SlideShare ist ein Scribd-Unternehmen logo
1 / 48
IBM Domino Notes Database Security
Analyse, Konzept und Techniken
Christian Habermüller
http://news.fuer-IT-Profis.de
2 / 48
Sicherheitsmodell
3 / 48
Datei-System
Domino-Server
Domino-Client
Domino-Applikation
Betriebs-System
Netzwerk
4 / 48
Unterschiede in der Sicherheitsbetrachtung
5 / 48
Domino-Administrator
Verwendet ein vorgegebenes Zugriffskonzept !
6 / 48
Domino-Entwickler
Entwickelt pro Applikation
ein individuelles Zugriffskonzept !
7 / 48
Schematischer Aufbau einer Domino-Datei
8 / 48
Gestaltung Dokumente
Zugriff
9 / 48
Was kann wie zugriffsberechtigt werden ?
10 / 48
Gestaltung Dokumente
Zugriff
Gestaltung
verbergen
Autorfeld
Zugriffs-
kontrollliste
Leserfeld
Zugriffs-
kontrollliste
11 / 48
Unterteilung der Zugriffsmöglichkeiten
12 / 48
Zugriffsmöglichkeiten
Erstellen Lesen Verändern Löschen
13 / 48
Neue Dokumente erstellen
14 / 48
Neue Dokumente erstellen
Einschränkung über
Alle anderen Techniken sind unsicher
Ein neues Dokument kann z. B. mit der Kopierfunktion der
Zwischenablage erstellt werden
Zugriffskontrollliste
15 / 48
Regeln: Neue Dokumente erstellen
Zugriffsstufe Leser darf nur lesen aber nichts erstellen
Erstellberechtigung lediglich für die Zugriffsstufe Autor entziehbar
Editor sowie jede höhere Zugriffsstufe kann
uneingeschränkt neue Dokumente erstellen
16 / 48
Vorhandene Dokumente lesen
17 / 48
Vorhandene Dokumente lesen
Einschränkung über
Alle anderen Techniken sind unsicher
Dokument kann z. B. über eine persönliche Ansicht gelesen werden
Leserfeld
18 / 48
Regeln: Vorhandene Dokumente lesen
Jedes Dokument
ohne Leserfeld bzw.
mit Leserfeld ohne Inhalt
ist für jede Zugriffsstufe ab Leser sichtbar
Leserfelder ergänzen sich gegenseitig
Im Leserfeld stets Rollenbezeichnungen verwenden
niemals: Einzelnamen oder Gruppenbezeichnungen !
19 / 48
Sichtbares Dokument verändern
20 / 48
Sichtbares Dokument verändern
Einschränkung über
Alle anderen Techniken sind unsicher
Dokument kann z. B. mittels eines Agenten verändert werden
Autorfeld
21 / 48
Regeln: Sichtbares Dokument verändern
Jede höhere Zugriffsstufe als Autor kann alle sichtbaren
Dokumente verändern
Autorenfelder ergänzen sich gegenseitig
Autorfeld erteilt auch Lesezugriff !!!
Im Autorenfeld stets Rollenbezeichnungen verwenden
niemals: Einzelname / Gruppenbezeichnungen !
22 / 48
Wichtiger Hinweis
Ein Ersteller kann seine eigenen Dokumente nicht mehr
verändern, wenn ...
1.) … seine Zugriffsstufe Autor ist und
2.) … ein Autorfeld diesen Zugriff verhindert
23 / 48
Sichtbares Dokument löschen
24 / 48
Sichtbares Dokument löschen
Einschränkung über
Alle anderen Techniken sind unsicher
Dokument kann z. B. mittels eines Agenten gelöscht werden
Zugriffskontrollliste
25 / 48
Regel: Sichtbares Dokument löschen
Löschberechtigung für jede Zugriffsstufe ab Autor
einstellbar
26 / 48
Hinweise zu: Dokument löschen
27 / 48
Dokumenteninhalte können auch durch
überschreiben der Feldinhalte
gelöscht werden
28 / 48
Unsichtbare Dokumente können
von niemanden
gelöscht werden
29 / 48
Wichtiger Hinweis
Dabei stets auch an die Replikation denken !
30 / 48
Replikation
Server auf Server
»Server bestimmen die Zugriffssteuerung
Server auf Client
»Client übernimmt nun die
Zugriffssteuerung
31 / 48
Unterschiede zwischen
Server & Client
bezüglich Sicherheit
32 / 48
Unterschiede zwischen Server & Client
bezüglich Sicherheit
Server
»BIOS- & BS-Zugang geschützt
»Dateisystem geschützt
»Zugriff über Netzwerk
»Server steuern Berechtigungen
Client
»BIOS- & BS-Zugang meist ungeschützt
»Dateisystem meist ungeschützt
»Zugriff über Dateisystem
»Client steuert Berechtigungen
33 / 48
Regel: Client steuert Berechtigung
Generell gilt …
Auf eine Applikation, die über das Dateisystem geöffnet werden
kann, hat man Managerzugriff
Unabhängig von der Einstellung der Zugriffskontrollliste !!!
… wenn die DB lokal unverschlüsselt ist,
… und solange, bis konstistente Zugriffskontrollliste
markiert ist !
34 / 48
Regeln: Konsistente Zugriffskontrollliste
Client anerkennt Zugriffskontrollliste
»Inkonsistent bedeutet: stets Managerzugriff
Client anerkennt Rollen
»Inkonsistent bedeutet: Rollen nicht auslesenbar
Aber: Nettes Leistungsmerkmal, jedoch kein wirksamer Schutz
»Kann mit Spezialkenntnissen umgangen werden, Zeitaufwand: 30 Sekunden
35 / 48
Zugriffssteuerung bei Web-Applikationen
36 / 48
Unterschied zwischen Intra- & Internet
bezüglich Sicherheit
Intranet
»Zugriff kann authentifiziert werden
»Server & Client steuern gemeinsam die
Berechtigung
User.ID vorhanden
Internet
»Zugriff kann nicht nicht authentifiziert
werden
»Server steuert alleinig die Berechtigung
Keine User.ID vorhanden
37 / 48
Ein Web-Browser verfügt
nicht über eine User.ID,
die ein Domino-Server zur Zugriffsberechtigung
verwenden könnte.
Was nun ?
38 / 48
Lösung:
Benutzername und Internet-Kennwort zur
Authentifikation
39 / 48
Damit beim Web-Zugriff auf eine DB
der Benutzername und das Internet-Kennwort
abgefragt wird,
muß in der DB-Zugriffskontrollliste der Eintrag
Anonymous = kein Zugriff
Typ = unspezifiziert
eingestellt sein.
40 / 48
Die Zugriffskontrollliste verfügt über eine
Web-Zugriffsschranke
41 / 48
Wichtiger Hinweis
Für die Web-Programmierung gelten dokumentierte
Einschränkungen.
Bestimmte Eigenschaften, @Funktionen und LotusScript
sind funktionslos (not supported)
42 / 48
Ungeeignete Elemente für die Zugriffssicherheit
Diese Aufzählung ist nicht vollständig !
43 / 48
Ungeeignet für die Erstellberechtigung
Manche Gestaltungselementeigenschaften
44 / 48
Ungeeignet für die Leseberechtigung
Ansichtsselektionsformeln
Selektive Replikation
Verberge-Wenn-Eigenschaften
Manche Gestaltungselementeigenschaften
45 / 48
Ungeeignet für Editierberechtigung
Zugriffsgesteuerte Abschnitte ohne Unterschrift
Eingabeberechtigung
46 / 48
Ungeeignet für die Löschberechtigung
Ergebnisse mit programmiertem Abbruch beim
Moduswechsel
47 / 48
Diese Präsentation ist urheberrechtlich geschützt.
© 2014 Christian Habermüller – http://chabermu.wordpress.com
Alle Rechte vorbehalten.
Kein Teil dieser Präsentation darf ohne schriftliche Genehmigung
des Autors in irgendeiner Form durch
Fotokopie, Mikrofilm, Scannen, Download oder andere Verfahren
reproduziert, gespeichert, wiedergegeben oder verbreitet werden.
Insbesondere die Rechte der Wiedergabe durch Vortrag, Funk,
Fernsehen und Internet sind dem Autor vorbehalten.
Jede Zuwiderhandlung wird zivil- & strafrechtlich verfolgt.
48 / 48
Diese Präsentation ist ausschließlich für den informativen Einsatzzweck gedacht und wird als diese ohne jegliche
Garantie oder Gewährleistung bereitgestellt.
Der Autor ist ausdrücklich nicht haftbar für mögliche Folgen oder mögliche Schäden, die durch die Verwendung des
bereitgestellten Materials entstehen können oder könnten.
Hinweise, Verweise oder Verknüpfungen bzw. Links in diesem Material unterliegen ebenfalls diesem
Haftungsausschluß und sind Eigentum des jeweiligen Rechteinhabers.
Die Rechte von geschützten Markennamen, Handelsmarken sowie alle weiteren Rechte unterliegen dem jeweiligen
Rechteinhaber und bzw. oder des Eigentümers derselben.

Weitere ähnliche Inhalte

Mehr von Christian Habermueller

[CeBIT 2012] Microsoft Agenda Centerstage Deutsch (german)
[CeBIT 2012] Microsoft Agenda Centerstage Deutsch (german)[CeBIT 2012] Microsoft Agenda Centerstage Deutsch (german)
[CeBIT 2012] Microsoft Agenda Centerstage Deutsch (german)Christian Habermueller
 
Welche Viren-Schutzprogramme erkennen den Bundes- bzw. Staats-Trojaner ?
Welche Viren-Schutzprogramme erkennen den Bundes- bzw. Staats-Trojaner ?Welche Viren-Schutzprogramme erkennen den Bundes- bzw. Staats-Trojaner ?
Welche Viren-Schutzprogramme erkennen den Bundes- bzw. Staats-Trojaner ?Christian Habermueller
 
Breitband-Verfügbarkeit Deutschland 2010
Breitband-Verfügbarkeit Deutschland 2010Breitband-Verfügbarkeit Deutschland 2010
Breitband-Verfügbarkeit Deutschland 2010Christian Habermueller
 
E10 Verträglichkeit von Kraftfahrzeugen
E10 Verträglichkeit von Kraftfahrzeugen E10 Verträglichkeit von Kraftfahrzeugen
E10 Verträglichkeit von Kraftfahrzeugen Christian Habermueller
 
Service Operation mit ITIL | C.Habermueller
Service Operation mit ITIL | C.HabermuellerService Operation mit ITIL | C.Habermueller
Service Operation mit ITIL | C.HabermuellerChristian Habermueller
 
IBM Lotus Notes Domino Security mit ITIL | C.Habermueller
IBM Lotus Notes Domino Security mit ITIL | C.HabermuellerIBM Lotus Notes Domino Security mit ITIL | C.Habermueller
IBM Lotus Notes Domino Security mit ITIL | C.HabermuellerChristian Habermueller
 
Domino Security mit ITIL | C.Habermueller
Domino Security mit ITIL | C.HabermuellerDomino Security mit ITIL | C.Habermueller
Domino Security mit ITIL | C.HabermuellerChristian Habermueller
 
Aufbau einer IBM Lotus Domino Notes Datenbank | C.Habermueller
Aufbau einer IBM Lotus Domino Notes Datenbank | C.HabermuellerAufbau einer IBM Lotus Domino Notes Datenbank | C.Habermueller
Aufbau einer IBM Lotus Domino Notes Datenbank | C.HabermuellerChristian Habermueller
 
Java & Notes - Mit Eclipse neue Features für Notes entwickeln | C.Habermueller
Java & Notes - Mit Eclipse neue Features für Notes entwickeln | C.HabermuellerJava & Notes - Mit Eclipse neue Features für Notes entwickeln | C.Habermueller
Java & Notes - Mit Eclipse neue Features für Notes entwickeln | C.HabermuellerChristian Habermueller
 

Mehr von Christian Habermueller (17)

[CeBIT 2012] Microsoft Agenda Centerstage Deutsch (german)
[CeBIT 2012] Microsoft Agenda Centerstage Deutsch (german)[CeBIT 2012] Microsoft Agenda Centerstage Deutsch (german)
[CeBIT 2012] Microsoft Agenda Centerstage Deutsch (german)
 
Welche Viren-Schutzprogramme erkennen den Bundes- bzw. Staats-Trojaner ?
Welche Viren-Schutzprogramme erkennen den Bundes- bzw. Staats-Trojaner ?Welche Viren-Schutzprogramme erkennen den Bundes- bzw. Staats-Trojaner ?
Welche Viren-Schutzprogramme erkennen den Bundes- bzw. Staats-Trojaner ?
 
Breitband-Verfuegbarkeit Deutschland
Breitband-Verfuegbarkeit DeutschlandBreitband-Verfuegbarkeit Deutschland
Breitband-Verfuegbarkeit Deutschland
 
Breitband-Verfügbarkeit Deutschland 2010
Breitband-Verfügbarkeit Deutschland 2010Breitband-Verfügbarkeit Deutschland 2010
Breitband-Verfügbarkeit Deutschland 2010
 
E10 Verträglichkeit von Kraftfahrzeugen
E10 Verträglichkeit von Kraftfahrzeugen E10 Verträglichkeit von Kraftfahrzeugen
E10 Verträglichkeit von Kraftfahrzeugen
 
Service Operation mit ITIL | C.Habermueller
Service Operation mit ITIL | C.HabermuellerService Operation mit ITIL | C.Habermueller
Service Operation mit ITIL | C.Habermueller
 
IBM Lotus Notes Domino Security mit ITIL | C.Habermueller
IBM Lotus Notes Domino Security mit ITIL | C.HabermuellerIBM Lotus Notes Domino Security mit ITIL | C.Habermueller
IBM Lotus Notes Domino Security mit ITIL | C.Habermueller
 
2010 09 22 AdminCamp News Wednesday
2010 09 22 AdminCamp News Wednesday2010 09 22 AdminCamp News Wednesday
2010 09 22 AdminCamp News Wednesday
 
Domino Security mit ITIL | C.Habermueller
Domino Security mit ITIL | C.HabermuellerDomino Security mit ITIL | C.Habermueller
Domino Security mit ITIL | C.Habermueller
 
2010 09 21 AdminCamp News Tuesday
2010 09 21 AdminCamp News Tuesday2010 09 21 AdminCamp News Tuesday
2010 09 21 AdminCamp News Tuesday
 
2010 09 20 AdminCamp News Monday
2010 09 20 AdminCamp News Monday2010 09 20 AdminCamp News Monday
2010 09 20 AdminCamp News Monday
 
Using IBM Lotus Notes 8
Using IBM Lotus Notes 8Using IBM Lotus Notes 8
Using IBM Lotus Notes 8
 
Gratis Comic Tag 2010
Gratis Comic Tag 2010Gratis Comic Tag 2010
Gratis Comic Tag 2010
 
Impressionen VCFE 11.0
Impressionen VCFE 11.0Impressionen VCFE 11.0
Impressionen VCFE 11.0
 
Aufbau einer IBM Lotus Domino Notes Datenbank | C.Habermueller
Aufbau einer IBM Lotus Domino Notes Datenbank | C.HabermuellerAufbau einer IBM Lotus Domino Notes Datenbank | C.Habermueller
Aufbau einer IBM Lotus Domino Notes Datenbank | C.Habermueller
 
Impressionen 8tes Entwicklercamp
Impressionen 8tes EntwicklercampImpressionen 8tes Entwicklercamp
Impressionen 8tes Entwicklercamp
 
Java & Notes - Mit Eclipse neue Features für Notes entwickeln | C.Habermueller
Java & Notes - Mit Eclipse neue Features für Notes entwickeln | C.HabermuellerJava & Notes - Mit Eclipse neue Features für Notes entwickeln | C.Habermueller
Java & Notes - Mit Eclipse neue Features für Notes entwickeln | C.Habermueller
 

IBM Domino Notes Database Security - Analyse, Konzept und Techniken | C.Habermueller

  • 1. 1 / 48 IBM Domino Notes Database Security Analyse, Konzept und Techniken Christian Habermüller http://news.fuer-IT-Profis.de
  • 4. 4 / 48 Unterschiede in der Sicherheitsbetrachtung
  • 5. 5 / 48 Domino-Administrator Verwendet ein vorgegebenes Zugriffskonzept !
  • 6. 6 / 48 Domino-Entwickler Entwickelt pro Applikation ein individuelles Zugriffskonzept !
  • 7. 7 / 48 Schematischer Aufbau einer Domino-Datei
  • 8. 8 / 48 Gestaltung Dokumente Zugriff
  • 9. 9 / 48 Was kann wie zugriffsberechtigt werden ?
  • 10. 10 / 48 Gestaltung Dokumente Zugriff Gestaltung verbergen Autorfeld Zugriffs- kontrollliste Leserfeld Zugriffs- kontrollliste
  • 11. 11 / 48 Unterteilung der Zugriffsmöglichkeiten
  • 12. 12 / 48 Zugriffsmöglichkeiten Erstellen Lesen Verändern Löschen
  • 13. 13 / 48 Neue Dokumente erstellen
  • 14. 14 / 48 Neue Dokumente erstellen Einschränkung über Alle anderen Techniken sind unsicher Ein neues Dokument kann z. B. mit der Kopierfunktion der Zwischenablage erstellt werden Zugriffskontrollliste
  • 15. 15 / 48 Regeln: Neue Dokumente erstellen Zugriffsstufe Leser darf nur lesen aber nichts erstellen Erstellberechtigung lediglich für die Zugriffsstufe Autor entziehbar Editor sowie jede höhere Zugriffsstufe kann uneingeschränkt neue Dokumente erstellen
  • 16. 16 / 48 Vorhandene Dokumente lesen
  • 17. 17 / 48 Vorhandene Dokumente lesen Einschränkung über Alle anderen Techniken sind unsicher Dokument kann z. B. über eine persönliche Ansicht gelesen werden Leserfeld
  • 18. 18 / 48 Regeln: Vorhandene Dokumente lesen Jedes Dokument ohne Leserfeld bzw. mit Leserfeld ohne Inhalt ist für jede Zugriffsstufe ab Leser sichtbar Leserfelder ergänzen sich gegenseitig Im Leserfeld stets Rollenbezeichnungen verwenden niemals: Einzelnamen oder Gruppenbezeichnungen !
  • 19. 19 / 48 Sichtbares Dokument verändern
  • 20. 20 / 48 Sichtbares Dokument verändern Einschränkung über Alle anderen Techniken sind unsicher Dokument kann z. B. mittels eines Agenten verändert werden Autorfeld
  • 21. 21 / 48 Regeln: Sichtbares Dokument verändern Jede höhere Zugriffsstufe als Autor kann alle sichtbaren Dokumente verändern Autorenfelder ergänzen sich gegenseitig Autorfeld erteilt auch Lesezugriff !!! Im Autorenfeld stets Rollenbezeichnungen verwenden niemals: Einzelname / Gruppenbezeichnungen !
  • 22. 22 / 48 Wichtiger Hinweis Ein Ersteller kann seine eigenen Dokumente nicht mehr verändern, wenn ... 1.) … seine Zugriffsstufe Autor ist und 2.) … ein Autorfeld diesen Zugriff verhindert
  • 23. 23 / 48 Sichtbares Dokument löschen
  • 24. 24 / 48 Sichtbares Dokument löschen Einschränkung über Alle anderen Techniken sind unsicher Dokument kann z. B. mittels eines Agenten gelöscht werden Zugriffskontrollliste
  • 25. 25 / 48 Regel: Sichtbares Dokument löschen Löschberechtigung für jede Zugriffsstufe ab Autor einstellbar
  • 26. 26 / 48 Hinweise zu: Dokument löschen
  • 27. 27 / 48 Dokumenteninhalte können auch durch überschreiben der Feldinhalte gelöscht werden
  • 28. 28 / 48 Unsichtbare Dokumente können von niemanden gelöscht werden
  • 29. 29 / 48 Wichtiger Hinweis Dabei stets auch an die Replikation denken !
  • 30. 30 / 48 Replikation Server auf Server »Server bestimmen die Zugriffssteuerung Server auf Client »Client übernimmt nun die Zugriffssteuerung
  • 31. 31 / 48 Unterschiede zwischen Server & Client bezüglich Sicherheit
  • 32. 32 / 48 Unterschiede zwischen Server & Client bezüglich Sicherheit Server »BIOS- & BS-Zugang geschützt »Dateisystem geschützt »Zugriff über Netzwerk »Server steuern Berechtigungen Client »BIOS- & BS-Zugang meist ungeschützt »Dateisystem meist ungeschützt »Zugriff über Dateisystem »Client steuert Berechtigungen
  • 33. 33 / 48 Regel: Client steuert Berechtigung Generell gilt … Auf eine Applikation, die über das Dateisystem geöffnet werden kann, hat man Managerzugriff Unabhängig von der Einstellung der Zugriffskontrollliste !!! … wenn die DB lokal unverschlüsselt ist, … und solange, bis konstistente Zugriffskontrollliste markiert ist !
  • 34. 34 / 48 Regeln: Konsistente Zugriffskontrollliste Client anerkennt Zugriffskontrollliste »Inkonsistent bedeutet: stets Managerzugriff Client anerkennt Rollen »Inkonsistent bedeutet: Rollen nicht auslesenbar Aber: Nettes Leistungsmerkmal, jedoch kein wirksamer Schutz »Kann mit Spezialkenntnissen umgangen werden, Zeitaufwand: 30 Sekunden
  • 35. 35 / 48 Zugriffssteuerung bei Web-Applikationen
  • 36. 36 / 48 Unterschied zwischen Intra- & Internet bezüglich Sicherheit Intranet »Zugriff kann authentifiziert werden »Server & Client steuern gemeinsam die Berechtigung User.ID vorhanden Internet »Zugriff kann nicht nicht authentifiziert werden »Server steuert alleinig die Berechtigung Keine User.ID vorhanden
  • 37. 37 / 48 Ein Web-Browser verfügt nicht über eine User.ID, die ein Domino-Server zur Zugriffsberechtigung verwenden könnte. Was nun ?
  • 38. 38 / 48 Lösung: Benutzername und Internet-Kennwort zur Authentifikation
  • 39. 39 / 48 Damit beim Web-Zugriff auf eine DB der Benutzername und das Internet-Kennwort abgefragt wird, muß in der DB-Zugriffskontrollliste der Eintrag Anonymous = kein Zugriff Typ = unspezifiziert eingestellt sein.
  • 40. 40 / 48 Die Zugriffskontrollliste verfügt über eine Web-Zugriffsschranke
  • 41. 41 / 48 Wichtiger Hinweis Für die Web-Programmierung gelten dokumentierte Einschränkungen. Bestimmte Eigenschaften, @Funktionen und LotusScript sind funktionslos (not supported)
  • 42. 42 / 48 Ungeeignete Elemente für die Zugriffssicherheit Diese Aufzählung ist nicht vollständig !
  • 43. 43 / 48 Ungeeignet für die Erstellberechtigung Manche Gestaltungselementeigenschaften
  • 44. 44 / 48 Ungeeignet für die Leseberechtigung Ansichtsselektionsformeln Selektive Replikation Verberge-Wenn-Eigenschaften Manche Gestaltungselementeigenschaften
  • 45. 45 / 48 Ungeeignet für Editierberechtigung Zugriffsgesteuerte Abschnitte ohne Unterschrift Eingabeberechtigung
  • 46. 46 / 48 Ungeeignet für die Löschberechtigung Ergebnisse mit programmiertem Abbruch beim Moduswechsel
  • 47. 47 / 48 Diese Präsentation ist urheberrechtlich geschützt. © 2014 Christian Habermüller – http://chabermu.wordpress.com Alle Rechte vorbehalten. Kein Teil dieser Präsentation darf ohne schriftliche Genehmigung des Autors in irgendeiner Form durch Fotokopie, Mikrofilm, Scannen, Download oder andere Verfahren reproduziert, gespeichert, wiedergegeben oder verbreitet werden. Insbesondere die Rechte der Wiedergabe durch Vortrag, Funk, Fernsehen und Internet sind dem Autor vorbehalten. Jede Zuwiderhandlung wird zivil- & strafrechtlich verfolgt.
  • 48. 48 / 48 Diese Präsentation ist ausschließlich für den informativen Einsatzzweck gedacht und wird als diese ohne jegliche Garantie oder Gewährleistung bereitgestellt. Der Autor ist ausdrücklich nicht haftbar für mögliche Folgen oder mögliche Schäden, die durch die Verwendung des bereitgestellten Materials entstehen können oder könnten. Hinweise, Verweise oder Verknüpfungen bzw. Links in diesem Material unterliegen ebenfalls diesem Haftungsausschluß und sind Eigentum des jeweiligen Rechteinhabers. Die Rechte von geschützten Markennamen, Handelsmarken sowie alle weiteren Rechte unterliegen dem jeweiligen Rechteinhaber und bzw. oder des Eigentümers derselben.