Domino Internet Security Neue Standards für Domino Stefan Dötsch– Stuttgart – 7. Mai 2015 Erwartungen schärfen! Wir reden nicht: - über Poodle (und TLS) - über IHS für Domino - Politik! Wir versuchen Awareness für ein relevantes und kritisches Thema zu schaffen, welches sich auch arbeitsrechtlich auswirken kann. Dabei versuchen wir, Ihnen (technische) Hilfestellungen mit auf den Weg zu geben, die aber nur einen BRUCHTEIL der Aspekte abdecken. Copyright CENIT AG 08.05.2015 Seite 2 Background PHARMA, MILITÄR, UVM. Sonstige Typische Industrie Finanzdienstleister Copyright CENIT AG 08.05.2015 Seite 3 Agenda Awareness Sensibilisierung für das Thema Einführung Begriffsdefinition, Richtlinien und gesetzliche Vorgaben Das Skriptkiddie greift an Ein kleines Szenario Tipps und Tricks Wie können wir Domino härten? Was sollten wir organisatorisch tun? Abschlussdiskussion Fragen & Antworten Copyright CENIT AG 08.05.2015 Seite 4 Awareness Copyright CENIT AG 08.05.2015 Seite 5 Awareness „Hacker-Soldaten aus China, Russland, Iran, kriminelle Banden aus Osteuropa und Asien – sie alle sind auf der Suche nach nützlichen Informationen, mit dem Ziel, deutsche Produkte zu kopieren. Seien es Hightech-Produkte wie Medikamente oder Rüstungstechnik – tagtäglich fließt deutsches Know-how, der wertvollste Rohstoff der Bundesrepublik, ab.“ Zeit.de „Mehr als ein Drittel der Firmen mit mehr als 1000 Beschäftigten meldete dabei mehrere Angriffe pro Woche.“ taz.de Copyright CENIT AG 08.05.2015 Seite 6 Awareness Die Schäden die durch Cyberkriminalität entstehen, werden auf über 100 Milliarden Euro beziffert. In aller Regel sind die Administratoren nicht nur für den Betrieb, sondern auch die damit verbundene Sicherheit verantwortlich. In den wenigsten Fällen gibt es Unternehmen, die dedizierte Security Teams führen. Copyright CENIT AG 08.05.2015 Seite 7 Schadensfall als warnendes Beispiel Der US Handelskette „Target“ wurden im letzten Jahr Kundendaten gestohlen. Kundendaten? Name, Vorname, Adressdaten… UND Kreditkarten Daten. Schaden 26 Millionen Dollar, weitere 8 Millionen wurden durch eine Versicherung übernommen. Der Umsatz fiel um 16 Prozent, um 418 Millionen Dollar. Die Expansion in Kanada lief aus dem Ruder. Copyright CENIT AG 08.05.2015 Seite 8 Eine persönliche Anekdote.. Ich bin seit Jahren (zahlender) SKY Kunde. 2013 bin ich umgezogen, habe unter anderem auch eine neue Telefonnummer erhalten. Im gleichen Jahr wurden SKY Kundendaten gestohlen, darunter auch meine. Was darauf folgte? - Ich gewann plötzlich bei diversen Gewinnspielen. Die „Anbieter“ hatten unter anderem ja bereits meine Adressdaten. - „Spezielle“ Angebote per Mail. Darunter ein extrem guter Phising Versuch. Ich bekam neue Telefonnummern, wechselte meine Mail Adresse und habe heute noch ein extrem merkwürdiges Gefühl. Evtl. bin ich auch leicht Paranoid. Copyright CENIT AG 08.05.2015 Seite 9 Agenda Awareness Sensibilisierung für das Thema Einführung Begriffsdefinition, Richtlinien und gesetzliche Vorgaben Das Skriptkiddie greift an Ein kleines Szenario Tipps und Tricks Wie können wir Domino härten? Was sollten wir organisatorisch tun? Abschlussdiskussion Fragen & Antworten Copyright CENIT AG 08.05.2015 Seite 10 Fakten […] Zudem sind diese Betreiber aus den Branchen Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen verpflichtet, "erhebliche Störungen" ihrer Systeme an das Bundesamt für Sicherheit in der Informationstechnik zu melden (Paragraf 8b). […] Copyright CENIT AG 08.05.2015 Seite 11 Fakten „Die Anbieter sollen stattdessen durch technische und organisatorische Vorkehrungen sicherstellen, dass "kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist". Dies soll auch durch die "Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens" erreicht werden. “ Copyright CENIT AG 08.05.2015 Seite 12 Kennen Sie Ihren Feind! Cyber-Aktivisten: Wollen in der Regel auf einen „Missstand“ aufmerksam machen. Bsp.: Hackergruppe „Anonymous“ legte weltweit politische Webseiten lahm und veränderte teilweise die Inhalte um auf den Missstand des ACTA Abkommens hinzuweisen. Cyber-Kriminelle: Versuchen mithilfe Informationstechnik auf illegalem Weg Geld zu verdienen. Bsp.: Phishing via BND Trojaner. Wirtschaftsspione und Nachrichtendienste: Informationsbeschaffung von Organisationen. Copyright CENIT AG 08.05.2015 Seite 13 Arten von Cyber-Angriffen Angriffe auf die Vertraulichkeit Täter versuchen Informationen auszuspionieren indem Sie „abhören“ oder gelöschte Daten wiederherstellen. Angriffe auf die Integrität Manipulation von Informationen, Systemen, Software oder Personen. Angriffe auf die Verfügbarkeit Die Täter versuchen die System zu sabotieren. Copyright CENIT AG 08.05.2015 Seite 14 Warum sind Cyber-Angriffe möglich? Schwachstellen in der Software Design Schwachstellen Konfigurationsschwachstellen Menschliche Fehlhandlung Copyright CENIT AG 08.05.2015 Seite 15 Begünstigende Faktoren Insgesamt wird der Erfolg von Cyber-Angriffen vor allem durch folgende Faktoren begünstigt: In vielen Fällen nutzen Täter technische Schwachstellen aus, bevor sie öffentlich bekannt werden („Zero Day”). Programme, die solche neuen Schwachstellen ausnutzen („Exploits”), werden auf Untergrundmarktplätzen gehandelt. In dem Zeitraum zwischen dem Bekanntwerden einer Schwachstelle und dem Erscheinen eines entsprechenden Patches sind viele betroffene Systeme ungeschützt. Workarounds sind oft unbequem oder können aus organisatorischen Gründen nur schwer umgesetzt werden. Copyright CENIT AG 08.05.2015 Seite 16 Begünstigende Faktoren Neu veröffentlichte Updates und Patches werden bei vielen Institutionen erst nach Tagen, Wochen oder überhaupt nicht eingespielt. Dies kann zum Beispiel an mangelnden Ressourcen, organisatorischen Problemen oder an Inkompatibilitäten zwischen verschiedenen Komponenten liegen. Informationstechnik und die damit verbundenen Sicherheitsaspekte sind heute so komplex, dass viele Benutzer trotz Sensibilisierung und Schulung mit der Einhaltung der Sicherheitsrichtlinien überfordert sind. Copyright CENIT AG 08.05.2015 Seite 17 Agenda Awareness Sensibilisierung für das Thema Einführung Begriffsdefinition, Richtlinien und gesetzliche Vorgaben Das Skriptkiddie greift an Ein kleines Szenario Tipps und Tricks Wie können wir Domino härten? Was sollten wir organisatorisch tun? Abschlussdiskussion Fragen & Antworten Copyright CENIT AG 08.05.2015 Seite 18 Notes Database Jeder Query String kann mit einem ? oder einem ! angegeben werden. http://server/statrep.nsf?OpenDatabase http://server/statrep.nsf!OpenDatabase Mit Intruder Detection Systems können Sie so überprüfen, ob ein Anonymer Zugriff möglich ist. Weitere Strings sind: OpenServer, OpenNavigator, ReadEntries, OpenView, ReadViewEntries, OpenDocument, EditDocument, CreateDocument, DeleteDocument, SaveDocument, ReadDesign, OpenForm, ReadForm, OpenAgent, SearchView, OpenIcon, OpenAbout and OpenHelp Copyright CENIT AG 08.05.2015 Seite 19 Query OpenServer http://server/?OpenServer Dieses Kommando listet alle Datenbanken auf einem Domino Server auf. Dies liefert dem Angreifer Informationen darüber, ob sich sensible Datenbanken auf einem System befinden. Bsp crm.nsf Im Default ist database browsing DEAKTIVIERT und man erhält einen 403 Forbidden response. Ist es aktiv, so deaktiveren Sie „Allow HTTP Clients to browse databases“ in der Serverkonfiguration. Copyright CENIT AG 08.05.2015 Seite 20 Query OpenNavigator http://server/statrep.nsf/home?OpenNavigator Jede Datenbank enthält eine default Navigation „$defaultNav“. Die Navigation zeigt alle sichtbaren Views und Folders. Wird dies mit dem OpenNavigator Kommando kombiniert, wird ein Sicherheitsloch sichtbar. http://server/statrep.nsf/$defaultNav?OpenNavigator Der IBM Vorschlag sieht vor einen redirect vorzunehmen „*/*.nsf$defaultNav“ zB zu /. Copyright CENIT AG 08.05.2015 Seite 21 Query OpenNavigator Jedoch können wir dies umgehen in dem wir zum Beispiel mit der Replik ID arbeiten. http://server/123456789/$defaultNav oder wir substituieren ein Zeichen mit Hexcode als Äquivalent http://server/$%64efaultNav Copyright CENIT AG 08.05.2015 Seite 22 Query OpenNavigator Besser ist es 8 mappings zu erstellen */%24D* */%24d* */%24%64* */%24%44* */$d* */$D* */$%64* */$%44* Copyright CENIT AG 08.05.2015 Seite 23 Query ReadEntries http://server/statrep.nsf/home?ReadEntries Dies zeigt eine XML Liste aller verfügbaren Views. Diese XML Liste enthält neben der UNID auch den Namen der View. Liefert etwas mehr Informationen als der Angriff über den default Navigator. Der einzig sinnvolle Schutz ist es, eine saubere ACL zu haben. Wir können hier keinen redirect machen, da wir ansonsten ReadForm usw. ebenfalls ausgrenzen. Copyright CENIT AG 08.05.2015 Seite 24 Query Unkritische Queries http://server/statrep.nsf/view?OpenView Das Kommando öffnet schlichtweg eine View und stellt erstmal kein Problem dar. http://server/statrep.nsf/view?ReadViewEntries Der ReadViewEntries gibt ähnlich wie ReadEntries die Einträge in einer XML Liste aus. http://server/statrep.nsf/view?ReadDesign Listet die Struktur der View in einer XML Datei auf. Copyright CENIT AG 08.05.2015 Seite 25 Query Dokumentenebene http://server/statrep.nsf/view/doc?OpenDocument Öffnet das Dokumente im Lesezugriff. http://server/statrep.nsf/view/doc?EditDocument Sind die ACL sauber definiert, haben Sie nichts zu befürchten. Wenn nicht erhält der Angreifer ein HTML Form welches er editieren kann. Die HTML Seite kann gespeichert und editiert werden. So kann z.B. ein Feld beschrieben werden, welches nicht per Web editierbar ist. SaveDocument, DeleteDocument & CreateDocument Copyright CENIT AG 08.05.2015 Seite 26 Query Spezielle Datenbank Objekte http://server/statrep.nsf/$icon?OpenIcon Zeigt das Icon der Datenbank http://server/statrep.nsf/$help?OpenHelp Die $help beschreibt wie die Datenbank zu nutzen ist. http://server/statrep.nsf/$about?OpenAbout Öffnet die „about“. http://server/statrep.nsf/view/$first?OpenDocument Öffnet das erste Dokument in einer Datenbank http://server/statrep.nsf/$defaultform?OpenForm Öffnet die erste gefundene Maske. Copyright CENIT AG 08.05.2015 Seite 27 Das Skriptkiddie greift an Objekte in einer Datenbank haben unter anderen UNIDs, diese sind 32 Zeichen lang. http://server/statrep.nsf/0a89ad99ad8b014652561780077caf0/b945c6096 6dbb9dd80256a6633 Öffnet als Bsp die View mit der UNID 0a89ad99ad8b014652561780077caf0 und das Dokument mit der UNID b945c60966dbb9dd80256a6633 Alternativ können wir Objekte mit der NoteID öffnen. Als Bsp. hat die obige View die Note ID 123. Jede View egal ob versteckt oder sichtbar, beginnt mit 0x11A und ist dabei inkrementell mit 4 „hoppern“. (Dez. 282 ..+ 4 286.. +4 usw) So können wir als Bsp mit http://server/statrep.nsf/11A usw. nach Views suchen. Copyright CENIT AG 08.05.2015 Seite 28 Das Skriptkiddie greift an Existiert die NoteID erhalten wir die Seite. Existiert die NoteID nicht, so erhalten wir „Invalid or nonexistent document“ Handelt es sich um einen Agent erhalten wir „Unknown Command Exception“. Gehen wir alle NoteIDs von 0X11A bis 0xFFF durch, haben wir alle versteckten und sichtbaren Views, Agent, Forms und spezielle Objekte. Copyright CENIT AG 08.05.2015 Seite 29 Das Skriptkiddie greift an Da auch Dokumente eine NoteID haben können wir mit ReadViewEntries diese herausfinden. http://server/statrep.nsf/123/?ReadViewEntries Wir erhalten nun eine XML Liste alle enthaltenen Dokumente in dieser View. Sie können in JEDER View das Dokument einer anderen View öffnen. Als Beispiel.: http://server/statrep.nsf/123/?ReadViewEntries enhält NoteID 8E3. Wir können nun das Dokument aus der View in der $Alarms öffnen http://server/statrep.nsf/$Alarms/8E3. Wir können in einer View alle Dokumente anzeigen lassen (0x8F6 inkrementell mit 4 „Hoppern“) -> Arbeiten Sie mit Leser und Authorenfeldern. Copyright CENIT AG 08.05.2015 Seite 30 Zwischenfazit Ein völlig plumper Angriff auf unser System, mit einfachsten Mittelnm kann verehrende Folgen haben. In diesem Beispiel konnte der Angreifer Daten auslesen und ggf. manipulieren. Wir müssen mit einer hohen Sensibilität arbeiten, um unsere Systeme zu schützen. Copyright CENIT AG 08.05.2015 Seite 31 webadmin.nsf und ntf Bitte löschen Sie diese Dateien noch heute! Copyright CENIT AG 08.05.2015 Seite 32 Agenda Awareness Sensibilisierung für das Thema Einführung Begriffsdefinition, Richtlinien und gesetzliche Vorgaben Das Skriptkiddie greift an Ein kleines Szenario Tipps und Tricks Wie können wir Domino härten? Was sollten wir organisatorisch tun? Abschlussdiskussion Fragen & Antworten Copyright CENIT AG 08.05.2015 Seite 33 Oberflächliches Sicherheitskonzept Verschlüsselung Monitoring Design Review Security Issues Copyright CENIT AG 08.05.2015 Virenschutz Patching Seite 34 Virenschutz Gibt es einen Virenschutz für OS UND Domino? Sinnvollerweise mit einer Mehrstufigkeit. Viele glauben das ein Virenschutz beim SMTP Gateway ausreicht. Traveler…? Bekannteste Domino AntiViren Lösungen GBS iQ.Suite Watchdog und TrendMicro Copyright CENIT AG 08.05.2015 Seite 35 Überwachung Gibt es ein Überwachungskonzept (Nicht nur Nagios für OS!) Sind alle wichtigen Protokolldatenbanken angelegt? Wurden auf Protokolldateien restriktive Zugriffsrechte vergeben? Gibt es in der events4.nsf Überwachungsregeln? Bei folgenden sollte zumindest eine Abstimmung mit dem Betriebsrat erfolgen. Nachrichtenverfolgung aktiv? Subject Logging aktiv? Am besten eine Überwachungslösung wie Greenlight oder GSX Monitor. Copyright CENIT AG 08.05.2015 Seite 36 Verschlüsselung.. ..mit Domino Schulen Sie Ihre Anwender hinsichtlich Nachrichten Verschlüsselung! Verschlüsseln Sie die Netzwerkports zwischen Notes und Domino. Nutzen Sie SSL für sämtliche (auch internen!) Internetprotokolle. POP3, IMAP, HTTP, LDAP.. Verschlüsseln Sie Felder, Dokumente und Datenbanken! Copyright CENIT AG 08.05.2015 Seite 37 Interprotokoll Verschlüsselung Copyright CENIT AG 08.05.2015 Seite 38 Verschlüsselung Denken Sie bitte daran, dass gerade im Umgang mit externen Partnern eine Verschlüsselung von Mails relevant ist. Transport Verschlüsselung (TLS!) Mail Verschlüsselung Anhang Verschlüsselung PDF Verschlüsselung Copyright CENIT AG 08.05.2015 Seite 39 Security Issues und Patching Abonnieren Sie die IBM News! https://www-947.ibm.com/systems/support/myview/subscription/css.wss/ Copyright CENIT AG 08.05.2015 Seite 40 ACL, signieren und Admin Server -default- sollte keinen Zugriff auf Datenbanken haben! -anonymous- sollte enthalten sein! Rollenkonzepte für Domino Anwendungen sollten identisch und transparent sein. Copyright CENIT AG 08.05.2015 Seite 41 SMTP Befehle Deaktivieren Sie gefährliche Befehle wie VRFY und EXPN Die dunkle Seite von VRFY VRFY doetsch 250 [email protected] VRFY engel 250 [email protected] Copyright CENIT AG 08.05.2015 Seite 42 Einfache Dinge.. ..die wir tun können Server und Zertifizierer-IDs Mehrfachkennwörter zuweisen. http://www-01.ibm.com/support/knowledgecenter/SSKTMJ_8.5.3/com.ibm.help.domino.admin85.doc/H_ASSIGNING_MULTIPLE_PASSWORDS_TO_AN_ID.html USER.ID Vorgabe für die Komplexität von Kennwörtern, Policy für Password Change, ID Vault. Internet Kennwörter Abgleich zwischen Notes und Internet Kennwort empfohlen. Copyright CENIT AG 08.05.2015 Seite 43 Sitzungsbasis Stellen Sie die Sitzungsbasis Ihrer Web Server um. „Namens und Kennwortauthentifizerung auf Sitzungsbasis“ Kennwort und Benutzer werden nur bei ersten Anmeldungen gesendet. Es wird ein Cookie verwendet um den Benutzer zu identifizieren Ist auf einen Browser limitiert. Automatische Abmeldung. Anzahl der Benutzersitzungen limitieren. Serverübergreifen sitzungsbasierte Authentifizierung. Copyright CENIT AG 08.05.2015 Seite 44 Datenbank für Web disabeln Prüfen Sie ob auf Datenbanken per Browser zugegriffen wird. Copyright CENIT AG 08.05.2015 Seite 45 Deaktivieren Sie alle ciphr suites. Copyright CENIT AG 08.05.2015 Seite 46 Internet Lockout Wenn Sie diese noch nicht haben, erstellen Sie die inetlockout.nsf auf Ihrem WebServer. http://www.ibm.com/developerworks/lotus/library/domino8-lockout/ Copyright CENIT AG 08.05.2015 Seite 47 Neuverhandlung SSL Unterbinden Sie „Neuverhandlung“ des SSL Handshakes, welche „man in the the middle“ Angriffe ermöglicht. SSL_Disable_Renegotiate=1 Copyright CENIT AG 08.05.2015 Seite 48 Beschränkungsebene Gilt für die alle Interprotokolle (HTTP, LDAP, IMAP, POP3) Im Serverdokument – Reiter Sicherheit – Internetzugriff – Internet Auth. „Weniger Namensmöglichkeiten mit höherer Sicherheit“ DN, CN, CN mit Präfix, UID, Mail oder Aliasname Ansonsten gelten darüber hinaus folgende Felder Nachname, Vorname und UID Copyright CENIT AG 08.05.2015 Seite 49 Versionsinformation Versionsinformation für SMTP, POP und IMAP ausschalten! SMTPGREETING=<HIER IHR TEXT> POP3GREETING=<HIER IHR TEXT> IMAP: Serverkonfig – IMAP Konfig – Advanced – IMAP UND IMAP SSL Greeting UND IMAP SSL redirect greeting Copyright CENIT AG 08.05.2015 Seite 50 cookies over HTTP Schalten Sie in der Basic/Token Configuration die „Restrict use of the SSO token to HTTP/HTTPS“ ein. Damit wird das cookie über HTTP/S transferiert, dies unterbindet den böswilligen Eingriff von clientseitigem JavaScript. Copyright CENIT AG 08.05.2015 Seite 51 Schränken Sie die Directory Replikation ein. Verwenden Sie, in der DMZ, iNotes oder Server zur SMTP Authentifizierung (typischerweise bei IRONPORTS), so arbeiten Sie mit sekundären Verzeichnissen und multiplen DOMINO Domänen. Übernehmen Sie nur die relevanten Felddaten z.B. mittels Replizierformel. Copyright CENIT AG 08.05.2015 Seite 52 Agenda Awareness Sensibilisierung für das Thema Einführung Begriffsdefinition, Richtlinien und gesetzliche Vorgaben Tipps und Tricks Wie können wir Domino härten? Was sollten wir organisatorisch tun? Abschlussdiskussion Fragen & Antworten Copyright CENIT AG 08.05.2015 Seite 53 Agenda - wie geht’s weiter… Agenda muss am Tag vorher noch aktualisiert werden Copyright CENIT AG 08.05.2015 Seite 54
© Copyright 2024 ExpyDoc
