Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino

Zusammenarbeit 2.0: Fit für die Zukunft.

Keine Kompromisse! Mehr Sicherheit

& Compliance für IBM Domino

Matthias Förg

BCC Unternehmensberatung GmbH

www.bcc.biz

[email protected]

+49 6196 64040-40

http://www.bcc.biz/

mailto:[email protected]

Keine Kompromisse! – Mehr Sicherheit & Compliance

BCC in aller Kürze

Lösungen für das sichere und kosteneffiziente Management von

Social Business & Collaboration Infrastrukturen mit dem

Schwerpunkt auf IBM Collaboration Solutions (ICS/Lotus)

Consulting, Lösungen & Implementierung

Gegründet 1996, 30 Mitarbeiter

Firmensitz in Eschborn bei Frankfurt am Main,

Niederlassungen in Düsseldorf (Ratingen), Karlsruhe

Tochterunternehmen:

• BCC Business Collaboration Company Ltd. in London, UK

• ICODEX Software GmbH in Wien, Österreich

> 800 Kunden; > 3 Millionen Anwender; > 80 Partner


Zentrale Frage

Wie gewährleisten Sie die

Einhaltung von Sicherheits-

anforderungen an Ihre Messaging-

& Collaboration-Infrastruktur?


Ausgangssituation

Sicherheitsanforderungen

• Unternehmenssicherungskonzepte (z. B. BaFin

Vorschiften in Kreditinstituten)

• IT-Sicherheitskonzept des einzelnen Unternehmens

• Handbuch IT Change Management

• Arbeits- und Verfahrensanweisungen, Checklisten

Herausforderung für die IT

• Definition der konkreten Change Prozesse

• Prozessüberwachung und Eskalation

• Lückenlose Dokumentation


Informationsquellen

BSI Grundschutzhandbuch

• Organisationsempfehlungen

• Konfigurationsempfehlungen

• Detaillierte Abhandlung

zum Thema E-Mail

BSI „ISi Checks“ Handbücher &

Checklisten

• ISi Check IBM Lotus Domino

• ISi Check Mail Clients

Allgemein

• ISi Check LANA


Informationsquellen

IBM (Lotus) Domino Administrator Hilfe, Security

• Operating System Security

• Network Security

• Server Security

• ID Security

• Application Security

• Workstation Security

• ID-Vault

• …


Risiken in der „nativen“ Administration

ID Typen und Schutzbedarf

• CERT.IDs > Mehrfachkennwortschutz

• SERVER.IDs > Mehrfachkennwortschutz

• USER.IDs > Kennwortsicherheit

• Alle ID-Typen > Physikalischer Schutz (Diebstahl,

Korruption, Verlust)

lückenlose Historie

Dokumentation von Erstellung,

Änderungen und Löschung


Risiken in der „nativen“ Administration

Systemdatenbanken und Schutzbedarf

• NAMES.NSF > ACL Schutz, Änderungs-Doku, 4 Augen

• ADMIN4.NSF > ACL Schutz, Änderungs-Doku

• LOG.NSF > ACL Schutz, Änderungs-Doku

• EVENTS4.NSF > ACL Schutz, Änderungs-Doku

• DDM.NSF > ACL Schutz, Änderungs-Doku

• DOMLOG.NSF > ACL Schutz, Änderungs-Doku

• CERT.LOG > ACL Schutz, Änderungs-Doku

• ID-VAULT.NSF > ACL Schutz, Änderungs-Doku


ID Vault


ID Vault – Was empfiehlt die IBM?

IBM legt allen Anwendern nahe, die Server-ID unbedingt zu schützen: „We understand that most Domino servers are not password-protected to make unattended reboots simpler, but the vault server's ID file is a key element in the security of your ID vault. A sophisticated attacker with a vault database and one of the corresponding server Ids ... would have all of the cryptographic information needed to masquerade as the vault server and decrypt all of the ID files stored in the vault.“

http://www-10.lotus.com/ldd/dominowiki.nsf/dx/securing-your-notes-id-vault-server


ID Vault - Was empfiehlt das BSI?

"Da Server-IDs für ausgezeichnete Systemkomponenten zur Identifikation

benutzt werden, müssen sie entsprechend gut geschützt werden.

[...]

Die Verwendung eines Passwortes erfordert die Passworteingabe bei jedem

Serverstart. Falls keine organisatorischen Gründe dagegen sprechen (z. B.

wenn der Remote-boot von Servern an verschiedenen Standorten regelmäßig

und ohne Vor-Ort-Unterstützung erfolgen muss), wird die Nutzung von

Server-ID-Passwörtern empfohlen. Sicherheitskopien müssen immer mit

einem Passwort versehen sein. Durch den Einsatz von Dritthersteller-

Software kann auch dann ein automatisierter Systemstart ermöglicht

werden, wenn die Server-IDs mit Passwörtern geschützt sind."


ID Vault, Server.ID & ACL

Der Zugriff und die Nutzung der Server ID des Vault Servers muss besonders geschützt werden

• Setzen von Passwörtern auf die Server ID Dateien

• Upgrade Server ID Keys auf 2048 Bit (Keyrollover)

Überwachung der Vault ACL und Auditor Rolle

• SECURE_DISABLE_AUDITOR=1 in der Notes.ini um diese

Funktion auszuschalten

• Schutz der Anwendungs-ACL vor Änderungen

• Beschränkung der „FullAccess-Admin“ Funktion


Kurzvorstellung DominoProtect

Implementierung zusätzlicher Sicherheitsebene

• Unabhängig von Domino Admin Rechten • Nicht durch Admin manipulierbar

Erweiterte detaillierte Protokollierung

• von sicherheitsrelevanten Änderungen • Protokollierung außerhalb von Domino möglich • mit Benachrichtigung bei sicherheitskritischen Änderungen

Realtime Protection

• Verhinderung von Änderungen & Zugriffen • Verhinderung von Manipulationen

Change Management

• Änderung nur mit Genehmigung • Rollback bei unerwünschten

Änderungen


Beispiele

Kennwortschutz der Server-ID‘s

ACL Änderung an der Mail-Datenbank der Geschäftsführer nur per

Request

ACL Änderung für Datenbanken „Verträge“ und „Betriebsrat“

werden per E-Mail gemeldet

Änderung der Mitgliedschaften in den Gruppen

„Geschäftsführung“ und „Betriebsrat“ nur per Change Request

Änderung bei den Gruppen „Personalabteilung“ & „Buchhaltung“

werden per E-Mail gemeldet

Schutz des Feld „Full Access Admin“


Warum DominoProtect?

Vereinfachung

der Administration durch Standards

Zuwachs an Sicherheit

durch Change Prozesse und Fall Back

Unterstützung

Dokumentation

Automatische aktuelle Doku

Kaum Einarbeitung

bei Personalwechsel


BCC Unternehmensberatung GmbH

Matthias Förg

[email protected]

+49 6196 64040-40

Fragen?



Zusammenarbeit 2.0: Fit für die Zukunft.

Bitte nehmen Sie sich die Zeit,

um diesen Vortrag zu bewerten

(A6-Block in Ihren Konferenzunterlagen)

Rückgabe

Geben Sie das ausgefüllte Bewertungsblatt bei

dem Moderator/Betreuer Ihres Vortrages bzw.

am Tagungscounter der DNUG ab.

Verlosung

Unter allen Teilnehmern

wird ein iPod nano verlost.

Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino

Software

Transcript of Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino