Bundesamt für Sicherheit in der Informationstechnik

G 3.46 Fehlerhafte Konfiguration eines Lotus Domino Servers

Fehlkonfigurationen eines Software-Systems sind häufig die Ursache für erfolgreiche Angriffe. Aufgrund der Komplexität eines Lotus Domino Servers besteht auch hier die Gefahr, dass die installierte Lotus Notes/Domino-Umgebung durch Fehlkonfiguration nicht den geforderten Sicherheitsansprüchen genügt. Durch die Fülle an Konfigurationseinstellungen und durch die sich gegenseitig beeinflussenden Parameter können auch viele Gefährdungen entstehen.

Fehlerhafte Konfigurationen können sowohl bei der Grundkonfiguration eines Lotus Domino Servers als auch bei der Konfiguration spezieller Dienste, die von dem Server bereitgestellt werden, vorkommen. Dazu zählen z. B. der integrierte Webserver ( HTTP -Task) oder die für iNotes bzw. Domino Web Access genutzten Domino Offline Services (DOLS). Aber auch die fehlerhafte Konfiguration des Datenbankdienstes von Domino ist ein Problem für die Gesamtsicherheit des Servers.

Einige typische Fehlkonfigurationen werden im Folgenden aufgeführt:

  • Fehlende Zugriffseinschränkungen auf einen Server: In der Grundeinstellung ist es generell jedem erlaubt, auf einen Lotus Domino Server zuzugreifen. Werden keine Zugriffsbeschränkungen auf einen Server definiert, so wird diese erste Hürde nicht genutzt. Insbesondere in der Kombination mit schwachen oder falschen Zugriffsberechtigungen auf Dienste oder Datenbanken können so Sicherheitsprobleme entstehen.
  • Fehlerhafte Zugriffslisten (Access Control Lists, ACLs) oder unsichere Standard-ACLs: Jede Datenbank erhält bei der Erzeugung eine (durch die jeweilige Datenbankvorlage bestimmte) Zugriffsliste mit Standardeinträgen. Je nach Vorlage bietet diese keinen ausreichenden Schutz für die Datenbank im Normalbetrieb. Dies gilt insbesondere dann, wenn die Datenbank nach der Erzeugung initialisiert oder weiter konfiguriert werden muss. Oft sind dazu zunächst umfangreiche Rechte notwendig, die für den laufenden Betrieb nicht mehr benötigt werden. Werden die Standardzugriffslisten nicht verändert, kann dies dazu führen, dass Unbefugte auf die Datenbank zugreifen können oder Benutzern zu hohe Rechte eingeräumt werden.
  • Es wird keine Verschlüsselung eingesetzt: Die Verschlüsselung der Netzkommunikation (Port-Verschlüsselung) und die Verschlüsselung von Datenbanken oder Datenbankfeldern sind in der Regel standardmäßig nicht aktiviert. Um die Verschlüsselung zu nutzen, muss diese explizit aktiviert werden. Wird dies vergessen, so sind die Daten sowohl bei der Kommunikation als auch auf den Datenträgern ungeschützt.
  • Unzureichende Berechtigungen für Server oder administrative Prozesse: Damit eine Notes-Datenbank korrekt funktionieren kann, muss sie von einem dedizierten Server verwaltet und gewartet werden. Zu den Verwaltungs- und Wartungsaufgaben eines Servers gehört unter anderem das Aktualisieren von Datenbank-Kopien (Daten, Zugriffslisten, usw.). Sind dem verantwortlichen Server keine ausreichenden Rechte eingeräumt, so schlagen die Verwaltungsaktionen fehl. Dies kann zu Sicherheitsproblemen führen, dass z. B. Veränderungen an den Zugriffsberechtigungen nicht an die Kopien einer Datenbank weitergegeben werden können.
  • Akzeptieren von Cross-Zertifikaten: Zwischen verschiedenen Zertifikatshierarchien (ohne gemeinsame Zertifizierungsinstanz) können Vertrauensstellungen eingetragen werden, indem eine sogenannte Cross-Zertifizierung erfolgt (Anerkennen fremder Zertifikate). Cross-Zertifikate können meist automatisch erzeugt werden, wenn ein unbekanntes Zertifikat "entdeckt" wird. Dies gilt sowohl für Notes-Zertifikate als auch für X.509-Zertifikate. Dabei können Cross-Zertifikate auch von Benutzern einfach im persönlichen lokalen Adressbuch erzeugt werden. Das Anlegen von Cross-Zertifikaten im NAB (Notes Address Book) kann dagegen nur durch einen berechtigten Administrator erfolgen. Werden Zertifikate leichtfertig als vertrauenswürdig anerkannt, so kann dies zu Sicherheitsproblemen führen, z. B. bei aktiven Inhalten, die mit dem nun als vertrauenswürdig geltenden Zertifikat signiert sind.

Die aufgeführten Problemfelder sind Beispiele für mögliche Gefährdungen durch Fehlkonfigurationen eines Lotus Domino Servers. Abhängig vom jeweiligen Einsatzumfeld können weitere hinzukommen.

Beispiel:

Ein Server ist so konfiguriert, dass anonyme Zugriffe nicht gestattet sind. An der Web-Schnittstelle sind nur SSL-Verbindungen erlaubt. Bei der Konfiguration der Datenbank-ACLs wird daher kein Anonymous-Eintrag erstellt. Weiterhin wird auf das Erzwingen des SSL-geschützten Web-Zugriffs verzichtet, da der Server nur SSL-Verbindungen an der Web-Schnittstelle annimmt. Die Default-Rechte aus den Datenbank-Vorlagen wurden nicht geändert, um den administrativen Aufwand bei Vorlagenänderungen zu minimieren. Durch die Einführung einer neuen Datenbank, die öffentliche Informationen enthält, wird der Server so konfiguriert, dass nun auch normale Web-Zugriffe auf diese Datenbank erlaubt sind (anonym, nicht SSL- geschützt). Ab nun kann auf alle Server-Datenbanken anonym zugegriffen werden, es gelten dabei die Default-Rechte, die oft mindestens das Lesen erlauben. Dadurch besteht die Gefahr, dass Unbefugte vertrauliche Daten einsehen oder Informationen manipulieren können.

Stand: 13. EL Stand 2013