M 4.127 Sichere Browser-Konfiguration für den Zugriff auf Lotus Notes
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Um über die Web-Schnittstelle auf einen Lotus Domino Server zuzugreifen, benötigt der Benutzer einen "Web-Client" in Form eines Browsers. Der Zugriff auf die Serverdaten erfolgt durch Anfragen an das HTTP-Modul des Domino Servers. Dieses extrahiert seinerseits die Daten aus den entsprechenden Datenbanken und wandelt sie in WWW-Seiten um, sodasss diese vom Browser des Benutzers dargestellt werden können. Durch die Nutzung von aktiven Inhalten (JavaScript, Java-Applets) können Modifikationen der Datenbankinhalte über eine dem normalen Notes-Client nachempfundene graphische Oberfläche erfolgen.
Die Sicherheit beim Web-Zugriff hängt von der Sicherheit der beteiligten Komponenten ab. Neben der sicheren Konfiguration der Server (siehe M 4.122 Konfiguration für den Browser-Zugriff auf Lotus Notes) und der Nutzung der Kommunikationsabsicherung (siehe M 5.86 Einsatz von Verschlüsselungsverfahren beim Browser-Zugriff auf Lotus Notes), ist die Sicherheit des Web-Clients ein wesentlicher Faktor.
Bei Web-Zugriffen erfolgt die Speicherung der Authentisierungsgeheimnisse auf dem Client. Erlangt ein unberechtigter Dritter Zugriff auf diese Daten, so kann er unter den Berechtigungen des kompromittierten Benutzers auf die Datenbanken eines Server zugreifen. Die in diesem Zusammenhang zu schützenden Authentisierungsdaten sind:
- Benutzername und Passwort für den Web-Zugriff. Diese Daten sollten nicht lokal gespeichert werden, da die Sicherheit der Authentisierung darauf beruht, dass diese Daten ausschließlich dem jeweiligen Benutzer bekannt sind und dieser sie bei jeder Authentisierung erneut eingibt. Leider bieten moderne Browser vielfach die Möglichkeit, diese Daten lokal zu speichern, so dass sie bei späteren Zugriffen auf die ebenfalls gespeicherte Adresse des Servers automatisch an den Server übertragen werden. Daher müssen die Benutzer darauf hingewiesen werden, dass das Passwort für den Web-Zugriff nicht lokal gespeichert werden darf.
- Kryptographische Schlüssel und Zertifikate, die im Rahmen der SSL-Client-Authentisierung benutzt werden. Da diese Authentisierungsdaten nur in maschinenlesbarer Form vorliegen, ist die Speicherung der Daten notwendig. In der Regel werden die Daten lokal auf dem Client abgelegt.
Generell kann unterschieden werden zwischen der physikalischen Sicherheit des als Client verwendeten Rechners und der Sicherheit des als Web-Client benutzten Browsers. Dadurch ergeben sich die im folgenden beschriebenen Sicherheitsaspekte.
Durch das lokale Speichern der Authentisierungsdaten kommt der physikalischen Sicherheit besondere Bedeutung zu.
Daher sollten für die Client-Sicherheit die jeweiligen Bausteine sorgfältig umgesetzt werden.
Insbesondere sollten folgende Maßnahmen, sofern sie anwendbar sind, für die genutzten Rechner umgesetzt werden:
- M 4.1 Passwortschutz für IT-Systeme
- M 1.33 Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz
- M 1.34 Geeignete Aufbewahrung tragbarer IT-Systeme im stationären Einsatz
- M 1.44 Geeignete Einrichtung eines häuslichen Arbeitsplatzes
- M 1.46 Einsatz von Diebstahl-Sicherungen
Zusätzlich muss auch die Sicherheit des Browsers in Betracht gezogen werden. Dies gilt insbesondere, wenn Authentisierungsdaten durch den Browser lokal abgespeichert werden. Es müssen unter anderem folgende Fragestellungen berücksichtigt werden:
- Wo werden die Authentisierungsdaten gespeichert?
Mögliche Speicherorte sind z. B. eine Datei, eine Datenbank, die Registry, eine Chipkarte oder der Systemzertifikatsspeicher (bei Windows 2000). - Werden die Authentisierungsdaten geschützt gespeichert?
Mögliche Schutzmechanismen sind beispielsweise Verschlüsselung, Passwort-Schutz oder ein PIN-geschütztes Hardware-Token (etwa eine Chipkarte). - Wie stark ist der Schutz der eingesetzten Sicherheitsmechanismen?
Bei Verschlüsselung wird die Stärke des Schutzes wesentlich durch die eingesetzten Verfahren und die verwendeten Schlüssellängen bestimmt.
Werden Authentisierungsdaten lokal auf dem Client gespeichert, so sollten diese Daten so geschützt sein, dass sie auch nach einer erfolgten physikalischen Kompromittierung des Rechners oder der Schutzmechanismen des Betriebssystems nicht erlangt werden können. Dies erfordert in der Regel den Einsatz von Verschlüsselungsmechanismen durch den Browser. Werden diese Anforderungen durch den Browser nicht erfüllt, so muss im Rahmen einer Risikoabschätzung entschieden werden, ob der Web-Zugriff dennoch erlaubt werden soll. Dies hängt letztendlich auch davon ab, auf welche Daten zugegriffen werden soll.
Ein weiteres Problemfeld stellen die beim Web-Zugriff verwendeten aktiven Inhalte dar. Damit die Funktionalität der Web-Schnittstelle maximal genutzt werden kann, muss im verwendeten Browser die Verarbeitung und die Ausführung aktiver Inhalte aktiviert werden, da die vom Domino Server generierten HTML-Seiten JavaScript und Java-Applets enthalten. Wird die entsprechende Unterstützung im Browser deaktiviert, so ist mit fast vollständigem Funktionsverlust zu rechnen.
Wird der Browser auch zum Zugriff auf das Internet genutzt, so ist hier jedoch in der Regel die Ausführung aktiver Inhalte zu deaktivieren (siehe M 5.69 Schutz vor aktiven Inhalten). Erfolgt die Umstellung durch den Benutzer selbst, so kann durch die gemischte Nutzung leicht das Abschalten aktiver Inhalte für den Internetzugriff vergessen werden. Dies bedeutet dann eine erhöhte Gefahr für das lokale Rechnernetz, da nun unter Umständen schädliche aktive Inhalte durch den Browser ausgeführt werden. Eine gemischte Nutzung des Browsers sollte daher nach Möglichkeit vermieden werden.
Bei der Nutzung von Browsern können durch falsche Handhabung durch die Benutzer verschiedene Sicherheitsprobleme auftreten. Daher müssen die Benutzer in deren sichere Bedienung eingewiesen und verpflichtet werden, die aufgeführten Sicherheitsrichtlinien zu beachten.
Ergänzende Kontrollfragen:
- Wie wird der Browser-Zugriff auf den Domino Server abgesichert?