Transcript SUTOL 2010
www.sutol.cz
Zabezpečení Domino HTTP
Josef Honc, M-COM
11. 11. 2014
www.sutol.cz
Hlavní partneři a prezentátoři
www.sutol.cz
Zabezpečení domino HTTP serveru
Základní typy útoků a ochrana proti nim
Přístup k serveru
Komunikační protokoly
www.sutol.cz
Základní typy útoků
•
•
Znemožnění poskytování služby (DoS)
Přetížení pomocí DDoS, případně zneužití zranitelnosti
služby nebo protokolu
•
•
•
Získání neoprávněného přístupu k serveru resp. datům
Uživatelské přístupové údaje – jméno, heslo, session cookie
Zachycení a následné dešifrování přenášených dat
•
Cookie: Zneužití zranitelností služeb, starších šifrovacích
protokolů a algoritmů (CRIME, BEAST/Lucky13, BREACH,
Heartbleed, Poodle)
Heslo: Social engineering, Phishing, brute force
•
www.sutol.cz
Jak se proti útokům chránit
Aktualizace
Testování
Nastavení
„Best
Practices“
www.sutol.cz
Zabezpečení přístupu k serveru
Enforce server access settings
Use more secure Internet Passwords
Internet password lockout
Ochrana internetových hesel pomocí xACL
Vynucení složitosti internetových hesel
Nastavení cache pro změnu HTTP hesla
www.sutol.cz
Enforce Server Access Settings
www.sutol.cz
Use more secure Internet Passwords
www.sutol.cz
Use more secure Internet Passwords
www.sutol.cz
Use more secure Internet Passwords
www.sutol.cz
Internet password lockout
www.sutol.cz
Ochrana internetových hesel pomocí xACL
Configuring xACLs to protect Internet Password fields in the Domino Directory
http://www.ibm.com/support/docview.wss?rs=0&uid=swg21244808
www.sutol.cz
Vynucení složitosti internetových hesel
•
•
•
•
Od verze 8.5.1 za podmínek:
ID Vault – včetně povolení pro iNotes
UserID uloženo v poštovní databázi
Heslo je změněno pomocí
uživatelských předvoleb v iNotes
How to implement a Custom Password Policy for iNotes users
http://www.ibm.com/support/docview.wss?uid=swg21330456
www.sutol.cz
Nastavení cache pro změnu HTTP hesla
• HTTP server udržuje v platnosti staré heslo 48 hod
• Cache nastavena z důvodu konsistence při replikaci
• Notes.ini: HTTP_Pwd_Change_Cache_Hours=0
Can the time in which a changed Internet password is cached ever be modified
http://www.ibm.com/support/docview.wss?uid=swg21084375
www.sutol.cz
Zabezpečení přenosové vrstvy
Kryptografické protokoly
Šifrovací algoritmy
Optimalizace nastavení HTTP serveru
www.sutol.cz
Kryptografické protokoly
•
•
•
Domino podporuje nativně pouze SSL 3.0 (SSL2.0 standardně
deaktivován)
Podpora pro TLS1.0 v 9.0.1FP2HF384 (vydán 3.11.2014)
IBM HTTP Server podporuje TLS 1.2 (Domino 9.0.x Windows)
Defined
Protocol
https://www.trustworthyinternet.org/ssl-pulse/
Year
SSL 1.0
n/a
SSL 2.0
1995
SSL 3.0
1996
TLS 1.0
1999
TLS 1.1
2006
TLS 1.2
2008
TLS 1.3
TBD
https://en.wikipedia.org/wiki/Transport_Layer_Security
www.sutol.cz
Šifrovací algoritmy
www.sutol.cz
Výchozí konfigurace Domino
•
•
•
SSL 3.0
Selfsigned certifikát pomocí certsrv.nsf (512b public key, MD5 hash)
Výchozí šifrovací algoritmy
www.sutol.cz
Test konfigurace SSL
www.sutol.cz
Platný certifikát 2048 bit SHA1
www.sutol.cz
Povolení silnějších šifer
www.sutol.cz
Povolení silnějších šifer
www.sutol.cz
SSL_DISABLE_RENEGOTIATE=1
www.sutol.cz
9.0.1 FP2IF1
www.sutol.cz
9.0.1 FP2IF1 – silnější šifry
www.sutol.cz
Podpora SHA-2 v Notes/Domino 9.x
• Domino 9.0.1 FP2 IF1 / Domino 9.0 IF6
• Notes 9.0.1 FP2 IF2
• Kyrtool (KYRTool_9x_ClientServer) – import
klíču a certifikátů z PEM do KYR
Planned SHA-2 deliveries for IBM Domino 9.x
http://www.ibm.com/support/docview.wss?uid=swg21418982
www.sutol.cz
IBM HTTP server
• + Podpora TLS1.2
• Založen na Apache 2.2.8
• Součástí Domino 9.0.x na OS Windows
- Nepodporuje Perfect Forward Secrecy
Is it possible to run IBM HTTP Server (IHS) on the same computer as a Domino
server? http://www-01.ibm.com/support/docview.wss?uid=swg21612316
www.sutol.cz
IBM HTTP Server
www.sutol.cz
IBM HTTP server
www.sutol.cz
Konfigurační úpravy v domino.conf
LoadModule rewrite_module modules/mod_rewrite.so
RewriteEngine on
#presmerovani HTTP na HTTPS
RewriteCond %{SERVER_PORT}=80
RewriteRule ^(.*) https://%{SERVER_NAME}%{REQUEST_URI} [R,L]
#zakazani metod TRACK a TRACE
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* - [F]
<VirtualHost *:443>
SSLEnable
SSLProtocolDisable SSLv2
SSLProtocolDisable SSLv3
#nastaveni HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains„
# preferovane sifrovaci alogoritmy
SSLCipherSpec ALL NONE
SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
SSLCipherSpec ALL TLS_RSA_WITH_AES_128_GCM_SHA256
SSLCipherSpec ALL TLS_RSA_WITH_AES_256_GCM_SHA384
SSLCipherSpec ALL TLS_RSA_WITH_AES_128_CBC_SHA256
SSLCipherSpec ALL TLS_RSA_WITH_AES_256_CBC_SHA256
SSLCipherSpec ALL TLS_RSA_WITH_AES_128_CBC_SHA
SSLCipherSpec ALL TLS_RSA_WITH_AES_256_CBC_SHA
SSLCipherSpec ALL SSL_RSA_WITH_3DES_EDE_CBC_SHA
</VirtualHost>
KeyFile c:\IBM\Domino\ihs\sutol2.kdb
SSLDisable
www.sutol.cz
IBM HTTP server
www.sutol.cz
Alternativní řešení reverzní proxy
• Apache HTTP server
• Nginx
• Pound Reverse proxy
www.sutol.cz
Nginx - default
www.sutol.cz
Nginx – po ladění
www.sutol.cz
Vyšší zabezpečení Domino HTTP
Zakázání metod TRACE:
• HTTPDisableMethods=TRACE
Skrytí identifikace HTTP serveru:
• DominoNoBanner=1
•
http://www-01.ibm.com/support/docview.wss?uid=swg21109279
www.sutol.cz
Zabezpečení Session Cookie
www.sutol.cz
Děkujeme za pozornost
M-COM s.r.o.
Josef Honc
Email:
Web:
[email protected]
http://www.m-com.cz