G 3.46 Fehlerhafte Konfiguration eines Lotus Notes Servers
Fehlkonfigurationen eines Software-Systems sind häufig die Ursache für erfolgreiche Angriffe. Aufgrund der Komplexität eines Notes-Servers besteht auch hier die Gefahr, dass das Notes-System durch Fehlkonfiguration nicht den geforderten Sicherheitsansprüchen genügt. Durch die Fülle an Konfigurationseinstellungen und durch die sich gegenseitig beeinflussenden Parameter können auch viele Gefährdungen entstehen. Einige typische Fehlkonfigurationen werden im folgenden aufgeführt:
- Fehlende Zugriffseinschränkungen auf einen Server: In der Grundeinstellung ist es generell jedem erlaubt, auf einen Notes-Server zuzugreifen. Werden keine Zugriffsbeschränkungen auf einen Server definiert, so wird diese erste Hürde nicht genutzt. Insbesondere in der Kombination mit schwachen oder falschen Zugriffsberechtigungen auf weitere Dienste oder Datenbanken können so Sicherheitsprobleme entstehen.
- Fehlerhafte Zugriffslisten (Access Control Lists, s) oder unsichere Standard-ACLs: Jede Datenbank erhält bei der Erzeugung eine (durch die jeweilige Datenbankvorlage bestimmte) Zugriffsliste mit Standardeinträgen. Je nach Vorlage bietet diese keinen ausreichenden Schutz für die Datenbank im Normalbetrieb. Dies gilt insbesondere dann, wenn die Datenbank nach der Erzeugung initialisiert oder weiter konfiguriert werden muss. Oft sind dazu zunächst umfangreiche Rechte notwendig, die für den laufenden Betrieb nicht mehr benötigt werden. Werden die Standardzugriffslisten nicht verändert, kann dies dazu führen, dass Unbefugte auf die Datenbank zugreifen können oder Benutzern zu hohe Rechte eingeräumt werden.
- Es wird keine Verschlüsselung eingesetzt: Die Verschlüsselung der Netzkommunikation (Port-Verschlüsselung) und die Verschlüsselung von Datenbanken oder Datenbankfeldern ist in der Regel standardmäßig nicht aktiviert. Um die Verschlüsselung zu nutzen, muss diese explizit aktiviert werden. Wird dies vergessen, so sind die Daten ungeschützt.
- Unzureichende Berechtigungen für Server oder administrative Prozesse: Damit eine Notes-Datenbank korrekt funktionieren kann, muss sie von einem dedizierten Server verwaltet und gewartet werden. Zu den Verwaltungs- und Wartungsaufgaben eines Servers gehört u. a. das Aktualisieren von Datenbank-Kopien (Daten, Zugriffslisten, usw. ). Sind dem verantwortlichen Server keine ausreichenden Rechte eingeräumt, so schlagen die Verwaltungsaktionen fehl. Dies kann zu Sicherheitsproblemen führen, dass z. B. Veränderungen an den Zugriffsberechtigungen nicht an die Kopien einer Datenbank weitergegeben werden können.
- Akzeptieren von Cross-Zertifikaten: Zwischen verschiedenen Zertifikatshierarchien (ohne gemeinsame Zertifizierungsinstanz) können Vertrauensstellungen eingetragen werden, indem eine sogenannte Cross-Zertifizierung erfolgt (Anerkennen fremder Zertifikate). Cross-Zertifikate können meist automatisch erzeugt werden, wenn ein unbekanntes Zertifikat "entdeckt" wird. Dies gilt sowohl für Notes-Zertifikate, als auch für X.509-Zertifikate.
Dabei können Cross-Zertifikate auch von Benutzern einfach im persönlichen lokalen Adressbuch erzeugt werden. Das Anlegen von Cross-Zertifikaten im NAB kann dagegen nur durch einen berechtigten Administrator erfolgen. Werden Zertifikate leichtfertig als vertrauenswürdig anerkannt, so kann dies zu Sicherheitsproblemen (z. B. bei aktiven Inhalten, die mit dem nun als vertrauenswürdig geltenden Zertifikat signiert sind) führen.
Die aufgeführten Problemfelder sind Beispiele für mögliche Gefährdungen durch Fehlkonfigurationen. Abhängig vom jeweiligen Einsatzumfeld können weitere Gefährdungen hinzukommen.
Beispiel:
Ein Server ist so konfiguriert, dass anonyme Zugriffe nicht gestattet sind. An der Web-Schnittstelle sind nur SSL -Verbindungen erlaubt. Bei der Konfiguration der Datenbank- ACL s wird daher kein "Anonymous"-Eintrag erstellt. Weiterhin wird auf das Erzwingen des SSL geschützen Web-Zugriffs verzichtet, da der Server nur SSL-Verbindungen an der Web-Schnittstelle annimmt. Die "-Default-"-Rechte aus den Datenbank-Vorlagen wurden nicht geändert, um den administrativen Aufwand bei Vorlagenänderungen zu minimieren. Durch die Einführung einer neuen Datenbank, die öffentliche Informationen enthält, wird der Server so konfiguriert, dass nun auch normale Web-Zugriffe auf diese Datenbank erlaubt sind (anonym, nicht SSL geschützt). Ab nun kann auf alle Server-Datenbanken anonym zugegriffen werden, es gelten dabei die "-Default-"-Rechte, die oft mindestens das Lesen erlauben. Dadurch besteht die Gefahr, dass Unbefugte vertrauliche Daten einsehen oder Informationen manipulieren können.