Seguridad en Lotus Notes y Domino

LOTUS NOTES

Lo más destacable dentro de la seguridad de Lotus Notes es la gestión de usuarios. El correo se almacena en el servidor pero se puede mantener una copia en local en la estación de trabajo desde la que se accede. La configuración de los usuarios se guarda también en cada equipo dentro de un fichero con la extensión .ID, además de en la base de datos del servidor denominada “Domino Directory”.

Logo de Lotus Notes
Logo de Lotus Notes

Cada servidor Lotus tiene un archivo .ID único. Cada usuario también tiene un fichero .ID que contiene:

– La fecha del último cambio de contraseña
– El número de días que faltan para que la contraseña expire.
– El número máximo de días que se puede utilizar la actual contraseña sin tener que cambiarla.
– La contraseña actual cifrada.
– El histórico de los últimos 49 passwords usados y las fechas de caducidad de cada uno de ellos.

Lotus Notes, además, se protege de accesos no autorizados mediante ataques por fuerza bruta o diccionario para que, en caso de haber podido obtener el fichero USER.ID de un usuario pero no se conozca la contraseña, no se pueda acceder al servidor Domino. Para ello se va incrementando el tiempo de espera entre inicios de sesión cada vez que se introduce una contraseña errónea.

El archivo de cada usuario (USER.ID) se guarda de forma local en unidades de red o en el disco duro de cada dispositivo y contiene la contraseña (cifrada) que se puede intentar descifrar para acceder al correo electrónico de ese usuario y a las bases de datos Notes (.nsf, .box o .ns4) a las que tenga permisos. El password se almacena en el USER.ID cifrado en formato RC2 de 64 y 128 bits pero a partir de las versiones 8.5 y posteriores el nivel de cifrado ha mejorado y se puede utilizar AES de 128 o 256 bits.

En una instalación Notes, es bastante habitual encontrar numerosos ficheros de usuario (.ID) o, incluso, datos provenientes del proceso de configuración por parte de los administradores de lotus (server.id, admin.id, etc.). Basta recopilarlos e intentar descifrar la contraseña, proceso para el cual existen diversos programas, el más completo, aunque de pago, es:

– Passware Kit Enterprise que descifra contraseñas de más de 150 tipos de archivos, USER.ID de Notes entre ellos, basta indicarle la ruta donde se encuentra el fichero .ID y el programa ya reconoce que se trata de un archivo de Lotus Notes (http://www.lostpassword.com/kit-enterprise.htm).

LOTUS DOMINO E iNOTES

Como se ha visto la parte servidor se denomina Lotus Domino. Desde el punto de vista de la seguridad, lo más destacable son el montón de bases de datos de Lotus, con la extensión .NSF existentes, además de diversas plantillas y templates con la extensión .NTF donde se guarda toda la información del servidor, incluido el correo de los usuarios que suele encontrarse en la ruta /servidor_revisado.com/mail/nombre_de_usuario.NSF.

iNotes es el servicio de mensajería de Lotus para poder acceder al correo vía Web con cualquier navegador.

Para poder revisar la seguridad de un servidor Lotus desde Internet basta fijarse en aquellas bases de datos que permitan acceso anónimo y sin autenticar. Son especialmente importantes las siguientes bases de datos Lotus (.NSF) que proporcionan múltiple información acerca del sistema:

– statrep.nsf (http://servidor_revisado.com/statrep.nsf): base de datos con los resultados de la monitorización del sistema.
– schema.nsf (http://servidor_revisado.com/schema.nsf): esquema LDAP del servidor Domino.
– reports.nsf (http://servidor_revisado.com/reports.nsf): reportes del servidor.
– names.nsf (http://servidor_revisado.com/names.nsf): directorio del servidor Domino, listado de usuarios, etc.
– log.nsf (http://servidor_revisado.com/log.nsf): logs y registros de la actividad del servidor.
– events4.nsf (http://servidor_revisado.com/events4.nsf): fichero de configuración de la monitorización del sistema.
– admin4.nsf (http://servidor_revisado.com/admin4.nsf): archivo de la administración del servidor.
– webadmin.nsf (http://servidor_revisado.com/webadmin.nsf): fichero de configuración del servidor web.
– catalog.nsf (http://servidor_revisado.com/webadmin.nsf): listado de las bases de datos Lotus existentes en el servidor.
– homepage.nsf (http://servidor_revisado.com/homepage.nsf): página de introducción de la instalación de Lotus Domino, identifica la versión instalada.
– decsadm.nsf (http://servidor_revisado.com/decsadm.nsf): Domino Enterprise Connection Services (DECS).
– domcfg.nsf (http://servidor_revisado.com/domcfg.nsf: fichero con la configuración del servidor Domino.
– stcenter.nsf (http://servidor_revisado.com/stcenter.nsf): acceso al Lotus Sametime por Web que es el cliente de mensajería instantánea de Lotus.
– accounts.nsf (httP://servidor_revisado.com/accounts.nsf): fichero con los datos de usuarios del servidor Domino.

Catalog.nsf
Ejemplo de base de datos de Lotus Domino – Catalog.nsf

Hay multitud de ficheros que son interesantes para revisar la seguridad, se puede incluso utilizar algún fuzzer para buscar nuevos ficheros de los desarrollos propios de cada servidor con la extensión .NSF.

Normalmente, todos estos archivos están protegidos mediante autenticación y solicitan un nombre de usuario y contraseña. Sin embargo, muchos administradores de Lotus, en un descuido, sólo deshabilitan el acceso anónimo permitiendo que, si la página web presenta algún tipo de formulario para registrarse, enviar el CV o lo que sea, se pueda crear un usuario y acceder a muchas de las bases de datos Notes que se han enumerado anteriormente.

Autenticación
Ejemplo de Protección de las Bases de Datos de Notes mediante autenticación

Además, con una simple búsqueda en google de ficheros .NSF (filetype:nsf) se pueden encontrar multitud de sistemas con un servidor Lotus como servidor de aplicaciones accesible.

ANALIZADORES DE SEGURIDAD PARA LOTUS

Rapid7 (http://www.rapid7.com/) de NeXpose es un escáner de vulnerabilidades comercial con una versión de evaluación. Dispone de una base de datos con numerosas vulnerabilidades para Lotus Notes pero también para otras plataformas. Algunas de estas vulnerabilidades permiten la ejecución remota de comandos en el servidor Domino que pueden comprometer al resto de la red, mientras que otros permiten el acceso libre a las contraseñas desde el Directorio de Domino. Se actualiza periódicamente.

DominoScan (http://www.ngssoftware.com/products/internet-security/dominoscan.php) de NextGenss es un escáner de seguridad que busca vulnerabilidades comunes en los servidores web de Domino.

AppDetective (http://www.appsecinc.com/products/appdetective/domino/) que es un escáner también comercial con una versión totalmente funcional que permite usarse durante un mes y que dispone también de una amplia base de conocimiento de las vulnerabilidades de Lotus Notes.

MÁS INFORMACIÓN

http://www.ibm.com/developerworks/lotus/library/domino8-lockout/index.html?S_TACT=105AGX13

http://www.dominosecurity.org

http://www-01.ibm.com/software/lotus/notesanddomino/nd85.html

http://www.ibm.com/developerworks/lotus/security/

Anuncios
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Anuncios
A %d blogueros les gusta esto: