F r den sicheren Betrieb des EVG ist es notwendig dass das jeweilige Betriebssystem nicht korrumpiert ist was u a durch gewissenhaftes einspielen von Aktualisierungen des Betriebssystemherstellers Patches und durch Betrieb von Programmen zur Abwehr von Schadsoftware geschieht Virenscanner usw Insbesondere greift der EVG auf Kryptographiekomponenten des Betriebssystems zu die SSL und die Zufallszahlengenerierung betreffen die f r einen sicheren Betrieb ben tigt werden Genaue Angaben zu diesbez glichen Annahmen finden sich in Kapitel 3 2 Detaillierte Systemanforderungen der Komponenten des EVG enth lt das Kapitel 3 2 ST_Netviewer_one2oneTS_v1 8 pdf Seite 10 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 2 5 Besonderheiten von Netviewer one2one gt Das Produkt Netviewer one2one weist hinsichtlich der Erstellung der Auslieferung und des Betriebs einige Besonderheiten auf die
106. netviewer Sicherheitsvorgaben Security Target zu Netviewer one2one Version 5 1 der Netviewer AG Karlsruhe BSI Zertifizierungs ID BSI DSZ CC 0524 ST Version 1 8 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Inhaltsverzeichnis INHAETSVERZEICHNIS sssssssicccvcevscciviewicessesvncncsdevdvsaccaccdeadeavewcecessscensdeteestccevsvanstac 2 1 ST EINFUHRUNG cccccscecccsseeecenneeeeeneeeeaseeseaseeneaneeeeaaseeseaseeeeaneeseanneesenseess 5 ded ZST IDENTIEIKANION en snien ran caskets E E 5 142 ST UBERSICHT ee ee ee ee 5 1 3 POSTULAT DER BEREINSTIMMUNG MIT DEN CC vc ccceccecceceeceeceeceeceuceuseuceeeeeeeeaeeneeass 6 2 EVG BESCHREIBUNG 32 uu 04u004 00000 namen anne een nn nennen een 7 2 1 BERSICHT BER DEN EVG u ee ee 7 2 2 LIEFERUMFANG ana 7 2 3 ANORDNUNG UND BENENNUNG DER TEILE DES EVG 2aeusnnnennnnnennnnnennnnnennnnnennnnnnn nun 9 2 4 SYSTEMANFORDERUNGEN VON NETVIEWER ONE2ZONE cccceceeeeceeeceueeeaceeeceueeeaeeueeeues 10 2 5 BESONDERHEITEN VON NETVIEWER ONE2ONE cccceceecececeeeeeuceeeceueeeaueeeceueeeaueuaneues 11 2 6 CLIENTPROGRAMME VON NETVIEWER ONE2ONE cccceceecececeeeeeuceeeceueeeuueeeeeueeeaeeueneuas 11 2 6 1 Wichtige Einsatzszenarien Netviewer ONC2ONETS 1cccceeeeeeeeeeneeeeeeeeeneees 11 2 6 2 Sitzungsaufbau aus Anwendersicht 1 20 1 0ccceee cence cent een nanennanennannnnan nennen nenn 12 2 6 3 Benutzer berfl che u aninnn u Re 14 226 4 FONKUONEN en NLET axes Bevi
107. nforderungen an den EVG e Erkl rung der Anforderungen an die Mindestst rke der EVG Sicherheitsfunktionen e Erkl rung der Anforderungen an die Vertrauensw rdigkeit des EVG e Erkl rung der Sicherheitsanforderungen an die IT Umgebung e Erkl rung der Sicherheitsanforderungen an die Nicht IT Umgebung 8 2 1 Erkl rung der funktionalen Sicherheitsanforderungen an den EVG 8 2 1 1 Zuordnung der funktionalen Sicherheitsanforderungen zu den Sicherheitszielen In der folgenden Tabelle 11 wird f r jede identifizierte funktionale Sicherheitsanforderung aufgezeigt zu welchen Sicherheitszielen sie beitr gt ST_Netviewer_one2oneTS_v1 8 pdf Seite 104 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Sicherheitsziele a AN gt gt U U G 2 2 Funktionale E E e olo Pt tx eee FCS_COP 1 Com Jx i x N ku oO fe Ls ieee FCS_COP 1 SigMac Ea FCS_COP 1 ComMac FDP_ACC 1 SessData Ea SEN FDP_ACC 1 CfgDatay FDP_ACC 1 UserData x x eu x ei ku o e Ls Ea x x x FDP_ACF 1 SessData FDP_ACF 1 CfgData FDP_ACF 1 UserData x FDP_ITT 4 O OS Oo ea ara h 1 1 FIA_ATD 1 Berater x x FIA ATD 1 Teilnehmer x x FIA_ATD 1 BeraterAdmin x EEE ae a CCCP
108. ngen an die Mindestst rke der EVG Sicherheitsfunktionen Die Mechanismen die auf einem Wahrscheinlichkeits oder Permutationsmechanismus beruhen erreichen die Mindestst rke SOF Basic Es wird darauf hingewiesen dass mit dem SoF Claim keine Beurteilung der algorithmischen Strenge vorgenommen wird ST_Netviewer_one2oneTS_v1 8 pdf Seite 115 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Als Angreifer wurden Personen mit begrenzten technischen und zeitlichen M glichkeiten und mit allgemein verf gbaren Kenntnissen der Informationstechnik des Betriebssystems und des EVG angenommen Die Mindestst rke SOF Basic bietet entsprechend Sicherheitsziel OE 9 einen hinreichenden Schutz gegen ber einem solchen Angriffspotential 8 2 3 Erkl rung der Anforderungen an die Vertrauensw rdigkeit des EVG Der EVG soll die Anforderungen der Vertrauensw rdigkeitsstufe EAL2 gem Teil 3 der CC erf llen Die mit dem EVG zu verarbeitenden Daten besitzen einen niedrigen Schutzbedarf Der EVG soll eine dem Schutzbedarf der Informationen angemessene Vertrauensw rdigkeit bieten Als Angreifer wurden Personen mit begrenzten technischen und zeitlichen M glichkeiten und mit allgemein verf gbaren Kenntnissen der Informationstechnik des Betriebssystems und des EVG angenommen Da die Komponenten des EVGs ber das ungesch tzte Internet miteinander kommunizieren m ssen sind der EVG und die mit im verarbeiteten Daten Gefahren ausgesetzt
109. ngen an die Mindeststarke der EVG Sicherheitsfunktionen Der Authentisierungsmechanismus der in der Sicherheitsfunktion SF I amp A Identification amp Authentification Anwendung findet beruht auf einem Wahrscheinlichkeits oder Permutationsmechanismus Die St rke dieser Funktionen wird mit SOF Basic der Common Criteria CC angegeben 5 3 Anforderungen an die Vertrauensw rdigkeit des EVG Der EVG soll die Anforderungen der Vertrauensw rdigkeitsstufe EAL2 gem Teil 3 CC_P3 der Common Criteria CC erf llen 5 4 Sicherheitsanforderungen an die IT Umgebung Die folgenden Sicherheitsanforderungen an die IT Umgebung sind Komponenten aus Teil 2 CC_P2 der der Common Criteria CC FCS_CKM 1 Env Cryptographic key generation IT environment FCS_CKM 1 1 The IT environment shall generate cryptographic keys in accordance with a specified cryptographic key generation algorithm as defined in the SSLv3 and TLSv1 standards SSL3 and RFC2246 and specified cryptographic key sizes 128 or 256 that meet the following AES or BLOWFISH 82 selection disclose modification gt modification 83 Verfeinerung TSF gt IT environment 84 assignment cryptographic key generation algorithm 85 assignment cryptographic key sizes 86 assignment list of standards ST_Netviewer_one2oneTS_v1 8 pdf Seite 81 von 132 Sicherheitsvorgaben zum EVG ere netviewer Application Notes Die Verschl sselung der Daten im Rahmen der
110. nnn nenn nenn nenn 42 3 2 ANNAHMEN anni a a ee 48 3 2 1 Annahmen ber die Verwendung 2z u424 nHnranan non ennanennanennanennan nennen nen 48 3 2 2 Materielle ANNAAMEN ccccccccccccccnccecccccccneneceueccneeenseesecennenseesecuenananenenenngs 48 3 2 3 Personelle Annahmen ccs an nn IE 49 3 2 4 Annahmen ber die Vernetzung 24 u424 nrnnanennanennanennanennan nennen namen nenn 51 3 3 BEDROHUNGEN sunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 52 3 4 ORGANISATORISCHE SICHERHEITSPOLITIK sannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nun nn 58 4 SICHERHEIT S ZI BLE vvscicsecccacccancresccanewescnanewescnesewescmasewescnesetsscnesenescnesewesenancwas 59 4 1 SICHERHEITSZIELE FUR DEN EVG cccccccccsccccuusueeeuueueeeueeeeeeueeueueueeeuseeeeeeuseeeeennsss 59 4 2 SICHERHEITSZIELE FUR DIE UMGEBUNG visveeeeseeeeeeeeeeeee seen eee e nun nun nun nn nun nun nn nn nn nn nn nn nn EES 61 4 2 1 Sicherheitsziele f r die IT Umgebung 24 s424 nHnnan en nan en an en nan nennen nenn 61 4 2 2 Sicherheitsziele f r die Nicht IT Umgebung 424 s4ran ernennen nn en nen 62 5 TT SICHERHEITSANFORDERUNGEN uuuuuunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 68 5 1 _FUNKTIONALE SICHERHEITSANFORDERUNGEN AN DEN EVG ssennnnnnnunnnnnnnn nun nun nn nun nun nun 68 5 2 ANFORDERUNGEN AN DIE MINDESTST RKE DER EVG SICHERHEITSFUNKTIONEN sesesseeeeees 81 5 3 ANFORDERUNGEN AN DIE VER
111. notwendig Nicht erf llte Abh ngigkeiten zur laufenden Nummer 2 der Tabelle 12 Die Abh ngigkeit der funktionalen Sicherheitsanforderung FCS_CKM 2 zu FCS_CKM 4 und FMT_MSA 2 wird nicht erf llt FCS_CKM 2 Com behandelt die Erzeugung des symmetrischen Schl ssels der der beim Austausch des Datenstroms verwendet wird Der Austausch der symmetrischen Schl ssel wird mittels des propriet ren Protokolls HttpsRpc ausgehandelt der Schl ssel wird jeweils nur tempor r f r eine Sitzung verwendet Nach Beendigung der Session ist der symmetrische Schl ssel nicht mehr g ltig eine Zerst rung des Schl ssels wie sie bei der funktionalen Sicherheitsanforderung FCS_CKM 4 gefordert wird ist nicht notwendig Da der Schl ssel nur tempor r verwendet wird sind Anforderungen an den sicheren Zustand des Schl ssels nicht notwendig Nach Beendigung der Session ist der symmetrische Schl ssel nicht mehr g ltig ein Management des Schl ssels ist nicht notwendig Nicht erf llte Abh ngigkeiten zur laufenden Nummer 3 der Tabelle 12 ST_Netviewer_one2oneTS_v1 8 pdf Seite 113 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Die Abh ngigkeit der funktionalen Sicherheitsanforderung FCS_COP 1 symmetrischer Schl ssel beim Austausch des Datenstroms zu FCS_CKM 4 und FMT_MSA 2 wird nicht erf llt FCS_COP 1 Com behandelt den kryptographischen Betrieb f r den symmetrischen Schl ssel der im Rahmen der Signalisierung ausgehandel
112. nutzermanager Benutzernamen amp nvadmin amp Support Ordnen Sie hier den Benutzern Rollen zu ber Rollen r umen Sie einem Benutzer bestimmte Rollen Rechte in Netviewer ein amp Vertrieb international Vertrieb national Administration Admin Profilmanager V Sitzungsplaner Sitzungskoordinator Netviewer 020 V Berater r Abbildung 9 Beispielhafte Ansicht des Benutzermanagers 2 12 1 Initialer Berater Administrator Bei der Erstellung des EVGs durch die Netviewer AG mittels des Netviewer Konfigurators siehe 2 13 1 definiert der verantwortliche Netviewer Mitarbeiter der Abteilung Delivery die initialen kundenspezifischen Authentifizierungsmerkmale Benutzername und Passwort f r den Berater Administrator Die Authentifizierungsmerkmale f r den Berater Administrator werden getrennt vom EVG per Post ausgeliefert siehe 2 13 3 Bei der Auslieferung erh lt der Server Administrator die EVG Komponenten und nimmt sie in Betrieb Der Berater Administrator erh lt im Rahmen der Auslieferung die Zugangsdaten f r das initiale Berater Administrator Konto Dieses Berater Administrator Konto muss zun chst aktiviert werden Beim ersten Starten des Benutzermanagers meldet sich der Berater Administrator mit dem initialen Passwort an Er wird daraufhin vom System aufgefordert das initiale ST_Netviewer_one2oneTS_v1 8 pdf Seite 33 von 132 U Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Passwort durch ein pers nl
113. nutzernamen und ihr Passwort nicht weiter Name OE 7 Ziel Der Benutzer geht mit dem Produkt gewissenhaft um insbesondere ist der Benutzer daf r verantwortlich dass die Applikationsauswahl auf das Notwendigste beschr nkt ist Bildschirmbereiche die f r den Fernsteuernden frei gegeben werden Name OE 8 Ziel Die mit dem EVG zu verarbeitenden Daten besitzen einen niedrigen Schutzbedarf Name OE 9 Ziel Die Aufzeichnungen auf der Berater Clientkomponente des EVG Verbindungsdaten sind integer und vertraulich Name OE 10 Ziel Die Aufzeichnungen auf der Server Komponente des EVG Verbindungsdaten sind integer und vertraulich Name OE 11 Ziel Die Komponenten des EVG Client und Serverkomponente sind integer und k nnen nicht ausgetauscht werden ST_Netviewer_one2oneTS_v1 8 pdf Seite 64 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Name OE 12 Ziel Die Konfigurationsdaten und Verbindungsdaten auf der Serverkomponente des EVG sind vertraulich verwaltet Name OE 13 Ziel Alle vier Programme des EVGs m ssen in einem TCP IP Netz betrieben werden Dessen Endsysteme sowie die dazwischen liegenden Transitsysteme und ggf vorhandene Gateways m ssen derart konfiguriert sein dass es den Clientprogrammen m glich ist eine TCP Verbindung zu dem Rechner aufzubauen auf dem die Serverkomponenten betrieben werden aufzubauen Als Mindestvora
114. nzeigt Der Berater bermittelt nun auf einem sicheren Weg die Sitzungsnummer an den Teilnehmer Die Sitzungsnummer dient zur Authentifizierung des Teilnehmers Der Berater darf die Sitzungsnummer nur der Person bermitteln mit der er die Sitzung durchf hren m chten Das Netviewer one2one System schaltet den Teilnehmer der eine Sitzungsnummer in das Teilnehmerprogramm eingibt mit dem Berater zusammen dessen Beraterprogramm ebendiese Sitzungsnummer angezeigt hat Daher ist der Berater daf r verantwortlich die Identit t des Sitzungsteilnehmers der die Sitzungsnummer erh lt festzustellen Der Berater muss weiterhin gew hrleisten dass ST_Netviewer_one2oneTS_v1 8 pdf Seite 12 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer die Sitzungsnummer auf einem sicheren Weg bertragen wird Bei der bertragung per E Mail ist es notwendig die E Mails verschl sselt zu versenden Die M glichkeiten zur Verschl sselung k nnen der Hilfe des E Mail Programms entnommen werden In den in Kapitel 2 6 1 beschriebenen Einsatzszenarien sind Berater und Teilnehmer bereits in einem Telefonat ber das Festnetz so dass die Sitzungsnummer auch ber diesen Weg bermittelt werden kann Der Teilnehmer startet nun das Teilnehmerprogramm das er vom Berater erhalten hat und gibt in einem Dialog die vom Berater bermittelte Sitzungsnummer ein Nach der Best tigung der Eingabe wird die Sitzung zwischen Berater und Teilnehmer hergestellt
115. on amp Authentification SF I amp A 7 aufgef hrt FCS_CKM 1 Com und FCS_COP 1 Com behandeln die Erzeugung und die Operation des symmetrischen Schl ssels der zur Verschl sselung des Datenaustausches verwendet wird Gleichzeitig dient der Schl ssel zur gegenseitig Authentifizierung Dies entspricht der Sicherheitsfunktion SF I amp A 3 FIA_SOS 1 Berater Passwort und FIA_SOS 1 Berater Administrator Passwort erfordert die Verifikation des Passwortes nach einer bestimmten Metrik Dies entspricht der Sicherheitsfunktion SF I amp A 8 FIA_USB 1 Berater und FIA_USB 1 TN erfordern jeweils die Bindung zwischen dem Benutzer und den Clientkomponenten FIA_USB 1 BeraterAdmin erfordert die Bindung zwischen Berater Administrator und Benutzermanager FIA_ATD 1 Berater FIA_ATD 1 Teilnehmer und FIA_ATD 1 BeraterAdmin erfordern die Zuordnung der Sicherheitsattribute Beraterpasswort Sitzungsnummer und Berater Administrator Passwort zu den jeweiligen Benutzern Durch die funktionalen Sicherheitsanforderungen wird die Authentisierung der Clientkomponenten und des Benutzermanagers gew hrleistet wie sie in der Sicherheitsfunktion unter SF I amp A 1 und SF I amp A 6 f r die Beraterkomponente und unter SF I amp A 2 und SF I amp A 6 f r die Teilnehmerkomponente und unter SF I amp A 7 f r den Benutzermanager gefordert ist SF CD FDP_ACC 1 CfgData und FDP_ACF 1 CfgData fordern den geregelten Zugriff auf die Konfigurationsdateien ServerDa
116. one FDP_ITT 1 Basic internal transfer protection FDP_ITT 1 1 The TSF shall enforce the ACCESS Session Data to prevent the disclosure modification of user data when it is transmitted between physically separated parts of the TOE 42 assignment rules based on security attributes that explicitly deny access of subjects to objects 43 assignment access control SFP 44 assignment list of subjects and objects controlled under the indicated SFP and for each the SFP relevant security attributes or named groups of SFP relevant security attributes 45 assignment rules governing access among controlled subjects and controlled objects using controlled operations on controlled objects 46 assignment rules based on security attributes that explicitly authorise access of subjects to objects 4 assignment rules based on security attributes that explicitly deny access of subjects to objects 48 assignment access control SFP s and or information flow control SFP s 49 selection disclosure modification loss of use gt disclosure modification ST_Netviewer_one2oneTS_v1 8 pdf Seite 74 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer FIA_AFL 1 Authentication failure handling FIA_AFL 1 1 The TSF shall detect when three unsuccessful authentication attempts occur related to the number of entries of wrong Beraterpassworter the number of entries of wrong Sitzungsnummern FIA_AFL 1 2 When the
117. one2oneTS_v1 8 pdf Seite 56 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Angriff Ein Angreifer der Zugriff auf den Server erlangt liest oder manipuliert Konfigurationsdaten Erlauterung Folgende Szenarien kommen in Betracht Bei der Serverkomponente des EVG erfolgt unerkannter Verlust der Integrit t der Konfigurationsdaten Als Ursache werden unbeabsichtigte u ere Einfl sse z B Hardwarefehler oder Manipulationsversuche autorisierter Benutzer angenommen Umgehung der Zugriffspolitik ACCESS Secure Config Data und ACCESS Config User Data Wert Daten Angreifer Unautorisierte Person Name T Server Cfg 2 Angriff Ein Angreifer t uscht die Identit t der Serverkomponenten vor z B indem er Zugriff auf den privaten Key des SSL Serverzertifikats erlangt Das Vort uschen der Identit t der Serverkomponenten erlaubt es dem Angreifer Sitzungen unter falscher Identit t zu initiieren und sich dadurch das Vertrauen von Teilnehmern zu erschleichen Erl uterung Folgende Szenarien kommen in Betracht z B indem er Zugriff auf den privaten Key des SSL Serverzertifikats erlangt Wert Daten Angreifer Unautorisierte Person ST_Netviewer_one2oneTS_v1 8 pdf Seite 57 von 132 CL netviewer Sicherheitsvorgaben zum EVG 14 09 2009 3 4 Organisatorische Sicherheitspolitik P Datenschutz Auf dem Server werden datenschutzrechtliche Bestimmungen eingehalten Dies bedeutet d
118. oo BEEN famimistatoracewont x Administrator ren FIA_ EIA UAULA Berater Vs FIA_UAU 1 Berater VS T o H IFIA_UAU 1 TN VS EEE ss EE Benutzermanag ger FR na ees ME E a E E FT Free FIA_UAU 7 BeraterAdmin x Ea UID Berater VS xf I p P FIA_ UID 1 TN FIA UID 1 TN VS SO Benutzermanae REE Besta ol FIA_ IFIA_USB 1 Berater 1 Berater rn FIA_USB 1 BeraterAdmin x lFMT_MSAAd O O fx CT l i FMT_SMF 2 EEE fx CT UT S UT TC FMT_SMR4 O f s Tf EEE EEE Bo eee TERETE PTT LL BELLY fe Rights 4 Liel kl TT foserwenctas ST_Netviewer_one2oneTS_v1 8 pdf Seite 105 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Tabelle 11 Zuordnung der funktionalen Sicherheitsanforderungen zu den Sicherheitszielen Das Sicherheitsziel O Auth 1 definiert dass nur autorisierte Benutzer in eine Sitzung eintreten FIA_UAU 1 Berater VS und FIA_UAU 1 TN VS fordern dass vor der Authentifizierung keine Methode m glich ist Die funktionale Sicherheitsanforderung wird einmal f r die Authentifizierung des Beraters und des Vermittlungsservices und einmal f r die Authentifizierung des Teilnehmers und des Vermittlungsservices definiert FIA_UAU 4 fordert dass eine Einweg Autoriserung mittels Sitzungsnummer notwendig ist Dies ist bei der die Authentifizierung des Teilnehmers gegen ber dem Vermittlungsser
119. or dem Gebrauch der Clientsoftware pr fen ob es sich bei der vorliegenden exe Datei um ein Originalprogramm der Netviewer AG handelt und es unmodifiziert ist Die Clientprogramme und der Standard Server sind mit einem VeriSign Zertifikat das auf die Netviewer AG ausgestellt ist signiert Damit werden die Authentizit t und die Integrit t der Programme sichergestellt Hinweise zur manuellen Pr fung der Codesignatur sind im Benutzerhandbuch und im Administratorhandbuch zu finden 2 14 bersicht ber die Sicherheitsfunktionalit t des EVG In diesem Abschnitt wird eine bersicht ber die Sicherheitsfunktionalit t des EVG gegeben Der EVG bietet Schutz gegen Angreifer mit einem niedrigen Angriffspotential Die bertragenen Daten zwischen Berater und Teilnehmer werden symmetrisch verschl sselt und mit Keyed Message Authentication Codes versehen Mit diesen Die Clientprogramme und der Standard Server pr fen beim Start mittels Windows API Funktionen die G ltigkeit der Codesignatur und beenden sich mit einer Fehlermeldung falls die Pr fung fehlschl gt Dadurch ist sichergestellt dass manipulierte und nicht authentische Programme nicht zum Einsatz kommen k nnen auch wenn eine manuelle Pr fung unterlassen wird ST_Netviewer_one2oneTS_v1 8 pdf Seite 40 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Ma nahmen wird die Vertraulichkeit Data Protection und die Integrit t Integrity der Daten gew hrleistet
120. ows Explorer Mindjet MindManager Pro 2 5 Microsoft Office Outlook Neu ge ffnete Anwendungen bertragen Desktop bertragen Taskleiste und System bertragen Netviewer Panel bertragen ITTITTITIITR Version 5 0 E Netviewer installieren Wie funktioniert Netviewer Abbildung 4 Das Netviewer one2one Control Panel auf Beraterseite im Show Modus 2 6 4 Funktionen Die grafische Benutzeroberflache bietet den Anwendern die Nutzung folgender Grundfunktionen w hrend einer Sitzung Desktop Sharing mit Blickrichtungswechsel Die Bildschirmansicht eines Anwenders wird auf einen entfernten Computer bertragen d h der Anwender befindet sich im so genannten Show Modus Zeigemodus Der Sitzungspartner befindet sich im so genannten Watch Modus Betrachtermodus Die Blickrichtung oder auch bertragungsrichtung kann durch Benutzereingaben w hrend der Sitzung jederzeit durch den Berater oder den Teilnehmer ge ndert werden d h der Anwender im Show Modus wechselt in den Watch Modus und der Anwender im Watch Modus wechselt in den Show Modus ST_Netviewer_one2oneTS_v1 8 pdf Seite 15 von 132 CL Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Bevor der Bildschirm eines Anwenders an den Sitzungspartner Ubertragen wird und dieser Einsicht in ge ffnete Dokumente und Anwendungen erh lt muss er der bertragung in einem Best tigungsdialog zustimmen Fernsteuerung Befind
121. r Drag amp Drop nur mit ausdr cklicher Zustimmung des Sitzungspartners benutzt werden kann der die Funktion nicht initiiert hat Alle Sicherheitsziele O Rights 1 bis O Rights 5 dienen dazu dass der Benutzer nur Rechte erlangt die der einr umende Sitzungspartner in diesem Umfang definiert hat und dass der einr umende Sitzungspartner Wissen hiervon erlangt hat In O Privacy 2 wird definiert dass die Anzahl der Sitzungspartner auf zwei beschr nkt ist Die Sicherheitsziele O Rights 1 bis O Rights 5 und O Privacy 2 sind damit hinreichend f r T Client Rights 1 ST_Netviewer_one2oneTS_v1 8 pdf Seite 99 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Die Bedrohung T Server Cfg 1 behandelt Angriffe bei denen ein Angreifer Konfigurations oder Verbindungsdaten liest oder manipuliert nachdem er Zugriff auf den Serverrechner erlangt hat In dem Sicherheitsziel O Server Cfg 1 ist definiert dass die Konfigurationsdateien auf der Serverkomponente nur dann eingelesen werden wenn sie integer sind In dem Sicherheitsziel OE 12 ist definiert dass die Konfigurationsdaten und Verbindungsdaten auf der Serverkomponente des EVG vertraulich verwaltet sind Die Sicherheitsziele sind damit hinreichend f r T Server Cfg 1 Die Bedrohung T Server Cfg 2 betrachtet das Szenario dass ein Angreifer die Identit t der Serverkomponenten vort uscht Im Sicherheitsziel OE 20 ist definiert dass das SSL Serverzertifikat vertraulich und
122. ran ernennen 120 8 3 3 Mindestst rke der Sicherheitsfunktionen r24 n424an rn an ernennen nn 123 8 3 4 Nachweis der Ma nahmen zur Vertrauensw rdigkeit des EVG 123 8 4 ERKL RUNG DER PP POSTULATE ns en dienes cers 123 ANHANG A GLOSSAR nuunuananunnannnnanunnanunnanunnannnnannnnannnnannnnannnnanunnanunnanannannnnanunn 124 ANHANG B ABK RZUNGEN 22u22222n00nnnnnnnnnnnnunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 128 ANHANG C REFERENZEN unuauansnnnunununnnnananannannunnnnanananananununnnnananananunnnunnnn anne 129 ANHANG D VERSIONSINFORMATIONEN nuenunnanunnanunnanunnanunnanunnanunnanunnannnnanunn 130 ST_Netviewer_one2oneTS_v1 8 pdf Seite 4 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 1 ST Einf hrung 1 1 ST Identifikation Dieses Dokument stellt die Sicherheitsvorgaben Security Target f r das Produkt Netviewer one2one Version 5 1 der Netviewer AG Erzbergerstr 117 76133 Karlsruhe dar Das Produkt Netviewer one2one besteht aus mehreren Programmen die in Kapitel 2 aufgef hrt sind Identifikationsdaten BSI Zertifizierungs ID BSI DSZ CC 0524 ST Datum 14 09 2008 ST Version 1 8 EVG Name Netviewer one2one EVG Version 5 1 build nummer 1208 ST Dateiname ST_Netviewer_one2oneTS_v1 8 pdf Verfasser Netviewer AG Erzbergerstr 117 76133 Karlsruhe Die vorliegenden Sicherheitsvorgaben basieren auf den Common Criteria CC CC in Version 2 3
123. rd definiert dass die Verbindungsdaten der Serverkomponente des EVG integer und vertraulich sind Dieses Sicherheitsziel ist also hinreichend f r T Server Log 1 Die Bedrohung T Privacy 1 behandelt Angriffe bei denen eine unautorisierte Person unberechtigterweise Kenntnis von Daten der Sitzungspartner erh lt In dem Sicherheitsziel O Privacy 1 wird definiert dass der zwischen den Sitzungspartnern bermittelte Sitzungsdatenstrom vertraulich und von Dritten nicht einsehbar ist Als Dritter wird in diesem Zusammenhang auch der optional eingesetzte Kommunikationsservice interpretiert der keine Kenntnis des Sitzungsdatenstroms erlangt In dem Sicherheitsziel O Privacy 2 wird definiert dass nicht mehr als zwei Sitzungspartner an einer Sitzung teilnehmen k nnen Die Sicherheitsziele O Privacy 1 und O Privacy 2 sind also hinreichend f r T Privacy 1 Die Bedrohung T Client Privacy 2 behandelt Angriffe bei denen eine unautorisierte Person in den Besitz eines kryptographischen Schl ssels ger t und damit kodierte Nachrichten entschl sseln kann In dem Sicherheitsziel OE IT 3 ist definiert dass die zwischen den EVG Komponenten bermittelten Signalisierungsdaten vertraulich und von Dritten nicht einsehbar sind Kryptographische Schl ssel sind Teil der Signalisierungsdaten Dieses Sicherheitsziel ist also hinreichend f r T Client Privacy 2 ST_Netviewer_one2oneTS_v1 8 pdf Seite 97 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 ne
124. rden Dies sind Daten zur Ausgabe z B visualisierbare Daten wie Bildschirminhalte und Videodaten Daten von Eingabeger ten z B Maus und Tastatur Die Sitzungsdaten werden als ein zu sch tzendes Objekt definiert Informative Bemerkung Bei Sitzungsdaten ist zu unterscheiden zwischen Sitzungsdaten im Show Modus ohne Fernsteuerung des einr umenden Sitzungspartners entspricht dem Watch Modus des berechtigten Sitzungspartners hier hat der berechtigte Sitzungspartner Lese Rechte und Zur Fernsteuerung freigegebene Sitzungsdaten des einr umenden Sitzungspartners hier hat der berechtigte Sitzungspartner Lese und Schreib Rechte ST_Netviewer_one2oneTS_v1 8 pdf Seite 42 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Objekt Beschreibung Konfigurationsdateien Die sicherheitsrelevanten Konfigurationsdateien ServerData dat und ContractData dat sind bei den Serverkomponenten lokalisiert Signalisierungsdaten Signalisierungsdaten sind die zur Signalisierung zwischen den Clients und dem Vermittlungsservice ausgetauschten Daten Signalisierung ist die Ubermittlung von Information zu Steuerungszwecken Hauptzweck beim Austausch von Signalisierungsinformationen ist es die Verbindung zwischen den Clients herzustellen aufrecht zu halten und schlie lich wieder abzubauen Zur Kommunikation zwischen Clients und dem Vermittlungsservice wird das Signalisierungsprotokoll HttpsRpc eingesetzt
125. rh lt und mit welcher er in eine Sitzung eintreten kann Das Initiieren einer one2one Sitzung ist mit dem Teilnehmerprogramm nicht m glich Im Folgenden wird kurz auf die Benutzeroberfl che und die Funktionen die den Anwendern w hrend der Sitzung zur Verf gung stehen eingegangen ST_Netviewer_one2oneTS_v1 8 pdf Seite 13 von 132 a Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 2 6 3 Benutzeroberflache Die grafische Benutzeroberfl che von Netviewer one2one nach dem Sitzungsstart ist bei Berater und Teilnehmer wahrend einer bestehenden Sitzung unterschiedlich Abbildung 3 Bildschirmansicht beim Sitzungsstart beim Teilnehmer Auf beiden Seiten ist das Netviewer Control Panel ein seitlich am Bildschirmrand angedocktes Bedienfeld sichtbar Es bietet Zugriff auf verschiedene Funktionen wie Applikationsauswahl Dateitransfer etc Der Anwender der seinen Bildschirm zeigt verf gt au erdem ber das Mini Panel ein zus tzliches Bedienfeld mit zentralen Steuerungsfunktionen Auf der Gegenseite ist das Netviewer Fenster sichtbar welches den bertragenen Bildschirminhalt des Sitzungspartners darstellt ST_Netviewer_one2oneTS_v1 8 pdf Seite 14 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer netviewer Fernsteuerung Gil on o v Sitzung Sitzung 224880 Passwort uf771990 amp Profiiname Pr sentation Teilnehmer Computer neu starten Applikationsauswahl Alle Anwendungen bertragen amp E Wind
126. richtung entsprechend der einr umenden Fernsteuerungsrechte ge ndert wurde Die Fernsteuerung kann nur auf Applikationen erfolgen die im Rahmen der Blickrichtungs nderung ber die Applikationswahl definiert wurden Die Fernsteuerungsrechte k nnen jederzeit durch Bet tigen einer Taste von dem einr umenden Sitzungspartner entzogen werden Fil Taste W hrend einer Sitzung kann die Funktion Dateitransfer per Drag amp Drop nur mit ausdr cklicher Zustimmung des Sitzungspartners benutzt werden kann der die Funktion nicht initiiert hat Es k nnen nur zwei Sitzungspartner an einer Sitzung teilnehmen Die einger umten Fernsteuerungsrechte beziehen sich nur auf Fenster von Applikationen die der Einr umende Sitzungspartner in der Applikationswahl Schublade freigegeben hat Der EVG bietet dem Benutzer folgende Funktionalit t an Die Fernsteuerungsrechte k nnen vom Berater im ST_Netviewer_one2oneTS_v1 8 pdf Seite 46 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Watch Modus angefordert werden Der einr umende Sitzungspartner muss die Fernsteuerungsrechte darauf hin explizit erteilen Zustimmungsdialog Fordert der Berater eine Systemdiagnose des Systems des Teilnehmers durchzuf hren so geschieht dies nur mit Zustimmung seines Sitzungspartners Tabelle 6 ACCESS Session Data Die beiden bei den Serverkomponenten lokalisierten sicherheitsrelevanten Konfigurationsdat
127. rom ist vertraulich und von Dritten nicht einsehbar Name O Privacy 2 Ziel Die Anzahl der Sitzungspartner wird auf zwei beschr nkt Name O Integrity 1 6 Auch nicht von dem Kommunikationsservice ber den der Austausch des Sitzungsdatenstroms optional erfolgt ST_Netviewer_one2oneTS_v1 8 pdf Seite 59 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Ziel Der zwischen den beiden Clientprogrammen der Sitzungspartner ausgetauschte Sitzungsdatenstrom ist integer Name O Integrity 2 Ziel Die zwischen den EVG Komponenten bermittelten Signalisierungsdaten sind integer Name O Rights 1 Ziel W hrend einer Sitzung kann die nderung der Blickrichtung nur mit ausdr cklicher Zustimmung des einr umenden Sitzungspartners erfolgen Name O Rights 2 Ziel W hrend einer Sitzung wird dem Sitzungspartner nur die Applikationen angezeigt die der einr umende Sitzungspartner in der Applikationsauswahl definiert hat Name O Rights 3 Ziel W hrend einer Sitzung kann die Fernsteuerung nur mit ausdr cklicher Zustimmung des einr umenden Sitzungspartners erfolgen Die Fernsteuerung kann nur einger umt werden wenn zuvor die Blickrichtung entsprechend der einr umenden Fernsteuerungsrechte ge ndert wurde Die Fernsteuerung kann nur auf Applikationen erfolgen die im Rahmen der Blickrichtungs nderung ber die Applikationswahl definiert wurden W hrend ein
128. rs erfolgen kann In dem Sicherheitsziel O Rights 2 wird definiert dass dem Sitzungspartner nur die Applikationen angezeigt werden die der einr umende Sitzungspartner in der Applikationsauswahl definiert hat In dem Sicherheitsziel O Rights 3 wird definiert dass die Fernsteuerung nur mit ausdr cklicher Zustimmung des einr umenden Sitzungspartners erfolgen kann Die Fernsteuerung kann nur einger umt werden wenn zuvor die Blickrichtung entsprechend der einr umenden Fernsteuerungsrechte ge ndert wurde Die Fernsteuerung kann nur auf Applikationen erfolgen die im Rahmen der Blickrichtungs nderung ber die Applikationswahl definiert wurden W hrend einer Sitzung kann der einr umende Sitzungspartner seinem Kommunikationspartner die Fernsteuerungsrechte jederzeit durch Bet tigen der Sicherheitstaste Taste F11 entziehen Werden vom Sitzungspartner im Watch Modus die Fernsteuerungsrechte angefordert muss der einr umende Sitzungspartner die Fernsteuerungsrechte im Rahmen eines Zustimmungsdialoges explizit erteilen Fordert der Berater eine Systemdiagnose des Systems des Teilnehmers durchzuf hren so geschieht dies nur mit Zustimmung seines Sitzungspartners In dem Sicherheitsziel O Rights 4 wird definiert dass sich der Kommunikationspartner des einr umenden Sitzungspartners mittels der Fernsteuerungsrechte keine weitere Rechte selbst einr umen kann In dem Sicherheitsziel O Rights 5 wird definiert dass die Funktion Dateitransfer pe
129. rt Daten Signalisierungsdaten Angreifer Angreifer Name T Integrity 1 Angriff Ein Angreifer manipuliert unbemerkt eine Sitzung durch Ver nderung des Sitzungsdatenstroms oder ersetzt diesen und bermittelt dem empfangenden Sitzungspartner falsche Daten Erl uterung Folgende Szenarien kommen in Betracht Es wird davon ausgegangen dass der Angreifer so genannte man in the middle Attacken oder session hijacking Attacken einsetzt um dem Sitzungspartner falsche Daten zu bermitteln Umgehung der Zugriffspolitik ACCESS Session Data Wert Sitzungsdaten Angreifer Angreifer Name T Integrity 2 Angriff Ein Angreifer modifiziert das Netviewer Server Teilnehmer oder Beraterprogramm unbemerkt um z B die Sicherheitsfunktionen netviewer Der Austausch des Sitzungsdatenstroms kann optional ber den Kommunikationsserver erfolgen ST_Netviewer_one2oneTS_v1 8 pdf Seite 54 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 des EVG zu umgehen Erlauterung Hierunter fallt unter anderem auch das Modifizieren der EVG Komponenten vor Auslieferung an den Kunden z B der Ab nderung der sicherheitsrelevanten Konfigurationsparameter wie der eingebundenen Schl ssel Wert Daten Angreifer Unautorisierte Person Name T Integrity 3 Angriff Ein Angreifer manipuliert unbemerkt Signalisierungsdaten die zwischen den EVG Clientkomponenten und der Serverkomponente ausgeta
130. rten Kommentare 0 9 1 0 1 2008 03 20 SF Review auf Teilbereich berarbeitung bzgl Unstimmigkeit zu ANF 20 Einpflegen von FIA_AFL 1 1 0 2008 03 20 CL nderungen von SF versandfertig gemacht berarbeitet 1 0 gt pre1 5 2008 07 10 CL Beginn der berarbeitung wg Reviewbericht v0 80 von 2008 06 25 0524 ASE 080625 _v0 80 pdf basierte auf ST_Netviewer_one2oneTS_v1 0 doc pdf vom 20 03 2008 1 5 2008 07 28 CL Fertigstellung Version 1 5 nderungen mit Kommentaren versehen 1 6 2008 07 28 CL Alle Kommentare aus 1 5 gel scht Sonst nichts ge ndert prel 7 2009 02 02 CL Beginn der Uberarbeitung wg Reviewbericht 0524 ASE_090129_v0 90 pdf ST_Netviewer_one2oneTS_v1 8 pdf Seite 131 von 132 Sicherheitsvorgaben zum EVG ne netviewer 1 7 2009 03 30 CL Fertigstellung Uberarbeitung wg Reviewbericht 0524 ASE 090129 _v0 90 pdf 1 8 2009 09 14 CL jetzt niedriger Schutzbedarf Version 5 1 0 1208 Neues Kapitel vor 2 6 1 Wichtige Einsatzszenarien Netviewer one2oneTS Kapitel 2 5 Zusatz zum zweiten Spiegelstrich Kapitel 2 4 ein neuer Abschnitt ADM und USR jetzt v1 4 wg Schutzbedarf Version Bitte verwenden Sie das Format x x x oder x x Datum Bitte verwenden Sie das Format Jahr Monat Tag ST_Netviewer_one2oneTS_v1 8 pdf Seite 132 von 132
131. rvice wird das propriet re Protokoll HttpsRpc auf Port 443 verwendet setzt auf HTTP 1 1 ber SSL auf HttpsRpc etabliert einen sicheren Kanal ber welchen die integre vertrauliche und authentische bermittlung des Signalisierungsdatenstroms erfolgt Der Standard Server authentifiziert sich gegen ber einem Clientprogramm per SSL Serverzertifikat Das SSL Protokoll wird serverseitig von der Serverkomponente SSLswitch unter Benutzung von Windows Bibliotheken implementiert clientseitig kommt die in Windows vorinstallierte Bibliothek WinInet DLL zum Einsatz ST_Netviewer_one2oneTS_v1 8 pdf Seite 23 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Ein Clientprogramm authentifiziert sich beim Server indem es die Kenntnis eines fest eingebundenen Geheimnisses Programmschl ssel nachweist Dazu wird bei HttpsRpc zu Beginn eine Challenge Response Phase durchlaufen in der mit der Server Challenge eine Pseudozufallszahl generiert von einer Windows Bibliothek au erhalb des EVGs und dem beiderseitig bekannten Programmschl ssel Hashwerte gebildet werden Der Programmschl ssel befindet sich serverseitig in der Datei ContractData dat clientseitig ist er fest eingebunden Nach erfolgreich abgeschlossener Challenge Response Phase ist es dem Clientprogramm m glich Requests Signalisierungsanfragen siehe Kapitel Ablauf der Signalisierung an den Server zu stellen Diese Requests und die dazugeh rigen Server Responses werden mit
132. s ceageeavoadeorixsndes nav esiearaxsdes nay ara eres 15 2 6 5 Beenden def Sitzung ie ehe 18 2 6 6 Informationsbereitstellung f r die Anwender der Clientprogramme 18 2 7 SERVERKOMPONENTE STANDARD SERVER enanennnunnunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenn 18 2 7 1 VErMittl ngsservice sisuisesee sten en area rear sehe 18 2 7 2 Kommunikationsservice eaensaensaenenonnnennnonnnennnennnennnennnnnnnnnnnennnnnnnnnnnennnn 19 2 7 3 Benutzermanager iincess ces cedsscivecsenves ved ran nne nennen ee 19 2 7 4 Hilfsdateien des Standard Servers sssunsnensnensnonnnonnnennnennnennnennnennnenenn 19 2 8 SERVERKOMPONENTE SSLSWITCH nnenannnennnnnunnnnnunnnnnunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nun 20 2 8 1 Funktionsweise des SSLswitches uu220ss20nnnonnnonnnennnennnennnennnen ann nnennnn 20 2 8 2 SSL ServerZertifik t n esnenennn nen rennen sive 20 2 9 BERSICHT BER DIE VERWENDETEN NETZWERKPROTOKOLLE sc sseccecseceeceeceeceueeueeueeaeeass 21 2 9 1 Protok llstapel unte e nennen inne an 22 2 9 2 Sicherungsmechanismen der Netzwerkprotokolle 2r s42r nnnran nn 23 2 10 CLIENT SERVER KOMMUNIKATION BEIM VERBINDUNGSAUFBAU snnnnnnnennnnnunnnnnunnnnnnnnnnnn 23 2 10 1 Das Protokoll HttpsRpc zneenennennennennonnnnnonnnnnannnnnnnnnnnnnnnnnnnnnen nennen nennen nenne 23 2 10 2 Ablauf der Signalisierung 24 u424 R4RHan en none Hann namen man ennanennen nennen 24 2 11 KOMMUNIKATION ZUM AUSTAUSCH DES
133. s cece cecatncnreetcececeseteacnensiconceescenssansussaraacteescutsrccecerateneseasenstes 95 8 1 _ ERKL RUNG DER SICHERHEITSZIELE un ai a uni 95 8 1 1 Zuordnung der Sicherheitsziele zur EVG Sicherheitsumgebung 95 8 1 2 Notwendigkeit der Sicherheitsziele 4 u4nr0nnnrennnnan nennen nennen nen 96 8 1 3 Abwehr der BECCONUNG SP iss ix si essen pens yn nennen nen ee 96 8 1 4 Erf llung der Sicherheitspolitiken 22 cccceccececeee eee e eee e ene an en namen an nnan en 100 8 1 5 Ber cksichtigung der Annahmen 24 u42sanrnranennanennanennan en anennan ern 100 8 2 ERKL RUNG DER SICHERHEITSANFORDERUNGEN nuanunnunnennennnnnnnnnnnnnnunnun nun nun nun nennen 104 8 2 1 Erkl rung der funktionalen Sicherheitsanforderungen an den EVG 104 8 2 2 Erkl rung der Anforderungen an die Mindestst rke der EVG Sicherheitsf nktionen n uusen ae cnn ab ne vale ke in da ena ee Pb na 115 8 2 3 Erkl rung der Anforderungen an die Vertrauensw rdigkeit des EVG 116 8 2 4 Erkl rung der Sicherheitsanforderungen an die IT Umgebung 116 8 2 5 Erkl rung der Sicherheitsanforderungen an die Nicht IT Umgebung 118 8 3 ERKL RUNG DER EVG BERSICHTSSPEZIFIKATION ssccseeccesceceeeeeeseeeeseseeeeseeeeaeeesaes 119 8 3 1 Zuordnung der funktionalen Sicherheitsanforderungen zu den Sicherheitstunktionensas ssne2 22er 119 8 3 2 Notwendigkeit der Sicherheitsanforderung 24 s424 nrR
134. s er entsprechend best tigen muss SF AC 8 Der EVG bietet dem Benutzer folgende Funktionalit t an Die einger umten Fernsteuerungsrechte beziehen sich nur auf Fenster von Applikationen die der Einr umende Sitzungspartner in der Applikationsauswahl Schublade freigegeben hat SF AC 9 Der EVG bietet dem Benutzer folgende Funktionalit t an Die Fernsteuerungsrechte k nnen vom Sitzungspartner im Watch Modus angefordert werden Der einr umende Sitzungspartner muss die Fernsteuerungsrechte darauf hin explizit erteilen Zustimmungsdialog Die Sicherheitsfunktion SF AC erf llt die folgenden funktionalen Sicherheitsanforderungen ee FDP_ACC 1 SessData FDP_ACF 1 SessData 6 1 5 SF I Integrity SF I 1 Die Unverletztheit der Integritat des Sitzungsdatenstroms wird bei dem Empfangenden Clientprogramm gepr ft Liegt eine Manipulation der verschl sselten Daten vor so wird die Sitzung mit einem Fehler abgebrochen Dazu wird ein Message Authentication Code HMAC siehe RFC2104 und RFC2404 mit dem Schl ssel hmac_communication verwendet Diese Integrit tspr fung findet in den Protokollen PingPong Zeile 3 in Tabelle 2 in Kapitel 2 9 2 und PingPong Transport Zeile 4 in Tabelle 2 in Kapitel 2 9 2 statt SF I 2 Die Daten die zur Signalisierung mit dem von dem Beraterprogramm oder dem Teilnehmerprogramm an den Vermittlungsservice bertragen werden und umgekehrt sind mit einem Message Authentication Code HMAC siehe RFC2104
135. sen Dies entspricht exakt dem Ziel OE 21 Die Annahme A Plattform Server behandelt eine Vorgabe wonach die Server Komponente des EVG auf einer Plattform mit den nachfolgenden Anforderungen betrieben wird Betriebssystem Microsoft Windows Server 2000 oder Windows Server 2003 Intel Pentium Prozessor mit mindestens 2 GHz oder vergleichbar mindestens 1 GB RAM mindestens 2 GB freien Festplattenplatz ST_Netviewer_one2oneTS_v1 8 pdf Seite 103 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Microsoft NET Franework2 0 mindestens 100 Mbit Netzwerkkarte sowie Internet oder Intranetanbindung Dies entspricht exakt dem Ziel OE 14 Die Annahme A Plattform Client behandelt eine Vorgabe wonach die Clientkomponenten des EVG auf einer Plattform mit den nachfolgenden Anforderungen betrieben werden PC mit Microsoft Windows 2000 oder Windows XP Internet Intranetzugang mit beliebigem Browser Prozessor mit mind 300 MHz mind 64 MB RAM Dies entspricht exakt dem Ziel OE 15 Die Annahme A PRNG Server fordert dass der Pseudozufallszahlengenerator PRNG des Betriebssystems auf dem die Serverkomponenten und die Clientprogramme ausgef hrt werden kryptographisch sichere Zufallszahlen liefert Dies entspricht exakt dem Ziel OE IT 2 8 2 Erkl rung der Sicherheitsanforderungen Dieses Kapitel Erkl rung der Sicherheitsanforderungen ist unterteilt in die Unterkapitel e Erkl rung der funktionalen Sicherheitsa
136. signment list of cryptographic operations 91 assignment cryptographic algorithm 92 assignment cryptographic key sizes 3 assignment list of standards ST_Netviewer_one2oneTS_v1 8 pdf Seite 82 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Repr sentationen der Daten des EVG erhalten dass die verwendeten Hardwarekomponenten durch geeignete bauliche oder andere physische Sicherungsma nahmen vor Entwendung gesch tzt sind ANF2 Auf dem Server werden datenschutzrechtliche Bestimmungen eingehalten ANF3 Die Clientkomponente des EVG wird in einer normalen B roumgebung einer Beh rde oder eines Unternehmens betrieben Durch geeignete technische und organisatorische Ma nahmen ist sichergestellt dass unautorisierte Personen keinen unkontrollierten Zugang zum B ro bzw Arbeitsplatz haben dass unautorisiette Personen keinen Zugriff auf andere Repr sentationen der Daten des EVG erhalten ANF4 Die Administration der Clientkomponente des EVG und der zugrunde liegende Systemumgebung wird durch den autorisierten Benutzer oder einer anderen vertrauensw rdigen Person Administrator der Clientumgebung gewissenhaft umsichtig und verantwortungsbewusst durchgef hrt und damit den sicheren Betrieb des EVG gew hrleistet Durch die Administration ist insbesondere sicher gestellt eine gesicherte Konfiguration der PCs und der Netzinfrastruktur Dazu z hlen der Einsatz von aktuellen Virenscannern sow
137. sselte Daten an den Vermittlungsservice weiter Dessen unverschl sselte Antworten werden vom SSLswitch verschl sselt per SSL an den Client gesandt Der SSLswitch ist also der serverseitige Endpunkt des SSL Tunnel zwischen den Clientprogrammen und dem Standard Server Beim SSLswitch wird in der Datei SSLswitch xml das zu verwendende Serverzertifikat angegeben siehe Kapitel 2 8 2 Der SSLswitch implementiert das SSL Protokoll nicht selbst vielmehr werden Windows Bibliotheken dazu verwendet Die von den Windows Bibliotheken verwendbaren SSL Cipher Suites werden vom Server Adminstrator so konfiguriert so dass die kryptographische St rke immer mindestens 128 Bit entspricht Anweisungen dazu finden sich im Administratorhandbuch 2 8 2 SSL ServerZertifikat Da die Clientprogramme im Rahmen der Signalisierung vertrauliche Informationen z B das Beraterpasswort an den Vermittlungsservice senden muss sichergestellt werden dass der Vermittlungsservice auch derjenige Vermittlungsservice ist an den die Clientprogramme die Information senden wollen Die URL welche den DNS Namen ST_Netviewer_one2oneTS_v1 8 pdf Seite 20 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer enthalt des Vermittlungsservice ist fest in die Clientprogramme einkompiliert Um zu verhindern dass Clientprogramme mit einem unbeteiligten Vermittlungsservice kommunizieren oder einer Man In the Middle Attack zum Opfer fallen wird die Identit t Domain Name des
138. subjects and controlled objects is allowed 1 Es werden nur Rechte f r die Applikationen gew hrt die der einr umende Sitzungspartner in der Applikationsauswahl definiert hat Auf alle anderen Daten hat der berechtigte Sitzungspartner keinen Zugriff 2 Die nderung der Blickrichtung erfolgt nur mit ausdr cklicher Zustimmung des einr umenden Sitzungspartners 3 Durch die Fernsteuerungsrechte k nnen keine weiteren Rechte erworben werden 4 Die Fernsteuerungsrechte k nnen jederzeit durch Bet tigen eines Buttons von dem einr umenden Sitzungspartner beendet werden F11 Taste 5 Die Anzahl der Sitzungspartner wird auf zwei beschr nkt Dies geschieht durch Einrichten einer Sitzungssperre bei dem Vermittlungsservice sobald zwei Sitzungspartner in eine Sitzung eingetreten sind 6 Die einger umten Fernsteuerungsrechte beziehen sich nur auf Fenster von Applikationen die der Einr umende Sitzungspartner in der Applikationswahl Schublade freigegeben hat 7 Der EVG bietet dem Benutzer folgende Funktionalit t an Die Fernsteuerungsrechte k nnen vom Sitzungspartner im Watch Modus angefordert werden Der einr umende 33 assignment access control SFP 34 assignment list of subjects and objects controlled under the indicated SFP and for each the SFP relevant security attributes or named groups of SFP relevant security attributes 35 assignment rules governing access among controlled subjects and controlled ob
139. svorgaben zum EVG 14 09 2009 netviewer 1 5 Die HttpsRpc Server Implementierung entnimmt den Programmschl ssel der Datei ContractData dat und pr ft damit die Integrit t und Authentizit t der Anfragen 1 6 Der Vermittlungsservice pr ft die Authentifizierungsdaten gegen die Benutzerdatei NVServer_users txt Der Vermittlungsservice pr ft die Lizenzierung des Beraterprogramms ContractData dat Der Vermittlungsservice generiert ber einen Pseudozufallszahlengenerator aus einer Windows Bibliothek eine neunstellige Sitzungsnummer 2 Der Vermittlungsservice sendet einen HttpsRPC Aufruf mit der Sitzungsnummer der Adresse des Kommunikationsservice DNS Name und Port konfiguriert in ServerData dat die symmetrischen Schl ssel zur Verschl sselung und Integrit tssicherung des Sitzungsdatenstroms und die PPT Paarungsnummer jeweils Pseudozufallszahlengenerator an den SSLswitch Der SSLswitch sendet diese HttpsRpc Antwort verschl sselt weiter an das Beraterprogramm Das Beraterprogramm zeigt die Sitzungsnummer in der Benutzeroberfl che an 3 Das Beraterprogramm verbindet sich mit dem Kommunikationsservice 3 7 Das Beraterprogramm sendet ber das HttpsRpc Protokoll eine PPT Paarungsnummer an den Kommunikationsservice 3 8 Das Beraterprogramm sendet ber das PPT Protokoll PingPongTransport Protokoll Aufrufe an den Kommunikationsservice 3 9 Da das Teilnehmerprogramm noch keine PPT Verbindung zum Kommunikationsservice hat werden d
140. svorgaben zum EVG 14 09 2009 netviewer gezwungen wird dieses durch ein pers nliches zu ersetzen Weiterhin kann der Berater Administrator Benutzer l schen Gel schte Benutzer haben keinen Zugriff auf das Beraterprogramm mehr Alle Operationen die der EVG zu oben genannten Administrator Aktionen durchf hrt werden im Audit Journal der Serverkomponente festgehalten 2 13 Konfiguration und Auslieferung von Netviewer one2one gt 2 13 1 Konfiguration Das Produkt Netviewer one2one ist an kundenspezifische Anforderungen anpassbar Die Konfiguration des EVG erfolgt vor der Auslieferung durch die Netviewer AG an den Kunden Im Zuge der Konfiguration werden unter anderem folgende Eigenschaften der Software angepasst e Funktionsumfang der Clientprogramme z B Verf gbarkeit von Funktionen im Netviewer Control Panel e Technische Einstellungen der Serverkomponenten um die Client Server Kommunikation zu erm glichen e Authentifizierungsmerkmale f r den Berater Administrator Dabei ist zu beachten dass sicherheitsrelevante Eigenschaften und Funktionen von Netviewer one2one nicht konfigurierbar sind Jeder Netviewer Kunde besitzt zwar eine individuelle Instanz des EVG Essentielle Funktionen und Eigenschaften sind jedoch aufgrund des gleichen Codestamms immer gleich Die Konfiguration seitens der Netviewer AG erfolgt ber die Netviewer eigene Software Netviewer Konfigurator Der Netviewer Konfigurator bietet ber eine grafische
141. t aktiv werden Weniger Reisekosten im weltweiten Support Insgesamt wird der Support mit Netviewer one2one effizienter Speziell bei weltweit agierenden Unternehmen die Vor Ort Support anbieten m ssen kommen eingesparte Reise und Zeitkosten als weitere Vorteile hinzu So kann beispielsweise die zentrale IT Abteilung eines Automobilherstellers auch in weit entfernten Werken schnelle Hilfe leisten Der Maschinenbauer wiederum kann seine Anlage beim Kunden auf der anderen Seite des Globus warten Einstellungen ver ndern oder zumindest eine Vordiagnose stellen die die Reparatur vor Ort erleichtert Vertrieb Ein weiteres wichtiges Einsatzgebiet von Netviewer one2one ist der Vertrieb Im pers nlichen Vertriebsgespr ch mit potenziellen Kunden k nnen Berater auf dieselbe Weise Ihre Software individuell pr sentieren oder interaktive Software Schulungen f r kleine Gruppen abhalten Ebenso k nnen Berater Produkte die sich per Software pr sentieren lassen z B Finanzprodukte oder Versicherungen mittels Netviewer one2one dem Kunden n herbringen 2 6 2 Sitzungsaufbau aus Anwendersicht Der Berater startet das Netviewer one2one Beraterprogramm Er muss sich im Login Dialog mit seinem Benutzernamen und seinem Passwort authentifizieren Der Berater kann daraufhin in einem weiteren Dialog die Sitzung initiieren Auf dem Beraterbildschirm erscheint nun das Netviewer Control Panel und das Mini Panel welches die Sitzungsnummer a
142. t den Benutzermanager Das Sicherheitsattribut Berater Administrator Passwort wird vollst ndig mit dem Benutzermanager assoziiert FIA_ATD 1 BeraterAdmin fordert dass ein Berater Administrator Passwort zu einem individuellen Nutzer n mlich dem Berater Administrator zuzuordnen ist Der Berater Administrator erh lt eine ihm eindeutig zuzuordnendes Berater Administrator Passwort Die Verwaltung der Berater unterst tzen folgende funktionale Sicherheitsanforderungen FDP_ACC 1 UserData und FDP_ACF 1 UserData in der Iteration f r die sicherheitsrelevanten Konfigurationsparameter setzt die Zugriffspolitik ACCESS Config User Data durch In der Benutzerdatei werden die Passw rter f r den Berater verwaltet Das Passwort dient dazu dass nur autorisierte Berater als Teilnehmer in eine Sitzung eintreten k nnen FMT_MSA 1 fordert die geregelte Verwaltung von Sicherheitsattributen Sicherheitsattribut ist in diesem Fall der Login und das Passwort des Beraters das in der Benutzerdatei mit Hilfe des Benutzermanagers von dem Berater Administrator verwaltet wird Das Sicherheitsziel O Privacy 1 definiert dass der zwischen den Sitzungspartnern bermittelte Sitzungsdatenstrom vertraulich und von Dritten nicht einsehbar ist FCS_CKM 1 Com fordert die Generierung des symmetrischen Schl ssels der f r die Verschl sselung des Sitzungsdatenstroms verwendet wird FCS_CKM 2 Com fordert bei der Distribution der symmetrischen Schl ssel dass
143. t erf llt FMT_MSA 2 Nicht erf llt 6 FDP_ACC 1 FDP_ACF 1 Erf llt in 9 SessData 8 FDP_ACC 1 FDP_ACF 1 Erf llt in 11 UserData 9 FDP_ACF 1 FDP_ACC 1 Erf llt in 6 FMT_MSA 3 Nicht erf llt 11 FDP_ACF 1 FDP_ACC 1 Erf llt in 8 UserData FMT_MSA 3 Nicht erf llt 14 FIA_ATD 1 Berater 15 FIA_ATD 1 None Teilnehmer ST_Netviewer_one2oneTS_v1 8 pdf Seite 111 von 132 Sicherheitsvorgaben zum EVG netviewer 14 09 2009 SFR 16 FIA_ATD 1 BeraterAdmin 17 FIA_SOS 1 Berater Passwort 18 FIA_SOS 1 Berater Administrator Passwort FIA_UAU 1 Berater VS FIA_UAU 1 TN VS 19 20 21 FIA_UAU 1 BeraterAdmin Benutzermanager 22 FIA_UAU 4 FIA_UAU 7 Berater FIA_UAU 7 BeraterAdmin FIA_UID 1 Berater VS FIA_UID 1 TN VS 23 24 25 26 27 FIA_UID 1 BeraterAdmin Benutzermanager 28 FIA_USB 1 Berater FIA_USB 1 TN FIA_USB 1 BeraterAdmin FMT_MSA 1 FMT_SMF 1 FMT_SMR 1 FPT_ITT 1 29 30 31 32 33 34 Abh ngigkeit None Kommentar None None FIA_UID 1 Erf llt in 25 FIA_UID 1 Erf llt in 26 FIA_UID 1 Erf llt in 27 None FIA_UAU 1 Erf llt in 19 FIA_UAU 1 Erf llt in 21 None None None FIA_ATD 1 Erf llt in 14 FIA_ATD 1 Erf llt in 15 FIA_ATD 1 Erf llt in 16 FDP_ACC 1 or FDP_IFC 1 Erf llt in 8 FMT_SMR 1 Erf llt in 33 FMT_SMF 1 Erf llt in 32 None
144. t und beim Austausch des Datenstroms verwendet wird Nach Beendigung der Session ist der symmetrische Schl ssel nicht mehr g ltig eine Zerst rung des Schl ssels wie sie bei der funktionalen Sicherheitsanforderung FCS_CKM 4 gefordert wird ist nicht notwendig Da der Schl ssel nur tempor r verwendet wird sind Anforderungen an den sicheren Zustand des Schl ssels nicht notwendig Nach Beendigung der Session ist der symmetrische Schl ssel nicht mehr g ltig ein Management des Schl ssels ist nicht notwendig Nicht erf llte Abh ngigkeiten zur laufenden Nummer 4 der Tabelle 12 Die Abh ngigkeit der funktionalen Sicherheitsanforderung FCS_COP 1 FCS_COP 1 SigMac behandelt den kryptographischen Betrieb f r die Berechnung des HMAC keyed hash message authentication code zur Integrit tssicherung w hrend der Signalisierung HMAC ist eine Hashfunktion die den Hashwert mit Hilfe eines Schl ssels berechnet Der Schl ssel wird im Rahmen der Signalisierung ausgehandelt Nach Beendigung der Session ist der Schl ssel nicht mehr g ltig eine Zerst rung des Schl ssels wie sie bei der funktionalen Sicherheitsanforderung FCS_CKM 4 gefordert wird ist nicht notwendig Da der Schl ssel nur tempor r verwendet wird sind Anforderungen an den sicheren Zustand des Schl ssels nicht notwendig Nach Beendigung der Session ist der symmetrische Schl ssel nicht mehr g ltig ein Management des Schl ssels ist nicht notwendig Nicht erf llte Abh
145. ta dat und ContractData dat gem der Zugriffspolitik ACCESS Secure Config Data Dies entspricht SF CD 1 SF AC FDP_ACC 1 SessData und FDP_ACF 1 SessData fordert den geregelten Zugriff auf die Sitzungsdaten gem der Zugriffspolitik ACCESS Session Data Dies entspricht der Sicherheitsfunktion Access Control SF AC SF I FDP_ITT 1 fordert dass die Integrit t der Benutzerdaten bei der bermittlung zwischen den verschiedenen Komponenten erhalten bleibt Benutzerdaten sind im Sitzungsdatenstrom enthalten der in der Kommunikationsphase zwischen den Benutzern ausgetauscht wird Die Sicherheitsanforderung unterst tzt daher die Sicherheitsfunktion ST_Netviewer_one2oneTS_v1 8 pdf Seite 122 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Integrity SF I 1 Benutzerdaten sind ebenso in den Signalisierungsdaten enthalten Die Sicherheitsanforderung unterst tzt daher die Sicherheitsfunktion Integrity SF I 2 FCS_COP 1 SigMac behandelt die MAC Generierung und Verifikation des Schl ssels der zur Integrit tssicherung w hrend der Signalisierung verwendet wird Die Sicherheitsanforderung unterst tzt daher die Sicherheitsfunktion Integrity SF I 2 FCS_COP 1 ComMac behandelt die MAC Generierung und Verifikation des Schl ssels der zur Integritatssicherung des Sitzungsdatenstroms verwendet wird Die Sicherheitsanforderung unterst tzt daher die Sicherheitsfunktion Integrity SF I 1 8 3 3 Mindestst rke der Sicherheits
146. tviewer Die Bedrohung T Privacy 3 behandelt Angriffe bei denen ein Angreifer unberechtigterweise Kenntnis von Daten erh lt die die Sitzungspartner ber die Clientkomponenten mit der Vermittlungsservice Rolle austauschen Signalisierungsdaten In dem Sicherheitsziel OE IT 3 ist definiert dass die zwischen den EVG Komponenten bermittelten Signalisierungsdaten vertraulich und von Dritten nicht einsehbar sind Dieses Sicherheitsziel ist also hinreichend f r T Privacy 3 Die Bedrohung T Integrity 1 behandelt Angriffe bei denen ein Angreifer die Sitzung durch Ver nderung des Sitzungsdatenstroms modifiziert oder ersetzt Dem Sitzungspartner werden falsche Daten bermittelt In dem Sicherheitsziel O Integrity 1 ist definiert dass der zwischen den Sitzungspartnern bermittelte Sitzungsdatenstrom integer ist Dieses Sicherheitsziel ist hinreichend f r T Integrity 1 Die Bedrohung T Integrity 2 behandelt Angriffe bei denen ein Angreifer eine EVG Komponente unbemerkt modifiziert In dem Sicherheitsziel O Auth 2 wird definiert dass ausschlie lich authentifizierte Clientprogramme Serverkomponenten nutzen k nnen In dem Sicherheitsziel OE 11 wird definiert dass die Komponenten des EVG Client und Serverkomponente integer sind und nicht ausgetauscht werden k nnen In dem Sicherheitsziel OE 19 wird definiert dass die Komponenten integer sind und nicht ausgetauscht werden k nnen Das Sicherheitsziel ist damit hinreichend f r T
147. tzte Schnittstelle einer Schicht N Protokollimplementierung die API der Schicht N 1 Es ergibt sich jedoch eine logische Verbindung und damit eine Schnittstelle zwischen zwei Schicht N Instanzen Im Falle von Netviewer one2one sind dies auf den unterschiedlichen Netzwerkebenen die folgenden Protokolle 1 Protokoll f r die Signalisierung zwischen den Clientprogrammen und dem Vermittlungsservice welches aus Remote Procedure Calls RPCs besteht 2 HttpsRpc als sicheres Protokoll f r die Signalisierung von den Clientprogrammen zum Vermittlungsservice siehe Kapitel 2 10 1 3 PingPong Protokoll f r den Sitzungsdatenstrom zwischen Beraterprogramm und Teilnehmerprogramm 4 PingPongTransport PPT f r den Transport von PingPong PDUs ggf ber den Kommunikationsservice 5 HTTP als Transport Darstellungsprotokoll f r HttpsRpc und PingPongTransport 6 SSL als Sicherungsprotokoll f r HttpsRpc ST_Netviewer_one2oneTS_v1 8 pdf Seite 21 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 7 TCP als Transportprotokoll fur SSL HTTP und PingPongTransport Dabei bilden 1 bis 4 die Schnittstelle der Komponenten untereinander Die Protokolle 5 bis 7 HTTP SSL und TCP werden von Windows Bibliotheken zur Verf gung gestellt die keine EVG Bestandteile sind 2 9 1 Protokollstapel Netzprotokollstapel der Clients Serverkomponenten und Zwischensysteme
148. tzwerktopologisch m glich ist wird auf die Nutzung eines Kommunikationsservices verzichtet und die direkte Verbindung Peer to peer verwendet Verringerte Latenzzeiten und h here Bandbreiten k nnen die Sitzungsperformance erheblich steigern ST_Netviewer_one2oneTS_v1 8 pdf Seite 28 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 2 11 3 Sicherung des Sitzungsdatenstromes Unabh ngig davon ob der Sitzungsdatenstrom zwischen Beraterprogramm und Teilnehmerprogramm ber eine direkte TCP Verbindung ausgetauscht wird oder ber den Kommunikationsservice wird die Integrit t Authentizit t und Vertraulichkeit des Sitzungsdatenstromes vom EVG gesichert In der Konfiguration des EVG kann eingestellt werden welcher Algorithmus und welche Schl ssell nge verwendet werden soll Die Clientprogramme unterst tzen im Code verschiedene Verfahren und Schl ssell ngen Die zu benutzende Kombination erfahren die Clients vom Server im Rahmen der Signalisierung Die zur Auswahl stehenden kryptographischen Algorithmen sind AES CBC und Blowfish CBC Die Schl ssell nge betr gt mindestens 128 Bit 2 11 4 Zusammenspiel der EVG Komponenten Im folgenden wird dargestellt wie die EVG Komponenten zusammenspielen um Netviewer one2one Sitzungen zwischen Beratern und Teilnehmern zu erm glichen Es wird eingegangen auf die Abl ufe die Protokolle und die jeweils verwendeten Dateien Die folgende Grafik gibt einen berblick ST_Netviewer_o
149. u bertragen Erl uterung Insbesondere k nnen folgende Rechte bedroht werden z B Kann die nderung der Blickrichtung w hrend einer Sitzung erfolgen ohne dass der andere Sitzungspartners zugestimmt oder hiervon Wissen erlangt hat z B k nnen einem Sitzungspartner mehr Applikationen angezeigt werden als dies der einr umende Sitzungspartner definiert hat z B Erlangt ein autorisierter Benutzer die M glichkeit Programme auf dem Computer des Sitzungspartners auszuf hren ohne dass der Sitzungspartner seine Zustimmung erteilt oder hiervon Wissen erlangt hat Dies w re z B Der Fall wenn der autorisierte Benutzer die Fernsteuerung f r die Eingabeger te seines Sitzungspartners erh lt obwohl der einr umende Sitzungspartner dies nicht in dem genutzten Umfang definiert hat z B ndert ein autorisierter Benutzer die EVG Programmeinstellungen des Sitzungspartners um weitergehende Rechte zu erlangen privilege escalation z B Kann ein autorisierter Benutzer ohne die Zustimmung seines Sitzungspartners einen Dateitransfer von zu seinem Sitzungspartner durchf hren z B k nnen mehr als zwei Sitzungspartner an einer Sitzung teilnehmen z B kann ein Berater ohne die Zustimmung seines Sitzungspartners eine Systemdiagnose des Systems des Teilnehmers durchf hren Umgehung der Zugriffspolitik ACCESS Session Data Wert Daten Angreifer Autorisierter Benutzer Name T Server Cfg 1 ST_Netviewer_
150. ubjects Vermittlungsservice object files ServerData dat and ContractData dat and operation read FDP_ACC 1 UserData Subset access control iteration Config User Data FDP_ACC 1 1 The TSF shall enforce the ACCESS Config User Data on subjects Benutzermanager and Vermittlungsservice object Benutzerdatei and operation read and write data and read data Application Notes Das Modul Benutzermanager wird ausschlieBlich von dem Berater Administrator bedient FDP_ACF 1 SessData Security attribute based access control iteration Session Data 27 assignment access control SFP 28 assigment list of subjects objects and operations among subjects and objects covered by the SFP 2 assignment access control SFP 3 assigment list of subjects objects and operations among subjects and objects covered by the SFP 31 assignment access control SFP 32 assigment list of subjects objects and operations among subjects and objects covered by the SFP ST_Netviewer_one2oneTS_v1 8 pdf Seite 71 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer FDP_ACF 1 1 FDP_ACF 1 2 The TSF shall enforce ACCESS Session Data to objects based on the following subjects Einr umender Sitzungspartner Berechtigter Sitzungspartner and objects session data the SFP relevant security attributes einger umte Rechte The TSF shall enforce the following rules to determine if an operation among controlled
151. ung des Betriebssystems auf dem die Serverkomponenten und die Clientprogramme ausgef hrt werden arbeitet spezifikationsgem TLS 1 0 RFC2246 oder SSL 3 0 SSL3 Name OE IT 2 Ziel Der Pseudozufallszahlengenerator PRNG des Betriebssystems auf dem die Serverkomponenten und die Clientprogramme ST_Netviewer_one2oneTS_v1 8 pdf Seite 61 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer ausgef hrt werden liefert kryptographisch sichere Zufallszahlen Name OE IT 3 Ziel Die zwischen den EVG Komponenten bermittelten Signalisierungsdaten sind vertraulich und von Dritten nicht einsehbar 4 2 2 Sicherheitsziele f r die Nicht IT Umgebung Name OE 1 Ziel Die Serverkomponente des EVG wird in einem Serverraum einer Beh rde oder eines Unternehmens betrieben Durch geeignete technische und organisatorische Ma nahmen ist sichergestellt dass unautorisierte Personen keinen Zugang zum Serverraum haben dass unautorisierte Personen keinen Zugriff auf andere Repr sentationen der Daten z B Backup des EVG erhalten dass die verwendeten Hardwarekomponenten durch geeignete bauliche oder andere physische Sicherungsma nahmen vor Entwendung gesch tzt sind Name OE 2 Ziel Auf dem Server werden datenschutzrechtliche Bestimmungen eingehalten Da die vom Standard Server erzeugten Dateien insbesondere NVStandardServer_ lt Datum gt _
152. ur auf Applikationen erfolgen die im Rahmen der Blickrichtungs nderung ber die Applikationswahl definiert wurden die Fernsteuerungsrechte jederzeit durch Bet tigen einer Taste von dem einr umenden Sitzungspartner entzogen werden k nnen F11 Taste w hrend einer Sitzung die Funktion Dateitransfer per Drag amp Drop nur mit ausdr cklicher Zustimmung des Sitzungspartners der die Fernsteuerungsrechte f r seinen Bildschirm einger umt hat benutzt werden kann nur zwei Sitzungspartner an einer Sitzung teilnehmen k nnen Access Control Die Konfigurationsdateien ServerData dat und ContractData dat werden von dem Vermittlungsservice nur dann eingelesen wenn sie nicht ver ndert wurden Config Data Protection ST_Netviewer_one2oneTS_v1 8 pdf Seite 41 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer 3 EVG Sicherheitsumgebung Das Kapitel ist unterteilt in die Unterkapitel e Definition von Objekten Subjekten und Zugriffspolitiken e Annahmen insbesondere o Annahmen ber die Verwendung o Materielle Annahmen o Personelle Annahmen o Annahmen ber die Vernetzung e Bedrohungen e Organisatorische Sicherheitspolitiken 3 1 Definition von Objekten Subjekten und Zugriffspolitiken In dem nachfolgenden Tabelle 5 werden folgende Bezeichnungen f r Objekte definiert Objekt Beschreibung Daten Sitzungsdaten oder Signalisierungsdaten Sitzungsdaten Daten die zwischen den Clients ausgetauscht we
153. uscht werden Durch diese Manipulation erhalten die Clientkomponenten und oder die Serverkomponente falsche Daten Erl uterung Folgende Szenarien kommen in Betracht Es wird davon ausgegangen dass der Angreifer sogenannte man in the middle Attacken oder session hijacking Attacken einsetzt um dem Sitzungspartner falsche Daten zu bermitteln Wert Signalisierungsdaten Angreifer Angreifer Name T Integrity 4 Angriff Eine unautorisierte Person verwendet den Benutzermanager um die Benutzerdatei zu editieren Erl uterung Wert Benutzerdaten Angreifer Angreifer Name T Client Rights 1 Angriff Der autorisierte Benutzer erlangt Rechte die der einr umende Sitzungspartner nicht in diesem Umfang definiert hat oder ohne dass der einr umende Sitzungspartner Wissen hiervon erlangt hat Dieser Angriff findet w hrend einer laufenden Sitzung statt Der ST_Netviewer_one2oneTS_v1 8 pdf netviewer Seite 55 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer autorisierte Benutzer ist der Angreifer Der Angreifer versucht mittels der vom Clientprogramm zur Verf gung gestellten Funktionalit t maximalen Zugriff auf den Rechner seines Sitzungspartners zu erlangen Beispielsweise aktiviert er die Fernsteuerung versucht die Applikationswahl Schublade in der GUI seines Sitzungspartners zu manipulieren oder versucht Dateien vom oder zum Rechner des Sitzungspartners z
154. ussetzung muss es den Clientprogrammen m glich sein http und https Requests an den Standard Server abzusetzen Name OE 14 Ziel Die Serverkomponente des EVG wird auf einer Plattform mit den nachfolgenden Anforderungen betrieben Betriebssystem Microsoft Windows Server 2000 oder Windows Server 2003 Intel Pentium Prozessor mit mindestens 2 GHz oder vergleichbar mindestens 1 GB RAM mindestens 2 GB freien Festplattenplatz Microsoft NET Framework 2 0 mindestens 100 Mbit Netzwerkkarte sowie Internet oder Intranetanbindung Name OE 15 Ziel Die Clientprogramme des EVG werden auf einer Plattform mit den nachfolgenden Anforderungen betrieben PC mit Microsoft Windows 2000 oder Windows XP Internet Intranetzugang mit beliebigem Browser Prozessor mit mind 300 MHz ST_Netviewer_one2oneTS_v1 8 pdf Seite 65 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer mind 64 MB RAM Name OE 16 Ziel Die SSL Zertifikatsspeicher der Windows Instanzen auf dem die Clientprogramme bzw der Standard Server ausgef hrt werden enthalten ausschlie lich Zertifikate von vertrauensw rdigen Zertifizierungsstellen Name OE 17 Ziel Das SSL Server Zertifikat ist im Zertifikatsspeicher der Windows Instanz auf dem die Server Komponenten laufen installiert Das SSL Server Zertifikat ist auf einen Domainnamen ausgestellt der nachvollziehbar dem Betr
155. uth 3 T Integrity 4 O Privacy 1 T Privacy 1 BD O Privacy 2 T Privacy 1 Po O Integrity 1 T Integrity1 O Integrity 2 T Integrity 3 O Rights 1 T Client Rights1 O Rights 2 T Client Rights1 O Rights 3 T Client Rights 1 O Rights 4 T Client Rights1 oo O Rights 5 T Client Rights1 O Server Cfg 1 T Server Cfgt OE 1 PA PHY Server td OES PA PHY Client 2 OE 4 pA PER OE 5 PAP ER 2 OE 7 A PER 4 ST_Netviewer_one2oneTS_v1 8 pdf Seite 95 von 132 A netviewer Sicherheitsvorgaben zum EVG Sicherheitsziel Bedrohung OSP Annahme OE 8 POSE OE 9 T Berater Llogi 00000000 OE 10 T Server Llogi 00000000 OE 11 T Integrity 2 o o y OE 12 Tsenecgi 3 00000000 O OE 13 PNET OE 14 A Plattform Server OE 15 PA Platform Client OE 20 T Server Cfg2 0000000 OE 16 pO NET OE IT 1 T Server Cfg 2 000000 OE IT 2 PA PRING Server OE 17 pA NET 2 OE 18 pA NET T Privacy 3 OE IT 3 T Client Privacy 2 OE 19 T Integrity 2 OE 21 A NET 5 Tabelle 10 Zuordnung der Sicherheitsziele zur EVG Sicherheitsumgebung 8 1 2 Notwendigkeit der Sicherheitsziele Aus der Tabelle 10 ist ersichtlich dass jedes Sicherheitsziel mindestens eine Bedrohung eine Politik oder eine Annahme adressiert 8 1 3 Abwehr der Bedrohungen Aus der Tabelle 10 ist ersichtlich dass jede Bedrohung von mindestens einem Sicherheitsziel adressiert wird Die Gesamtheit der Bedrohungen ist also
156. vernment Federal Information Processing Standards FIPS FIPS PUB 197 Advanced Encryption Standard AES 2001 B Schneier Description of a New Variable Length Key 64 Bit Block Cipher Blowfish Fast Software Encryption Cambridge Security Workshop Proceedings December 1993 Springer Verlag 1994 pp 191 204 Common Criteria consists of CC_P1 CC_P2 and CC_P3 Common Criteria for Information Technology Security Evaluation Part 1 Introduction and general model Version 2 3 August 2005 Common Criteria for Information Technology Security Evaluation Part 2 Security functional requirements Version 2 3 August 2005 Common Criteria for Information Technology Security Evaluation Part 3 Security assurance requirements Version 2 3 August 2005 National Institute of Standards and Technology Digital signature standard DSS Federal Information Processing Standard 186 2 National Institute of Standards and Technology Washington 2000 PKCS 12 Personal Information Exchange Syntax Standard version 1 0 RSA Laboratories June 24 1999 RFC 2246 The TLS Protocol Version 1 0 H Dobbertin A Bosselaers B Preneel RIPEMD 160 a strengthened version of RIPEMD ps pdf Fast Software Encryption LNCS 1039 D Gollmann Ed Springer Verlag 1996 pp 71 82 RFC2104 HMAC Keyed Hashing for Message Authentication RFC2404 The Use of HMAC SHA 1 96 within ESP and AH RFC 3174 US Secure Hash Algorithm 1 SHA1 A Fr
157. vice der Fall FIA_UAU 7 fordert dass die Eingabe des Passwortes verdeckt erfolgt maskiert mit Sternen Dies ist bei der Authentifizierung des Beraters gegen ber dem Vermittlungsservice der Fall FIA_AFL 1 fordert dass nach dreimaliger falscher Eingabe des Beraterpasswortes oder der Sitzungsnummer der Rechner auf dem die Eingabe gemacht wurde f r 10 Minuten gesperrt wird Dies ist bei der Authentifizierung des Beraters und des Teilnehmers gegen ber dem Vermittlungsservice der Fall FIA_UID 1 Berater VS und FIA_UID 1 TN VS fordern dass vor der Identifizierung keine Methode m glich ist Die funktionale Sicherheitsanforderung wird einmal f r die gegenseitige Authentifizierung des Beraters und des Vermittlungsservices und einmal f r die gegenseitige Authentifizierung des Teilnehmers und des Vermittlungsservices definiert FIA_SOS 1 Berater Passwort fordert dass das Beraterpasswort einer bestimmten Policy folgt FIA_ATD 1 Berater fordert dass ein Beraterpasswort zu einem individuellen Nutzer n mlich einem Berater zuzuordnen ist Ein Beraterpasswort wird zusammen mit der Beraterkennung vom Berater Adminstrator vergeben Durch diese Vergabe wird der Berater autorisiert FIA_ATD 1 Teilnehmer fordert dass eine Sitzungsnummer zu einem Teilnehmer zuzuordnen ist Der Berater autorisiert den Teilnehmer indem er ihm die Sitzungsnummer bermittelt Das Sicherheitsziel O Auth 2 definiert dass nur authentifizierte Clientprogra
158. von einem Rechner aus dreimal hintereinander falsch eingegeben wird dieser Rechner f r zehn Minuten f r Berater Authentifizierungen gesperrt SF I amp A 2 Der Teilnehmer authentifiziert sich mit der Sitzungsnummer an dem Vermittlungsservice Die Sitzungsnummer wird pro Sitzung zur Authentifizierung nur einmal verwendet Wird die Sitzungsnummer von einem Rechner aus dreimal hintereinander falsch eingegeben wird dieser Rechner f r zehn Minuten f r Teilnehmer Authentifizierungen gesperrt SF I amp A 3 Die Clientprogramme authentifizieren sich gegenseitig anhand des gleichen Schl ssels hmac_communication den sie jeweils von dem Vermittlungsservice mitgeteilt bekommen haben Die HMAC Bildung findet im Protokoll PingPong Zeile 3 in Tabelle 2 in Kapitel 2 9 2 statt SF I amp A 4 Vor der Authentifizierung der Beraters des Teilnehmers und des Berater Administrators sind keine anderen Aktionen m glich ST_Netviewer_one2oneTS_v1 8 pdf Seite 87 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer SF I amp A 5 Das Modul Benutzermanager des Standard Servers verwaltet Benutzername Passwort der Berater in einer Benutzerdatei Dabei werden die pers nlichen Passw rter nicht im Klartext gespeichert sondern als RipneMD 256 Hashwerte RIPEMD SF I amp A 6 Die Clientprogramme authentifizieren sich gegen ber dem Vermittlungsservice anhand des programmindividuellen Programmschl ssels im Rahmen des Protokolls HttpsRpc Zeile 2 in Tabel
159. wer one2one und deren Beziehungen ST_Netviewer_one2oneTS_v1 8 pdf Seite 9 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer Das Gesamtsystem Netviewer one2one umfasst die Netviewer one2one Serverkomponenten und die Netviewer one2one Clientprogramme Die Serverkomponenten beinhalten die Serversoftware Netviewer Standard Server s welche den Vermittlungsservice Signalisierung und Verbindungsaufbau den Kommunikationsservice bertragung der Sitzungsdaten und den Benutzermanager Benutzerverwaltung in der Datei NVStandardServer exe umfasst Zu den Serverkomponenten geh rt au erdem die SSLswitch exe welche den SSL Handshake und die Weiterleitung der entschl sselten Daten bernimmt Zu den Netviewer one2one Clientprogrammen z hlen das Beraterprogramm NV_o20_Berater_DE exe und das Teilnehmerprogramm NV_o20_Teilnehmer_DE exe Auf drei Rechnern PC Symbole kommen demnach vier Programme zum Einsatz Die Clientprogramme kommunizieren mit den Serverkomponenten ber das Internet Im Kapitel 2 11 4 wird dargestellt wie die EVG Komponenten zusammenspielen um Netviewer one2one Sitzungen zwischen Beratern und Teilnehmern zu erm glichen Dort werden die Abl ufe in der Signalisierung und auf Applikationsebene erl utert die letztlich den Austausch des Sitzungsdatenstroms zwischen Beraterprogramm und Teilnehmerprogramm erm glichen 2 4 Systemanforderungen von Netviewer one2one Alle Kompo
160. y deny access of subjects to objects 38 assignment access control SFP 3 assignment list of subjects and objects controlled under the indicated SFP and for each the SFP relevant security attributes or named groups of SFP relevant security attributes 4 assignment rules governing access among controlled subjects and controlled objects using controlled operations on controlled objects 41 assignment rules based on security attributes that explicitly authorise access of subjects to objects ST_Netviewer_one2oneTS_v1 8 pdf Seite 73 von 132 U Sicherheitsvorgaben zum EVG 14 09 2009 netviewer FDP_ACF 1 4 The TSF shall explicitly deny access of subjects to objects based on the none FDP_ACF 1 UserData Security attribute based access control iteration Config User Data FDP_ACF 1 1 The TSF shall enforce ACCESS Config User Data to objects based on the following subjects Berater Administrator and Vermittlungsservice object Benutzerdatei and operation read and write data and read data SFP relevant security attrinbutes none FDP_ACF 1 2 The TSF shall enforce the following rules to determine if an operation among controlled subjects and controlled objects is allowed Benutzerdatei Read and Write FDP_ACF 1 3 The TSF shall explicitly authorise access of subjects to objects based on the following additional rules none FDP_ACF 1 4 The TSF shall explicitly deny access of subjects to objects based on the n
161. ziehbar dem Betreiber zugeordnet ist A NET 3 Die Zertifizierungsstelle die das SSL Serverzertifikat und das Exe Signatur Zertifikat ausgestellt hat ist bei Clients vertrauensw rdig eingestuft A NET 4 Die SSL Zertifikatsspeicher der Windows Instanzen auf dem die Clientprogramme bzw der Standard Server ausgef hrt werden enthalten ausschlie lich Zertifikate von vertrauensw rdigen Zertifizierungsstellen A NET 5 Die SSL Implementierung der Windows Instanz auf dem der SSlswitch ausgef hrt wird ist so konfiguriert dass ausschlie lich Kombinationen von Verschl sselungsverfahren und Schl ssell ngen verwendet werden die eine St rke von mindestens 128 Bit aufweisen ST_Netviewer_one2oneTS_v1 8 pdf Seite 51 von 132 netviewer Sicherheitsvorgaben zum EVG 14 09 2009 3 3 Bedrohungen Name T Client Auth 1 Angriff Eine unautorisierte Person tritt als Teilnehmer in eine Sitzung ein und erlangt so unberechtigten Zugriff auf Daten des Sitzungspartners Erlauterung Technischer Angriff gibt vor jemand anderes zu sein Umgehung der Zugriffspolitik ACCESS Session Data Wert Daten Angreifer Unautorisierte Person Name T Client Auth 2 Angriff Eine unautorisierte Person er ffnet als Berater eine Sitzung und erlangt so unberechtigten Zugriff auf Daten des Sitzungspartners Erl uterung Umgehung der Zugriffspolitik ACCESS Session Data Wert Daten An
162. zur Verf gung sind jedoch zum Teil abh ngig von der Blickrichtung d h ob das jeweilige Clientprogramm im Show oder Watch Modus betreiben wird e Zeigepfeil Ohne Fernsteuerung nutzbares Zeigeinstrument f r den Anwender im Watch Modus Der Zeigepfeil erm glicht keinerlei Manipulation des Computers des Sitzungspartners ST_Netviewer_one2oneTS_v1 8 pdf Seite 16 von 132 Sicherheitsvorgaben zum EVG 14 09 2009 netviewer e Vorschau Monitor Eine verkleinerte Darstellung des eigenen Bildschirms erlaubt dem Anwender im Show Modus zu pr fen welche Anwendungen und Bildschirmelemente des eigenen Bildschirms im Netviewer Fenster des Sitzungspartners sichtbar sind e Auswahl des bertragungsmodus Der bertragungsmodus beeinflusst in welcher Farbtiefe der bertragene Bildschirm beim Sitzungspartner im Watch Modus dargestellt wird Der bertragungsmodus hat damit Einfluss auf die bertragungsgeschwindigkeit und die bertragungsqualit t e VoIP Die integrierte Sprach bertragung per Voice over IP kann von beiden Sitzungspartnern separat aktiviert und deaktiviert werden Sie ersetzt das Telefonat parallel zur one2one Sitzung Voraussetzung ist ein angeschlossenes Headset e Video Die Video oder Bild bertragung in beide Richtungen kann von beiden Sitzungspartnern separat aktiviert und deaktiviert werden Voraussetzung ist eine korrekt installierte und angeschlossene Webcam e Chat Austausch von Textnachrichten zwischen de
Download Pdf Manuals
Related Search
Related Contents
Sony STR-DB798 User's Manual 338 User Manual - France(FR) R2 Oblig 2 - GReddy Turbo Kit Manuel d`utilisation de l`interface RezoKrapa わすれもの - 株式会社 価値総合研究所 iD BLOT System Manual Kobo Vox eReader User Guide Service Manual Copyright © All rights reserved.