1 / 62

Hva er nytt på sikkerhet i Notes/Domino?

Hva er nytt på sikkerhet i Notes/Domino?. Hans Haraldsen hans.haraldsen@novoconsult.no. Admin: Vi har nå implementert AES med 256-bit kryptering og SHA-1 MAC Hans: Åja Admin: Det neste er å gjøre en key roll-over slik at vi får 2048-bit nøkler i Domino IDene Hans: Åja... Hans: Du...

lulu
Download Presentation

Hva er nytt på sikkerhet i Notes/Domino?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Hva er nytt på sikkerhet i Notes/Domino? Hans Haraldsen hans.haraldsen@novoconsult.no

  2. Admin: Vi har nå implementert AES med 256-bit kryptering og SHA-1 MAC • Hans: Åja • Admin: Det neste er å gjøre en key roll-over slik at vi får 2048-bit nøkler i Domino IDene • Hans: Åja... • Hans: Du... • Admin: Ja? • Hans: Hvorfor er default tilgang i names.nsf Manager?

  3. Hvem av disse har størst sikkerhet? DnB Nors tellesentral Min brødboks

  4. Delegering av db-vedlikehold • Som admin får jeg mange henvendelser om å kjøre compact, vedlikeholde fulltekstindekser, lage nye replikaer for brukere, sette quota på mailfiler • Jeg ønsker å delegere dette til Helpdesk/superbrukere Løsning: Database administrators

  5. Database Administrators • Settes i serverdokumentet • Kan utføre • Compact på databaser • Slette databaser • Opprette, oppdatere og slette fulltekstindekser • Opprette databaser, replikaer • Sette database quotas

  6. Lesetilgang til alt • En konsulent som skal gå igjennom vårt Domino/Notes-system trenger tilgang til alt men jeg ønsker ikke å gi admin-tilgang • Auditors trenger å kunne se alt i Notes men uten å kunne endre noe • Utvikler maser hele tiden på å kunne se logger, konfig-db og utføre enkle server-kommandoerLøsning: View-only administrators + Reader-tilgang i ACLer

  7. LocalDomainAdminsViewOnly • Lag en gruppe LocalDomainAdminsViewOnly • Legg denne inn i View-only Administrators-feltet i serverdokumentet • Legg til gruppen i ACLen i ”alle” databaser med roller men med kun Reader-tilgang

  8. Overstyre sikkerheten • Hvordan få tilgang når admin har låst seg ute av en database? • En database bruker Readers-felter og dette feltet har blitt blankt for noen dokumenter, hvordan kan man få lest dette dokumentet?Løsning: Full Access administration

  9. Full Access Administration • Overstyrerer alle ACLer • Bryr seg ikke om Readers-felter • Settes i serverdokumentet Power tends to corrupt, and absolute power corrupts absolutely - Lord Acton

  10. Kontroller bruk av Full Access Administration I • Unngå grupper i Full Access Administrator-feltet • Å liste alle navnene gjør det enklere oppdage om det er et navn som ikke skal være der • Det er ofte enklere å redigere en gruppe enn serverdokumentet

  11. Kontroller bruk av Full Access Administration II • Hver gang noen får slik tilgang generes melding i loggen • Lag en event generator i events4.nsf til å loggføre dette

  12. LDAP • Et annet system trenger en brukerkatalog og siden Domino er eneste systemet som inneholder alle ansatte så trenger jeg å gjøre adresseboken tilgjengelig via LDAP?Løsning: load ldap • Hvor sikkert er dette? • Alle som har TCP/IP-tilgang til serveren på port 389 kan lese ’hele’ adresseboken anonymtLøsning: LDAP Config Settings, ACL-overvåking av names.nsf,

  13. Default anonym LDAP-tilgang • Domino gir anonym tilgang til følgende felter via LDAP • LastName • OfficeState • street • subschemasubentry • supportedControl • supportedExtension • supportedLDAPVersion • supportedSASLMechanisms • ShortName • uniqueMember • UserCertificate • Vendorname • vendorversion • Domino gir anonym tilgang til følgende felter via LDAP • AltFullName • altServer • attributeTypes • authorityRevocationList • OfficeCountry • certificateRevocationList • cn • createTimestamp • creatorsName • crossCertificatePair • dc • deltaRevocationList • displayName • ditContentRules • dominoAccessGroups • Certificate • dominoMajMinVersion • dominoUNID • dominoVersionNumber • extendedAttributeInfo • extendedClassInfo • FirstName • ibm_enabledCapabilities • ibm_supportedCapabilities • OfficeCity • ldapSyntaxes • Location • InternetAddress • mailAddress • mailDomain • Members • modifiersName • modifyTimestamp • namingContexts • o • Type • objectClasses • ou • publicKey

  14. Reduserer felter som er tilgjengelig anonymt • Fjern anonym LDAP-tilgangAnonymous i ACL = No Access • Bruk xACL

  15. Overvåking av ACL-endringer names.nsf • Security probes i DDM • Event generator

  16. Database Event Generator • Genererer en event i DDM hver gang ACLen endres

  17. DDM security probes • Security Best Practices • Security Configuration • Security Database ACL • Security Database review

  18. DB Probes - Security Best Practices Uses IBM Best Practices non modifiable analyses server documents and server configuration documents for ‘poor’ configuration and advises on changes you select which server configuration areas you want it to analyse and how often

  19. DB Probes - Security Configuration Taking an existing named server’s configuration as its base, the probe analyses other server’s configuration for variations You can select which server runs the probe and what configuration settings it verifies The “Security Review” probe has the same options but doesn’t require a named server to compare others to. It uses pre-set Lotus metrics for doing the comparison

  20. DB Probes - Security Database ACL More granular than the simple ‘change’ monitor in Event Generators Able to track and report on specific users or groups across selected databases and multiple servers On an HTTP server you may want to know if Anonymous ever gets granted above ‘No Access’ in a database and if -Default’ ever gets granted above Reader

  21. DB Probes - Security Database Review Reviews selected databases for Lists of users with access higher than a specified level (ie show me all Designers ++) If the database has an administration server or has consistent ACLs set Reports on all restricted and unrestricted agents in the database including their trigger details and who signed them Very useful for discovering if one of your developers has ‘unleashed’ a new database or agent that doesn’t meet standards

  22. Registrering av brukere • Hvordan kan jeg delegere registrering og resertifisering av brukere uten å lage kopier av Certifier IDene? • Hvordan kan Helpdesk registrere brukere uten bruk av Domino Administrator og Notes? Løsning: Certificate Authority (CA)

  23. Certificate Authority (CA) • Serverbasert sertifisering • Tilgang til sertifikatene er ikke avhengig av fysisk ID-fil og passord • Slipper å spre kopier av Certifier IDene

  24. Beskyttelse av Certifier IDene • Vår admin har sluttet. Hvordan hindrer vi Certifier ID-filene han har skal fungere? • Området på filserveren hvor Certifier ID-filene var lagret har blitt hacket sammen med regnearket hvor alle passordene var skrevet ned. Hva gjør vi? • Alle admin og utviklere har hatt tilgang til Certifier ID-filene. Vi har tenkt til å begrense dette men trenger å hindre kopiene disse har til å fungere • Vi har full kontroll på Certifier ID-filene og disse har ikke vært spredd rundt, men hvordan vet vi at ingen har kompromittert dem? Hackere pleier normalt ikke å si i fra... • En ’sikkerhetsekspert’ har sagt at nøkkellengdene våre er for korte!?

  25. Løsning: Key rollover? • Key rollover brukes for å • periodisk å beskytte mot uoppdaget kompromittering av private nøkler • å hindre en kompromittert privat nøkkel fra å bli brukt (eks: ID-fil stjålet) • øke sikkerheten ved å bytte til en sterkere nøkkel

  26. Cost of cracking – How strong is strong? • Guessing a… • Coin Flip: 1 bit key • Spin of a Roulette wheel: 5.25 bit key • Birthday: 8.5 bit key • Specific person in Norway: ~22 bit key • Specific person in the world: ~32.5 bit key • Most well known cracks are due to weak protocols, short keys, or both • DVD encryption (CSS) • 40 bit disk keys, attacked as a 25 bit keys • Stream cipher attacked as a 16 bit key • “Hash” of disk key broken in less than 20 sec on a 450MHz PIII. • 802.11 encryption (WEP), etc. • 40 bit keys: “Export grade” • Order of weeks or less on an ordinary personal computer • RC5-40 cracked in less than four hours in 1997 by a network of about 250 workstations

  27. Cost of cracking symmetric keys • 56 bit keys: (Single DES) • Electronic Frontier Foundation (EFF)’s DES cracker • Less than $250,000, including design costs • Took 56 hours in July 1998 • Distributed.Net • EFF’s DES cracker plus 100,000 PCs on the Internet • Took 22 hours and 15 minutes in January 1999 • 64 bit keys (RC2, RC4) • Distributed.Net cracked a 64-bit RC5 key in 2002 • 331,252 people working together for 1,757 days • Equivalent to 790 days at an artificial peak rate equivalent to 46k 2GHz Athlon CPUs • RC5-72 crack started in 2002, and still in progress • 128 bit keys (RC2, RC4, AES) • A machine that could crack a 56-bit key in 1 second would take approximately 149 thousand billion years to crack a 128-bit key.

  28. Cost of cracking asymmetric keys • General Number Field Sieve (GNFS) • Sieving is compute-bound and distributable • Matrix row reduction blocked on memory and communication • RSA-640 factored November 2005 • 640 binary digits or 193 decimal digits • German Federal Agency for Information Technology Security (BSI) • Sieving: 3 months on 80 2.2 GHz Opteron CPUs • Matrix: 1.5 months on a Gigabit cluster of 80 2.2 GHz Opteron CPUs • RSA-200 factored May 2005 • 663 binary digits or 200 decimal digits • German Federal Agency for Information Technology Security (BSI) • Sieving estimate: appx 55 years on a single 2.2 GHz Opteron CPU • Matrix step: 3 months using cluster of 80 2.2 GHz Opteron CPUs • 640 to 663 bits approximately doubled the time to crack

  29. Versjoner og nøkkellengder • 6.0 • Can use 1024 bit RSA keys, but will not generate them • Can use 128-bit RC4 keys, but cannot use 128 bit RC2 keys • 6.0.4/6.5.1 • Can use 1024 bit RSA keys, but will not generate them • Can use 128 bit RC2 keys, but will not generate them • 7.0 • Can generate and use 1024 bit RSA keys • Can generate and use 128 bit RC2 keys • Adds underlying support for 2048 bit RSA keys • 8.0 • Can generate and use 2048 bit RSA keys for users and servers • Can generate and use 4096 bit RSA keys for certifiers • Adds underlying support for 4096 bit RSA keys for users and servers • Adds underlying support for 8192 bit RSA keys for certifiers • 8.0.1 • Can genereate and use 128 and 256 bit AES keys for document and ID file encryption

  30. Hva er key rollover? • Alle Notes-brukere og Domino-servere har offentlige og private nøkler lagret i ID-filen • Brukes for å bytte ut den offentlig og private nøkkelen i ID-filer

  31. Forslag til fremgangsmåte • Rollover sertifikatet for O først • Da har man x antall dager før alt må være ferdig • X settes når man gjør rollover • Deretter sertifikatene for • OU • Servere • Brukere • Kan gjøre deler av treet først

  32. Vær oppmerksom på... • Rollover for servere krever endringer i serverdokumentet og restart av serveren to ganger • Nøkkelgenerering for brukere gjøres gjennom security policy og spres standard over 180 dager. • Brukere som har flere kopier av ID-filen (lokal PC + Citrix) • Brukere som er på eldre versjoner enn Notes 8.5 (?) vil få en dialogboks hvor de må godta den nye nøkkelen • Vente til at alle brukere er på 8.5? • Brukere som har flere kopier av ID-filen (lokal PC + Citrix) må akseptere ny nøkkellengde for hver ID-fil • Ikke noe problem hvis brukerne er på 8.5 og ID-filen er i ID Vault

  33. Hindre passordgjetting • Hvordan kan jeg hindre angrep på passord? Løsning: Internet Password Lockout, xACL i names.nsf, More Secure Internet Password

  34. Internet Password Lockout • Lås bruker ute etter X antall forsøk • Settes i konfigurasjonsdokumenter

  35. Kan overstyres med policy • Spesielle regler for spesielle mennesker

  36. Inetlockout.nsf • Opprettes automatisk på hver server • Inneholder nåværende låste brukere • Historiske data logges via DDM • Har samme replica-ID på hver server • Replikering skrudd av som standard • Slette bruker fra databasen er det som å låse opp

  37. Tips • Låsing basert på mislykket innlogging skjer per server, ikke domene • LPTA SSO token ignorerer alle passorpolicier • Bruk Custom Login Form for brukere som er låst ute

  38. Beskytte lokale data • Hvordan hindre data lokalt på PC blir kompromitert? • Jeg er veldig bekymret for krypteringen av ID-filen... Løsning: Lokal kryptering av databaser, øke kryptering på ID-fil

  39. Lokal kryptering i Desktop policy

  40. Øk kryptering av ID-fil

More Related