G 3.46 Fehlerhafte Konfiguration eines Lotus Domino Servers

Fehlkonfigurationen eines Software-Systems sind häufig die Ursache für erfolgreiche Angriffe. Aufgrund der Komplexität eines Lotus Domino Servers besteht auch hier die Gefahr, dass die installierte Lotus Notes/Domino-Umgebung durch Fehlkonfiguration nicht den geforderten Sicherheitsansprüchen genügt. Durch die Fülle an Konfigurationseinstellungen und durch die sich gegenseitig beeinflussenden Parameter können auch viele Gefährdungen entstehen.

Fehlerhafte Konfigurationen können sowohl bei der Grundkonfiguration eines Lotus Domino Servers als auch bei der Konfiguration spezieller Dienste, die von dem Server bereitgestellt werden, vorkommen. Dazu zählen z. B. der integrierte Webserver (HTTP-Task) oder die für iNotes bzw. Domino Web Access genutzten Domino Offline Services (DOLS). Aber auch die fehlerhafte Konfiguration des Datenbankdienstes von Domino ist ein Problem für die Gesamtsicherheit des Servers.

Einige typische Fehlkonfigurationen werden im Folgenden aufgeführt:

Die aufgeführten Problemfelder sind Beispiele für mögliche Gefährdungen durch Fehlkonfigurationen eines Lotus Domino Servers. Abhängig vom jeweiligen Einsatzumfeld können weitere hinzukommen.

Beispiel:

Ein Server ist so konfiguriert, dass anonyme Zugriffe nicht gestattet sind. An der Web-Schnittstelle sind nur SSL-Verbindungen erlaubt. Bei der Konfiguration der Datenbank-ACLs wird daher kein Anonymous-Eintrag erstellt. Weiterhin wird auf das Erzwingen des SSL-geschützten Web-Zugriffs verzichtet, da der Server nur SSL-Verbindungen an der Web-Schnittstelle annimmt. Die Default-Rechte aus den Datenbank-Vorlagen wurden nicht geändert, um den administrativen Aufwand bei Vorlagenänderungen zu minimieren. Durch die Einführung einer neuen Datenbank, die öffentliche Informationen enthält, wird der Server so konfiguriert, dass nun auch normale Web-Zugriffe auf diese Datenbank erlaubt sind (anonym, nicht SSL- geschützt). Ab nun kann auf alle Server-Datenbanken anonym zugegriffen werden, es gelten dabei die Default-Rechte, die oft mindestens das Lesen erlauben. Dadurch besteht die Gefahr, dass Unbefugte vertrauliche Daten einsehen oder Informationen manipulieren können.