Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Messaging- & Collaboration-Infrastruktur?
0 gefällt mir779 aufrufe
Das Dokument behandelt Sicherheitsüberwachung und Compliance für IBM Domino Umgebungen, einschließlich Anforderungen, Risiken in der administrativen Verwaltung und Empfehlungen von BSI und IBM. Besondere Aufmerksamkeit gilt der sicheren Verwaltung von Server-IDs sowie dem ID-Vault zur Speicherung und Verwaltung von Notes-IDs. Das Papier bietet praxisnahe Demoinhalte und beschreibt die Notwendigkeit eines standardisierten, tool-gestützten Konfigurationsmanagements zur Erhöhung der Sicherheit und vereinfachten Administration.
![Security Monitoring und Compliance
Empfehlungen der IBM & des BSI
Was empfielt IBM im Zusammenhand mit ID-Vault?
IBM legt allen Anwendern nahe, die Server-ID unbedingt zu schützen:
„We understand that most Domino servers are not password-protected to make unattended reboots simpler, but the
vault server's ID file is a key element in the security of your ID vault. A sophisticated attacker with a vault database
and one of the corresponding server Ids ... would have all of the cryptographic information needed to masquerade
as the vault server and decrypt all of the ID files stored in the vault.“
Was empfielt BSI?
Die Maßnahmenkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ermöglichen es den
Unternehmen, Ihre IT-Infrastruktur sicher zu betreiben. Zum Thema Server-ID heißt es im Dokument M 4.129
Sicherer Umgang mit Notes-ID-Dateien:
"Da Server-IDs für ausgezeichnete Systemkomponenten zur Identifikation benutzt werden, müssen sie entsprechend
gut geschützt werden.
[...]
Die Verwendung eines Passwortes erfordert die Passworteingabe bei jedem Serverstart. Falls keine organisatorischen
Gründe dagegen sprechen (z. B. wenn der Remote-boot von Servern an verschiedenen Standorten regelmäßig und
ohne Vor-Ort-Unterstützung erfolgen muss), wird die Nutzung von Server-ID-Passwörtern empfohlen.
Sicherheitskopien müssen immer mit einem Passwort versehen sein. Durch den Einsatz von Dritthersteller-Software
kann auch dann ein automatisierter Systemstart ermöglicht werden, wenn die Server-IDs mit Passwörtern geschützt
sind."](https://image.slidesharecdn.com/bccsecuritymonitoringcompliance-131007082220-phpapp02/85/Wie-gewahrleisten-Sie-die-Einhaltung-von-Sicherheitsanforderungen-an-Ihre-Messaging-Collaboration-Infrastruktur-13-320.jpg)
Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Messaging- & Collaboration-Infrastruktur?
- 1. Security Monitoring und Compliance Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Messaging- & Collaboration-Infrastruktur? Security Monitoring und Compliance für IBM Domino Umgebungen Hartmut Koch, IBM ConnectDay Köln, 10. September 2013
- 2. Security Monitoring und Compliance Agenda Anforderungen und Informationsquellen Risiken in der „nativen“ Lotus Domino Administration Live Demo Exkurs: ID-Vault, Server.ID und ACL … Empfehlungen BSI & IBM
- 3. Security Monitoring und Compliance Anforderungen Unternehmenssicherungskonzepte (z. B. BaFin Vorschiften in Kreditinstituten) IT-Sicherheitskonzept des einzelnen Unternehmens Handbuch IT Change Management Arbeits- und Verfahrensanweisungen • Definition der konkreten Change Prozesse • Prozessüberwachung und Eskalation • Dokumentation
- 4. Security Monitoring und Compliance Informationsquellen BSI Grundschutzhandbuch • Sicherer Betrieb IBM Lotus Domino • Organisationsempfehlungen • Konfigurationsempfehlungen (System härten) • Detaillierte Abhandlung zum Thema E-Mail BSI „ISi Checks“ Handbücher & Checklisten • ISi Check IBM Lotus Domino • ISi Check Mail Clients Allgemein • ISi Check LANA (sichere Anbindung lokaler Netze an das Internet)
- 5. Security Monitoring und Compliance Informationsquellen Lotus Domino Administrator Hilfe, Security • Operating System Security • Network Security • Server Security • ID Security • Application Security • Workstation Security • ID-Vault (siehe Exkurs…) • …
- 6. Security Monitoring und Compliance Risiken in der „nativen“ Administration ID Typen und Schutzbedarf • CERT.IDs > Mehrfachkennwortschutz • SERVER.IDs > Mehrfachkennwortschutz • USER.IDs > Kennwortsicherheit • Alle ID-Typen > Physikalischer Schutz (Diebstahl, Korruption, Verlust) lückenlose Historie Dokumentation von Erstellung, Änderungen und Löschung
- 7. Security Monitoring und Compliance Risiken in der „nativen“ Administration Systemdatenbanken und Schutzbedarf • NAMES.NSF > ACL Schutz, Änderungs-Doku, 4 Augen • ADMIN4.NSF > ACL Schutz, Änderungs-Doku • LOG.NSF > ACL Schutz, Änderungs-Doku • EVENTS4.NSF > ACL Schutz, Änderungs-Doku • DDM.NSF > ACL Schutz, Änderungs-Doku • DOMLOG.NSF > ACL Schutz, Änderungs-Doku • CERT.LOG > ACL Schutz, Änderungs-Doku • ID-VAULT.NSF > ACL Schutz, Änderungs-Doku
- 8. Security Monitoring und Compliance Praxisdemo Szenarien Kennwortschutz einer Server-ID ACL Änderung „Teamroom Betriebsrat“ per Request Schutz der Funktion „Full Access Admin“ im Names.nsf Pflege der „Deny“ Gruppe per Request Automatische Request-Dokumentation
- 9. Security Monitoring und Compliance Exkurs: ID-Vault Serverbasierte und sichere Applikation zur Speicherung und Verwaltung von Notes IDs Einfache Bereitstellung der Notes IDs für (neue) Anwender zu verschiedenen Notes Clients und mobilen Endgeräten Automatisches Einsammeln der existierenden Notes IDs Optimierter Prozess zur Rücksetzung vergessener Notes ID Passwörter um Aufwände zu reduzieren Automatischer Abgleich von Änderungen über mehrere verteilte Notes IDs (Kopien) hinweg
- 10. Security Monitoring und Compliance Exkurs: ID-Vault
- 11. Security Monitoring und Compliance Exkurs: ID-Vault, Server.ID & ACL Der Zugriff und die Nutzung der Server ID des Vault Servers muss besonders geschützt werden! • Setzen von Passwörtern auf die Server ID Dateien • Upgrade Server ID Keys auf 2048 bit (Keyrollover) Überwachung der Vault ACL und Auditor Rolle • SECURE_DISABLE_AUDITOR=1 in der Notes.ini um diese Funktion auszuschalten • Schutz der Anwendungs-ACL vor Änderungen • Beschränkung der „FullAccess-Admin“ Funktion
- 12. Security Monitoring und Compliance Exkurs: ID-Vault, Server.ID & ACL
- 13. Security Monitoring und Compliance Empfehlungen der IBM & des BSI Was empfielt IBM im Zusammenhand mit ID-Vault? IBM legt allen Anwendern nahe, die Server-ID unbedingt zu schützen: „We understand that most Domino servers are not password-protected to make unattended reboots simpler, but the vault server's ID file is a key element in the security of your ID vault. A sophisticated attacker with a vault database and one of the corresponding server Ids ... would have all of the cryptographic information needed to masquerade as the vault server and decrypt all of the ID files stored in the vault.“ Was empfielt BSI? Die Maßnahmenkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ermöglichen es den Unternehmen, Ihre IT-Infrastruktur sicher zu betreiben. Zum Thema Server-ID heißt es im Dokument M 4.129 Sicherer Umgang mit Notes-ID-Dateien: "Da Server-IDs für ausgezeichnete Systemkomponenten zur Identifikation benutzt werden, müssen sie entsprechend gut geschützt werden. [...] Die Verwendung eines Passwortes erfordert die Passworteingabe bei jedem Serverstart. Falls keine organisatorischen Gründe dagegen sprechen (z. B. wenn der Remote-boot von Servern an verschiedenen Standorten regelmäßig und ohne Vor-Ort-Unterstützung erfolgen muss), wird die Nutzung von Server-ID-Passwörtern empfohlen. Sicherheitskopien müssen immer mit einem Passwort versehen sein. Durch den Einsatz von Dritthersteller-Software kann auch dann ein automatisierter Systemstart ermöglicht werden, wenn die Server-IDs mit Passwörtern geschützt sind."
- 14. Security Monitoring und Compliance Relevante Quellen IBM Lotus Notes and Domino Wiki > Domino security > Securing your Notes ID vault server BSI: M 4.117 Sichere Konfiguration eines Lotus Notes Servers BSI: M 2.207 Festlegen einer Sicherheitsrichtlinie für Lotus Notes BSI: M 4.129 Sicherer Umgang mit Notes-ID-Dateien
- 15. Security Monitoring und Compliance Warum Tool-gestütztes Konfigurations- management? Vereinfachung der Administration durch Standards Zuwachs an Sicherheit durch Change Prozesse und Fall Back Unterstützung Dokumentation Automatische aktuelle Doku Kaum Einarbeitung bei Personalwechsel
- 16. Security Monitoring und Compliance Weitere Informationen & Kontakt: BCC Unternehmensberatung GmbH Frankfurter Straße 80-82 65760 Eschborn Tel.: 06196 – 64040 – 0 Fax.: 06196 – 64040 – 18 http://www.bcc.biz info@bcc.biz