M 4.117 Sichere Konfiguration eines Lotus Notes Servers
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Der Lotus Domino Application Server besteht aus einer Vielzahl von Funktionsmodulen und kann daher nicht nur als reiner Datenbankserver genutzt werden, obwohl sich daraus immer noch die meisten Anwendungsszenarien ableiten. Durch die erfolgte Integration von Internet-Technologien stehen u. a. auch folgende Module zur Verfügung:
- Das Datenbankservermodul erlaubt den Datenbankzugriff für Notes-Clients.
- Das HTTP-Servermodul erlaubt den Datenbankzugriff via Browser und kann auch als normaler WWW-Server zum Bereitstellen von HTML-Seiten genutzt werden.
- Das LDAP -Servermodul (Lightweight Directory Access Protocol) erlaubt einen Zugriff auf die Benutzerinformationen für LDAP-Clients.
- Die E-Mail-Servermodule (z. B. SMTP- und POP3-Server) erlauben die Nutzung von E-Mail mittels Internet-Protokollen.
- Das NNTP-Servermodul erlaubt den Zugriff auf sogenannte News-Nachrichten.
Je nach Einsatzszenario und dem vom Domino-Server angebotenen Funktionsumfang muss überprüft werden, welche Module durch die Standardinstallation aktiviert wurden und welche "Tasks" (als eigene Betriebssystemprozesse oder als Threads) daher durch den Server ausgeführt werden.
Ebenso muss festgelegt werden, welche Module genutzt werden sollen. Nicht genutzte Module dürfen nicht installiert werden bzw. sind zu deaktivieren. Jedes installierte Modul ist bei Fehlkonfiguration als potentielle Sicherheitslücke anzusehen. Dies gilt insbesondere für die Module (z. B. HTTP, POP, SMTP, LDAP), die Zugriffe auf Server-Daten auch mit Fremdprogrammen ermöglichen (z. B. Browser, E-Mail-Programme).
Für jedes aktivierte Modul muss eine entsprechende Sicherheitsplanung durchgeführt werden und diese ist durch geeignete Konfigurationsparameter umzusetzen (siehe auch M 2.207 Festlegen einer Sicherheitsrichtlinie für Lotus Notes).
Da die meisten Funktionsmodule des Domino Application Servers in der Regel auf Datenbanken aufsetzen und deren Informationen über entsprechende Kommunikationsprotokolle für Clients bereitstellen, muss in jedem Fall eine sichere, datenbankbezogene Grundkonfiguration erstellt werden. Danach sind weitere Konfigurationen der modulbezogenen Parameter notwendig.
Es gibt zwei Hauptzugriffsarten auf ein Notes-Systems: über einen Notes-Client und über einen Browser. Die damit zusammenhängenden Empfehlungen sind gesondert
- in M 4.118 Konfiguration als Lotus Notes Server, die die sicherheitsrelevanten Basiskonfigurationen beschreibt, und
- in M 4.122 Konfiguration für den Browser-Zugriff auf Lotus Notes, die die zusätzlichen Konfigurationsmaßnahmen für den Zugriff via Browser beschreibt,
zusammengefasst.
Ein Notes-System besteht in der Regel nicht nur aus einem Notes-Server, sondern aus einem ganzen Serververbund (siehe auch M 3.24 Schulung zur Lotus Notes Systemarchitektur für Administratoren). Die einzelnen Server können dabei Datenbanken untereinander replizieren. Dadurch kann Datenverlusten entgegengewirkt, aber auch eine Lastverteilung durch die Bereitstellung von Datenbank-Kopien auf mehreren Servern erreicht werden. Damit die Aktualität der Datenbankkopien in gewissen Grenzen gewahrt bleibt, müssen Veränderungen an den Daten zwischen den Servern ausgetauscht werden. Aus Sicherheitsgründen muss daher ein Replikationskonzept erstellt werden. Unter anderem sind dabei folgende Aspekte zu berücksichtigen:
- Welcher Server hält das Original einer Datenbank?
- Auf welche Server soll eine Datenbank repliziert werden?
- Wie oft muss repliziert werden? Wann soll repliziert werden?
- Welche Informationen einer Datenbank sollen repliziert werden?
- Sollen Änderungen an Replikaten einer Datenbank erlaubt sein und sollen diese auf das Original übertragen werden?
- Dürfen Benutzer server- oder clientseitige Replikate einer Datenbank erzeugen?
- Ist das Verändern der Zugriffslisten oder Eigenschaften von Datenbanken auf Replikaten erlaubt?
Die Zugriffberechtigungen einer Datenbank sind so zu setzen, dass die zur Replikation notwendigen Operationen durchgeführt werden können. Das Replikationslog muss regelmäßig überprüft werden.
Die Sicherheit eines Notes-Systems hängt außerdem auch von der Sicherheit der zum Zugriff benutzten Clients ab. Daher müssen in die Umsetzung einer sicheren Konfiguration eines Notes-Systems auch die Client-Rechner und Client-Programme einbezogen werden. Die dabei zu beachtenden IT-Sicherheitsaspekte sind in den Maßnahmen
- M 4.126 Sichere Konfiguration eines Lotus Notes Clients und
- M 4.127 Sichere Browser-Konfiguration für den Zugriff auf Lotus Notes
zusammengefasst.
Da ein System in der Regel permanenten Veränderungen durch den laufenden Betrieb unterworfen ist, muss auch die Sicherheit ständig überprüft und ggf. neu konfiguriert werden. Hinweise dazu finden sich in M 4.128 Sicherer Betrieb von Lotus Notes.
Falls ein Netz- und Systemmanagementsystem im Einsatz ist oder zukünftig eingesetzt werden soll, ist dies in die Überlegungen zur Konfiguration einzubeziehen. Beispielsweise ist zu klären, ob über dieses System auch Notes-spezifische Einstellungen auf den beteiligten IT-Systemen vornehmen soll und ob das verwendete bzw. vorgesehene Produkt dies unterstützt. Gegebenenfalls sind hier zusätzliche Anpassungen oder Erweiterungen erforderlich.
Ergänzende Kontrollfragen:
- Besteht eine Sicherheitskonzeption für den Einsatz der verschiedenen Funktionsmodule von Lotus Notes?
- Ist dokumentiert, welche Module in welcher Konfiguration eingesetzt werden sollen?
- Existiert ein Replikationskonzept?