Notes Port vs. VPN Zugang

[dh-paule]

Hallo zusammen,

ich habe hier 2 Experten und 3 Meinungen ;-)
Es geht um einen "externen" NotesServer der im Internet stehen wird.
Auf diesem Server werden sich kritische Daten befinden (Patientendaten, Software für Medizinprodukte)
Die User mit Lotus Notes Client gehen ins Internet und wollen den Server im Internet erreichen.
Ist eine verschlüsselte Verbindung über die Arbeitsumgebung "Internet" vergleichbar sicher wie ein VPN Client der zusätzlich auf dem Rechner des Users und dem Server laufen müsste ?

Uns geht es hauptsächlich darum das die Daten auf dem Weg vom und zum Server manipulationssicher übertragen werden.

Vielen Dank schon einmal für eure Tipps

[flaite]

Uns geht es hauptsächlich darum das die Daten auf dem Weg vom und zum Server manipulationssicher übertragen werden.

Dafür gibts auf http Ebene eigentlich ssl.
Ich frag mich jetzt ernsthaft, obs sowas für das von Notes verwendete Protokoll überhaupt gibt 
VPN tunelt ja imho andere Protokolle in https Verbindungen 

Vielleicht ist es zumindest für die Kunden einfacher, dass sie einen Browser benutzen. Dann geht nämlich ssl 

[Thomas Schulte]

@Axel ich glaub du hast da was übersehen.

Die wollen nicht mit dem Browser auf die Datenbanken auf dem Server zugreifen, sondern mit dem Notes Client und überlegen sich gerade ob sie dafür eine VPN Verbindung aufbauen wollen oder ob der Domino Port alleine von der Sicherheit her langt.

@paule
Ich sag jetzt mal das hängt davon ab wie paranoid ihr sein wollt. Bei einem echten Man in the Middle Attack habt ihr mit beiden Konzepten verloren.
Wenn ihr die Datenbank(en) auf den Server entsprechend verschlüsselt und die ACL's sauber eingestellt sind darf eigentlich auch mit der Domino Port Variante nichts passieren.

Dumm wird es nur dann, wenn jemand über den offenen Port 80 auf die Administration des Servers zugreifen kann. Oder auf File System Ebene.

Ergänzung: Ich habe noch nie gehört das jemand einen Domino Server der über das Internet über den Port 1352 und nur über diesen erreichbar ist gehackt hat. Das heist nicht das es unmöglich wäre. Aber ich habe noch keinen Beweis dafür geliefert bekommen das es schon mal jemand geschafft hat.

Noch ne Ergänzung: Von wegen Paranoia. VPN von außen über einen Client und nur auf den Port 1352 des Servers und alles andere dicht machen. Das ist dann mit Sicherheit ..... sicher.

[WernerMo]

Hallo,

Die User mit Lotus Notes Client gehen ins Internet und wollen den Server im Internet erreichen.

soll doch heißen, die User greifen mit NotesClients auf den Server zu, sind aber nicht im LAN des Servers, sondern "irgendwo" und nutzen das Internet.

In dem Fall steht kein ssl zur Verfügung (wäre z.B. bei webmail oder webapplikation). Wenn es Notesclient sein soll/muss, wirst Du um (Open)VPN nicht rumkommen.

Gruß Werner
PS und dann kannst Du/Ihr auch wieder ein gutes Gefühl haben.
Grüße nach Jena (?DNUG?)

[m3]

Axel: Ja, "SSL" gibts auch schon für native Notes-Verbindungen schon länger.

Network port encryption allows unencrypted data to be encrypted at the port
level for safe transport through the network. Network port encryption can be
enabled for a user's workstation or at a server by selecting File →
Preferences → Ports to modify the port definition to encrypt network data.

It is important to point out that in the case of port encryption, unlike for the
previously shown examples, RC4 is used instead of RC2. This is done because
RC4 is a specialized cipher for the encryption of streaming data, whereas RC2 is
more specialized for block encryption of data.

@Werner: Je nachdem, wie "sicher" der Server konfiguriert ist und in welchem Umfeld er beheimatet ist (DMZ, IDS, Reverse Proxy mit Filtern, etc.) "braucht" man daher bei Domino > 6.x IMHO keine VPN-Verbindung, wenn es NUR ums Thema "verschlüsselte Datenübertragung" geht.

Notes 8:

The Lotus Notes proprietary protocols support the use of 630-bit, 1024-bit, and 2048-bit keys for key exchange, signing, and authenticating user identity, and use 64- and 128-bit keys for bulk data encryption. The Lotus Notes proprietary protocols also support 2048-bit user keys, and can still use old keys (512-bit, 380-bit) that were created with earlier versions of Lotus Domino.

Notes 6:

The Notes proprietary protocols use a 630-bit key for key exchange, and a 64-bit symmetric key.

Help Protect Yourself with New Security Features in IBM Lotus Domino 8 (PDF):

6.0
Can use 1024 bit RSA keys, but will not generate them
Can use 128-bit RC4 keys, but cannot use 128 bit RC2 keys

6.0.4/6.5.1
Can use 1024 bit RSA keys, but will not generate them
Can use 128 bit RC2 keys, but will not generate them

7.0
Can generate and use 1024 bit RSA keys
Can generate and use 128 bit RC2 keys
Adds underlying support for 2048 bit RSA keys

8.0
Can generate and use 2048 bit RSA keys for users and servers
Can generate and use 4096 bit RSA keys for certifiers
Adds underlying support for 4096 bit RSA keys for users and servers
Adds underlying support for 8192 bit RSA keys for certifiers

"Sicher" müsste aber derzeit selbst noch die RC4-Verschlüsselung mit dem 630 Bit Key sein:

􀂃 64 bit keys (RC2, RC4)
+) Distributed.Net cracked a 64-bit RC5 key in 2002
    - 331,252 people working together for 1,757 days
    - Equivalent to 790 days at an artificial peak rate equivalent to 46k 2GHz Athlon CPUs
    - RC5-72 crack started in 2002, and still in progress
+) 128 bit keys (RC2, RC4, AES)
    - A machine that could crack a 56-bit key in 1 second would take approximately 149
thousand billion years to crack a 128-bit key.

Paule, ihr wollt euch das Lotus Security Handbook ansehen, sowie in Betracht ziehen, zumindest Notes/Domino 7 einzusetzten, da hier die Schlüssellängen gegenüber 6.x deutlich erhöht wurden.

Wenn Ihr aber wirklich paranoid seid, kommt ihr um
a) Dokumentverschlüsselung mit Notes-Methoden
b) NRPC-Verschlüsselung
c) VPN mit Mehrfach-Faktor Authentifizierung (RSA SecurID Token, udgl.)
sowieso nicht herum (verschlüsseln der lokalen Repliken (mit hoher Sicherheit) und Festplatten bitte nicht vergessen, siehe das Datenschutz-Desaster in UK).

[flaite]

Eine Middle Attack wird imho auch schon dadurch deutlich erschwert, dass das native Notes Protokoll binäre Daten austauscht und nicht dokumentiert ist.
Die Frage ist aber auch, ob die Administration überhaupt bereit ist, Port 1532 gegenüber dem Internet zu öffnen.

[dh-paule]

Hallo zusammen,

zuerst einmal DANKE für das Feedback!

Ich glaub ich bin euch noch einige Informationen schuldig.

Wir werden auf dem Server einige Webapplikationen laufen haben, die wir mit ssl absichern. Das ist soweit schon geklärt.

Parallel dazu wird es jedoch auch Notes Anwendungen geben die (absichtlich) keine Webversion haben. So ist zwingend vorrausgesetzt das der User eine notes.id und einen Lotus Client haben muss um unsere Anwendung zu nutzen. Hauptsächlicher Grund für eine NotesAnwendung ist die Tatsache das der User die Möglichkeit zur offline Nutzung haben soll, und das geht ja nun mal naturgemäss mit Webapplikationen nicht.

Der Server selbst wird von uns "gesichert" eingestellt und dies wird nochmals von einem externen Dienstleister auditiert. Von der Seite sollten wir auf dem Stand der Technik sein. Uns geht es jetzt um die Frage: Wie stellen wir sicher das die Daten auf dem Weg vom Server zum Client und umgekehrt, nicht manipuliert werden können (verschlüsselte Übertragung)

Ihr habt in euren Postings ja auch schon auf weitere Probleme hingewiesen, und das ist der Client selbst, dessen Verschlüsselung und vorallem der Umgang mit dem Rechner, bzw. der Zugriff zum Rechner (Laptop).
Da sehen wir momentan die grössten Probleme, weil wir da die grösste Fehlerquelle haben, nämlich den User selbst...

Wenn ich eure Postings richtig verstehe, so können wir unter dem Gesichtspunkt "verschlüsselte Datenübertragung" davon ausgehen das das Notes-Protokoll mit einem VPN vergleichbar ist.

(unabhängig davon das VPN+Notes-Protokoll noch sicherer ist ;-)

DANKE für eure hilfreichen Antworten, und Gruss aus Jena, Andre

P.S: @WernerMo
Jena: ja... da ist mein homeoffice
DNUG: nein... das ist reiner Zufall, und hab ich auch erst erfahren als wir für den Award nominiert waren 
 

[flaite]

Der Beitrag von m3 zu SSL für native Notes-Anwendungen. Grade wenn das extern geaudited wird, macht sich SSL sicher gut.

Hauptsächlicher Grund für eine NotesAnwendung ist die Tatsache das der User die Möglichkeit zur offline Nutzung haben soll, und das geht ja nun mal naturgemäss mit Webapplikationen nicht.

Naturgemäss sind aber Webapplikationen keine Natur sondern Technik. 
Gibt tatsächlich Bestrebungen und Bibliotheken zu offline-Webanwendungen:
http://gears.google.com/
Wird mehr davon geben. Z.B. scheint Firefox 3 da auch schwer hinterher zu sein.
Persönlich würd ich aber darauf basierende Projekte sicher nicht zu Festpreis anbieten.
Wollts nur anmerken.

[koehlerbv]

Da sehen wir momentan die grössten Probleme, weil wir da die grösste Fehlerquelle haben, nämlich den User selbst...

Hallo André,

genau das Problem hast Du bei der Portverschlüsselung nicht: Wenn am Server eben dieses eingestellt ist, dann MUSS der Client so versenden (egal, was am Client eingestellt ist - das macht der Client dann selber!).
Beim User selbst wird natürlich trotzdem das grösste Problem liegen, und das hat nichts mit VPN oder Notes-Verschlüsselung zu tun: Wenn er eine nicht verschlüsselte DB herumkullern hat und das Notebook geklaut wird oder er bösen Willens ist oder ... Wenn Ihr das ausschliessen könnt (aber das geht gar nicht), dann kommt erst das Thema VPN oder nicht VPN dran.

Bernhard

PS: Ich würde so gerne mal wieder Unimog fahren ... Warum hast Du das Teil nur verkauft, André?  By the way: Der Tatra 813 steht immer noch nahe der Grenze bei Praschberg rum. Der Zustand wird aber immer dramatischer ....

[guesswho]

Hallo Andre,

die Anbindung des Servers an das Internet ist also wohl gesichert ?!

Jetzt brauchst du einen VPN-Server, der über Internet erreichbar ist und entgegennimmt. Höchstmögliche Sicherheit erreichst du hier mit L2TP statt PPTP. Die Clients rufen dann die "Firma" über Internet an, alle übertragenen Daten sind verschlüsselt und getunnelt. Unabhängig vom Notes-Protokoll.  

Nach dem Verbindungsaufbau sind die Clients direkt mit der Domäne/dem Standort verbunden und erhalten von dort eine IP-Adresse.

Alle Daten, die gesendet und empfangen werden, sind während und nach Verbindungsdaufbau verschlüsselt. Der einwählende Rechner ist am Standort andemeldet und kann ohne Umwege über den verschlüsselten VPN-Kanal direkt auf das Zielnetz verschlüsselt zugreifen.

Wenn ab diesem Zeitpunkt keine Firewall irgendwas blockiert, ist der Notebook/PDA also direkt mit dem Netzwerk verbunden (= vor Ort) und kann problemlos auf Notes zugreifen.

Melde dich bei Fragen.
Jo

[m3]

Höchstmögliche Sicherheit erreichst du hier mit L2TP statt PPTP.

Warum?

[Ralf_M_Petter]

Eine ganz klare Antwort:

Vergiss die Portverschlüsselung von Notes und verwende eine gute Firewall mit VPN und einen VPN Client auf dem Laptop.

Die Begründung ist ganz einfach. Ein Server ist ein hochkomplexes System Software in der sehr viel Fehler enthalten sein können. Ebenso müsstet Ihr die Sicherheit nach jedem Einspielen eines Update wieder neu komplett überprüfen. Eine Firewall ist gegen einen Domino Server mit OS ein verhältnismässig einfaches System. Updates kommen eher selten und wenn dann meistens nur Security Fixes. Eine einfache Firewall mit VPN ist auch nicht so wahnsinnig teuer. Ich denke mal mit 2000 EUR kann man so ein Projekt umsetzen. Günstig wäre natürlich noch wenn das VPN Policys unterstützen würde, dass Ihr darüber auch noch die Clients in den Griff bekommt. z.B. Das nur Client mit aktuellen Virenschutz und aktivierter Personal Firewall eine VPN Verbindung aufbauen können.

Grüße

Ralf

[m3]

Und VPN-Systeme muss man nicht aktualisieren (und darauf hin auch wieder testen)? Also da sehe ich bei unserem Cisco-System anderes.

Eine Firewall mit VPN-System lässt sich verlässlich und sicher auch ohne Schulung einrichten und betreiben (mit Policies, ...)? Zweifel.

[Ralf_M_Petter]

Hallo Martin!

Du willst aber nicht sagen, dass die Updates von einer Cisco Firewall ähnlich komplex sind wie die Updates für Domino +OS. Bei Domino + OS bekomme ich Updates im Halbjahr von mindestens 1/2 GB. Auf der Firewall sind die Updates ziemlich klein un nicht so häufig. Funktionale Updates kann man überhaupt längere zeit schieben. Auf einem Server hast du immer auch das Problem, dass sehr viele User sehr viel machen und verändern können. Auf der Firewall gibt es meistens nur einen Admin und einen Vertreter.

Das mit der Schulung verstehe ich jetzt nicht, ich habe nichts von Schulung geschrieben.

Grüße

Ralf

[m3]

Updates müssen da wie dort vor dem Einspielen getestet werden. Da man auch bei Notes die funktionalen Udpate "schieben" kann, sehe ICH von daher keinen Unterschied.

Also wenn auf Deinem Domino Server viele User "was machen" können, hast Du ein prinzipielles Problem. Auf einem sauber verwalteten Server haben ebenso nur Admin und Vertreter etwas zu suchen - wie bei der FW.

Das mit der Schulung bezog sich auf das Thema "Komplexität". Mit einer FW/VPN Lösung führt man natürlich zusätzliche Komplexitäts-Ebenen ein, die auch erst mal erlernt und verwaltet werden müssen.

Aber ich denke, dass muss der Paule sowieso für sich definieren, was nun für ihn passt.

[Ralf_M_Petter]

Auf unserem Domino Server dürfen die Administratoren und die Entwickler was machen, bei euch nicht? 

Wie schiebst du auf einem Domino Server die funktionalen Updates, wenn für ältere Releases keine Security Fixes angeboten werden? Ich weiß ja nicht, was ihr für ein OS einsetzt, aber bei Windows bekommen wir dauernd irgenwelche Update, dann noch updates für den Virenschutz, Spamfilter usw.

Aber wie gesagt, entscheiden muß es jeder für sich selbst. Übrigens kann ich mir nicht vorstellen, dass es in der Praxis irgendein Unternehmen gibt, dass sein Netzwerk ohne Firewall betreibt.

Grüße

Ralf
 

[m3]

Theorie: Auf der Produktionsmaschine haben nur die Admins Zugriff. Wir arbeiten daran, dorthin zu kommen.

OS: AIX hinter mehreren FWs. Das ist eine andere Abteilung, das geht mich nix an. Da hab ich keinen Aufwand.

Ad Netzwerk ohne Firewall:
http://www.diepresse.at/home/techscience/internet/sicherheit/345917/index.do

[koehlerbv]

Interessante Sache - und schön geschrieben, Martin! 

Bernhard

[Ralf_M_Petter]

Das ist ja wohl klar, dass wenn man eine Firewall hat, dass interne Netz trotzdem so sicher wie möglich sein soll.

Die korrekte Vorgehendsweise für mich sieht so aus.

Router mit einfachen Accesslist was prinzipiell zugelassen ist.
Firewall mit NAT und PAT. Eventuell mit Endpoints für VPN.
Content Seurity Appliance, dass die durchgehenden Traffics überprüft. Das Notes RPC nicht dokumentiert ist, ist einer meiner grössten Kritikpunkte von Lotus Notes/Domino, da es dadurch unmöglich gemacht wird den Traffic zu filtern.
Sichere Server und PCs

Ich will jetzt nicht behaupten, dass wir das bei uns schon alles umgesetzt haben, aber es ist das Ziel.

Grüße

Ralf

[guesswho]

Warum?

IPSec ?!

War allerdings von einer Verbindung zu einem dedizierten W-Server ausgegangen, eine reine VPN-Lösung via Blackbox ist ein anderes Thema...

Jo