Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.124 Konfiguration der Authentisierungsmechanismen beim Browser-Zugriff auf Lotus Notes - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.124 Konfiguration der Authentisierungsmechanismen beim Browser-Zugriff auf Lotus Notes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator, Benutzer

Bei der Nutzung von Browsern zum Zugriff auf einen Lotus Domino Server muss entschieden werden, welches Authentisierungsverfahren an der Web-Schnittstelle zum Einsatz kommen soll. An der Web-Schnittstelle stehen verschiedene Authentisierungsmechanismen zur Verfügung:

  1. Keine Authentisierung: Anonymer Zugriff
  2. Authentisierung über Benutzername und Passwort
  3. Authentisierung mittels Client-Zertifikaten

Zunächst ist daher zu ermitteln, ob anonyme Zugriffe auf den Server erlaubt werden müssen. Dies ist dann der Fall, wenn öffentliche Daten auch Benutzern zugänglich gemacht werden sollen, die keine Notes-Benutzer sind. Es empfiehlt sich jedoch, öffentliche Daten auf einem speziellen Server zu halten, der ausschließlich öffentliche Daten enthält. Für einen solchen Server kann der anonyme Zugriff erlaubt werden. Auf einem Produktionsserver sollten anonyme Zugriffe generell nicht erlaubt sein, sodass an der Web-Schnittstelle immer authentisiert wird.

Die Art der zu nutzenden Authentisierungsverfahren hängt von verschiedenen Faktoren ab. Folgendes muss dabei (auch im Rahmen einer Risikoabschätzung) berücksichtigt werden:

  1. Authentisierung über Benutzername und Passwort
    Im Rahmen des HTTP-Protokolls kann ein Benutzer durch das Eingeben von Benutzername und Passwort authentisiert werden. Die Daten werden durch den Browser eingelesen und von diesem bei jeder Anfrage an den Server (hier das Domino Web-Server-Modul) gesendet.
    Folgende sicherheitsrelevanten Aspekte sind bei der Nutzung dieses Authentisierungsverfahrens zu berücksichtigen:
    1. Ohne SSL-Absicherung werden die Authentisierungsdaten bei jeder Anfrage nur in 7-Bit-Code umgewandelt aber offen (im base64-Format) übertragen und können daher leicht abgehört und durch Dritte in Erfahrung gebracht werden. Der Web-Zugriff sollte daher immer mit SSL erfolgen (siehe M 4.123 Einrichten des SSL-geschützten Browser-Zugriffs auf Lotus Notes).
    2. Das Internet-Passwort muss verschieden vom Passwort der Notes-ID gewählt werden. Gelingt es einem Angreifer, das Internet-Passwort in Erfahrung zu bringen, und wird dieses Passwort auch für die Notes-ID verwendet, so kann der Angreifer auch die Notes-ID verwenden (sofern er darauf Zugriff erlangen kann). Mit der Notes-ID kann der Angreifer dann über einen Notes-Client auf das Lotus Domino System zugreifen, und die erweiterten Funktionen von Notes-Clients nutzen, beispielsweise Zertifikate exportieren und das Passwort der Notes-ID ändern).
    3. In älteren Notes-Versionen (vor 4.6) wird das Internet-Passwort im Personendokument so gespeichert, dass gleiche Passwörter zum gleichen Wert führen (es wird ein so genannter "unsalted hash" genutzt). Dadurch ist es sehr einfach, gleiche Passwörter zu suchen bzw. zu entdecken. Ältere Notes-Versionen sollten daher möglichst nicht eingesetzt werden.
    4. An der Web-Schnittstelle existiert keine Beschränkung für Fehlversuche bei der Authentisierung. Eine solche Beschränkung kann mit Hilfe von Zusatzprodukten von Drittherstellern nachgerüstet werden. Es wird empfohlen zu prüfen, ob der Einsatz eines solchen Zusatzprodukts im vorliegenden Anwendungsfall erforderlich ist.
    Dieser Authentisierungsmechanismus weist bei seiner Nutzung über ungeschützte Verbindungen inhärente Schwächen auf. Daher sollte der Zugriff auf einzelnen Datenbanken für Benutzer eingeschränkt werden (siehe Maßnahme M 4.125 Einrichten von Zugriffsbeschränkungen beim Browser-Zugriff auf Lotus Notes Datenbanken), wenn sie über diesen Mechanismus authentisiert werden.

  2. Authentisierung mittels Client-Zertifikaten
    Folgende sicherheitsrelevanten Aspekte sind bei der Nutzung dieses Authentisierungsverfahrens zu berücksichtigen:
    1. Damit Client-Zertifikate verwendet werden können, muss SSL (Version 3) mit Client-Authentisierung benutzt werden. Da alle Browser-Verbindungen generell mit SSL gesichert werden sollten, stellt dies keine Einschränkung dar.
    2. Jeder Benutzer (genauer: dessen Browser) muss mit einem Client-Zertifikat versorgt werden. Dies bedeutet entweder den Betrieb eines eigenen Zertifizierungsservers oder das Einrichten einer Vertrauensstellung für eine externe Zertifizierungsstelle. Zusätzlich muss die Verwaltung der Zertifikate erfolgen. Dies bedeutet erhöhten Aufwand und setzt entsprechendes Wissen bei den Administratoren und auch Benutzern voraus. Insbesondere die Benutzer müssen mit den Managementfunktionen für Zertifikate im Browser vertraut sein.
    3. Die Sicherheit der Authentisierung hängt wesentlich von der lokalen Sicherheit des Web-Clients ab (siehe M 4.127 Sichere Browser-Konfiguration für den Zugriff auf Lotus Notes).

Ein generelles Votum für genau einen der beiden Mechanismen kann an dieser Stelle nicht gegeben werden. Es ist jedoch möglich, beide Mechanismen parallel zu aktivieren. In diesem Fall wird vom Server zunächst vom Client eine Authentisierung mittels SSL-Client-Zertifikat angefordert. Besitzt der Client kein Zertifikat oder verweigert der Benutzer die Nutzung des Zertifikats, so kommt der Mechanismus "Benutzername und Passwort" zum Einsatz.

Beispiel:

Folgende Tabelle zeigt die Einstellungen im Serverdokument, die eine SSL-Authentisierung mittels Client-Zertifikat ("Client Certificate" = Enabled) und/oder die SSL-gesicherte Authentisierung über Benutzername und Passwort ("Name & Password" = Enabled) erzwingen. Damit keine ungesichertenVerbindungen angenommen werden, werden alle Verbindungswünsche entweder an den SSL-Port weitergeleitet ("TCP/IP port status" = Redirect to SSL) oder verweigert ("TCP/IP port status" = Disable). Der SSL-Port wird so konfiguriert, dass auch keine anonymen Verbindungen über eine SSL-Verbindung angenommen werden ("Anonymous" = No).

 
HTTP-Einstellungen  TCP/IP port status:  Redirect to SSL oder Disable 
  Name & Password:  No 
  Anonymous:  No 
HTTPS(SSL)-Einstellungen  SSL port status:  Enabled 
  Client certificate:  Enabled oder Disabled* 
  Name & Password:  Enabled oder Disabled* 
  Anonymous:  No 

Tabelle: Serverdokument/Ports/Internet Ports

Ergänzende Kontrollfragen: