Der Mirage-Gateway-Server wird unter Linux ausgeführt. Dieser Host muss vor regulären Sicherheitslücken des Betriebssystems geschützt werden.
Verwenden Sie Spyware-Filter, Erkennungssysteme für Eindringversuche und weitere Sicherheitsmaßnahmen entsprechend den Richtlinien Ihres Unternehmens.
Stellen Sie sicher, dass alle Sicherheitsmaßnahmen einschließlich Betriebssystem-Paches auf dem aktuellen Stand sind.
Die Schutzkonfigurations-Codes werden während der Bereitstellung der OVA-Vorlage ausgeführt.
| Konfigurationselement | Beschreibung |
|---|---|
| Code | MEG01 |
| Name | Anwenden der aktuellsten Patches auf das Mirage-Gateway-System. |
| Beschreibung | Wenn die Betriebssystem-Patches auf dem aktuellen Stand sind, wird das Risiko von Sicherheitslücken des Betriebssystems reduziert. |
| Risiko oder Kontrolle | Wenn sich ein Angreifer Zugriff auf das System verschafft und Berechtigungen auf dem Mirage-Gateway-System neu zuweist, kann der Angreifer auf alle CVD-Übertragungen über den Mirage-Gateway-Server zugreifen. |
| Empfohlene Ebene | Enterprise |
| Bedingung oder Schritte | Es wird ein System verwendet, um dafür zu sorgen, dass das Mirage-Gateway-System bei Patches immer auf dem aktuellen Stand gemäß Branchenstandard-Richtlinien bzw. internen Richtlinien ist. |
| Konfigurationselement | Beschreibung |
|---|---|
| Code | MEG02 |
| Name | Betriebssystemschutz auf dem Mirage-Gateway-Serverhost. |
| Beschreibung | Durch den Schutz auf Betriebssystemebene wird das Risiko von Sicherheitslücken beim Betriebssystem reduziert. Dieser Schutz beinhaltet Antischadsoftware und sonstige ähnliche Maßnahmen. |
| Risiko oder Kontrolle | Wenn sich ein Angreifer Zugriff auf das System verschafft und Berechtigungen auf dem Mirage-Gateway-System neu zuweist, kann der Angreifer auf alle CVD-Übertragungen über den Mirage-Gateway-Server zugreifen. |
| Empfohlene Ebene | Enterprise |
| Bedingung oder Schritte | Bietet Betriebssystemschutz (z. B. Antischadsoftware) gemäß Branchenstandard-Richtlinien bzw. internen Richtlinien. |
| Konfigurationselement | Beschreibung |
|---|---|
| Code | MEG03 |
| Name | Beschränkung der zur Anmeldung berechtigten Benutzer. |
| Beschreibung | Nur ganz wenige Benutzer sollten sich beim Mirage-Gateway-System als Administrator anmelden dürfen. |
| Risiko oder Kontrolle | Falls sich ein nicht autorisierter Benutzer Zugriff auf das Mirage-Gateway-System verschafft, ist das System anfällig für nicht autorisierte Änderungen. |
| Empfohlene Ebene | Enterprise |
| Bedingung oder Schritte | Erstellen Sie für die Benutzer Anmeldekonten mit speziellen Berechtigungen. Diese Konten sollten Bestandteil der lokalen Administratorgruppe sein. Es sollte keine Shell für das Konto vorhanden sein, damit sich ein Benutzer nicht mit dem Konto anmelden und ein ungültiges Kennwort für das Konto eingeben kann. |
| Konfigurationselement | Beschreibung |
|---|---|
| Code | MEG04 |
| Name | Implementieren einer administrativen Kennwortrichtlinie. |
| Beschreibung | Legen Sie eine Kennwortrichtlinie für alle Mirage-Gateway-Systeme fest. Das Kennwort sollte die folgenden Parameter enthalten:
|
| Risiko oder Kontrolle | Falls sich ein nicht autorisierter Benutzer Zugriff auf das Mirage-Gateway-System verschafft, ist das System anfällig für nicht autorisierte Änderungen. |
| Empfohlene Ebene | Enterprise |
| Bedingung oder Schritte | Legen Sie eine Kennwortrichtlinie auf jedem Mirage-Gateway-System fest. |
| Konfigurationselement | Beschreibung |
|---|---|
| Code | MEG05 |
| Name | Entfernen unnötiger Netzwerkprotokolle. |
| Beschreibung | Mirage -Gateway verwendet nur die IPv4-Kommunikation. Sie sollten andere Dienste entfernen, wie z. B. Datei- und Druckerfreigabe, NFS, SendMail, Bind, NIC usw. |
| Risiko oder Kontrolle | Falls sich ein nicht autorisierter Benutzer Zugriff auf das Mirage-Gateway-System verschafft, ist das System anfälliger für nicht autorisierte Änderungen. |
| Empfohlene Ebene | Enterprise |
| Bedingung oder Schritte | Führen Sie yast unter dem Suse-Betriebssystem des Mirage-Gateways aus. Deaktivieren Sie alle Netzwerkprotokolle unter „Sicherheit und Benutzer“ und „Firewall“. Behalten Sie die folgenden drei Ports bei:
|
| Konfigurationselement | Beschreibung |
|---|---|
| Code | MEG06 |
| Name | Deaktivieren nicht notwendiger Dienste. |
| Beschreibung | Mirage -Gateway erfordert eine minimale Anzahl von Diensten für das Betriebssystem. Durch die Deaktivierung nicht notwendiger Dienste wird die Sicherheit optimiert. Dadurch wird verhindert, dass die Dienste beim Booten automatisch gestartet werden. |
| Risiko oder Kontrolle | Wenn nicht notwendige Dienste ausgeführt werden, ist das Mirage-Gateway-System anfälliger für Netzwerkangriffe. |
| Empfohlene Ebene | Enterprise. |
| Bedingung oder Schritte | Deaktivieren Sie Dienste, die nicht erforderlich sind. Führen Sie yast unter dem Suse-Betriebssystem des Mirage-Gateways aus. Deaktivieren Sie im Dropdown-Menü Netzwerkdienste alle Netzwerkdienste außer jenen im Zusammenhang mit SSHD und iSCSI. |
| Konfigurationselement | Beschreibung |
|---|---|
| Code | MEG07 |
| Name | Zur Kontrolle Verwenden einer externen Firewall in DMZ. |
| Beschreibung | Mirage -Gateway-Server werden in der Regel in einer DMZ (Demilitarized Zone) bereitgestellt. Sie müssen kontrollieren, welche Protokolle und Netzwerk-Ports zulässig sind, damit die Kommunikation mit Mirage-Gateway auf das erforderliche Minimum beschränkt wird. Mirage-Gateway führt die TCP-Weiterleitung an Mirage-Server in einem Datencenter automatisch aus und stellt sicher, dass der gesamte weitergeleitete Datenverkehr von authentifizierten Benutzern weitergeleitet wird. |
| Risiko oder Kontrolle | Nicht notwendige Protokolle und Ports können das Risiko eines Angriffs durch böswillige Benutzer erhöhen, insbesondere bei Protokollen und Ports für die Netzwerkkommunikation über das Internet. |
| Empfohlene Ebene | Konfigurieren Sie eine Firewall auf beiden Seiten des Mirage-Gateway-Servers, um Protokolle und Netzwerk-Ports auf das erforderliche Minimum zwischen Mirage-Clients und den Mirage-Gateway-Servern zu beschränken. Sie sollten den Mirage-Gateway-Server auf einem isolierten Netzwerk bereitstellen, um den Gültigkeitsbereich von Frame-Broadcasts zu begrenzen. Mit dieser Konfiguration kann ein böswilliger Benutzer im internen Netzwerk daran gehindert werden, die Kommunikation zwischen den Mirage-Gateway-Servern und den Mirage-Serverinstanzen zu überwachen. Sie sollten möglicherweise erweiterte Sicherheitsfunktionen auf Ihrem Netzwerk-Switch verwenden, um die böswillige Überwachung der Mirage-Gateway-Kommunikation mit Mirage-Servern zu verhindern und vor Überwachungsangriffen (ARP Cache Poisoning) zu schützen. |
| Parameter- oder Objektkonfiguration | Weitere Informationen zu den für eine DMZ-Bereitstellung erforderlichen Firewallregeln finden Sie im VMware Mirage-Installationshandbuch. |
| Konfigurationselement | Beschreibung |
|---|---|
| Code | MEG08 |
| Name | Verwenden Sie die standardmäßigen, selbstsignierten Serverzertifikate nicht auf einem Mirage-Gateway-Server. |
| Beschreibung | Bei der Erstinstallation des Mirage-Gateway-Servers ist der SSL-Server erst funktionsfähig, wenn signierte Zertifikate vorbereitet wurden. Der Mirage-Gateway-Server und der SSL-Server benötigen von einer kommerziellen Zertifizierungsstelle (Certificate Authority, CA) oder einer Zertifizierungsorganisation signierte SSL-Serverzertifikate. |
| Risiko oder Kontrolle | Durch die Verwendung selbstsignierter Zertifikate ist die SSL-Verbindung anfälliger für Man-in-the-Middle-Angriffe. Durch die Verwendung von signierten Zertifikaten einer vertrauenswürdigen Zertifizierungsstelle wird das Risiko derartiger Angriffe reduziert. |
| Empfohlene Ebene | Enterprise |
| Bedingung oder Schritte | Weitere Informationen zum Einrichten von Mirage-Gateway-SSL-Zertifikaten finden Sie im VMware Mirage-Installationshandbuch. |
| Test | Verwenden Sie ein Tool für die Suche nach Sicherheitslücken für die Verbindung mit dem Mirage-Gateway. Überprüfen Sie, ob es von der entsprechenden Zertifizierungsstelle signiert ist. |
