Einschätzung Sicherheitsrisiko Domino Server direkt im Internet

    Hallo zusammen,


    eigentlich hatte ich das letzte Mal beruflich mit Domino zu tun, da war R5 noch die aktuelle Version. Seitdem leiste ich mir als Freiberufler den "Luxus" einen Domino Express Server für genau einen Benutzer zu betreiben.


    Das ganze läuft auf einem Linux Root Server bei einem großen deutschen Hoster. Die Domino Version halte ich immer aktuell, also im Moment 8.5.3 FP3. Offen sind die Ports 443, 1352 und 25. SSL mit selbst signiertem Zertifikat, bei SMTP nutze ich, soweit es die Gegenstelle unterstützt, TLS. Der Notes Client auf dem PC greift (verschlüsselt) direkt auf den Server zu, also ohne VPN. Alle Mail-Datenbanken sind auf dem Server verschlüsselt und ACL administriert, auch sonst ist der Linux Server immer aktuell und so weit sicher administriert, wie man einen Linux Server eben administrieren kann. Datensicherung mache ich auf einen Backup-Server, auch alles verschlüsselt.


    Trotzdem stelle ich mir öfters die Frage, wie sicher das ganze ist. Aus meinen früheren Projekten weiß ich, besser wäre ein Mailhub oder Relay Host in der DMZ und der Domino dann im lokalen Netz. Aber für mich natürlich völlig oversized (ich weiß, ein Domino Server ist das auch).


    Wie seht Ihr das? Inwieweit ist der Server z. B. über 1352 angreifbar? Ich habe z. B. noch nie gehört, dass es Sicherheitslücken in SMTP gab, mit denen man einen Server angreifen oder übernehmen konnte.


    Kennt Ihr andere Firmen, bei denen der Domino Server direkt aus dem Internet erreichbar ist? Also ohne Mailhub dazwischen?


    Vielen Dank!

    Die Frage, ob ein Server sicher ist oder nicht, ist nur der halbe Weg. Aus meiner Sicht viel wesentlicher ist die Frage, welche Daten drauf liegen und ob, bzw. in welchem Umfang man damit Unfug anstellen kann. Einen Server zu knacken, nur um "Allerwelts-Daten" zu finden, das ist kein großer Gewinn.


    Daraus folgt, dass "Sicherheit" auch immer mit der Überlegung des Aufwandes verbunden ist. Gehen wir mal davon aus, dass die Jungs und Mädels bei der CIA und im Pentagon wissen, was sie tun. Dennoch wurden ihre Server geknackt. Ganz sicher auch aus der Motivation heraus, dass es da etwas zu holen gibt.
    Hast du als Freiberufler Kundendaten, wie Adressen, Angebote, etc. drauf liegen, ist sicher etwas mehr Aufwand angebracht, als wenn nur deine private Korrespondenz wie Mails deiner besseren Hälfte drüber gehen oder abonnierte Mailinglisten da auflaufen.


    Selbst wenn du einen weiteren Server vor deinen Domino stellst, heißt es noch lange nicht, das das Gesamtkonstrukt sicherer wird. Jedes weitere Glied in der Kette erhöht die Komplexität, damit den Aufwand, den benötigten Skill und damit auch die Fehleranfälligkeit. Die Folgerung "mehr Maschinen = mehr DMZs = sicherer" ist so in der Form ganz sicher nicht korrekt.


    Und schlussendlich: es spielt nicht wirklich eine Rolle, ob es in der Vergangenheit Angriffe auf einen Service gab oder nicht. Denn es gibt nur zwei Erklärungen, warum es keine oder kaum Angriffe gab: entweder die jeweilige Software ist sicher, dann muss man sich auch keinen Kopf drum machen. Oder potentielle Angreifer wissen, dass mit der feindlichen Übernahme des Services eh nichts zu holen ist. Dann spielt es auch hier keine Rolle.
    Allerdings ist die Denke "bisher gab es keine Angriffe auf SMTP" auch nur die halbe Wahrheit. Ein Postfix unterscheidet sich zu einem Exim und der wieder zu einem Domino. Ein Service, der auf Port 25 lauscht kann sicher sein, ein anderer ärgerlicherweise nicht. Insofern ist immer eine Betrachtung der jeweiligen Software angeraten.
    Zumal Ports jetzt auch erstmal wenig über die darauf lauschende Software aussagen. Ich kann einem Apache beibringen, auf Port 1352 nach Anfragen zum Ausliefern einer Website zu lauschen. Dass high ports häufiger oder seltener nach Exploits geprüft werden als Standardports, auch das sei einmal dahingestellt.


    Sicherheit ist nicht die Anhäufung von Maschinen und die Erhöhung der Komplexität. Sicherheit ist ein Konzept, das oftmals nur auf genau den einen Anwendungsfall zutrifft und bei einem anderen wieder andere Maßnahmen bedingt.


    Von daher ist deine Frage so ohne weiteres auch nicht zu beantworten.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Vielen Dank für Deine Antwort. Ich bin mir schon gewusst, dass es keine 100%ige Sicherheit gibt. Und natürlich habe ich als einfacher Freelancer nicht ein Sicherheitskonzept wie die CIA, dafür aber auch weniger interessante Daten.


    Mir ging es auch eher um die Technik. Grundsätzlich ist mir klar, wenn ich 100 % Sicherheit möchte, dann sollte ich keinen Server im Internet haben, mein PC hat auch keinen Internet-Anschluss und die Festplatte ist verschlüsselt. Aber das ist nun mal nicht praktikabel und auch nicht mehr zeitgemäß.


    Ich muss aber auch zugeben, dass auf dem Server, für mich, wichtige Daten liegen. Als Hauptgrund warum ich noch den Domino Server nutze sind die einfachen Datenbanken, also Dokumentenablage. Somit liegen z. B. auch meine Rechnungen auf dem Server. Und selbstverständlich auch Kundendaten, das impliziert der E-Mail-Austausch mit Kunden nun mal. Wobei richtige Kundendaten meines Kunden, wenn die mir mal geschickt werden, dann höchstens eine Kunden-Nr. oder ähnliches sind. Wenn Kundendaten wie Adressen gesendet werden müssen, dann als Anhang und das mit 7z und sehr langem Passwort verschlüsselt.


    Aber zurück zur Technik. Unter der Annahme SMTP wäre doch nicht so sicher. Ein Angreifer würde Root-Zugriff auf meinen Server bekommen. Dann sind ja noch die DBs verschlüsselt (mit höchster Verschlüsselung). Und zwar mit dem Zertifikat des Servers. Und das Zertifikat liegt auf dem Server. Das wäre ja dann ganz einfach, ein Agent, der alle Dokumente liest und versendet. Kann das so einfach sein?

    Ganz so einfach ist es nicht.
    Erstmal muss der Agent ja irgendwo herkommen, das ist Schritt 1. Hier spielen dann Sicherheitsmechanismen eine Rolle, die weiter drunter liegen. Angefangen bei der Netzsicherheit des Hosters bis hin zur Sicherheit der Linux-Basis.


    Dann muss er ausgeführt werden. Da das zunächst einmal nicht mit der ID des Servers oder des Admins passieren wird, ist das Schritt 2.


    Schritt 3 wäre dann die Config so zusammen zu bauen, dass Agenten ausschließlich mit einer ID laufen dürfen, an die ein potentieller Angreifer nicht heran kommen kann.


    Schritt 4 wäre, die Dokumente mit 2 IDs zu verschlüsseln, wobei eine für den Agenten physisch nicht zu erreichen ist.


    Und wenn dann immer noch Gefahr zu vermuten ist, bzw. wenn das Kind schon in den Brunnen gefallen ist, bleibt halt nur noch der Austausch aller Zertifikate.


    Wie gesagt: Sicherheit ist ein Konzept, hinter dem auch, aber nicht nur, die Frage steht, wie viel Aufwand man betreiben möchte oder muss und wie viel Ressourcen man dafür einsetzen kann.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Beruhigt mich etwas. Habe mal etwas zu dem Thema Sicherheit Domino gesucht. Da wurde mal empfehlen die Server Id mit Passwort zu versehen. Das habe ich ehrlich gesagt nicht. Dann könnte ja der Server auch nicht mehr automatisch neu starten. Aber eventuell ändere ich das noch.


    Ich habe eine Id nur für Agenten, die Id-Datei liegt auch nicht auf dem Server.


    Das mit den Dokumente mit 2 Ids verschlüsseln verstehe ich nicht. Was meinst Du damit? Ich habe ehrlich gesagt noch nie einzelne Dokumente verschlüsselt, immer nur die Datenbanken.


    Eine Frage noch: Der Server selbst ist ja auch in der ACL als Server eingetragen. Welche Stufe sollte man dem geben? Bisher habe ich natürlich sichergestellt, dass Default und Anonymous keinen Zugriff haben. Aber der Server ist immer Manager, vermutlich zu viel, oder?!


    Danke!

    Im Eigenschaften-Dialog der Form kannst du auf dem letzten Tab kannst du einen oder mehrere "Default Encryption Keys" (oder wie auch immer das im deutschen Client heißen mag) mitgeben. Mit diesen Schlüsseln werden dann neue Dokumente vercryptet.
    Weiters kann du via LotusScript über notesDocument.Sign auch noch Dokumente verschlüsseln.
    Und selbstverständlich geht das auch auf Feldebene.


    Ob der Server Manager sein muss, kommt drauf an. Prinzipiell ist es schon ratsam, einen Adminserver einzutragen. Wenn aber klar ist, dass der AdminP niemals in der Domain gebraucht wird, brauchts eigentlich auch keinen Adminserver und der Task kann deaktiviert werden. Allerdings wäre ich damit vorsichtig. Von Namensänderungen etc. einmal abgesehen, brauchts den AdminP auch noch für andere Dinge. Ob es ratsam ist, den AdminP auszuknipsen, kann ich dir ehrlich gesagt nicht sagen, das hab ich noch nie ausprobiert. Jetzt mal so aus dem Bauch heraus gesprochen würde ich sagen, dass das auch ziemlicher Overkill wäre. Lieber an anderen Stellen ansetzen, die u.a. auch von IBM in den einschlägigen Dokumenten empfohlen wird. Meine Meinung: lieber eine saubere 95%-Lösung, als mit Ach und Krach auf 99% kommen und unvorhersehbare Probleme bekommen.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl