M 4.116 Sichere Installation von Lotus Notes/Domino

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Voraussetzung für die sichere Installation von Lotus Notes/Domino ist die Planung der Rahmenbedingungen des Einsatzes, beschrieben in M 2.206 Planung des Einsatzes von Lotus Notes/Domino. Anschließend erfolgt die Installation der Lotus Notes/Domino-Komponenten auf den relevanten Servern und Clients. Dazu müssen sichere Installationsverfahren sowie eine schutzbedarfsorientierte Absicherung der Installationsumgebung und der Installationsmedien festgelegt und eingehalten werden.

Es ist sinnvoll, zwischen Installationsverfahren bei Neuinstallation der gesamten Lotus Notes/Domino-Plattform und Installationsverfahren bei Anpassungen (Software-Upgrades, Patches) und Migrationen zu unterscheiden.

Neuinstallation

Bei einer Neuinstallation von Lotus Notes/Domino ist aus Sicherheitssicht Folgendes zu beachten:

Anpassungen (Upgrades) und Migrationen

Als Anpassung (Upgrade) wird hierbei eine reine Softwareanpassung bezeichnet, also eine Änderung des im Einsatz befindlichen Releases der Lotus Notes/Domino-Software oder einzelner Komponenten der Software einschließlich der für die Lotus Notes/Domino-Plattform zugekauften oder eigenentwickelten Komponenten.

Unter einer Migration wird sowohl eine Softwareanpassung mit Änderungen der Nutzdatenbestände (beispielsweise bei Formatänderungen der Datenbestände, Änderungen der verwendeten Datenbanken, Datenbereinigungen und Konsolidierungen) wie auch der Wechsel von einer anderen Plattform für E-Mail und Zusammenarbeit hin zur Lotus Notes/Domino-Plattform verstanden.

Bei Anpassungen (Upgrades) und Migrationen von Lotus Notes/Domino ist aus Sicherheitssicht Folgendes zu beachten:

Absicherung der Installationsumgebung und Installationsmedien

Generell sind Installationsumgebungen und Installationsmedien gegen Manipulation vor oder während des Installationsvorgangs abzusichern (siehe M 4.177 Sicherstellung der Integrität und Authentizität von Softwarepaketen). Dies gilt insbesondere auch für die Installation von Lotus Notes/Domino-Komponenten.

Gängige Verfahren sind z. B. die Abkopplung der Server, auf denen Installationen durchgeführt werden, vom Netz und die durchgängige Verwendung integritätsgesicherter Originalmedien des Herstellers für die Installation. Da dies jedoch mit erhöhtem administrativem Aufwand verbunden ist und insbesondere in großen Institutionen oder bei Providern oft nicht der gängigen Praxis entspricht, können alternative Sicherheitsmaßnahmen genutzt werden. So ist für Software, die nicht auf Originalmedien, sondern per elektronischer Kanäle vom Hersteller bezogen wird (z. B. Download, automatische Softwareaktualisierung durch den Hersteller, E-Mail etc.), in jedem Fall ein Installationsverfahren zu etablieren, das eine angemessene Integritätsprüfung der Software beinhaltet. Die Qualität der verwendeten Mechanismen, wie z. B. die zur Integritätssicherung verwendeten Hashes, muss den Schutzbedarf der zu installierenden Komponente berücksichtigen.

Für Lotus Notes/Domino bietet der Hersteller die Möglichkeit des elektronischen Bezugs der Software über HTTP-Download oder über die Nutzung eines speziellen Dowload-Applets (Download Director). Letzteres bietet erhöhte Sicherheit und entspricht laut Herstellerangaben den Anforderungen der Common Criteria für Softwaredownloads. Da kein vom Hersteller angebotener transparenter Mechanismus zur Integritätsüberprüfung einzelner Komponenten vorhanden ist, sollten bei hohem oder sehr hohem Schutzbedarf von Lotus Notes/Domino Maßnahmen getroffen werden, um sicherzustellen, dass der Download nicht kompromittiert werden kann. Es ist sicherzustellen, dass während des Downloads kein weiterer Zugriff (auch kein administrativer) auf das Zielverzeichnis/Ziellaufwerk erfolgen kann und dass nach erfolgreichem Download eine Integritätssicherung mittels entsprechender Hashes erfolgt.

Werden in der Institution zentrale Ablagen für Installationsmedien genutzt (Installationslaufwerke, Installationsserver), ist für diese eine dem Schutzbedarf der Medien entsprechende Absicherung vorzusehen. Hierzu gehören unter anderem entsprechende Maßnahmen zum Zugriffsschutz, zur Integritätssicherung und zur Gewährleistung der Verfügbarkeit. Wenn technisch und aus Administrationsgesichtspunkten möglich, sind die Installationslaufwerke sowie Installationsserver nur zeitlich eingeschränkt für Installationsvorgänge freizugeben.

Kritische Vorgänge bei Installation, Anpassungen und Migrationen

Bei der Installation des Lotus Domino Servers sind die Vorgänge zur Erzeugung wesentlicher technischer Elemente der Domänen- und Zertifikatshierarchie kritisch, da eine Kompromittierung dieser Elemente zu einer Kompromittierung der gesamten Domino/Notes-Sicherheitsmechanismen führen kann. Folgendes ist aus Sicherheitssicht zu berücksichtigen:

Nutzung der erweiterten Zugriffskontrolle (xACL)

Lotus Notes/Domino bietet seit der Version 6 die Möglichkeit, erweiterte ACLs (extended ACLs oder xACLs) für ein Domino Directory oder einen Extended Directory Catalog aufzusetzen. Die mit Hilfe der xACLs implementierten zusätzlichen Möglichkeiten des Zugriffsschutzes ermöglichen z. B. Delegation administrativer Tasks, eingeschränkt auf Organisationseinheiten und weitergehenden Schutz auf Feldebene für NRPC, HTTP, LDAP, POP3 und IMAP-Zugriffe. Dadurch kann z. B. das Auslesen von Passwort-Hashes per HTTP-Zugriff auf Personendokumente in der names.nsf verhindert werden. Die Technote 1244808 des Herstellers beschreibt die dazu nötigen Schritte.

Für alle Lotus Notes/Domino-Systeme mit hohem oder sehr hohem Schutzbedarf bezüglich Vertraulichkeit oder Integrität ist die Nutzung der xACLs zu planen und umzusetzen. Durch die Aktivierung der xACLs wird automatisch der Eintrag der Gruppe ANONYMOUS in den ACLs auf NO ACCESS gesetzt.

Werden keine xACLs genutzt, ist bei der Domino-Installation die Gruppe ANONYMOUS standardmäßig auf NO ACCESS zu setzen. Sollen für einzelne Datenbanken anonyme Zugriffe erlaubt werden, ist dies auf Datenbankebene explizit freizuschalten.

Prüffragen: