Domino 9 und frühere Versionen > ND6: Administration & Userprobleme

iNotes Web Access: Sicherheit bzw. absichern

(1/4) > >>

Moaddin:
Hallo Notes Gemeinde,
hiermit möchte ich gerne einen Thread eröffnen zum Thema Sicherheit in Lotus Web Access, da das Thema für mich und sicherlich auch andere sehr wichtig ist.

Dazu würde ich gerne verschiedene Punkte zum Absichern eines iNotes Servers zusammentragen und ausführlicher beschreiben, damit das jeder nachmachen kann.
Die Punkte von BANXX in diesem Thread: http://www.dominoforum.de/modules/newbb/viewtopic.php?topic_id=6921&forum=11&post_id=35014#forumpost35014
hören sich z.B. sehr gut an, jedoch weiß ich bei einigen nicht wie diese zu bewerkstelligen sind.

Fangen wir also an:
1.: iNotes nur per SSL nutzen
Erstmal den Port aktivieren:
    Serverdokument --> Ports --> Internet Ports --> Web:
    TCP/IP Port 80 = disabled  (evtl. auch: redirect to SSL)
    SSL Port = enabled
Dann  SSL einrichten: siehe http://atnotes.de/index.php?topic=35547.0

2.: Zugriffslisten(ACLs) kontrollieren
Bei allen Datenbanken sollte in den ACLs der Zugriff für "Anonymous" auf "No Access" gesetzt werden.
Bei dem Zugriff für "-Default-" bin ich mir nicht sicher, ob und bei welchen Datenbanken ich überall "No Access" eintragen darf, ohne dass Serverfunktionen betroffen sind, da in manchen Datenbanken jeder authentifizierte Benutzer Dokumente erstellen können muss o.ä., soweit ich weiss.

3.: Zugriff auf nicht benötigte DBs sperren
Hier kommt meine erste Frage an die Gemeinde: Ist es möglich den Zugriff mittels HTTP z.B. nur auf die Mailpostfächer zuzulassen? Kann man einzelnen Datenbanken den Zugriff mittels HTTP erlauben/sperren? Da wäre besonders die webadmin.nsf hervorzuheben...

4. Benutzer nach Falschanmeldungen sperren
Wünschenswert wäre außerdem, dass ein Benutzer nach z.B. dreimaliger Falscheingabe seines Passwortes für 15 Minuten o.ä. gesperrt wird um Bruteforce Attacken vorzubeugen. Kennt jemand diesbezüglich einen Lösungsansatz?


Ich denke das sollte ersteinmal reichen. Ich würde mich sehr über Antworten und weitere Punkte freuen...

mcilly:

--- Zitat von: Moaddin am 03.04.07 - 17:36:26 ---3.: Zugriff auf nicht benötigte DBs sperren
Hier kommt meine erste Frage an die Gemeinde: Ist es möglich den Zugriff mittels HTTP z.B. nur auf die Mailpostfächer zuzulassen? Kann man einzelnen Datenbanken den Zugriff mittels HTTP erlauben/sperren? Da wäre besonders die webadmin.nsf hervorzuheben...
--- Ende Zitat ---

Klar kannst du das realisieren. Wenn du in einer DB unter der ACL auf Erweitert gehst - dort hast du den Max. Internet-Namens und Kennwortzugriff. Wenn du den auf "Kein Zugriff" setzt, dann kann man die DB übers Web sicher nicht öffnen. Auch nicht, wenn du in der ACL als Manager drinnen stehst.


--- Zitat ---4. Benutzer nach Falschanmeldungen sperren
Wünschenswert wäre außerdem, dass ein Benutzer nach z.B. dreimaliger Falscheingabe seines Passwortes für 15 Minuten o.ä. gesperrt wird um Bruteforce Attacken vorzubeugen. Kennt jemand diesbezüglich einen Lösungsansatz?

--- Ende Zitat ---

Nein, das geht erst wieder ab Domino 8 mit Boardmitteln. Bis dahin gäbe es z.B.
http://www.timetoact.de/ttacms.nsf/id/SecDomEN
http://www.pistolstar.com/
Sind aber teilweise sehr teuer.

Ein weiterer Tip ists mal den catalog.nsf dicht zu machen, weil dort steht dann drinnen, welche DBen welche ACLs haben.

Noch ein Tip. Wenn du in den Eigenschaften einer DB den Haken für "SSL Verbindung anfordern" aktivierst, dann kann die DB nur per https geöffnet werden.

Moaddin:
Super geniale Tipps Roman. Vielen Dank.
Die habe ich sofort in die Tat umgesetzt:
- Habe bei allen Datenbanken das Häkchen bei "SSL anfordern" gesetzt.
- Habe bei der names.nsf und der "Domino Web Access Redirect" DB den maximalen Internetzugriff auf "Leser" gestzt.
- Alle restlichen DBs, außer der Mail Postfächer habe ich beim maximalen Internetzugriff auf "kein Zugriff" gesetzt.

Ergebnis: Alles funktioniert wie bisher und ich fühle mich effektiv sicherer  ;D

Bezüglich "Benutzer nach Falschanmeldungen sperren": Geld kann ich dafür leider keines investieren, aber dafür werde ich dann wohl irgendwann von Lotus Domino v6.5.3 auf v8 umstellen, wenn die neue Version sich ein wenig bewährt hat...

mcilly:
Gern geschehen, kein Problem. Konkrete Fragen, konkrete Antworten!

Was du noch überprüfen kannst, sind die restlichen Ports wie LDAP, POP3, IMAP usw. Die sind standardmäßig aktiviert. Solange du keinen Notes Task am Server startest ists auch kein Problem, aber wenn du den mal unabsichtlich hochfährst ist er sofort aktiv.

Deaktiviere deshalb im Konfig.dok unter Ports -> Internet Ports alle die nicht notwendig sind.

Moaddin:
Die nicht benötigten Ports sind bereits deaktiviert. LDAP und IMAP werden bei uns nicht benötigt.

Ein weiterer Punkt wäre noch:
5. Öffentlichen Port ungleich Standardport 443(https)
Hier ist die Frage, ob die Änderung des nach Außen geöffneten Ports auf einen Port größer 1024 effektive Sicherheitsvorteile bringt, denn die Frage ist, wenn ein Hacker den offenen Port findet, ob er dann schnell und einfach herausfinden kann, dass es sich um einen HTTPS Dienst im Hintergrund handelt. Ein normaler Portscanner zeigt ja einfach nur die offenen Ports an.

Navigation

[0] Themen-Index

[#] Nächste Seite