Domino 9 und frühere Versionen > ND7: Administration & Userprobleme

Frage: Sicherheitseinschätzung von Euch

(1/5) > >>

jww:
Da ich ja gerade (fast) einen dicken Rüffel bekommen hätte, wollte ich mal eine provokante Frage in die Runde stellen:

Situation:
- Win7 System im lokalen Netzwerk.
- Historisch gewachsen und KEINE Absichten, das System weiter zu entwickeln, nur bestehendes soll genutzt werden.
- 2 (!) Notes User, ca. 20 DB's, überwiegend benutzt, als "Attachment-Ablage" für alle möglichen
- 5-6 DB's die als "Web-Auftritt" genutzt werden, überwiegend simple HTML Seiten
- Wunsch, gelegentlich für kleine, private "Projekte" eine Diskussions-DB zur Verfügung zu stellen.
- einzige seitens des Routers weiter geleiteten Ports (Portnummer beim Server) sind:
- - - Notes-Port (13xx für Replikation)
- - - 80 [aus Web=88]
- - - 21 auf Filezilla
- - - und drei spezielle Ports, die auf "geschlossene" Applikationen zugreifen, ähnlich wie Notes.
- KEINE Nutzung des Geräts als Client (weder für Browser Sessions noch für sonstige Arbeiten)
- KEINE Programme, die ihrerseits z.B. auf Webseitzen oder Webservices zugreifen
- KEINE Automatismen wie Update etc.
- SÄMTLICHE (bekannten) Windows-Services (z.B. Remote Desktop etc.) sind ausgeschaltet

Wie schätzt Ihr die Sicherheit oder besser Unsicherheit nach Einstellung der Updates von MS ein?

Pyewacket:
Unabhängig von vorhandenen WIN7 Updates wäre mein Kopf ab wenn ich sowas bei meinem Arbeitgeber implementiert hätte.

Nachdem du deine Frage unter ND7 postest nehme ich an dass ihr Domino 7.x verwendet.
-> Uralte, nicht mehr unterstütze Version mit vermutlich jeder Menge ungefixter Schwachstellen.

 Win7 System im lokalen Netzwerk.
-> ist keine unterstütze Platform für den Domino-Server

- Historisch gewachsen und KEINE Absichten, das System weiter zu entwickeln, nur bestehendes soll genutzt werden.
-> Irrelevant in dem Kontext

- 2 (!) Notes User, ca. 20 DB's, überwiegend benutzt, als "Attachment-Ablage" für alle möglichen
-> Spricht nichts dagegen

- 5-6 DB's die als "Web-Auftritt" genutzt werden, überwiegend simple HTML Seiten
Hier wird es dann gefährlich. Nach deinen Angaben verwendet ihr nur Port 80, also
ohne Verschlüsselung. D.h. Userids und Passwörter werden ohne Verschlüsselung übertragen! Geht gar nicht.
Sollte unauthentifizierter Zugriff möglich sein ist fraglich ob das die Domino Lizenz hergibt.

- Wunsch, gelegentlich für kleine, private "Projekte" eine Diskussions-DB zur Verfügung zu stellen.
-> Sprciht nichts dagegen

- einzige seitens des Routers weiter geleiteten Ports (Portnummer beim Server) sind:
- - - Notes-Port (13xx für Replikation)
-> Geht gar nichtr, wenn Zugriff von Aussen dann ausschliewsslich über VPN

- - - 80 [aus Web=88]
-> Wie oben schon beschrieben, keinerlei Verschlüsselung

- - - 21 auf Filezilla
-> keine Ahnung wie sicher der ist. Wenn simples FTP genutzt wird auch hier das Problem der unverschlüsselt übertragenen Passwörter.

- - - und drei spezielle Ports, die auf "geschlossene" Applikationen zugreifen, ähnlich wie Notes.
-> Potentielles Einfallstor

- KEINE Nutzung des Geräts als Client (weder für Browser Sessions noch für sonstige Arbeiten)
-> Das ist schon mal gut

- KEINE Programme, die ihrerseits z.B. auf Webseitzen oder Webservices zugreifen
-> Auch gut

- KEINE Automatismen wie Update etc.
-> Auch gut, sollte aber regelmässig auf notwenfige Patches überprüft werden.

- SÄMTLICHE (bekannten) Windows-Services (z.B. Remote Desktop etc.) sind ausgeschaltet
-> Ist ein Ansatz, hilft aber nur bedingt.  Da bei einer Defaultinstallation der Domino unter
dem lokalen Systemkonto läuft kann bei (Remote-) Zugriff auf die Dominokonsole jeder Dienst gestrtet und gestoppt werden. Dasselbe
können auch Agenten die unrestricted laufen.

Ralf_B:
Das ist ein absolutes NoGo und usere Security Abteilung würde die Stecker ziehen (Die sind da - zum Glück -Schnell).

ABER:
Aus der Praxis kenne ich sehr wohl Situationen in denen "solche" Umgebungen betrieben werden müssen.

Dann gelten hier aber andere Regeln:
Die Gerätschaften in eine eigene DMZ stellen und nur gefilterte Zugriffe aus den betroffenen Subnetzen oder für bestimmte IP adressen.
Plus Web Application Firewall.
Die genannten Umstellungen von Pyewacket prüfen, in wie weit hier noch etwas mehr Sicherheit implementiert werden kann.

Wenn hier allerdings vom Internet zugeriffen werden soll, ist auch diese Konstellation nicht denkbar und es muss eine Lösung für das Splitten der Systeme gefunden werden.

Das ist meine Erfahrung.
 

Sven Hasselbach:

--- Zitat von: Pyewacket am 14.12.19 - 09:58:25 ---- einzige seitens des Routers weiter geleiteten Ports (Portnummer beim Server) sind:
- - - Notes-Port (13xx für Replikation)
-> Geht gar nichtr, wenn Zugriff von Aussen dann ausschliewsslich über VPN

--- Ende Zitat ---
Warum eigentlich? Gibt es da irgendwo Literatur zu, warum man das nicht machen sollte?
Ich habe mich im Laufe der Jahre mit eingen Admins darüber unterhalten, aber nie eine Begründung erhalten...

EDIT
Von der veralteten Verschlüsselung von R7 mal abgesehen.

Sven Hasselbach:
Meine persönliche "Sicherheitseinschätzung" wäre folgende:

Alleine schon der Betrieb eines R7 Servers, der auch noch via Internet erreichbar ist, verstößt gegen Artikel 32 DSGVO.

Schaut man in CVE Liste, mit mehreren CVSS > 9, sollte klar sein, dass die mangelnden Updates für das darunter liegende OS keinerlei Rolle mehr spielen. Grob Fahrlässig kann man das nicht mehr nennen, das läuft eher unter Vorsatz.

Navigation

[0] Themen-Index

[#] Nächste Seite