Enviar pesquisa
Carregar
Domino HTTP Security - Neuerungen
•
1 gostou
•
2,083 visualizações
Belsoft
Seguir
Vortrag von Toni Feric anlässlich des Belsoft Collaboration Day Rheintal 2015
Leia menos
Leia mais
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 36
Baixar agora
Baixar para ler offline
Recomendados
Single Sign-On Technologieüberblick
Single Sign-On Technologieüberblick
Belsoft
Wer die (Client) Wahl hat, hat die Qual
Wer die (Client) Wahl hat, hat die Qual
Belsoft
IBM Connections 6 und was ist Pink?
IBM Connections 6 und was ist Pink?
Belsoft
Admincamp 2016 - Securing IBM Collaboration with TLS (German)
Admincamp 2016 - Securing IBM Collaboration with TLS (German)
Novakenstein
Watson Services und Cognitive Computing
Watson Services und Cognitive Computing
Belsoft
Collaboration day 2016 - Aus alt mach neu - Modernisierung mit xPages
Collaboration day 2016 - Aus alt mach neu - Modernisierung mit xPages
Belsoft
IBM Sametime 9.0.1 "basic" (aka. limited use)
IBM Sametime 9.0.1 "basic" (aka. limited use)
Novakenstein
DECIO -Der universelle Adapter für Ihre Banking Architektur
DECIO -Der universelle Adapter für Ihre Banking Architektur
sjozic
Recomendados
Single Sign-On Technologieüberblick
Single Sign-On Technologieüberblick
Belsoft
Wer die (Client) Wahl hat, hat die Qual
Wer die (Client) Wahl hat, hat die Qual
Belsoft
IBM Connections 6 und was ist Pink?
IBM Connections 6 und was ist Pink?
Belsoft
Admincamp 2016 - Securing IBM Collaboration with TLS (German)
Admincamp 2016 - Securing IBM Collaboration with TLS (German)
Novakenstein
Watson Services und Cognitive Computing
Watson Services und Cognitive Computing
Belsoft
Collaboration day 2016 - Aus alt mach neu - Modernisierung mit xPages
Collaboration day 2016 - Aus alt mach neu - Modernisierung mit xPages
Belsoft
IBM Sametime 9.0.1 "basic" (aka. limited use)
IBM Sametime 9.0.1 "basic" (aka. limited use)
Novakenstein
DECIO -Der universelle Adapter für Ihre Banking Architektur
DECIO -Der universelle Adapter für Ihre Banking Architektur
sjozic
La collaborazione europea continua
La collaborazione europea continua
Belsoft
Finding and Making Xerte Learning Objects for Research
Finding and Making Xerte Learning Objects for Research
Christine Davies
The European Collaboration continues – a progress report
The European Collaboration continues – a progress report
Belsoft
BlackBerry BES 10
BlackBerry BES 10
Belsoft
Connect Rückblick aus Entwicklerseite
Connect Rückblick aus Entwicklerseite
Belsoft
Domino 9 - jetzt mit integrierten Features, die das Admin-Leben leichter machen
Domino 9 - jetzt mit integrierten Features, die das Admin-Leben leichter machen
Belsoft
Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016
ICS User Group
Palo alto networks product overview
Palo alto networks product overview
Belsoft
Palo Alto Networks 28.5.2013
Palo Alto Networks 28.5.2013
Belsoft
Internet Information Services (deutsch)
Internet Information Services (deutsch)
Joerg Krause
Websockets: Leichtgewichtige Verbindungen für Web-Applikationen
Websockets: Leichtgewichtige Verbindungen für Web-Applikationen
SpeedPartner GmbH
MK2014 FileMaker Server 13 by Thomas Hahn
MK2014 FileMaker Server 13 by Thomas Hahn
Verein FM Konferenz
DACHNUG50 Slides_Certmgr.pdf
DACHNUG50 Slides_Certmgr.pdf
DNUG e.V.
Sametime & Websphere Best Practices (Admincamp 2013)
Sametime & Websphere Best Practices (Admincamp 2013)
Novakenstein
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
SpeedPartner GmbH
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015
Gunther Pippèrr
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
SpeedPartner GmbH
Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linux
markusmarkert
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
guest608dc7
VPN&Verschlüsselung
VPN&Verschlüsselung
Westermo Network Technologies
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Trivadis
Softphones mit AskoziaPBX einrichten - Webinar 2016, deutsch
Softphones mit AskoziaPBX einrichten - Webinar 2016, deutsch
Askozia
Mais conteúdo relacionado
Destaque
La collaborazione europea continua
La collaborazione europea continua
Belsoft
Finding and Making Xerte Learning Objects for Research
Finding and Making Xerte Learning Objects for Research
Christine Davies
The European Collaboration continues – a progress report
The European Collaboration continues – a progress report
Belsoft
BlackBerry BES 10
BlackBerry BES 10
Belsoft
Connect Rückblick aus Entwicklerseite
Connect Rückblick aus Entwicklerseite
Belsoft
Domino 9 - jetzt mit integrierten Features, die das Admin-Leben leichter machen
Domino 9 - jetzt mit integrierten Features, die das Admin-Leben leichter machen
Belsoft
Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016
ICS User Group
Palo alto networks product overview
Palo alto networks product overview
Belsoft
Palo Alto Networks 28.5.2013
Palo Alto Networks 28.5.2013
Belsoft
Destaque
(9)
La collaborazione europea continua
La collaborazione europea continua
Finding and Making Xerte Learning Objects for Research
Finding and Making Xerte Learning Objects for Research
The European Collaboration continues – a progress report
The European Collaboration continues – a progress report
BlackBerry BES 10
BlackBerry BES 10
Connect Rückblick aus Entwicklerseite
Connect Rückblick aus Entwicklerseite
Domino 9 - jetzt mit integrierten Features, die das Admin-Leben leichter machen
Domino 9 - jetzt mit integrierten Features, die das Admin-Leben leichter machen
Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016
Palo alto networks product overview
Palo alto networks product overview
Palo Alto Networks 28.5.2013
Palo Alto Networks 28.5.2013
Semelhante a Domino HTTP Security - Neuerungen
Internet Information Services (deutsch)
Internet Information Services (deutsch)
Joerg Krause
Websockets: Leichtgewichtige Verbindungen für Web-Applikationen
Websockets: Leichtgewichtige Verbindungen für Web-Applikationen
SpeedPartner GmbH
MK2014 FileMaker Server 13 by Thomas Hahn
MK2014 FileMaker Server 13 by Thomas Hahn
Verein FM Konferenz
DACHNUG50 Slides_Certmgr.pdf
DACHNUG50 Slides_Certmgr.pdf
DNUG e.V.
Sametime & Websphere Best Practices (Admincamp 2013)
Sametime & Websphere Best Practices (Admincamp 2013)
Novakenstein
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
SpeedPartner GmbH
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015
Gunther Pippèrr
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
SpeedPartner GmbH
Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linux
markusmarkert
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
guest608dc7
VPN&Verschlüsselung
VPN&Verschlüsselung
Westermo Network Technologies
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Trivadis
Softphones mit AskoziaPBX einrichten - Webinar 2016, deutsch
Softphones mit AskoziaPBX einrichten - Webinar 2016, deutsch
Askozia
WeOS 4.30.0
WeOS 4.30.0
Westermo Network Technologies
We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0
Westermo Network Technologies
WeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdf
Westermo Network Technologies
WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1
Westermo Network Technologies
Deployment von Entwicklungsumgebungen eines TYPO3-Intranets mit Vagrant
Deployment von Entwicklungsumgebungen eines TYPO3-Intranets mit Vagrant
Christoph Möller
IBM Chat/Sametime Migration (CCTY 2016 Munich)
IBM Chat/Sametime Migration (CCTY 2016 Munich)
Novakenstein
FMK2015: Erste Schritte mit einem Codeversionierungssystem by Thomas Hirt
FMK2015: Erste Schritte mit einem Codeversionierungssystem by Thomas Hirt
Verein FM Konferenz
Semelhante a Domino HTTP Security - Neuerungen
(20)
Internet Information Services (deutsch)
Internet Information Services (deutsch)
Websockets: Leichtgewichtige Verbindungen für Web-Applikationen
Websockets: Leichtgewichtige Verbindungen für Web-Applikationen
MK2014 FileMaker Server 13 by Thomas Hahn
MK2014 FileMaker Server 13 by Thomas Hahn
DACHNUG50 Slides_Certmgr.pdf
DACHNUG50 Slides_Certmgr.pdf
Sametime & Websphere Best Practices (Admincamp 2013)
Sametime & Websphere Best Practices (Admincamp 2013)
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Oracle connection manager_cman_doag_sig_security_mai_2015
Oracle connection manager_cman_doag_sig_security_mai_2015
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicherer Wegweiser im Internet: DNSSEC im praktischen Einsatz
Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linux
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
VPN&Verschlüsselung
VPN&Verschlüsselung
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Softphones mit AskoziaPBX einrichten - Webinar 2016, deutsch
Softphones mit AskoziaPBX einrichten - Webinar 2016, deutsch
WeOS 4.30.0
WeOS 4.30.0
We os 4.31.0 und weconfig 1.14.0
We os 4.31.0 und weconfig 1.14.0
WeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.32.0 und WeConfig 1.15.pdf
WeOS 4.29.0 & WeConfig 1.13.1
WeOS 4.29.0 & WeConfig 1.13.1
Deployment von Entwicklungsumgebungen eines TYPO3-Intranets mit Vagrant
Deployment von Entwicklungsumgebungen eines TYPO3-Intranets mit Vagrant
IBM Chat/Sametime Migration (CCTY 2016 Munich)
IBM Chat/Sametime Migration (CCTY 2016 Munich)
FMK2015: Erste Schritte mit einem Codeversionierungssystem by Thomas Hirt
FMK2015: Erste Schritte mit einem Codeversionierungssystem by Thomas Hirt
Mais de Belsoft
Engage: A Break Up Story
Engage: A Break Up Story
Belsoft
Belsoft Collaboration Success Story: Mit Connections Gutes tun
Belsoft Collaboration Success Story: Mit Connections Gutes tun
Belsoft
Don’t believe the hype – why O365 might not be the Droid you are looking for
Don’t believe the hype – why O365 might not be the Droid you are looking for
Belsoft
How to find and tag untagged content in Connections
How to find and tag untagged content in Connections
Belsoft
Simplifying Connections using the Customizer
Simplifying Connections using the Customizer
Belsoft
Erfahrung aus der Praxis & Roadmaps zu Domino, Verse und Sametime
Erfahrung aus der Praxis & Roadmaps zu Domino, Verse und Sametime
Belsoft
Customers using IBM Connections
Customers using IBM Connections
Belsoft
IBM Connections - ein Update
IBM Connections - ein Update
Belsoft
How adding a further tool can be a good thing
How adding a further tool can be a good thing
Belsoft
ICON Switzerland - IBM Domino 10 Demo
ICON Switzerland - IBM Domino 10 Demo
Belsoft
ICON Switzerland - IBM Executive Keynote Slides
ICON Switzerland - IBM Executive Keynote Slides
Belsoft
How adding a further tool can be a good thing
How adding a further tool can be a good thing
Belsoft
Belsoft Collaboration Day 2018 - Watson Workspace Übersicht
Belsoft Collaboration Day 2018 - Watson Workspace Übersicht
Belsoft
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
Belsoft
Belsoft Collaboration Day 2018 - IBM Connections - Gegenwart und Zukunft
Belsoft Collaboration Day 2018 - IBM Connections - Gegenwart und Zukunft
Belsoft
Belsoft Collaboration Day 2018 - Social Collaboration Journey @Bosch
Belsoft Collaboration Day 2018 - Social Collaboration Journey @Bosch
Belsoft
Belsoft Collaboration Day 2018 - Dreaming of..
Belsoft Collaboration Day 2018 - Dreaming of..
Belsoft
Social Business - Geschäften mit Social Media (informatiktage.ch)
Social Business - Geschäften mit Social Media (informatiktage.ch)
Belsoft
IBM Connections ready for students at University of Zurich
IBM Connections ready for students at University of Zurich
Belsoft
Belsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/Verse
Belsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/Verse
Belsoft
Mais de Belsoft
(20)
Engage: A Break Up Story
Engage: A Break Up Story
Belsoft Collaboration Success Story: Mit Connections Gutes tun
Belsoft Collaboration Success Story: Mit Connections Gutes tun
Don’t believe the hype – why O365 might not be the Droid you are looking for
Don’t believe the hype – why O365 might not be the Droid you are looking for
How to find and tag untagged content in Connections
How to find and tag untagged content in Connections
Simplifying Connections using the Customizer
Simplifying Connections using the Customizer
Erfahrung aus der Praxis & Roadmaps zu Domino, Verse und Sametime
Erfahrung aus der Praxis & Roadmaps zu Domino, Verse und Sametime
Customers using IBM Connections
Customers using IBM Connections
IBM Connections - ein Update
IBM Connections - ein Update
How adding a further tool can be a good thing
How adding a further tool can be a good thing
ICON Switzerland - IBM Domino 10 Demo
ICON Switzerland - IBM Domino 10 Demo
ICON Switzerland - IBM Executive Keynote Slides
ICON Switzerland - IBM Executive Keynote Slides
How adding a further tool can be a good thing
How adding a further tool can be a good thing
Belsoft Collaboration Day 2018 - Watson Workspace Übersicht
Belsoft Collaboration Day 2018 - Watson Workspace Übersicht
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
Belsoft Collaboration Day 2018 - IBM Connections - Gegenwart und Zukunft
Belsoft Collaboration Day 2018 - IBM Connections - Gegenwart und Zukunft
Belsoft Collaboration Day 2018 - Social Collaboration Journey @Bosch
Belsoft Collaboration Day 2018 - Social Collaboration Journey @Bosch
Belsoft Collaboration Day 2018 - Dreaming of..
Belsoft Collaboration Day 2018 - Dreaming of..
Social Business - Geschäften mit Social Media (informatiktage.ch)
Social Business - Geschäften mit Social Media (informatiktage.ch)
IBM Connections ready for students at University of Zurich
IBM Connections ready for students at University of Zurich
Belsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/Verse
Belsoft Collaboration Day 2018 - What's next for IBM Domino/Notes/Verse
Domino HTTP Security - Neuerungen
1.
Belsoft Collaboration AG
Hauptsitz Zweigstelle SG Zweigstelle SZ www.belsoft-collaboration.ch Russenweg 26 CH-8008 Zürich T +41 44 388 13 31 Espenstrasse 139 Eichenstrasse 2 CH-9443 Widnau (SG) 8808 Pfäffikon SZ T +41 71 727 75 75 T +41 55 410 55 50 Domino HTTP Security - Neuerungen Toni Feric April, 2015
2.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Über mich • Toni
Feric • Fokus: Domino/Traveler, UNIX/Linux, Integration, Infrastruktur, Troubleshooting, Security • 17 Jahre Berufserfahrung Domino • 11 Jahre bei einer Rückversicherung tätig • Engineering Mail-Infrastruktur (ca. 18’000 Mailkonti) • Aufbau Langzeit-Archivierungslösung für Mail
3.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Agenda • Domino Socket
Layer Security • SSL/TLS • Perfect Forward Secrecy • Cipher für symmetrische Schlüssel • Domino HTTP Server Security • SHA-2 Zertifikate • kyrtool • Einstellungen HTTP • Einstellungen SMTP TLS
4.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Hintergrund dieser Präsentation 2014 SHA-2 TLS
1.0 TLS 1.2 PFS + DHE Perfect Forward Secrecy Kyrtool SSLv2 disabled SSLv3 abschaltbar Unsichere Cipher disabled MD5, <128bit, RC4…
5.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Was bedeuten diese
Neuerungen konkret? • SSLv3 abschalten (notes.ini) • Upgrade auf min. R9.0.1.FP3IF2 • HTTP Reverse Proxy empfohlen (Sophos UTM, NGINX) • Domino R8.5 und älter - nicht mehr direkt am Internet • Fixpack/Interim-Fix zeitnah installieren: http://ibm.com/support/mynotifications • Neue Security Features nicht konfigurierbar via GUI im DDIR -> notes.ini • Installation von Fixpack/IF schaltet ältere Features ab • Cipherlisten im DDIR : WYSI-not-WYG
6.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Strategie eines System-Administrators •
Domino Updates zeitnah installieren. – Erledigt! • Strategie ändern • Features müssen von Hand nachkonfiguriert werden • SSLv3 abschalten, PFS einschalten, Cipherliste anpassen • Reverse Proxy aktuell halten, Domino gelegentlich updaten • Strategie ändern? • Domino ohne https? • Nicht sicher für: User-Login, DMZ, SSO-Tickets/Cookies, non-public Daten • Unverschlüsselte Dienste/Protokolle ganz abschalten • Browser-Update -> Zugriff auf Domino Webdienst geht nicht mehr • NGINX, Apache: SSLv3 aus der Konfig entfernt?
7.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Security-Scan • Alle Domino
Server, Reverse Proxy, u.a. Webdienste scannen: https://www.ssllabs.com/ssltest/ • Nach jeder Konfigurationsänderung Scan wiederholen • Periodisch wiederholen (z.B. monatlich) • Bewertung «A-» sollte mit Domino R9 möglich sein
8.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch DISABLE_SSLV3=1 (notes.ini) • Auf
jedem Domino Server setzen. (HTTP, SMTP, POP3, IMAP, LDAP) • Zuvor, den neusten (oder entsprechenden) Fix installieren: http://www-01.ibm.com/support/docview.wss?uid=swg21695998 • Alte Domino Keyrings mit MD5 Signaturen müssen vorher ersetzt werden: http://www-01.ibm.com/support/docview.wss?uid=swg21701159 • Nur in Ausnahmefällen SSLv3 nicht abschalten (Kompatibilität) • SMTP Gateway? • Ev. bei serverseitigem LDAP Lookup (z.B. Directory Assistance) • Konfiguration im Domino Directory wird ignoriert
9.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Verbindungs-Fehler • Client kann
keine Verbindung zum Server aufbauen. → (Client kann kein TLS, Server akzeptiert kein SSL) • Meldung im Log.nsf und auf der Konsole: • Ist dieser spezifische Client wichtig? → Im Zweifelsfall SSLv3 temporär wieder einschalten, Lösung suchen. → Wenn möglich, TLS auf dem Remote-System einschalten. → Ziel sollte sein, SSLv3 abzuschalten. Es ist nicht sicher. • Ev. Meldung im Monitoring einbauen.
10.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Perfect Forward Secrecy
(PFS) • Sicherer Schlüsselaustausch • Session Key wird nicht übers Netz übertragen • Implementation durch Diffie-Hellman Methode (DHE) • Wenn Private Key kompromittiert wird: • Datenverkehr von Man-In-The-Middle nicht entschlüsselbar • Rückwirkend keine Entschlüsselung aufgezeichneter Daten möglich • Ab Domino R9.0.1FP3IF2 verfügbar • PFS defaultmässig nicht aktiviert (braucht mehr CPU Leistung) • Über notes.ini Variable SSLCipherSpec konfigurierbar • Bei Problemen mit Java 1.6/1.7 : SSL_DH_KEYSIZE=1024 • Domino: Noch kein DHE mit Elliptic-Curve (ECDHE)
11.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch verschlüsselte Verbindung (symmetrisch) Schlüsselaustausch
ohne PFS Schritt 1: Verbindungs-Aufbau (TLS Negotiation) HTTP Client HTTP Server verschlüsselte Verbindung (asymmetrisch) PRIVATE KEY PUBLIC KEY Schritt 2: Datenübertragung HTTP Client HTTP Server Datenübertragung SESSION KEY SESSION KEY Geheimnis für Session Key
12.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Schlüsselaustausch mit PFS
(Diffie-Hellman) Verbindungs-Aufbau (TLS Negotiation mit Perfect Forward Secrecy) HTTP Client HTTP ServerPRIVATE KEY PUBLIC KEY verschlüsselte Verbindung (asymmetrisch) Geteiltes Geheimnis für Session Key x a Privates Geheimnis a x Geteiltes Geheimnis x b Privates Geheimnisb x Geteiltes Geheimnis SESSION KEY SESSION KEY
13.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch SSLCipherSpec (notes.ini) • Ohne
diese Variable kein PFS möglich • Variable, übersteuert alle Cipher-Einstellungen im DDIR • Verwendung der Variable SSLCipherSpec: http://www-10.lotus.com/ldd/dominowiki.nsf/dx/TLS_Cipher_Configuration • Verwendung der Variable (Kurzübersicht):
14.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Cipher-Konfiguration ohne SSLCipherSpec
(nur mit DDIR) • Alle Server Dokumente und Website Dokumente im DDIR überprüfen. • Alle AES Cipher einschalten • Schwache Cipher wurden vom Fixpack/IF disabled
15.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Entscheidungshilfe für Cipher
Bewertung • Wie bewertet man die Bezeichnung eines Ciphers (z.B. DHE_RSA_WITH_AES_128_CBC_SHA) Funktion Abkürzung Erklärung Bewertung Schlüsselaustausch-Verfahren DHE (ECDHE) Diffie-Hellman (PFS) (noch nicht unterstützt) + (++) Asymmetrisches Verfahren (Private/Public Key) für Negotiation/Schlüsselaustausch RSA (ECC) (noch nicht unterstützt) + (++) Symmetrisches Verfahren für Datenübertragung AES 3DES_EDE RC4 Für legacy Windows + 0 - Schlüsselstärke (bit) für symmetrischen Schlüssel >128 bit <128 bit + - Betriebsart für Block-Cipher (symmetrische Schlüssel) GCM CBC (AEAD) Cipher Block Chaining + 0 Hash Algorithmus für MAC Integrity- Checking (symmetrische Schlüssel) SHA-384, SHA-256 SHA (=SHA-1) MD5 + 0 --
16.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Konkrete Vorschläge (SSLCipherSpec) •
iNotes & Applikations-Webserver: SSLCipherSpec=9D9C3D3C352F3339676B9E9F DISABLE_SSLV3=1 • Falls alte Windows XP+IE Clients verbinden sollen: 0A zu der SSLCipherSpec Variable hinzufügen ( 0A : RSA_WITH_3DES_EDE_CBC_SHA ) • Traveler SSLCipherSpec=9D9C3D3C352F3339676B9E9F DISABLE_SSLV3=1 • SMTP SSLCipherSpec=9D9C3D3C352F0A3339676B9E9F DISABLE_SSLV3=1 RouterFallbackNonTLS=1 • Bei Verbindungs-Problemen mit alten Systemen: SSL_ENABLE_INSECURE_SSLV2_HELLO=1 (nicht empfohlen)
17.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Cipher testen &
bewerten • Alle aktuellen Browser durchtesten
18.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Cipher testen -
Fehler • Client kann keine Verbindung zum Server aufbauen. → (finden keinen gemeinsamen Cipher) • Meldung im Log.nsf und auf der Konsole: • DDM Monitoring – Warnungen an Admin schicken? • Fehlermeldung im Browser:
19.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Security-Scan mit SSL
Labs LIVE DEMO… https://www.ssllabs.com/ssltest/
20.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Cipher testen &
bewerten - Tipps • Security-Scan mit SSL Labs vom Internet her: https://www.ssllabs.com/ssltest/ Protocols • TLS1.2, TLS1.0 aktiv, kein SSL Cipher Suites • DHE (PFS) Cipher verfügbar? • «DH 1024 bits WEAK» – Wird SSL_DH_KEYSIZE=1024 (notes.ini) verwendet? Handshake Simulation • Windows IE / XP, Java 6, Java 7 : «Protocol or Cipher Suite mismatch» → Alte Systeme unterstützen nur noch schwache/unsichere Cipher Protocol Details • «Forward Secrecy – with some browsers» → weil Elliptic Curves noch nicht unterstützt sind
21.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Socket Layer Security Fragen? SSL,
TLS DHE – Diffie-Hellman AES, 3DES, RC4 PFS, Perfect Forward Secrecy SHA-256, SHA-1 Asymmetrisch Symmetrisch Session Key Zertifikat Negotiation HTTP SMTP LDAP notes.ini Signatur SSLCipherSpec= SSL_DH_KeySize= Windows XP Cipher Reverse Proxy
22.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Security auf HTTP-Ebene •
Wechsel zu SHA-2 Zertifikaten • Kyrtool • Security-Empfehlungen HTTP Server
23.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Wechsel zu SHA-2
Internet Zertifikaten • SHA: Secure Hashing Algorithmus • Signatur von Internet Zertifikaten • Überprüfung von Datenintegrität bei Datenübertragung (Block-Cipher) • SHA-1 Zertifikate werden praktisch nicht mehr ausgestellt • SHA-2 = SHA-256 (oder SHA-224, SHA-384, SHA-512) • Theoretische Attacken gegen SHA-1 bereits bekannt • Domino R8.* - inkompatibel mit SHA-2! → Empfehlung: 2015 alle Internet Zertifikate umstellen auf SHA-2 SHA
24.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch kyrtool.exe • Neues Tool
von IBM • Für Verwaltung von Domino Keyrings • Erstellen von neuen Keyrings (*.kyr + *.sth) • Hinzufügen von Internet Zertifikaten • Kommandozeile (ohne GUI) • Windows + Linux • Achtung: Neue Version seit 02.04.2015 • Keyrings mit SHA-2 Zertifikaten inkompatibel mit Domino R8* • Kyrtool benötigt ev. Installation von Microsoft Visual C++ Runtime • Notes DB «Domino Server Certificate Admin» nicht mehr verwenden (ggf. bei älteren Domino Servern)
25.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch kyrtool.exe - Beispiele •
Verifizierung vor dem Import der Internet Zertifikate in den Domino Keyring: • Erstellen eines neuen Domino Keyrings:
26.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch HTTP Server Security
Wechsel zu SHA-2 Zertifikaten Kyrtool Security-Empfehlungen HTTP Server
27.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Allgemeine Sicherheits-Prinzipien • Alle
Daten, die nicht ausschliesslich für die Öffentlichkeit sind, sollten durch Authentisierung geschützt sein. • Authentifizierungs-Daten (Usernamen, Passwort, Cookie, Zertifikatsaustausch) sollten verschlüsselt sein. • Alle Daten, die Authentifizierung erfordern, sollten verschlüsselt übertragen werden. • Sensitive Daten sollten zudem nur in verschlüsselter Form abgelegt werden. • Dies gilt sowohl für Kommunikation übers Internet, als auch für interne Kommunikation. • Dies gilt für alle Protokolle. (inkl. LDAP) Referenz: Daniel Nashed, David Kern
28.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Internet (HTTP) Authentisierung •
Für Web-Server, die keine öffentlichen Inhalte haben: • Anonyme Verbindungen werden nicht gebraucht – abstellen! • Keine unverschlüsselten Verbindungen • Domino Keyring-Datei wird benötigt • Alle «Internet Site» Dokumente überprüfen
29.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch iNotes Redirect Datenbank
(anonymer Zugriff abgeschaltet) • Wenn anonymer Zugriff abgeschaltet ist, kann das Login Formular nicht richtig angezeigt werden. → Weil User noch nicht authentisiert sind, wenn sie auf das Login Formular zugreifen. • Lösung: URL’s die trotzdem anonym erreichbar sein müssen, können in einer notes.ini Variable aufgelistet werden: HTTPPublicURLs=/redir.nsf/* • Mehrere URL’s durch Kommas getrennt
30.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Internet Password Lockout •
Ohne «Internet Password Lockout» können Brute-Force Attacken gegen Internet Passwörter nicht verhindert werden. • Einstellung im Server Configuration Document
31.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch «More Secure Internet
Password» • Längere Password Hashes (mit Salting) für Internet Passwörter. • Auf «release 8.01 or greater» setzen • Unterschiedliche Hashes für identische Passwörter • Internet Passwörter für die User bleiben unverändert • Agent starten, der alle Passwort-Hashes in Personen Dokumenten sicherer macht:
32.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Authentisierung – Basic
Authentication • Basic Authentication: • Usernamen + Passwort werden vom Browser in jedem HTTP GET Request zum Webserver mitgeschickt. → Empfehlung: Wenn möglich, nie verwenden. • Vermutlich mehrmals pro Mausklick. • Ohne https-Verbindung: Credentials aller Benutzer im Klartext • Passwörter können ev. in Server-Logs gespeichert werden • Merkmal: separates Login-Fenster über dem Browser • Logoff nicht möglich (Browser Programm beenden) • Im Domino Directory: • Session authentication: Disabled
33.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Authentisierung – Multiple
Server SSO • Bevorzugte Authentisierungs-Methode für Domino Web Server. • Browser bekommt vom Server ein verschlüsseltes LTPA Token. • Browser speichert dieses verschlüsseltes Session-Cookie im Cache. • Browser kann verschlüsseltes Cookie nicht entschlüsseln. • Browser schickt Cookie mit jedem HTTP GET Reqest. • Nach Timeout oder Logoff der Session ist das Cookie nicht mehr gültig. • Eigenschaft: Login Aufforderung in der Webseite (Formular). • Cookies müssen vor Diebstahl geschützt werden (-> https).
34.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Internet Port Status
- HTTP • Im Server Dokument • Disabled: • Browser Requests mit «http://» funktionieren nicht mehr. • Einziges Mittel um Credentials im Klartext sicher zu verhindern. • Redirect to SSL: • Im ersten Browser Request könnten Credentials im Klartext übermittelt werden. • Enabled: • Nur bei Public Content
35.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch HTTP Server Security Fragen? SHA-256,
SHA-1 HTTP SMTP LDAP notes.ini Signatur HTTPPublicURLs= Internet Password Lockout Reverse Proxy Kyrtool Internet Zertifikat Basic Authentication Multi-Server SSO iNotes Traveler More Secure Internet Password
36.
©2014BelsoftCollaborationAG|www.belsoft-collaboration.ch Quellenverzeichnis • ConnectED2015, BP102:
«Practical IBM Notes and Domino Internet Security» (Daniel Nashed, David Kern) • IBM Notes and Domino wiki: «TLS Cipher Configuration» http://www-10.lotus.com/ldd/dominowiki.nsf/dx/TLS_Cipher_Configuration • Daniel Nashed’s Blog: «First Perfect Forward Secrecty Ciphers shipped with 9.0.1.FP3 IF2» http://blog.nashcom.de/nashcomblog.nsf/dx/first-perfect-forward-secrecy-ciphers-shipped-with-9.0.1-fp3-if2.htm • Darren Duke’s Blog: «TLS 1.2 in Domino and the settings I use» http://blog.darrenduke.net/Darren/DDBZ.nsf/dx/tls-1.2-in-domino-and-the-settings-i-use.htm • Wikipedia: «Transport Layer Security» http://de.wikipedia.org/wiki/Transport_Layer_Security • Wikipedia: «Forward Secrecy» http://en.wikipedia.org/wiki/Forward_secrecy • YouTube: «Diffie Hellman Key Exchange» https://www.youtube.com/watch?v=YEBfamv-_do • Wikipedia: «POODLE» http://de.wikipedia.org/wiki/Poodle • Wikipedia: «Heartbleed» http://de.wikipedia.org/wiki/Heartbleed • Wikipedia: «Secure Hash Algorithm» http://de.wikipedia.org/wiki/Secure_Hash_Algorithm • Div. Weitere Wikipedia Artikel (RSA, AES, RC4, DES, 3DES, MD5, Elliptic Curve Cryptography, CBC, GCM, u.a.)
Baixar agora