Aktuelle Verschlüsselungs-Standards für Domino
Aktuelle Informationen und geplante Features im Bereich Domino Security
Aktuelle Änderungen im Bereich Web-Server Zertifikate und das KeyRing Tool
Fragen und Anregungen - Jeder Zeit
Was ist neu im neusten Major Release von WeOS 4? Das neue WeOS 4.29 ist da und bringt einige Neuheiten mit sich mit. Zu dem ist auch eine neue Version WeConfig 1.13.1 erschienen, die ebenfalls einige Neuheiten im Gepäck hat. Lassen Sie sich die Neuheiten von unserem Cyber Security Experten Erwin Lasinger zeigen und nutzen Sie die neuen Versionen mit ihren tollen neuen Funktionen.
Die neue Firmware für Ihr WeOS4 Produkt steht zum Download bereit. Neben neuen DHCP Optionen haben wir auch die Anzahl der statischen DNS-Einträge in WeOS erhöht. Natürlich haben wir die verwendeten Open Source Codes auf Stand gebracht und einige Schwachstellen somit behoben.
Lust, sich einmal mit einer anderen Programmiersprache zu beschäftigen? Zum Beispiel ColdFusion? Ja, das gibt es noch, auch wenn es in Europa kaum noch Erwähnung findet. Dabei hat sich gerade hier unabhängig von Adobe eine aktive Open-Source-Szene entwickelt. Die bietet nicht nur kostenlose Alternativen zum Adobe-Server, sondern auch Entwicklungstools und Frameworks, mit denen der Einstieg in kürzester Zeit und mit schneller Lernkurve möglich ist. Dieser Talk zeigt, wo ColdFusion und seine Open-Source-Alternativen Lucee, Railo und OpenBD heute stehen, wie sie sinnvoll einsetzbar sind und wo ihre Vor- und Nachteile liegen. Er stellt die wichtigsten Projekte und Tools rund um CFML vor und gibt einen kurzen praktischen Einblick in die Sprache und ihre Verwendung beim Aufbau von Websites. Ein Talk für interessierte Entwickler, die einen Blick über den Tellerrand von PHP wagen wollen.
LinuxTag 2008 - Virtuelle Cold-Standby Server mit LinuxSchlomo Schapiro
Cold-Standby-Server sind eine anerkannte Methode zur Realisierung hochverfügbarer Umgebungen. Will man damit mehrere Produktiv-Server absichern, steht schnell viel ungenutzte Hardware im Rechenzentrum herum. Mit Virtuellen Maschinen und einem SAN lässt sich dieser Overhead deutlich reduzieren.
Dabei wird ein Linux-Server aus dem SAN gestartet, so daß das System auf einer dedizierten Hardware und in einer Virtuellen Maschine lauffähig ist. Beim Ausfall der Hardware kann die VM das System sofort übernehmen, ohne daß Daten kopiert werden müssen.
Die Vorteile eines SAN kommen hierbei zum tragen und ermöglich erst die Gestaltung dieser Lösung. Am Beispiel SuSE Linux Enterprise Server wird die Technologie und die Implementierung vorgestellt.
Hintergrundinformationen zur Kundenumgebung, in der die Lösung entwickelt wurde, runden den Vortrag ab.
Was ist neu im neusten Major Release von WeOS 4? Das neue WeOS 4.29 ist da und bringt einige Neuheiten mit sich mit. Zu dem ist auch eine neue Version WeConfig 1.13.1 erschienen, die ebenfalls einige Neuheiten im Gepäck hat. Lassen Sie sich die Neuheiten von unserem Cyber Security Experten Erwin Lasinger zeigen und nutzen Sie die neuen Versionen mit ihren tollen neuen Funktionen.
Die neue Firmware für Ihr WeOS4 Produkt steht zum Download bereit. Neben neuen DHCP Optionen haben wir auch die Anzahl der statischen DNS-Einträge in WeOS erhöht. Natürlich haben wir die verwendeten Open Source Codes auf Stand gebracht und einige Schwachstellen somit behoben.
Lust, sich einmal mit einer anderen Programmiersprache zu beschäftigen? Zum Beispiel ColdFusion? Ja, das gibt es noch, auch wenn es in Europa kaum noch Erwähnung findet. Dabei hat sich gerade hier unabhängig von Adobe eine aktive Open-Source-Szene entwickelt. Die bietet nicht nur kostenlose Alternativen zum Adobe-Server, sondern auch Entwicklungstools und Frameworks, mit denen der Einstieg in kürzester Zeit und mit schneller Lernkurve möglich ist. Dieser Talk zeigt, wo ColdFusion und seine Open-Source-Alternativen Lucee, Railo und OpenBD heute stehen, wie sie sinnvoll einsetzbar sind und wo ihre Vor- und Nachteile liegen. Er stellt die wichtigsten Projekte und Tools rund um CFML vor und gibt einen kurzen praktischen Einblick in die Sprache und ihre Verwendung beim Aufbau von Websites. Ein Talk für interessierte Entwickler, die einen Blick über den Tellerrand von PHP wagen wollen.
LinuxTag 2008 - Virtuelle Cold-Standby Server mit LinuxSchlomo Schapiro
Cold-Standby-Server sind eine anerkannte Methode zur Realisierung hochverfügbarer Umgebungen. Will man damit mehrere Produktiv-Server absichern, steht schnell viel ungenutzte Hardware im Rechenzentrum herum. Mit Virtuellen Maschinen und einem SAN lässt sich dieser Overhead deutlich reduzieren.
Dabei wird ein Linux-Server aus dem SAN gestartet, so daß das System auf einer dedizierten Hardware und in einer Virtuellen Maschine lauffähig ist. Beim Ausfall der Hardware kann die VM das System sofort übernehmen, ohne daß Daten kopiert werden müssen.
Die Vorteile eines SAN kommen hierbei zum tragen und ermöglich erst die Gestaltung dieser Lösung. Am Beispiel SuSE Linux Enterprise Server wird die Technologie und die Implementierung vorgestellt.
Hintergrundinformationen zur Kundenumgebung, in der die Lösung entwickelt wurde, runden den Vortrag ab.
NETFOX Admin-Treff: Penetration Testing IINETFOX AG
Auf dem NETFOX Admin-Treff stellen die Experten der NETFOX AG regelmäßig aktuelle Themen vor. Inhaltliche Schwerpunkte dieser Präsentation:
Tools wie z.B. Nessus (Vulnerability scanning), sqlmap (SQL Injection),
hydra (Passwort Auth. Bruteforce) sowie weitere für die Überprüfung von
(Web-) Servern
Der Angriff auf Clients durch sogenannte Exploit-Kits wird beschrieben.
Diese sind die Grundlage für die Drive-By Infektion, durch die
Arbeitsrechner häufig mit Viren oder Würmern infiziert werden
TechTalkThursday: Zentrales Metriken-System - ist der Flügelschlag des Schmet...Benjamin Kuster
Messung, Speicherung und Auswertung von Millionen von Metriken mit OpenTSDB und InfluxDB. Wie machen wir das bei nine.ch? Und welche Co-Effekte gibt es?
TechTalkThursday 26.11.2015: Manage the minions - Docker Container mit Kubern...nine
Kubernetes von Google soll den Einsatz von Docker Container im Cluster ermöglichen. Wir haben eine Testinstallation durchgeführt und die Stärken und Schwächen analysiert…
Keepalived & HA-Proxy as an alternative to commercial loadbalancer - August 2014inovex GmbH
The speaker Jan Gehring is the initiator of the Rex Project, which he has developed in his free time since 2010. Jan works for inovex GmbH as a senior linux system architect and designs, optimises and deploys highly scalable, automated linux environments for customers. For 13 years he has been professionally with Linux and open source and could through numerous projects gained extensive practical experience. His duties include the design, construction and operation of systems. His focus is here in the Data Center Automation, highly available and highly scalable web architectures, and Java-based application servers.
Minimum HTTPS / TLS connection and certificate security requirements for IBM Verse for iOS, IBM Verse for Android, IBM Traveler Companion and IBM Traveler To Do mobile apps.
The document summarizes new features and fixes in Domino version 9.0.1, including expanded support for mobile events, themes, and devices. It notes that 9.0.1 contains fewer fixes than previous versions, and discusses IBM's focus on extensibility through OpenNTF for future versions beyond 9.0.1.
IBM Sametime 9 Calls & Video Calls - Task Referencequeenofbuttons
This document provides instructions for making calls and video calls using IBM Sametime. It describes how to add contacts, find your phone number, set a service provider, and make various types of calls. It also outlines how to customize call settings, route calls to different devices, and configure preferences.
Video: http://youtu.be/jalTIhFAWpQ
Speakers:
Martin Donnelly, IBM, XPages Architect
Padraic Edwards, IBM, XPages Developer
Tony McGuckin, IBM, XPages Developer
Jonathan Roche, IBM, Domino Designer Developer
Abstract:
Building on top of the 9.0 release earlier this year, 9.0.1 not only improves quality and stability but also includes new capabilities for developers. Come and hear about new features for building mobile web applications with XPages. You’ll also hear about various platform upgrades which benefit applications, new REST services and enhancements for building social business applications.
IBM Social Business Toolkit: https://www.ibmdw.net/social/
This document discusses upgrading to IBM Domino 9.0.1. It provides an overview of new features in Domino 9.0.1, including improvements to IBM HTTP Server, security, and database maintenance tools. New features in Notes 9.0.1 are also summarized, such as grouped messages in the inbox and calendar improvements. The document recommends evaluating the current environment before upgrading and following a deployment sequence of upgrading servers before clients. Resources for the upgrade process are also listed.
The Digital Transformation – platforms and network effectsThomas Bay Pedersen
Kim Hiort Nielsen presented on the topics of digital transformation, platforms, and network effects. Some key points include:
- CxOs expect industry convergence to have the biggest impact on their businesses in the next 3-5 years.
- Technologies like cloud computing, mobile solutions, and IoT are expected to revolutionize businesses.
- Platforms that create network effects can unlock new value from spare resources and user generated content.
- Many of the largest and fastest growing companies today do not own significant physical assets but instead create value through platforms and networks.
World of Watson 2016 - Content ManagementKeith Redman
It’s been said billions of times: “The job’s not done until the paperwork is done.”
The paperwork, Content, is the lifeblood of every organization. Capturing that content, building business processes around it, governing the lifecycle of that content, and disseminating it to those who have a legitimate need for it, consumes more & more business resources every day. If your struggling with your content, check out these sessions to help you ‘get the paperwork done!’
The document discusses how business transactions have moved beyond enterprises as devices become increasingly connected. It notes that over 1 trillion devices will be connected to the internet by 2013. This connectivity is generating massive amounts of data and changing how customers interact with companies. The document advocates for integrating systems of engagement and record to enable new interactions and insights. It presents IBM's systems of interaction portfolio as a way to rapidly connect systems, extract insights from real-time data, and innovate through an open integration platform.
Ibm middleware point of view 060815 dark backgroundShane McCaul
The document discusses digital transformation and how organizations can break down barriers to digital transformation. It highlights how digital disruptors are using technologies like mobile apps, real-time insights, and digital innovation to transform their industries. It then discusses how an organization's technology needs to be flexible and future-proofed to either disrupt or be disrupted by digital transformation in their industry.
IBM Connections Adminblast - Connect17 (DEV 1268)Nico Meisenzahl
Buckle up, join Christoph and Nico and get ready to learn 50 tips and tricks you can implement right away to improve your IBM Connections environment. Your users will thank you as they too benefit from this best practice list gathered from real-world projects while deploying and administering IBM Connections On-premises. Walk away with knowledge covering anything from Cognos integration, docs, CCM and Forms Experience Builder to the back end and DB2, TDI and SSO.
IBM Strategy and Values: (1) Focus on open technologies and high- value solutions, (2) Deliver integration and innovation to clients, (3) Become the premier Globally Integrated Enterprise.
Admincamp 2016 - Securing IBM Collaboration with TLS (German)Novakenstein
Die Angreifbarkeit der IBM-Webdienste hat es erfoderlich gemacht, dass IBM mit einem TLS-Patch nachbessert.
Diese Session zeigt Ihnen wie Sie Ihre IBM Collaborationsumgebungen (Domino, Websphere) auf TLS und aktuelle Ciphertechniken umstellen und wie Sie Web-Zertifikate, die den heutigen Standards (SHA2) entsprechen, erstellen (kyrtool, ikeyman)
NETFOX Admin-Treff: Penetration Testing IINETFOX AG
Auf dem NETFOX Admin-Treff stellen die Experten der NETFOX AG regelmäßig aktuelle Themen vor. Inhaltliche Schwerpunkte dieser Präsentation:
Tools wie z.B. Nessus (Vulnerability scanning), sqlmap (SQL Injection),
hydra (Passwort Auth. Bruteforce) sowie weitere für die Überprüfung von
(Web-) Servern
Der Angriff auf Clients durch sogenannte Exploit-Kits wird beschrieben.
Diese sind die Grundlage für die Drive-By Infektion, durch die
Arbeitsrechner häufig mit Viren oder Würmern infiziert werden
TechTalkThursday: Zentrales Metriken-System - ist der Flügelschlag des Schmet...Benjamin Kuster
Messung, Speicherung und Auswertung von Millionen von Metriken mit OpenTSDB und InfluxDB. Wie machen wir das bei nine.ch? Und welche Co-Effekte gibt es?
TechTalkThursday 26.11.2015: Manage the minions - Docker Container mit Kubern...nine
Kubernetes von Google soll den Einsatz von Docker Container im Cluster ermöglichen. Wir haben eine Testinstallation durchgeführt und die Stärken und Schwächen analysiert…
Keepalived & HA-Proxy as an alternative to commercial loadbalancer - August 2014inovex GmbH
The speaker Jan Gehring is the initiator of the Rex Project, which he has developed in his free time since 2010. Jan works for inovex GmbH as a senior linux system architect and designs, optimises and deploys highly scalable, automated linux environments for customers. For 13 years he has been professionally with Linux and open source and could through numerous projects gained extensive practical experience. His duties include the design, construction and operation of systems. His focus is here in the Data Center Automation, highly available and highly scalable web architectures, and Java-based application servers.
Minimum HTTPS / TLS connection and certificate security requirements for IBM Verse for iOS, IBM Verse for Android, IBM Traveler Companion and IBM Traveler To Do mobile apps.
The document summarizes new features and fixes in Domino version 9.0.1, including expanded support for mobile events, themes, and devices. It notes that 9.0.1 contains fewer fixes than previous versions, and discusses IBM's focus on extensibility through OpenNTF for future versions beyond 9.0.1.
IBM Sametime 9 Calls & Video Calls - Task Referencequeenofbuttons
This document provides instructions for making calls and video calls using IBM Sametime. It describes how to add contacts, find your phone number, set a service provider, and make various types of calls. It also outlines how to customize call settings, route calls to different devices, and configure preferences.
Video: http://youtu.be/jalTIhFAWpQ
Speakers:
Martin Donnelly, IBM, XPages Architect
Padraic Edwards, IBM, XPages Developer
Tony McGuckin, IBM, XPages Developer
Jonathan Roche, IBM, Domino Designer Developer
Abstract:
Building on top of the 9.0 release earlier this year, 9.0.1 not only improves quality and stability but also includes new capabilities for developers. Come and hear about new features for building mobile web applications with XPages. You’ll also hear about various platform upgrades which benefit applications, new REST services and enhancements for building social business applications.
IBM Social Business Toolkit: https://www.ibmdw.net/social/
This document discusses upgrading to IBM Domino 9.0.1. It provides an overview of new features in Domino 9.0.1, including improvements to IBM HTTP Server, security, and database maintenance tools. New features in Notes 9.0.1 are also summarized, such as grouped messages in the inbox and calendar improvements. The document recommends evaluating the current environment before upgrading and following a deployment sequence of upgrading servers before clients. Resources for the upgrade process are also listed.
The Digital Transformation – platforms and network effectsThomas Bay Pedersen
Kim Hiort Nielsen presented on the topics of digital transformation, platforms, and network effects. Some key points include:
- CxOs expect industry convergence to have the biggest impact on their businesses in the next 3-5 years.
- Technologies like cloud computing, mobile solutions, and IoT are expected to revolutionize businesses.
- Platforms that create network effects can unlock new value from spare resources and user generated content.
- Many of the largest and fastest growing companies today do not own significant physical assets but instead create value through platforms and networks.
World of Watson 2016 - Content ManagementKeith Redman
It’s been said billions of times: “The job’s not done until the paperwork is done.”
The paperwork, Content, is the lifeblood of every organization. Capturing that content, building business processes around it, governing the lifecycle of that content, and disseminating it to those who have a legitimate need for it, consumes more & more business resources every day. If your struggling with your content, check out these sessions to help you ‘get the paperwork done!’
The document discusses how business transactions have moved beyond enterprises as devices become increasingly connected. It notes that over 1 trillion devices will be connected to the internet by 2013. This connectivity is generating massive amounts of data and changing how customers interact with companies. The document advocates for integrating systems of engagement and record to enable new interactions and insights. It presents IBM's systems of interaction portfolio as a way to rapidly connect systems, extract insights from real-time data, and innovate through an open integration platform.
Ibm middleware point of view 060815 dark backgroundShane McCaul
The document discusses digital transformation and how organizations can break down barriers to digital transformation. It highlights how digital disruptors are using technologies like mobile apps, real-time insights, and digital innovation to transform their industries. It then discusses how an organization's technology needs to be flexible and future-proofed to either disrupt or be disrupted by digital transformation in their industry.
IBM Connections Adminblast - Connect17 (DEV 1268)Nico Meisenzahl
Buckle up, join Christoph and Nico and get ready to learn 50 tips and tricks you can implement right away to improve your IBM Connections environment. Your users will thank you as they too benefit from this best practice list gathered from real-world projects while deploying and administering IBM Connections On-premises. Walk away with knowledge covering anything from Cognos integration, docs, CCM and Forms Experience Builder to the back end and DB2, TDI and SSO.
IBM Strategy and Values: (1) Focus on open technologies and high- value solutions, (2) Deliver integration and innovation to clients, (3) Become the premier Globally Integrated Enterprise.
Admincamp 2016 - Securing IBM Collaboration with TLS (German)Novakenstein
Die Angreifbarkeit der IBM-Webdienste hat es erfoderlich gemacht, dass IBM mit einem TLS-Patch nachbessert.
Diese Session zeigt Ihnen wie Sie Ihre IBM Collaborationsumgebungen (Domino, Websphere) auf TLS und aktuelle Ciphertechniken umstellen und wie Sie Web-Zertifikate, die den heutigen Standards (SHA2) entsprechen, erstellen (kyrtool, ikeyman)
[TALK WAS HELD IN GERMAN DUE TO AUDIENCE]
The BetterCrypto Project started out in the fall of 2013 as a collaborative community effort by systems engineers, security engineers, developers and cryptographers to build up a sound set of recommendations for strong cryptography and privacy enhancing technologies catered towards the operations community in the face of overarching wiretapping and data-mining by nation-state actors. The project has since evolved with a lot of positive feedback from the open source and operations community in general with input from various browser vendors, linux distribution security teams and researchers. This talk will give a concise guide on how to properly deploy networked services in a secure fashion that is applicable today. We will also give an update on the project as well as new development on the front of cryptography, attacks and TLS protocol standardization.
Effizienter Hardware LifeCycle auf Oracle SPARC M7 ServerJomaSoft
Durch die Nutzung von Solaris LDoms und Zonen können Applikationen ohne Anpassungen auf die neuen SPARC M7 Server migriert werden. Mit dem Tool VDCF sehr effizient.
OSDC 2011 | Automatische Netzwerkdokumentation mit NetDot und RANCID by Jens ...NETWAYS
Netzwerke sind ein Kernbestandteil eines jeden Datacenters. Neben den zahlreichen Monitoring-Lösungen wie Nagios oder Icinga gibt es aber auch für das Management von Netzkomponenten wie Routern und Switchen zahlreiche Open-Source-Tools die jedem Admin das Leben erleichtern können. Einige dieser Werkzeuge sollen in diesem Vortrag vorgestellt werden:
Wie baut man ein privates Amazon AWS mit Open Source? In diesem Vortag wird die Realisierung einer privaten Cloud vom Konzept bis hin zum Produktivsystem vorgestellt. Amazon hat mit AWS diese Idee als Public Cloud für die breite Öffentlichkeit zugänglich gemacht. Es gibt jedoch gute Gründe eine eigene, private Cloud zu bauen. Diese Gründe können Sicherheitsbedenken und rechtliche Kriterien sein. Dr. Lukas Pustina und Daniel Schneller von der codecentric AG haben für das Startup CenterDevice eine private Cloud realisiert. In diesem Vortrag werden konkret Konzepte, Entscheidungen und Probleme erläutert. Dabei wird auch die ein oder andere Anekdote aus dem täglichen Wahnsinn der Cloud Administration nicht fehlen. Anhand spezifischer Anforderungen werden die eingesetzten Komponenten Ubuntu Linux, Ansible, Ceph und OpenStack eingeführt.
Slides unseres Talks auf der DevOps Conference 2015 in Berlin.
Azure Days 2019: Master the Move to Azure (Konrad Brunner)Trivadis
Die Azure Cloud hat sich in den letzten 10 Jahren etabliert und steht heute sowohl global, als auch lokal zur Verfügung,
der Schritt in die Cloud muss aber gut geplant werden. In diesem Talk teilen wir unsere Erfahrungen aus diversen Projekten mit Ihnen. Wir zeigen, worauf Sie besonders achten müssen, damit Ihr Wechsel in die Cloud ein Erfolg wird.
CeBIT 2001 was the last trade Fair before IAA 2001 in Germany without AWebS. Some of our competitioners show their very experimental systems. The only System what was a really competetion was from AUDI.
Ein Blick in die Kristallkugel mit dem Ziel spannende und relevante Online-Trends für das Jahr 2002 hervorzusagen. Auf der Liste sind:
- MMS
- WAP 2.0
- J2ME / Embedded Java
- XML Security
- Web Services
- Neue DNS Features
- JXTA
- Device Independence
- Universal Usability
- Flash-Erweiterungen
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
JCON 2018, Düsseldorf: Vortrag von Mario-Leander Reimer (@LeanderReimer, Cheftechnologe bei QAware)
Abstract:
Jahrzehnte lang haben wir mehr oder weniger erfolgreich monolithische Enterprise Applikationen gebaut. Leider können diese Systeme und deren Betriebsmodelle den hohen Anforderungen moderner Geschäftsmodelle nur noch schwer genügen. Kurze Release-Zyklen, Antifragilität und Hyperscale scheinen unerreichbar zu sein. Was also tun? Muss man diese Systeme alle neu bauen? Das ist sicherlich kein besonders ökonomischer und sinnvoller Weg. Dieser Vortrag zeigt mögliche Wege der Cloud-nativen Evolution von Bestandssystemen und berichtet aus der Praxis.
Warum IBM mit Watson den Büroalltag revolutioniert - ICS.UG 2016ICS User Group
Verstehe Nutzerverhalten, um Aktivitäten zu unterstützen sowie Nutzerverhalten und Kontext, um Erkenntnisse bereitzustellen und aktiv weiterzuhelfen - lernend!
Cloud Update 2016 IBM Collaboration Solutions - ConnectionsCloud - ICS.UG 2016ICS User Group
Cloud...as a Service:
● Infrastructure as a Service (Softlayer an IBM Company)
● Plattform as a Service (IBM Bluemix)
● Software as a Service (IBM Connections Cloud)
● Business Process as a Service (Reisekostenabrechnung)
● Database as a Service (IBM Cloudant, IBM DB2)
OpenNTF - From Donation to Contribution - ICS.UG 2016ICS User Group
• Who we are and where we came from
• Donation is nice but..
Contribution is better
• What is a perfect Open Source Project
• How does OpenNTF support you
Virtual, Faster, Better! How to Virtualize the Rich Client and Browser Plugin...ICS User Group
• Getting started
What can you expect from this session?
What we typically SEE at customers
What we typically DO at customers
• To roam or not to roam: that is the question
IBM Notes in virtual environments (recommended)
• Best practices
• Installing IBM Notes | ICAA in virtual environments
(recipe)
• Summary
Find your data - using GraphDB capabilities in XPages applications - ICS.UG 2016ICS User Group
This document discusses using graph databases capabilities in XPages applications. It provides an overview of graph databases, examples of companies using graph databases, and terminology used in graph databases. It also demonstrates how to model and implement graph data in XPages applications using the OpenNTF Domino API, including defining node interfaces, initializing the graph, and creating edges between nodes.
XPages on IBM Bluemix: The Do's and Dont's - ICS.UG 2016ICS User Group
Prerequisites
•Best practices: design and data separation
•Using the DDE plugin vs. the CF commandline
•Understanding the "mysterious" MANIFEST.YML file
•Experiment: holding data in the XSP runtime
•Security considerations
•Plugins and extensions? No problem!
•Tipps & tricks
3 Gründe für Ihren Besuch des Vortrags
•Warum halte ich diesen Vortrag
•Gute Gründe für Notes und Domino
•Was passiert draußen im echten Leben?
•Migrationen
•Zurück zu Notes
•Koexistenz
•Mein persönlicher Ausblick
Smashdocs - Dokumente gemeinsam schreiben - ICS.UG 2016ICS User Group
SMASHDOCs ist eine neuartige, webbasierte Textverarbeitungssoftware
für alle Arten von Dokumenten, die Sie gemeinsam mit Kollegen oder Geschäftspartners
schneller und einfacher schreiben, korrigieren, abstimmen oder verhandeln wollen als bisher.
Smashdocs - Collaborative authoring & reviewing - ICS.UG 2016ICS User Group
The document discusses a new solution for simplified document collaboration and version control. It aims to make tracking changes, communicating edits, and collaborative authoring 10 times faster than other options like Word and Google Docs. The solution automatically highlights new changes for users without requiring comparing documents or proofreading. It integrates with existing web applications and aims to make the document collaboration process much easier and faster overall.
The document discusses modernizing applications and software development. It talks about moving from traditional client-server models to modern architectures like REST APIs and single page applications. It also discusses using modern technologies like JavaScript frameworks, responsive design, and NoSQL databases. The document advocates for continuous modernization to take advantage of new capabilities and reduce technical debt over time.
A collection of FIVE presentations given at the recent ATLUG Day of Champions event. The Impact of Mobile on Human Perception explore the changes that mobile is driving on user expectations of software. Lotus Notes: Live Long and Prosper look at trends in technology to predict the future for Notes applications. Three short (4-minute) presentations then give ideas and best practices on a range of techniques that can be used to prepare Notes applications for that future.
Das interne soziale Netzwerk des Ostdeutschen Sparkassenverbandes - ICS.UG 2015ICS User Group
Der Ostdeutsche Sparkassenverband vertritt die Interessen von 45 Sparkassen in vier ostdeutschen Bundesländern. Zu den wesentlichen Aufgaben des Verbands gehört die Beratung der Mitglieder und die Interessenvertretung in der Öffentlichkeit.
Kommunikation und Zusammenarbeit im Verband und über Verbandsgrenzen hinaus sind entscheidend für den Erfolg der Verbandsarbeit. Nach intensiver Pilotphase ist im letzten Jahr mit „OSV-CONNECT“ eine Plattform in Produktion gegangen, die die Zusammenarbeit effizienter und die Kommunikation transparenter gestaltet.
In der Session werden Carolin Strunk (OSV) und Alexander Kluge (Kluge Consulting GmbH) über die Herausforderungen und die Lösungsansätze für die Implementierung des internen sozialen Netzwerks sprechen. Dabei geht es weniger um technischer Hürden sondern um den Umgang mit Widerständen, die Motivation der Anwender und das Management des kulturellen Wandels.
ICSUG Keynote IBM Collaboration Strategie 2015 and beyondICS User Group
Update zur IBM Collaboration Strategie auf der ICS.UG Konferenz am 26.-27. März 2015 in Bremen. Kramer Reeves berichtet über die aktuellen Themen von der IBM ConnectED
2. Über den Referenten
Nash!Com – IBM® Business Partner/ISV
Mitglied The Penumbra group - An international consortium of
selected Business Partners pooling their talent and resources
Fokus: Cross-Platform C-API, IBM® Domino® Infrastruktur,
Administration, Integration, Performance, Security, Troubleshooting
und IBM® Traveler
Platform Fokus: Microsoft® Windows® 32/64, Linux® und IBM AIX®
DNUG Fachgruppe IBM Domino® Infrastruktur
Autor des Domino auf Linux®/UNIX® Start Scripts
3. Agenda
Aktuelle Verschlüsselungs-Standards für Domino
Aktuelle Informationen und geplante Features im Bereich Domino Security
Aktuelle Änderungen im Bereich Web-Server Zertifikate und das KeyRing Tool
Fragen und Anregungen – Jeder Zeit
4. BSI Whitepaper – 11.2.2015
BSI TR-02102-1 "Kryptographische Verfahren: Empfehlungen und Schlüssellängen"
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinie
n/TR02102/BSI-TR-02102_pdf
Block Ciphers:
AES-128, AES-192, AES-256 with
Galois-Counter-Mode (GCM)
Cipher-Block Chaining (CBC)
Counter Mode (CTR)
Asymmetric Encryption:
ECIES 224 (after 2015 at least 250), DLIES and RSA >= 2048 Bits (after 2016 at least >= 3072 bits)
Hashing: SHA-224, SHA-256, SHA-512/256, SHA-384, SHA-512, SHA-512/224
SHA1 nicht mehr für neue Certs → Nach 2015 nur noch: SHA-256, SHA-384, SHA-512, SHA-512/256
Key Exchange:Diffe-Hellma (DHE_RSA)/ EC Diffe-Hellman (ECDHE_RSA)
5. Apple Transport Security (ATS)
Apple führt neuen Sicherheits-Standard (ATS) ein
Wird seit iOS 9 und OSX 10.11 (El Capitan) verwendet
Anforderungen
TLS 1.2
>= 2048 bit RSA Key
Mindestens SHA-256 Signierte Web-Server Zertifikate
ECDHE → PFS supported, moderne Cipher
Bisher wird dieser Standard nur für Partner Applikationen erzwungen
Wenn der Entwickler die Applikation nicht mit entsprechenden Ausnahmen compiled hat
Es ist aber zu erwarten, daß Apple in den nächsten Releases die Anforderungen weiter festzieht
ActiveSync und der Safari Browser benötigt aktuell noch kein TLS 1.2 und ECDHE
SSL V3 ist schon deaktiviert!
6. Domino TLS Support!
IBM hat aufgrund von Sicherheitsproblemen wie dem SSL V3 Bug „Poodle“ schrittweise
neuere SSL/TLS Versionen eingeführt
„Poodle“ und andere Probleme haben den ursprünglichen Zeitplan, geändert
Funktionen werden durch Fixpacks und Interims-Fixe bereitgestellt
Alle Konfiguration der neuen Funktionen wird bis „Domino.Next“ über notes.ini Parameter gesteuert
Aktuelle Version: Domino 9.0.1 FP5 IF1
Support für TLS 1.2 inklusive aktueller DHE und ECDHE Ciphers (seit 9.0.1 FP4 IF2)
Empfehlung: Update auf die aktuelle 9.0.1 Version mit FP und IF!!!
Domino 8.5.3 wird kein TLS 1.2 und kein SHA-256 supporten!
7. Aktuelle Änderungen
TLS 1.2
Verwendet intern SHA-256 statt MD5/SHA-1
Neue Cipher
Advanced Encrption Standard (AES) Galois/Counter Mode (GCM)
Perfect Forward Secrecy (PFS) via
Ephemeral Diffie-Hellman (DHE)
Elliptic Curve Diffie-Hellman (ECDHE)
Support für “Secure Renegotiation”
HSTS (Http Strict Transport Security)
Header Information, daß der Browser über HTTPS zugreifen soll
8. Aktuelle Probleme und Lösungen
Bekannte Probleme, die in Domino 9.0.1 FP5 IF1 gelöst sind
SPR #KLYHA57S37 - Disable TLS Session Resumption on outbound connections by
default
Problem: Session Resumption hat zu falschen TLS /Cipher Kombinationen bei STARTTLS geführt
Weitere Details:
http://blog.nashcom.de/nashcomblog.nsf/dx/tls-1.2-connection-issues-with-protection.outlook.com.htm
SPR #MKENA4SQ7R - Domino TLS 1.2 Client Hello does not offer a Signature Algorithm
extension causing some handshakes to fail
Fehlende Security Protocol Extension führt zu Verbindungsabrüchen in bestimmten Konstellationen
Dieser Fix implementiert die entsprechende Extension
9. „SLOTH“ MD5 Vulnerability
Gefixed in Domino 9.0.1 FP5 IF1
SPR #KLYHA5YRVP - Recommended security fix for IBM Domino (technote 1974958)
Die „SLOTH Vulnerability“ hat mit einer Kollisions-Attacke der MD5 hash Funktion im
TLS Handshake zu tun. Der Fix behebt das Problem.
CVEID: CVE-2015-7575
„DESCRIPTION: The TLS protocol could allow weaker than expected security caused by a collision
attack when using the MD5 hash function for signing a ServerKeyExchange message during a TLS
handshake. An attacker could exploit this vulnerability using man-in-the-middle techniques to
impersonate a TLS server and obtain credentials.„
Referenz -> http://www.ibm.com/support/docview.wss?uid=swg21974958
10. Support für Extended Master Secret (RFC 7627)
SPR #DKENA32JMP - Add support for Extended Master Secret (RFC 7627) to TLS 1.2
Recht neue RFC, die von Google und Microsoft in ihren aktuellen Browsern
implementiert ist. → Beide Seiten müssen die Extension supporten!
Reduziert ab Domino 9.0.1 FP5 IF1 mögliche Man-in-the-middle-Attacken
„The Transport Layer Security (TLS) master secret is not cryptographically bound to important session
parameters such as the server certificate. Consequently, it is possible for an active attacker to set up
two sessions, one with a client and another with a server, such that the master secrets on the two
sessions are the same. Thereafter, any mechanism that relies on the master secret for authentication,
including session resumption, becomes vulnerable to a man-in-the-middle attack, where the attacker
can simply forward messages back and forth between the client and server. This specification defines
a TLS extension that contextually binds the master secret to a log of the full handshake that computes
it, thus preventing such attacks.“
Referenz: https://www.ietf.org/mail-archive/web/ietf-announce/current/msg14570.html
11. Notes Client Interims Fixe
Server und Client IFs enthalten unterschiedliche Fixe bei gleicher IF Nummer!!!
Derzeit gibt es auch unterschiedliche Fixe für unterschiedliche Client Plattfomen!!
Notes 9.0.1 FP5 IF1 für Windows war ein Vorabfix, der schnell ein Installer-Problem beim Update
gefixed hat
Notes 9.0.1 Fix Pack 5 Interim Fix 1 (Linux)
SPR #KLYHA5YRVP
Security Bulletin: Vulnerability in MD5 Signature and Hash Algorithm affects IBM Notes
(TN #1975290)
SPR #DKENA32JMP
Add support for Extended Master Secret (RFC 7627) to TLS 1.2
SPR #KLYHA57S37
Disable TLS Session Resumption on outbound connections by default
12. Notes Client Interims Fixe
Notes 9.0.1 Fix Pack 5 Interim Fix 2
SPR #KLYHA5YRVP
Security Bulletin: Vulnerability in MD5 Signature and Hash Algorithm affects IBM (TN #1975290)
Fix ist neu für Windows in IF2, Aber unter Linux schon in IF1
SPR #AYAVA67A8Z
Security Bulletin: libpng related security vulnerabilities identified in IBM Notes (TN #1975365)
15. „Cipher“ manuell konfigurieren
Der „Cipher Dialog“ im Server Dokument und Internet-Site Dialog wird bis zum
nächsten Feature Release (9.0.2) nicht mehr verwendet
Per Default sind aktuell sichere Cipher konfiguriert
Änderungen an der Cipher Liste erfolgt über einen notes.ini Eintrag für alle Protokolle
notes.ini Eintrag SSLCIPHERSPEC=...
Enthält die Codes der Cipher aneinander gehängt
Vor 9.0.1 FP4 IF2 gab es nur 2 Octet Codes
Jetzt sollten 4 Octet Codes verwendet werden
Beispiel mit gemischtem 2 / 4 Octet Format:
SSLCIPHERSPEC=9D9C3D3C352F0A39676B9E9FC030C02FC028C014C027C013
Wichtiger Wiki Eintrag:
http://www.lotus.com/ldd/dominowiki.nsf/dx/TLS_Cipher_Configuration
16. HSTS Header
Gibt die Informtion an den Client, daß er sich in nächster Zeit nur über HTTPS verbinden
soll
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Best Practice: Nur HTTPS zur Verfügung stellen und Header anpassen
Standard hat eine recht kurze Gültigkeit
Wird nur mitgesendet, wenn der Server nur HTTPS aktiviert hat → HTTP ggf. deaktivieren
Notes.ini
HTTP_HSTS_MAX_AGE=17280000
HTTP_HSTS_INCLUDE_SUBDOMAINS=1
Resultiert in folgendem Rating:
"Strict Transport Security (HSTS) Yes max-age=17280000; includeSubDomains"
18. SSL Test Tools
Eine der meist verwendeten SSL Test-Websites
Gibt einen guten Überblick über die SSL/TLS Sicherheit des eigenen Servers
Rating von “A” bis “F”
Detail Information über TLS Version und Cipher
„Simulation“ welcher Cipher von welchem Client-Typ verwendet wird
Server Test
https://www.ssllabs.com/ssltest/
Client Test
https://www.ssllabs.com/ssltest/viewMyClient.html
20. Optional - ECDHE Curves
Unterschiedliche „Curves“ werden supportet
NIST P-256, NIST P-384, and NIST P-521 are supported.
Die schnellste (kleinste) gemeinsame supportete Curve wird verwendet
Curves können einzeln deaktiviert werden
Notes.ini
SSL_DISABLE_CURVE_P256=1
SSL_DISABLE_CURVE_P384=1
SSL_DISABLE_CURVE_P521=1
21. Optional – Eigene DHE Groups
Kleinste Länge für DH Groups wurde auf 2048 bit in D9.0.1 FP4 IF2 erhöht
Besserer Schutz vor Logjam Attacken
Bei DHE_RSA_WITH_AES_128_CBC_SHA wird immer eine 1024 bit group
Aus Kompatibilitätsgründen für Java 6
Cipher ist mittlerweile auf die Weak-List gesetzt und im Standard deaktiviert
„Custom DH Groups“ ab 9.0.1 FP4 IF2 via notes.ini SSL_DH_PARAMS notes.ini.
PEM-encoded DH Parameters Datei, die selbst generiert wird
1024 bit Custom Groups sind erlaubt, aber sollten regelmäßig erneuert werden.
Notes.ini SSL_DH_PARAMS=c:dhparams2048.pem
Erzeugen von Dateien: "openssl dhparam 2048 > dhparam2048.pem
22. Optional - SSL_DH_KEYSIZE
DHE Key Size wird per Default über die Stärke des Server Keys bestimmt
Notes.ini SSL_DH_KEYSIZE=n kann verwendet werden, um die Länge zu verringern
Mögliche Werte: 1024, 2048, 3072 und 4096 (seit Domino 9.0.1 FP4)
Nur benötigt, wenn wichtige Systeme sich über DHE verbinden müssen und ein Problem
mit höheren Schlüssel-Stärken haben
Java 6 Problem wurde separat gelöst
Entsprechender Cipher verwendet aktuell immer 1024 bit
Entsprechender Cipher ist aber mittlerweile auf der „Weak List“
23. TLS Support für Geräte / Applikationen
Aktuelle Mobile Endgeräte supporten TLS 1.2
Review aller Applikationen
z. B. auch SSL/TLS Verbindungen für Directory Assistance über LDAP!
Applikationen
OpenSSL wird häufig verwendet
Ältere Versionen haben Probleme mit dem deaktivierten V2 SSL Handshake
Wenn es nicht anders geht: notes.ini SSL_ENABLE_INSECURE_SSLV2_HELLO=1
Kann für SMTP Server wichtig sein – Mehr später
Java
Java 1.6 unterstützt TLS 1.2 (Notes/Domino verwendet eine aktualisierte 1.6 JVM)
Aktuelle Java Patches supporten TLS 1.2 (allerdings sehr eingeschränkt) → Details nächste Folien
24. Notes/Domino Java
IBM Java Updater
Major Version (z.B. 9.0.1) beinhaltet volle JVM Version
FP kann einen JVM patch enthalten, aber IFs enthalten keine JVM patches
Separate Patch Installer für Client & Server
Aktuelle JVM → IBM Java 6SR16FP20
Zusätzlich zu 9.0.1 FP5 IF1 installiert!
Aktuelles Problem nach dem Update: Java Console funktioniert nicht mehr
Lösung: Re-Aktivieren von MD5 im ../jvm/lib/security/java.security File.
Entfernen von „MD5“ aus den deaktivierten Algorithmen
jdk.certpath.disabledAlgorithms=MD2, MD5, RSA keySize < 1024
jdk.tls.disabledAlgorithms=SSLv3, RC4, MD5withRSA, DH keySize < 768
25. Eingeschränkter TLS 1.2 Support für Java 1.6
Mit aktuellen Patches sind Verbindungen mit
DHE_RSA_WITH_AES_256_CBC_SHA / 2048 bit key und TLS 1.2 möglich!
Benötigt Patch zum Austausch der Java Security Policy Files
"Java Cryptography Extension"
Separter Download, der local_policy.jar und US_export_policy.jar austauscht
Wird bei jedem Update überschrieben!
Einschränkungen werden über geänderte Policies, die in diesen jar-Files enthalten sind, überschrieben
Weitere Details siehe:
http://blog.nashcom.de/nashcomblog.nsf/dx/higher-crypt-standards-with-notesdomino-and-jvm-1.6.htm
Interessantes Detail: Der neue Mac Notes 9.0.1 64bit Client verwendet schon Java 1.8
Verbindung verwendet mit aktuellen Domino Servern ECDHE_RSA_WITH_AES_128_GCM_SHA256
26. Aktuelle SSL/TLS Parameter
DISABLE_SSLV3=1
Empfohlen und wichtig: Deaktiviert SSL V3
DEBUG_SSL_ALL=2
Oder nur DEBUG_SSL_HANDSHAKE=2 und DEBUG_SSL_CIPHERS=2
USE_WEAK_SSL_CIPHERS=1
Nicht empfohlen! IBM stellt sicher, daß aktuelle Cipher vorhanden sind
SSL_ENABLE_INSECURE_RENEGOTIATE=1
Nicht empfohlen! Ist nur aus Compatibilitäts-Gründen noch vorhanden
SSL_DISABLE_FALLBACK_SCSV=1
Nicht empfohlen! Deaktiviert TLS_FALLBACK_SCSV wenn Client es nicht (richtig) supporten
SSL_USE_CLIENT_CIPHER_ORDER=1
Nicht empfohlen! Erlaubt Clients die Cipher Order anzugeben
27. Logging - SSL/TLS Fehler
Neues Logging auch ohne Debug Einstellungen
Kann via notes.ini SSL_LOGGING_DISABLE=1 deaktiviert werden
Log-Beispiele:
TLS/SSL connection 1.2.3.4(443)-4.5.6.7(1263) failed with server certificate chain requiring support for SHA384
TLS/SSL connection 1.2.3.4(443)-4.5.6.7(3829) failed with no supported ciphers
TLS/SSL connection 1.2.3.4(443)-4.5.6.7(3416) failed with rejecting incoming SSLv3 connection
TLS/SSL connection 1.2.3.4(443)-4.5.6.7(1263) failed with server certificate chain signature alogrithms NOT supported by client
28. Logging von TLS Verbindungen
Neues Logging in 9.0.1 FP5
Notes.ini SSL_LOG_SUCCESS=1
Log all successful SSL/TLS handshakes
Notes.ini SSL_LOG_SUCCESS=2
Log all successful full handshakes (i.e. - don't log resumed sessions)
Notes.ini SSL_LOG_SUCCESS=N; N > 5
Log all successful SSL/TLS handshakes to server port N (25 for mail, 443 for https, etc)
09.03.2016 15:31:23 TLS1.2 connected 80.135.215.188 (52795) -> 91.250.96.67 (443) -
ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xC030) with NIST P-256
09.03.2016 02:13:52 TLS1.2 resumed 80.187.109.29 (12455) -> 91.250.96.67 (443) -
ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xC030)
09.03.2016 02:18:18 TLS1.0 outbound 91.250.96.67 (39071) -> 193.27.22.85 (25) -
DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)
29. Referenz – Hilfreiche OpenSSL Commands
Connect Test HTTPS
openssl s_client -connect www.acme.com:443
Connect Test SMTP TLS
openssl s_client -connect mail.acme.com:25 -starttls smtp
Beide geben Information über Protokoll und Cipher etc aus
Optionen um bestimmte SSL/TLS Versionen zu verwenden
-tls1, -no_tls1, -no_ssl3
“wget”
Verwendet OpenSSL Libs und kann für HTTPS Anfagen verwendet werden
wget.exe [--secure-protocol=TLSv1] --no-check-certificate https://www.acme.com
30. Domino SMTP TLS Extension “STARTTLS”
SSL/TLS for SMTP
Oft mit dem TLS v1.x Protokoll verwechselt
STARTTLS SMTP Protokoll Erweiterung für „Kanal-Verschlüsselung“ über SMTP Port 25
Funktionsweise
Client verbindet sich “EHLO”, Server sendet “250-STARTTLS” als eine der Erweiterungen
Client schickt “STARTTLS”
Client und Server verhandeln TLS Protokoll-Version und Cipher
Server antwortet mit “220 Ready to start TLS”
Client startet die verschlüsselte Kommunikation erneut mit “EHLO”
Referenz: “ SMTP Service Extension for Secure SMTP over Transport Layer Security”
” https://www.ietf.org/rfc/rfc3207.txt
31. STARTTLS Beispiel
EHLO mailout10.t-online.de
250-domino.nashcom.de Hello mailout10.t-online.de ([194.25.134.21]), pleased to meet you
250-TLS
250-STARTTLS
250-SIZE
250 8BITMIME
STARTTLS
220 Ready to start TLS
EHLO mailout10.t-online.de
250-domino.nashcom.de Hello mailout10.t-online.de ([194.25.134.21]), pleased to meet you
250-SIZE
250 8BITMIME
MAIL FROM:<dan@t-online.de> SIZE=1002
250 dan@t-online.de... Sender OK
RCPT TO:<daniel@acme.de>
250 daniel@acme.de... Recipient OK
DATA
354 Enter message, end with "." on a line by itself
.
250 Message accepted for delivery
34. SMTP TLS Details und Einschränkungen
Domino prüft nicht, ob das Zertifikat von einer vertrauenswürdigen CA kommt
Das Zertifikat wird aber auf technische Korrektheit geprüft (Komplette Zertifikats-Kette etc) !!
Die Gegenseite prüft ggf. unser Zertifikat → „Offizielles Zertifikat verwenden!“
Eingehende Verbindungen können bei unterschiedlichen TLS Versionen und Cipher
fehlschlagen
Sollte mit TLS 1.2 und aktuellen Ciphern sehr selten vorkommen
Es gibt immer noch Server, die alte OpenSSL Libs verwenden und SSLV2_HELLO Support
benötigen → Best Practice ist aktuell noch für SMTP Server SSSV“_HELLO zu erlauben
Notes.ini SSL_ENABLE_INSECURE_SSLV2_HELLO=1
Fallback für ausgehende Verbindungen auf unverschlüsselte Verbindungen
Notes.ini RouterFallbackNonTLS=1
In der Regel entscheidet der Client, ob die Verbindung trotzdem zustande kommt
35. SHA-1 Support
SHA-1 ist als „unsicher“ eingestuft
Es gibt mindestens theoretische Angriffe gegen SHA-1
Mindestens SHA-256 wird für sichere Verschlüsselung benötigt
SHA-256 ist Federal Information Processing Standard (FIPS) 140-2 konform
BSI rät zu SHA-256
Browser warnen bei SHA-1 basierten Zertifikaten
Beispiel: Google hat mit Warnungen schon Ende 2014 angefangen bei lang laufenden Zertifikaten
Schritt für Schritt wird das Datum runtergesetzt (1.1.2017, .. 1.1.2016)
Betroffen sind alle Server und Intermediate CAs Zertifikate, die mit SHA-1 signiert sind
Root Zertifikate werden anders validiert und sind nicht betroffen
36. SHA-256 (SHA-2) Support
Domino 9.0.x ohne die neuen Fixe supportet SHA-256 bereits in machen Bereichen
X.509 S/MIME Verschlüsselung und Signatur
HTTP Passwort Hashing (Intern)
Internet CA supportet SHA-256
Domino >= 9.0.1 FP2 IF1 supportet SHA-2 Zertifikate für alle Internet Protokolle
und für Keyring Files
SHA-2 Support: SHA-256, SHA-384 und SHA-512
Kein Support für SHA-2 in Domino 8.5.3
Neues Keyring File Management Tool “kyrtool”
37. Neues Keyring Tool - “kyrtool”
Separater Download
Win32/64, Linux 32/64 Client & Server → einfach in das Notes/Domino Programmverzeichnis kopieren
Importieren, Anzeigen show und Exportieren von Zertifikaten
Aber kann keine Keys erzeugen oder Zertifikate Anforderungen erstellen
OpenSSL für das Erzeugen von Key-Paaren und Zertifikats-Anforderungen („CSR“)
Viele andere Tools können verwendet werden
Oder bestehende Zertifikate im PEM Format
Importieren von „Trusted Roots“
Entweder alle zusammen aus einer PEM Datei in richtiger Reihenfolge (Key, cert, intermediates, Root)
Oder separater Import
38. Beispiel: Zertifikat mit OpenSSL erstellen
OpenSSL
Nativ auf Linux/Unix installiert
Oder auf Windows z. B. In einer cygwin Umgebung
1. Erstellen Private/Public Key
openssl genrsa -out server.key 2048
2. Erstellen des „Certificate Signing Request“ (CSR)
openssl req -new -sha256 -key server.key -out server.csr
3. Senden CSR zur CA
Oder erstellen eines “self signed” Zertifikates für eine Test-Umgebung
openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.pem
Resultat sollte immer im “PEM” Format sein
39. Verify Import File
Inhalt einer PEM Datei sollte vor dem Import immer „verifiziert“ werden
Sicherstellen, daß die Zertifikates-Kette vollständig ist und aufeinander aufbaut
Key, Cert, Intermediate Certs, Root Cert
Special Tip: Anzeigen der Certs in einer Eingabe-Datei
Example: kyrtool.exe show certs -i c:dominoall.pem
kyrtool.exe verify c:dominoall.pem
Successfully read 2048 bit RSA private key
INFO: Successfully read 4 certificates
INFO: Private key matches leaf certificate
INFO: IssuerName of cert 0 matches the SubjectName of cert 1
INFO: IssuerName of cert 1 matches the SubjectName of cert 2
INFO: IssuerName of cert 2 matches the SubjectName of cert 3
INFO: Final certificate in chain is self-signed
40. Keyring File erstellen
Erstellen des Keyring Files
kyrtool create -k keyring.kyr -p password
Beim Erstellen muß ein Passwort eingegeben werden
Alle anderen Commands lesen das Passwort aus der “.sth” Datei
Importieren von Key, Certificate, Intermediates und Trusted Root
Kopieren von Key, Cert, Intermediates und Root Certificate in ein PEM file
kyrtool import all -k keyring.kyr -i server.pem
Separates Importieren der unterschiedlichen Teile ist auch möglich
Kyrtool import all|keys|certs|roots -k keyring.kyr -i server.pem
Aber ist weitaus komplizierter und Fehler anfälliger
41. Keyring “show” Command
Wird verwendet um Informationen aus dem Domino Keyring File anzuzeigen
Kyrtool show certs -k keyfile.kyr
Zeitgt die komplette Zertifikateskette inklusive es entsprechenden Root Certs
Tip: Dump aller Zertifikate und Überprüfung via „verify“
Kyrtool show keys -k keyfile.kyr
Zeigt alle Keys im Keyring File
Kyrtool show roots -k keyfile.kyr
Zeigt alle Trusted Roots im Keyring File
Verbose Pption “-v” kann verwendet werden für mehr Informationen
Mehrere “-v”s bedeuten mehr Informationen
42. Referenz – Konvertierung von Formaten
Kyrtool benötigt das “PEM” Format (Text basiert - BASE64 encoded DER format)
In vielen Fällen verwendet die CA binäre Formate (z.B. Microsoft CA)
OpenSSL hilft bei der Konvertierung
Aber der Syntax ist nicht immer naheliegend
Konvertier PKCS#12 file (.pfx .p12) – Datei mit Keys und Certs
openssl pkcs12 -in cert.pfx -out cert.pem -nodes
Konvertiert das binäre DER Zertifikates-File in das (BASE64 kodierte) PEM Format
openssl x509 -inform der -in server.cer -outform pem -out server.pem
Konvertiert die binär DER kodierte Zertifikates-Kette in das (BASE64 kodierte) PEM Format
openssl pkcs7 -print_certs -inform der -in certificate_chain.p7b -outform pem -out
chain.pem
43. Aktuelle Anforderungen im Bereich Verschlüsselung
AES 256 durchgängig für alle Verschlüsselung steht ganz oben auf der Wunschliste
Aktuell verfügbar in Notes/Domino 9
Notes.ID Verschlüsselung
Notes Mail Verschlüsselung
S/MIME Mail Verschlüsselung
Offen
NRPC Port Verschlüsselung
Datenbank Verschlüsselung
44. AES 256 Mail Verschlüsselung
Eigentlich nur möglich FIPS-Einstellungen im Personen-Dokument und wenn die
Notes.IDs entsprechend lange RSA Schlüsselstärken verwenden
Für Notes Mail Verschlüsselung kann aber aktuell so maximal AES 128 erreicht werden
Spezielle Notes.ini Parameter auf Client & Server erlauben AES 256 in jedem Fall
unabhängig von den Einstellungen im Personen-Dokument und der Schlüssel-Stärke in
den Notes.IDs!
Notes Client, Lotus Script, iNotes, Traveler, Verschlüsselung eingehender Mails im Router, …
Wichtig: Hierbei geht es um die symmetrische Verschlüsselung mit AES 256
Der symmetrische Schlüssel wird mit den RSA Schlüsseln des Users ggf. noch mit einem 630 Bit Key
verschlüsselt! → Kann nur durch Key-Rollover erhöht werden
45. AES 256 Verschlüsselung für Mail aktivieren
S/MIME
SMIME_CAPABILITIES_SEND=AES_128:SHA_256
SMIME_FIRST_CHOICE_CONTENT_ENC_ALG=AES_256
Quelle: IBM ConnectED Präsentation 2015
Notes Mail
DEBUG_SEAL2_AES=256
Einzige Quelle: https://www.lotus.com/ldd/dominowiki.nsf/dx/securing-your-notes-id-vault-server
46. „Domino.Next“ – Orginal IBM ConnectED 2016 Text
Encryption of data at rest with AES
(Using a FIPS 140-2 certified cryptographic library)
Notes/Domino 8.0.1
Document encryption, Notes mail encryption, ID file encryption, and Document encryption keys
Notes/Domino 8.5
Notes ID vault encryption
Notes/Domino 9.0
S/MIME and SAML encryption
Encryption within the OAuth token store DB
Under consideration for Domino.Next
Domino Database Encryption with AES
DAOS Encryption with AES
IBM’s statements regarding its plans, directions and intent are subject to change or withdrawal without notice at IBM’s sole discretion.
47. „Domino.Next“ – Orginal IBM ConnectED 2016 Text
NRPC Network Port Encryption with AES
Planned for Domino.Next
Running in the labs today
Controlled on the Domino server
Enabled by default on clients
Uses a FIPS 140-2 certified cryptographic library
Multiple permutations:
Old port encryption with HMAC SHA-256 integrity checking
128 bit AES-CBC with HMAC SHA-256 integrity checking
128 bit AES-GCM for encryption and integrity checking
Forward secrecy and 256 bit AES under consideration
IBM’s statements regarding its plans, directions and intent are subject to change or withdrawal without notice at IBM’s sole discretion.
48. „Domino.Next“
Geplanter Support für Java 1.8
Aktuell verwendet Mac 64bit schon die native Plattform-JVM
JVM 1.8 wird verwendet und separat installiert
Java 1.8 bietet lang erwartete neue Funktionalität für Entwickler & besseren TLS Support
TLS 1.2 mit aktuellen Ciphern z.B.
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023) (Forward Secrecy)
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) (Forward Secrecy)
Alle Cipher: https://www.ssllabs.com/ssltest/viewClient.html?name=Java&version=8u31
IBM’s statements regarding its plans, directions and intent are subject to change or withdrawal without notice at IBM’s sole discretion.
50. Fragen & Antworten
Offene Fragen?
Jetzt oder später per Mail
Aktuelle Informationen in meinem Blog
Feedback?
Kontakt
nsh@nashcom.de
http://blog.nashcom.de