Многие клиенты используют IBM Lotus Domino в своей локальной сети или на Web-сайтах Интернета. Важно обеспечивать безопасность сервера Domino в этих средах, чтобы быть уверенными в сохранности данных и доступности web-сайта, особенно в Интернете. В нашей предыдущей статье developerWorks Lotus, "Обеспечение безопасности Web-сервера Domino" обсуждалась модель системы безопасности Domino, и как сделать более надежной работу web-сервера, включая подтверждение подлинности в Web, обеспечение безопасности сервера и данных. В статье, опираясь на анализ проблем клиента, приводятся специфические конфигурации и настройки, которые рекомендуется использовать для достижения этой цели. Статья предназначена для опытных администраторов системы Domino.

Статья состоит из следующих разделов

• Системное администрирование и использование – как разделяются доступ и администрирование
• Структура анализа проблем – структура единой среды сервера Domino
• Конфигурация сервера Domino – специфическая конфигурация и установки для обеспечения безопасности сервера
• Конфигурация приложения – как DSAPI-фильтр использовался для обеспечения более жесткого контроля за подтверждением подлинности и авторизацией
• Мониторинг системы – как отслеживались события в системе безопасности и попытки получения несанкционированного доступа

Администрирование и использование системы

Для нашего исследования мы разделили пользователей на две группы. Одна группа включала пользователей Web-приложений, а вторая – администраторов серверов. Группа пользователей Web-приложений включала внутренних и внешних пользователей, работающих с Web-приложением. Вторая группа включала внутренних администраторов, контролирующих как операционную систему сервера, так и сервер Lotus Domino. Администрирования сервера, осуществляемого из Интернета не было, поэтому для дальнейшей поддержки процесса были перемещены базы данных webadmin.ntf и webadmin.nsf. Таким образом, администрирование сервера осуществлялось только клиентским приложением Lotus Domino Administrator через утилиту Security Shell (SSH), которая является шифрованным методом доступа для серверов Linux, доступным только для внутренних администраторов.

Linux был выбран для нашего исследования по двум основным причинам. Linux не подвержен вирусным атакам того же уровня, что и другие операционные системы, и позволяет использовать безопасный метод удалённого администрирования. Linux также предлагает возможность блокировки всех ненужных и неиспользуемых служб операционной системы, снижая потенциальный риск в системе защиты путем сокращения количества служб, работающих на сервере.

Мы также разделили группу администрирования на две подгруппы, одна – для администрирования операционной системы, а вторая – для администрирования сервера Lotus Domino. Группа администрирования операционной системы была ответственна за все функции операционной системы, такие как обновление, резервирование, работа с пользователями операционной системы, администрирование групп и инсталляция Lotus Domino. Администраторы Lotus Domino отвечали за администрирование пользователей и групп, конфигурирование сервера и его текущее обслуживание.

В начало

Структура анализа проблем

Нашему клиенту нужен был простой внешний Web-сайт для публикации результатов исследования в виртуальной библиотеке. Хотя содержание было частным, объем данных и требующиеся возможности соответствовали среде Lotus Domino, и для удовлетворения запросов клиента было разработано решение для автономного сервера.

В центре данного исследования – автономный Web-сервер Lotus Domino, расположенный в сети демилитаризованной зоны (DMZ), работающий под SUSE Linux и Lotus Domino 7. Приемы, описанные в этой статье действенны для любой операционной системы; однако мы выбираем вариант Linux, а не Microsoft Windows, так как он менее уязвим для вирусов и хакеров. Мы использовали SSH, так как это дает возможность защищенного доступа через систему безопасности к удаленному серверу Linux, что в свою очередь обеспечивает доступ к базе данных автономного приложения. Рисунок 1 иллюстрирует структуру исследования.

Сделав доступными через Интернет только порты 80 и 443, мы защитим сервер от угроз извне. Вы также можете видеть, что порты 22, 80, 443 и 1352 - единственные, доступные из внутренней сети (которую обычно считают высоконадёжной сетью). Это обстоятельство снижает риск любого внутреннего злоумышленного воздействия на серверы. Эти порты описаны в Таблице 1.

Примечание: Целевой сервер расположен между двумя брандмауэрами. Такая конфигурация дает возможность назначать различные полномочия и уровни доступа, основываясь на доверяемой сети и ненадежном Интернете.

В начало

Конфигурирование сервера Domino

В этом разделе рассматривается конфигурирование сервера Domino, используемого в нашем изучении проблем, включая наиболее важные с точки зрения безопасности Domino Server document и Configuration document settings. Рассмотрим Domino Server document. В Lotus Domino 7 есть две новые опции, которые не обязательно используются в Web-серверах, но помогают в администрировании внешнего домена. Эти опции - "Compare public keys" (Сравнить открытые ключи) и "Log public key mismatches" (Зарегистрировать несоответствия открытых ключей).

Обычно администраторы в организациях обмениваются идентификаторами (ID) с внешним доменом. Эти две опции предусматривают принудительное согласование открытых ключей. Если есть подозрение в дискредитации ID, при создании нового ID создаётся открытый ключ, а старый ID удаляется из системы. Эти новые установки с максимальным уровнем безопасности показаны на рисунке 2.

Все HTTP-сообщения с сервером должны использовать протокол SSL. Если вы настраиваете документ сервера Domino на переадресовку всех HTTP-запросов протоколу SSL, использование SSL становится необходимым для всех HTTP-соединений. Все анонимные SSL-подключения к серверу также были заблокированы. Сервер не предоставляет пользователю никакой информации до тех пор, пока подлинность пользователя не подтверждена. Настройки документа сервера показаны на рисунке 3.

SSL-сертификат создается в соответствии с процедурой, описанной в статье developerWorks Lotus, "Доверяйте себе: станьте специалистом в области сертификации."

Можно ввести более жесткие установки подтверждения подлинности в Интернете при помощи параметра Notes.ini NABWebLookupView. Этот параметр блокирует все остальные варианты имен кроме имени пользователя, внесенного в список в первой колонке представления, использующегося для просмотров. Мы в нашем изучении проблем допустили подтверждение подлинности только под обычным именем пользователя (например, Мэтью Милза). Если бы пользователь попытался ввести любой другой вариант, например, адрес электронной почты, он бы не получил доступа в систему.

Теперь давайте сконфигурируем параметр настроек Notes.ini в документе сервера конфигурации и создадим представление "($webaccess)" в директории Domino, которое сортируется только по обычному имени. Пример представления показан на рисунке 4, а установки Notes.ini для документа конфигурации показаны на рисунке 5.

В начало

Конфигурирование приложения

При помощи Lotus Domino вы можете создать стратегии использования пароля для паролей Lotus Notes и управлять ими; однако для подтверждения подлинности нового пароля в Web те же возможности Lotus Domino не поддерживаются. Lotus Domino 7 дает возможность принудительно изменять Internet-пароль через определенное время и устанавливать определенное качество и длину пароля, что можно настроить с помощью политики безопасности. Lotus Domino 7 также разрешает блокировку учетной записи пользователя и требует обязательного изменения пароля при последующем подтверждении подлинности.

Для введения более жесткой стратегии использования Internet-пароля можно разработать пользовательский фильтр подтверждении подлинности Domino Security API (DSAPI), или подтверждение подлинности может происходить по сравнению с директорией LDAP. Большинство директорий LDAP предлагают достаточно жесткую стратегию использования пароля.

В нашем случае требуется более полный набор возможностей управления идентификацией, т. е.:

• Правила, устанавливающие срок действия отдельно для аккаунта и пароля
• Проверка качества, длины и уникальности пароля.
• Обзор ранее использовавшихся паролей
• Функции изменения и переустановки пароля самим пользователем.
• Блокировка пароля при его неправильном введении
• Настраиваемые формы, текст и графика интерфейса Web-пользователя

Для обеспечения этих возможностей обратимся к ресурсу IBM Software Services для Lotus (ISSL), который использует фильтр подтверждения подлинности DSAPI. Этот ресурс, называющийся Internet Password Manager (IPM), выполняет все функции безопасности, необходимые для данного анализа проблем.

Примечание: IPM – это набор из баз данных Domino и фильтра DSAPI, которые обеспечивают более жесткий контроль за использованием Web-паролей. За дополнительной информацией об этом ресурсе обращайтесь к авторам.

IPM добавляет несколько графических элементов к директории Domino для того, чтобы функции управления аккаунтом могли разрешать, запрещать, расширять и переустанавливать вручную пользовательские аккаунты. Дополнительные базы данных приложения Domino (NSF-файлы) создаются из имеющихся шаблонов, чтобы позволить пользователю, используя свой интерфейс, входить в систему, менять пароль, получать почтовые уведомления. Определяются специальные группы для контроля администраторов паролей и серверов, участвующих в среде управления паролями.

Рисунок 6 показывает конкретный документ конфигурации в директории Domino, который контролирует возможности системы управления паролями.

Подформа, которая расширяет схему Person document, отражает установки, добавленные для каждого пользователя (см. рисунок 7).

Работа ядра обеспечивается через DSAPI-фильтр, который был разработан для этой операционной системы и помещен в директорию Program сервера Domino. Чтобы сделать возможным использование IPM Domino HTTP-сервером, необходимо настроить фильтр Authorization Extension (расширения авторизации). Для каждого участвующего сервера добавьте имя из библиотеки фильтра DSAPI установленного расширения авторизации (Authorization Extension) (например, libipwext.so) в поле имен файлов фильтра DSAPI (см. рисунок 8). Он находится в документе Сервера на закладке Internet Protocols, закладка более низкого уровня HTTP, область DSAPI. Если настроить эти дополнительные базы данных и установки, то пользовательский интерфейс и механизмы контроля пароля позволят усилить защитные свойства.

Страница входа в систему по умолчанию показана на рисунке 9.

Если пользователь предпринимает несколько попыток получить доступ к сайту, но ему не удается зарегистрироваться под правильным паролем, доступ запрещается. Основываясь на параметрах конфигурации, неудачные попытки регистрации блокируют пользователя системы и отображаются на консоли сервера (см. рисунок 10).

Можно также ограничить доступ к базам данных системы посредством настроек Access Control List (ACL) (список контроля доступа) и свойства базы данных "Don’t allow URL open" (не разрешать открытие из Интернета), расположенных в разделе Web Access на закладке Basics в окне свойств. Это поможет предотвратить открытие базы данных из Интернета, что является новой возможностью в Lotus Domino 6. Если вы подключите это свойство в директории Domino (names.nsf), пользователи по-прежнему смогут подтверждать свою подлинность, что весьма полезно, когда зарегистрированные пользователи хотят остаться анонимными для других пользователей сервера.

В начало

Мониторинг домена Domino

Монитор домена Domino (DDM) – нововведение в Lotus Domino 7. DDM использует набор предварительно настроенных программ (probes) сбора данных о статусе/процессе на контролируемых серверах. Эти программы собирают информацию, касающуюся приложений, баз данных, директорий, обмена сообщениями, репликации, безопасности, операционной системы, сервера и Интернета. Специальные фильтры позволят выбрать тип и уровень данных, записанных программами сбора данных. После того, как данные собраны, их объединяют, организуют и превращают в легкие для чтения отчеты. DDM содержит три встроенных программы сбора данных о системе безопасности, которые проверяют документ сервера (Server document), документ конфигурации сервера (Server Configuration document) и персональные документы (Person documents) для подтверждения того, что установки соответствуют оптимальным параметрам. DDM может также сообщить о попытках неавторизованного доступа к серверу и поэтому является полезным инструментом аудита системы безопасности вашего сервера Lotus Domino.

Результаты, полученные DDM, автоматически собираются в Event Resolution Center (ERC). Каждое осуществленное и помещенное в базу данных ERC событие имеет документальную обратную связь с конкретным монитором, который генерировал это событие. ERC обновляется статусным документом каждый раз, когда устройство сбора данных находит ошибку или когда превышается определенная пороговая величина. Обозревая события DDM, записанные в ERC, можно распознать (и в некоторых случаях даже предвосхитить) системные события Domino. ERC создается автоматически, когда вы запускаете первый сервер. База данных ERC основана на новом шаблоне ddm.ntf; имя файла по умолчанию ddm.nsf. Рисунок 11 показывает пример того, как включить программу сбора данных об оптимальных настройках (Best Practices Probe) в базе данных Events4.nsf .

Закладка Specifics (Особые свойства) Security Probe document содержит список установок сервера, которые проверяются этой программой, среди которых:

• Сравнить открытые ключи с открытыми ключами, сохраненными в директории.
• Проверить пароль.
• Разрешить анонимные соединения с Notes
• Требующийся интервал изменений
• Проверить пароли на Notes ID
• Проверить существование файла ID в Person document
• Проверить подлинность в Интернете
• Проверить безопасность установок SSL
• Проверить безопасность Web-установок
• Проверить безопасность установок директории Domino
• Проверить безопасность установок почты
• Проверить безопасность установок DIIOP
• Проверить безопасность Remote Debug Manager (удаленного мастера отладки)
• Использовать более безопасные Интернет-пароли
• Установки безопасности в Configuration Document
• Интернет-пароль
• Проверить все закладки безопасности Server document:
  • Admins
  • Program
  • Web
  • Security settings
  • Server access
  • Pass-thru use

Следующие таблицы демонстрируют тип информации, которую каждое активное программа сбора данных отражает в ERC. База данных ERC (имя файла ddm.nsf) содержит информацию, сгенерированную программами DDM. Когда программа сбора данных работает, оно записывает всю подходящую найденную информацию (если она есть) в отчет, помещаемый в ERC. Этот отчет содержит результаты работы конкретной программы, вероятную причину, которая привела к определенному результату, предлагает решение для каждого события и даёт ссылку на программу, которая использовалась для генерации этого события. Затем программа запускается и записывает всю подходящую найденную информацию (если она есть) в отчет, помещаемый в ERC. Этот отчет содержит результаты работы конкретной программы, вероятную причину, которая привела к определенному результату, предлагает решение для каждого события и даёт ссылку на программу, которая использовалась для генерации этого события.

Примечание: Пример показывает не все результаты работы программы

Security Best Practices Probe (испытание безопасности оптимальных настроек): Server Document

Результаты: документы сервера проанализированы, 30 процентов конфигурации не соответствует рекомендованным оптимальным настройкам.

Security Best Practices Probe (испытание безопасности оптимальных настроек): Server Document

Документы сервера проанализированы, и 5 процентов конфигурации не соответствует рекомендованным оптимальным настройкам.

Испытание безопасности оптимальных настроек (Security Best Practices Probe): Person Documents

Потенциальный риск, связанный с обеспечением безопасности, был обнаружен в четырех персональных документах. Отчеты об этих документах были отправлены в закладку Details. 31 процент конфигурации не соответствует рекомендованным оптимальным настройкам.

Одна из крупнейших проблем, связанных с обеспечением безопасности, вычленяемых во время формальных аудитов – смещение конфигурации. Со временем конфигурация сервера может измениться из-за различных проблем, их устранения и поиска неисправностей. В конце дня все это может стать серьезной проблемой обеспечения безопасности. Необходимо применять контроль изменений, чтобы справиться со смещением конфигурации, но этот контроль не всегда улавливает нежелательные изменения, отражающиеся в документе сервера. Можно использовать DDM для определения смещения путем создания программы сбора данных по конфигурации безопасности (DDM Security Configuration probe) Она сравнивает один документ сервера Domino с документом проверяемого сервера и затем отчитывается о любых отличиях и/или несовпадениях. Такая программа имеет также закладку Specifics которую можно конфигурировать, что дает возможность сравнивать конфигурацию одного сервера с проверяемым сервером и помогает распознать сдвиг конфигурации. Возможности этой программы включают следующее (пример см. на рисунке 12):

• Какой сервер следует использовать как ведущий?
• Настройки какого сервера следует сравнивать с настройками ведущего сервера? Опции для выбора:
  • Directory Profile Note
  • Настройки обеспечения безопасности в документе конфигурации сервера
  • Документ сервера (все разделы) или отдельные разделы, такие как Admins, Program, Web, и т. д.

В начало

Система протоколирования активности (Activity Logging)

Activity Logging регистрирует деятельность пользователя по пользователю, базе данных и протоколу доступа. Ее часто используют в сочетании с Activity Trends (тенденции активности) для сбора и сохранения статистических данных о текущей деятельности и ее тенденциях. Статистические данные касаются деятельности сервера, баз данных, пользователей и подключения пользователей к базам данных, и позволяют администраторам отследить пользователей, активно работающих в системе. Данные следует просматривать ежемесячно, и любому неактивному последние 90 дней пользователю должен быть заблокирован доступ в систему – политика, помогающая предотвратить доступ к не использующимся аккаунтам.

Рисунок 13 показывает статистику, которая должна быть запротоколирована для нашего исследования, где отслеживание было разрешено для всех агентов сервера, HTTP-сессий, SMTP-сессий, SMTP-почты, сессий баз данных Notes, Notes-сессий и почты Notes.

Activity Trends обеспечивает информацию, такую как последнее подключение пользователя к серверу, что может быть использовано для того, чтобы отследить неактивные аккаунты (см. рисунок 14). В нашем исследовании были проверены аккаунты, бывшие неактивными в течение 60 дней. Затем аккаунт был заблокирован в системе на 30 дней, и поскольку в общей сложности аккаунт был неактивен 90 дней, он был удален.

Activity Trends может также проследить, к каким базам данных пользователи подключаются в представлении Connections\By User (соединения\по пользователю). Activity Trends можно использовать для того, чтобы убедиться, что пользователи не подключаются к неразрешенным базам данных, а также в дополнение к Domino Web Server Log (журналу Web-сервера Domino), рассматриваемому ниже, для отслеживания дополнительной активности пользователя на высоком уровне. (Детали HTTP-запросов сохраняются в базе данных Domino Web Server Log.)

Можно запротоколировать деятельность вашего сервера и запросы Web-сервера в базе данных Domino Web Server Log (DOMLOG.NSF) (см. рисунок 15). Эта опция предпочтительнее, если вы хотите создать представление и просматривать данные разными способами. Регистрация в базе данных несколько медленнее, чем регистрация в текстовых файлах, особенно на загруженных сайтах, и размер баз данных может так увеличиться, что их обслуживание становится проблемой. Однако если использовать Domino Web Server Log, вы сможете обращаться с этой информацией так же, как с другими базами данных Notes, используя встроенные возможности для анализа результатов.

База данных DOMLOG.NSF регистрирует всю активность Domino Web-сервера и отслеживает следующую информацию о каждом HTTP-запросе:

• Дата и время запроса
• IP-адрес пользователя (или DNS-адрес, если DNS-поиск разрешен в документе сервера)
• Имя пользователя (если пользователь предоставил имя и пароль для доступа к серверу)
• Код состояния, который сервер возвращает браузеру, чтобы указать на успех или неудачу в формировании запроса
• Длина информации, в байтах, посланной сервером браузеру
• Тип данных, к которым обращается пользователь, например, text/html или image/gif
• HTTP-запрос, отправленный серверу браузером
• Тип браузера, используемый для доступа к серверу
• Внутренние программные ошибки и ошибки общего шлюзового интерфейса (Common Gateway Interface, CGI)
• URL, который посетил пользователь, для получения доступа к странице на этом сайте
• IP-адрес сервера или имя DNS
• Количество времени, в миллисекундах, на формирование запроса
• Cookies, посылаемые браузером
• Транслированный URL (полный путь к фактическому ресурсу сервера, если он доступен)

Domino Web Server Log для нашего исследования настроен на отслеживание IP-адресов, которые получили доступ к Web-серверу. Если есть IP-адреса, которые постоянно обращаются к этому сайту, то они могут быть заблокированы брандмауэром. Как можно видеть в примере на рисунке 15, входящие IP-адреса отслеживаются до тех пор, пока пользователь не подтвердит подлинность, после чего все сессии отслеживаются под именем пользователя. Это может помочь предотвратить атаки типа "отказ от обслуживания".

Примечание: Есть некоторые сторонние DSAPI-фильтры, которые осуществляют эту функцию автоматически.

DSAPI-фильтр, использующийся для обеспечения управления Internet-паролем, также обеспечивает некоторые статистические данные, которые могут быть отслежены. Предупреждения отправляются, когда пользователи заблокированы в системе из-за превышения допустимого количества неудачных попыток зарегистрироваться, например:

IPWEXT.Login.Failed.Lock = Login attempts with invalid password resulting in account lockout (Попытки регистрации с неверным паролем, в результате которых блокируется аккаунт)

В начало

Соображения по дополнительным мерам безопасности

Сканирование портов – это процесс, который включает сканирование всех возможных портов на вашем сервере, имеющих доступ в Интернет. Сервер должен быть доступен на ограниченном количестве портов. Порты, которые открыты для нашего сервера, подробно рассмотрены выше. Сканирование портов хакерами – это обычно попытка выполнить враждебный программный код на сервере или захватить контроль над сервером, разыскивая уязвимые порты.

Обновления операционной системы и заплатки (patches) следует устанавливать обычным образом. Мы использовали Linux-сервер для нашего исследования, поскольку большую часть заплаток можно установить, не затронув сервер Domino. Заплатки для ядра требуют перезагрузки, а заплатки к TCP/IP-протоколу могут повлиять на Domino-сервер. Все ненужные пакеты или программное обеспечение должны быть удалены с сервера. Поскольку обновления на Linux-сервере редко влияют на сервер Domino, они должны были проводиться еженедельно.

United States Computer Emergency Readiness Team (USCERT) регистрирует любые новые уязвимости в операционной системе, брандмауэре, сети, или программном обеспечении. Команда рассылает срочные сообщения с предостережениями, а также еженедельные отчеты, которые необходимо просматривать, чтобы снизить риск возникновения потенциальных уязвимостей в системе защиты.

Для получения информации об уязвимостях в Lotus Notes и Domino обращайтесь к странице системы безопасности developerWorks Lotus.

Вам следует постоянно контролировать всю инфраструктуру компьютера. Следует также ежемесячно просматривать Domino Web Server Log, Activity Trends, результаты проверок DDM и отчеты USCERT и просматривать журналы, чтобы помешать вмешательству хакеров. Если вы замечаете, что IP-адреса одного и того же диапазона пытаются подключиться к серверу, или одни и те же неверно сформированные URL отправляются на сервер, такие запросы должны быть блокированы брандмауэром или сервером Domino. Непрерывный мониторинг помогает предотвратить неавторизированный доступ к Web-серверу.

В начало

Заключение

В этой статье рассматривались специальные установки, рекомендованные для того, чтобы сделать IBM Lotus Domino Web Server более безопасным при работе в режиме автономного сервера. Эти рекомендации помогут обеспечить наибольшую безопасность ваших основанных на Domino Web-сайтов, и в то же время высокую эффективность, надежность и легкость для пользователей.

Ресурсы

Научиться

• Оригинал статьи: "Securing an IBM Lotus Domino Web Server: A case study"
  
  
• Статья developerWorks Lotus "Обеспечение безопасности Lotus Domino Web-сервера"
  
  
• Статья developerWorks Lotus "Доверяйте себе: Станьте специалистом по сертификации"
  
  
• Страница системы безопасности developerWorks Lotus
  
  
• IBM Redbook, "Рассмотрение способов обеспечения безопасности в Notes и Domino 7: Как облегчить реализацию большей безопасности"
  
  
• Статья, написанная в Институте разработки программного обеспечения Карнеги Меллон (Carnegie Mellon Software Engineering Institute) в апреле 2000 г.," Обеспечение безопасности сетевых серверов", авторы Джулия Эллен, Клаус-Питер Коссаковски, Гарри Форд, Суэш Конда, Дерек Симмелл
  
  

Получить продукты и технологии

• Загрузите пробную версию Lotus Domino с developerWorks.
  
  
• Загрузите пробную версию Lotus Notes с developerWorks.
  
  

Обсудить

• Примите участие в обсуждении материала на форуме.
  
  
• Посетите блоги developerWorks и включайтесь в сообщество developerWorks.
  
  

Об авторах

Оценить эту статью

Комментарии

В начало

Содержание

• Администрирование и использование системы
• Структура анализа проблем
• Конфигурирование сервера Domino
• Конфигурирование приложения
• Мониторинг домена Domino
• Система протоколирования активности (Activity Logging)
• Соображения по дополнительным мерам безопасности
• Заключение
• Ресурсы
• Об авторах
• Комментарии