iNotes Web Access: Sicherheit bzw. absichern

[Moaddin]

Hallo Notes Gemeinde,
hiermit möchte ich gerne einen Thread eröffnen zum Thema Sicherheit in Lotus Web Access, da das Thema für mich und sicherlich auch andere sehr wichtig ist.

Dazu würde ich gerne verschiedene Punkte zum Absichern eines iNotes Servers zusammentragen und ausführlicher beschreiben, damit das jeder nachmachen kann.
Die Punkte von BANXX in diesem Thread: http://www.dominoforum.de/modules/newbb/viewtopic.php?topic_id=6921&forum=11&post_id=35014#forumpost35014
hören sich z.B. sehr gut an, jedoch weiß ich bei einigen nicht wie diese zu bewerkstelligen sind.

Fangen wir also an:
1.: iNotes nur per SSL nutzen
Erstmal den Port aktivieren:
    Serverdokument --> Ports --> Internet Ports --> Web:
    TCP/IP Port 80 = disabled  (evtl. auch: redirect to SSL)
    SSL Port = enabled
Dann  SSL einrichten: siehe http://atnotes.de/index.php?topic=35547.0

2.: Zugriffslisten(ACLs) kontrollieren
Bei allen Datenbanken sollte in den ACLs der Zugriff für "Anonymous" auf "No Access" gesetzt werden.
Bei dem Zugriff für "-Default-" bin ich mir nicht sicher, ob und bei welchen Datenbanken ich überall "No Access" eintragen darf, ohne dass Serverfunktionen betroffen sind, da in manchen Datenbanken jeder authentifizierte Benutzer Dokumente erstellen können muss o.ä., soweit ich weiss.

3.: Zugriff auf nicht benötigte DBs sperren
Hier kommt meine erste Frage an die Gemeinde: Ist es möglich den Zugriff mittels HTTP z.B. nur auf die Mailpostfächer zuzulassen? Kann man einzelnen Datenbanken den Zugriff mittels HTTP erlauben/sperren? Da wäre besonders die webadmin.nsf hervorzuheben...

4. Benutzer nach Falschanmeldungen sperren
Wünschenswert wäre außerdem, dass ein Benutzer nach z.B. dreimaliger Falscheingabe seines Passwortes für 15 Minuten o.ä. gesperrt wird um Bruteforce Attacken vorzubeugen. Kennt jemand diesbezüglich einen Lösungsansatz?


Ich denke das sollte ersteinmal reichen. Ich würde mich sehr über Antworten und weitere Punkte freuen...

[mcilly]

3.: Zugriff auf nicht benötigte DBs sperren
Hier kommt meine erste Frage an die Gemeinde: Ist es möglich den Zugriff mittels HTTP z.B. nur auf die Mailpostfächer zuzulassen? Kann man einzelnen Datenbanken den Zugriff mittels HTTP erlauben/sperren? Da wäre besonders die webadmin.nsf hervorzuheben...

Klar kannst du das realisieren. Wenn du in einer DB unter der ACL auf Erweitert gehst - dort hast du den Max. Internet-Namens und Kennwortzugriff. Wenn du den auf "Kein Zugriff" setzt, dann kann man die DB übers Web sicher nicht öffnen. Auch nicht, wenn du in der ACL als Manager drinnen stehst.

4. Benutzer nach Falschanmeldungen sperren
Wünschenswert wäre außerdem, dass ein Benutzer nach z.B. dreimaliger Falscheingabe seines Passwortes für 15 Minuten o.ä. gesperrt wird um Bruteforce Attacken vorzubeugen. Kennt jemand diesbezüglich einen Lösungsansatz?

Nein, das geht erst wieder ab Domino 8 mit Boardmitteln. Bis dahin gäbe es z.B.
http://www.timetoact.de/ttacms.nsf/id/SecDomEN
http://www.pistolstar.com/
Sind aber teilweise sehr teuer.

Ein weiterer Tip ists mal den catalog.nsf dicht zu machen, weil dort steht dann drinnen, welche DBen welche ACLs haben.

Noch ein Tip. Wenn du in den Eigenschaften einer DB den Haken für "SSL Verbindung anfordern" aktivierst, dann kann die DB nur per https geöffnet werden.

[Moaddin]

Super geniale Tipps Roman. Vielen Dank.
Die habe ich sofort in die Tat umgesetzt:
- Habe bei allen Datenbanken das Häkchen bei "SSL anfordern" gesetzt.
- Habe bei der names.nsf und der "Domino Web Access Redirect" DB den maximalen Internetzugriff auf "Leser" gestzt.
- Alle restlichen DBs, außer der Mail Postfächer habe ich beim maximalen Internetzugriff auf "kein Zugriff" gesetzt.

Ergebnis: Alles funktioniert wie bisher und ich fühle mich effektiv sicherer 

Bezüglich "Benutzer nach Falschanmeldungen sperren": Geld kann ich dafür leider keines investieren, aber dafür werde ich dann wohl irgendwann von Lotus Domino v6.5.3 auf v8 umstellen, wenn die neue Version sich ein wenig bewährt hat...

[mcilly]

Gern geschehen, kein Problem. Konkrete Fragen, konkrete Antworten!

Was du noch überprüfen kannst, sind die restlichen Ports wie LDAP, POP3, IMAP usw. Die sind standardmäßig aktiviert. Solange du keinen Notes Task am Server startest ists auch kein Problem, aber wenn du den mal unabsichtlich hochfährst ist er sofort aktiv.

Deaktiviere deshalb im Konfig.dok unter Ports -> Internet Ports alle die nicht notwendig sind.

[Moaddin]

Die nicht benötigten Ports sind bereits deaktiviert. LDAP und IMAP werden bei uns nicht benötigt.

Ein weiterer Punkt wäre noch:
5. Öffentlichen Port ungleich Standardport 443(https)
Hier ist die Frage, ob die Änderung des nach Außen geöffneten Ports auf einen Port größer 1024 effektive Sicherheitsvorteile bringt, denn die Frage ist, wenn ein Hacker den offenen Port findet, ob er dann schnell und einfach herausfinden kann, dass es sich um einen HTTPS Dienst im Hintergrund handelt. Ein normaler Portscanner zeigt ja einfach nur die offenen Ports an.

[m3]

5. Öffentlichen Port ungleich Standardport 443(https)
Hier ist die Frage, ob die Änderung des nach Außen geöffneten Ports auf einen Port größer 1024 effektive Sicherheitsvorteile bringt, denn die Frage ist, wenn ein Hacker den offenen Port findet, ob er dann schnell und einfach herausfinden kann, dass es sich um einen HTTPS Dienst im Hintergrund handelt. Ein normaler Portscanner zeigt ja einfach nur die offenen Ports an.

Sicherheit, die ausschließlich auf der Geheimhaltung von Informationen beruht, hat sich oft als ungenügend herausgestellt.
http://de.wikipedia.org/wiki/Security_through_obscurity
Security by obscurity: it doesn't work, and it's a royal pain to recover when it fails.

[mcilly]

Hmmm, den Standardport 443 zu ändern halte ich für keine gute Idee.
Verwenden die Browser nicht standardmäßig den 443er Port für https Anfragen? Wenn du den Port am Server dann änderst, müsste man dem User ja dann sagen, dass er den speziellen Port mitschicken soll. Und ob das dann auch von der externen Stelle (inetcafe z.b.) erlaubt ist, stell ich in Frage.

Du könntest aber in der notes.ini deines Webservers noch die SMTPgreetings eintragen. Dann sieht ein Angreifer beim direkten Connect auf Port 25 nicht sofort, dass es ein Domino Server ist. Dort schreib am besten exim oder MS Exchange rein, lol 

Übrigens, diesen Teil aus dem Wiki Beitrag find ich geil.

Eine gelungene Umsetzung wäre dagegen das Anbringen eines weiteren, unbenutzten Schlosses an der Tür.

[Moaddin]

Gute Links m3,
besonders gut zu wissen ist folgender Satz:
Einen Dienst, z. B. SSH-Server nicht auf dem Standardport 22, sondern auf einem anderen Port laufen lassen. Gegen einen guten Portscanner ist dies aber KEIN Schutz; dieser findet den anderen Port leicht.

Ich hätte mich jetzt normalerweise dazu durchgerungen den Standardport aus Prinzip trotzdem zu ändern, aber die Anmerkung von Roman gibt mir dann doch zu denken bezüglich Standorte, an denen evtl. keine Ports außer die für´s Internet freigeschaltet sind, also HTTP(80) und HTTPS(443), so wie bei uns

Die SMTPgreetings brauche ich nicht eintragen, da unsere Firewall einen SMTP Proxy hat und daher keine Auskünfte über das dahinter liegende Mailsystem ausspuckt. Wenn dem nicht so wäre, dann fände ich das allerdings eine sehr gute Sache.

[mcilly]

Na dann ist ja alles bestens. Nur das mit dem 22er SSH Port kann ich nicht bestätigen. Ein Portscanner würde den schon leicht finden, aber nicht jeder Hacker scannt alle 65000 Ports, sondern hört nach 1024 auf, weil

1.) es sonst zu lange dauert
2.) der Provider seine Verbindung kappt, weil er davon Wind bekommt

Also denke ich, würde z.B. der SSH Port auf 5800 schon Sinn machen. Was wiederum auch den Nachteil hätte, dass man nicht von überall dann auf seine Kiste kommt, wenn das LAN das nicht erlaubt. Ich persönlich hab den 22er gelassen, dafür aber die hosts.allow und hosts.deny konfiguriert. Aber das ist eine andere (Linux) Geschichte.

[Moaddin]

Du hast natürlich völlig Recht Roman, allerdings könnten wir ja mal von dem Szenario ausgehen, dass jemand gezielt in unsere Firma eindringen möchte und sich daher die Zeit nimmt alle 65536 Ports abzuscannen. Dass der Provider die Verbindung irgendwann kappt, kann ich mir nicht vorstellen, da das glaube ich zu aufwendig wäre, dann müsste ja auf allen Routern des Providers eine Intrusion Detection laufen...

[m3]

Also denke ich, würde z.B. der SSH Port auf 5800 schon Sinn machen. Was wiederum auch den Nachteil hätte, dass man nicht von überall dann auf seine Kiste kommt, wenn das LAN das nicht erlaubt.

Jup. Z.B. auf allen IT-Konferenzen in den USA. Daher bin ich auf Port22 geblieben und hab noch gegen die BruteForce Attacken geschützt.

[mcilly]

@Martin (Moaddin): also mein Provider muss da was laufen haben. Wenn ich mit einem Scanner rummache, dann ist dir nix mir nix die Internet Verbindung gleich mal für 60 Minuten weg. Alles schon erlebt.

@Martin: Auch ne Möglichkeit. Da es aber bei mir statisch ist, reicht die hosts.deny. Für dynamische Kontrolle wäre unter Debian z.B. Portsentry zu konfigurieren, dann wirst die Spinner auch schnell los.

[Moaddin]

@Martin (Moaddin): also mein Provider muss da was laufen haben. Wenn ich mit einem Scanner rummache, dann ist dir nix mir nix die Internet Verbindung gleich mal für 60 Minuten weg. Alles schon erlebt.

Cool mal gehört zu haben ... Ich habe mal einen Portscan auf die Internetadresse eines Freundes gemacht und da ist nix passiert, daher meine Vermutung.

[m3]

@Martin (Moaddin): also mein Provider muss da was laufen haben. Wenn ich mit einem Scanner rummache, dann ist dir nix mir nix die Internet Verbindung gleich mal für 60 Minuten weg. Alles schon erlebt.

Also ich würde in diesem Fall den Provider wechseln. Mein Traffic geht ihn - solange ich nicht seine Rechner scanne - nix an.

[mcilly]

Ja ein Wechsel wäre denkbar, wenn der Service nicht so toll wäre und den Anschluss nicht die Firma zahlen würde. Somit kann ich damit eigentlich gut leben, denn ein Portscan ist für mich nicht das Wichtigste. Wenns sein muss, mach ich den von einem anderen Rechner im Inet 

[allgeyer]

aber nicht jeder Hacker scannt alle 65000 Ports, sondern hört nach 1024 auf, weil

1.) es sonst zu lange dauert

Das interessiert einen guten Hacker nicht. Er will sogar, dass es unheimlich lange dauert, um so das IDS zu umgehen.

2.) der Provider seine Verbindung kappt, weil er davon Wind bekommt

Welcher Provider sollte das tun? Wie soll er das feststellen?

LG, PIT

[Moaddin]

Das interessiert einen guten Hacker nicht. Er will sogar, dass es unheimlich lange dauert, um so das IDS zu umgehen.

Roman meinte sicherlich, dass wenn ein Hacker ganze IP Adressbereiche abscannt, dann scannt er nur ein paar Ports der ersten 1024 durch, da er so viel mehr IP Adressen scannen kann. Wenn er nur eine IP abscannen möchte, dann wird ihm die Zeit sicherlich egal sein und er kann extra Wartezeiten einlegen, damit er nicht vom IDS entdeckt wird.

[m3]

Ein "Hacker" wartet. Es sind die ScriptKiddies, die keine Geduld haben.

[mcilly]

Roman meinte sicherlich, dass wenn ein Hacker ganze IP Adressbereiche abscannt, dann scannt er nur ein paar Ports der ersten 1024 durch, da er so viel mehr IP Adressen scannen kann. Wenn er nur eine IP abscannen möchte, dann wird ihm die Zeit sicherlich egal sein und er kann extra Wartezeiten einlegen, damit er nicht vom IDS entdeckt wird.

Yop, so meinte ich das. Und mir ists so passiert, dass mein Provider mich kickte. Wie er das macht lass ich mal seine Sorge sein, wollte da eigentlich nicht anrufen und nachfragen.