M 2.211 Planung des Einsatzes von Lotus Notes in einer DMZ
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Die in den Datenbanken eines Notes-Servers gespeicherten Daten können auch für den öffentlichen Zugriff aus dem Internet bereitgestellt werden. Dies stellt besondere Anforderungen an die Sicherheit des dazu benutzten Notes-Servers.
Für den direkten Zugriff auf einen Notes-Server aus dem Internet ist generell folgendes zu beachten:
- Direkte Zugriffe aus dem Internet auf einen Notes-Server im lokalen Netz dürfen nicht erfolgen. Alle internen Notes-Server sind vor direkten Zugriffen aus dem Internet mit einer Firewall zu schützen (siehe auch Baustein B 3.301 Sicherheitsgateway (Firewall)).
- Notes-Server, auf die direkt aus dem Internet zugegriffen wird, müssen in einem separaten Netz (einer sogenannten DeMilitarisierten Zone, DMZ) angesiedelt sein. Der Zugriff auf den Server muss durch eine Firewall abgesichert werden (siehe auch M 2.77 Integration von Servern in das Sicherheitsgateway).
Bei einer Anbindung an das Internet können auftretende Sicherheitsprobleme gravierende Folgen haben (siehe G 5.100 "Hacking Lotus Notes"). Daher sollte darauf verzichtet werden, Notes-Server für Zugriff aus dem Internet zu öffnen. Kommt trotzdem ein Notes-Server in der DMZ zum Einsatz, so muss die Konfiguration der Sicherheitseinstellungen besonders sorgfältig erfolgen. Dabei sind insbesondere die folgenden Punkte zu beachten:
- Es muss eine Sicherheitskonzeption für die Anbindung von Notes-Servern an das Internet erarbeitet werden, in dem u. a. die Sicherheitsziele und die grundlegenden Voraussetzungen festgelegt sind, die erforderliche Netzstruktur beschrieben ist und alle organisatorischen Regelungen festgehalten sind.
- Der Notes-Server sollte in einer separaten Notes-Domäne angesiedelt werden.
- Es sollte eine eigene Zertifizierung des Servers erfolgen, die keine Berechtigungen im Intranet der Behörde bzw. des Unternehmens besitzt.
- Der Notes-Server in der DMZ darf nicht mit internen Notes-Servern replizieren. Für den Datentransfer können dateibasierte Mechanismen, z. B. ftp, zum Einsatz kommen.
- Die Firewall-Konfiguration muss das Initiieren von Verbindungen vom Notes-Server in das interne Netz unterbinden. Ist ein Datenaustausch zwischen internen Systemen und dem Notes-Server in der DMZ notwendig, so dürfen Verbindungen nur von den internen Systemen initiiert werden können. Auch hier sollte auf die Verwendung von Notes-Mecha-
- nismen zum Datenaustausch verzichtet werden, um einen bewussten Protokollbruch zu erzeugen.
- Datenbanken enthalten auch ausführbaren Programmcode, wie Agenten und Skripten, die zur Kompromittierung des internen Netzes genutzt werden können. Datenbanken, die vom Notes-Server in der DMZ in das interne Netz zur Weiterverarbeitung transferiert werden, sollten daher einer Sicherheitsüberprüfung unterzogen werden.
- Sollen nur HTML-Seiten (und keine Notes-Datenbanken) durch den Server angeboten werden, so ist ein reines WWW-Server-Produkt zu verwenden. Durch einen Notes-Server werden komplexe Funktionen und Mechanismen angeboten, die sich nicht alle deaktivieren lassen und damit als mögliche Angriffspunkte genutzt werden können. Beispielsweise ist immer eine Verbindung über das Notes-Protokoll möglich.
- Das Notes-System sollte ebenso wie andere existierende Systeme in der DMZ überwacht werden.
Neben den hier aufgeführten Aspekten können sich durch die Nutzung eines Notes-Systems in exponierter Stellung weitere Probleme ergeben. Es wird empfohlen, eine individuelle Risikoabwägung durchzuführen, die den Schutzbedarf der IT-Anwendungen und Informationen berücksichtigt.
Ergänzende Kontrollfragen:
- Gibt es zwingende Gründe Internet-Zugriffe auf Notes-Server zuzulassen?
- Ist das IT-Sicherheitsmanagement in diese Entscheidung einbezogen worden?
- Existiert ein Sicherheitskonzept für den Einsatz von Lotus Notes in der DMZ?