Sicherheitsaspekte für den HCL Domino Server: 3 Geheimtipps!

Remote-Arbeit ist zur pandemischen Realität geworden. In dem Maße, in dem sich Unternehmen auf solche speziellen, arbeitstechnischen Veränderungen einstellen, verstärken sich auch die Sicherheitsfragen mit denen Unternehmen konfrontiert werden. Denn für viele Unternehmen wird diese Weise des “Arbeitens” auf absehbare Zeit Realität bleiben. Es ist ein schmaler Grat zwischen der Unterstützung der Mitarbeiter beim Zugriff auf Unternehmensdaten hinter den Firewalls des Unternehmens und der Verhinderung des Zugriffs bösartiger Akteure.

Es gibt auch noch weitere Probleme wie z.B. die Möglichkeit, dass Daten, die auf persönlichen Geräten gespeichert sind, verloren gehen oder gestohlen werden können. Auch die Nutzung ungesicherter Netzwerke ist eine Gefahr, um nur einige zu nennen.

Trotz der Tatsache, dass es sich bei HCL Domino um eine vollwertige und ausgereifte Lösung handelt, die eine breite Palette an Funktionalitäten bietet, handelt es sich immer noch um eine Serverplattform. Und, Server sind - leider - immer noch anfällig für Angriffe. Im zweiten Teil unseres Sicherheitsspecials werfen wir einen Blick auf die besten Sicherheitsmaßnahmen für Domino Server.

1. Mit Sicherheitsupdates auf dem neuesten Stand bleiben

Mit den neuesten Versionen und damit auch mit den neuesten Sicherheitsupdates auf dem Laufenden zu sein ist eine halb gewonnene Schlacht in Sachen Sicherheit. Es steht mehr auf dem Spiel als die neuesten Funktionen zu verpassen. Die Verwendung älterer Versionen kann die Sicherheit Ihrer IT-Landschaft gefährden.

Seit Juni 2021 ist die neueste unterstützte Version von Domino 12 verfügbar. Es gibt zwei weitere unterstützte Versionen aus dem Jahr 2020, aber auch diese haben bereits Support-Ausnahmen.

Anwender, die noch kein Upgrade zu HCL Notes/Domino 12 vorgenommen haben, können aus drei Fixpacks wählen. Welches Fixpack geeignet ist, kann auf der HCL-Supportseite nachgeschlagen werden. Hier geht's zur HCL-Supportseite.


2. Grundlagen der Domino Server Sicherheit (DSSF)

Die TCP/IP-Einstellungen sind ein wichtiger Bestandteil der DSSF. In der Domino-Welt kommunizieren die Server nicht nur mit den Clients, sondern auch mit anderen Servern.

Notes und Domino verwenden den NRPC-Dienst, der für Notes Remote Procedure Call steht. Die erforderlichen NRPC-Einstellungen können entweder auf dem Administrator-Client oder in der notes.ini konfiguriert werden. Je nachdem, wie Notes eingerichtet ist und wo sich die Benutzer befinden, sollten die Verbindungen verschlüsselt und/oder komprimiert werden; die Verwendung des TCP/IP-Ports ohne jegliche Verschlüsselung wird nicht empfohlen. Wenn Notes und Domino 12 auf beiden Seiten verwendet werden, sind die Einstellungen für starke Verschlüsselung standardmäßig aktiviert.

Das bedeutet: Die Sicherheit wird exponentiell erhöht, wenn man a) eine verschlüsselte Datenbank und b) eine geschützte Server-ID hat.


3. SMTP-Sicherheitseinstellungen (Quick and Dirty Faultless)

Angreifer, ob extern oder intern, nutzen häufig Befehle wie "help" oder "verify", um die Konfiguration der SMTP-Servers nach Schwachstellen zu durchsuchen. Aber das ist noch nicht alles: Externe oder sogar interne Angreifer können die SMTP-Server bemächtigen und ihn in eine Relais-Spam-"Maschine" verwandeln. Deshalb ist es so wichtig, die SMTP-Einstellungen sowohl im Server als auch in den Konfigurationsdokumenten korrekt zu konfigurieren.

Einige Beispiele:

  1. Porteinstellungen (eingehend und ausgehend)
  2. Relay-Sicherheitseinstellungen
  3. Sicherheitseinstellungen für eingehende Verbindungen


Bonus: HTTP-Sicherheit oder wie erhält man ein A+ Rating

Webserver können bei SSL Labs auf den Prüfstand gestellt werden. Die numerischen Werte der Prüfungen reichen von 0 bis 100 und die Noten von F bis A+. Eine ausführlichere Anleitung zur Serverbewertung finden Sie hier.

Obwohl der Gedanke an eine Bewertung an sich trivial klingen mag, ist sie dennoch wichtig, da sie das Sicherheitsniveau des Servers widerspiegelt. Eine Bewertung unter A+ zeigt, dass es noch Raum für Verbesserungen gibt. Wie kann dieser Test mit Bravour bestanden und ein einwandfreies A+ Rating erzielt werden?

Hier ein kleiner Einblick in einige der empfohlenen Einstellungen:

  1. Installieren Sie das neueste Domino-Update
  2. Deaktivieren Sie veraltete SSL/TLS-Protokolle
  3. Verwenden Sie nur moderne SSL-Verschlüsselungen
  4. Konfigurieren Sie die entsprechenden HTTP Strict Transport Security-Einstellungen in notes.ini
Nadine Holler | 16. August 2021 12:49:36 | Kommentare (0) | Permanent Link

Kommentare

Es konnten keine Kommentare gefunden werden.

Ihr Beitrag:

Archiv

Oktober 2021 (2)
September 2021 (1)
August 2021 (3)
Juli 2021 (2)
Juni 2021 (4)
Mai 2021 (2)
April 2021 (8)
März 2021 (3)
Februar 2021 (7)
Januar 2021 (2)
Dezember 2020 (1)
November 2020 (7)
Oktober 2020 (4)
September 2020 (3)
August 2020 (8)
Juli 2020 (4)
Juni 2020 (8)
Mai 2020 (8)
April 2020 (6)
März 2020 (6)
Februar 2020 (3)
Januar 2020 (2)
Dezember 2019 (6)
Oktober 2019 (10)
September 2019 (5)
Mai 2019 (4)
April 2019 (4)
März 2019 (1)
Februar 2019 (5)
Januar 2019 (3)
Dezember 2018 (6)
November 2018 (3)
Oktober 2018 (8)
September 2018 (4)
August 2018 (4)
Juli 2018 (5)
Juni 2018 (4)
Mai 2018 (3)
April 2018 (2)
März 2018 (3)
Februar 2018 (9)
Januar 2018 (7)
Dezember 2017 (4)
November 2017 (3)
Oktober 2017 (5)
September 2017 (8)
August 2017 (10)
Juli 2017 (4)
Juni 2017 (6)
Mai 2017 (12)
April 2017 (6)
März 2017 (13)
Februar 2017 (6)
Januar 2017 (13)
Dezember 2016 (11)
November 2016 (9)
Oktober 2016 (7)
September 2016 (9)
August 2016 (7)
Juli 2016 (8)
Juni 2016 (3)
Mai 2016 (6)
April 2016 (7)
März 2016 (7)
Februar 2016 (9)
Januar 2016 (9)
Dezember 2015 (8)
November 2015 (9)
Oktober 2015 (13)
September 2015 (10)
August 2015 (8)
Juli 2015 (6)
Juni 2015 (12)
Mai 2015 (14)
April 2015 (10)
März 2015 (10)
Februar 2015 (12)
Januar 2015 (14)
Dezember 2014 (14)
November 2014 (15)
Oktober 2014 (10)
September 2014 (8)
August 2014 (9)
Juli 2014 (21)
Juni 2014 (9)
Mai 2014 (13)
April 2014 (9)
März 2014 (10)
Februar 2014 (12)
Januar 2014 (3)
Dezember 2013 (5)
November 2013 (3)
Oktober 2013 (6)
September 2013 (6)
August 2013 (1)
Juli 2013 (9)
Juni 2013 (2)
Mai 2013 (2)
April 2013 (12)
März 2013 (11)
Februar 2013 (7)
Januar 2013 (10)
Dezember 2012 (11)
November 2012 (9)
Oktober 2012 (5)
September 2012 (11)
August 2012 (9)
Juli 2012 (5)
Juni 2012 (3)
Mai 2012 (12)
April 2012 (3)
März 2012 (8)
Februar 2012 (5)
Januar 2012 (13)
Dezember 2011 (5)
November 2011 (12)
Oktober 2011 (6)
September 2011 (11)
August 2011 (6)
Juli 2011 (10)
Juni 2011 (8)
Mai 2011 (7)
April 2011 (8)
März 2011 (12)
Februar 2011 (7)
Januar 2011 (2)
Dezember 2010 (9)
November 2010 (4)
Oktober 2010 (9)
September 2010 (5)
August 2010 (6)
Juli 2010 (5)
Juni 2010 (6)
Mai 2010 (2)
April 2010 (4)
März 2010 (7)
Februar 2010 (5)
Januar 2010 (6)
Dezember 2009 (1)
November 2009 (7)
Oktober 2009 (2)
August 2009 (1)
Juni 2009 (4)
Mai 2009 (3)
April 2009 (1)
März 2009 (1)
Februar 2009 (1)
Januar 2009 (5)
Dezember 2008 (2)
November 2008 (4)
Oktober 2008 (9)
September 2008 (2)
Juni 2008 (2)
Mai 2008 (6)
April 2008 (4)
März 2008 (6)
Januar 2008 (7)
November 2007 (3)
Oktober 2007 (2)
September 2007 (2)
Juni 2007 (2)
Mai 2007 (1)
April 2007 (5)
Februar 2007 (4)
Januar 2007 (2)
Dezember 2006 (2)
November 2006 (5)