M 4.429 Sichere Konfiguration von Lotus Notes/Domino

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Unmittelbar nach der Installation, Anpassung oder Migration ist die Konfiguration der installierten bzw. angepassten oder migrierten Komponenten vorzunehmen. Nur so kann gewährleistet werden, dass in der Zeitspanne zwischen Installation und Konfiguration keine Schwachstellen der Standardkonfiguration für Angriffe genutzt werden.

Sichere Grundkonfiguration

Die sichere Grundkonfiguration des Lotus Domino Servers beinhaltet die Korrektur voreingestellter, unsicherer Systemparameter:

Weiterhin sind im Rahmen der sicheren Grundkonfiguration die Einstellungen zur Zugriffssicherheit vorzunehmen, die auf Ebene des Lotus Notes/Domino-Servers (und nicht auf der Ebene der Domino-Dienste) greifen:

Sichere Konfiguration serverseitiger Einstellungen für die Kommunikation

Angemessene Kommunikationssicherheit kann über eine SSL-verschlüsselte Verbindung mit einem durch ein Zertifikat authentisierten Kommunikationspartner gewährleistet werden.

Ein Domino-Server kann über die Einrichtung der Serverzertifikatsadministration (certsrv.nsf) für die Nutzung von SSL konfiguriert werden. Voraussetzung ist die Umsetzung des Konzepts zur Domänen- und Zertifikatshierarchie aus M 2.207 Sicherheitskonzeption für Lotus Notes/Domino . Anschließend kann auf Protokoll-Ebene ( z. B. E-Mail-Protokolle IMAP , POP3 , SMTP ) individuell konfiguriert werden, für welche Protokolle SSL zu aktivieren ist. Dies sollte in Abhängigkeit des Schutzbedarfs der genutzten Dienste erfolgen.

Das Erzwingen von SSL -Verbindungen kann für Web-Zugriffe auch auf Datenbankebene eingestellt werden (Web: SSL-Verbindung anfordern). Die SSL -Anschlusskonfiguration sollte möglichst nicht auf Nur-Server-Authentifizierung, sondern auf Clientzertifikatsauthentifizierung als Authentifizierungsverfahren konfiguriert werden (nicht alle Protokolle unterstützen die Clientzertifikatsauthentifizierung).

Folgende serverseitigen Parameter sind konform zu den Verschlüsselungsrichtlinien der Institution zu konfigurieren:

Sichere Dienstekonfiguration

Domino bietet unter anderem folgende Dienste an:

Eine sichere Dienstekonfiguration muss sowohl die üblichen Standards zur sicheren Parametrisierung der Dienste berücksichtigen wie auch den Kontext im Rahmen der Sicherheitsarchitektur, in dem dieser Dienst betrieben wird. So kann sich die Konfiguration eines E-Mail- oder Instant-Messaging-Dienstes, der nur unternehmensintern genutzt wird und auf einem Domino-Server ohne Außenanbindung betrieben wird, erheblich von der Konfiguration des gleichen Dienstes unterscheiden, der auf einem Server in der DMZ zur Abwicklung des E-Mail-Verkehrs und zur Instant-Messaging-Anbindung an das Internet betrieben wird.

Es ist daher erforderlich, für jeden Dienst eine Sicherheitsbetrachtung vorzunehmen, die nicht nur den Schutzbedarf des Dienstes, sondern auch den Schutzbedarf des Domino-Servers (und damit der weiteren Dienste, die auf demselben Domino-Server laufen) berücksichtigt. Dazu sind die in M 2.207 Sicherheitskonzeption für Lotus Notes/Domino beschriebenen Empfehlungen, vor allem die dort enthaltene Konzeption zur Absicherung der genutzten Domino-Dienste, umzusetzen.

Für jeden Dienst ist in dem entsprechenden Konzept zur Absicherung sowohl ein Berechtigungskonzept für den Zugriff auf den Dienst (Zugriffskonzept) zu erstellen, als auch die dienstspezifischen Parameter sicher zu konfigurieren. Hierbei sind insbesondere unsichere Voreinstellungen der Software zu bereinigen. Die Umsetzung dieses Konzeptes hat für jeden Domino-Dienst direkt nach der Installation des Dienstes zu erfolgen.

Nicht benötigte Dienste sollten, wenn möglich, nicht installiert werden, indem bereits eine passende Grundinstallation ausgewählt wird. Ist dies nicht möglich, sind die entsprechenden Server Tasks zu deaktivieren.

Sichere Client-Konfiguration

Für die Lotus Notes/Domino-Plattform können unterschiedliche Clients eingesetzt werden. Dabei ist nach Einsatzzweck zwischen folgenden Arten zu unterscheiden:

Aus technologischer Sicht ist zu unterscheiden zwischen:

Grundsätzlich sind alle eingesetzten Client-Typen gemäß dem institutionsspezifischen, in M 2.207 Sicherheitskonzeption für Lotus Notes/Domino erwähnten Härtungskonzept und Konfigurationsvorgaben abzusichern. Für Clients, die in Zusammenhang mit Push-Diensten betrieben werden, sind bei der Konfiguration auch die clientseitigen Parameter des Konzeptes zur Nutzung von Push-Diensten aus M 2.207 Sicherheitskonzeption für Lotus Notes/Domino zu berücksichtigen.

Bereits bei der Architekturplanung ist festzulegen, welche Client-Typen zum Einsatz kommen sollen. Dabei ist zu berücksichtigen, dass abhängig vom Einsatzzweck und dem Schutzbedarf der Clients eine unterschiedliche Konfiguration erforderlich sein kann. Grundsätzlich sind administrative und andere hoch schutzbedürftige Clients restriktiver abzusichern.

In der Client-Konfiguration sind Schwachstellen, die durch unsichere Voreinstellungen entstehen, zu beheben. Weiterhin sind die Parameter zum Aufbau einer sicheren Verbindung, Replikationsparameter und die Parameter zur Notes-basierten Verschlüsselung aller clientseitiger Daten zu berücksichtigen. Hier sind die Vorgaben der Planung der Kommunikationssicherheit aus M 2.206 Planung des Einsatzes von Lotus Notes/Domino , des Konzeptes zur Absicherung der Domino-Dienste aus M 2.207 Sicherheitskonzeption für Lotus Notes/Domino und des Konzeptes zur Nutzung der Notes/Domino-eigenen Sicherheitsmechanismen aus M 2.207 Sicherheitskonzeption für Lotus Notes/Domino ( u. a. für die Verschlüsselung der clientseitigen Daten) zu beachten.

Wird erstmalig der Full Client genutzt, so ist der bislang nicht vorhandenen Komplexität Rechnung zu tragen und eine detaillierte Konfigurationsvorgabe (idealerweise mit einem entsprechenden Schulungsangebot für die Benutzer) für den Rollout vorzubereiten.

Prüffragen: