Bundesamt für Sicherheit in der Informationstechnik

M 4.429 Sichere Konfiguration von Lotus Notes/Domino

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Unmittelbar nach der Installation, Anpassung oder Migration ist die Konfiguration der installierten bzw. angepassten oder migrierten Komponenten vorzunehmen. Nur so kann gewährleistet werden, dass in der Zeitspanne zwischen Installation und Konfiguration keine Schwachstellen der Standardkonfiguration für Angriffe genutzt werden.

Sichere Grundkonfiguration

Die sichere Grundkonfiguration des Lotus Domino Servers beinhaltet die Korrektur voreingestellter, unsicherer Systemparameter:

  • Standardmäßig ist der anonyme Zugriff auf Domino-Server zu verweigern. Werden keine xACLs genutzt (in diesem Fall wird bei der Einrichtung der xACLs der anonyme Zugriff unterbunden), ist bei der Domino-Installation die Gruppe ANONYMOUS standardmäßig auf NO ACCESS zu setzen. Zugriffe von Lotus Notes-Benutzern, deren Zertifikate von unbekannten Zertifizierungsinstanzen ausgestellt wurden und für die kein Cross-Zertifikat existiert, werden von Domino als anonyme Zugriffe behandelt. Sollen für einzelne Datenbanken anonyme Zugriffe erlaubt werden, ist dies auf Datenbankebene explizit freizuschalten. Ist anonymer Zugriff auf dedizierte Server gewünscht, sind diese in der Gesamtarchitektur entsprechend zu planen und über andere Sicherheitsmaßnahmen abzusichern. Insbesondere sollten diese Server keine Dienste mit hohem Schutzbedarf bereitstellen.
  • Für die Hashwerte der HTTP-Passwörter ist das sicherere Hash-Format mit Salt-Wert zu wählen (verfügbar seit Notes 4.6). Dies geschieht über Actions -> Edit Directory Profile und Auswahl von Yes bei der Checkbox Use more secure Internet password format. Siehe dazu auch die Technote 1244808 des Herstellers.

Weiterhin sind im Rahmen der sicheren Grundkonfiguration die Einstellungen zur Zugriffssicherheit vorzunehmen, die auf Ebene des Lotus Notes/Domino-Servers (und nicht auf der Ebene der Domino-Dienste) greifen:

  • Der Abgleich des öffentlichen Schlüssels der Notes-ID des Benutzers bei der Anmeldung mit der im Namens- und Adressbuch gespeicherten Kopie des öffentlichen Schlüssels ist standardmäßig zu aktivieren.
  • Der Zugriff auf den Server ist auf Benutzer einzuschränken, die im Namens- und Adressbuch des Servers stehen.
  • Die serverseitige Überprüfung des Passwortes der Notes- ID über Hashwert ist zu aktivieren. Dies birgt das Risiko, dass bei Kopie der ID und Kompromittierung des Notes-Passwortes durch einen Angreifer nach einer Passwortänderung durch den Angreifer nur noch die ID des Angreifers als legitime ID akzeptiert wird.
  • Access/Deny-Listen sind sowohl für Server wie auch für Benutzer einzurichten und zu pflegen. Dadurch können unerwünschte Verbindungen bereits beim Zugriff auf den Server zurückgewiesen werden ( z. B. für ID s ausgeschiedener Mitarbeiter oder bei zeitlich beschränktem Zugriff nach Ablauf der vorgesehenen Zeitspanne).
  • Der Einsatz von Vermittlungsservern (Pass-Through) ist zu vermeiden, möglichst über eine sicherheitsorientierte Architektur und Netztopologie der eingesetzten Lotus Notes/Domino-Plattform und die Einschränkung des Pass-Through-Zugriffes auf definierte Benutzergruppen. Eine generelle Vermittlung für alle anfragenden Server (Routing über Server = *) ist unbedingt zu vermeiden.
  • Bestimmte Server-Operationen können auf eine Liste von Benutzern oder Gruppen eingeschränkt werden. Beispiele für solche Operationen sind das Anlegen von Datenbanken, das Erzeugen von Repliken, die Nutzung von Monitoren, die Administration über die Web-Schnittstelle und das Ausführen von Agenten und Skripten. Je nach Option kommen verschiedene Vorgaben zum Einsatz, wenn keine explizite Liste angegeben wird. Beispielsweise dürfen standardmäßig alle Benutzer neue Datenbanken anlegen.
  • Die Zugriffsrechte auf das Namens- und Adressbuch (Abkürzung: NAB, Datei names.nsf) sind möglichst restriktiv zu vergeben, auch wenn dies Kompromisse bei der Nutzung verschiedener Funktionen durch die Benutzer zur Folge hat.
  • Administrative Zugriffsrechte sind unter Verwendung der administrativen Rollen [GroupCreator], [GroupModifier], [ServerCreator], [ServerModifier], [UserCreator], [UserModifier], [NetCreator] und [NetModifier] entsprechend dem Administrationskonzept für Lotus Notes/Domino zu vergeben.

Sichere Konfiguration serverseitiger Einstellungen für die Kommunikation

Angemessene Kommunikationssicherheit kann über eine SSL-verschlüsselte Verbindung mit einem durch ein Zertifikat authentisierten Kommunikationspartner gewährleistet werden.

Ein Domino-Server kann über die Einrichtung der Serverzertifikatsadministration (certsrv.nsf) für die Nutzung von SSL konfiguriert werden. Voraussetzung ist die Umsetzung des Konzepts zur Domänen- und Zertifikatshierarchie aus M 2.207 Sicherheitskonzeption für Lotus Notes/Domino . Anschließend kann auf Protokoll-Ebene ( z. B. E-Mail-Protokolle IMAP , POP3 , SMTP ) individuell konfiguriert werden, für welche Protokolle SSL zu aktivieren ist. Dies sollte in Abhängigkeit des Schutzbedarfs der genutzten Dienste erfolgen.

Das Erzwingen von SSL -Verbindungen kann für Web-Zugriffe auch auf Datenbankebene eingestellt werden (Web: SSL-Verbindung anfordern). Die SSL -Anschlusskonfiguration sollte möglichst nicht auf Nur-Server-Authentifizierung, sondern auf Clientzertifikatsauthentifizierung als Authentifizierungsverfahren konfiguriert werden (nicht alle Protokolle unterstützen die Clientzertifikatsauthentifizierung).

Folgende serverseitigen Parameter sind konform zu den Verschlüsselungsrichtlinien der Institution zu konfigurieren:

  • Version des SSL-Protokolls (möglichst nur SSL 3.0, da Verschlüsselungsverfahren für SSL 2.0 in Domino nicht einstellbar),
  • SSL-Site-Zertifikate annehmen (Einstellung NEIN, um den Zugriff auf Internet-Server ohne gemeinsame Zertifikate zu unterbinden),
  • Abgelaufene SSL-Zertifikate annehmen (Einstellung in der Regel JA, um Probleme mit abgelaufenen Clientzertifikaten zu vermeiden, NEIN bei hohem und sehr hohem Schutzbedarf),
  • SSL-Verschlüsselungscodes (gemäß dem institutionseigenen Verschlüsselungskonzept, grundsätzliches Vermeiden der no encryyption with MD5 MAC, no encryption with SHA-1 MAC und der 40-Bit RC4 wie auch der 56-Bit-DES-Verschlüsselung).

Sichere Dienstekonfiguration

Domino bietet unter anderem folgende Dienste an:

  • E-Mail-Dienste (Notes Mail, POP3-Mail, SMTP-Mail, IMAP-Mail)
  • Web-Dienste (Webserver, Instant Messaging und Presence, News (NNTP), Web Services konform zum W3C-Standard SOAP 1.1, WebDAV)
  • Datenbank-Dienste (inklusive Datenbankreplizierung und DB2-Anbindung)
  • DAOS (Domino Attachment and Object Service)
  • Groupware-Dienste
  • Directory- und CA-Dienste (Dienste der Zertifikatshierarchie) inklusive LDAP-Schnittstelle

Eine sichere Dienstekonfiguration muss sowohl die üblichen Standards zur sicheren Parametrisierung der Dienste berücksichtigen wie auch den Kontext im Rahmen der Sicherheitsarchitektur, in dem dieser Dienst betrieben wird. So kann sich die Konfiguration eines E-Mail- oder Instant-Messaging-Dienstes, der nur unternehmensintern genutzt wird und auf einem Domino-Server ohne Außenanbindung betrieben wird, erheblich von der Konfiguration des gleichen Dienstes unterscheiden, der auf einem Server in der DMZ zur Abwicklung des E-Mail-Verkehrs und zur Instant-Messaging-Anbindung an das Internet betrieben wird.

Es ist daher erforderlich, für jeden Dienst eine Sicherheitsbetrachtung vorzunehmen, die nicht nur den Schutzbedarf des Dienstes, sondern auch den Schutzbedarf des Domino-Servers (und damit der weiteren Dienste, die auf demselben Domino-Server laufen) berücksichtigt. Dazu sind die in M 2.207 Sicherheitskonzeption für Lotus Notes/Domino beschriebenen Empfehlungen, vor allem die dort enthaltene Konzeption zur Absicherung der genutzten Domino-Dienste, umzusetzen.

Für jeden Dienst ist in dem entsprechenden Konzept zur Absicherung sowohl ein Berechtigungskonzept für den Zugriff auf den Dienst (Zugriffskonzept) zu erstellen, als auch die dienstspezifischen Parameter sicher zu konfigurieren. Hierbei sind insbesondere unsichere Voreinstellungen der Software zu bereinigen. Die Umsetzung dieses Konzeptes hat für jeden Domino-Dienst direkt nach der Installation des Dienstes zu erfolgen.

Nicht benötigte Dienste sollten, wenn möglich, nicht installiert werden, indem bereits eine passende Grundinstallation ausgewählt wird. Ist dies nicht möglich, sind die entsprechenden Server Tasks zu deaktivieren.

Sichere Client-Konfiguration

Für die Lotus Notes/Domino-Plattform können unterschiedliche Clients eingesetzt werden. Dabei ist nach Einsatzzweck zwischen folgenden Arten zu unterscheiden:

  • administrative Clients
  • Entwickler-Clients
  • Clients für Endnutzer

Aus technologischer Sicht ist zu unterscheiden zwischen:

  • proprietären Notes Clients
  • Eclipse-basierten Clients (ab Notes 8)
  • Browsern als Clients
  • proprietären Clients auf PDA s und Smartphones
  • fremden E-Mail-Clients, die über IMAP und POP3 auf den Domino-Server zugreifen

Grundsätzlich sind alle eingesetzten Client-Typen gemäß dem institutionsspezifischen, in M 2.207 Sicherheitskonzeption für Lotus Notes/Domino erwähnten Härtungskonzept und Konfigurationsvorgaben abzusichern. Für Clients, die in Zusammenhang mit Push-Diensten betrieben werden, sind bei der Konfiguration auch die clientseitigen Parameter des Konzeptes zur Nutzung von Push-Diensten aus M 2.207 Sicherheitskonzeption für Lotus Notes/Domino zu berücksichtigen.

Bereits bei der Architekturplanung ist festzulegen, welche Client-Typen zum Einsatz kommen sollen. Dabei ist zu berücksichtigen, dass abhängig vom Einsatzzweck und dem Schutzbedarf der Clients eine unterschiedliche Konfiguration erforderlich sein kann. Grundsätzlich sind administrative und andere hoch schutzbedürftige Clients restriktiver abzusichern.

In der Client-Konfiguration sind Schwachstellen, die durch unsichere Voreinstellungen entstehen, zu beheben. Weiterhin sind die Parameter zum Aufbau einer sicheren Verbindung, Replikationsparameter und die Parameter zur Notes-basierten Verschlüsselung aller clientseitiger Daten zu berücksichtigen. Hier sind die Vorgaben der Planung der Kommunikationssicherheit aus M 2.206 Planung des Einsatzes von Lotus Notes/Domino , des Konzeptes zur Absicherung der Domino-Dienste aus M 2.207 Sicherheitskonzeption für Lotus Notes/Domino und des Konzeptes zur Nutzung der Notes/Domino-eigenen Sicherheitsmechanismen aus M 2.207 Sicherheitskonzeption für Lotus Notes/Domino ( u. a. für die Verschlüsselung der clientseitigen Daten) zu beachten.

Wird erstmalig der Full Client genutzt, so ist der bislang nicht vorhandenen Komplexität Rechnung zu tragen und eine detaillierte Konfigurationsvorgabe (idealerweise mit einem entsprechenden Schulungsangebot für die Benutzer) für den Rollout vorzubereiten.

Prüffragen:

  • Sind für alle genutzten Dienste Konfigurationsvorgaben vorhanden und umgesetzt, die die entsprechenden Konzepte zur Diensteabsicherung abbilden?

  • Sind für alle genutzten Clients Konfigurationsvorgaben vorhanden?

  • Wenn auf Clients besonders schützenswerte Informationen (Schutzbedarf "sehr hoch") vorgehalten werden ( z. B. . über Replikation), sind diese angemessenen zu verschlüsseln?

Stand: 13. EL Stand 2013