M 2.211 Planung des Einsatzes von Lotus Notes in einer DMZ
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter
Die in den Datenbanken eines Notes-Servers gespeicherten Daten können auch für den öffentlichen Zugriff aus dem Internet bereitgestellt werden. Dies stellt besondere Anforderungen an die Sicherheit des dazu benutzten Notes-Servers.
Für den direkten Zugriff auf einen Notes-Server aus dem Internet ist generell folgendes zu beachten:
- Direkte Zugriffe aus dem Internet auf einen Notes-Server im lokalen Netz dürfen nicht erfolgen. Alle internen Notes-Server sind vor direkten Zugriffen aus dem Internet mit einer Firewall zu schützen (siehe auch Baustein B 3.301 Sicherheitsgateway (Firewall)).
- Notes-Server, auf die direkt aus dem Internet zugegriffen wird, müssen in einem separaten Netz (einer sogenannten DeMilitarisierten Zone, DMZ ) angesiedelt sein. Der Zugriff auf den Server muss durch eine Firewall abgesichert werden (siehe auch M 2.77 Integration von Servern in das Sicherheitsgateway).
Bei einer Anbindung an das Internet können auftretende Sicherheitsprobleme gravierende Folgen haben (siehe G 5.100 Missbrauch aktiver Inhalte beim Zugriff auf Lotus Notes). Daher sollte darauf verzichtet werden, Notes-Server für Zugriff aus dem Internet zu öffnen. Kommt trotzdem ein Notes-Server in der DMZ zum Einsatz, so muss die Konfiguration der Sicherheitseinstellungen besonders sorgfältig erfolgen. Dabei sind insbesondere die folgenden Punkte zu beachten:
- Es muss eine Sicherheitskonzeption für die Anbindung von Notes-Servern an das Internet erarbeitet werden, in dem u. a. die Sicherheitsziele und die grundlegenden Voraussetzungen festgelegt sind, die erforderliche Netzstruktur beschrieben ist und alle organisatorischen Regelungen festgehalten sind.
- Der Notes-Server sollte in einer separaten Notes-Domäne angesiedelt werden.
- Es sollte eine eigene Zertifizierung des Servers erfolgen, die keine Berechtigungen im Intranet der Behörde bzw. des Unternehmens besitzt.
- Der Notes-Server in der DMZ darf nicht mit internen Notes-Servern replizieren. Für den Datentransfer können dateibasierte Mechanismen, z. B. ftp, zum Einsatz kommen.
- Die Firewall-Konfiguration muss das Initiieren von Verbindungen vom Notes-Server in das interne Netz unterbinden. Ist ein Datenaustausch zwischen internen Systemen und dem Notes-Server in der DMZ notwendig, so dürfen Verbindungen nur von den internen Systemen initiiert werden können. Auch hier sollte auf die Verwendung von Notes-Mechanismen zum Datenaustausch verzichtet werden, um einen bewussten Protokollbruch zu erzeugen.
- Datenbanken enthalten auch ausführbaren Programmcode, wie Agenten und Skripten, die zur Kompromittierung des internen Netzes genutzt werden können. Datenbanken, die vom Notes-Server in der DMZ in das interne Netz zur Weiterverarbeitung transferiert werden, sollten daher einer Sicherheitsüberprüfung unterzogen werden.
- Sollen nur HTML-Seiten (und keine Notes-Datenbanken) durch den Server angeboten werden, so ist ein reines WWW-Server-Produkt zu verwenden. Durch einen Notes-Server werden komplexe Funktionen und Mechanismen angeboten, die sich nicht alle deaktivieren lassen und damit als mögliche Angriffspunkte genutzt werden können. Beispielsweise ist immer eine Verbindung über das Notes-Protokoll möglich.
- Das Notes-System sollte ebenso wie andere existierende Systeme in der DMZ überwacht werden.
Neben den hier aufgeführten Aspekten können sich durch die Nutzung eines Notes-Systems in exponierter Stellung weitere Probleme ergeben. Es wird empfohlen, eine individuelle Risikoabwägung durchzuführen, die den Schutzbedarf der IT-Anwendungen und Informationen berücksichtigt.
Ergänzende Kontrollfragen:
- Gibt es zwingende Gründe Internet-Zugriffe auf Notes-Server zuzulassen?
- Ist das IT-Sicherheitsmanagement in diese Entscheidung einbezogen worden?
- Existiert ein Sicherheitskonzept für den Einsatz von Lotus Notes in der DMZ?