Report(D) - t-systems
Contents
1. Der Anwender soll den Assistant f r Xpress LAN nur auf einem solchen PC Admin PC installieren dessen Betriebssystem die Nutzeridentifikation und authentisierung zwingend verlangt wobei die Anzahl der Fehlversuche gez hlt wird Der Anwender soll die Benutzung des Fehlversuchsz hlers des Betriebssystems des Admin PCs einschalten Der Administrator soll als Authentisierungsprotokoll das PAP nicht benutzen Der Administrator soll bei der Firewall Funktionalit t Sicherheitsfunktionen SF 3a SF 3b und SF 3c nur richtungsunabh ngige Kommunikation erlauben debisZERT DSZ CC 04053 2000 11 von 58 Diese Seite ist beabsichtigterweise leer 12 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT 3 Sicherheitsvorgaben 3 1 ST Einf hrung Sicherheitsvorgaben im Sinne der CC enthalten die IT Sicherheitsanforderungen und spezifizieren die funktionalen und vertrauenschaffenden Sicherheitsma nahmen zur Er f llung dieser Sicherheitsanforderungen Der Begriff Sicherheitsvorgaben wird hier als deutsche bertragung des englischen Fachbegriffes Security Target abgek rzt ST benutzt Da die Abk rzung ST allge mein verbreitet ist wird sie gleichbedeutend mit dem Begriff Sicherheitsvorgaben benutzt 3 1 1 ST Identifikation Dieses Dokument Sicherheitsvorgaben f r Hicom Xpress LAN Version 1 1 Version 1 1 vom 18 08 2000 beschreibt die Sicherheitseigensch2. Mkat16 SigG SIGV TKG Vv01 V02 V03 V04 Z01 54 von 58 Kriterien f r die sicherheitstechnische Bewertung und Konstruktion von CIR Netzkomponenten Eisenbahn Bundesamt Version 1 0 vom 8 2 94 Information Technology Security Evaluation Criteria ITSEC Version 1 2 1991 ISBN 92 826 3004 8 deutsche bersetzung Kriterien f r die Bewertung der Sicherheit von Systemen der Informationstechnik ITSEC Version 1 2 1991 Bundes anzeiger Verlag K ln ISBN 92 826 3003 X franz sische bersetzung Crit res d Evaluation de la S curit des Sys temes Informatiques ITSEC Version 1 2 1991 ISBN 92 826 3005 6 Information Technology Security Evaluation Manual ITSEM Version 1 0 1993 ISBN 92 826 7087 2 deutsche bersetzung Handbuch f r die Bewertung der Sicherheit von Systemen der Informationstechnik ITSEM Version 1 0 1993 Bundes anzeiger Verlag K ln ISBN 92 826 7078 2 Gesetz zur Regelung der Rahmenbedingungen f r Informations und Kommunikationsdienste Informations und Kommunikationsdienste Ge setz IuKDG BGBl I vom 28 Juli 1997 Seite 1870 ff Joint Interpretation Library Version 2 0 Nov 1998 Ma nahmenkatalog nach 812 Abs 2 RegTP http www RegTp de Fachinfo DigitalSign start htm Ma nahmenkatalog nach 816 Abs 6 RegTP http www RegTp de Fachinfo DigitalSign start htm Artikel 3 von IuKDG Verordnung zur digitalen Signatur S
3. Sektion en Abschnitt e debisZERT DSZ CC 04053 2000 43 von 58 Tab Tabelle n TOE Target of evaluation hier EVG TSF TOE Security Function s 3 9 2 Glossar Administrator Baugruppe End nutzer Siemens Nebenstellen anlage 3 9 3 Quellen eine Person die f r die Aufrechterhaltung der Betriebsbereitschaft verantwortlich ist Kurzbezeichnung f r die Baugruppen Software und die jeweilige Hicom Einsteckkarte vgl Abschnitt 2 2 eine Person die Kontakt zu einem in Betrieb befindlichen EVG hat und dessen Dienstleistungen und Funktionen nutzt eine der folgenden Nebenstellenanlagen jeweils ab Software Version 2 2 Hicom 150 E OfficeCom Hicom 150 E OfficePoint Hicom 150 E OfficePro abk rzend wird auch die Schreibweise Hicom 150 E Office verwendet 1 Common Criteria for Information Technology Security Evaluation CC Part 1 Version 2 1 August 1999 2 Common Criteria for Information Technology Security Evaluation CC Part 2 Version 2 1 August 1999 3 Common Criteria for Information Technology Security Evaluation CC Annex to Part 2 Version 2 1 August 1999 4 Common Criteria for Information Technology Security Evaluation CC Part 3 Version 2 1 August 1999 5 Guide for Production of PPs and STs Version 0 5 March 1998 ISO IEC JTC 1 SC 27 WG 3 N422 6 Hicom 150 E Office Hicom Xpress LAN Release 1 1 Servicehandbuch Siemens AG 2000 B
4. b Zuweisung beliebige andere Regeln Jedes Auftreten eines Ereignisses das zu einer zur Protokollierung ausgew hlten Ereignisgruppe geh rt muss protokolliert werden FAU_SAA 1 2 Die TSF m ssen zur berwachung von protokollierten Ereignissen die folgenden Regeln durchsetzen a Eine H ufung oder Kombination von Zuweisung Teilmenge von festgelegten protokollierbaren Ereignissen die bekannterma en eine potentielle Sicherheitsverletzung anzeigen debisZERT DSZ CC 04053 2000 25 von 58 b Jedes Auftreten eines Ereignisses das zu einer zur Protokollierung ausgew hlten Ereignisgruppe geh rt muss protokolliert werden Schritt 2 Verfeinerung Die Komponente die eine Anwendung der Regeln a oder b zul t wird so verfeinert dass nur die Regel b angewendet wird A FAU_SAA 1 2 Die TSF m ssen zur berwachung von protokollierten Ereignissen die folgenden Regeln durchsetzen Jedes Ereignis das zu einer zur Protokollierung ausgew hlten Ereignisgruppe geh rt muss protokolliert werden 3 5 2 Anforderungen an die Vertrauensw rdigkeit des EVG Die Anforderungen an die Vertrauensw rdigkeit des EVGs sind gem der Stufe EAL1 der CC 4 festgelegt Im einzelnen sind dies Vertrauensw rdigkeitsklasse Konfigurationsmanagement ACM_CAP 1 Versionsnummern Vertrauensw rdigkeitsklasse Auslieferung und Betrieb ADO_IGS 1 Installations Generierungs und Anlaufprozeduren Vertrauensw rdigkeitsklasse Entwicklung ADV_FSP
5. die notwendigen Unterst tzungen f r die Durchf hrung von unabh ngigen Evaluatortests einschlie lich der Bereitstellung des EVGs und einer geeigneten Testumgebung gegeben werden 3 8 3 Erkl rung der EVG bersichtsspezifikation Zwischen den funktionalen Sicherheitsanforderungen und den Sicherheitsfunktionen des EVGs besteht beiderseitige Abdeckung Im Detail gilt Sicherheits Sicherheitsfunktionen anforderung SF 1 SF 2 SF 3 SF 4 SF 5 SF 6 SF 7 SF 8 SF 9 SF 10 FIA_UID 2 1 X X DOE FIA_UAU 2 1 X x xiIx x FPT_STM L 1 X FAU_ARP 1 1 X xX FAU_GEN 1 1 X xX FAU_GEN 1 2 X x X FAU_SAR 1 1 x FAU_SAR 1 2 X xX FAU_SAR 2 1 FAU_STG 1 1 FAU_STG 1 2 xX xX FTA_TSE 1 1 x FRU_RSA 1 1 x FAU_SAA 1 1 x x FAU_SAA 1 2 xX xX Tabelle 5 Sicherheitsanforderungen an den EVG und Sicherheitsfunktionen des EVGs 40 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT jede funktionale Sicherheitsanforderung des EVGs wird durch mindestens eine Sicherheitsfunktion realisiert Dar ber hinaus ist keine EVG Sicherheitsfunktion implementiert f r die keine funktionale Sicherheitsanforderung best nde FIA_UID 2 1 Die verlangte Identifikation vor jeder anderen Interaktion mit dem EVG wird von den Sicherheitsfunktionen SF 1 SF 2 SF 6 SF 7 und SF 8 umgesetzt wobei SF 1 und SF 2 f r die
6. insbesondere die Identifizierung und Authentisierung m ssen korrekt und zuverl ssig arbeiten Bei der Authentisierung eines Administrators Level 2 4 5 oder 6 verl sst sich der EVG auf das Authentisierungsergebnis das ihm von der Siemens Nebenstellenanlage mitgeteilt wird Auf der Grundlage dieser Authentisierung wird dem Benutzer des Assistant f r Xpress LAN die M glichkeit gegeben den KDS zu bearbeiten Eine falsche Authentisierung er ffnet daher die M glichkeit die Sicherheitsfunktionen des EVGs auszuschalten oder zu umgehen O_NSTA wirkt folglich gegen die Bedrohungen T_CONF indirekt jedoch auch gegen T_READ T_MODIF und T_FUNC O_PATH Der Verantwortliche f r den EVG muss sicherstellen dass alle Verbindungen ins Internet oder ins Telefonnetz nur ber die Baugruppe in Verbindung mit der Siemens Nebenstellenanlage gehen Gibt es au er dem gesch tzten Zugang zum Internet ber den EVG noch weitere Zug nge zum Internet ber die Sicherheitsl cken eingef hrt werden so k nnen die Bedrohungen ggf au er T_CONF und T_DOS insgesamt nicht abgewehrt werden da sich ein Angreifer stets den Weg des geringsten Widerstandes w hlen wird Das Ziel O_PATH wird durch die Annahme A_PATH abgedeckt o ADMIN Der Verantwortliche f r den EVG muss sicherstellen dass Installation Administration und Wartung nur durch geschultes und vertrauensw rdiges Personal ber eine vertrauensw rdige Verbindung in einer Weise erfolgen
7. nnen richtungsabh ngig definiert werden Dadurch ist es prinzipiell m glich in Richtung vom LAN zum WAN andere Filterregeln zu definieren als in Richtung vom WAN zum LAN Von dieser M glichkeit soll im praktischen Betrieb nicht Gebrauch gemacht werden debisZERT DSZ CC 04053 2000 47 von 58 Diese Seite ist beabsichtigterweise leer 48 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT 5 Anhang 5 1 Glossar Das Glossar erl utert die in dieser Brosch re verwendeten Begriffe erhebt allerdings keinerlei Anspruch auf Vollst ndigkeit oder Allgemeing ltigkeit Der Begriff Sicherheit meint hier stets Sicherheit im Kontext der Informationstechnik Akkreditierung Anerkennung Assoziiertes Labor Auftraggeber Best tigungsstelle Best tigungsverfahren Common Criteria debisZERT Dienstleistung Dienstleistungsbereich DIN EN 45000 debisZERT DSZ CC 04053 2000 Verfahren zum Nachweis da eine Pr fstelle den Anfor derungen der Norm DIN EN 45001 entspricht Eine Akkredi tierung wird durch eine Akkreditierungsstelle durchgef hrt Allgemein anerkannt sind Akkreditierungen von Akkreditie rungsstellen die im Deutschen Akkreditierungsrat DAR vertreten sind Ausdruck und Best tigung der Gleichwertigkeit von Zer tifikaten und Lizenzen Ein per Vertrag mit debisZERT kooperierendes Entwick lungslabor das optimierte Verfahren zur Vorbereitung von Evaluierun
8. Administratoren angewendet werden SF 6 SF 7 und SF 8 f r die sonstigen Benutzer des EVGs FIA_UAU 2 1 Die verlangte Authentisierung vor jeder anderen Interaktion mit dem EVG wird von den Sicherheitsfunktionen SF 1 SF 2 SF 6 SF 7 und SF 8 umgesetzt wobei SF 1 und SF 2 f r die Administratoren angewendet werden SF 6 SF 7 und SF 8 f r die sonstigen Benutzer des EVGs FPT_STM 1 1 Die verlangten verl sslichen Zeitstempel werden von der SF 9 bereitgestellt FAU_ARP 1 1 Potentielle Sicherheitsverletzungen k nnen im Rahmen von Management Aktivit ten der Baugruppe SNMP Traps oder von normalen Funktionsabl ufen Kundentraces auftreten SF 4 und SF 5 setzen die verlangte Erkennung und Protokollierung um FAU_GEN 1 1 Die Anforderungen gem FAU_GEN 1 1 werden ebenfalls von SF 4 und SF 5 umgesetzt wobei das Einspielen einer neuen Konfiguration nur durch SF 5 erfolgt Dies reicht aus da die SNMP Traps Bestandteil des KDS sind d h SF 5 protokolliert auch das Einspielen einer neuen SNMP Konfiguration FAU_GEN 1 2 Diese Anforderungen werden durch SF 4 und SF 5 realisiert wobei die erforderlichen Zeitstempel von SF 9 bereitgestellt werden FAU_SAR 1 1 Nur die am Assistant f r Xpress LAN authentisierten Administratoren k nnen Protokollinformationen erhalten Diese Forderung wird durch die SF 2 wie folgt umgesetzt SF 2 sorgt daf r dass die Log Informationen der Baugruppe nur von Administratoren heruntergeladen w
9. Betriebssystem ablauff hig ist Die Baugruppe muss nach Auslieferung und Installation in die entsprechende Siemens Nebenstellenanlage f r die Nutzung vorbereitet werden Administration Dies geschieht mit dem Assistant f r Xpress LAN Im weiteren Betrieb ist jederzeit eine erneute Administration m glich Der EVG unterst tzt folgende Funktionen Voice over LAN 16 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT Routing und LAN LAN Kopplung RAS VCAPI Unterst tzung f r Telematik Dienste Internet Zugang Kanalb ndelung PPP Multilink Unterst tzung f r externe Gatekeeper Bereitstellung von ISDN Merkmalen f r H 323 Clients Authentisierung Zugangskontrolle Administration ber PC Programm Assistant f r Xpress LAN Dabei werden nicht alle der vorgenannten Funktionalit ten direkt vom EVG bereitgestellt vielmehr k nnen Leistungsmerkmale der Siemens Nebenstellenanlage transparent genutzt werden Die vom EVG bereitgestellte Sicherheitsfunktionalit t wird weiter unten aufgef hrt vgl Abschnitt 3 6 3 2 4 Betriebsmodi und verarbeitete Daten Die Baugruppe kennt nach der Erstinbetriebnahme nur einen Betriebsmodus den Wirkbetrieb Im Wirkbetrieb k nnen zwei Aktivit ten parallel durchgef hrt werden die Nutzung der Funktionalit t der Baugruppe und die Administration der Baugruppe auf einem Admin PC Beim Einspielen einer neuen Konfiguration werden alle
10. LAN Version 1 1 EAL1 debiszERT 3 5 1 5 Komponente FAU_GEN 1 Generierung der Protokolldaten FAU_GEN 1 1 Die TSF m ssen in der Lage sein f r folgende protokollierbaren Ereignisse eine Protokollaufzeichnung zu generieren a Starten und Beenden der Protokollierungsfunktionen b Alle protokollierbaren Ereignisse f r den Protokollierungsgrad Auswahl Minimal Einfach Detailliert nicht angegeben und c Zuweisung sonstige speziell festgelegte protokollierbare Ereignisse Schritt 1 Auswahl Minimal Einfach Detailliert nicht angegeben nicht angegeben Zuweisung sonstige speziell festgelegte protokollierbare Ereignisse Einspielung einer neuen Konfiguration FAU_GEN 1 1 Die TSF m ssen in der Lage sein f r folgende protokollierbaren Ereignisse eine Protokollaufzeichnung zu generieren a Starten und Beenden der Protokollierungsfunktionen b alle protokollierbaren Ereignisse f r den Protokollierungsgrad nicht angegeben und c Einspielung einer neuen Konfiguration Schritt 2 editorische Verfeinerung Die Wortgruppe f r den Protokollierungsgrad nicht angegeben wird gestrichen FAU_GEN 1 1 Die TSF m ssen in der Lage sein f r folgende protokollierbaren Ereignisse eine Protokollaufzeichnung zu generieren a Starten und Beenden der Protokollierungsfunktionen b alle protokollierbaren Ereignisse und c Einspielung einer neuen Konfiguration FAU_GEN 1 2 Die TSF m ssen innerhalb jeder Aufzeichnung mindestens
11. Stand 2000 Sachnummer A31003 K5020 B811 2 19 Hicom 150 E Office Sicherheitstechnische Erg nzung zur Administrations anleitung f r Hicom Xpress LAN Stand September 2000 Sachnummer A31003 K5020 X100 1 20 Assistant f r Xpress LAN auf Diskette Sachnummer P30300 P1562 A1 05 Software Der EVG wurde in folgender Einsatzumgebung getestet Baugruppe Voice Data f r Hicom 150 E Office pro Sachnummer S30810 02930 X000 06 Hicom 150 E Office pro als Siemens Nebenstellenanlage PC kompatibel zum Industriestandard mit WinNT 4 0 als Betriebssystem Zusammenfassung zum EVG Der EVG ist das Produkt Hicom Xpress LAN Version 1 1 Der EVG ist ein Software Produkt das aus zwei Teilen besteht Ein Teil ist die Firmware die auf einer speziellen Einsteckkarte Baugruppe f r eine Siemens Nebenstellenanlage der Hicom 150 E Familie l uft und der zweite Teil ist das Anwendungsprogramm zur Administration das auf einem PC des Industriestandards unter Windows 95 98 NT l uft debisZERT DSZ CC 04053 2000 9 von 58 2 3 2 4 28 10 von 58 Der EVG wird benutzt um Verbindungs und Kommunikationsdienste zwischen einem LAN und der analogen oder digitalen Telekommunikationswelt WAN zur Verf gung zu stellen Der EVG wurde durch die Siemens AG ICN EN HO SE 8 f r die Evaluierung bereitgestellt Ergebnis Die Pr fstelle kommt zu folgendem Ergebnis Die Sicherheitsvorg
12. dass Unbefugte nur ber die logischen Schnittstellen der Baugruppe angreifen k nnen Folglich ist auch O_NSTA ein zur Abwehr von T_CONF geeignetes ziel T_READ T_READ wird abgewehrt wenn V_DATA vor dem lesenden Zugriff durch S_UNBEF aus dem Internet oder dem Telefonnetz gesch tzt sind O_DATA ist daher zur Abwehr von T_READ geeignet und angemessen Damit es nicht m glich ist den EVG und seine Schutzwirkung zu umgehen muss jeder Weg eines Unbefugten aus dem Internet oder dem Telefonnetz in das zu sch tzende LAN ber die Baugruppe f hren Folglich ist O_PATH ebenfalls angemessen und geeignet T_READ abzuwehren Das Ziel O_PROT dient der berwachung von Sicherheitsfunktionen der Baugruppe und ist daher grunds tzlich angemessen und geeignet der Bedrohung T_READ indirekt entgegenzuwirken Die Eignung und Angemessenheit von O_NSTA zur Bek mpfung von T_READ wurde bereits in Abschnitt 3 8 1 3 dargelegt 34 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT T_MODIFY T_MODIFY wird abgewehrt wenn V_DATA vor dem Zugriff Z MODIFY durch S_UNBEF aus dem Internet oder dem Telefonnetz gesch tzt sind Dies ist einer der Inhalte des Zieles O_DATA Mit analoger Begr ndung wie f r T_READ ist O_DATA daher auch zur Abwehr von T_MODIFY angemessen und geeignet Die Analogie gilt ebenfalls f r O_PATH O_PROT und O_NSTA T_FUNC T_FUNC wird abgewehrt wenn das komplement re Ziel O_FUNC erreicht wird weshalb e
13. debis IT Security Services und am 14 11 2000 beendet Die Evaluierung wurde gegen die Common Criteria for Information Technology Security Evaluation CC durchgef hrt Eine bersicht ber die grundlegenden Strukturen der CC und ihre Terminologie enth lt CC Part 1 Introduction and General M odel Da zur Zeit noch kein offizielles Evaluationshandbuch f r die CC existiert wur den entsprechende Entw rfe CEM und soweit sinnvollerweise anwendbar die Evaluationsmethodologie in ITSEM verwendet Die der Evaluierung zugrunde liegenden Sicherheitsvorgaben Security Target Version 1 1 vom 18 08 2000 sind seitens des Auftraggebers in deutscher Sprache bereitgestellt worden Zertifizierung In den zur Zeit diskutierten Entw rfen eines Evaluationshandbuchs f r die CC werden die Begriffe overseer und evaluation summary report ESR ver wendet Entsprechend der Terminologie von debisZERT meint overseer stets Zertifizierer und evaluation summary report ist identisch mit Zertifizierungs report weiterhin wird der Proze bestehend aus Pr fbegleitung Produktion Freigabe und Ver ffentlichung des ESR als Zertifizierung bezeichnet Die Zertifizierung wurde gem den Regeln des Zertifizierungsschemas debis ZERT der debis IT Security Services durchgef hrt Die Zertifizierungsstelle ar beitet im Einklang mit der DIN EN 45011 und ist im Hinblick auf diese Norm bei der Deutsche Akkreditie
14. die die Sicherheit aufrecht erh lt Dieses Ziel ist abgedeckt durch die personelle Annahme A_PERS f r die fachliche Kompetenz und Vertrauensw rdigkeit der Administratoren durch die Annahme A_ORT indem das Risiko unbefugten physischen Zugriffs bek mpft wird und durch die Annahme A_TRUST durch die die vertrauensw rdige Verbindung gew hrleistet wird debisZERT DSZ CC 04053 2000 33 von 58 ann O_PHYS Der Verantwortliche f r den EVG muss sicherstellen dass die Aufstellung der Siemens Nebenstellenanlage mit der Baugruppe in einem zutrittsgesch tzten Raum erfolgt in dem die Betriebsbedingungen f r die Siemens Nebenstellenanlage eingehalten werden Dieses Ziel ist abgedeckt durch die Annahme A_ORT 3 8 1 4 Eignung der Sicherheitsziele zur Bek mpfung der Bedrohungen Die folgende Tabelle 3 zeigt die Beziehung zwischen Bedrohungen und Sicherheitszielen Bedrohung Sicherheitsziele T_CONF O_CONF O_NSTA T_READ O_DATA O_PATH O_PROT O_NSTA T_MODIFY O_DATA O_PATH O_PROT O_NSTA T_FUNC O_FUNC O_PATH O_PROT O_NSTA T_DOS O DO Tabelle 3 Sicherheitsziele die zur Abwehr von Bedrohungen beitragen T_CONF T_CONF wird abgewehrt wenn der Zugriff auf die Konfigurationsdaten V_KONF nur Befugten gestattet wird O_CONF ist daher ein zur Abwehr von T_CONF geeignetes Ziel Indem auch der physische Zugriff auf die Baugruppe mittels O_NSTA beschr nkt wird ist sichergestellt
15. einer sch tzenswerten Funktionalit t die verbindungsorientiert genutzt wird die Identifikation und Authentisierung vorangestellt werden w hrend sch tzenswerte Funktionalit t die verbindungslos genutzt wird vor unbefugter Nutzung durch die Verweigerung der Einrichtung einer Sitzung gesch tzt wird o DATA Die funktionalen Sicherheitsanforderungen FIA_UID 2 1 FIA_LUAU 2 1 und FTA_TSE 1 1 unterst tzen das Sicherheitsziel O_DATA mit folgender Begr ndung Da zwischen autorisierten und nicht autorisierten Benutzern unterschieden werden soll ist FIA_UAU 2 auszuw hlen und als abh ngige Komponente FIA_UID 1 wobei hier jedoch st rker FIA_UID 2 gew hlt wurde beachte vor jeder anderen Interaktion Die Authentisierung von Benutzern mit Ausnahme der Administratoren vgl dazu die Beschreibung der SF 1 in Abschnitt 3 6 1 erfolgt auf der Baugruppe Da die Benutzer entfernte Rechner benutzen wird ein Authentisierungsprotokoll PAP oder CHAP angewendet Da die bereitzustellende Funktionalit t des EVGs die Verweigerung von Zugriffen aus dem Internet einschlie t und dies im Rahmen der Einrichtung entsprechender Sitzungen oder ihrer Verweigerung geschieht ist die Anforderung FTA_TSE 1 1 auszuw hlen die gerade dies fordert FIA_UID 2 1 FIA_UAU 2 1 und FTA_TSE 1 1 sind als Anforderungen f r O_ DATA ausreichend Die Begr ndung ergibt sich analog zur Begr ndung unter O_FUNC O_PROT O_PROT wird durch die Anforderungen FPT_STM 1 1 F
16. o Dos Eine berlastung der Baugruppe muss verhindert und ihre Verf gbarkeit damit gesichert werden Dieses Sicherheitsziel ist gegen die Bedrohung gerichtet die Baugruppe durch den erzeugten Netzverkehr im LAN zu berlasten und so ihre Verf gbarkeit zu gef hrden 3 8 1 2 R ckf hrung der Sicherheitsziele f r den EVG auf Elemente der Sicherheitspolitik Da die Sicherheitsziele einzig auf die Bedrohungen und die Annahmen zur ckgef hrt werden wurde eine organisatorische Sicherheitspolitik nicht angegeben Es sind hier folglich keine Elemente der Sicherheitspolitik zu betrachten 3 8 1 3 R ckf hrung der Sicherheitsziele f r die EVG Umgebung auf Annahmen oder Bedrohungen Es gibt vier Sicherheitsziele f r die Umgebung des EVGs O_NSTA O_PATH O_ADMIN und O_PHYS die aus folgenden Gr nden aufgestellt werden Sicherheitsziel Annahme oder Bedrohung O_NSTA T_CONF T_READ T_MODIF T_FUNC O_PATH A_PATH T_READ T_MODIF T_FUNC 32 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT Sicherheitsziel Annahme oder Bedrohung O_ADMIN A_PERS A ORT A_TRUST O_PHYS A_ORT Tabelle 2 Sicherheitsziele f r die Umgebung und Bedrohungen und Annahmen O_NSTA Der Verantwortliche f r den EVG muss sicherstellen dass die Siemens Nebenstellenanlage baugruppenkonform konfiguriert wird Sie muss alle Passw rter vertraulich halten Ihre Sicherheitsfunktionen
17. 1 Informelle funktionale Spezifikation ADV_RCR 1 Informeller Nachweis der bereinstimmung Vertrauensw rdigkeitsklasse Handb cher AGD_ADM 1 Systemverwalterhandbuch AGD_USR 1 Benutzerhandbuch Vertrauensw rdigkeitsklasse Testen ATE_IND 1 Unabh ngiges Testen bereinstimmung 4 Bemerkung Bei genauerer Betrachtung stellt man fest dass die Regel b die Regel a umfa t 26 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT 3 5 3 Sicherheitsanforderungen an die IT Umgebung In bereinstimmung mit dem Ziel O_NSTA wird gefordert dass die Siemens Nebenstellenanlage die Funktionen Identifizierung und Authentisierung f r Administration und Service korrekt und vertrauensw rdig bereitstellt Daher ist an die IT Umgebung des EVGs folgende Sicherheitsanforderung zu stellen beachte mit den TSF sind die TSF der Siemens Nebenstellenanlage gemeint FIA_ATD 1 1 Die TSF m ssen die folgende Liste von Sicherheitsattributen die zu einzelnen Benutzern geh ren erhalten Zuweisung Liste der Sicherheitsattribute Verfeinerung Zuweisung Liste der Sicherheitsattribute Level 0 S_UNBEF Level 2 S_ADMIN aus Revision Level 4 SG ADMIN aus Administration Kunde Level 5 S_ADMIN aus Eigenwarter Service oder Level 6 S ADMIN aus Entwicklung FIA_ATD 1 1 Die TSF m ssen die folgende Liste von Sicherheitsattributen die zu einzelnen Benutzern geh ren erhalten Level 0 S_UNBEF Level 2 S_ADM
18. AU_ARP 1 1 FAU_GEN 1 1 FAU_GEN 1 2 FAU_SAR 1 1 FAU_SAR 1 2 FAU_SAR 2 1 FAU_STG 1 1 FAU_STG 1 2 FAU_SAA 1 1 und FAU_SAA 1 2 unterst tzt die zum Teil aus Gr nden der Abh ngigkeit aufgenommen wurden Um Angriffsversuche erkennen und darauf reagieren zu k nnen ist eine Protokollierung von Versuchen unbefugt sch tzenswerte Funktionalit t V_FUNC zu nutzen oder debisZERT DSZ CC 04053 2000 37 von 58 Ip MR unbefugt auf V_DATA zuzugreifen notwendig Daher ist FAU_ARP 1 auszuw hlen die gerade dies fordert FAU_ARP 1 h ngt von der Komponente FAU_SAA 1 ab diese von FAU_GEN 1 diese wiederum von FPT_STM 1 Es ist ferner n tig die erfassten Protokolldaten auch auszuwerten Dies wird gerade von FAU_SAR 1 gefordert Da Protokolldaten indirekten Aufschluss ber Angriffsversuche geben muss der Zugriff auf befugte Nutzer beschr nkt werden Dies fordert FAU_SAR 2 Schlie lich wird FAU_STG 1 gefordert damit die Zuverl ssigkeit der aus den Protokollaufzeichnungen gewonnenen Schl sse nicht durch Unvollst ndigkeit oder Fehlerhaftigkeit leidet Das Ziel O_PROT ist ausreichend abgedeckt durch die Anforderungen FPT_STM 1 1 FAU_ARP 1 1 FAU_GEN 1 1 FAU_GEN 12 FAU_SAR 1 1 FAU_SAR 1 2 FAU_SAR 2 1 FAU_STG 1 1 FAU_STG 1 2 FAU_SAA 1 1 und FAU_SAA 1 2 denn FAU_ARP 1 1 fordert dass potentielle Sicherheitsverletzungen berhaupt protokolliert werden Als davon abh ngige Komponenten m ssen FAU_SAA 1 1 FAU_SAA 1 2
19. Daten im LAN Filterfunktion Abweisung unbefugter Zugriffe von au erhalb V_EVG die Baugruppe V_FUNC sch tzenswerte Funktionalit t gegen unbefugte Nutzung H 323 Client Hicom Xpress LAN Client vCAPI Client Internet Dienste Als Zugriffsarten sind relevant Z READ lesen empfangen Z MODIFY ndern erzeugen schreiben senden Z USE nutzen ausf hren 3 3 2 Annahmen 3 3 2 1 Infrastrukturelle Annahmen A_ORT Die Siemens Nebenstellenanlage mit der installierten Baugruppe wird in einem zutrittsgesch tzten Raum aufgestellt Der Zutritt unbefugter Personen wird verhindert 3 3 2 2 Vernetzungsspezifische Annahmen A_PATH Alle Verbindungen zwischen dem zu sch tzenden LAN einerseits und dem Internet oder dem Telefonnetz andererseits gehen nur ber die Baugruppe in Verbindung mit der Siemens Nebenstellenanlage A_TRUST Die w hrend der Administration bestehende Verbindung zwischen Admin PC und Baugruppe ist vertrauensw rdig 3 3 2 3 Personelle Annahmen A_PERS Die Personen die die Rollen Revision Level 2 Administration Kunde Level 4 Eigenwarter Service Level 5 und Entwicklung Level 6 besetzen sind fachlich kompetent und vertrauensw rdig 3 3 3 Bedrohungen T_CONF UNBEFUGTE S_UNBEF k nnen die sicherheitsrelevanten Konfigura tionsdaten V_KONF auf der Baugruppe lesen Z_READ und sie ggf andern Z MODIFY Die angegriffenen Werte sind die Konfigurationsdaten V_DATA auf der Baugruppe Angreifer sind
20. Durchf hrung einer Evaluie rung und Zertifizierung Bericht einer Pr fstelle an die Zertifizierungsstelle ber be sondere Probleme bei einer Evaluierung z B die Interpreta tion der Sicherheitskriterien betreffend Zertifizierung eines IT Produktes Abfolge vernetzter T tigkeiten Proze elemente in einer gegebenen Proze umgebung mit dem Gesamitziel eine bestimmte Dienstleistung zu erbringen Mitarbeiter in der Zertifizierungsstelle f hrt die Pr fbe gleitung durch Verfahren der Zertifizierungsstelle um die Ordnungsm ig keit Kriterienkonformit t einheitliche Vorgehensweise und Bewertungen etc einer Evaluierung zu berpr fen Einzelbericht oder Evaluierungsbericht Stelle die Evaluierungen durchf hrt die nach 866 Telekommunikationsgesetz TKG zust ndige Regulierungsbeh rde f r Telekommunikation und Post Nach nderungen am zertifizierten Objekt notwendig wer dende Zertifizierung der ge nderten Version kann auch bei Wechsel von Werkzeugen Produktions und Auslieferungs prozessen Sicherheitskriterien erforderlich werden In debisZERT eine juristisch verbindliche Best tigung von Sicherheitseigenschaften z B eine Bescheinigung die die Erf llung der Anforderungen des Signaturgesetzes best tigt debisZERT DSZ CC 04053 2000 51 von 58 f gt Sicherheitsfunktion Sicherheitskriterien Sicherheitsnorm Sicherheitsstandard Sicherheitsstufen Sicherheitszert
21. FAU_GEN 1 1 FAU_GEN 1 2 und FPT_STM 1 1 gefordert werden Das Erfordernis protokollierte Informationen auch auswerten zu k nnen wird durch die Anforderungen FAU_SAR 1 1 FAU_SAR 1 2 und FAU_SAR 2 1 abgedeckt wobei die Beschr nkung des Lesens auf autorisierte Personen der missbr uchlichen Verwendung von Protokollinformationen entgegenwirkt Wegen der Zuverl ssigkeit der Informationen die aus den Protokollaufzeichnungen entnommen werden k nnen werden schlie lich die Forderungen FAU_STG 1 1 und FAU_STG 1 2 gestellt o Dos O DOS wird einzig durch FRU_RSA 1 1 unterst tzt Die berlastung der Baugruppe wird verhindert wenn f r die Bearbeitung der von der Baugruppe angenommenen Datenpakete jeweils genug Ressourcen an Rechenzeit und Speicherkapazit t bereitstehen Die aktuell zur Verf gung stehende Speicherkapazit t bestimmt ob die Datenpakete die bereits von der Baugruppe angenommen wurden auch ordnungsgem bearbeitet werden k nnen Daher ist es sinnvoll und angemessen eine Beschr nkung der maximalen Belegung f r den internen Speicher der Baugruppe zu fordern Dies verlangt genau FRU_RSA 1 1 Alle Subjekte werden gleichbehandelt da es sich um ein verbindungsloses Protokoll handelt Alle bereits in Bearbeitung befindlichen Datenpakete k nnen ordnungsgem bearbeitet werden da stets gen gend Speicherplatz und Bearbeitungszeit zur Verf gung stehen und es werden nur so viele neue Datenpakete angenommen wie in unmittelbarer Zuk
22. IN aus Revision Level 4 S_ADMIN aus Administration Kunde Level 5 S_ADMIN aus Eigenwarter Service oder Level 6 S ADMIN aus Entwicklung 3 6 EVG bersichtsspezifikation 3 6 1 Spezifikation der EVG Sicherheitsfunktionen Der EVG stellt folgende Sicherheitsfunktionen bereit mit denen die in Abschnitt 5 1 aufgef hrten funktionalen Sicherheitsanforderungen an den EVG erf llt werden SF 1 Authentisierung von Administratoren Assistant f r Xpress LAN SF 2 Zugriffskontrolle auf Datenbankelemente nur Assistant f r Xpress LAN der Konfigurationsdaten V_KONF SF 3a MAC Adress Filter SF 3b IP IPX Adress Filter SF 3c Port Adress Filter SF 4 Protokollierung durch SNMP Traps SF 5 Protokollierung abgewiesener und angenommener Verbindungen Kunden Trace 5 Im englischen Original wird das Verb maintain verwendet erhalten ist daher im Sinne von pflegen zu verstehen debisZERT DSZ CC 04053 2000 27 von 58 CC SF 10 Authentisierung der voice clients vom Typ OptiC55 auf der Baugrup pe Herstellen authentischer Verbindungen Identifikation durch R ckruf Authentisierung der remote user an der Baugruppe Zeitstempel berlastsicherung des LAN Adapters Au er SF 1 und SF 2 sind alle anderen TSF auf der Baugruppe realisiert Die oben genannten Sicherheitsfunktionen wirken wie folgt SF 1 28 von 58 Unmittelbar nach dem Start des Assistant f r Xpress LAN wird der Ben
23. Klassisches Sicherheitsziel Daten sollen Befugten stets zur Verf gung stehen d h nicht von Unbefugten vorenthalten werden k nnen oder aufgrund technischer Defekte nicht verf gbar sein hier Berechtigung alle mit einer Evaluierung und Zertifi zierung verbundenen Inspektionen an einem Produkt Sy stem oder einer Dienstleistung zulassen zu k nnen Klassisches Sicherheitsziel Daten sollen nur durch Befugte zur Kenntnis genommen werden k nnen debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debisZzERT Vor Zertifizierung Zertifikat Zertifizierer Zertifizierung Zertifizierungskennung Zertifizierungsreport Zertifizierungsschema Zertifizierungsstelle ZKA Kriterien 5 2 Referenzen Best tigung der Ergebnisse einer Voruntersuchung einer produkt bzw proze spezifischen Sicherheitsnorm oder eines sicherheitsrelevanten Werkzeugs im Hinblick auf Sp tere Zertifizierungen Zusammenfassende Kurz Darstellung eines Zertifizie rungsergebnisses wird durch die Zertifizierungsstelle aus gestellt Mitarbeiter in einer Zertifizierungsstelle die eine Zertifi zierung durchf hrt Unabh ngige Best tigung der Ordnungsm igkeit einer Evaluierung Auch Bezeichnung f r das Gesamtverfahren bestehend aus Evaluierung Pr fbegleitung und Ausstellung von Zertifikaten und Zertifizierungsreports Code Bezeichnung f r ein Zertifizierungsverfahren Bericht ber Gegenstand Ablauf und Ergebnis
24. Protokollinformationen aus den Protokollaufzeichnungen zu lesen FAU_SAR 1 2 Die TSF m ssen die Protokollaufzeichnungen in einer f r die Interpretation der Informationen durch den Benutzer geeigneten Art und Weise bereitstellen 3 5 1 7 Komponente FAU_SAR 2 Eingeschr nkte Durchsicht der Protokollierung FAU_SAR 2 1 Die TSF m ssen allen Benutzern Zugriff zum Lesen der Protokollaufzeichnungen verbieten mit Ausnahme derjenigen Benutzer denen der Lesezugriff explizit gew hrt wurde 3 5 1 8 Komponente FAU_STG 1 Gesch tzte Speicherung des Protokolls FAU_STG 1 1 Die TSF m ssen die gespeicherten Protokollaufzeichnungen gegen nichtautorisiertes L schen sch tzen FAU_STG 1 2 Die TSF m ssen Modifizierungen der Protokollaufzeichnungen Auswahl verhindern erkennen k nnen Verfeinerung Auswahl verhindern erkennen verhindern FAU_STG 1 2 Die TSF m ssen Modifizierungen der Protokollaufzeichnungen verhindern k nnen 3 5 1 9 Komponente FTA_TSE 1 EVG Sitzungseinrichtung FTA_TSE 1 1 Die TSF m ssen in der Lage sein basierend auf Zuweisung Attribute eine Sitzungseinrichtung zu verweigern Verfeinerung Zuweisung Attribute der MAC Adresse der IP IPX Adresse oder der Port Adresse 24 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT FTA_TSE 1 1 Die TSF m ssen in der Lage sein basierend auf der MAC Adresse der IP IPX Adresse oder der Port Adresse eine Sitzungseinrichtung zu verweig
25. S_UNBEF im LAN oder ISDN debisZERT DSZ CC 04053 2000 19 von 58 T_READ T_MODIF T_FUNC T_DOS Angegriffen werden die externen Schnittstellen der Baugruppe mit frei erh ltlichen einfach zu bedienenden Softwaretools S_UNBEF au erhalb des zu sch tzenden LANs erhalten Kenntnis Z_READ von den Daten V_DATA im LAN Die angegriffenen Werte sind die Daten V DATA im LAN Angreifer sind S_UNBEF die nicht im zu sch tzenden LAN sitzen Angegriffen wird auf der ISDN Schnittstelle mit handels blichen Softwaretools S_UNBEF au erhalb des zu sch tzenden LANs k nnen Daten V_DATA im LAN ndern oder erzeugen LZ MODIFY Die angegriffenen Werte sind die Daten V_DATA im LAN Angreifer sind UNBEFUGTE im ISDN Angegriffen wird auf der ISDN Schnittstelle mit handels blichen Softwaretools S_UNBEF nutzen Z_USE sch tzenswerte Funktionalit t V_FUNC Die angegriffenen Werte sind die in Abschnitt 3 1 aufgef hrten Funktionalit ten V_FUNC Angreifer sind S_UNBEF im LAN oder im ISDN Angegriffen wird auf der ISDN Schnittstelle mit handels blichen Softwaretools Der durch die LAN Benutzer erzeugte Netzverkehr f hrt zu einer berlastung der Baugruppe V_EVG und so zur Gef hrdung ihrer Verf gbarkeit Der angegriffene Wert ist die Baugruppe bez glich ihrer Verf gbar keit f r die Erf llung ihrer Funktionalit t Angreifer sind die Endger te im LAN die Netzverkehr zur Baugruppe erzeugen Ange
26. Services by DaimlerChrysler Zertifizierungsreport Hicom Xpress LAN Version 1 1 Siemens AG debiszERT DSZ CC 04053 2000 debis IT Security Services Die Dienstleister der Moderne Hicom Xpress LAN Version 1 1 EAL1 debisZERT Vorwort Das Produkt Hicom Xpress LAN Version 1 1 der Siemens AG wurde gegen die Common Criteria for Information Technology Security Evaluation evaluiert Die Evaluierung wurde im Rahmen des Zertifizierungsschemas debisZERT der debis IT Security Services durchgef hrt Die Zertifizierung erfolgte im Dienstleistungsbereich 4 Zertifikate mit Anerkennung durch das BSI Das Ergebnis lautet EVG Sicherheitsfunktionen Identifikation und Authentisierung regelbasierte Zugriffskontrolle und Sicherheitsprotokollierung Stufe der Vertrauensw rdigkeit EALI1 St rke der Sicherheitsfunktionen ohne Die Ordnungsm igkeit der Evaluierung wird hiermit best tigt Bonn den 14 November 2000 Zertifizierer Leiter der Zertifizierungsstelle Dr Hans Reinhard Baader Dr Heinrich Kersten F r weitere Ausk nfte und Kopien dieses Reports ist die Zertifizierungsstelle wie folgt erreichbar ES debis IT Security Services Zertifizierungsstelle Rabinstr 8 53111 Bonn zZ 0228 9841 0 Fax 0228 9841 60 D Email debiszert itsec debis de Internet www debiszert de debisZERT DSZ CC 04053 2000 1 von 58 2 von 58 Revisionsliste Die nachfolgende Revisionsliste gibt Auskunft be
27. U_SAR 1 1 X FAU_SAR 1 2 X FAU_SAR 2 1 X FAU_STG 1 1 X FAU_STG 1 2 X FTA_TSE 1 1 X X FRAU_RSA 1 1 X FAU_SAA 1 1 X FAU_SAA 1 2 X Tabelle 4 Sicherheitsziele f r den EVG und funktionale Anforderungen Ein Kreuz in der Tabelle 4 zeigt an dass die in der jeweiligen Zeile angegebene funktionale Komponente vom in der jeweiligen Spalte angegebenen Sicherheitsziel ben tigt wird Es ist zu erkennen dass es kein Sicherheitsziel gibt dem nicht mindestens eine funktionale Komponente zugeordnet w re Dar ber hinaus gibt es keine funktionale Komponente die nicht auf mindestens ein Ziel zur ckgef hrt w rde Erkl rung der Tabelle 4 O_CONF O_CONF wird durch die Sicherheitsanforderungen f r den EVG FIA_UID 2 1 und FIA_UAU 2 1 abgedeckt Die Konfigurationsdaten V_KONF liegen auf der Baugruppe Sie k nnen dort jedoch nicht bearbeitet werden da eine entsprechende Funktionalit t fehlt Das Lesen der V_KONF setzt sogar voraus dass die V_KONF von der Baugruppe auf einen PC heruntergeladen werden Daher ist genau diese Funktionalit t gegen Missbrauch zu sch tzen Die Anforderung FIA_UAU 2 1 verlangt gerade die Authentisierung hier der Administratoren Die abh ngige Komponente FIA_UID 1 wird nicht gefordert Statt dessen wird die st rkere Anforderung FIA_UID 2 1 gestellt die hierarchisch dazu ist Die Forderungen FIA_UID 2 1 und FIA_UAU 2 1 zu stellen ist aber auch ausreichend da Kenntnisnahme und Anderung von V_KONF auf diese Wei
28. Verf gung Identifikation und Authentisierung regelbasierte Zugriffskontrolle und Protokollierung 3 1 3 CC Konformit t Diese Sicherheitsvorgaben folgen der Standardgliederung gem CC Teil 1 vergl 1 Die funktionalen Anforderungen an den EVG sind konform zu Teil 2 vergl 2 die An forderungen an die Vertrauensw rdigkeit des EVGs konform zu Teil 3 EAL1 vergl 4 der CC Alle Referenzen zu den Common Criteria for Information Technology Security Evaluation CC beziehen sich auf die Version 2 0 der CC vom Mai 1998 die in deutscher berset zung als Gemeinsame Kriterien f r die Pr fung und Bewertung der Sicherheit von Informationstechnik am 15 November 1999 als g ltige IT Sicherheitskriterien im Sinne des BSI Errichtungs gesetzes im Bundesanzeiger ver ffentlicht wurden 3 2 EVG Beschreibung 3 2 1 Typ des EVG Beim Hicom Xpress LAN Version 1 1 handelt sich um ein IT Produkt dessen wesent liche Funktionalit t die Protokollumsetzung zwischen der TCP IP Welt oder IPX SPX Welt einerseits und der analogen oder digitalen Telekommunikationswelt andererseits ist Die Verbindung zur analogen und digitalen Telekommunikationswelt wird ber eine Siemens Nebenstellenanlage hergestellt die Verbindung zur TCP IP oder IPX SPX Welt ber einen 10 100BaseT Anschlu Der EVG kann nur zusammen mit und als Erweiterung zu bestimmten Nebenstellenan lagen der Siemens AG eingesetzt werden 1 Das Produ
29. aben erf llen die Anforderungen der entsprechenden Klasse ASE Security Target Evaluation der Common Criteria Der EVG gen gt den Anforderungen der Evaluationsstufe EAL1 der Common Criteria Diese Stufe beinhaltet die folgenden Assurance Components Configuration management ACM_CAP 1 Version numbers Delivery and operation ADO _IGS 1 Installation generation and start up procedures Development ADV_FSP 1 Informal functional specification ADV_RCR 1 Informal correspondence demonstration Guidance documents AGD_ADM 1 Administrator guidance AGD_USR 1 User guidance Tests ATE_IND 1 Independent testing conformance Die Sicherheitsfunktionen des EVG bzw ihre Mechanismen wurden hinsichtlich ihrer St rke nicht bewertet da eine solche Bewertung f r die Stufe EAL1 nicht vorgesehen ist Hinweise Die Pr fstelle hat f r den evaluierten EVG keine Auflagen an den Hersteller auszusprechen Die Pr fstelle hat folgende Auflagen an den Anwender auszusprechen debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT Der Anwender soll die vom Hersteller bereitgestellte Dokumentation insbesondere die dort gegebenen Sicherheitshinweise beachten Diese Dokumentation richtet sich sowohl an den Administrator als auch an den Endnutzer Der Anwender soll die Installationsdiskette f r den Assistant f r Xpress LAN so aufbewahren dass sie nicht f r Personen zug nglich ist die keine Administratorrechte haben
30. ach IP Adressen MAC Adressen und Portnummern Eine Filterung nach Diensten erfolgt nicht Die auf der Baugruppe laufende Software beinhaltet einen SNMP Server Dieser erkennt bestimmte Zust nde und Ereignisse auf der Baugruppe und ist in der Lage Informationen dazu zu erzeugen SNMP Traps vgl 7 S 97f Die generierten SNMP Traps werden auf der Baugruppe als strukturierte ASCII Datei gespeichert Es besteht auch die M glichkeit die generierten Traps an eine festgelegte Adresse zu senden Dies muss im KDS konfiguriert werden Einmal durch SF 4 geschriebene Informationen k nnen auf der Baugruppe nicht debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT modifiziert werden Da die Speicher als Ringspeicher organisiert sind k nnen bei unachtsamer Administration h chstens Protokollinformationen mit neuen Protokollinformationen berschrieben werden SF 5 Die auf der Baugruppe laufende Software ist in der Lage sicherheitskritische Ereignisse die sich auf den PPP Verbindungsaufbau und den ISDN Verbindungs aufbau beziehen zu erkennen und Protokollinformationen als strukturierte ASCII Datei zu generieren die Auskunft ber diese Ereignisse geben vgl 7 S 147ff Dies muss im KDS konfiguriert werden Einmal durch SF 5 geschriebene Informationen k nnen auf der Baugruppe nicht modifiziert werden Da die Speicher als Ringspeicher organisiert sind k nnen bei unachtsamer Administration h chstens Protokollin
31. aften des IT Produktes Hicom Xpress LAN Version 1 1 der Firma Siemens AG Berlin und M nchen Dieses IT Produkt besteht aus den in Abschnitt 3 2 2 genannten Komponenten mit den dort angegebenen Versions nummern und Auslieferungsst nden Der EVG besteht aus den ebenfalls dort genauer bezeichneten Bestandteilen Dieses Dokument ist Grundlage einer Evaluierung von Hicom Xpress LAN Version 1 1 nach EAL1 der CC 4 3 1 2 ST bersicht Gegenw rtig existieren zwei Kommunikationsnetze parallel zueinander Computernetze und Telekommunikationsnetze Da inzwischen die Telekommunikationsnetze weitestge hend unter Benutzung moderner Informationstechnik betrieben werden besteht die M glichkeit beide Kommunikationsnetze miteinander zu verbinden Dies kann zum Bei spiel durch Erweiterung einer Telefonvermittlungsanlage um eine geeignete Zusatzbau gruppe geschehen so dass ein lokales Computernetz f r Weitverkehrsverbindungen das Telekommunikationsnetz benutzen kann Bei der Integration beider Netze des Telekommunikationsnetzes und des Computernet zes ergeben sich nicht nur neue Funktionalit ten sondern auch die Sicherheitsproble me beider Bereiche werden miteinander verkn pft debisZERT DSZ CC 04053 2000 13 von 58 Dieses ST definiert die sicherheitsrelevanten Aspekte und zeigt auf wie sie durch den EVG gel st werden Als Erg nzung zu einer Siemens Nebenstellenanlagel stellt der EVG folgende Sicherheitsfunktionalit t zur
32. bestehenden Verbindungen abgebaut und es wird ein startup der Baugruppe mit der neuen Konfiguration durchgef hrt Anschlie end wird der Wirkbetrieb auf der Grundlage der neuen Konfiguration fortgesetzt vgl auch 6 7 Die Baugruppe nimmt Daten entgegen verarbeitet sie und gibt sie weiter Dabei liegen die zu bertragenden Daten auf der LAN Seite im TCP IP Format oder IPX SPX Format vor auf der ISDN Seite im ISDN Format Bei der Verarbeitung der Daten findet eine Protokollumsetzung statt 3 2 5 Topologie und EVG interne Kommunikation Der EVG besteht logisch aus zwei Komponenten der Baugruppe und dem Assistant f r Xpress LAN Der Assistant f r Xpress LAN kommuniziert mit der Baugruppe unter Benutzung des zu sch tzenden LANs Ferner k nnen Baugruppe und Assistant f r Xpress LAN auch ber eine SLIP Verbindung miteinander kommunizieren 3 2 6 Voreingestellte EVG Nutzer und ihre Rollen Im Wirkbetrieb kennt der EVG drei Personengruppen Rollen die potentiell logischen Zugriff auf den EVG haben USER entweder Personen die einen autorisierten Hicom Xpress LAN Client benutzen oder autorisierte Endger te i a PCs auf denen debisZERT DSZ CC 04053 2000 17 von 58 mindestens ein Internet Dienst Ebene 4 und tiefer im ISO OSI Schichtenmodell oder ein H 323 Client oder ein vCAPI Client installiert ist ADMIN Personen die den Assistant f r Xpress LAN zur Administration benutzen UNBEFUGTE alle ander
33. die folgenden Informationen speichern a Datum und Uhrzeit des Ereignisses Art des Ereignisses Identit t des Subjekts und das Ergebnis Erfolg oder Misserfolg des Ereignisses und b basierend auf den Definitionen der in PP ST eingebundenen protokollierbaren Ereignisse f r jede Art von Protokollierungsereignissen Zuweisung sonstige protokollierungsrelevante Information Verfeinerung Zuweisung sonstige protokollierungsrelevante Information keine weiteren Informationen FAU_GEN 1 2 Die TSF m ssen innerhalb jeder Aufzeichnung mindestens die folgenden Informationen speichern a Datum und Uhrzeit des Ereignisses Art des Ereignisses Identit t des Subjekts und das Ergebnis Erfolg oder Misserfolg des Ereignisses und b basierend auf den Definitionen der in PP ST eingebundenen debisZERT DSZ CC 04053 2000 23 von 58 Ip E protokollierbaren Ereignisse f r jede Art von Protokollierungsereignissen keine weiteren Informationen 3 5 1 6 Komponente FAU_SAR 1 Durchsicht der Protokollierung FAU_SAR 1 1 Die TSF m ssen f r Zuweisung autorisierte Benutzer die F higkeit bereitstellen Zuweisung Liste der Protokollinformationen aus den Protokollaufzeichnungen zu lesen Verfeinerung Zuweisungen autorisierte Benutzer Administratoren Liste der Protokollinformationen i alle erzeugten Protokollinformationen FAU_SAR 1 1 Die TSF m ssen f r Administratoren die F higkeit bereitstellen alle erzeugten
34. ebnisse der Identifikation und Authentisiercung des Administrators durch die Siemens Nebenstellenanlage Deshalb m ssen in der Umgebung des EVGs folgende Ziele erreicht werden um die vom EVG bereitgestellten Sicherheitsmerkmale zu unterst tzen O_NSTA Der Verantwortliche f r den EVG muss sicherstellen dass die Siemens Nebenstellenanlage baugruppenkonform konfiguriert wird Sie muss alle Passw rter vertraulich halten Ihre Sicherheitsfunktionen insbesondere die Identifizierung und Authentisierung m ssen korrekt und zuverl ssig arbeiten O_PATH Der Verantwortliche f r den EVG muss sicherstellen dass alle Verbindungen ins Internet oder ins Telefonnetz nur ber die Baugruppe in Verbindung mit der Siemens Nebenstellenanlage gehen O_ADMIN Der Verantwortliche f r den EVG muss sicherstellen dass Installation Administration und Wartung nur durch geschultes und vertrauens w rdiges Personal ber eine vertrauensw rdige Verbindung in einer Weise erfolgen die die Sicherheit aufrecht erh lt debisZERT DSZ CC 04053 2000 21 von 58 Ip MR O_PHYS Der Verantwortliche f r den EVG muss sicherstellen dass die Aufstellung der Siemens Nebenstellenanlage mit der Baugruppe in einem zutrittsgesch tzten Raum erfolgt in dem die Betriebsbedingungen f r die Siemens Nebenstellenanlage eingehalten werden 3 5 Anforderungen an die IT Sicherheit 3 5 1 Funktionale Sicherheitsanforderungen an den EVG Die funktionalen A
35. eines Zer tifizierungsverfahrens wird durch die Zertifizierungsstelle ausgestellt Zusammenfassung aller Grunds tze Regeln und Verfahren einer Zertifizierungsstelle Stelle die Zertifizierungen durchf hrt s auch Trust Center f r eine zweite Bedeutung Sicherheitskriterien des Zentralen Kreditausschusses A00 Lizenzierungsschema debisZERT Version 1 6 31 03 2000 http www debiszert de ALG Anhang zu Bekanntmachung zur digitalen Signatur nach Signaturgesetz und Signaturverordnung vom 09 02 98 im Bundesanzeiger Nr 31 v 14 02 98 http www regtp de Fachinfo Digitalsign start htm BSIG Gesetz ber die Errichtung des Bundesamtes f r Sicherheit in der Infor mationstechnik BSI Errichtungsgesetz BSIG BGBl I vom 17 Dezem ber 1990 Seite 2834 ff I CC Common Criteria for Information Technology Security Evaluation Version 2 1 Part 1 Introduction and general model Part 2 Security functional requirements Part 2 Annexes Part 3 Security assurance requirements August 1999 http csrc nist gov cc info infolist htm CEM Common Methodology for Information Technology Security Evaluation Part 1 Introduction and general model version 0 6 January 1997 Part 2 Evaluation Methodology version 1 0 August 1999 http csrc nist gov cc info infolist htm debisZERT DSZ CC 04053 2000 53 von 58 EBA ITSEC ITSEM luKDG UR Mkat12
36. en Personen oder Endger te Bei der Administration unterscheidet der Assistant f r Xpress LAN vier Rollen denen jeweils unterschiedliche Informationen und Einstellm glichkeiten angeboten werden Revision Level 2 Administration Kunde Level 4 Eigenwarter Service Level 5 i Entwicklung Level 6 3 3 Die Sicherheitsumgebung des EVG Die Baugruppe ben tigt eine bestimmte Siemens Nebenstellenanlage mit der zusammen sie betrieben werden kann vgl auch 6 Die Administrationssoftware Assistant f r Xpress LAN l uft auf PCs des Industriestandards unter Windows 95 98 I NT 3 3 1 Subjekte Objekte und Zugriffsarten Der EVG unterscheidet folgende Subjekte S_USER befugte Benutzer einer sch tzenswerten Funktionalit t siehe oben USER S_ADMIN befugte Benutzer des Assistant f r Xpress LAN Level 2 4 5 oder 6 S_UNBEF UNBEFUGTE Folgende Objekte werden als sch tzenswert durch den EVG und seine Umgebung definiert V_KONF Konfigurationsdaten des EVGs auf der Baugruppe auch Kundendaten speicher genannt KDS 2 Die Bezeichnung Level n wurde von der Siemens Nebenstellenanlage bernommen Die Zahl n entspricht dabei der R ckmeldung die von der Siemens Nebenstellenanlage bei der erfolgreichen Authentisierung gegeben wird Nicht erfolgreiche Authentisierung wird durch R ckgabe der 0 signalisiert 18 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT V_DATA
37. en Tools denen die Handb cher die mit dem EVG ausge liefert werden zur Verf gung stehen Die Evaluierung soll daher zeigen dass der EVG seine Sicherheitsfunktionen in der beschriebenen Weise bereitstellt und dass diese Sicherheitsfunktionen korrekt arbeiten und gegen die beschriebenen Bedrohungen wir ken Diesen Anforderungen ist die Evaluierung gem EAL 1 der CC angemessen 3 8 2 4 Erkl rung der Ma nahmen zur Vertrauensw rdigkeit Die in Abschnitt 5 2 gestellten Anforderungen an die Vertrauensw rdigkeit werden durch die in Abschnitt 6 2 niedergelegten Ma nahmen zur Vertrauensw rdigkeit mit folgender Begr ndung erf llt Jede Anforderungen an die Vertrauensw rdigkeit wird durch mindestens eine Ma nahme zur Vertrauensw rdigkeit abgedeckt Anforderungen an die Vertrauensw rdigkeit Ma nahmen zur Vertrauensw rdigkeit ACH CAR ACM_CAP 1 1M ACH CAR LAN ADO_IGS 1 ADO_IGS 1M ADV_FSP 1 ADV_FSP 1M ADV_RCR 1 ADV_RCR IM AGD_ADM 1 AGD_ADM 1M AGD_USR 1 AGD_USR 1M ATE_IND 1 ATE_IND 1M debisZERT DSZ CC 04053 2000 39 von 58 I u gt MR Die Ma nahmen zur Vertrauensw rdigkeit wurden so gew hlt dass alle f r die Evaluierung gem EAL1 geforderten Dokumente bereitgestellt werden die bereitgestellten Dokumente alle geforderten und erwarteten Inhalte zur Verf gung stellen die Eindeutigkeits und Kennzeichnungsforderungen erf llt werden und
38. erden k nnen debisZERT DSZ CC 04053 2000 41 von 58 FAU_SAR 1 2 SF 4 und SF 5 erzeugen die Log Informationen als ASCIl Texte der sich leicht interpretieren l sst FAU_SAR 2 1 Da SF 2 erst wirksam wird nachdem SF 1 einen Administrator authentisiert hat sind die Protokollinformationen der Baugruppe nur von Administratoren herunterladbar Ein direktes Lesen der Log Informationen von der Baugruppe ohne Benutzung des Assistant f r Xpress LAN wird nicht unterst tzt keine entsprechende Funktionalit t vorhanden F r die SNMP Traps muss eine Konfiguration eingestellt werden die die Traps nur an Administratoren sendet Dies geschieht durch entsprechenden Eintrag im KDS FAU_STG 1 1 Die Log Informationen auf der Baugruppe k nnen nur durch Administratoren Feststellung durch SF 1 gel scht werden Dies geschieht durch Freigabe des benutzten Speicherplatzes im Anschluss an das Herunterladen Implizit erfolgt eine teilweise L schung auf der Baugruppe immer dann wenn der vorgesehene Speicher voll ist Ringspeicher FAU_STG 1 2 Einmal durch SF 4 oder SF 5 geschriebene Informationen k nnen auf der Baugruppe nicht modifiziert werden Da die Speicher als Ringspeicher organisiert sind k nnen bei unachtsamer Administration h chstens Protokollinformationen mit neuen Protokollinformationen berschrieben werden FTA_TSE 1 1 Diese Anforderung wird durch die Filter SF 3a SF 3b und SF 3c realisiert FRU_RSA 1 1 Die Quo
39. ern 3 5 1 10 Komponente FRU_RSA 1 Maximale Quote FRU_RSA 1 1 Die TSF m ssen maximale Quoten f r folgende Betriebsmittel Zuweisung kontrollierte Betriebsmittel die Auswahl ein einzelner Benutzer eine festgelegte Benutzergruppe Subjekte Auswahl gleichzeitig ber eine spezifizierte Zeitspanne benutzen k nnen durchsetzen Verfeinerung Zuweisung und Auswahl Zuweisung folgende Betriebsmittel kontrollierte Betriebsmittel der interne Speicher der Baugruppe Ersetzung ein einzelner Benutzer eine festgelegte Benutzergruppe Subjekte Subjekte Auswahl gleichzeitig ber eine spezifizierte Zeitspanne ber eine Spezifizierte Zeitspanne FRU_RSA 1 1 Die TSF m ssen maximale Quoten f r den internen Speicher der Baugruppe der von Subjekten ber eine spezifizierte Zeitspanne benutzt werden kann durchsetzen 3 5 1 11 Komponente FAU_SAA 1 Analyse von m glichen Verletzungen FAU_SAA 1 1 Die TSF m ssen in der Lage sein beim berwachen der protokollierten Ereignisse eine Menge von Regeln anzuwenden und auf Grundlage dieser Regeln eine potentielle Verletzung der TSP anzuzeigen FAU_SAA 1 2 Die TSF m ssen zur berwachung von protokollierten Ereignissen die folgenden Regeln durchsetzen a Eine H ufung oder Kombination von Zuweisung Teilmenge von festgelegten protokollierbaren Ereignissen die bekannterma en eine potentielle Sicherheitsverletzung anzeigen b Zuweisung beliebige andere Regeln Schritt 1 Zuweisung
40. erschiedene Baugruppen von denen jeweils eine ausgeliefert wird Voice Data f r Hicom 150 E Office com point Sachnummer S30810 02931 X000 05 Data only f r Hicom 150 E Office com point Sachnummer S30810 02931 X100 03 Voice Data f r Hicom 150 E Office pro Sachnummer S30810 02930 X000 06 Data only f r Hicom 150 E Office com point Sachnummer S30810 02930 X100 03 Genau die unter 1 bis 4 genannten Bestandteile geh ren zum EVG Die Hicom Einsteckkarte geh rt nicht zum EVG Zur IT Umgebung des EVGs geh ren die Hicom Einsteckkarte das zum Betreiben des Assistant f r Xpress LAN vorausgesetzte Betriebs system Windows 95 98 NT sowie jeder der Administrations PCs auf denen der Assistant f r Xpress LAN l uft das jeweilige LAN Ethernet ber 10 100BaseT Anschlu TCP IP oder IPX SPX als Protokolle die auf den externen Schnittstellen des EVG aufsetzenden Applikationen z B vCAPI Clients H 323 Clients Hicom Xpress LAN Clients SNMP Tools und die jeweilige Siemens Nebenstellenanlage 3 2 3 Zweck Einsatzart und Funktionalit t Die Baugruppen Software l uft auf der Einsteckkarte f r bestimmte Siemens Nebenstellenanlagen und dient der Verbindung zwischen einem TCP IP oder IPX SPX basierten LAN und der TK Welt Zur Administration der Baugruppe s Glossar dient der im Lieferumfang enthaltene Assistant f r Xpress LAN der auf PCs des Industriestandards mit Windows 95 98 NT als
41. ertifizierungen andererseits durch Anh nge zu besonderen technischen Pro blemen erg nzt werden Solche Nachweise bzw Anh nge werden im Internet unter der URL http www debiszert de im Abschnitt Deutsches IT Sicherheitszertifikat ver ffentlicht Zertifikat Eine Kurzfassung der Ergebnisse enth lt das Sicherheitszertifikat debisZERT DSZ CC 04053 2000 Das Zertifikat wird im Internet unter der URL http www debiszert de im Abschnitt Deutsches IT Sicherheitszertifikat ver ffentlicht Das Zertifikat Deutsches IT Sicherheitszertifikat wird durch das Bundesamt f r Sicherheit in der Informationstechnik BSI anerkannt das seinerseits die Gleichwertigkeit des Zertifikats zu seinen eigenen Zertifikaten im internationalen Kontext best tigt debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT 1 5 Anwendung der Ergebnisse Die Prozesse der Evaluierung und Zertifizierung werden nach dem Stand der Technik durchgef hrt k nnen aber keine absolute Garantie daf r geben dass das zertifizierte Objekt frei von Schwachstellen ist Mit steigender Evaluations stufe verringert sich allerdings die Wahrscheinlichkeit erheblich dass ausnutz bare Schwachstellen unentdeckt bleiben Um die Ergebnisse der Evaluierung sinnvoll nutzen zu k nnen wird dringend empfohlen den Zertifizierungsreport aufmerksam zu lesen Insbesondere die Informationen zur Art der Nutzung des zertifizierten Obje
42. estellnummer A31003 K5020 5100 3 20 44 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT 7 8 9 10 11 12 13 debisZERT DSZ CC 04053 2000 Hicom 150 E Office Administrationsanleitung f r Hicom Xpress LAN Siemens AG 2000 Bestellnummer A31003 K5020 B811 2 19 Sicherheitstechnische Erg nzung zur Administrationsanleitung f r Hicom Xpress LAN Siemens AG September 2000 Bestellnummer A31003 K5020 X100 1 20 Lloyd B and W Simpson PPP Authentication Protocols RFC 1334 October 1992 Simpson W PPP Challenge Handshake Authentication Protocol CHAP RFC 1994 August 1996 Zorn G and Cobb S Microsoft PPP CHAP Extensions RFC 2433 October 1998 Zorn G Microsoft PPP CHAP Extensions Version 2 RFC 2759 January 2000 U S Department of Commerce National Bureau of Standards Data Encryption Standard FIPS PUB 46 1977 January 15 45 von 58 Diese Seite ist beabsichtigterweise leer 46 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT 4 Hinweise und Empfehlungen zum zertifizierten Objekt 29 Die Ausf hrungen in Kapitel 2 sind als Ergebnis der Evaluierung zu beachten 30 Bei der Zertifizierung haben sich folgende weitergehenden Hinweise oder Emp fehlungen f r den Anwender ergeben als Erl uterung zu Abschnitt 2 4 letzter Spiegelstrich Die Regeln f r die Firewall Funktionalit t k
43. formationen mit neuen Protokollinformationen berschrieben werden SF 6 Voice clients vom Typ OptiC55 m ssen sich vor dem Verbindungsaufbau bei der Baugruppe authentisieren Dazu gibt der Benutzer in seiner Applikation Teil der TT Umgebung des EVGs seine Rufnummer und sein Passwort an Die Baugruppe pr ft die Angaben und nimmt im Erfolgsfall weitere Auftr ge an H 323 Clients m ssen sich ebenfalls authentisieren SF 7 Im KDS ist konfigurierbar ob bei einem eingehenden Ruf eine Verbindung aufgebaut wird oder der Verbindungswunsch abgelehnt und die im KDS konfigurierte Rufnummer aktiv gew hlt wird SF 8 Die Authentisierung entfernter Nutzer erfolgt mittels eines nutzerspezifischen Passwortes Zur Abwicklung des notwendigen Datenverkehrs werden die Protokolle PAP CHAP vgl folgende RFCs PAP CHAP 1334 CHAP 1994 MS CHAP 2433 und 2759 genutzt SF 9 Die Baugruppe verf gt ber einen eigenen Uhrenschaltkreis der Datum und Uhrzeit f r EVG interne Zwecke bereitstellt SF 10 Die Baugruppe verf gt ber einen Mechanismus der den LAN Adapter f r die Annahme von Paketen sperrt wenn ein bestimmter Auslastungsgrad der Baugruppe erreicht oder berschritten ist Weitere Informationen zu den Sicherheitsfunktionen finden sich in den Handb chern 6 und 7 und in den angegebenen RFCs 3 6 2 Spezifikation der Ma nahmen zur Vertrauensw rdigkeit des EVG Zur Erf llung der Anforderungen an die Vertrauensw rdigkeit des EVGs wu
44. fstelle zu einzelnen Pr faspekten bei einer Evaluierung Erstmalige Zertifizierung eines IT Produkts IT Systems oder einer IT Dienstleistung s Sicherheitsstufen Pr fer in in einer Pr fstelle Pr fung eines IT Produktes IT Systems oder einer IT Dienstleistung auf der Basis von IT Sicherheitskriterien oder einer IT Sicherheitsnorm Einzelbericht s d oder Abschlu bericht einer Pr fstelle ber Ablauf und Ergebnis einer Evaluierung Name ETR im ITSEC Kontext Bei dem Hersteller eines Produkts Systems oder bei dem Anbieter von Dienstleistungen angesiedelte Organisations einheit die Evaluierungen durchf hrt Klassisches Sicherheitsziel Daten sollen nur von Befugten ge ndert werden k nnen Dienstleistung die sich bei ihrer Erbringung auf IT Produkte und IT Systeme abst tzt Sicherheitskriterien funktional abgrenzbarer Teil eines IT Produkts eines IT Systems Software und oder Hardware die bei einem Anbieter Hersteller Vertreiber erworben werden kann Information Technology Security Evaluation Criteria ITSEC Kriterien f r die Bewertung der Sicherheit von Systemen der Informationstechnik ITSEC Europ ischer de facto Standard f r die Evaluierung von IT Produkten und IT Sy Stemen Information Technology Security Evaluation Manual ITSEM Handbuch f r die Bewertung der Sicherheit von Systemen der Informationstechnik ITSEM Handbuch zu den ITSEC das vor allem die Durchf hrung vo
45. gen einsetzt Eine nat rliche oder juristische Person die einen Auftrag hier zur Zertifizierung oder Evaluierung erteilt sie mu eine ausreichende Verf gungsberechtigung ber das zu zertifizierende bzw zu evaluierende Objekt besitzen Stelle die im Einklang mit SigG und SigV Sicherheitsbe st tigungen f r technische Komponenten und f r die Um setzung von Sicherheitskonzepten bei Trust Centern Zertifizierungsstellen nach SigG herausgibt Verfahren mit dem Ziel einer Sicherheitsbest tigung Sicherheitskriterien die aus dem amerikanischen Orange Book den Federal Criteria den europ ischen ITSEC und den kanadischen CTCPEC hervorgegangen sind und ein weltweit akzeptierter Sicherheitsstandard werden sollen Name des Zertifizierungsschemas von debis IT Security Services Hier Eine durch ein Unternehmen angebotene durch Unternehmens Prozesse erbrachte und durch Nutzer in Anspruch nehmbare Leistung Bezeichnung f r einen bestimmten Typ von Verfahren in nerhalb von debisZERT Normen Reihe die einschl gige Standards insbesondere f r Pr f und Zertifizierungsstellen enth lt 49 von 58 gt MB gt w Einzelbericht Erst Zertifizierung Evaluationsstufen Evaluator Evaluierung Evaluierungsbericht Hersteller Laboratorium Integrit t IT Dienstleistung IT Komponente IT Produkt ITSEC ITSEM IT Sicherheits management IT System 50 von 58 Bericht einer Pr
46. griffen wird auf der LAN Schnittstelle mit den installierten handels blichen Applikationen 3 3 4 Organisatorische Sicherheitspolitik keine Dabei ist es nicht entscheidend ob es sich beim LAN Benutzer um einen Befugten S_USER einen Administrator S_ADMIN oder einen Unbefugten S_UNBEF handelt 20 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT 3 4 Sicherheitsziele 3 4 1 Sicherheitsziele f r den EVG O_CONF Die Konfigurationsdaten V_KONF des EVGs auf der Baugruppe sind gegen Kenntnisnahme und Anderung durch S_UNBEF oder S_USER zu sch tzen O_FUNC Die Nutzung sch tzenswerter Funktionalit t V_FUNC durch UNBEFUGTE S_UNBEF ist zu verhindern O_DATA Die Daten V_DATA im zu sch tzenden LAN sind gegen Zugriffe lesen ndern oder erzeugen Z READ oder Z MODIFY von UNBEFUGTEnN S_UNBEF aus dem Telefonnetz oder dem Internet zu sch tzen O_PROT Versuche unbefugt sch tzenswerte Funktionalit t V_FUNC zu nutzen Z USE oder unbefugt auf V_DATA zuzugreifen Z READ oder Z MODIFY m ssen erkannt werden OU DOS Eine berlastung der Baugruppe muss verhindert und ihre Verf gbarkeit damit gesichert werden 3 4 2 Sicherheitsziele f r die Umgebung Im laufenden Betrieb ohne Administration ben tigt die Baugruppe f r ihre korrekte Funktion keine anderen Produkte au er der Siemens Nebenstellenanlage Zum Zweck der Administration verl sst sich der EVG jedoch auf die Erg
47. ifikat Signaturgesetz SigG Signaturverordnung SigV System Akkreditierung System Zertifizierung Trust Center Unternehmensproze Verfahrenskennung Verf gbarkeit Verf gungsberechtigung Vertraulichkeit 52 von 58 Funktionen eines IT Produktes oder IT Systems zur Abwehr bestimmter Bedrohungen Dokument das technische Anforderungen an Produkte Systeme und oder Dienstleistungen enthalten kann zu mindest aber die Evaluierung solcher Anforderungen be schreibt Anforderungen an Produkte Systeme oder Dienstleistungen die Sicherheit betreffend Zusammenfassender Begriff f r Sicherheitskriterien und Sicherheitsnormen In Sicherheitskriterien definierte Stufen die aufgrund unter schiedlicher Anforderungen an das zu zertifizierende Objekt und an die Tiefe der Pr fung eine unterschiedlich hohe Si cherheit ausdr cken s Zertifikat 3 des Informations und Kommunikationsdienstegesetzes IuUKDG Amtliche Ausf hrungsbestimmungen zum Signaturgesetz Freigabe eines IT Systems oder einer IT Dienstleistung zur Nutzung hier unter dem Blickwinkel ausreichender Sicher heit Zertifizierung eines IT Systems hier unter dem Blickwinkel ausreichender Sicherheit Stelle die die Zugeh rigkeit von Signaturschl sseln zu einer Person durch ein elektronisches Zertifikat best tigt im Signaturgesetz als Zertifizierungsstelle bezeichnet s Proze Code Bezeichnung f r ein Best tigungsverfahren
48. ignaturverordnung SigV BGBl vom 27 10 1997 Seite 2498 ff Telekommunikationsgesetz TKG BGBl I vom 25 7 1996 Seite 1120 Zertifikate gem ITSEC CC Dienstleistungsbereich 1 von debisZERT Version 1 5 30 06 1999 http www debiszert de Sicherheitsbest tigungen f r Komponenten gem dem Signaturgesetz Dienstleistungsbereich 2 von debisZERT Version 1 5 30 06 1999 http www debiszert de Sicherheitsbest tigungen f r Zertifizierungsstellen gem dem Signaturgesetz Dienstleistungsbereich 3 von debisZERT Version 1 0 29 10 1999 http www debiszert de Zertifikate mit Anerkennung durch das BSI Dienstleistungsbereich 4 von debisZERT Version 1 5 30 06 1999 http www debiszert de Zertifizierungsschema debisZERT Version 1 5 30 06 1999 http www debiszert de debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT 5 3 Abk rzungen AA AIS BSI BSIG CC CEM CTCPEC DAR DBAG debisZERT DATech DLB EBA ETR EVG IT ITSEC ITSEF ITSEM luKDG RegTP SigG SigV TKG ZKA Arbeitsanweisungen Anforderung einer Interpretation von Sicherheitskriterien Bundesamt f r Sicherheit in der Informationstechnik BSI Errichtungsgesetz Common Criteria for Information Technology Security Evaluation Common Methodology for Information Technology Security Evaluation Canadian Trusted Computer Products Evaluation Criteria Deutscher Akkreditierungsrat Deutsche Bahn AG Zertifi
49. kt Hicom Xpress LAN Version 1 1 kann in eine der folgenden Siemens Nebenstellenanlagen eingebaut werden Hicom 150 E OfficeCom Hicom 150 E OfficePoint Hicom 150 E OfficePro jeweils ab Software Version 2 2 Der Begriff Siemens Nebenstellenanlage bezeichnet in diesen Sicherheitsvorgaben eine dieser Hicom 150 E Office Anlagen 14 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debisZERT zu sch tzendes LAN Abbildung 1 Anbindung der Hicom Xpress LAN an ein Computernetz und eine Siemens Nebenstellenanlage 3 2 2 Umfang und Abgrenzung Ein ausgeliefertes Hicom Xpress LAN Version 1 1 Produkt besteht aus folgenden Ob jekten 1 Baugruppen Software Sachnummer P30300 P1533 A1 08 mit Binderstand APS Nummer HE2101 08 435 Bestandteil des EVGs 2 Hicom 150 E Office Administrationsanleitung f r Hicom Xpress LAN Stand 2000 Sachnummer A31003 K5020 B811 2 19 Bestandteil des EVGs 3 Sicherheitstechnische Erg nzung zur Administrationsanleitung f r Hicom Xpress LAN Stand September 2000 Sachnummer A31003 K5020 X100 1 20 Bestandteil des EVGs 4 Assistant f r Xpress LAN auf Diskette Sachnummer P30300 P1562 A1 05 Bestandteil des EVGs Hicom 150 E Office Servicehandbuch f r Hicom Xpress LAN Stand 2000 Sachnummer A31003 K5020 S100 3 20 debisZERT DSZ CC 04053 2000 15 von 58 CAD client auf Diskette Sachnummer P30300 P1561 A1 04 Hicom Einsteckkarte vier v
50. ktes zu den betrach teten Bedrohungen zur Einsatzumgebung und zu den gepr ften Konfigurationen sind wichtige Vorgaben f r die Praxis Das Evaluierungsergebnis gilt nur unter der Voraussetzung dass alle Vorgaben aus dem Zertifizierungsreport beachtet werden Sofern von diesen Vorgaben abgewichen wird gilt das Evaluierungsergebnis nur noch bedingt In einem solchen Fall ist eine erg nzende Analyse erforderlich um festzustellen ob und in welchem Umfang das zertifizierte Objekt auch unter den ge nderten Bedingungen noch Sicherheit bieten kann Die genannte Pr fstelle und die Zertifizierungsstelle k nnen bei der Analyse unterst tzen debisZERT DSZ CC 04053 2000 7 von 58 Diese Seite ist beabsichtigterweise leer 8 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT 2 1 2 2 Wesentliche Ergebnisse der Evaluierung Grundlegendes Das Ergebnis der Evaluierung ist im ETR Evaluation Technical Report of the Hicom Xpress LAN Version 1 1 14 11 2000 dargestellt Die Evaluierung er folgte gegen die im Kapitel 3 dieses Zertifizierungsreports wiedergegebenen Sicherheitsvorgaben Der evaluierte und getestete EVG hat folgende Bestandteile 1 Baugruppen Software Sachnummer P30300 P1538 A1 08 mit Binderstand APS Nummer HE2101 08 435 Firmware wird bereits vorinstalliert auf der Baugruppe ausgeliefert Hicom 150 E Office Administrationsanleitung f r Hicom Xpress LAN
51. n Evaluierungen be schreibt Ein Unternehmensproze dessen Ziel die Einrichtung und Aufrechterhaltung der IT Sicherheit in einem Unternehmen ist Eine in sich funktionsf hige Kombination von IT Produkten ITSEC Eine reale Installation von IT Produkten mit einer bekannten Einsatzumgebung debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT Komponente nach SigG Lizenz pers nliche Lizenzierter Ingenieur Lizenzierung Lizenzvereinbarung Meilensteinplan Problembericht Produkt Zertifizierung Proze Unternehmens Pr fbegleiter Pr fbegleitung Pr fbericht Pr fstelle Regulierungsbeh rde Re Zertifizierung Sicherheitsbest tigung Eine logische Funktionseinheit in IT Systemen die in SigG SigV definierte Aufgaben erf llt Anzeigekomponente Komponente zur Schl sselerzeugung etc Best tigung einer pers nlichen Qualifikation hier im Kon text von debisZERT s zertifizierter Ingenieur Eine Person die im Zusammenhang mit Evaluierungen Qua lifizierungsverfahren bei debisZERT durchlaufen hat s Li zenz Verfahren der berpr fung von Organisation und Qualifi kation einer Pr fstelle im Hinblick auf den m glichen Ab schlu einer Lizenzvereinbarung Vereinbarung zwischen einer Pr fstelle und einer Zertifi zierungsstelle den Ablauf und die Verantwortlichkeiten bei einer Evaluierung und Zertifizierung betreffend Projekt Terminplan f r die
52. n oder erzeugen von S_UNBEF aus dem Telefonnetz oder dem Internet zu sch tzen Dieses Sicherheitsziel ist gegen die Bedrohung gerichtet die Daten im zu sch tzenden LAN unbefugt aus dem Telefonnetz oder dem Internet zu lesen T_READ Dieses Sicherheitsziel ist ferner gegen die Bedrohung gerichtet die Daten im zu sch tzenden LAN unbefugt aus dem Telefonnetz oder dem Internet zu ndern oder zu erzeugen T_MODIF debisZERT DSZ CC 04053 2000 31 von 58 B gt O_PROT Versuche unbefugt sch tzenswerte Funktionalit t V_FUNC zu nutzen oder unbefugt auf V_DATA zuzugreifen LZ READ oder Z MODIFY m ssen erkannt werden Anhand der eingestellten Konfiguration V_KONF l sst der EVG Verbindungen zu oder weist sie ab Hinter abgewiesenen Verbindungsw nschen k nnen sich Angriffe verbergen Um derartige Angriffsversuche erkennen und darauf reagieren zu k nnen ist eine Protokollierung von Versuchen unbefugt sch tzenswerte Funktionalit t V_FUNC zu nutzen oder unbefugt auf V_DATA zuzugreifen notwendig Indem solche Versuche protokolliert und ausgewertet werden werden potentielle Angriffe erkennbar Indirekt wird daher den Bedrohungen T_READ T_MODIF und T_FUNC entgegengewirkt o FUN Die Nutzung sch tzenswerter Funktionalit t V_FUNC durch UNBEFUGTE S_UNBEF ist zu verhindern Dieses Sicherheitsziel ist gegen die Bedrohung T_FUNC gerichtet dass V_FUNC durch S_UNBEF aus dem LAN oder dem ISDN genutzt wird
53. nforderungen an den EVG werden unter ausschlie licher Verwendung von funktionalen Komponenten aus Teil 2 der CC 2 formuliert Die Abh ngigkeiten funktionaler Komponenten untereinander werden ber cksichtigt Wenn eine Abh ngigkeit nicht erf llt wird ist eine Begr ndung angegeben Weitere Abh ngigkeiten bestehen nicht Im einzelnen werden folgende Komponenten gefordert 3 5 1 1 Komponente FIA_UID 2 Benutzeridentifikation vor jeglicher Aktion FIA_UID 2 1 Die TSF m ssen erfordern dass sich jeder Benutzer identifiziert bevor f r diesen jegliche andere TSF vermittelte Aktionen erlaubt werden 3 5 1 2 Komponente FIA_UAU 2 Benutzerauthentisierung vor jeglicher Aktion FIA_UAU 2 1 Die TSF m ssen erfordern dass jeder Benutzer erfolgreich authentisiert wurde bevor diesem jegliche andere TSF vermittelte Aktionen erlaubt werden 3 5 1 3 Komponente FPT_STM 1 Verl ssliche Zeitstempel FPT_STM 1 1 Die TSF sollen einen verl sslichen Zeitstempel f r den Eigengebrauch bereitstellen 3 5 1 4 Komponente FAU_ARP 1 Sicherheitsalarme FAU_ARP 1 1 Die TSF m ssen Zuweisung Liste der am wenigsten st renden Aktionen bei Erkennen einer potentiellen Sicherheitsverletzung ausf hren Verfeinerung Zuweisung Liste der am wenigsten st renden Aktionen die Protokollierung FAU_ARP 1 1 Die TSF m ssen die Protokollierung bei Erkennen einer potentiellen Sicherheitsverletzung ausf hren 22 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress
54. r den Erstellungsproze f r die Erst ausgabe des Zertifizierungsreports Re Zertifizierungen aufgrund von Produkt nderungen sind in Kapitel 6 aufgef hrt on 31 10 2000 Vorversion nach Musterreport 1 5 1 0 14 11 2000 Ersterstellung nach Musterreport 1 5 debis IT Security Services 2000 Die Vervielf ltigung dieses Reports ist nur gestattet wenn der Report vollst ndig wiedergegeben wird debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT Inhalt 1 IC TEE 5 1 1 Eval ierung nenne t een ns 5 1 2 ZEIEINZIEL INS a hen 5 1 3 Zertifizier ngsreport een 6 1 4 ZEN ee Meinten eet erte 6 1 5 Anwendung derErgeDhlssen ea eek 7 2 Wesentliche Ergebnisse der Evaluierung ke 9 2 1 Grundlegendes nase see 9 2 2 Zusammenfassung zum EVG sah en an 9 2 3 EIGEDNIS ee e Ee 10 2 4 HINWEISE nn eisen 10 3 EE Meed eecht 13 3 1 SEET ele RE 13 3 1 1 Sue Le E 13 3 1 2 ST UDEBSICHE ae een 13 3 1 3 E el tee EE 14 3 2 EYGEBeschreib ung Zee eh 14 3 2 1 Beet Eed Ee 14 3 2 2 Umfang und Abgrenzung ua 15 3 2 3 Zweck Einsatzart und Funkttonaltat 16 3 2 4 Betriebsmodi und verarbeitete Daten cccrcerrerere 17 3 2 5 Topologie und EVG interne Kommunikation 17 3 2 6 Voreingestellte EVG Nutzer und ihre Rollen 17 3 3 Die Sicherheitsumgebung des ENG vue 18 3 3 1 Subjekte Objekte und Zugriffsarten eeesenseenneeneeeennnennns 18 3 3 2 Ee 19 3 3 3 Goler EE 19 3 3 4 Organisa
55. rden gem der Stufe EAL1 der CC 4 folgende Ma nahmen getroffen Vertrauensw rdigkeitsklasse Konfigurationsmanagement ACM_CAP 1 1M Der Entwickler vergibt f r den EVG einen eindeutigen Namen der sicherstellt dass Mehrdeutigkeit dar ber ausgeschlossen ist welche Version des EVG gepr ft und bewertet wird debisZERT DSZ CC 04053 2000 29 von 58 ACM_CAP 1 2M Der Entwickler kennzeichnet den EVG mit seinem eindeutigen Namen Vertrauensw rdigkeitsklasse Auslieferung und Betrieb ADO_IGS 1M Der Entwickler stellt eine Beschreibung der Installations Generierungs und Anlaufprozeduren bereit vgl 6 und 7 Vertrauensw rdigkeitsklasse Entwicklung ADV_FSP IM Der Entwickler stellt eine informelle funktionale Spezifikation der TSF des EVGs bereit die alle externen Schnittstellen vollst ndig definiert und das Verhalten der TSF beschreibt ADV_RCR IM Der Entwickler stellt eine Analyse der bereinstimmung von Security Target und funktionaler Spezifikation der TSF bereit Vertrauensw rdigkeitsklasse Handb cher AGD _ADM 1M Der Entwickler stellt ein Systemverwalterhandbuch bereit vgl 7 AGD_USR 1M Der Entwickler stellt ein Benutzerhandbuch bereit vgl 6 Vertrauensw rdigkeitsklasse Testen ATE_IND 1M Der Entwickler stellt den EVG f r den Evaluator bereit damit dieser ihn testen kann Dar ber hinaus stellt der Entwickler dem Evaluator geeignete Testhilfsmittel bereit die den Evaluator bei seiner T tigkeit
56. rungsstelle Technik e V DATech akkreditiert DAR Registriernummer DIT ZE 005 98 00 Die Zertifizierungsstelle der debis IT Security Services hat das Zertifizierungs verfahren nach Ma gabe folgender Dokumente durchgef hrt ZOl Zertifizierungsschema V04 Zertifikate mit Anerkennung durch das BSI debisZERT DSZ CC 04053 2000 5 von 58 CC 6 von 58 Zertifizierungsreport Dieser Zertifizierungsreport gibt die Ergebnisse der Evaluierung von Hicom Xpress LAN Version 1 1 wieder im folgenden als EVG Evaluationsgegen stand bezeichnet Der Zertifizierungsreport gilt nur f r die angegebene Version en des EVG Er kann jedoch auf neue bzw andere Versionen ausgedehnt werden sobald eine erfolgreiche Re Evaluierung stattgefunden hat Die numerierten Paragraphen in diesem Zertifizierungsreport sind formelle Aussagen der Zertifizierungsstelle Unnumerierte Paragraphen enthalten Aus sagen des Auftraggebers Sicherheitsvorgaben oder erg nzendes Material Der Zertifizierungsreport dient dem Auftraggeber als Nachweis der durchgef hrten Evaluierung und dem Nutzer als Grundlage f r den sicherheitsgerechten Einsatz von Hicom Xpress LAN Version 1 1 Der Zertifizierungsreport enth lt die Seiten 1 bis 56 Kopien des Zertifizie rungsreports k nnen beim Auftraggeber oder bei der Zertifizierungsstelle ange fordert werden Der Zertifizierungsreport kann einerseits durch Nachweise ber erfolgte Re Z
57. s angemessen und geeignet ist F r Eignung und Angemessenheit von O_PATH O_PROT und O_NSTA gelten analoge Begr ndungen wie unter T_READ dargestellt T_DOS OU DOS ist das zur Bedrohung T_DOS komplement re Ziel und daher geeignet und angemessen T_DOS zu bek mpfen 3 8 2 Erkl rung der Sicherheitsanforderungen 3 8 2 1 Innere Konsistenz und gegenseitige Unterst tzung der funktionalen Anforderungen Die funktionalen Sicherheitsanforderungen wurden aus den CC Teil 2 2 ausgew hlt Sie entsprechend damit vordefinierten CC Komponenten Es wurden die nach CC zul s sigen Operationen Verfeinerung Zuweisung Auswahl und Iteration benutzt Zus tzliche Komponenten wurden nicht verwendet Hierarchien und Abh ngigkeiten der vordefi nierten Komponenten untereinander wurden beachtet Aus den vorgenannten Gr nden bilden die funktionalen Anforderungen ein sich gegenseitig unterst tzendes Ganzes 3 8 2 2 Vollst ndige Abdeckung der Sicherheitsziele 3 8 2 2 1 Ziele und Anforderungen f r den EVG Die folgende Tabelle 4 zeigt welche Beziehungen zwischen funktionalen Komponenten und Sicherheitszielen f r den EVG bestehen O CONF O FUNC O DATA O PROT o D s FIA_UID 2 1 X X X FIA_UAU 2 1 X X X FPT_STM 1 1 FAU_ARP 1 1 FAU_GEN 1 1 debisZERT DSZ CC 04053 2000 35 von 58 O CONF O FUNC Tonn O PROT o D s FAU_GEN 1 2 X FA
58. se erst nach erfolgreicher Identifikation und Authentisierung m glich werden o FUN O_FUNC wird durch die funktionalen Sicherheitsanforderung FIA_UID 2 1 FIA_UAU 2 1 und FTA_TSE 1 1 abgedeckt die zum Teil aus Gr nden der Abh ngigkeit aufgenommen wurden Wenn bestimmte Benutzer von der Inanspruchnahme einer Funktionalit t ausgenommen werden sollen so muss der EVG in der Lage sein zwischen verschiedenen Benutzern authentisch zu unterscheiden Daher wurde FIA_UAU 2 1 36 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT ausgew hlt Als abh ngige Komponente ist dann FIA_UID 1 auszuw hlen Hier wurde entschieden die st rkere Anforderung FIA_UID 2 1 auszuw hlen die hierarchisch zu FIA_UID 1 ist Die Authentisierung von Benutzern mit Ausnahme der Administratoren vgl dazu die Beschreibung der SF 1 in Abschnitt 3 6 1 erfolgt auf der Baugruppe Da die Benutzer entfernte Rechner benutzen wird ein Authentisierungsprotokoll PAP oder CHAP angewendet Da die bereitzustellende Funktionalit t des EVGs die Verweigerung von Zugriffen aus dem Internet oder ins Internet einschlie t und dies im Rahmen der Einrichtung entsprechender Sitzungen oder ihrer Verweigerung geschieht ist die Anforderung FTA_TSE 1 1 auszuw hlen die gerade dies fordert Die drei funktionalen Sicherheitsanforderung FIA_UID 2 1 FIA_UAU 2 1 und FTA_TSE 1 1 zu stellen ist zur Umsetzung des Zieles O_FUNC ausreichend da der Nutzung
59. sgabe des Zertifizierungsreports 58 von 58 debisZERT DSZ CC 04053 2000
60. ten f r die Anzahl der innerhalb einer spezifizierten Zeitspanne angenommener Pakete werden durch die Sicherheitsfunktion SF 10 realisiert FAU_SAA 1 1 Die Sicherheitsfunktionen SF 4 und SF 5 wenden zur Entscheidung ob Ereignisse protokolliert werden Regeln an die durch entsprechende Eintr ge in KDS repr sentiert werden N here Informationen dazu finden sich in 7 63f 66 97f 147f FAU_SAA 1 2 SF 4 und SF 5 setzen diese Forderung auf der Basis der Konfiguration im KDS um 42 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT 3 8 4 Erkl rung der PP Postulate Dieser Abschnitt entf llt da keine Postulate der bereinstimmung mit irgend einem Protection Profile erhoben werden 39 ANHANG zu den Sicherheitsvorgaben 3 9 1 Abk rzungen Bemerkung Weitere Abk rzungen mit Erkl rung finden sich in 6 S 153f Abb Abbildung en A_NNN Annahme durch NNN n her qualifiziert CC Common Criteria EAL Evaluationsstufe evaluation assurance level EVG Evaluationsgegenstand HW Hardware IT Informationstechnik technologie Kap Kapitel PP Protection Profile s RFC Internet Request for Comment SNMP Simple Network Management Protocol SF Sicherheitsfunktion SFR Security Functional Requirement s SLIP Serial Line Interconnection Protocol V 24 SOF Mechanismenst rke strength of function ST Security Target synonym gebraucht wie SV SV Sicherheitsvorgaben SW Software Sekt
61. torische Gcherbhetepoltk 20 3 4 leren 21 3 4 1 Sicherheitsziele f r den EVG uesneersenneenneennenennennnennnnnn 21 3 4 2 Sicherheitsziele f r die Umgebung 21 3 5 Anforderungen an die IT Sicherheit 22 3 5 1 Funktionale Sicherheitsanforderungen an den EVG 22 3 5 2 Anforderungen an die Vertrauensw rdigkeit des EVG 26 3 5 3 Sicherheitsanforderungen an die IT Umgebung 27 3 6 EVG Ubersichtsspezifikation ss ana 27 3 6 1 Spezifikation der EVG Sicherheitsfunktionen 27 3 6 2 Spezifikation der Ma nahmen zur Vertrauensw rdigkeit des GE 29 3 7 D ee EE 30 3 8 Eiere deegleche 31 3 8 1 Erkl rung der Gicherheiteszele 31 3 8 2 Erkl rung der Sicherheitsanforderungen erce 35 3 8 3 Erkl rung der EVG bersichtsspezifikation uansaenne 40 debisZERT DSZ CC 04053 2000 3 von 58 6O 4 von 58 3 8 4 Erkl rung der PP Postulate A 43 3 9 A N H ANG zu den Sicherhetsvorgaben 43 3 9 1 EHNEN een 43 3 9 2 EI 44 3 9 3 Quellen eege 44 Hinweise und Empfehlungen zum zertifizierten Objekt 47 Eelere ee eege een 49 5 1 GIS eek 49 5 2 Referenze een ernennen 53 5 3 DK DINGER een 55 D Eine EE 57 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT 1 1 1 2 berblick Evaluierung Die Evaluierung wurde durch Siemens AG ICN EN HO SE Brauckstra e 14 D 58449 Witten beauftragt Die Evaluierung wurde durchgef hrt von der Pr fstelle IT Sicherheit der
62. unft auch bearbeitet werden k nnen Folglich fordert FRU_RSA 1 1 genau das richtige 3 8 2 2 2 Ziele und Anforderungen f r die IT Umgebung des EVGs F r die IT Umgebung ist eine Sicherheitsanforderung angegeben FIA_ATD 1 1 Diese Anforderung wird gestellt damit die TSF die Information erhalten welche Person d h welche Rolle sich zur Administration angemeldet hat Diese Information kann nur dann bereitgestellt werden wenn das Sicherheitsziel O_NSTA an die IT Umgebung erf llt wird 38 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT Das Sicherheitsziel O_PATH an die IT Umgebung l sst sich nicht durch eine funktionale Anforderung an die IT Umgebung realisieren hier sind vielmehr Installationen weiterer externer Netzzug nge zu unterlassen 3 8 2 3 Angemessenheit der Anforderungen an die Vertrauensw rdigkeit Die Anforderungen an die Vertrauensw rdigkeit des EVG wurden aus Teil 3 der CC ausgew hlt Es wurden alle Anforderungen gem EAL 1 ausgew hlt weitere Anforderungen an die Vertrauensw rdigkeit wurden nicht gestellt Der EVG soll dem Benutzer die berzeugung vermitteln dass seine Sicherheits funktionen korrekt arbeiten Die Bedrohungen gegen die der EVG sch tzt werden nicht als besonders schwerwiegend angesehen Das unterstellte Angriffspotential geht nicht von gezielten Angriffen durch Experten aus sondern unterstellt allenfalls ungeschulte Angreifer mit frei verf gbar
63. unterst tzen 3 7 PP Postulate Dieses Security Target nimmt nicht Bezug auf ein Protection Profile Alle EVG Ziele und Anforderungen sind in den vorangehenden Abschnitten vollst ndig dargestellt 6 Das Benutzerhandbuch 6 richtet sich an den Betreiber der Hicom Xpress LAN d h der Benutzer des EVGs ist hier der Betreiber 30 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT 3 8 Erkl rung Rationale 3 8 1 Erkl rung der Sicherheitsziele 3 8 1 1 R ckf hrung der Sicherheitsziele f r den EVG auf Bedrohungen Der EVG sch tzt gegen f nf explizit genannte Bedrohungen indem er entsprechende Sicherheitsziele erreicht Die folgende Tabelle 1 zeigt die Korrespondenz zwischen Bedrohungen und Sicherheitszielen Sicherheitsziel Bedrohung O_CONF T_CONF O DATA T_READ T_MODIF O_PROT T_READ T_MODIF T_FUNC O_FUNC T_FUNC 0_DOS T_DOS Tabelle 1 Sicherheitsziele f r den EVG und Bedrohungen Nachfolgend werden die einzelnen Korrespondenzen begr ndet O_CONF Die Konfigurationsdaten V_KONF des EVGs auf der Baugruppe sind gegen Kenntnisnahme und Anderung durch S_UNBEF oder S_USER zu sch tzen Dieses Sicherheitsziel ist gegen die entsprechende Bedrohung gerichtet dass die Konfigurationsdaten des EVGs auch KDS genannt unbefugt zur Kenntnis genommen oder ge ndert werden k nnen o DATA Die Daten V DATA im zu sch tzenden LAN sind gegen Zugriffe lesen nder
64. utzer nach Name und Passwort gefragt Diese Aktion ist die erste die der Benutzer ausf hren muss bevor er irgend eine andere Funktion von Assistant f r Xpress LAN nutzen kann Weitere Aktionen mit Assistant f r Xpress LAN sind erst m glich nachdem sich der Benutzer erfolgreich identifiziert und authentisiert hat Das Passwort wird vom Assistant f r Xpress LAN an die Siemens Nebenstellenanlage ber die Verbindung zum EVG zur Pr fung gesandt Das Pr fergebnis geht an Assistant f r Xpress LAN zur ck Anhand des Ergebnisses lehnt Assistant f r Xpress LAN den Benutzer ab Returncode 0 oder weist dem authentisierten Administrator seinen Level zu Anschlie end an die erfolgreiche Authentisierung wird der Kundendatensatz KDS identisch mit V_KONF aus der Baugruppe geladen Nach erfolgreicher Authentisierung eines Administrators stellt Assistant f r Xpress LAN diesem den KDS zur Bearbeitung bereit Dabei werden nur solche Daten zur Bearbeitung angezeigt und bearbeitet die dem eingestellten Level entsprechen Nach erfolgter Bearbeitung wird der bearbeitete KDS an die Baugruppe gesandt und dort gespeichert SF 2 sorgt ferner daf r dass die Log Informationen der Baugruppe nur von Administratoren heruntergeladen werden k nnen SF 3a SF 3b SF 3c Die Filter sind auf der Baugruppe als Software realisiert Sie werden durch den KDS konfiguriert wirken nach dem Prinzip Was nicht ex plizit erlaubt ist ist verboten und filtern n
65. zierungsschema der debis IT Security Services Deutsche Akkreditierungsstelle Technik e V Dienstleistungsbereich Eisenbahn Bundesamt Evaluation Technical Report Evaluierungsbericht Evaluationsgegenstand Informationstechnik Information Technology Security Evaluation Criteria ITSEC IT Security Evaluation Facility s CLEF Information Technology Security Evaluation Manual ITSEM Informations und Kommunikationsdienstegesetz Regulierungsbeh rde f r Telekommunikation und Post Signaturgesetz Signaturverordnung Telekommunikationsgesetz Zentraler Kreditausschu debisZERT DSZ CC 04053 2000 55 von 58 Diese Seite ist beabsichtigterweise leer 56 von 58 debisZERT DSZ CC 04053 2000 Hicom Xpress LAN Version 1 1 EAL1 debiszERT 6 Re Zertifizierungen 31 Bei nderungen an dem zertifizierten Objekt kann nach Ma gabe der Verfah rensregeln von debisZERT eine Re Zertifizierung erfolgen Die hier in zeitlicher Reihenfolge erscheinenden Anh nge beschreiben die Art der Anderungen die neue Produktversion und den Zertifizierungsstatus 32 Bei neuen Erkenntnissen ber die Sicherheit des zertifizierten Objektes kann ein technischer Anhang zum Zertifizierungsreport herausgegeben werden 33 Re Zertifizierungen und neue technische Anh nge werden in der Druckschrift Z02 und ber WWW angek ndigt 34 Die Anh nge sind forlaufend numeriert debisZERT DSZ CC 04053 2000 57 von 58 Ende der Erstau
Download Pdf Manuals
Related Search