Autor Thema: iNotes Web Access: Sicherheit bzw. absichern  (Gelesen 4833 mal)

Offline Moaddin

  • Junior Mitglied
  • **
  • Beiträge: 92
  • Geschlecht: Männlich
    • Die Pixelmauer
iNotes Web Access: Sicherheit bzw. absichern
« am: 03.04.07 - 17:36:26 »
Hallo Notes Gemeinde,
hiermit möchte ich gerne einen Thread eröffnen zum Thema Sicherheit in Lotus Web Access, da das Thema für mich und sicherlich auch andere sehr wichtig ist.

Dazu würde ich gerne verschiedene Punkte zum Absichern eines iNotes Servers zusammentragen und ausführlicher beschreiben, damit das jeder nachmachen kann.
Die Punkte von BANXX in diesem Thread: http://www.dominoforum.de/modules/newbb/viewtopic.php?topic_id=6921&forum=11&post_id=35014#forumpost35014
hören sich z.B. sehr gut an, jedoch weiß ich bei einigen nicht wie diese zu bewerkstelligen sind.

Fangen wir also an:
1.: iNotes nur per SSL nutzen
Erstmal den Port aktivieren:
    Serverdokument --> Ports --> Internet Ports --> Web:
    TCP/IP Port 80 = disabled  (evtl. auch: redirect to SSL)
    SSL Port = enabled
Dann  SSL einrichten: siehe http://atnotes.de/index.php?topic=35547.0

2.: Zugriffslisten(ACLs) kontrollieren
Bei allen Datenbanken sollte in den ACLs der Zugriff für "Anonymous" auf "No Access" gesetzt werden.
Bei dem Zugriff für "-Default-" bin ich mir nicht sicher, ob und bei welchen Datenbanken ich überall "No Access" eintragen darf, ohne dass Serverfunktionen betroffen sind, da in manchen Datenbanken jeder authentifizierte Benutzer Dokumente erstellen können muss o.ä., soweit ich weiss.

3.: Zugriff auf nicht benötigte DBs sperren
Hier kommt meine erste Frage an die Gemeinde: Ist es möglich den Zugriff mittels HTTP z.B. nur auf die Mailpostfächer zuzulassen? Kann man einzelnen Datenbanken den Zugriff mittels HTTP erlauben/sperren? Da wäre besonders die webadmin.nsf hervorzuheben...

4. Benutzer nach Falschanmeldungen sperren
Wünschenswert wäre außerdem, dass ein Benutzer nach z.B. dreimaliger Falscheingabe seines Passwortes für 15 Minuten o.ä. gesperrt wird um Bruteforce Attacken vorzubeugen. Kennt jemand diesbezüglich einen Lösungsansatz?


Ich denke das sollte ersteinmal reichen. Ich würde mich sehr über Antworten und weitere Punkte freuen...

Gruß, Martin

Offline mcilly

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.361
  • Geschlecht: Männlich
  • nicht die Bohne...
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #1 am: 03.04.07 - 17:57:45 »
3.: Zugriff auf nicht benötigte DBs sperren
Hier kommt meine erste Frage an die Gemeinde: Ist es möglich den Zugriff mittels HTTP z.B. nur auf die Mailpostfächer zuzulassen? Kann man einzelnen Datenbanken den Zugriff mittels HTTP erlauben/sperren? Da wäre besonders die webadmin.nsf hervorzuheben...

Klar kannst du das realisieren. Wenn du in einer DB unter der ACL auf Erweitert gehst - dort hast du den Max. Internet-Namens und Kennwortzugriff. Wenn du den auf "Kein Zugriff" setzt, dann kann man die DB übers Web sicher nicht öffnen. Auch nicht, wenn du in der ACL als Manager drinnen stehst.

Zitat
4. Benutzer nach Falschanmeldungen sperren
Wünschenswert wäre außerdem, dass ein Benutzer nach z.B. dreimaliger Falscheingabe seines Passwortes für 15 Minuten o.ä. gesperrt wird um Bruteforce Attacken vorzubeugen. Kennt jemand diesbezüglich einen Lösungsansatz?

Nein, das geht erst wieder ab Domino 8 mit Boardmitteln. Bis dahin gäbe es z.B.
http://www.timetoact.de/ttacms.nsf/id/SecDomEN
http://www.pistolstar.com/
Sind aber teilweise sehr teuer.

Ein weiterer Tip ists mal den catalog.nsf dicht zu machen, weil dort steht dann drinnen, welche DBen welche ACLs haben.

Noch ein Tip. Wenn du in den Eigenschaften einer DB den Haken für "SSL Verbindung anfordern" aktivierst, dann kann die DB nur per https geöffnet werden.
LG Roman

http://www.appreport.net - Täglich Berichte über Apps aus den App Stores

Offline Moaddin

  • Junior Mitglied
  • **
  • Beiträge: 92
  • Geschlecht: Männlich
    • Die Pixelmauer
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #2 am: 04.04.07 - 08:39:35 »
Super geniale Tipps Roman. Vielen Dank.
Die habe ich sofort in die Tat umgesetzt:
- Habe bei allen Datenbanken das Häkchen bei "SSL anfordern" gesetzt.
- Habe bei der names.nsf und der "Domino Web Access Redirect" DB den maximalen Internetzugriff auf "Leser" gestzt.
- Alle restlichen DBs, außer der Mail Postfächer habe ich beim maximalen Internetzugriff auf "kein Zugriff" gesetzt.

Ergebnis: Alles funktioniert wie bisher und ich fühle mich effektiv sicherer  ;D

Bezüglich "Benutzer nach Falschanmeldungen sperren": Geld kann ich dafür leider keines investieren, aber dafür werde ich dann wohl irgendwann von Lotus Domino v6.5.3 auf v8 umstellen, wenn die neue Version sich ein wenig bewährt hat...
Gruß, Martin

Offline mcilly

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.361
  • Geschlecht: Männlich
  • nicht die Bohne...
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #3 am: 04.04.07 - 09:00:10 »
Gern geschehen, kein Problem. Konkrete Fragen, konkrete Antworten!

Was du noch überprüfen kannst, sind die restlichen Ports wie LDAP, POP3, IMAP usw. Die sind standardmäßig aktiviert. Solange du keinen Notes Task am Server startest ists auch kein Problem, aber wenn du den mal unabsichtlich hochfährst ist er sofort aktiv.

Deaktiviere deshalb im Konfig.dok unter Ports -> Internet Ports alle die nicht notwendig sind.
LG Roman

http://www.appreport.net - Täglich Berichte über Apps aus den App Stores

Offline Moaddin

  • Junior Mitglied
  • **
  • Beiträge: 92
  • Geschlecht: Männlich
    • Die Pixelmauer
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #4 am: 04.04.07 - 10:38:47 »
Die nicht benötigten Ports sind bereits deaktiviert. LDAP und IMAP werden bei uns nicht benötigt.

Ein weiterer Punkt wäre noch:
5. Öffentlichen Port ungleich Standardport 443(https)
Hier ist die Frage, ob die Änderung des nach Außen geöffneten Ports auf einen Port größer 1024 effektive Sicherheitsvorteile bringt, denn die Frage ist, wenn ein Hacker den offenen Port findet, ob er dann schnell und einfach herausfinden kann, dass es sich um einen HTTPS Dienst im Hintergrund handelt. Ein normaler Portscanner zeigt ja einfach nur die offenen Ports an.
Gruß, Martin

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #5 am: 04.04.07 - 10:50:12 »

5. Öffentlichen Port ungleich Standardport 443(https)
Hier ist die Frage, ob die Änderung des nach Außen geöffneten Ports auf einen Port größer 1024 effektive Sicherheitsvorteile bringt, denn die Frage ist, wenn ein Hacker den offenen Port findet, ob er dann schnell und einfach herausfinden kann, dass es sich um einen HTTPS Dienst im Hintergrund handelt. Ein normaler Portscanner zeigt ja einfach nur die offenen Ports an.
Sicherheit, die ausschließlich auf der Geheimhaltung von Informationen beruht, hat sich oft als ungenügend herausgestellt.
http://de.wikipedia.org/wiki/Security_through_obscurity
Security by obscurity: it doesn't work, and it's a royal pain to recover when it fails.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline mcilly

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.361
  • Geschlecht: Männlich
  • nicht die Bohne...
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #6 am: 04.04.07 - 11:02:42 »
Hmmm, den Standardport 443 zu ändern halte ich für keine gute Idee.
Verwenden die Browser nicht standardmäßig den 443er Port für https Anfragen? Wenn du den Port am Server dann änderst, müsste man dem User ja dann sagen, dass er den speziellen Port mitschicken soll. Und ob das dann auch von der externen Stelle (inetcafe z.b.) erlaubt ist, stell ich in Frage.

Du könntest aber in der notes.ini deines Webservers noch die SMTPgreetings eintragen. Dann sieht ein Angreifer beim direkten Connect auf Port 25 nicht sofort, dass es ein Domino Server ist. Dort schreib am besten exim oder MS Exchange rein, lol  ;D

Übrigens, diesen Teil aus dem Wiki Beitrag find ich geil.
Zitat
Eine gelungene Umsetzung wäre dagegen das Anbringen eines weiteren, unbenutzten Schlosses an der Tür.
« Letzte Änderung: 04.04.07 - 11:13:10 von mcilly »
LG Roman

http://www.appreport.net - Täglich Berichte über Apps aus den App Stores

Offline Moaddin

  • Junior Mitglied
  • **
  • Beiträge: 92
  • Geschlecht: Männlich
    • Die Pixelmauer
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #7 am: 04.04.07 - 11:15:33 »
Gute Links m3,
besonders gut zu wissen ist folgender Satz:
Einen Dienst, z. B. SSH-Server nicht auf dem Standardport 22, sondern auf einem anderen Port laufen lassen. Gegen einen guten Portscanner ist dies aber KEIN Schutz; dieser findet den anderen Port leicht.

Ich hätte mich jetzt normalerweise dazu durchgerungen den Standardport aus Prinzip trotzdem zu ändern, aber die Anmerkung von Roman gibt mir dann doch zu denken bezüglich Standorte, an denen evtl. keine Ports außer die für´s Internet freigeschaltet sind, also HTTP(80) und HTTPS(443), so wie bei uns :o

Die SMTPgreetings brauche ich nicht eintragen, da unsere Firewall einen SMTP Proxy hat und daher keine Auskünfte über das dahinter liegende Mailsystem ausspuckt. Wenn dem nicht so wäre, dann fände ich das allerdings eine sehr gute Sache.
Gruß, Martin

Offline mcilly

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.361
  • Geschlecht: Männlich
  • nicht die Bohne...
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #8 am: 04.04.07 - 11:20:57 »
Na dann ist ja alles bestens. Nur das mit dem 22er SSH Port kann ich nicht bestätigen. Ein Portscanner würde den schon leicht finden, aber nicht jeder Hacker scannt alle 65000 Ports, sondern hört nach 1024 auf, weil

1.) es sonst zu lange dauert
2.) der Provider seine Verbindung kappt, weil er davon Wind bekommt

Also denke ich, würde z.B. der SSH Port auf 5800 schon Sinn machen. Was wiederum auch den Nachteil hätte, dass man nicht von überall dann auf seine Kiste kommt, wenn das LAN das nicht erlaubt. Ich persönlich hab den 22er gelassen, dafür aber die hosts.allow und hosts.deny konfiguriert. Aber das ist eine andere (Linux) Geschichte.
LG Roman

http://www.appreport.net - Täglich Berichte über Apps aus den App Stores

Offline Moaddin

  • Junior Mitglied
  • **
  • Beiträge: 92
  • Geschlecht: Männlich
    • Die Pixelmauer
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #9 am: 04.04.07 - 12:02:08 »
Du hast natürlich völlig Recht Roman, allerdings könnten wir ja mal von dem Szenario ausgehen, dass jemand gezielt in unsere Firma eindringen möchte und sich daher die Zeit nimmt alle 65536 Ports abzuscannen. Dass der Provider die Verbindung irgendwann kappt, kann ich mir nicht vorstellen, da das glaube ich zu aufwendig wäre, dann müsste ja auf allen Routern des Providers eine Intrusion Detection laufen...
Gruß, Martin

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #10 am: 04.04.07 - 12:04:07 »
Also denke ich, würde z.B. der SSH Port auf 5800 schon Sinn machen. Was wiederum auch den Nachteil hätte, dass man nicht von überall dann auf seine Kiste kommt, wenn das LAN das nicht erlaubt.
Jup. Z.B. auf allen IT-Konferenzen in den USA. Daher bin ich auf Port22 geblieben und hab noch gegen die BruteForce Attacken geschützt.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline mcilly

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.361
  • Geschlecht: Männlich
  • nicht die Bohne...
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #11 am: 04.04.07 - 12:19:50 »
@Martin (Moaddin): also mein Provider muss da was laufen haben. Wenn ich mit einem Scanner rummache, dann ist dir nix mir nix die Internet Verbindung gleich mal für 60 Minuten weg. Alles schon erlebt.

@Martin: Auch ne Möglichkeit. Da es aber bei mir statisch ist, reicht die hosts.deny. Für dynamische Kontrolle wäre unter Debian z.B. Portsentry zu konfigurieren, dann wirst die Spinner auch schnell los.
LG Roman

http://www.appreport.net - Täglich Berichte über Apps aus den App Stores

Offline Moaddin

  • Junior Mitglied
  • **
  • Beiträge: 92
  • Geschlecht: Männlich
    • Die Pixelmauer
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #12 am: 04.04.07 - 13:14:58 »
@Martin (Moaddin): also mein Provider muss da was laufen haben. Wenn ich mit einem Scanner rummache, dann ist dir nix mir nix die Internet Verbindung gleich mal für 60 Minuten weg. Alles schon erlebt.
Cool mal gehört zu haben ... Ich habe mal einen Portscan auf die Internetadresse eines Freundes gemacht und da ist nix passiert, daher meine Vermutung.
Gruß, Martin

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #13 am: 04.04.07 - 13:26:04 »
@Martin (Moaddin): also mein Provider muss da was laufen haben. Wenn ich mit einem Scanner rummache, dann ist dir nix mir nix die Internet Verbindung gleich mal für 60 Minuten weg. Alles schon erlebt.
Also ich würde in diesem Fall den Provider wechseln. Mein Traffic geht ihn - solange ich nicht seine Rechner scanne - nix an.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline mcilly

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.361
  • Geschlecht: Männlich
  • nicht die Bohne...
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #14 am: 04.04.07 - 14:15:14 »
Ja ein Wechsel wäre denkbar, wenn der Service nicht so toll wäre und den Anschluss nicht die Firma zahlen würde. Somit kann ich damit eigentlich gut leben, denn ein Portscan ist für mich nicht das Wichtigste. Wenns sein muss, mach ich den von einem anderen Rechner im Inet  8)
LG Roman

http://www.appreport.net - Täglich Berichte über Apps aus den App Stores

Offline allgeyer

  • Frischling
  • *
  • Beiträge: 44
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #15 am: 04.04.07 - 16:05:11 »
Zitat
aber nicht jeder Hacker scannt alle 65000 Ports, sondern hört nach 1024 auf, weil

1.) es sonst zu lange dauert
Das interessiert einen guten Hacker nicht. Er will sogar, dass es unheimlich lange dauert, um so das IDS zu umgehen.

Zitat
2.) der Provider seine Verbindung kappt, weil er davon Wind bekommt
Welcher Provider sollte das tun? Wie soll er das feststellen?

LG, PIT

Offline Moaddin

  • Junior Mitglied
  • **
  • Beiträge: 92
  • Geschlecht: Männlich
    • Die Pixelmauer
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #16 am: 04.04.07 - 16:15:20 »
Das interessiert einen guten Hacker nicht. Er will sogar, dass es unheimlich lange dauert, um so das IDS zu umgehen.

Roman meinte sicherlich, dass wenn ein Hacker ganze IP Adressbereiche abscannt, dann scannt er nur ein paar Ports der ersten 1024 durch, da er so viel mehr IP Adressen scannen kann. Wenn er nur eine IP abscannen möchte, dann wird ihm die Zeit sicherlich egal sein und er kann extra Wartezeiten einlegen, damit er nicht vom IDS entdeckt wird.
« Letzte Änderung: 04.04.07 - 16:18:33 von Moaddin »
Gruß, Martin

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #17 am: 04.04.07 - 16:16:54 »
Ein "Hacker" wartet. Es sind die ScriptKiddies, die keine Geduld haben.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline mcilly

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.361
  • Geschlecht: Männlich
  • nicht die Bohne...
Re: iNotes Web Access: Sicherheit bzw. absichern
« Antwort #18 am: 04.04.07 - 16:20:14 »
Roman meinte sicherlich, dass wenn ein Hacker ganze IP Adressbereiche abscannt, dann scannt er nur ein paar Ports der ersten 1024 durch, da er so viel mehr IP Adressen scannen kann. Wenn er nur eine IP abscannen möchte, dann wird ihm die Zeit sicherlich egal sein und er kann extra Wartezeiten einlegen, damit er nicht vom IDS entdeckt wird.

Yop, so meinte ich das. Und mir ists so passiert, dass mein Provider mich kickte. Wie er das macht lass ich mal seine Sorge sein, wollte da eigentlich nicht anrufen und nachfragen.
LG Roman

http://www.appreport.net - Täglich Berichte über Apps aus den App Stores

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz