Bundesamt für Sicherheit in der Informationstechnik

M 4.116 Sichere Installation von Lotus Notes/Domino

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Voraussetzung für die sichere Installation von Lotus Notes/Domino ist die Planung der Rahmenbedingungen des Einsatzes, beschrieben in M 2.206 Planung des Einsatzes von Lotus Notes/Domino . Anschließend erfolgt die Installation der Lotus Notes/Domino-Komponenten auf den relevanten Servern und Clients. Dazu müssen sichere Installationsverfahren sowie eine schutzbedarfsorientierte Absicherung der Installationsumgebung und der Installationsmedien festgelegt und eingehalten werden.

Es ist sinnvoll, zwischen Installationsverfahren bei Neuinstallation der gesamten Lotus Notes/Domino-Plattform und Installationsverfahren bei Anpassungen (Software-Upgrades, Patches) und Migrationen zu unterscheiden.

Neuinstallation

Bei einer Neuinstallation von Lotus Notes/Domino ist aus Sicherheitssicht Folgendes zu beachten:

  • Die bei einer Neuinstallation einzuhaltenden Installationsverfahren sind festzulegen und zu dokumentieren. Dabei sind allgemeine Regelungen bezüglich der Verfahren festzulegen sowie spezielle Regelungen zu der Installation von Servern, Serverdiensten und Clients. Zu den allgemeinen Regelungen gehören beispielsweise die Festlegung der Verantwortung für die Initiierung und Durchführung von Neuinstallationen, Freigabe- und Kontrollverfahren für das Installationsverfahren an sich und die dafür erforderlichen Konfigurationen ( z. B. Vier-Augen-Prinzip) sowie die Regelungen zur Produktionsfreigabe.
  • Sind bereits allgemeine Regelungen zu Installationsverfahren vorhanden, kann auf diese verwiesen werden. In diesem Fall sind jedoch die Spezifika der Lotus Notes/Domino-Plattform zu ergänzen.
  • Das Installationsverfahren bei Neuinstallation muss sicherstellen, dass eine ausreichende Dokumentation des Installationsvorganges und eine ausreichend fein granulare Protokollierung kritischer Teilschritte erfolgen. Diese Dokumentation ist erforderlich für die Erkennung von Manipulationen an den installierten Komponenten, aber auch bei der Fehlersuche.
  • Werden automatisierte Installationsverfahren genutzt, ist eine detaillierte Dokumentation der verwendeten Parameter, Skripte etc. zu erstellen. Es ist eine geeignete Prüfung und Freigabe sowohl der Installationspakete als auch der installierten Komponenten zu etablieren.
  • Das Installationsverfahren muss sicherstellen, dass nach der Installation nur die dazu berechtigten Administratoren auf die installierten Verzeichnis- und Dateistrukturen über das Betriebssystem oder administrative Tools zugreifen können. Dazu sind die Rechtestrukturen entsprechend anzupassen.
  • Es ist sicherzustellen, dass nur berechtigte Administratoren und Wartungstechniker physischen Zugang zu den Domino-Servern haben, auch bereits während der Installation.
  • Auswahl einer passenden Grundinstallation: Da ein Domino-Server unterschiedlich eingesetzt werden kann, ist schon bei der Installation darauf zu achten, dass die für den gedachten Einsatzzweck am besten geeignete Grundinstallation gewählt wird. So kann z. B. zwischen der vordefinierten Installation Domino Utility Server (ohne Messaging Dienste, gedacht als reiner Applikations-Server), Domino Messaging Server (ohne Anwendungsdienste, gedacht als reiner Messaging-Server) und Domino Enterprise Server (alle Dienste) ausgewählt werden. Über die Installations-Option Customize Domino Server ist eine fein granulare Anpassung der Grundinstallation möglich. Die Auswahl der passenden Grundinstallation und insbesondere die fein granulare Anpassung an den geplanten Einsatzzweck ist Vorbedingung für eine sichere Konfiguration und Härtung.

Anpassungen (Upgrades) und Migrationen

Als Anpassung (Upgrade) wird hierbei eine reine Softwareanpassung bezeichnet, also eine Änderung des im Einsatz befindlichen Releases der Lotus Notes/Domino-Software oder einzelner Komponenten der Software einschließlich der für die Lotus Notes/Domino-Plattform zugekauften oder eigenentwickelten Komponenten.

Unter einer Migration wird sowohl eine Softwareanpassung mit Änderungen der Nutzdatenbestände (beispielsweise bei Formatänderungen der Datenbestände, Änderungen der verwendeten Datenbanken, Datenbereinigungen und Konsolidierungen) wie auch der Wechsel von einer anderen Plattform für E-Mail und Zusammenarbeit hin zur Lotus Notes/Domino-Plattform verstanden.

Bei Anpassungen (Upgrades) und Migrationen von Lotus Notes/Domino ist aus Sicherheitssicht Folgendes zu beachten:

  • Die bei Upgrades und Migrationen einzuhaltenden Installationsverfahren sind festzulegen und zu dokumentieren.
  • Für Anpassungen (Upgrades) können Verfahren eingesetzt werden, die abgeänderte (vereinfachte) Varianten des Verfahrens zur Neuinstallation darstellen.
  • Bei Migrationen muss ein zusätzlicher Schwerpunkt auf die Gewährleistung der definierten Verfügbarkeit, Vertraulichkeit und Integrität der Nutzdaten gesetzt werden.
  • Größere Upgrades und Migrationen können für die Lotus Notes/Domino-Plattform in Phasen durchgeführt werden. So ist sowohl ein Teil-Update abgeschlossener Domänen möglich ( z. B. für Konzerne oder Institutionen mit mehreren Standorten) wie auch eine schichtorientierte Vorgehensweise, bei der z. B. zuerst das Update der Clients und anschließend das Update der Serverkomponenten vorgenommen wird. Alle phasenorientierten Vorgehensweisen bergen das Risiko von Inkompatibilitäten zwischen Komponenten der alten und neuen Releasestände und sind daher sehr sorgfältig, unter Berücksichtigung der entsprechenden Empfehlungen des Herstellers, zu planen. Rückfallstrategien sind in jedem Fall vorzusehen.
  • Es ist zu berücksichtigen, dass nach Upgrades und Migrationen die Rechte der installierten Verzeichnis- und Dateistrukturen anzupassen sind, um sicherzustellen, dass nur die dazu vorgesehenen Administratoren Zugriff auf die betriebssystemseitig installierten Elemente von Lotus Notes/Domino haben.
  • Eine Bewertung der geänderten Eigenschaften der neuen Releases, insbesondere der Mechanismen im Umfeld der Replikation und der Push-Mechanismen für Policies in Richtung der Clients, ist erforderlich, um unerwünschte Seiteneffekte nach einer Migration, die erst den Benutzern auffallen, zu vermeiden.

Absicherung der Installationsumgebung und Installationsmedien

Generell sind Installationsumgebungen und Installationsmedien gegen Manipulation vor oder während des Installationsvorgangs abzusichern (siehe M 4.177 Sicherstellung der Integrität und Authentizität von Softwarepaketen ). Dies gilt insbesondere auch für die Installation von Lotus Notes/Domino-Komponenten.

Gängige Verfahren sind z. B. die Abkopplung der Server, auf denen Installationen durchgeführt werden, vom Netz und die durchgängige Verwendung integritätsgesicherter Originalmedien des Herstellers für die Installation. Da dies jedoch mit erhöhtem administrativem Aufwand verbunden ist und insbesondere in großen Institutionen oder bei Providern oft nicht der gängigen Praxis entspricht, können alternative Sicherheitsmaßnahmen genutzt werden. So ist für Software, die nicht auf Originalmedien, sondern per elektronischer Kanäle vom Hersteller bezogen wird ( z. B. Download, automatische Softwareaktualisierung durch den Hersteller, E-Mail etc. ), in jedem Fall ein Installationsverfahren zu etablieren, das eine angemessene Integritätsprüfung der Software beinhaltet. Die Qualität der verwendeten Mechanismen, wie z. B. die zur Integritätssicherung verwendeten Hashes, muss den Schutzbedarf der zu installierenden Komponente berücksichtigen.

Für Lotus Notes/Domino bietet der Hersteller die Möglichkeit des elektronischen Bezugs der Software über HTTP -Download oder über die Nutzung eines speziellen Dowload-Applets (Download Director). Letzteres bietet erhöhte Sicherheit und entspricht laut Herstellerangaben den Anforderungen der Common Criteria für Softwaredownloads. Da kein vom Hersteller angebotener transparenter Mechanismus zur Integritätsüberprüfung einzelner Komponenten vorhanden ist, sollten bei hohem oder sehr hohem Schutzbedarf von Lotus Notes/Domino Maßnahmen getroffen werden, um sicherzustellen, dass der Download nicht kompromittiert werden kann. Es ist sicherzustellen, dass während des Downloads kein weiterer Zugriff (auch kein administrativer) auf das Zielverzeichnis/Ziellaufwerk erfolgen kann und dass nach erfolgreichem Download eine Integritätssicherung mittels entsprechender Hashes erfolgt.

Werden in der Institution zentrale Ablagen für Installationsmedien genutzt (Installationslaufwerke, Installationsserver), ist für diese eine dem Schutzbedarf der Medien entsprechende Absicherung vorzusehen. Hierzu gehören unter anderem entsprechende Maßnahmen zum Zugriffsschutz, zur Integritätssicherung und zur Gewährleistung der Verfügbarkeit. Wenn technisch und aus Administrationsgesichtspunkten möglich, sind die Installationslaufwerke sowie Installationsserver nur zeitlich eingeschränkt für Installationsvorgänge freizugeben.

Kritische Vorgänge bei Installation, Anpassungen und Migrationen

Bei der Installation des Lotus Domino Servers sind die Vorgänge zur Erzeugung wesentlicher technischer Elemente der Domänen- und Zertifikatshierarchie kritisch, da eine Kompromittierung dieser Elemente zu einer Kompromittierung der gesamten Domino/Notes-Sicherheitsmechanismen führen kann. Folgendes ist aus Sicherheitssicht zu berücksichtigen:

  • Die Notes- ID s, die in diesem Zusammenhang erzeugt werden (Certifier-ID, Server-IDs, Administrator-IDs), sind mit komplexen Zugangspasswörtern zu versehen.
  • Diese Notes-IDs sollten nicht im Namens- und Adressbuch gespeichert werden, sondern in Dateien, die durch betriebssystemseitige Sicherheitsmechanismen ( z. B. betriebssystemseitige Zugriffsbeschränkungen) und zusätzliche Sicherheitskomponenten ( z. B. Host-based IDS) geschützt vorgehalten werden.
  • Ist ein automatisches Starten des Domino-Servers vorgesehen, so darf die Server-ID keinen Passwortschutz haben und muss daher über betriebssystemseitige Zugriffschutzmechanismen und entsprechende Überwachung vor unberechtigtem Zugriff geschützt werden.
  • Das Vorgehen bei der Installation der Elemente der Zertifikatshierarchie hat gemäß dem Konzept zur Domänen- und Zertifikatshierarchie von Lotus Notes/Domino zu erfolgen (siehe M 2.207 Sicherheitskonzeption für Lotus Notes/Domino ). Dieses kann bei entsprechendem Schutzbedarf von Lotus Notes/Domino z. B. auch ein Vier-Augen-Prinzip zur Nutzung der Certifier-ID vorsehen, sodass in diesem Fall die Certifier-ID durch ein entsprechendes Mehrfachpasswort zu schützen ist.
  • Es ist zu berücksichtigen, dass die technischen Elemente der Zertifikatshierarchie nicht nur in Bezug auf Integrität und Vertraulichkeit, sondern auch in Bezug auf Verfügbarkeit direkte Auswirkungen auf die entsprechenden Schutzziele von Lotus Notes/Domino haben. So sind für alle wichtigen IDs (Certifier-ID, Server-ID, Administrator-ID) Sicherungskopien vorzusehen, die getrennt vom System zugriffsgeschützt aufzubewahren sind.

Nutzung der erweiterten Zugriffskontrolle (xACL)

Lotus Notes/Domino bietet seit der Version 6 die Möglichkeit, erweiterte ACLs (extended ACLs oder xACLs) für ein Domino Directory oder einen Extended Directory Catalog aufzusetzen. Die mit Hilfe der xACLs implementierten zusätzlichen Möglichkeiten des Zugriffsschutzes ermöglichen z. B. Delegation administrativer Tasks, eingeschränkt auf Organisationseinheiten und weitergehenden Schutz auf Feldebene für NRPC, HTTP , LDAP , POP3 und IMAP -Zugriffe. Dadurch kann z. B. das Auslesen von Passwort-Hashes per HTTP -Zugriff auf Personendokumente in der names.nsf verhindert werden. Die Technote 1244808 des Herstellers beschreibt die dazu nötigen Schritte.

Für alle Lotus Notes/Domino-Systeme mit hohem oder sehr hohem Schutzbedarf bezüglich Vertraulichkeit oder Integrität ist die Nutzung der xACLs zu planen und umzusetzen. Durch die Aktivierung der xACLs wird automatisch der Eintrag der Gruppe ANONYMOUS in den ACLs auf NO ACCESS gesetzt.

Werden keine xACLs genutzt, ist bei der Domino-Installation die Gruppe ANONYMOUS standardmäßig auf NO ACCESS zu setzen. Sollen für einzelne Datenbanken anonyme Zugriffe erlaubt werden, ist dies auf Datenbankebene explizit freizuschalten.

Prüffragen:

  • Sind definierte und dokumentierte Installationsverfahren für Neuinstallationen, Anpassungen und Migrationen von client- und serverseitigen Komponenten (Lotus Notes und Lotus Domino) vorhanden?

  • Wird während des Installationsvorgangs (auch während Anpassungen und Migrationen) gemäß den definierten Verfahren protokolliert und eine Sicherung bzw. Archivierung der Installationsdokumentation und Installationsprotokolle vorgenommen?

  • Sind detaillierte Vorgaben für alle erwähnten kritischen Vorgänge bei der Installation, Anpassung und Migration vorhanden?

  • Wird sichergestellt, dass während der Installation, Anpassung oder Migration nur die beteiligten Administratoren Zugriff auf die entsprechenden Verzeichnisse und Ressourcen haben?

  • Sind Installationsumgebungen und Installationsmedien gegen Manipulation vor oder während des Installationsvorgangs abgesichert?

  • Wurde bewertet, ob der Einsatz der erweiterten Zugriffskontrolle (xACL) gerechtfertigt ist, und wird diese bei entsprechendem Schutzbedarf genutzt?

  • Wenn keine erweiterte Zugriffskontrolle genutzt wird, wurde dann bei der Domino-Installation die Gruppe ANONYMOUS auf NO ACCESS gesetzt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK