Autor Thema: Cert.ID (Gelesen 22679 mal)

Micha-BRLN · « **am:** 20.02.04 - 11:57:57 »

Hi @ all,

Ich habe ein ganz einfaches Problem: Der IT-Guy einer Niederlassung unseres Unternehmens hat von sich aus das Mailsystem von Exchange nach Notes umgestellt. Gleich danach hat er einen Herzinfarkt erlitten und steht nicht mehr zur Verfügung, an das Passwort für die cert.id kann er sich auch nicht mehr erinnern.

Als dann nach einer Zeit die DV-Systeme aus dem Ruder gelaufen sind, hat der Niederlassungsleiter angefangen um Hilfe zu rufen, es sind dann auch welche aus der Zentrale hin. Da haben die dann erstmal das Ausmass des Problems erkannt. Unter anderem wurde bis dato auch immer die cert.id zum registrieren neuer User benutzt, andere Zertifizierungs-ID´s gibt es nicht...

Besteht die Möglichkeit, das PW für die cert.id rauszukriegen? Wird das irgendwo im Notes gesichert? Oder könnte man eine entsprechende id re-kreieren? Admin-Zugang haben wir noch, vielleicht hilft das ja...

Vielen Dank schon mal,

Micha

Semeaphoros · « **Antwort #1 am:** 20.02.04 - 12:06:54 »

No chance.
Da gehört so rasch wie möglich ein Spezialist auf Platz, der möglichst rasch entweder eine Rezertifizierung mit neuer Cert-ID versucht oder aber die IDs allesamt neu ausstellt und verteilt. Solange keine Verschlüsselungen verwendet wurden, ist das ziemlich problemlos möglich, wenn Verschlüsselungen im Spiel sind, muss man die rückgängig machen und dann nach Wechsel der ID wieder neu verschlüsseln.

BTW, wie werden denn immer noch neue User angelegt, wenn das PW nicht bekannt ist? Das geht doch eigentlich gar nicht. Den CA-Prozess, der das kann, gibt es erst in D6.

Glombi · « **Antwort #2 am:** 20.02.04 - 12:09:23 »

Man könnte mittels Hypnose versuchen, das Passwort aus dem netten Guy rauszukriegen - das geht warscheinlich schneller, als es zu knacken.

Wenn alle User direkt mit der Cert-ID zugelassen wurden, so muss doch das Passwort immer wieder eingegeben werden. Daher glaube ich nicht, dass er es nicht mehr weiß.
Da aber derjenige nicht als sehr vertrauenswürdig eingestuft werden kann, solltet Ihr das ganze Unternehmen komplett neu zertifizieren. Das ist zwar u.U. eine Menge Arbeit, aber sischär is sischär wie de Maddin immer sagt.

Da ihr jetzt wißt, was alles passieren kann, empfehle ich folgendes:
- 4-Augen-Prinzip für die Cert-ID
- Passwort wird im Safe hinterlegt (bei der Revision oder dem Datenschutzbeauftragten)
- grundsätzlich OU-Certifier verwenden
- OU-Certifier für Server und Personen trennen
- ggf. auch 4-Augen-Prinzip für die OU-IDs (mindestens für die Server)

Andreas

Micha-BRLN · « **Antwort #3 am:** 20.02.04 - 12:17:58 »

Semeaphoros:
Missverständnis - Es konnten ja auch keine neuen User mehr angelegt werden...
Meinst Du das Aufsetzen einer neuen Domäne mit gleichem Namen? Ich weiss nicht wie ich ohne die einzige cert.id eine neue cert.id erstellen kann.

Glombi:
Schon klar - bis auf das 4-Augen-Prinzip wird der Rest auch eingehalten.

Wenn der gute Mann nicht schon genug gestraft wäre könnte ich ....

Gruss Micha

Glombi · « **Antwort #4 am:** 20.02.04 - 12:20:00 »

Zitat von: michanp am 20.02.04 - 12:17:58

Glombi:
Schon klar - bis auf das 4-Augen-Prinzip wird der Rest auch eingehalten.

dann: Hole das Passwort aus dem Safe

Micha-BRLN · « **Antwort #5 am:** 20.02.04 - 12:21:05 »

Ich mein natürlich auch die IT der Zentrale verfährt entsprechend... Leider hat der Kollege vor Ort sich nicht an die Absprach eghalten, Im Zuge einer zentralen Umstellung mitzumachen, sondern war ein Einzelkämpfer, der sich nicht an die Richtlinien gehalten hat.

Gruß Micha

Glombi · « **Antwort #6 am:** 20.02.04 - 12:24:05 »

Wann wurde die Migration von Exchange nach Notes gemacht?
Wieviele User und Server gibt es?
Verwenden die User Verschlüsselung bei Mails?
Werden Codierungsschlüssel verwendet?

Sag mal an, dann kann man entscheiden, was der richtige Weg wäre.

Das Passwort kann man mittels Brute Force evtl. knacken, das kann aber Jahre dauern.

Andreas

Micha-BRLN · « **Antwort #7 am:** 20.02.04 - 12:29:02 »

Wann die Migration war kann ich nicht genau sagen, mein Kollege ist noch vor Ort. Es kann aber nicht sehr lange her sein - ich denke max. zwei Monate.

Es gibt einen Mailserver mit knapp 80 Usern. Notes-Verschlüsselung wird - soweit ich weiss - nicht verwendet, wir verwenden per Vorgabe PGP.

Die User wussten nicht mal wirklich, daß sie Notes verwenden, der lokale Admin hatte den Zugriff über Outlook eingerichtet...

Herzlichen Dank für die Hilfe.

Gruss Micha

Semeaphoros · « **Antwort #8 am:** 20.02.04 - 12:51:32 »

Na, dann ist ja wohl nicht wirklich eine Situation entstanden, die Probleme verursachen könnte. Trotzdem sollte man da mit einer sorgfältigen Planung in Anlehnung an die Vorschläge von Andreas eine geordnete Infrastruktur herstellen. Alles andere schreit später nach echten Problemen. Eigentlich ein Glück für Euch, dass dies so passiert ist.

Micha-BRLN · « **Antwort #9 am:** 20.02.04 - 13:40:59 »

Hat vielleicht jemand eine Idee, wo ich den Hash-Wert für das PW im ID-File finde?

Gruß Micha

koehlerbv · « **Antwort #10 am:** 20.02.04 - 13:48:34 »

Micha, vergiss diesen Weg - es lohnt den Aufwand nicht. Die Jungs und Mädels von Iris haben auf diesem Gebiet wirklich ganze Arbeit geleistet ...

Bernhard

PS: Eventuell (!) könnte man einem kommerziellen Brute Force-Programm - genügend Rechenleistung bei Euch vorausgesetzt - eine Chance geben. Wie gesagt - eventuell, ich habe da auch noch nichts von brauchbaren Sachen gehört - sowas wäre ja fix rum in der Szene ;-)

Semeaphoros · « **Antwort #11 am:** 20.02.04 - 13:51:37 »

Was willst Du mit dem Haschisch-Wert? Der nützt Dir einen alten Hut. Das ist eine one-way Verschlüsselung, damit ist aus dem Resultat heraus kein Rückschluss auf den Ausgangswert möglich.

Micha-BRLN · « **Antwort #12 am:** 20.02.04 - 14:14:27 »

Ich sehe schon, ich werde wohl um eine neue Domäne nicht herumkommen...

Was ich noch nicht verstanden habe - wie war der Vorschlag von Semeaphoros gemeint:
"...Da gehört so rasch wie möglich ein Spezialist auf Platz, der möglichst rasch entweder eine Rezertifizierung mit neuer Cert-ID versucht oder aber die IDs allesamt neu ausstellt und verteilt...."?

Gruß Micha

Glombi · « **Antwort #13 am:** 20.02.04 - 14:22:49 »

Warum verwendet Ihr nich die Cert-ID Eures Unternehmens und erstellt damit eine OU-ID für die Niederlassung?
Damit kannst Du dann den Server und die User zulassen.
Das ist der übliche Weg - außer es sprechen rechtliche Gründe dagegen.

Ich würde dann noch empfehlen, für den Server und die User jeweils eine weitere OU-ID anzulegen.

Andreas

koehlerbv · « **Antwort #14 am:** 20.02.04 - 14:28:50 »

Andreas, ich werde das dumpfe Gefühl nicht los, dass es nur eine einzige Certifier ID gibt - nix mit OUs ...

Bernhard

Micha-BRLN · « **Antwort #15 am:** 20.02.04 - 14:32:17 »

Korrekt für dieses Problem - das ist eine selbständige Notes-Domäne, nicht in den Rest des Unternehmens eingebunden und hat nur eine einzige cert.id.

Gruss Micha

Semeaphoros · « **Antwort #16 am:** 20.02.04 - 14:33:40 »

Micha

Das sind Sachen, die in die Hand eines Spezialisten gehören.

Warum?
Da hängt die ganze Sicherheit dran
Da hängt dran, ob die Infrastruktur problemlos erweiterbar und pflegbar ist.

Das braucht ein sauberes Konzept, das mal für die nächsten Jahre ausreicht und auch nicht zu wackeln beginnt, wenn eine Person im Krankenhaus liegt. Definitiv nichts für eine Bastelei.

Uebrigens, eine neue Domäne braucht das nicht, das hat damit nix zu tun.

Glombi · « **Antwort #17 am:** 20.02.04 - 14:34:31 »

Hi Bernhard,
ich lese zwischen den Zeilen folgendes: Es gibt eine Zentrale, in der alles ordnungsgemäß zugeht. Dort gibt es eine Cert-ID und auch OU-Certifier. Die Passworte sind allesamt bekannt.
Eines Tages hatte sich der "IT-Guy" einer Niederlassung gedacht: So, ich baue mir mal eben eine Notes-Umgebung auf, denn Exchange ist sch... (guter Ansatz

). Standards interessieren mich nicht, ich weiß eh alles besser. Also hat er eine Cert-ID erstellt, den Server und die User registriert, POP eingerichtet und schon lief alles glatt.
Leider hat er jetzt das Passwort vergessen...

@Micha: Falls ich falsch liege, sag bitte Bescheid.

Andreas

koehlerbv · « **Antwort #18 am:** 20.02.04 - 14:40:46 »

51 Sekunden vorher sagte Micha schon: "Bescheid !"

Bernhard

Glombi · « **Antwort #19 am:** 20.02.04 - 14:44:35 »

Wie denn, wo denn, was denn

Also es ist so, wie ich vermutet habe. Eine eigene Notes-Domäne, nicht in die Unternehmensstruktur eingebunden!
Fraaaage: Tut das Not?

Andreas