hva er nytt på sikkerhet i notes/domino?
DESCRIPTION
Hva er nytt på sikkerhet i Notes/Domino?. Hans Haraldsen [email protected]. Admin: Vi har nå implementert AES med 256-bit kryptering og SHA-1 MAC Hans: Åja Admin: Det neste er å gjøre en key roll-over slik at vi får 2048-bit nøkler i Domino IDene Hans: Åja... Hans: Du... - PowerPoint PPT PresentationTRANSCRIPT
en norsk aktør i et nordisk marked
www.novoconsult.no
Hva er nytt på sikkerhet i Notes/Domino?
Hans [email protected]
en norsk aktør i et nordisk marked
www.novoconsult.no
en norsk aktør i et nordisk marked
www.novoconsult.no
• Admin: Vi har nå implementert AES med 256-bit kryptering og SHA-1 MAC
• Hans: Åja• Admin: Det neste er å gjøre en key roll-over
slik at vi får 2048-bit nøkler i Domino IDene• Hans: Åja...• Hans: Du...• Admin: Ja?• Hans: Hvorfor er default tilgang i names.nsf
Manager?
en norsk aktør i et nordisk marked
www.novoconsult.no
Hvem av disse har størst sikkerhet?
DnB Nors tellesentral Min brødboks
en norsk aktør i et nordisk marked
www.novoconsult.no
Delegering av db-vedlikehold
• Som admin får jeg mange henvendelser om å kjøre compact, vedlikeholde fulltekstindekser, lage nye replikaer for brukere, sette quota på mailfiler
• Jeg ønsker å delegere dette til Helpdesk/superbrukere
Løsning: Database administrators
en norsk aktør i et nordisk marked
www.novoconsult.no
Database Administrators
• Settes i serverdokumentet• Kan utføre
– Compact på databaser– Slette databaser– Opprette, oppdatere og slette fulltekstindekser– Opprette databaser, replikaer– Sette database quotas
en norsk aktør i et nordisk marked
www.novoconsult.no
en norsk aktør i et nordisk marked
www.novoconsult.no
Lesetilgang til alt
• En konsulent som skal gå igjennom vårt Domino/Notes-system trenger tilgang til alt men jeg ønsker ikke å gi admin-tilgang
• Auditors trenger å kunne se alt i Notes men uten å kunne endre noe
• Utvikler maser hele tiden på å kunne se logger, konfig-db og utføre enkle server-kommandoer
Løsning: View-only administrators + Reader-tilgang i ACLer
en norsk aktør i et nordisk marked
www.novoconsult.no
LocalDomainAdminsViewOnly
• Lag en gruppe LocalDomainAdminsViewOnly• Legg denne inn i View-only Administrators-feltet i
serverdokumentet
• Legg til gruppen i ACLen i ”alle” databaser med roller men med kun Reader-tilgang
en norsk aktør i et nordisk marked
www.novoconsult.no
en norsk aktør i et nordisk marked
www.novoconsult.no
Overstyre sikkerheten
• Hvordan få tilgang når admin har låst seg ute av en database?
• En database bruker Readers-felter og dette feltet har blitt blankt for noen dokumenter, hvordan kan man få lest dette dokumentet?
Løsning: Full Access administration
en norsk aktør i et nordisk marked
www.novoconsult.no
Full Access Administration
• Overstyrerer alle ACLer• Bryr seg ikke om Readers-felter• Settes i serverdokumentet
Power tends to corrupt, and absolute power corrupts absolutely
- Lord Acton
en norsk aktør i et nordisk marked
www.novoconsult.no
Kontroller bruk av Full Access Administration I
• Unngå grupper i Full Access Administrator-feltet– Å liste alle navnene gjør det enklere oppdage om det er et
navn som ikke skal være der– Det er ofte enklere å redigere en gruppe enn
serverdokumentet
en norsk aktør i et nordisk marked
www.novoconsult.no
Kontroller bruk av Full Access Administration II• Hver gang noen får slik tilgang generes melding i
loggen
• Lag en event generator i events4.nsf til å loggføre dette
en norsk aktør i et nordisk marked
www.novoconsult.no
en norsk aktør i et nordisk marked
www.novoconsult.no
LDAP
• Et annet system trenger en brukerkatalog og siden Domino er eneste systemet som inneholder alle ansatte så trenger jeg å gjøre adresseboken tilgjengelig via LDAP?
Løsning: load ldap
• Hvor sikkert er dette?• Alle som har TCP/IP-tilgang til serveren på port 389 kan
lese ’hele’ adresseboken anonymt
Løsning: LDAP Config Settings, ACL-overvåking av names.nsf,
en norsk aktør i et nordisk marked
www.novoconsult.no
Default anonym LDAP-tilgang• Domino gir anonym tilgang til følgende felter via LDAP• AltFullName• altServer• attributeTypes• authorityRevocationList• OfficeCountry• certificateRevocationList• cn• createTimestamp• creatorsName• crossCertificatePair• dc• deltaRevocationList• displayName• ditContentRules• dominoAccessGroups• Certificate• dominoMajMinVersion• dominoUNID• dominoVersionNumber• extendedAttributeInfo• extendedClassInfo• FirstName• ibm_enabledCapabilities• ibm_supportedCapabilities• OfficeCity• ldapSyntaxes• Location• InternetAddress• mailAddress• mailDomain• Members• modifiersName• modifyTimestamp• namingContexts• o• Type• objectClasses• ou• publicKey
• Domino gir anonym tilgang til følgende felter via LDAP• LastName• OfficeState• street• subschemasubentry• supportedControl• supportedExtension• supportedLDAPVersion• supportedSASLMechanisms• ShortName• uniqueMember• UserCertificate• Vendorname• vendorversion
en norsk aktør i et nordisk marked
www.novoconsult.no
• Reduserer felter som er tilgjengelig anonymt
• Fjern anonym LDAP-tilgangAnonymous i ACL = No Access
• Bruk xACL
en norsk aktør i et nordisk marked
www.novoconsult.no
Overvåking av ACL-endringer names.nsf
• Security probes i DDM• Event generator
en norsk aktør i et nordisk marked
www.novoconsult.no
Database Event Generator
• Genererer en event i DDM hver gang ACLen endres
en norsk aktør i et nordisk marked
www.novoconsult.no
en norsk aktør i et nordisk marked
www.novoconsult.no
DDM security probes
• Security Best Practices• Security Configuration• Security Database ACL• Security Database review
en norsk aktør i et nordisk marked
www.novoconsult.no
DB Probes - Security Best Practices• Uses IBM Best Practices
– non modifiable– analyses server documents and server configuration documents
for ‘poor’ configuration and advises on changes– you select which server configuration areas you want it to analyse
and how often
en norsk aktør i et nordisk marked
www.novoconsult.no
DB Probes - Security Configuration• Taking an existing named server’s configuration as its
base, the probe analyses other server’s configuration for variations
• You can select which server runs the probe and what configuration settings it verifies
– The “Security Review” probe has the same options but doesn’t require a named server to compare others to. It uses pre-set Lotus metrics for doing the comparison
en norsk aktør i et nordisk marked
www.novoconsult.no
DB Probes - Security Database ACL• More granular than the simple ‘change’ monitor in Event
Generators• Able to track and report on specific users or groups across
selected databases and multiple servers• On an HTTP server you may want to know if Anonymous
ever gets granted above ‘No Access’ in a database and if -Default’ ever gets granted above Reader
en norsk aktør i et nordisk marked
www.novoconsult.no
DB Probes - Security Database Review• Reviews selected databases for
– Lists of users with access higher than a specified level (ie show me all Designers ++)
– If the database has an administration server or has consistent ACLs set
• Reports on all restricted and unrestricted agents in the database including their trigger details and who signed them
• Very useful for discovering if one of your developers has ‘unleashed’ a new database or agent that doesn’t meet standards
en norsk aktør i et nordisk marked
www.novoconsult.no
en norsk aktør i et nordisk marked
www.novoconsult.no
Registrering av brukere
• Hvordan kan jeg delegere registrering og resertifisering av brukere uten å lage kopier av Certifier IDene?
• Hvordan kan Helpdesk registrere brukere uten bruk av Domino Administrator og Notes?
Løsning: Certificate Authority (CA)
en norsk aktør i et nordisk marked
www.novoconsult.no
Certificate Authority (CA)
• Serverbasert sertifisering
• Tilgang til sertifikatene er ikke avhengig av fysisk ID-fil og passord
• Slipper å spre kopier av Certifier IDene
en norsk aktør i et nordisk marked
www.novoconsult.no
en norsk aktør i et nordisk marked
www.novoconsult.no
Beskyttelse av Certifier IDene
• Vår admin har sluttet. Hvordan hindrer vi Certifier ID-filene han har skal fungere?
• Området på filserveren hvor Certifier ID-filene var lagret har blitt hacket sammen med regnearket hvor alle passordene var skrevet ned. Hva gjør vi?
• Alle admin og utviklere har hatt tilgang til Certifier ID-filene. Vi har tenkt til å begrense dette men trenger å hindre kopiene disse har til å fungere
• Vi har full kontroll på Certifier ID-filene og disse har ikke vært spredd rundt, men hvordan vet vi at ingen har kompromittert dem? Hackere pleier normalt ikke å si i fra...
• En ’sikkerhetsekspert’ har sagt at nøkkellengdene våre er for korte!?
en norsk aktør i et nordisk marked
www.novoconsult.no
Løsning: Key rollover?
• Key rollover brukes for å – periodisk å beskytte mot uoppdaget kompromittering av
private nøkler– å hindre en kompromittert privat nøkkel fra å bli brukt
(eks: ID-fil stjålet)– øke sikkerheten ved å bytte til en sterkere nøkkel
en norsk aktør i et nordisk marked
www.novoconsult.no
Cost of cracking – How strong is strong?
• Guessing a…– Coin Flip: 1 bit key– Spin of a Roulette wheel: 5.25 bit key– Birthday: 8.5 bit key – Specific person in Norway: ~22 bit key– Specific person in the world: ~32.5 bit key
• Most well known cracks are due to weak protocols, short keys, or both
– DVD encryption (CSS)40 bit disk keys, attacked as a 25 bit keysStream cipher attacked as a 16 bit key“Hash” of disk key broken in less than 20 sec on a 450MHz PIII.
– 802.11 encryption (WEP), etc.
• 40 bit keys: “Export grade”– Order of weeks or less on an ordinary personal computer– RC5-40 cracked in less than four hours in 1997 by a network of about 250
workstations
en norsk aktør i et nordisk marked
www.novoconsult.no
Cost of cracking symmetric keys
• 56 bit keys: (Single DES)– Electronic Frontier Foundation (EFF)’s DES cracker
Less than $250,000, including design costsTook 56 hours in July 1998
– Distributed.NetEFF’s DES cracker plus 100,000 PCs on the InternetTook 22 hours and 15 minutes in January 1999
• 64 bit keys (RC2, RC4)– Distributed.Net cracked a 64-bit RC5 key in 2002
331,252 people working together for 1,757 daysEquivalent to 790 days at an artificial peak rate equivalent
to 46k 2GHz Athlon CPUsRC5-72 crack started in 2002, and still in progress
• 128 bit keys (RC2, RC4, AES)– A machine that could crack a 56-bit key in 1 second would take
approximately 149 thousand billion years to crack a 128-bit key.
en norsk aktør i et nordisk marked
www.novoconsult.no
Cost of cracking asymmetric keys
• General Number Field Sieve (GNFS)– Sieving is compute-bound and distributable– Matrix row reduction blocked on memory and communication
• RSA-640 factored November 2005– 640 binary digits or 193 decimal digits– German Federal Agency for Information Technology Security (BSI)– Sieving: 3 months on 80 2.2 GHz Opteron CPUs– Matrix: 1.5 months on a Gigabit cluster of 80 2.2 GHz Opteron CPUs
• RSA-200 factored May 2005– 663 binary digits or 200 decimal digits– German Federal Agency for Information Technology Security (BSI)– Sieving estimate: appx 55 years on a single 2.2 GHz Opteron CPU– Matrix step: 3 months using cluster of 80 2.2 GHz Opteron CPUs
• 640 to 663 bits approximately doubled the time to crack
en norsk aktør i et nordisk marked
www.novoconsult.no
Versjoner og nøkkellengder
• 6.0 – Can use 1024 bit RSA keys, but will not generate them– Can use 128-bit RC4 keys, but cannot use 128 bit RC2 keys
• 6.0.4/6.5.1 – Can use 1024 bit RSA keys, but will not generate them– Can use 128 bit RC2 keys, but will not generate them
• 7.0– Can generate and use 1024 bit RSA keys– Can generate and use 128 bit RC2 keys– Adds underlying support for 2048 bit RSA keys
• 8.0– Can generate and use 2048 bit RSA keys for users and servers– Can generate and use 4096 bit RSA keys for certifiers– Adds underlying support for 4096 bit RSA keys for users and servers– Adds underlying support for 8192 bit RSA keys for certifiers
• 8.0.1– Can genereate and use 128 and 256 bit AES keys for document and ID file
encryption
en norsk aktør i et nordisk marked
www.novoconsult.no
Hva er key rollover?
• Alle Notes-brukere og Domino-servere har offentlige og private nøkler lagret i ID-filen
• Brukes for å bytte ut den offentlig og private nøkkelen i ID-filer
en norsk aktør i et nordisk marked
www.novoconsult.no
Forslag til fremgangsmåte
• Rollover sertifikatet for O først– Da har man x antall dager før alt må være ferdig– X settes når man gjør rollover
• Deretter sertifikatene for– OU– Servere– Brukere
• Kan gjøre deler av treet først
en norsk aktør i et nordisk marked
www.novoconsult.no
Vær oppmerksom på...
– Rollover for servere krever endringer i serverdokumentet og restart av serveren to ganger
– Nøkkelgenerering for brukere gjøres gjennom security policy og spres standard over 180 dager.
– Brukere som har flere kopier av ID-filen (lokal PC + Citrix)– Brukere som er på eldre versjoner enn Notes 8.5 (?) vil få
en dialogboks hvor de må godta den nye nøkkelenVente til at alle brukere er på 8.5?
– Brukere som har flere kopier av ID-filen (lokal PC + Citrix) må akseptere ny nøkkellengde for hver ID-fil
Ikke noe problem hvis brukerne er på 8.5 og ID-filen er i ID Vault
en norsk aktør i et nordisk marked
www.novoconsult.no
en norsk aktør i et nordisk marked
www.novoconsult.no
Hindre passordgjetting
• Hvordan kan jeg hindre angrep på passord?
Løsning: Internet Password Lockout, xACL i names.nsf, More Secure Internet Password
en norsk aktør i et nordisk marked
www.novoconsult.no
Internet Password Lockout
• Lås bruker ute etter X antall forsøk• Settes i konfigurasjonsdokumenter
en norsk aktør i et nordisk marked
www.novoconsult.no
Kan overstyres med policy
• Spesielle regler for spesielle mennesker
en norsk aktør i et nordisk marked
www.novoconsult.no
Inetlockout.nsf
• Opprettes automatisk på hver server• Inneholder nåværende låste brukere
– Historiske data logges via DDM
• Har samme replica-ID på hver server– Replikering skrudd av som standard
• Slette bruker fra databasen er det som å låse opp
en norsk aktør i et nordisk marked
www.novoconsult.no
Tips
• Låsing basert på mislykket innlogging skjer per server, ikke domene
• LPTA SSO token ignorerer alle passorpolicier• Bruk Custom Login Form for brukere som er
låst ute
en norsk aktør i et nordisk marked
www.novoconsult.no
en norsk aktør i et nordisk marked
www.novoconsult.no
Beskytte lokale data
• Hvordan hindre data lokalt på PC blir kompromitert?
• Jeg er veldig bekymret for krypteringen av ID-filen...
Løsning: Lokal kryptering av databaser, øke kryptering på ID-fil
en norsk aktør i et nordisk marked
www.novoconsult.no
Lokal kryptering i Desktop policy
en norsk aktør i et nordisk marked
www.novoconsult.no
Øk kryptering av ID-fil
en norsk aktør i et nordisk marked
www.novoconsult.no
en norsk aktør i et nordisk marked
www.novoconsult.no
For mange passord
• Brukere har for mange passord
Løsning: SPNEGO, Client Single Sign On, Notes Shared Login, synkronisering av Notes-passord og Internet-passord
en norsk aktør i et nordisk marked
www.novoconsult.no
SPNEGO
• Simple and Protected Negotiation Mechanism• Domino HTTP bruker Active Directory (AD) for
autentisering• Bruker logger seg inn i Windows (AD) og er dermed
automatisk autentisert mot DOmino• MEN
– Domino må være konfigurert for SSO– Domino krever en SPN (service principal name) til en konto– Nettleser krever tilgang til DC (domain controller)!– Krever Active Directory 2003 eller senere– Kun Windows
• TIPS: Konfigurer en Domino-server for SPNEGORedirect alle brukere ditBruk Multi-server SSO mot de andre serverne
• Støttes også av Websphere Application Server (WAS)
en norsk aktør i et nordisk marked
www.novoconsult.no
Oppsett i nettleser
en norsk aktør i et nordisk marked
www.novoconsult.no
Client Single Sign-on
• Windows/AD-passord synkroniseres med passord for Notes ID-fil
• Krever installasjon da den kjører som Service
en norsk aktør i et nordisk marked
www.novoconsult.no
Notes Shared Login
• Ment å erstatte Client Single Logon– Som må avinstalleres først
• Konfigureres i Security policy• Fjerner passordet fra Notes ID-fil og krypterer
det med et passord basert på Windows maskinavn og loginnavn og inneholder tegn som ikke kan skrives fra tastatur
• OBS– Spesielle hensyn må tas for roaming users og Citrix (les ID
Vault)– Synkroniserer ikke Internet-passord
en norsk aktør i et nordisk marked
www.novoconsult.no
en norsk aktør i et nordisk marked
www.novoconsult.no
Glemte passord og ID-filer mistet
• Bruker har glemt Notes-passordet• Bruker har mistet ID-filen• Bruker har mistet ID-filen og funnet en
gammel ID-fil som har gått ut på dato, inneholder feil sertifikater m.m.
• Bruker har flere ID-filer med forskjellige passord. Hvordan synkronisere disse?
•Løsning: ID Vault
en norsk aktør i et nordisk marked
www.novoconsult.no
Hvordan ble det gjør før ID Vault?
• ID Recovery måtte bli konfigurert for hver certifiser
• Å resette passord– Bruker kontakter administrator– Admin lagrer ID-fil fra mail-in db– Admin ekstraherer recovery passord fra ID-fil– Admin returnerer passord til bruker– Bruker starter Notes men skriver ikke inn passordet de har
fått men må skrive feil passord– Når login mislykkes, velger bruker Recover Password– Bruker skriver inn passord fått fra admin– Bruker må lage nytt passord
en norsk aktør i et nordisk marked
www.novoconsult.no
Hva gjør brukeren
en norsk aktør i et nordisk marked
www.novoconsult.no
Hva gjør admin?
en norsk aktør i et nordisk marked
www.novoconsult.no
en norsk aktør i et nordisk marked
www.novoconsult.no