M 4.119 Einrichten von Zugangsbeschränkungen auf Lotus Notes Server
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Bevor der Zugriff auf eine Datenbank eines Notes-Servers erlaubt wird, führt der Server schon beim Verbindungsaufbau eines Clients eine erste Zugriffskontrolle durch. Dadurch kann erreicht werden, dass die vom Server angebotenen Datenbanken nur einem bestimmten Benutzerkreis zugänglich sind oder dass der Zugang an weitere Eigenschaften geknüpft ist. Folgende Mechanismen zur Zugriffsbeschränkung können verwendet werden:
- Bei der Benutzerauthentisierung wird der in der Benutzer-ID enthaltene öffentliche Schlüssel mit der Kopie des öffentlichen Schlüssels des Benutzers im Namens- und Adressbuch verglichen. Dies verhindert, dass gefälschte IDs benutzt werden können.
- Der anonyme Zugriff auf den Server kann verweigert werden. Anonym ist ein Zugriff auch dann, wenn ein Benutzer mit einer Notes-ID zugreift, die von einer Zertifizierungsinstanz ausgestellt wurde, die der Server nicht kennt, d. h. es existiert kein gemeinsames Root-CA-Zertifikat (CA = Certificate Authority) oder kein Cross-Zertifikat.
- Das Notes-ID-Passwort kann zusätzlich überprüft werden. Dabei wird jeweils ein Hash-Wert des aktuellen Passwortes genau einer Benutzer-ID gespeichert und bei Passwortänderungen nachgezogen. Dadurch wird erreicht, dass nur mit einer bestimmten Benutzer-ID auf den Server zugegriffen werden kann. Mit Kopien der Benutzer-ID (z. B. mit kompromittiertem Passwort), die nicht das aktuelle Passwort tragen, ist das Anmelden dann nicht mehr möglich. Achtung: Ist diese Option aktiviert, wird die Benutzer-ID-Kopie, auf der zuerst das Passwort geändert wird, zu der ID, mit der ab dann nur noch die Anmeldung möglich ist (dies kann auch die des Angreifers sein).
- Der Zugriff kann auf die Benutzer eingeschränkt werden, die im Namens- und Adressbuch des Servers enthalten sind.
- Es können explizite Erlaubnis- und Ausschlusslisten angegeben werden (Access/Deny Listen). Ausschlusslisten haben dabei Vorrang vor Erlaubnislisten. Dies kann z. B. dazu genutzt werden, einzelnen Benutzern den Zugriff zu verweigern. Zur einfacheren Administration der Listen empfiehlt sich die Verwendung von Gruppen.
- Auch Server besitzen eine Identität und können in Access/Deny Listen bzw. den darin enthaltenen Gruppen angegeben werden.
- Bestimmte Server-Operationen können auf eine Liste von Benutzern oder Gruppen eingeschränkt werden. Beispiele für solche Operationen sind das Anlegen von Datenbanken, das Erzeugen von Replikaten, die Nutzung von Monitoren, die Administration über die Web-Schnittstelle und das Ausführen von Agenten und Skripten. Je nach Option kommen verschiedene Vorgaben zum Einsatz, wenn keine explizite Liste angegeben wird. Beispielsweise dürfen standardmäßig alle Benutzer neue Datenbanken anlegen.
- Notes erlaubt es, Server als Vermittlungs-Server, z. B. bei der Einwahl, einzusetzen oder Server über Vermittlungs-Server anzusprechen. Im Rahmen des Notes-Sicherheitskonzeptes ist zu planen, ob dies notwendig ist und welchen Benutzergruppen die Berechtigung zum so genannten "Pass-through"-Zugriff erteilt werden soll.
Es ist für jede Server-Installation im Rahmen der vorhergehenden Planung zu entscheiden, welche dieser Mechanismen genutzt werden sollen.
Ergänzende Kontrollfragen:
- Sind adäquate Zugriffskontroll-Mechanismen auf den Notes Servern eingerichtet?