- 
Is uw Domino Directory goed beveiligd?
Category Security
Bookmark :
Enkele jaren geleden liet ik de ICT-manager van een klant zien hoe ik, zonder een gebruikersnaam of wachtwoord in te hoeven vullen, met een browser via een internet-verbinding zijn Domino Directory (names.nsf) opende en een Notes ID-file daaruit downloadde. Daarna gebruikte ik dat ID, dat "beveiligd" was met het makkelijk te raden wachtwoord 'notes', om enkele applicaties te openen en informatie te kopiƫren naar mijn laptop. De klant, die in de veronderstelling verkeerde dat hij over een goed beveiligde infrastructuur beschikte, was verbijsterd!
Weet u zeker dat zoiets u niet kan overkomen?
Bookmark :
Enkele jaren geleden liet ik de ICT-manager van een klant zien hoe ik, zonder een gebruikersnaam of wachtwoord in te hoeven vullen, met een browser via een internet-verbinding zijn Domino Directory (names.nsf) opende en een Notes ID-file daaruit downloadde. Daarna gebruikte ik dat ID, dat "beveiligd" was met het makkelijk te raden wachtwoord 'notes', om enkele applicaties te openen en informatie te kopiƫren naar mijn laptop. De klant, die in de veronderstelling verkeerde dat hij over een goed beveiligde infrastructuur beschikte, was verbijsterd!
Weet u zeker dat zoiets u niet kan overkomen?
De Domino Directory bevat veel kritische informatie, die goed beschermd dient te worden tegen ongewenst bezoek vanaf het internet. Niet alleen op poort 1352 (de Lotus Notes TCPIP poort), maar ook op poort 80. De praktijk leert dat dit laatste helaas niet altijd goed geregeld is! Hieronder een paar tips, voor servers die via het internet bereikbaar zijn. Helemaal onderaan: een recente, gerelateerde security-waarschuwing.
Anonymous: no access
Zorg er voor dat in de Access Control List van de Domino Directory 'Anonymous' opgenomen wordt met 'no access' en alle rollen/vinken uitgeschakeld (ook 'replicate or copy data'). Op deze manier kunnen alleen geauthenticeerde personen bij de data die in de Domino Directory opgeslagen ligt. Dat is de eerste, belangrijkste stap.
Default: no access
Hetzelfde geldt voor de entry 'Default' in de Access control list van de Domino Directory. Ook die staat bij voorkeur op 'No Access', met alle mogelijke vinken en rollen uitgeschakeld. U kunt beter toegang geven via groepen in de Domino Directory dan via 'Default'.
Fewer name variations..
Soms is in de HTTP-logs van een server terug te vinden dat een inbreker probeert te authenticeren door gebruikersnamen te raden. Vaak worden daarbij lijsten voor- en achternamen gebruikt, en bekende combinaties zoals 'admin', 'administrator' en dergelijke. Vanaf Domino 6 is het mogelijk om beperkingen op te leggen aan het soort gebruikersnamen dat de Domino HTTP-server zal accepteren voor authenticatie. Door op de tab 'Security' van het serverdocument te kiezen voor 'Fewer name variations with higher security' is het bijvoorbeeld niet meer mogelijk om te authenticeren met alleen een voor- of achternaam; de server zal dan alleen volledige namen accepteren (in CN- of Hiƫrarchisch formaat). Deze instelling is standaard aangezet in Domino 6!
More secure internet passwords...
In oudere versies van Domino werd een bepaald algoritme (een hash) gebruikt voor het versleutelen van internet passwords in persoonsdocumenten. Deze hash bleek later niet sterk genoeg te zijn. Daarom is er nu de optie om gebruik te maken van 'more secure internet passwords', dan wordt er een 'salted hash' gebruikt. Die is veel moeilijker te ontcijferen. Een 'salted hash' gebruikt namelijk een klein stukje willekeurige data bij het versleutelen, en dat is moeilijk of (nu nog) niet te kraken.
Deze belangrijke optie kan aangezet worden in het Directory profile van de Domino Directory. Voor al bestaande persoonsdocumenten kan eveneens overgegaan worden naar deze beter beveiligde wachtwoorden: u selecteert te relevante persoonsdocumenten in de Domino Directory, en kiest daarna voor in het menu 'Actions' voor de agent 'Upgrade to More Secure Internet Password'.
Hoe herkent u nu of uw wachtwoord met een hash of met een salted hash versleuteld is?
Zoals u ziet is het salted-hash wachtwoord korter en case-sensitive: er zitten hoofd- en kleine letters in. Dat is karakteristiek voor salted-hash wachtwoorden.
Een recente beveiligings-waarschuwing
Alle bovenstaande zaken zijn van belang. Een recent gepubliceerd beveiligings-issue met betrekking tot de Domino server, laat zien dat internet-wachtwoorden met een browser uitgelezen kunnen worden. Wachtwoorden die alleen met een hash beveiligd zijn, kunnen daarna relatief eenvoudig gekraakt worden. Daarom is het echt nodig om onnodige of niet-geauthenticeerde toegang tot uw Domino Directory vanaf het internet te beperken, en gebruik te maken van de zwaarder beveiligde wachtwoorden. Die zijn voor zover mij bekend is, nog niet eerder gekraakt.
Overigens wordt in het gelinkte artikel gezegd dat Domino geen gebruik maakt van salted hash. Dat is dus niet per definitie waar; de optie om van een salted hash gebruik te maken zit al langere tijd in Domino. U moet het alleen wel zelf inschakelen!
Tenslotte bevat het artikel nog een workaround van IBM die het per definitie onmogelijk maakt om internet wachtwoorden via de browser uit te lezen. Afhankelijk van uw omstandigheden kan het verstandig zijn deze workaround door te voeren. U doet dit op eigen risico; we hebben nog geen tests gedaan met deze workaround en kunnen dan ook niet in alle omstandigheden de effecten voorspellen. Maak dus, voor u begint, een backup van de huidigde Domino Directory en test de workaround in een testomgeving.
Bovenstaand artikel is niet uitputtend, maar slechts bedoeld om enkele belangrijke beveiligingsmaatregelen ter bescherming van uw Domino Directory en uw internet-wachtwoorden. Mocht u nog vragen hebben, raadpleeg dan e-office, of een andere IBM Lotus business partner die u kan adviseren.
Met dank aan Ragnar Schierholz voor het attenderen op dit issue.
Anonymous: no access
Zorg er voor dat in de Access Control List van de Domino Directory 'Anonymous' opgenomen wordt met 'no access' en alle rollen/vinken uitgeschakeld (ook 'replicate or copy data'). Op deze manier kunnen alleen geauthenticeerde personen bij de data die in de Domino Directory opgeslagen ligt. Dat is de eerste, belangrijkste stap.
Default: no access
Hetzelfde geldt voor de entry 'Default' in de Access control list van de Domino Directory. Ook die staat bij voorkeur op 'No Access', met alle mogelijke vinken en rollen uitgeschakeld. U kunt beter toegang geven via groepen in de Domino Directory dan via 'Default'.
Fewer name variations..
Soms is in de HTTP-logs van een server terug te vinden dat een inbreker probeert te authenticeren door gebruikersnamen te raden. Vaak worden daarbij lijsten voor- en achternamen gebruikt, en bekende combinaties zoals 'admin', 'administrator' en dergelijke. Vanaf Domino 6 is het mogelijk om beperkingen op te leggen aan het soort gebruikersnamen dat de Domino HTTP-server zal accepteren voor authenticatie. Door op de tab 'Security' van het serverdocument te kiezen voor 'Fewer name variations with higher security' is het bijvoorbeeld niet meer mogelijk om te authenticeren met alleen een voor- of achternaam; de server zal dan alleen volledige namen accepteren (in CN- of Hiƫrarchisch formaat). Deze instelling is standaard aangezet in Domino 6!
More secure internet passwords...
In oudere versies van Domino werd een bepaald algoritme (een hash) gebruikt voor het versleutelen van internet passwords in persoonsdocumenten. Deze hash bleek later niet sterk genoeg te zijn. Daarom is er nu de optie om gebruik te maken van 'more secure internet passwords', dan wordt er een 'salted hash' gebruikt. Die is veel moeilijker te ontcijferen. Een 'salted hash' gebruikt namelijk een klein stukje willekeurige data bij het versleutelen, en dat is moeilijk of (nu nog) niet te kraken.
Deze belangrijke optie kan aangezet worden in het Directory profile van de Domino Directory. Voor al bestaande persoonsdocumenten kan eveneens overgegaan worden naar deze beter beveiligde wachtwoorden: u selecteert te relevante persoonsdocumenten in de Domino Directory, en kiest daarna voor in het menu 'Actions' voor de agent 'Upgrade to More Secure Internet Password'.
Hoe herkent u nu of uw wachtwoord met een hash of met een salted hash versleuteld is?
| wachtwoord versleuteld met een hash: |
| (355E98E7C7B59BD810ED845AD0FD2FC4) |
| hetzelfde wachtwoord, maar nu versleuteld met een salted hash: |
| (GY9ILtc475zqksc3HICn) |
Zoals u ziet is het salted-hash wachtwoord korter en case-sensitive: er zitten hoofd- en kleine letters in. Dat is karakteristiek voor salted-hash wachtwoorden.
Een recente beveiligings-waarschuwing
Alle bovenstaande zaken zijn van belang. Een recent gepubliceerd beveiligings-issue met betrekking tot de Domino server, laat zien dat internet-wachtwoorden met een browser uitgelezen kunnen worden. Wachtwoorden die alleen met een hash beveiligd zijn, kunnen daarna relatief eenvoudig gekraakt worden. Daarom is het echt nodig om onnodige of niet-geauthenticeerde toegang tot uw Domino Directory vanaf het internet te beperken, en gebruik te maken van de zwaarder beveiligde wachtwoorden. Die zijn voor zover mij bekend is, nog niet eerder gekraakt.
Overigens wordt in het gelinkte artikel gezegd dat Domino geen gebruik maakt van salted hash. Dat is dus niet per definitie waar; de optie om van een salted hash gebruik te maken zit al langere tijd in Domino. U moet het alleen wel zelf inschakelen!
Tenslotte bevat het artikel nog een workaround van IBM die het per definitie onmogelijk maakt om internet wachtwoorden via de browser uit te lezen. Afhankelijk van uw omstandigheden kan het verstandig zijn deze workaround door te voeren. U doet dit op eigen risico; we hebben nog geen tests gedaan met deze workaround en kunnen dan ook niet in alle omstandigheden de effecten voorspellen. Maak dus, voor u begint, een backup van de huidigde Domino Directory en test de workaround in een testomgeving.
Bovenstaand artikel is niet uitputtend, maar slechts bedoeld om enkele belangrijke beveiligingsmaatregelen ter bescherming van uw Domino Directory en uw internet-wachtwoorden. Mocht u nog vragen hebben, raadpleeg dan e-office, of een andere IBM Lotus business partner die u kan adviseren.
Met dank aan Ragnar Schierholz voor het attenderen op dit issue.