Twitter

 8.5.x 

Sicherheitslücke oder beabsichtigte Funktion?

Manfred Meise  13 Mai 2010 08:00:00
 
Sicherheitsbeauftragte sollten das nachfolgend beschriebene Systemverhalten von Lotus Domino zum Anlass nehmen, ihre Betriebsvorgaben zu überprüfen, um im Bedarfsfall auch einzelnen Administratoren umgehend den Zugriff auf die Serverinfrastruktur entziehen zu können! "Bug" oder "Works as designed" - meine Einschätzung ist klar: Es ist ein Fehler wenn Benutzer auf Server zugreifen können, obwohl sie in der "Deny-Access-Liste" verzeichnet sind.

Ausgangssituation:


Im Rahmen eines Security Audits bei einem unserer Kunden haben wir Empfehlungen zur Erhöhung der Server- und Betriebssicherheit von Domino Servern durch standardisierte Einstellungen der Serverdokumente ausgesprochen, Hierzu zählten u.A.:
  • Einrichtung einer speziellen "Admin" OU zur Registrierung von User.IDs für Administratoren: Benutzer  erhalten dann automatisch Zugriff auf bestimmte Server und Serverressourcen, ohne die Pflege von Gruppen, unter Verwendung von wildcard Notationen "*/ADMIN/MMI"
  • Verwendung der wildcard-Notation z.B. In Serverdokument (Sicherheitseinstellungen), damit so zertifizierte Benutzer Zugriffe stets entsprechende Berechtigungen auf dem Server erhalten. Durch diese Vorgehensweise kann verhindert werden, dass administrative Benutzer von Gruppenmitgliedschaften abhängig sind (die man verlieren könnte, wenn ein Administrator-Kollege z.B. Aus Versehen das entsprechende Gruppendokument löscht).
  • Anwendung dieser Strategie u.A. Auch für das "Full Access Administration" Feld im Serverdokument
    Image:Sicherheitslücke oder beabsichtigte Funktion?

Kaum das wir diese Strukturen bei diesem Kunden implementiert hatten, ergab es sich, dass einer der Administratoren das Unternehmen verlässt.

Löschung des ausscheidenden Administrators:


Im Rahmen der Löschung eines Benutzers (so auch der des Administrators (zertifiziert mit der "Admin" OU) ist dieser u.A. in die "Deny-access-Liste" aller Server eingetragen worden. Erstaunlicherweise hatte dieser (auch nachdem alle AdminP Aufträge abgearbeitet wurden und sein Benutzername in der "Deny-access-Liste" eingetragen war), immer noch Zugriff auf alle Server.

Image:Sicherheitslücke oder beabsichtigte Funktion?


Image:Sicherheitslücke oder beabsichtigte Funktion?

Die nähere Analyse ergab, das der Domino-Server (auf Grund der wildcard-Notierung des Administrators im "Full Access" Feld aller Server) den Eintrag in der "Deny-List" ignoriert. Hätte man dort eine Gruppe verwendet oder gar den Benutzer explizit eingetragen, so hätte AdminP durch die Löschung dem Administrator die Berechtigung entzogen.

Erschreckenderweise kann ein so authentifizierter Administrator unbegrenzt auf Serverressourcen lediglich unter Verwendung eines Lotus Notes Clients zugreifen (anders als die Dokumentation aussagt: "Um Vollzugriff zu erlangen, muss ein Benutzer 1. im entsprechenden Feld "Vollzugriff" des Serverdokumentes eingetragen sein, 2. einen Lotus Administrator Client verwenden, 3. den Vollzugriffsmodus über den entsprechenden Menüpunkt aktivieren").

Die Stellungnahme der IBM auf einen entsprechenden PMR sagt aus, dass die Auswertung der Felder "Full-Access" und "Deny-Access" des Serverdokumentes in dieser Reihenfolge erfolgt. Aus praktischen Erwägungen heraus haben wir lediglich einen Verbesserungsvorschlag einreichen können, dessen Umsetzung fraglich ist und dauern kann. Für die Praxis hat das jedoch unmittelbare Auswirkungen, wenn wir nicht kurzfristig mit einem HotFix rechnen können.

Dringende Empfehlung für aktuelle Domino Konfigurationen:

1.        Die Verwendung von separaten OUs für Administratoren und wildcard Notationen hat weiterhin eine Reihe von Vorteilen, jedoch einen entscheidenden Nachteil
2.        Um derart registrierte Administratoren ähnlich schnell vom Serverzugriffen auszuschließen wie normale Benutzer dürfen diese nicht über wildcard-Notation im "Full-Access" des Servers eingetragen sein. Dort sind stets entweder explizit einzelne Namen einzutragen (mit dem Nachteil das diese Informationen vom Server gecached werden) oder als Mitglied einer dort verzeichneten Gruppe (mit dem Nachteil des Verlustes von Vollzugriffen, wenn jemand aus Versehen die Gruppe löscht)

In jedem Fall
heißt das, Vor- und Nachteile abzuwägen und die Serverkonfigurationen überprüfen/ändern, bis IBM in einem dem kommenden Release zuerst die "Deny-Access-Liste" eines Servers auswertet, bevor man durch Prüfung weitere Servereinstellungen entscheidet, was man denn konkret auf diesem Server tun darf.