AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
21.10.19 - 22:29:54
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News:
Schnellsuche:
+  Das Notes Forum
|-+  Lotus Notes / Domino 8
| |-+  ND8: Administration & Userprobleme (Moderatoren: Axel, Thomas Schulte, koehlerbv)
| | |-+  lokale Verschlüsselung von Notes-Anwendungen
« vorheriges nächstes »
Seiten: [1] Nach unten Drucken
Autor Thema: lokale Verschlüsselung von Notes-Anwendungen  (Gelesen 1373 mal)
fliege
Frischling
*
Offline Offline

Geschlecht: Männlich
Beiträge: 44


Ich liebe dieses Forum!


« am: 11.04.19 - 15:55:15 »

Wir müssen jetzt alle Anwendungen auf unseren Servern (8.5.3FP6) verschlüsseln. Ok- viel Arbeit. Mein Problem ist es eine Übersicht z.B. im Katalog darzustellen, welche DB welchen Verschlüsselungsgrad besitzt. Dazu habe ich leider noch nichts gefunden. Ich kann es jeweils nur über die DB-Eigenschaften per Hand auslesen.
2. Thema: Gibt es einen Eintrag in der Server-ini mit dem ich festlegen kann das beim anlegen einer neuen DB diese automatisch verschlüsselt wird wie beim Client "local_DB_encrypt_default=2"
Gespeichert
Pyewacket
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 301



« Antworten #1 am: 11.04.19 - 18:38:31 »

Soweit mir bekannt lässt sich das nur über API Calls ermitteln.
Was soll mit der Verschlüsselung bezweckt werden?
Gespeichert

ATOS.org - Feel the music!
fliege
Frischling
*
Offline Offline

Geschlecht: Männlich
Beiträge: 44


Ich liebe dieses Forum!


« Antworten #2 am: 11.04.19 - 18:54:22 »

Wir sind als Dienstleister tätig und diese verlangen Härtung bestimmter Systeme.
Gespeichert
Pfefferminz-T
Gold Platin u.s.w. member:)
*****
Offline Offline

Beiträge: 1102


« Antworten #3 am: 11.04.19 - 21:50:29 »

Eine lokale Verschlüsselung auf dem Server bedeutet eine Verschlüsselung mit der Server-ID. Wenn die Server-ID kein Kennwort hat, dann kann sich jeder der Zugriff auf die Dateiebene hat neben den verschlüsselten Datenbanken auch die Server-ID abgreifen und damit auf die Daten zugreifen.

Eine Härtung bringt das also nur, wenn die Server-ID ein Kennwort hat und das hat wiederum andere Nachteile, wobei es Produkte am Markt gibt, um die Server-ID zu schützen. Sinnvoller ist es dann, die sensitiven Daten in den Anwendungen zu verschlüsseln.
Gespeichert

Grüsse,
Thorsten
eknori
@Notes Preisträger
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11283


« Antworten #4 am: 12.04.19 - 00:09:40 »

siehe Daniel Nashed

Zitat
To see all Encrypted Databases
Simple, Medium and Strong (1+2+4 = 7)
Set SHOW_ENCRYPTED_DATABASES = 7 in notes.ini

http://blog.nashcom.de/nashcomblog.nsf/dx/details-about-ods-52-shipped-with-notesdomino-9.0.1.htm
« Letzte Änderung: 12.04.19 - 00:14:34 von eknori » Gespeichert
fliege
Frischling
*
Offline Offline

Geschlecht: Männlich
Beiträge: 44


Ich liebe dieses Forum!


« Antworten #5 am: 12.04.19 - 07:38:57 »

Danke für die Hinweise. Das mit der Server-ID ist uns bewusst, dort haben wir bereits eine Weg gefunden diese effektiv zu schützen, ohne den Nachteil mit der Vergabe eines PW für die ID zu haben.
Vielen Dank für die, wie immer, kompetente Hilfe.
Gespeichert
stoeps
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 773


It's your life, so live it your way.


WWW
« Antworten #6 am: 13.04.19 - 12:31:40 »

Kannst du den Weg mal beschreiben? Ist das mehr als obscurity?
Gespeichert

--
Grüsse
Christoph
J Parlin
Senior Mitglied
****
Offline Offline

Beiträge: 327


« Antworten #7 am: 17.04.19 - 11:57:36 »

... in diese Art und Weise Aussteigen ohne Erläuterung des gelösten Sachverhalts als Hilfe für andere Kollegen ist ist nicht gerade nett !

Danke für die Hinweise. Das mit der Server-ID ist uns bewusst, dort haben wir bereits eine Weg gefunden diese effektiv zu schützen, ohne den Nachteil mit der Vergabe eines PW für die ID zu haben.
Vielen Dank für die, wie immer, kompetente Hilfe.
Gespeichert
fliege
Frischling
*
Offline Offline

Geschlecht: Männlich
Beiträge: 44


Ich liebe dieses Forum!


« Antworten #8 am: 25.04.19 - 09:38:14 »

Sorry, hier unser Lösungsansatz:
Unsere Notesserver werden auf einer separaten Partition, losgelöst von der Betriebssystempartition, betrieben. Alles läuft unter VM. Die Partition des BS wird mit Veracrypt verschlüsselt und dort ist die Server-ID in einem separaten Verzeichnis  abgelegt(notes.ini entsprechend anpassen). Es muss also nur bei der Wartung des BS beim Neustart das entsprechende sehr kryptische Passwort eingegeben werden.
Die Notesserverwartung kann also wie gewohnt ohne Eingabe eines PW erfolgen.
Ein anderer Weg ist auch die Server-ID auf einem anderem Server, der nicht auf dem VM-Host läuft, in einem freigegebenen Verzeichnis abzulegen.
Gespeichert
stoeps
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 773


It's your life, so live it your way.


WWW
« Antworten #9 am: 25.04.19 - 13:19:30 »

Aber vor was schützt euch das?

DB Verschlüsselung passiert mit der Server ID. Wenn der Server läuft ist die ID entschlüsselt (da veracrypt). Ein Angreifer der durch die NSF Verschlüsselung nicht an die Daten kommt (das scheint ja ein Angriffsvektor zu sein, sonst wäre es unnötig), kann sich die entschlüsselte ID kopieren und da nicht passwortgeschützt überall verwenden um die geklauten NSF zu entschlüsseln.

Meiner Meinung nach müsste um das wirklich abzusichern die ID ein Kennwort haben. Aber nur meine 2 Cent, aber ihr macht da ne Riesenaktion für praktisch keinen zusätzlichen Schutz.
Gespeichert

--
Grüsse
Christoph
fliege
Frischling
*
Offline Offline

Geschlecht: Männlich
Beiträge: 44


Ich liebe dieses Forum!


« Antworten #10 am: 25.04.19 - 15:09:06 »

Aber vor was schützt euch das?

DB Verschlüsselung passiert mit der Server ID. Wenn der Server läuft ist die ID entschlüsselt (da veracrypt). Ein Angreifer der durch die NSF Verschlüsselung nicht an die Daten kommt (das scheint ja ein Angriffsvektor zu sein, sonst wäre es unnötig), kann sich die entschlüsselte ID kopieren und da nicht passwortgeschützt überall verwenden um die geklauten NSF zu entschlüsseln.

Meiner Meinung nach müsste um das wirklich abzusichern die ID ein Kennwort haben. Aber nur meine 2 Cent, aber ihr macht da ne Riesenaktion für praktisch keinen zusätzlichen Schutz.
Guter Hinweis. Mit der Aktion sind wir nicht vor internen Angriffen geschützt, Ok. Es geht uns dabei um  einem Schutz vor Diebstahl der Maschinen.
Gespeichert
stoeps
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 773


It's your life, so live it your way.


WWW
« Antworten #11 am: 25.04.19 - 17:31:25 »

Du willst mit Software (Verschlüsselung) etwas verhindern, das mit physikalischer Sicherheit (Einbruchschutz) besser gesichert ist.


Ich dachte @eknori hätte da mal was gebaut, damit man die server ids mit Passwort beim Start/Restart handhaben kann. Finde es nur grad nicht. Ich würde auf jeden Fall ein Passwort vergeben.
Gespeichert

--
Grüsse
Christoph
fliege
Frischling
*
Offline Offline

Geschlecht: Männlich
Beiträge: 44


Ich liebe dieses Forum!


« Antworten #12 am: 26.04.19 - 09:41:20 »

Hallo Christoph, vielen Dank für Deine aktive Mitarbeit zu unserem Anliegen.
1. Physische Sicherheit der Serverräume ist gegeben mit allem was man sich vorstellen kann, aber IT-Leiter ...
2. Die Lösung von @eknori würde mich schon interessieren, dann kann ich das ja dann auch noch implementieren.
Jetzt mache ich erst mal 1 Woche Ostsee.
Gruss rjg
Gespeichert
Seiten: [1] Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: